EU-Richtlinie für den Datenschutz bei Polizei und Justiz

Die neue europäische Richtlinie setzt der Datenerfassung bei Polizei und Justiz Grenzen: Bürger dürfen nicht in polizeilichen Datenverarbeitungssystemen erfasst werden, wenn sie dafür keinen Anlass gegeben haben. Die Daten von Opfern müssen anders als die von Tätern verarbeitet werden. Die erhobenen Daten dürfen nur unter bestimmten Voraussetzungen an andere Staaten weitergereicht werden. Doch mit der Umsetzung haben es die europäischen Mitgliedstaaten nicht eilig. Deutschland hat damit schon angefangen, versucht aber das insgesamt niedrige Datenschutzniveau noch ein wenig zu drücken.

Als „kleiner Bruder“ der großen europäischen Datenschutz-Grundverordnung (DSGVO) gilt die mit ihr zeitgleich verabschiedete EU-Richtlinie für den Datenschutz bei Polizei und Justiz (JI) 2016/680 [1] vom Mai 2016. Datenschutzveteran Thilo Weichert bezeichnet [2] die Richtlinie als „Meilenstein für den europäischen Datenschutz“ im Polizeibereich, da sie erstmals unionsweit einen Mindeststandard für den Datenschutz festlegt.

Die JI-Richtlinie regelt den Grundrechtsschutz der Personen, die vom Datenaustausch zwischen Polizei- und Justizbehörden innerhalb der Europäischen Union betroffen sind. Nachrichtendienste sowie der Verteidigungsbereich werden von der Richtlinie nicht erfasst. Wenig nachvollziehbar ist es, dass die Richtlinie aber auch auf Europol und Eurojust nicht anwendbar ist.

Die Richtlinie ersetzt den Rahmenbeschluss der EU-Kommission 2008/977/JI, der sich auf den grenzüberschreitenden Datenverkehr beschränkt. Der Rahmenbeschluss wurde in einer Zeit erarbeitet, als Polizei und Justiz noch der weniger stark regulierten ‚dritten Säule‘ der EU angehörten. Seit den Verträgen von Lissabon sowie der Europäischen Grundrechtecharta wartete aber auch dieser Bereich auf eine stärkere Harmonisierung. Insbesondere die Grundrechtecharta legt die grundrechtliche Latte für Privatsphäre, Telekommunikationsgeheimnis, Datenschutz und Rechtsschutz erheblich höher. Überdies muss auch das Diskriminierungsverbot der Charta umgesetzt werden, das sich auf Rasse, ethnische Herkunft, genetische Merkmale, Religion, Weltanschauung, politische oder sonstige Anschauung, Behinderung und sexuelle Ausrichtung bezieht.

Definition eines europäischen Mindestniveaus

Ziel der JI-Richtlinie ist laut EU-Kommission ein unionsweites einheitliches Mindestschutzniveau, da die Strafverfolgungsbehörden auf einen schnellen Datenaustausch angewiesen sind. Die Kommission wählte die Rechtsform der Richtlinie, da diese den Mitgliedstaaten bei der Umsetzung einen Spielraum lässt. So dürfen sie ein noch höheres Schutzniveau aufweisen, aber nationale Ausnahmen sind vorgesehen. Eine Unterschreitung des in der Richtlinie beschriebenen Mindestniveaus ist nicht erlaubt.

In Artikel 4 werden die Grundprinzipien dargestellt: So etwa die Zweckbindung und die Erforderlichkeit der Datenverarbeitung. Personenbezogene Daten dürfen von Polizei und Justiz nur für bestimmte Zwecke verarbeitet werden, welche die repressive wie auch präventive Strafverfolgung umfassen. Namentlich sind dies Zwecke „der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“. In allen anderen Fällen gilt die Datenschutz-Grundverordnung.

Für massenhafte Datenerhebungen, wie sie etwa bei Funkzellenabfragen regelmäßig stattfinden, dürfte das Prinzip der Verhältnismäßigkeit wichtig sein. Darunter versteht man allgemein eine „angemessene“ und „nicht exzessive“ Anwendung. Zweckänderungen sind möglich, wenn diese unions- oder nationalrechtlich fundiert sind. Handelt es sich um sensible Daten, ist eine strenge Erforderlichkeitsprüfung mit zusätzlichen Sicherungen notwendig (Artikel 8).

