umwelt-online: Bundesrat 051/12 (Beschluss): Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr

Der Bundesrat hat in seiner 895. Sitzung am 30. März 2012 gemäß §§ 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:

Zur Vorlage allgemein

1. Der Bundesrat begrüßt die Zielsetzung des Richtlinienvorschlags, die polizeiliche Zusammenarbeit sowie die polizeiliche und justizielle Zusammenarbeit in Strafsachen unter Achtung des Grundrechts auf Schutz personenbezogener Daten zu erleichtern.
2. Dem weitreichenden Vorschlag zur Änderung der Datenschutzvorschriften, insbesondere in den Bereichen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen, steht der Bundesrat jedoch in einigen, auch wesentlichen Punkten kritisch gegenüber.
3. Der Bundesrat hält die vorgeschlagenen Regelungen zum jetzigen Zeitpunkt mit Blick auf den Rahmenbeschluss Datenschutz für nicht erforderlich.
4. Nach dem Richtlinienvorschlag soll die Richtlinie an die Stelle des Rahmenbeschlusses 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (Rahmenbeschluss Datenschutz), treten. Der Rahmenbeschluss Datenschutz enthält weitreichende Regelungen für eine Vereinheitlichung des Datenschutzes im Bereich der ehemaligen "Dritten Säule" und verfolgt damit das gleiche Ziel wie der Richtlinienvorschlag. Eine vollständige Implementation der Vorgaben des Rahmenbeschlusses Datenschutz in das innerstaatliche Recht der Mitgliedstaaten ist noch nicht erfolgt und eine Evaluation des Rahmenbeschlusses und seiner Umsetzung wird frühestens im Jahr 2014 stattfinden. Es erscheint daher derzeit nicht sachgerecht, im Wege eines neuen Rechtsaktes einen neuen Rechtsrahmen für den Datenschutz im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu schaffen. Das gilt umso mehr, als der Rahmenbeschluss Regelungen enthält, die im Richtlinienvorschlag nicht (mehr) aufgegriffen oder abweichend geregelt werden. Angesichts des Umfangs der Kompetenzausweitung sowie des erheblichen Änderungsbedarfs bei den einzelnen Bestimmungen des Richtlinienvorschlags sollte überprüft werden, ob eine gegebenenfalls geboten erscheinende Modifizierung des bestehenden Rahmenbeschlusses 2008/977/JI dem Erlass der Richtlinie vorzuziehen wäre.
5. Soweit der Richtlinienvorschlag auch die rein innerstaatliche polizeiliche Datenverarbeitung in den Anwendungsbereich einbezieht, lehnt der Bundesrat den Vorschlag ab, da er von den vertraglichen Grundlagen nicht gedeckt ist. Der Kompetenzrahmen des Artikels 16 Absatz 2 AEUV wird im polizeilichen Bereich durch Artikel 87 AEUV konkretisiert. Danach ist nur die Zusammenarbeit zwischen den mitgliedstaatlichen Polizei- und Strafverfolgungsbehörden erfasst. Artikel 87 Absatz 1 AEUV vermittelt insofern keine Kompetenz zur Regelung von Sachverhalten, die ausschließlich die Tätigkeit dieser Behörden innerhalb eines Mitgliedstaats und damit keine Form der Zusammenarbeit zwischen den Mitgliedstaaten betreffen. Die nur formelhafte Formulierung des Artikels 2 Absatz 3 Buchstabe a des Richtlinienvorschlags ist nicht geeignet, die in besonderem Maße zu Lasten der Polizeihoheit der Länder gehende sachliche Kompetenzausweitung zu vermeiden. Die Bundesregierung wird daher gebeten, sich in Artikel 1 des Richtlinienvorschlags für eine klarstellende Begrenzung des Anwendungsbereichs auf die mitgliedstaatliche Zusammenarbeit der Strafverfolgungsbehörden einzusetzen, da ansonsten eine im Urteil des Bundesverfassungsgerichts vom 30. Juni 2009 (Az.: 2 BvE 2/08 u.a.) beschriebene verfassungsrechtlich bedeutsame Spannungslage zum Prinzip der begrenzten Einzelermächtigung und zur verfassungsrechtlichen Integrationsverantwortung entstehen könnte.
6. Der Bundesrat sieht ebenfalls keine Kompetenz der EU für die Regelung des nicht straftatbezogenen Gefahrenabwehrrechts. Auch hier besteht die begründete Gefahr, dass die EU ohne entsprechend klarstellende Ausnahme die datenschutzrechtliche Zuständigkeit nach Artikel 16 AEUV zu Lasten der mitgliedstaatlichen Kompetenz für die nicht straftatbezogene Gefahrenabwehr im Sinne des Bundesverfassungsgerichtsurteils vom 30. Juni 2009 (Az.: 2 BvE 2/08 u.a.) erweiternd abrundet und sachlich ausdehnt. Die formelhafte Formulierung des Artikels 2 Absatz 3 Buchstabe a des Richtlinienvorschlags ist nicht geeignet, diesen in den einzelnen Bestimmungen angelegten Kompetenztransfer zu vermeiden. Die Bundesregierung wird gebeten, sowohl im Anwendungsbereich der Richtlinie als auch bei der vorgeschlagenen parallelen Datenschutz-Grundverordnung (COM (2012) 11 final) eindeutig klarzustellen, dass mangels einer der EU übertragenen Kompetenz die Informationsverarbeitung im Bereich der nicht straftatbezogenen Gefahrenabwehr den beiden Rechtsakten nicht unterfällt. Darüber hinaus bestünde ansonsten die Gefahr eines sachlich nicht angemessenen, zweispurigen Regelungssystems im Gefahrenabwehrrecht. Nachdem der Richtlinienvorschlag nur die Verhütung von Straftaten, nicht aber die sonstigen Bereiche der polizeilichen Gefahrenabwehr erfasst, stellt sich für letztere die Frage, ob diesbezüglich die insoweit wenig passenden Regelungen der geplanten Verordnung zur Anwendung kämen. Es dürfen aus Sicht des Bundesrates mit Blick auf die nationalen Regelungen und die Interessenlage jedenfalls keine grundsätzlich unterschiedlichen Regelungen gelten, je nachdem, ob es um die Verhütung von Straftaten oder die Abwehr sonstiger Gefahren geht. Es muss daher vermieden werden, dass für die Tätigkeiten der Polizeibehörden sowohl die Datenschutz-Grundverordnung als auch die Richtlinie anwendbar wären.
7. Der Bundesrat ist der Auffassung, dass zahlreiche Vorschriften des Richtlinienvorschlags jedenfalls in ihrer derzeit geplanten Ausgestaltung nicht geboten sind, sie insbesondere die berechtigten Belange einer effektiven Strafverfolgung und Gefahrenabwehr nicht hinreichend berücksichtigen und gleichzeitig den Mitgliedstaaten wesentliche Gestaltungsspielräume für die Beibehaltung und Weiterentwicklung des Datenschutzniveaus nehmen. Zudem lassen die Vorschriften bisweilen erhebliche Schwierigkeiten im praktischen Vollzug befürchten.

