umwelt-online: Bundesrat 051/12 (Beschluss): Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr

Der Bundesrat hat in seiner 895. Sitzung am 30. März 2012 gemäß Artikel 12 Buchstabe b EUV die folgende Stellungnahme beschlossen:

1. Der Bundesrat begrüßt die Zielsetzung des Richtlinienvorschlags, die polizeiliche und justizielle Zusammenarbeit in Strafsachen unter Achtung des Grundrechts auf Schutz personenbezogener Daten zu erleichtern.
2. Die Subsidiaritätsrüge gemäß Artikel 12 Buchstabe b EUV erfasst auch die Frage der Zuständigkeit der EU - siehe die Stellungnahmen des Bundesrates vom 9. November 2007, BR-Drucksache 390/07(B) , Ziffer 5, und vom 26. März 2010, BR-Drucksache 043/10(B) , Ziffer 2 sowie vom 16. Dezember 2011, BR-Drucksache 646/11(B) . Der Grundsatz der Subsidiarität ist ein Kompetenzausübungsprinzip. Gegen das Subsidiaritätsprinzip wird auch dann verstoßen, wenn keine Kompetenz der Union besteht. Daher muss im Rahmen der Subsidiaritätsprüfung zunächst die Frage der Rechtsgrundlage geprüft werden.
3. Der vorgelegte Vorschlag für eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten lässt sich nicht auf Artikel 16 Absatz 2 AEUV stützen, soweit sich der Anwendungsbereich der Richtlinie auch auf die Datenverarbeitung in innerstaatlichen Verfahren erstreckt. Mithin ist der Vorschlag der Kommission, soweit er den rein innerstaatlichen Informationsverkehr der Polizeibehörden einbezieht, nicht von der angegebenen Rechtsgrundlage des Artikels 16 Absatz 2 AEUV gedeckt. Nach dem in Artikel 5 Absatz 2 EUV normierten Grundsatz der begrenzten Einzelermächtigung darf die EU nur innerhalb der Grenzen der Zuständigkeiten tätig werden, die die Mitgliedstaaten ihr in den Verträgen zur Verwirklichung der darin niedergelegten Ziele übertragen haben. Artikel 16 Absatz 2 AEUV gestattet nur, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, zu erlassen. Das innerstaatliche Strafverfahren fällt jedoch nur innerhalb enger Grenzen in den Anwendungsbereich des Unionsrechts. Die eingeschränkten Kompetenzen der EU zum Erlass von Richtlinien für das Strafverfahren (Artikel 82 Absatz 2 AEUV) begrenzen daher auch die datenschutzrechtliche Kompetenz der EU für diesen Sachbereich. Dies steht einer Harmonisierung der rein innerstaatlichen Datenverarbeitung im Strafverfahren entgegen. Die Verarbeitung personenbezogener Daten ist ein maßgeblicher Bestandteil des Strafverfahrens. Der Richtlinienvorschlag führt daher zu weitreichenden Eingriffen in das Strafverfahrensrecht, die zur Erleichterung der gegenseitigen Anerkennung von Entscheidungen und der Zusammenarbeit in Strafsachen mit grenzüberschreitender Dimension nicht erforderlich sind. So enthält der Vorschlag Regelungen, die den Mitgliedstaaten umfangreiche Vorgaben für die Führung der Verfahrensakten (Artikel 5 und 6), für Ermittlungsmaßnahmen unter Verwendung besonderer Kategorien von personenbezogenen Daten (Artikel 8) sowie für die Akteneinsicht und Auskunftserteilung (Artikel 11 bis 14) machen.
In der Begründung des Richtlinienvorschlags wird zur Einbeziehung der innerstaatlichen Datenverarbeitung ausgeführt, die zuständigen Behörden könnten nicht ohne weiteres zwischen der innerstaatlichen Datenverarbeitung und dem grenzüberschreitenden Austausch von personenbezogenen Daten unterscheiden oder vorhersehen, ob es zu bestimmten personenbezogenen Daten später einen grenzüberschreitenden Austausch geben wird. Dies vermag die Erforderlichkeit des weiten Anwendungsbereichs der Richtlinie jedoch nicht zu begründen. Die zuständigen Behörden können die grenzüberschreitende Übermittlung von Daten, die zuvor nach den Vorschriften des innerstaatlichen Strafverfahrensrechts erhoben wurden, ohne weiteres nach den dafür geltenden Regeln beurteilen. Sollten rechtliche Defizite bei der Datenübermittlung im Rahmen der justiziellen und polizeilichen Zusammenarbeit bestehen, könnten diese bereichsspezifischen Regelungen überarbeitet werden. Die von der Kommission angenommenen praktischen Schwierigkeiten bei einer rechtlichen Unterscheidung zwischen der innerstaatlichen Datenverarbeitung und dem grenzüberschreitenden Austausch von personenbezogenen Daten können dagegen keine Erweiterung der bestehenden Kompetenzen begründen. Diese Ausführungen gelten entsprechend für die Verarbeitung personenbezogener Daten im Bereich des Polizeirechts.