Die Mitgliedstaaten selbst müssen für Lösch- und Prüffristen nationale Regelungen finden (Artikel 5), was wohl angesichts unterschiedlicher Verjährungsfristen unvermeidlich ist. Überdies muss die Datenverarbeitung so gestaltet werden, dass die diversen Rollen wie Verdächtiger, Opfer oder Zeuge in verschiedenen Kategorien abgebildet werden (Artikel 6).

Auch die Aspekte der Datenintegrität und der Intervenierbarkeit werden angesprochen, indem Lösch-, Korrekturrechte und Benachrichtigungspflichten vorgesehen sind. Unrichtige, unvollständige oder nicht mehr aktuelle personenbezogene Daten dürfen weder bereitgestellt, noch übermittelt werden. Auch muss bei personenbezogenen Daten „so weit wie möglich zwischen faktenbasierten Daten und auf persönlichen Einschätzungen beruhenden Daten unterschieden“ werden (Artikel 7).

In Artikel 13 werden die Informationspflichten gegenüber den Betroffenen und deren Auskunftsrechte näher erläutert, doch nationale Vorschriften können diese einschränken. So können ganze Datenkategorien ausgenommen werden. Die Datenschutzaufsicht tritt in Streitfällen als Vermittlerin auf.

Kontrolle und Aufsicht

In Artikel 24 bis 26 werden die Voraussetzungen dafür genannt, dass die Datenschutzaufsicht in der Lage ist, die Umsetzung der Anforderungen erfolgreich zu prüfen. So müssen die Datenverarbeitungsprozesse dokumentiert und bestimmte Vorgänge protokolliert werden. Artikel 26 erinnert interessanterweise daran, dass die Behörden mit der Aufsicht kooperieren müssen. Wie die unabhängige Datenschutzkontrolle ausgestattet und handeln soll, wird in den Artikeln 41 bis 49 geregelt, die an die Datenschutz-Grundverordnung angelehnt sind. So gibt es unter anderem eine Art Whistleblower-Regelung, wonach die Aufsichtsbehörde vertraulich über Verstöße unterrichtet werden kann (Artikel 48). Damit können auch Mitarbeiter von Polizei- und Justizbehörden eine Beschwerde einreichen, ohne den Verlust ihres Arbeitsplatzes befürchten zu müssen.

Die Mitgliedstaaten können im nationalen Recht der Aufsichtsbehörde die Befugnis erteilen, Datenschutzverstöße über justizielle Verfahren zu ahnden. Dies soll dem BDSG-Entwurf zufolge [3] künftig auch in Deutschland möglich sein. Bisher bestand das schärfste Mittel der Aufsichtsbehörden im öffentlichen Bereich in der Beanstandung, die nicht selten ignoriert wurde. Die nach Datenschutz-Grundverordnung möglichen Bußgeldverfahren für öffentliche Stellen soll es aber in Deutschland nicht geben.

Anders als nach der Datenschutz-Grundverordnung kann der Europäische Datenschutzausschuss im Bereich von Polizei und Justiz keine verbindlichen Entscheidungen treffen. Er darf lediglich beraten, sowie Richtlinien und Stellungnahmen erarbeiten. Neu ist die in Artikel 53, wie auch schon in der Grundverordnung getroffene Regelung, über die Information an einen Beschwerdeführer. Der muss demnach innerhalb von drei Monaten über Stand oder Ergebnis seiner Beschwerde informiert werden. Versäumt die Behörde dies, kann der Beschwerdeführer die Behörde wegen Untätigkeit verklagen. Überdies kann der Betroffene auch gegen den für die Datenverarbeitung Verantwortlichen klagen (Artikel 54). Dabei können die Mitgliedstaaten ein Verbandsklagerecht einrichten (Artikel 55). Deutschland sieht dies bisher nicht vor.