Zu Artikel 4

8. Der in Artikel 4 Buchstabe a des Richtlinienvorschlags niedergelegte Grundsatz von Treu und Glauben ist dem Bereich der Eingriffsverwaltung fremd. Gleiches gilt für die Verwendung des Grundsatzes in Artikel 11 Absatz 1 Buchstabe g des Richtlinienvorschlags. Die Strafverfolgungsbehörden als Teil der vollziehenden Gewalt sind an Gesetz und Recht gebunden. Polizeiliches und justizielles Handeln hat daher stets rechtmäßig zu sein, so dass der Artikel 4 Buchstabe a insgesamt entfallen kann.

Zu Artikel 5

9. Der Richtlinienvorschlag sieht in Artikel 5 vor, dass "soweit wie möglich" zwischen den personenbezogenen Daten fünf verschiedener Kategorien von Personen zu unterscheiden ist. Eine solche weitgehende Differenzierung ist aus Sicht des Bundesrates weder der Sache nach geboten noch wird sie praktischen Erfordernissen gerecht. Sie erscheint auch deshalb zweifelhaft, weil andere Bestimmungen des Richtlinienvorschlags nicht an diese Klassifizierung anknüpfen und somit besondere Auswirkungen nicht erkennbar sind. Für das Gebot, dass das mitgliedstaatliche Recht den jeweiligen Umständen Rechnung trägt, bedarf es einer solchen Kategorienbildung nicht. Der Hinweis, dass ähnliche Bestimmungen bereits im Europol- und Eurojust-Beschluss enthalten sind, kann die mangelnde Praktikabilität nicht in Frage stellen. Die Polizei- und Justizbehörden haben es allein in Deutschland jährlich mit einer siebenstelligen Zahl von Ermittlungsverfahren zu tun; dies übertrifft jedenfalls die Fallbelastung von Eurojust um ein Vielfaches.