4. Der Kompetenzrahmen des Artikels 16 Absatz 2 AEUV ("Anwendungsbereich des Unionsrecht") wird gemäß Artikel 2 Absatz 6 AEUV im polizeilichen Bereich durch Artikel 87 AEUV konkretisiert. Danach ist nur die Zusammenarbeit zwischen den mitgliedstaatlichen Polizei- und Strafverfolgungsbehörden erfasst. Artikel 87 Absatz 1 AEUV vermittelt insofern keine Kompetenz zur Regelung von Sachverhalten, die ausschließlich die Tätigkeit dieser Behörden innerhalb eines Mitgliedstaats und damit keine Form der Zusammenarbeit zwischen den Mitgliedstaaten betreffen. Die Regelungsbefugnis bezüglich des polizeilichen Informationsaustauschs, die in Artikel 87 Absatz 2 Buchstabe a AEUV niedergelegt ist, korrespondiert in ihrer Reichweite durch die Verweisung auf die Zwecke des Artikels 87 Absatz 1 mit der dortigen Festlegung des Kompetenzbereiches auf die Zusammenarbeit der mitgliedstaatlichen Behörden. Daraus folgt, dass auch in datenschutzrechtlicher Hinsicht der polizeiliche Informationsverkehr ausschließlich in Bezug auf die Zusammenarbeit zwischen den mitgliedstaatlichen Strafverfolgungsbehörden einer EU-Regelungskompetenz unterworfen ist.
Auch gemäß Artikel 51 der Charta der Grundrechte der EU erfasst Artikel 8 der Charta nur mitgliedstaatliche Tätigkeiten, soweit sie Unionsrecht durchführen; eine Kompetenzerweiterung durch die Anwendung der Charta ist nach Artikel 51 Absatz 2 der Charta ebenfalls ausgeschlossen. Durch die Interpretation des Artikels 8 der Charta und des Artikels 16 Absatz 2 AEUV unter Außerachtlassung der Besonderheiten der Bestimmungen über den Raum der Freiheit, Sicherheit und des Rechts wird durch den Richtlinienvorschlag das Primärrecht derart erweiternd ausgelegt, dass eine im Urteil des Bundesverfassungsgerichts vom 30. Juni 2009 (Az.: 2 BvE 2/08 u.a.) beschriebene verfassungsrechtlich bedeutsame Spannungslage zum Prinzip der begrenzten Einzelermächtigung und zur verfassungsrechtlichen Integrationsverantwortung des einzelnen Mitgliedstaats mit Auswirkungen auf die tatsächliche Gewährleistung von Sicherheit und Ordnung entsteht. Die nur formelhafte Formulierung des Artikels 2 Absatz 3 Buchstabe a des Richtlinienvorschlags ist nicht geeignet, die in besonderem Maße zu Lasten der Polizeihoheit der Länder gehende sachliche Kompetenzausweitung zu vermeiden.
5. Der Bundesrat sieht ebenfalls keine Kompetenz der EU für die Regelung des nicht straftatbezogenen Gefahrenabwehrrechts. Auch hier besteht die begründete Gefahr, dass die EU ohne entsprechende klarstellende Ausnahme die datenschutzrechtliche Zuständigkeit nach Artikel 16 AEUV zu Lasten der mitgliedstaatlichen Kompetenz für die nicht straftatbezogene Gefahrenabwehr im Sinne des Bundesverfassungsgerichtsurteils vom 30. Juni 2009 (Az.: 2 BvE 2/08 u.a.) erweiternd abrundet und sachlich ausdehnt. Hier ist die formelhafte Formulierung des Artikels 2 Absatz 3 Buchstabe a des Richtlinienvorschlags ebenfalls nicht geeignet, diesen in den einzelnen Bestimmungen angelegten Kompetenztransfer zu vermeiden.
6. Der Richtlinienvorschlag verstößt auch gegen das in Artikel 5 Absatz 3 EUV verankerte Subsidiaritätsprinzip im engeren Sinne, soweit der Vorschlag Regelungen für die rein innerstaatliche Datenerhebung und -verarbeitung enthält. Insofern ist ein Mehrwert der vorgesehenen europaweit einheitlichen Regelungen nicht erkennbar. Im Gegenteil können die Mitgliedstaaten die rein innerstaatliche Datenverarbeitung (Erhebung, Speicherung und Übermittlung) ausreichend selbst regeln bzw. ist dieser Bereich im deutschen Recht durch die geltenden Datenschutzgesetze bereits ausreichend geregelt.