Privacy by Design und Datenfolgeabschätzung

Bemerkenswert ist Artikel 20 mit Vorgaben zu „Privacy by Design“ oder dem „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“, der „angemessene technische und organisatorische Maßnahmen“ verlangt. Die Voreinstellungen müssen sicherstellen, dass „nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Insbesondere „Big Data“-Projekte könnten es damit schwer haben, diese Vorgaben zu erfüllen.

Die Richtlinie führt das neue Instrument der Datenfolgeabschätzung ein (Artikel 27); es findet sich auch schon in der Datenschutz-Grundverordnung und besagt: Bei voraussichtlich hohen Grundrechtsrisiken, muss der Verantwortliche eine Abschätzung vornehmen, die im Falle eines hohen Risikos der Datenschutzaufsicht vorzulegen ist. Diese kann unter Umständen die Realisierung eines Konzepts im Vorfeld untersagen. (Artikel 28)

Polizeilich erhobene Informationen, Big Data und Abgleich mit öffentlich verfügbaren Informationen

Zur Problematik von „Big Data“, wo riesige Mengen von strukturierten wie unstrukturierten Daten ausgewertet werden, äußert sich die Richtlinie nicht. Auch das damit verbundene Problem, dass selbst lernende Algorithmen selbst Kriterien für die Auswertung entwickeln und wiederum an weitere Auswertungsergebnisse anpassen, wird nicht adressiert. Das ist umso kritischer zu sehen, als dies möglicherweise einer Zweckänderung gleichkäme.

Aus Sicht der Datenschützer von Bund und Ländern ist es besonders kritisch, „wenn Analysesysteme vermeintlich harmlose, allgemein zugängliche Daten aus dem Internet auswerten, etwa aus Foren oder sozialen Netzwerken. Diese können mit polizeilich erhobenen bzw. gespeicherten Informationen verknüpft und einer konkreten Person zugeordnet werden. Es besteht das Risiko, dass die Systeme die Daten aus einem ganz anderen Zusammenhang verwenden, denen kein gefährdendes oder strafbares Verhalten zu Grunde liegt.“ [4]

Hier setzt aber eine Entschließung des Europäischen Parlaments von Mitte März 2017 an [5], welche die EU-Kommission auffordert, klare Regeln und Standards zur Anonymisierung und Softwarehaftung zu definieren. Sie will unter anderem das grundsätzlich verbotene, aber in der Praxis häufig vorkommende „ethnische Profiling“ mit „höchsten Ethik-Standards“ in den Griff bekommen. Sie verlangt außerdem eine höhere Transparenz und Rechenschaftspflicht in Bezug auf Algorithmen bei der Datenverarbeitung und -analysen.

Übermittlung in Drittländer

Artikel 35 bis 39 regeln die Anforderungen an die Datentransfers in außereuropäische Länder, so genannte Drittländer wie den USA, oder an internationale Organisationen wie beispielsweise Interpol. Wie auch im Bereich der Unternehmen ist ein Transfer nur erlaubt, wenn dort ein angemessenes Datenschutzniveau herrscht.

Ob dies der Fall ist, stellt die EU-Kommission in einer so genannten Angemessenheitsentscheidung (Artikel 36) fest. Im Bereich der Unternehmen traf sie diese bereits für die USA im Juli 2016 mit dem ‚EU US Privacy Shield‘, sowie für den öffentlichen Bereich im Falle der Übermittlung von Fluggastdaten. Weitere Angemessenheitsentscheidungen wurden bisher für Andorra, die Schweiz, Färöer-Inseln, Guernsey und die Isle of Man sowie Argentinien, Neuseeland und Uruguay getroffen. Eingeschränkte Entscheidungen gibt es außerdem für Israel und Kanada. (Stand 9/2016) [6]

Wenn kein Angemessenheitsbeschluss vorliegt, ist ein Transfer nach Artikel 35, 1 d) dennoch möglich, wenn geeignete Garantien erbracht wurden (Artikel 37) oder bestimmte Ausnahmefälle (Artikel 38) vorliegen. Eine Ausnahme ist beispielsweise dann gegeben, wenn lebenswichtige Interessen einer Person geschützt werden müssen oder „berechtigte Interessen“ eines Betroffenen gewahrt werden sollen.

