EU-Datenschutzbeauftragter erstmals für Europol zuständig

Seit dem 1. Mai ist der Europäische Datenschutzbeauftragte Giovanni Buttarelli für die Kontrolle von Europol zuständig. Seine Kontrolle gleicht allerdings einem Papiertiger: Er darf rechtswidrige Datenverarbeitungsvorgänge nicht öffentlich beanstanden. Auch konkrete Kritikpunkte und Empfehlungen bleiben der Öffentlichkeit verborgen.

Auf die neue Aufgabe bereitete sich der Europäische Datenschutzbeauftragte mit internen und externen Trainingseinheiten vor, wie aus dem diese Woche vorgestellten Tätigkeitsbericht für 2016 [1] hervorgeht. Überdies unterhält er ein eigenes Sekretariat für das neue ‚Cooperation Board‘. Über dieses Gremium wird die Kooperation zwischen der europäischen und den nationalen Datenschutz-Aufsicht bezüglich Europol-Daten aus den Mitgliedstaaten koordiniert. Die Erfahrungen sollen überdies in den Aufbau des Europäischen Datenschutzausschusses einfließen, der ab Mai 2018 seine Arbeit aufnehmen wird.

Zuständigkeitsbereich

Buttarelli rechnet damit, dass er auch schon bald für die datenschutzrechtliche Kontrolle von Eurojust zuständig sein wird, sowie für die Europäischn Staatsanwaltschaft [2], die sich derzeit in Gründung befindet. Zu den großen europäischen IT-Systemen, die schon bisher unter die regelmäßige Kontrolle des Datenschutzbeauftragten fallen, gehören die Datenbanken, die in der Europäischen Union zur Sicherung ihrer Außengrenzen gepflegt werden. Betroffen sind Informationen über den Grenzverkehr, Migration, Zoll und Strafverfolgung. Während die nationalen Aufsichtsbehörden für die nationalen Systemeinheiten zuständig sind, übernimmt die europäische Aufsichtsbehörde die Kontrolle der zentralen Systemeinheiten.

Im Oktober 2016 prüfte die europäische Datenschutzaufsicht bereits die europäische Fingerabdruck-Datenbank Eurodac. Im Rahmen einer ‚Opinion‘ [3] bezüglich des Reformpakets der EU-Kommission zum europäischen Asylsystem erinnerte sie daran, dass die individuellen Identitätsmerkmale, wie Fingerabdrücke oder Gesichtsbilder von Asylsuchenden „auf keinem Fall“ für andere Zwecke verwendet werden dürfen. Entsprechend kommentierte sie auch die geplanten Änderungen des Eurodac-Systems, wobei sie insbesondere auf besondere Schutzmaßnahmen für Kinder drängte. Außerdem führte sie eine bereits zu einem früheren Zeitpunkt vorgenommene Inspektion des Schengen Information Systems (SIS) fort. Im Sommer 2016 veröffentlichte sie außerdem ihren Bericht zur 2015 erfolgten Prüfung des Visa Information Systems (VIS). Ihre Verbesserungsvorschläge versah sie mit spezifischen Erledigungsfristen.

Mögliche Sanktionen

Das ohnehin schwache Sanktionsinstrument der öffentlichen Beanstandung steht dem Europäischen Datenschutzbeauftragten nicht zur Verfügung. Er darf nur Stellungnahmen zur Vorabkontrolle [4] und zur Rechtsetzungsvorschlägen [5] veröffentlichen. So fällt im Vergleich zu den Tätigkeitsberichten deutscher Datenschutzbehörden auf, dass Details zu den Prüfergebnissen ungenannt bleiben. Es fehlen nicht nur relativ leicht erbringbare Angaben zur Anzahl der gespeicherten Datensätze, sondern schlicht alle inhaltlichen Erörterungen, Klarstellungen und Empfehlungen der Aufsicht. Bestehende Probleme werden weder benannt, noch ausgeführt. So kann die Öffentlichkeit nicht nachvollziehen, in welchem Jahr welche Kritikpunkte auftraten und in welchem Jahr diese Kritikpunkte nicht, teilweise oder ganz behoben wurden.

Gleichwohl darf die Datenschutzbehörde – ohne öffentlichkeitswirksamen Auftritt – die Korrektur, Beschränkung, Löschung und Zerstörung von personenbezogenen Daten anordnen, die rechtswidrig verarbeitet wurden. Außerdem darf sie ein zeitweises oder sogar endgültiges Verbot von Datenverarbeitungsvorgängen erlassen. Notfalls darf sie sogar das Europäische Parlament, den Rat oder die EU-Kommission über Missstände informieren und die Angelegenheit vor den Gerichtshof der Europäischen Union bringen. Ein solches Vorgehen ist bislang allerdings nicht bekannt geworden.

Die Befugnisse des Europäischen Datenschutzbeauftragten werden sich mit der Umsetzung der Europäischen Datenschutzgrundverordnung nicht ändern, da sich diese nur auf die Datenschutz-Aufsichtsbehörden der Mitgliedstaaten bezieht. Auch der künftige Europäische Datenschutzausschuss wird im Bereich von Polizei und Justiz keine verbindlichen Entscheidungen treffen können. Er darf lediglich beraten, sowie Richtlinien und Stellungnahmen erarbeiten. Insofern kann eine mögliche, rechtswidrige Datenverarbeitung in den zentralen Systemeinheiten der europäischen IT-Systeme nur schwer sanktioniert werden.

Ziele und Zielerfüllung

Unerhört aus Perspektive der deutschen Datenschutzaufsichtsbehörden dürfte allerdings sein, dass Giovanni Buttarelli für seine bis 2019 währende Amtszeit eine Strategie formuliert hat, deren Kernpunkte er jährlich evaluiert. Was das ‚Schmieden globaler Partnerschaften‘ anbelangt, diagnostiziert er eine Übererfüllung der Zielvorgaben. Die Zufriedenheit der nationalen Aufsichtsbehörden mit der Kooperation mit dem Europäischen Datenschutzbeauftragten liege mit 88 Prozent deutlich über der Zielvorgabe von 60 Prozent.
Bemerkenswert ist, dass der Europäische Datenschutzbeauftragte auch Zahlen zu Website-Besuchern und Twitter-Followern als Kommunikations-Benchmarks veröffentlicht. In Deutschland betreibt bisher keine einzige Datenschutz-Aufsichtsbehörde einen Twitter-Account. Anders die französische Datenschutzaufsicht CNIL: Sie kommuniziert sowohl auf Französisch, wie auch auf Englisch.

Quellen

[1]   Tätigkeitsberichte des Europäischen Datenschutzbeauftragten
https://edps.europa.eu/annual-reports_de

[2]   Europäische Staatsanwaltschaft, Wikipedia
https://de.wikipedia.org/wiki/Europ%C3%A4ische_Staatsanwaltschaft

[3]   Opinion 07/2016, EDPS Opinion on the First reform package on the Common European Asylum System (Eurodac, EASO and Dublin egulations)
https://edps.europa.eu/sites/edp/files/publication/16-09-21_ceas_opinion_en.pdf

[4]   Stellungnahmen des EDPS zu Vorabkontrollen
https://edps.europa.eu/data-protection/our-role-supervisor/register_en

[5]   Stellungnahmen des EDPS zu Rechtsetzungsvorschlägen
https://edps.europa.eu/data-protection/our-work/our-work-by-type/opinions-prior-check_de

Copyright und Nutzungsrechte

(C) 2017 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en).

1 Gedanke zu „EU-Datenschutzbeauftragter erstmals für Europol zuständig“

Kommentare sind geschlossen.