Zu Artikel 6

10. Nach Artikel 6 des Richtlinienvorschlags soll außerdem "soweit wie möglich" nach sachlicher Richtigkeit und Zuverlässigkeit der Daten sowie danach differenziert werden, ob die Daten auf Fakten oder auf persönlichen Einschätzungen beruhen. Der Bundesrat weist darauf hin, dass eine solche Bewertung und Unterscheidung zu einem unzumutbaren Verfahrensaufwand für die Polizei- und Justizbehörden führen würde, ohne dass diese Differenzierung innerhalb der Verfahrensakten eine rechtliche Bedeutung hätte. Auch der Richtlinienvorschlag sieht keine Rechtsfolgen für die Einordnung in diese Kategorien vor. Zudem wird eine solche Unterscheidung bei der ersten Erfassung der Daten vielfach noch nicht möglich sein. Das Ermittlungsverfahren ist vielmehr darauf angelegt, die erfassten Daten ständig auf ihre sachliche Richtigkeit und Zuverlässigkeit zu überprüfen und abschließend zu einer sicheren Unterscheidung zwischen diesen Kategorien zu gelangen. Ein Erfordernis für die Regelung in Artikel 6 des Richtlinienvorschlags ist daher nicht ersichtlich. Da im Weiteren keine besonderen Auswirkungen an die jeweiligen Klassifizierungen geknüpft werden, erscheint jener Passus entbehrlich.

Zu Artikel 7

11. Artikel 7 des Richtlinienvorschlags erlaubt die Datenverarbeitung - einschließlich der Datenübermittlung - nur aufgrund bestimmter Zulässigkeitsgründe. Diese Gründe sind jedoch zu eng gefasst, um den legitimen Interessen Privater und der Öffentlichkeit, die eine Datenübermittlung erforderlich machen können, gerecht zu werden. Die Polizei- und Justizbehörden müssen in zahlreichen Fällen Informationen, die sie im Zuge ihrer Ermittlungen erhalten, an andere Behörden weitergeben, damit diese von relevanten Umständen erfahren und selbst notwendige Maßnahmen ergreifen können. Dies gilt beispielsweise im Kinder- und Jugendschutz oder bei der Gewerbeaufsicht. Diese Übermittlung dient nicht der Erfüllung einer Aufgabe der übermittelnden Behörde, so dass Artikel 7 Buchstabe a des Richtlinienvorschlags nicht erfüllt sein dürfte, der nur von den gesetzlichen Aufgaben der "zuständigen" Behörde spricht. Die Gründe für solche Zuverlässigkeitsprüfungen erreichen aber regelmäßig auch noch nicht das Stadium einer unmittelbaren Gefahr für die öffentliche Sicherheit, so dass auch der Zulässigkeitsgrund des Artikels 7 Buchstabe d nicht eröffnet wäre. Das öffentliche Interesse an dieser Datenübermittlung gebietet es jedoch, eine Datenverarbeitung nach Artikel 7 des Richtlinienvorschlags auch dann zuzulassen, wenn das mitgliedstaatliche Recht dies in der konkreten Situation gestattet und die Datenübermittlung erforderlich ist, damit die empfangende Behörde ihre Aufgaben erfüllen kann.

Zudem setzt Artikel 7 des Richtlinienvorschlags einer Datenübermittlung an Private zu enge Grenzen, da sie nur auf Artikel 7 Buchstabe c gestützt werden könnte, der jedoch die Notwendigkeit der Datenverarbeitung zur Wahrung lebenswichtiger Interessen einer anderen Person voraussetzt. Auch unterhalb dieser Schwelle können Private jedoch ein berechtigtes Interesse an einer Datenübermittlung haben, z.B. um eigene Rechtsansprüche durchzusetzen. Der Richtlinienvorschlag sollte daher eine Datenübermittlung an Private unter Abwägung der berechtigten Interessen des Privaten und des schutzwürdigen Interesses des Betroffenen an einer Versagung der Übermittlung zulassen. Auch Artikel 7 Buchstabe d erscheint im Hinblick auf die polizeilich erforderliche Verarbeitung personenbezogener Daten außerhalb eines konkreten Strafverfahrens als zu eng gefasst.

12. Auch die Datenübermittlung zu Forschungszwecken würde durch den Richtlinienvorschlag in seiner derzeitigen Fassung ausgeschlossen. Das öffentliche Interesse an wissenschaftlicher Forschung gebietet jedoch die rechtliche Möglichkeit der Datenübermittlung in den Fällen, in denen dieses Interesse das schutzwürdige Interesse des Betroffenen an einem Ausschluss der Übermittlung überwiegt und eine Verarbeitung nichtanonymisierter Daten erforderlich ist.

Zu Artikel 8

13. Artikel 8 des Richtlinienvorschlags regelt ein grundsätzliches Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten. Eine Ausnahme gilt vor allem, wenn die Verarbeitung durch eine Vorschrift gestattet ist, die - in ihrem Inhalt unklare - "geeignete Garantien" vorsieht. Die Vorschrift ist nach Auffassung des Bundesrates jedenfalls in der gewählten Fassung abzulehnen. Im Bereich der Strafverfolgung und der straftatbezogenen Gefahrenabwehr ist eine entsprechende Sonderbehandlung solcher Daten bereits deswegen nicht sachgerecht, weil Polizei- und Ermittlungsbehörden oftmals darauf angewiesen sind, auch solche Umstände in Erfahrung zu bringen und zu speichern, um die Ermittlungen erfolgreich führen zu können (z.B. ethnische Herkunft bei der Fahndung nach einer Person) oder um sich selbst oder andere schützen zu können (z.B. Hinweise auf Infektionsgefahr; Gefahrenpotenzial aufgrund psychischer Prädispositionen). Zumindest ist die Vorschrift dahingehend abzuändern, dass die Daten der genannten Art nur verarbeitet werden dürfen, wenn dies auch unter Berücksichtigung von deren besonderer Sensibilität zur Erfüllung der Aufgaben der jeweiligen Stellen notwendig ist.