Überdies können Mitgliedstaaten Daten, die sie aus einem anderen Mitgliedstaaten erhalten haben, weiterreichen, wenn etwa „eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit“ besteht und eine Genehmigung nicht rechtzeitig eingeholt werden konnte. Gleichwohl muss die entsprechende Behörde darüber „unverzüglich“ unterrichtet werden. Damit unterliegen die Datenübermittlungen in Drittstaaten keinen großen Hürden. Datenschutzexperte Thilo Weichert weist jedoch in seinem kurzen Kommentar zur JI-Richtlinie auf die Erwägung 71 hin, wonach die übermittelten Daten keinesfalls vom Empfängerstaat zur Begründung, Verwendung oder Umsetzung einer Todesstrafe oder einer anderen Form grausamer oder unmenschlicher Behandlung genutzt werden dürfen. Hierfür soll der Verantwortliche zusätzliche Garantien verlangen können – selbst dann, wenn bereits Kooperationsvereinbarungen zwischen Europol oder Eurojust mit Drittländern bestehen.

Erste Bewertungen

Die Erarbeitung der Richtlinie stand im Schatten der Datenschutz-Grundverordnung, weshalb während des Verhandlungsprozesses nur sporadisch Kritik laut wurde. Thilo Weichert glaubt, dass die spärliche öffentliche Debatte dazu führte, dass sich „die administrativen Verarbeitungsinteressen“ durchsetzen konnten. Er ist der Ansicht, dass die Richtlinie nicht den Anforderungen des Europäischen Gerichtshofs genügt. Demnach sind für informationelle Eingriffe „klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme“ nötig, die sich „auf das absolut Notwendige“ beschränken muss. Deshalb müsse das nationale Recht hier nachlegen. Gegenüber dem bisherigen Rahmenbeschluss sei das Erreichte aber dennoch ein Fortschritt.

Mangelhaft ist nach Ansicht von Weichert unter anderem die Möglichkeit der Behörden, den Betroffenen pauschal und ohne Abwägung im Einzelfall die Benachrichtigung über verdeckte Maßnahmen zu verweigern. Damit werde letztlich die Erlangung eines effektiven Rechtsschutzes beeinträchtigt, auf die der Europäische Gerichtshof in seiner Safe-Harbor-Entscheidung abgestellt hat. Auch hält Weichert die Übermittlungsregelungen in Drittländer für fraglich, da eine Interessensabwägung nicht immer gefordert wird. Wenn diese stattfinde, werde sie allein durch die übermittelnde Stelle vorgenommen, die aber wiederum ein Eigeninteresse verfolge. Überdies seien die Übermittlungsvoraussetzungen „äußerst niedrig und allgemein formuliert“ und die Datenschutzaufsicht werde nur in bestimmten Ausnahmefällen involviert. Insgesamt entspräche die Richtlinie aber dem bestehenden deutschen Sicherheitsrecht. Wegen der europäischen Grundrechtsbindung könne sie aber wohl vor dem Europäischen Gerichtshof erfolgreich angefochten werden. Dieser formulierte nämlich in seiner Safe-Harbor-Entscheidung hohe materielle und prozedurale Anforderungen an Auslandsübermittlungen.

Umsetzung in den Mitgliedstaaten läuft extrem langsam an

Die Mitgliedstaaten müssen bis zum 6. Mai 2018 Rechts- und Verwaltungsvorschriften anpassen, um die JI-Richtlinie umzusetzen. In Deutschland betrifft dies Bund und Länder gleichermaßen. Bislang ist aber in diese Richtung noch nicht viel geschehen. Teilweise wird die Richtlinie bereits mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) [3] umgesetzt, das sich derzeit in parlamentarischer Beratung befindet. Dabei wurden aber offenbar die Umsetzungsempfehlungen der Datenschutzkonferenz von Bund und Ländern [7] sowie der Artikel-29-Gruppe [8] weitgehend ignoriert.

