Die EU-Datenschutzrichtlinie für Polizei und Justiz wird im Schatten der europäischen Datenschutzgrundverordung verhandelt. Wird unser Recht auf Privatsphäre geschützt oder droht mehr Überwachung?

Inhalt: Neuer Datenschutz für Polizei und Justiz bis Ende 2015 | Kriminalität und Zugriff auf persönliche Daten | Überwachung oder Datenschutz? | Edward Snowden: Nichts ist sicher | Geltungsbereich der Richtlinie | Privatisierte Strafverfolgung | Erfassung sensibler Daten: Gewerkschaftszugehörigkeit, Religion, ethnische Zugehörigkeit, medizinische Daten | Datentransfer in Drittländer | Prinzipien des Datenschutzes in Gefahr | Wir fordern wirksamen Datenschutz in Europa! | Das können Sie tun | Kritische Positionen zur Richtlinie | Weiterführende Artikel
Lizenz: CC BY SA 4.0

Neuer Datenschutz für Polizei und Justiz bis Ende 2015

Die EU-Richtlinie für Justiz und Inneres (JI-Richtlinie) ist Teil der seit 2012 durchgeführten umfassenden Reform des europäischen Datenschutzes. Die neue Datenschutz-Richtlinie soll den Datenschutz für die Erhebung, Speicherung, Weitergabe und Verarbeitung für Polizei, Justiz und Inneres europaweit vereinheitlichen und damit den Rahmenbeschluss 2008/977/JI ersetzen. Die Richtlinie ist unter den Ländern der EU umstritten, weil einige Staaten bestimmte Ermittlungsbehörden und Geltungsbereiche aus den Regulierungen herausnehmen wollen und weil anderen Ländern der Datenschutz sogar zu weit geht. Gegenwärtig verhandeln das Parlament, der Rat und die Kommission in einem nicht transparenten Trilog über die Richtlinie. Das EU-Parlament und die Kommission wollen die Richtlinie zusammen mit der Europäischen Datenschutzgrundverordnung als Paket bis Ende 2015 verabschieden. Danach werden die Anforderungen der Richtlinie in nationales Recht umgesetzt.

Dokumente: Datenschutz-Richtlinie für Justiz und Inneres – Entwurf vom September 2015 von EU-Parlament und EU-Rat (englischsprachiges PDF), Entwurf von 2012 (deutschsprachiges PDF)

Kriminalität und Zugriff auf persönliche Daten

Die EU-Richtlinie für Polizei und Justiz wird die Verarbeitung personenbezogener Daten regeln, die zur Untersuchung, Aufdeckung und Verfolgung von Straftaten genutzt werden sollen. Sie gibt einen Rahmen vor, wie und wann Behören, Gerichte und andere Organisationen bestimmte Daten zur Strafverfolgung erheben und nutzen können. Der Rat der Europäischen Union hat in seiner Version der Richtlinie den Geltungsbereich darüber hinaus erweitert. Danach sollen Daten auch genutzt werden können für Sicherheitsmaßnahmen zur Prävention von Bedrohungen der öffentlichen Sicherheit. Laut Entwurf der Kommission von 2012 sollen personenbezogene Daten gespeichert und verarbeitet werden,

…um sich ein Bild der kriminellen Erscheinungen und Trends machen [zu können], Erkenntnisse über Netzwerke der organisierten Kriminalität sammeln und Verbindungen zwischen verschiedenen aufgedeckten Straftaten herstellen zu können. (S. 19)

Überwachung oder Datenschutz?

Die Richtlinie wird die erste rechtliche Regulierung sein, die in der gesamten Europäischen Union umfassend vorgibt, unter welchem Datenschutz Justiz und Polizei personenbezogene Daten bearbeiten müssen. Die Richtlinie wird entscheiden, welche Richtung die Zukunft des Datenschutzes in besonders sensiblen Bereichen in der ganzen EU einschlagen wird. Im Kern geht es um die Verteilung von Befugnissen, Rechten und Pflichten zwischen Ermittlungsbehörden, privaten Datenverwaltern und der Bevölkerung. Je nachdem, wie diese Richtlinie verfasst und umgesetzt sein wird, wird es in der Zukunft in Europa mehr Datenschutz oder mehr Schlupflöcher und Überwachung geben.

Edward Snowden: Nichts ist sicher

Jede Gesetzgebung, die Bedingungen für den Datenschutz und die Datenverarbeitung festlegt, ist abhängig von der Gesamtsituation der vernetzten, digitalen Datenverarbeitung: Nach den Enthüllungen von Edward Snowden über die Spionageprogramme der US-amerikanischen, britischen, neuseeländischen, australischen und kanadischen Geheimdienste (Five Eyes), muss davon ausgegangen werden, dass auch Geheimdienste und organisierte Kriminelle, Daten, die für Strafverfolgung erhoben werden, mitlesen, verkaufen oder manipulieren.

Hoher Datenschutz genügt nicht

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (im folgenden Konferenz) kritisiert in einem Kernpunktepapier für die Trilogverhandlungen der Datenschutz-Richtlinie im Bereich von Justiz und Inneres den in der Richtline bis dato angedachten Schutzbedarf von Daten als nicht ausreichend. Die Konferenz fordert, dass das Schutzniveau von „verfügbarer“ Technik auf „Stand der Technik“ angehoben werden muss. Der Europäische Datenschutzbauftragte kritisiert den Datenschutz in den bisherigen Entwürfen als „sehr unangemessen gering“ und fordert für die Privatsphäre ein „hohes Schutz-Niveau“. (EDSB Opinion 6/2015, S. 4).
Beide Positionen gehen nicht weit genug, denn Privatsphären werden nicht auf hohem Niveau angegriffen, sondern auf absolut höchstem Niveau von Technik und politischer Macht. Darum muss das Grundrecht auf Privatsphäre auch auf höchst möglichem Schutzniveau verteidigt werden.