Zu Artikel 8 und 9

14. Der in Artikel 9 des Richtlinienvorschlags niedergelegte absolute Nutzungsausschluss von Daten der Kategorien des Artikels 8 des Richtlinienvorschlags erscheint mit Blick auf spezielle polizeiliche Analysedateien wie zum Beispiel von Sexualstraftaten zu eng und schränkt die Ermittlungsarbeit der Polizei nicht nur bei der Aufklärung von Sexualstraftaten unangemessen ein. Die Einschränkung ist allgemeinen Datenschutzgesetzen entnommen, die meistens eine Bereichsausnahme für die Strafverfolgung bzw. die öffentliche Sicherheit und Ordnung enthalten. Innerhalb eines speziellen Rechtsakts für den Strafverfolgungsbereich erscheint dieser Ausnahmetatbestand systemwidrig; auch die Strafprozessordnung enthält keine entsprechende einschränkende Regelung. Die Übernahme der vergleichbaren Regelung in Artikel 9 der vorgeschlagenen Datenschutz-Grundverordnung verkennt insoweit die Besonderheiten des Raumes der Sicherheit, der Freiheit und des Rechts nach Titel V des AEUV.

Zu Artikel 11 bis 14

15. Der Richtlinienvorschlag sieht in Artikel 11 bis 14 umfassende Rechte der betroffenen Person auf Information und Auskunft über die Verarbeitung ihrer personenbezogenen Daten vor. Die strafverfahrensrechtlichen Vorschriften der Mitgliedstaaten enthalten jedoch bereits eigene, differenzierte Regelungen dazu, unter welchen Umständen den Verfahrensbeteiligten Akteneinsicht zu gewähren oder Auskunft zu erteilen und damit auch Kenntnis von der Verarbeitung ihrer personenbezogenen Daten zu verschaffen ist. Ein daneben bestehendes Recht auf frühzeitige Information aller betroffenen Personen über die Erfassung personenbezogener Daten, wie es Artikel 11 des Richtlinienvorschlags vorsieht, wird dagegen einen erheblichen Verwaltungsaufwand auslösen, ohne dass eine solche Unterrichtung erforderlich wäre: Die Beschuldigten oder Zeugen wissen entweder aufgrund ihres Kontakts mit der Ermittlungsbehörde, dass ihre Daten erfasst wurden, oder dieser Umstand wird den Beschuldigten oder ihren Kontaktpersonen berechtigterweise nicht offenbart, um den Ermittlungszweck nicht zu gefährden.
16. In Artikel 11 des Richtlinienvorschlags ist geregelt, dass die datenerhebende Stelle den Betroffenen - sofort oder jedenfalls zeitnah nach Erhebung - in zumindest sieben Punkten zu informieren hat. Derartig ausufernde Informationspflichten, die im nationalen Recht keine Grundlage finden, sind durch rechtsstaatliche Grundsätze, insbesondere die berührten Grundfreiheiten und Grundrechte, nicht geboten und führen zu einer sachlich nicht mehr gerechtfertigen "Bürokratisierung" der Arbeit der Polizei- und Justizbehörden.
17. Auch das weitreichende Auskunftsrecht in Artikel 12 des Richtlinienvorschlags ist insbesondere unter Berücksichtigung der Ermittlungszwecke im Strafverfahren nicht erforderlich. Dieses Auskunftsrecht gerät in Konflikt mit bestehenden Rechten auf Akteneinsicht nach innerstaatlichem Recht. § 147 Absatz 7 Satz 1 StPO räumt dem sich selbst verteidigenden Beschuldigten lediglich einen Anspruch auf Überlassung von Auskünften und Abschriften aus den Akten ein, wenn er sich ansonsten nicht angemessen verteidigen könnte. Weitere Voraussetzungen sind, dass der Untersuchungszweck - auch in einem anderen Strafverfahren - nicht gefährdet werden darf und keine schutzwürdigen Interessen Dritter entgegenstehen. Artikel 12 Absatz 1 des Richtlinienvorschlags geht darüber hinaus, indem ein grundsätzlich ohne weitere Voraussetzungen bestehendes Auskunftsrecht begründet wird.