So halten Datenschützer die Umsetzungsvorschläge im Rahmen des BDSG-neu für „in weiten Teilen missglückt“: „Die Befugnisse der Aufsichtsbehörden und die Betroffenenrechte werden in einem Ausmaß eingeschränkt, das nicht mit der JI-Richtlinie vereinbar ist. Zudem wird die Rechtsprechung des Bundesverfassungsgerichts zur Übermittlung personenbezogener Daten in Drittstaaten nur unzureichend berücksichtigt“, kritisiert etwa der Landesdatenschutzbeauftragte für Mecklenburg-Vorpommern. [9] Er schlägt überdies vor, für Artikel 4, der die Grundprinzipien beschreibt, im nationalen Recht die sieben Gewährleistungsziele des Standard-Datenschutzmodells [10] ausdrücklich festzulegen, welche in der Richtlinie bereits grob vorgebildet sind.

Die Anpassung im Polizeirecht steht noch aus. Aus den Bundesländern sind bis heute keine entsprechenden Anläufe zu sehen. In den anderen europäischen Mitgliedstaaten gibt es ebenfalls wenig Bewegung, was das Europäische Parlament jetzt in seiner Entschließung zu Big Data [5] veranlasst hat, an die Existenz der Richtlinie zu erinnern. Drei Jahre nach Inkrafttreten der Richtlinie am 5. Mai 2016 müssen die Mitgliedstaaten jedenfalls prüfen, welche weiteren Regelungen an die Richtlinie angepasst werden müssen. Vier Jahre nach Inkrafttreten müssen erste Berichte eines Evaluationsverfahrens vorgelegt werden.

Quellen

[1]   RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates
http://db.eurocrim.org/db/de/doc/2480.pdf

[2]   Die EU-Richtlinie für den Datenschutz bei Polizei und Justiz, 01.02. 2016, Netzwerk Datenschutzexpertise
http://www.netzwerk-datenschutzexpertise.de/sites/default/files/bewertung_2016_02_eudsri_polizei.pdf

[3]   Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
http://dipbt.bundestag.de/doc/btd/18/113/1811325.pdf

[4]   Big Data zur Gefahrenabwehr und Strafverfolgung: Risiken und Nebenwirkungen beachten, 18. und 19. 03. 2015, Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2015/03/DSK-Entschlie%C3%9Fung-Big-Data-zur-Gefahrenabwehr-und-Strafverfolgung.pdf

[5]   Big Data-Entschließung des Europäischen Parlaments, am 14. 03. 2017 verabschiedet
http://www.europarl.europa.eu/sides/getDoc.do?type=REPORT&reference=A8-2017-0044&format=XML&language=DE

[6]   Welche Anforderungen sind bei der Übermittlung von Daten in das Ausland zum Schutz der Persönlichkeitsrechte zu beachten?, September 2016, Information der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/Inhalt2/Schutz_der_Persoenlichkeitsrechte/Schutz_der_Persoenlichkeitsrechte.php

[7]   Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen der Datenschutz-Richtlinie im Bereich von Justiz und Inneres, 29. 10. 2015, Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
https://www.bfdi.bund.de/SharedDocs/EU/ModernisierungDSRecht/DSK_Kernpunkte_Trilog_de.pdf?__blob=publicationFile&v=1

[8]   Opinion 03/2015 on the draft directive on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, 01. 12. 2015, Article 29 Data Protection Working Party
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp233_en.pdf

[9]   Stellungnahme des LfDI Mecklenburg-Vorpommern zum DSAnpUG-EU, 25. 01. 2017
https://www.datenschutz-mv.de/presse/2017/sn-bdsg-e.pdf

[10]   Das Standard-Datenschutzmodell, Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, V.1.0 – Erprobungsfassung von der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 9. und 10. November 2016 in Kühlungsborn einstimmig zustimmend zur Kenntnis genommen (Enthaltung durch Freistaat Bayern)
https://www.datenschutzzentrum.de/uploads/SDM-Methode_V_1_0.pdf

Copyright und Nutzungsrechte

(C) 2017 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. dem/den namentlich genannten Autor(en).