7. Auch die Begründung bezüglich der Einbeziehung des rein innerstaatlichen polizeilichen Informationsverkehrs und dessen Vereinbarkeit mit dem Subsidiaritätsprinzip verstößt gegen die von der Kommission zu beachtenden Vorgaben des Artikels 5 des Protokolls Nr. 2 zum Lissabon-Vertrag, an die die Kommission gemäß Artikel 51 EUV gebunden ist. Die Ausführungen in der Begründung unter Nummer 3.2 des Richtlinienvorschlags behaupten die Konformität mit dem Subsidiaritätsprinzip lediglich, ohne die nach Artikel 5 des Protokolls erforderlichen quantitativen und qualitativen Angaben darzulegen. Das Begleitdokument SEK(2012) 73 weist auf Seite 3 insoweit nur auf eine spekulativ angenommene Behinderung des mitgliedstaatlichen Informationsaustausches zwischen den zuständigen Behörden hin. Dieser Annahme liegt nach Darlegung im Folgenabschätzungsdokument SEK(2012) 72 auf Seite 34 unter Buchstabe d jedoch lediglich die Einschätzung einer nichtöffentlichen Studie eines migrationspolitischen Beratungsinstituts zugrunde. Die Grundlagen der Studie des bereichsfernen Instituts sind somit weder überprüfbar noch nachvollziehbar dargelegt und daher ungeeignet. Andere nachvollziehbare Angaben fehlen.
8. Die Regelung berührt zudem den Schutzgehalt des Artikels 72 AEUV. Der Artikel 72 AEUV ergänzt für den polizeilichen Bereich Artikel 5 Absatz 3 EUV. Die aus Artikel 72 AEUV folgende besonders intensive Erforderlichkeitsprüfung für entsprechende Eingriffe ist weder im Richtlinienvorschlag selbst noch in den Begleitdokumenten enthalten. Die vorgeschlagenen Einschränkungen des rein innerstaatlichen Informationsverkehrs der Polizeien sowie die Möglichkeiten nach Artikel 27 des Richtlinienvorschlags, die Anforderungen an und damit die datenschutzrechtliche Zulässigkeit der Verwendung von innerstaatlichen informationstechnologischen Verfahren und Systemen verbindlich zu reglementieren, berühren insoweit die durch Artikel 72 AEUV garantierte Wahrnehmungverantwortlichkeit und -fähigkeit der Polizei, für die rein innerstaatliche Gewährleistung von Sicherheit und Ordnung zu sorgen. Sollten bestimmte Verfahren und Systeme für datenschutzrechtlich unzulässig erklärt werden, dürften diese nicht mehr eingesetzt werden, wodurch die konkrete Aufgabenwahrnehmung der Polizei im einzelnen Einsatzfall massiv eingeschränkt werden würde.
9. Der Zwang zur Abänderung bestehender bi- oder multilateraler Polizeiabkommen in Artikel 60 des Richtlinienvorschlags berührt die Regelungen der Wiener Vertragsrechtskonvention sowie die außenpolitische Kompetenz der Mitgliedstaaten. Artikel 351 AEUV sieht nur vor, dass die Mitgliedstaaten alle geeigneten Mittel anwenden, um eventuelle Unvereinbarkeiten geschlossener Übereinkünfte mit den EU-Verträgen zu beheben. Die rigide Formulierung des Artikels 60 des Richtlinienvorschlags wird insofern kritisch betrachtet. Eine Ausgestaltung als "sunsetclause" wäre zu prüfen.
10. Es ist nicht ersichtlich, dass die Mitgliedstaaten nicht die Fähigkeit besitzen, den innerbehördlichen Datenschutz durch Aufgaben- und Tätigkeitsbeschreibungen für behördliche Datenschutzbeauftragte ausreichend verwirklichen zu können. Zudem ergibt sich aus dem Richtlinienvorschlag kein Nachweis, dass durch die in Artikel 30 ff. des Richtlinienvorschlags enthaltene Regelungsdichte der behördliche Datenschutz besser als durch zum Teil schon bestehende nationale Regelungen verwirklicht wird, wodurch ebenfalls das Subsidiaritätsprinzip verletzt wird.
11. Der Bundesrat verweist ergänzend auf seine Stellungnahme zur Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Gesamtkonzept für den Datenschutz in der Europäischen Union, COM (2010) 609 final; BR-Drucksache 707/10(B) , Ziffer 8.