18. Das in Artikel 12 des Richtlinienvorschlags geregelte Auskunftsrecht geht in seinem Umfang auch zumeist deutlich über die in den Polizeigesetzen der Länder bestehenden Regelungen sowie auch die bisherigen, durch die EU gesetzten Bestimmungen im Bereich der ehemaligen "Dritten Säule" (vgl. Artikel 17 des Rahmenbeschlusses Datenschutz, Artikel 31 Absatz 1 des Ratsbeschlusses Prüm) hinaus. Eine solche einseitig die Interessen des Betroffenen berücksichtigende Regelung bedeutete einen erheblich erhöhten administrativen Aufwand und ist in diesem Ausmaß rechtsstaatlich nicht gefordert. Zudem bestehen Bedenken gegen die in Artikel 12 Absatz 2 vorgeschlagene Regelung, wonach die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu verlangen. Insoweit besteht die Gefahr, dass die betroffene Person Daten erlangt, die nicht vom Auskunftsrecht umfasst sind oder an deren Zurückhaltung ein berechtigtes Interesse besteht. Darüber hinaus gebieten rechtsstaatliche Grundsätze die Erteilung einer Auskunft durch Überlassung einer Kopie der verarbeiteten personenbezogenen Daten nicht.
19. Die Mitgliedstaaten können zwar nach Artikel 13 Absatz 1 des Richtlinienvorschlags durch Rechtsvorschrift das Auskunftsrecht einschränken, u.a. um zu gewährleisten, dass behördliche Ermittlungen nicht behindert werden, oder um die Rechte anderer zu schützen. Eine widerspruchsfreie Regelung, welche die Besonderheiten des Strafverfahrensrechts in den Mitgliedstaaten berücksichtigt, sollte jedoch das Auskunftsrecht von vornherein für die Fälle ausschließen, in denen die Akteneinsicht nach Maßgabe der mitgliedstaatlichen Bestimmung verweigert werden könnte.
Soweit Artikel 13 Absatz 1 des Richtlinienvorschlags eine Einschränkung des Auskunftsrechts zulässt, sieht Artikel 13 Absatz 3 zudem die schriftliche Unterrichtung des Betroffenen über die Auskunftsverweigerung vor, die ausnahmsweise auch ohne Angabe von Gründen erfolgen darf. Der Bundesrat gibt jedoch zu bedenken, dass allein die Mitteilung, die Behörde verweigere die Auskunft über die Verarbeitung der personenbezogenen Daten der betroffenen Person, bereits die Zwecke des Ermittlungsverfahrens gefährden könnte. Ein Beschuldigter kann daraus den Rückschluss ziehen, dass die Ermittlungsbehörden Erkenntnisse über ihn sammeln, und sich auf weitere Ermittlungsmaßnahmen vorbereiten. Daher sollte die Richtlinie auch eine Regelung wie in § 491 Absatz 1 Satz 6 StPO zulassen, nach der die Behörden bei Verweigerung der Auskunftserteilung dem Betroffenen gegenüber offen lassen, ob seine Daten überhaupt verarbeitet wurden oder lediglich die Auskunft verweigert wird.
20. Artikel 14 Absatz 1 des Richtlinienvorschlags sieht vor, dass die betroffenen Personen jederzeit eine Überprüfung des Handelns der datenverarbeitenden Stellen, insbesondere einer Verweigerung der Auskunft, durch die Aufsichtsbehörde verlangen können. Eine datenschutzrechtliche Überprüfung während eines noch laufenden Ermittlungsverfahrens könnte jedoch entgegen der berechtigten Interessen des Beschuldigten (insbesondere in Haftsachen) oder des mutmaßlichen Opfers das Verfahren erheblich verzögern. Daher wäre es sachgerecht, in Artikel 14 die Überprüfung durch die Aufsichtsbehörde bis zum Abschluss des Strafverfahrens auszuschließen.

Zu Artikel 17

21. Die in Artikel 17 vorgesehene Möglichkeit, das einzelstaatliche Strafprozessrecht zur Anwendung kommen zu lassen, ist im Grundsatz zu begrüßen. Allerdings überzeugt die Beschränkung auf personenbezogene Daten "in einem Gerichtsbeschluss oder einem Gerichtsdokument" nicht. Diese Formulierung erfasst möglicherweise nicht personenbezogene Daten, die aufgrund eines gerichtlichen Beschlusses erhoben werden, und ist daher zu präzisieren.
Zudem empfiehlt es sich, die Regelung auf personenbezogene Daten, die aufgrund einer Entscheidung der Staatsanwaltschaft erhoben werden, die von den Strafgerichten überprüft werden kann, auszuweiten. Nur so kann sichergestellt werden, dass für die Datenerhebung und -verarbeitung als wesentliche Aufgabe des strafrechtlichen Ermittlungsverfahrens eine einheitliche gerichtliche Überprüfung durch die Strafgerichte sichergestellt ist.

Zu Artikel 24

22. Die in Artikel 24 Absatz 1 des Richtlinienvorschlags enthaltene Protokollierungs- und Dokumentationspflicht erscheint als zu weitgehend und führt jedenfalls bei nicht automatisierter Datenverarbeitung zu einem unverhältnismäßig hohen Verwaltungsaufwand, der durch einen geringen bis nicht ersichtlichen Mehrwert, der sich aus dieser Dokumentationspflicht ergibt, nicht gerechtfertigt ist.
Im nationalen Recht ist für automatisierte Verfahren durch die Vorschrift des § 10 Absatz 2 BDSG festgelegt, dass die beteiligten Stellen zu gewährleisten haben, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie Anlass und Zweck des Abrufverfahrens, Dritte, an die übermittelt wird, Art der zu übermittelnden Daten und nach § 9 BDSG erforderliche technische und organisatorische Maßnahmen schriftlich festzulegen. Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden.

Für die nicht automatisierte Datenverarbeitung und -übermittlung ist eine über die eigentliche Verarbeitungs- und Übermittlungstätigkeit, welche aufgrund entsprechender Verfügungen oder Ähnlichem veranlasst wird, hinausgehende Dokumentationspflicht ein zusätzlicher Aufwand, der deshalb nicht sinnvoll ist, weil weitergehende Informationen, die der Überprüfung der Rechtmäßigkeit der Datenverarbeitung dienlich sein könnten, in entsprechenden Dokumentationen nicht enthalten sein werden.

Mit dem BDSG und den darin enthaltenen weitreichenden Möglichkeiten (Gleiches gilt für die Landesdatenschutzgesetze, sofern deren Anwendungsbereich eröffnet ist), die Beachtung der Vorschriften einerseits überprüfen und andererseits Verstöße ahnden zu können, steht bereits ein umfassendes Kontrollinstrumentarium zur Verfügung, das als ausreichend erachtet wird.

Zu Artikel 26 bis 28

23. Nach Artikel 26 des Richtlinienvorschlags sind die Aufsichtsbehörden im Wege einer Vorabkontrolle zu Rate zu ziehen, wenn personenbezogene Daten der besonderen Kategorien im Sinne von Artikel 8 in neu anzulegenden Dateien verarbeitet werden sollen oder sonst spezifische Risiken für die Grundrechte und Grundfreiheiten bestehen. Da nicht ausgeschlossen werden kann, dass eilbedürftige Ermittlungsmaßnahmen wie beispielsweise Formen der Rasterfahndung von dieser Bestimmung erfasst werden, sollte anstelle der Vorabkontrolle zumindest bei Gefahr im Verzug eine nachträgliche Unterrichtung der Aufsichtsbehörde genügen.
24. Die Delegationsregelung für den Erlass von Durchführungsbestimmungen in Artikel 27 Absatz 3 des Richtlinienvorschlags enthält unbestimmte Rechtsbegriffe ("erforderlichenfalls", "situationsabhängige Konkretisierung"), die das Ausmaß der auf die Kommission zu übertragenden Rechtsetzungsgewalt kaum bestimmbar machen und daher abzulehnen sind.
25. Die in Artikel 28 des Richtlinienvorschlags geregelte Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde erscheint insbesondere mit Blick auf die Abkopplung von berechtigten Schutzinteressen der betroffenen Person nicht sachgerecht. Darüber hinaus ist die (viel zu) weitgehende Delegation der Rechtsetzungsbefugnis an die Kommission in Artikel 28 Absatz 5 des Richtlinienvorschlags abzulehnen.

Zu Artikel 37

26. Der Bundesrat ist der Auffassung, dass die Verpflichtung zur Einhaltung von Verfügungsbeschränkungen dem Empfänger der Daten aufzuerlegen ist. Die Regelung des Artikels 37 des Richtlinienvorschlags ist weder effektiv noch verlässlich und selbst bei außerordentlich hohem Verwaltungs- und damit Zeit- und Kostenaufwand praktisch kaum umsetzbar.

Zu Artikel 44

27. Der Bundesrat erachtet es für erforderlich, die Reichweite der Kontrollbefugnisse der Aufsichtsbehörden im Hinblick auf gerichtliche Tätigkeiten in Artikel 44 Absatz 2 des Richtlinienvorschlags zu präzisieren. Gemäß Artikel 44 Absatz 2 soll die Aufsichtsbehörde nicht für die Überwachung der von Gerichten im Rahmen ihrer gerichtlichen Tätigkeit vorgenommenen Verarbeitungen zuständig sein. Ausweislich des Erwägungsgrunds 55 soll die Regelung die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Tätigkeit garantieren. Diesem Zweck wird nach dem Wortlaut des Artikels 44 Absatz 2 jedoch nicht umfassend Rechnung getragen. Jedenfalls erscheint es nach dem Richtlinienvorschlag möglich, dass die Datenschutzbeauftragten insoweit im richterlichen Bereich Kontrollkompetenzen beanspruchen, als die richterliche Zuständigkeit national ausschließlich durch einfaches Recht eröffnet ist, wie etwa in Teilbereichen ermittlungsrichterlicher Funktion und bei den Aufgaben des Vollstreckungsleiters. Mit dem deutschen Verfassungsverständnis wäre es unvereinbar, Aufsichtsbehörden Kontrollkompetenzen im richterlichen Bereich zu eröffnen, unabhängig davon, ob Datenverarbeitungen richterlich angeordnet, bestätigt oder für zulässig erklärt wurden. Entsprechendes gilt auch für Maßnahmen informeller Art, wie etwa Empfehlungen oder fallbezogene Vorhaltungen sowohl in laufenden Verfahren als auch nach deren Abschluss.
Es ist daher geboten, dass in Übereinstimmung mit dem das Grundgesetz prägenden Gewaltenteilungsprinzip Artikel 44 Absatz 2 des Richtlinienvorschlags dahingehend ergänzt wird, dass die Aufsichtsbehörde nicht zuständig ist, wenn Datenverarbeitungen gerichtlich angeordnet, bestätigt oder für zulässig erklärt wurden.

Zu Artikel 46 und 53

28. Artikel 46 des Richtlinienvorschlags sieht vor, dass die Mitgliedstaaten die Aufsichtsbehörden mit weitreichenden Kompetenzen ausstatten.
Zu diesen sollen nicht nur Untersuchungsbefugnisse gehören, sondern auch wirksame Einwirkungsbefugnisse. Diese sollen insbesondere eine Befugnis der Aufsichtsbehörden umfassen, die Beschränkung, Löschung oder Vernichtung von Daten anzuordnen. Derart weitreichender Einwirkungsbefugnisse bedarf es nicht, weil die Strafverfolgungsbehörden an Gesetz und Recht gebunden und gerichtlicher Kontrolle unterworfen sind. Sie wären zudem geeignet, die Arbeit der Strafverfolgungsbehörden erheblich zu beeinträchtigen.

Die Befugnisse der in Kapitel VI des Richtlinienvorschlags vorgesehenen Aufsichtsbehörde sollten auf allgemeine Überprüfungen der Datenverarbeitungssysteme der Staatsanwaltschaften beschränkt und Einzelfallprüfungen ausgeschlossen werden.

Datenschutzverletzungen im Einzelfall können durch gerichtliche Überprüfungen nach Maßgabe der Strafprozessordnung und im Wege der Dienstaufsicht (§ 147 GVG) angemessen aufgegriffen und entschieden werden. Überprüfungen in Einzelfällen durch Aufsichtsbehörden im Sinne des Richtlinienvorschlags stellen dagegen einen systemfremden Eingriff in die Strafverfolgung dar. Es ist eine Grundaufgabe für Staatsanwaltschaften und Gerichte, bei Eingriffen jeglicher Art und Tiefe in die Grundrechte von Betroffenen sachgerechte Abwägungen, die gegebenenfalls durch die Instanzen angefochten werden können, vorzunehmen und diese zu begründen. Eingriffe in diese Entscheidungsprozesse der dem Legalitätsprinzip verpflichteten, an die Strafprozessordnung und die Grundrechte gebundenen und unter der Kontrolle der Gerichte stehenden Staatsanwaltschaften durch unabhängige Aufsichtsbehörden, die keiner Kontrolle unterstehen, stellen einem nicht erkennbaren Gewinn an Datenschutz einen erheblichen Verlust an Rechtssicherheit gegenüber. Eine unabhängige Aufsichtsbehörde zur Durchsetzung eines einzelnen Grundrechts im Ermittlungsverfahren ist ein Fremdkörper. Der Bundesrat spricht sich daher dafür aus, dass die einschränkende Regelung in Artikel 44 Absatz 2 des Richtlinienvorschlags auf die Ermittlungstätigkeit von Staatsanwaltschaften erweitert wird.
29. Der Bundesrat steht auch dem in Artikel 53 Absatz 2 und Artikel 46 Buchstabe c des Richtlinienvorschlags vorgesehenen Klagerecht der Aufsichtsbehörden ablehnend gegenüber. Die sonstigen Untersuchungs- und Einwirkungsbefugnisse der Aufsichtsbehörde nach Artikel 46 des Richtlinienvorschlags sind zur Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Rechtsvorschriften - auch unter Berücksichtigung der Ausführungen zu Artikel 26 - ausreichend. Die Datenschutzbeauftragten haben in Deutschland darüber hinaus erheblichen Einfluss durch ihre Tätigkeitsberichte, in denen sie die Ergebnisse ihrer Kontrolltätigkeit festhalten und Verbesserungen des Datenschutzes vorschlagen. Die Anrufung eines Gerichts ist daher nicht erforderlich.
30. Der Bundesrat steht der Einführung eines Klagerechts für Datenschutzbehörden und Verbände kritisch gegenüber.
31. Artikel 53 Absatz 1 des Richtlinienvorschlags soll es den Datenschutzverbänden erlauben, im Namen der betroffenen Personen Klage gegen die datenverarbeitende Behörde oder die Aufsichtsbehörde zu erheben. Es ist jedoch nicht ersichtlich, dass eine solche Befugnis erforderlich wäre, um Individualrechte ausreichend zu schützen. Das Verwaltungsprozessrecht sieht die Möglichkeit, sich vor Gericht durch Verbände vertreten zu lassen, nur ausnahmsweise in besonderen Sachgebieten vor (§ 67 Absatz 2 Nummer 6 VwGO). Für das Datenschutzrecht ist allerdings nicht evident, dass die von einer Rechtsverletzung Betroffenen bei einer Klage der Unterstützung durch einen Datenschutzverband bedürften, und nicht stattdessen einen der gesetzlich vorgesehenen Bevollmächtigten, insbesondere einen Rechtsanwalt, beauftragen könnten.
32. Den für die Kontrolle der Einhaltung der Datenschutzvorschriften zuständigen Behörden sind hoheitliche Befugnisse gesetzlich zugewiesen, die es ihnen ermöglichen, bei Verstößen unmittelbar gegenüber Dritten tätig zu werden ( § 38 Absatz 5 BDSG) und Anordnungen erforderlichenfalls durch Maßnahmen des Verwaltungszwangs durchzusetzen. Die Anrufung eines Gerichts ist daher überflüssig. Die Einführung einer Verbandsklage kommt aus Sicht des Bundesrates - wenn überhaupt - allenfalls insoweit in engen Grenzen in Betracht, als die Durchsetzung zivilrechtlicher Ansprüche gegen die Verursacher datenschutzrechtlicher Rechtsverletzungen effektiver gestaltet werden soll. Die Einführung einer Verbandsklage im öffentlichrechtlichen Bereich ist aus grundsätzlichen systematischen Erwägungen abzulehnen, da ein solches Klagerecht dem elementaren Grundsatz des nationalen Verwaltungsprozessrechts widerspricht ( § 42 Absatz 2 VwGO), wonach regelmäßig nur eine Verletzung eigener subjektiver Rechte geltend gemacht werden kann. Für eine solche Regelung besteht auch kein Bedürfnis, da sich jeder Betroffene und auch jeder Verband bei Verdacht eines Verstoßes gegen Datenschutzvorschriften an den zuständigen Datenschutzbeauftragten wenden kann.

Zu Artikel 57 und 60

33. Angesichts des sensiblen Regelungsgegenstandes sollte in Artikel 57 Absatz 2 und 3 des Richtlinienvorschlags jeweils eingefügt werden, dass in Anwendung des Artikels 5 Absatz 4 Buchstabe b der Verordnung Nr. (EU) Nr. 182/2011 ohne eine Stellungnahme des Ausschusses der vorgesehene Durchführungsrechtsakt von der Kommission nicht erlassen werden darf.
34. Der Zwang zur Abänderung bestehender bi- oder multilateraler Polizeiabkommen in Artikel 60 des Richtlinienvorschlags berührt die Regelungen der Wiener Vertragsrechtskonvention sowie die außenpolitische Kompetenz der Mitgliedstaaten. Artikel 351 AEUV sieht vor, dass die Mitgliedstaaten alle geeigneten Mittel anwenden, um eventuelle Unvereinbarkeiten geschlossener Übereinkünfte mit den EU-Verträgen zu beheben. Die rigide Formulierung des Artikels 60 des Richtlinienvorschlags wird insofern kritisch betrachtet. Eine Ausgestaltung als "sunsetclause" wäre zu prüfen.

Allgemeines

35. Der Bundesrat wiederholt seine bereits in seinem Beschluss vom 25. November 2005, BR-Drucksache 764/05(B) , geäußerte Forderung, dass bei der Ausgestaltung des Richtlinienvorschlags im Einzelnen insgesamt keine zusätzlichen bürokratischen Einrichtungen und Anforderungen geschaffen werden und unnötiger Personal- und Kostenaufwand in den Mitgliedstaaten verhindert wird. Der Bundesrat bittet die Bundesregierung, darauf hinzuwirken, dass die sich für die Mitgliedstaaten ergebenden Mehrbelastungen auf das unbedingt notwendige Maß beschränkt werden.

Direktzuleitung der Stellungnahme an die Kommission

36. Der Bundesrat übermittelt diese Stellungnahme direkt an die Kommission.

*. Erster Beschluss des Bundesrates zu BR-Drucksache 051/12 (PDF) vom 30. März 2012, BR-Drucksache 051/12(B) .