Geltungsbereich der Richtlinie

Sowohl der Europäische Datenschutzbeauftrage, als auch die Konferenz der Datenschutzbeauftragten von Bund und Länder fordern eine strikte Begrenzung des Geltungsbereichs der Richtlinie auf die Datenverarbeitung von Justiz und Inneres, die besondere Regulierung benötigt. Geregelt wird das in Kapitel I der Richtlinie.
Im Gegensatz dazu hat der Rat in seinem Entwurf vorgeschlagen, den Schutz und die Gefahrenabwehr vor Bedrohungen des öffentlichen Sektors in den Geltungsbereich der Richtlinie aufzunehmen. Das würde umfassen: Polizeieinsätze auf Demonstrationen, Sportveranstaltungen, Unruhen und vieles mehr. (EDSB
Opinion 6/2015, S. 5).
Der Europäische Datenschutzbeauftragte warnt davor, dass Angelegenheiten der nationalen Sicherheit ungenau definiert sind und befürchtet, dass diese Ausnahmen verwendet werden könnten, um Daten außerhalb der Reichweite von Datenschutz-Regeln im Namen der nationalen Sicherheit zu verarbeiten. (EDSB Opinion 6/2015, S. 6)
Der Geltungsbereich der Richtlinie muss strikt beschränkt bleiben auf den Bereich der polizeilichen und juristischen Strafverfolgung und darf keine Rechtslücken aufweisen.

Privatisierte Strafverfolgung

Die Richtlinie könnte, je nach Endfassung, private Unternehmen als private Strafverfolgungs-Organisationen behandeln und ihnen entsprechende Rechte und Pflichten einräumen. Das betrifft beispielsweise Fluggesellschaften, Telekommunikationsanbieter und Finanzinstitute, die gesetzlich verpflichtet sind, bestimmte Daten aus technischen und buchhalterischen Gründen zu speichern. Diese Daten werden nicht zu Zwecken der Strafverfolgung erhoben und darum darf die Richtlinie auf keinen Fall dafür sorgen, dass sie für das Verhindern, Aufklären, Auffinden oder Vollziehen von Kriminalität verwendet werden können. Privatisierte Strafverfolgung wäre eine inakzeptable Ausweitung von Überwachungsmaßnahmen. Hier droht eine europaweite Vorratsdatenspeicherung quer durch alle Bereiche der Gesellschaft. Darum muss die Richtlinie beschränkt bleiben auf öffentliche Einrichtungen der Polizei und Justiz. Grundlage dafür ist die Definition des Begriffs „competent authority“ in Präambel Punkt 11 im Entwurf der Richtlinie (Seite 5 und EDSB Opinion 6/2015, S. 6).

Erfassung sensibler Daten

Gewerkschaftszugehörigkeit, Religion und Ethnie

Artikel 8 wird in größerem oder geringerem Umfang EU-Mitgliedsstaaten erlauben sensible persönliche Daten zu verarbeiten. Dazu gehören: ethnische Zugehörigkeit, politische Meinung, Religionszugehörigkeit, Weltanschauung, Gewerkschaftsmitgliedschaft sowie Gesundheitsdaten und Daten über das Sexualleben. Verarbeitet können diese Daten werden, wenn das notwendig ist für den Schutz von wesentlichen Interessen von Personen oder, wenn es sich um Daten handelt, die von der betroffenen Person öffentlich gemacht worden sind. In einem Entwurf des Rats von Juni 2015 (S. 62) ist zusätzlich eine Ausnahme zur Verabeitung dieser Daten enthalten, bei Bedrohung der öffentlichen Sicherheit, wobei genaueres nicht definiert ist. Diese Ausnahmeregelungen enthalten erhebliches Missbrauchspotential und müssen daher präziser und enger gefasst werden, wie vorgeschlagen von European Digital Rights.

Medizinische Daten

Laut Punkt 17 in der Präambel sollen folgende Gesundheitsdaten erhoben werden: Die psychische und physische Verfassung aus Vergangenheit, Gegenwart und Zukunft (beispielsweise das Risiko zu Erkranken), sowie jegliche Informationen über Krankheiten, Behinderungen, Zahlungen oder Behandlungsverläufen.
Auch die Genstruktur der sogenannten „data subjects“ soll erfasst werden. Definiert wird „genetic data“ (Seite 10 (16a) im Entwurf des Rates als all jene Daten, die auf vererbte oder erlangte genetische Charakteristiken einer Person zurückzuführen sind (DNA, RNA, Chromosomen). Diese können Informationen über die Physiologie und Gesundheit preisgeben, zum Beispiel über die Analyse von Blut (siehe auch Definitionen in Artikel 3).
Diese Daten könnten unter anderem für eine europaweite Vernetzung von Gen- und Fingerabdruckdatenbanken genutzt werden.

Datentransfer in Drittländer

Zur Prävention und Bekämpfung von Kriminalität soll die Richtlinie einen Datenaustausch zwischen Mitgliedsstaaten ermöglichen, aber auch über die Grenzen der Europäischen Union hinaus und Datentransfers an internationale Organisationen möglich machen. Geregelt wird das in Kapitel V der Richtlinie: Problematisch dabei ist, dass persönliche Daten auf unsicheren Wegen in Länder exportiert werden, in denen sie in der Praxis keinem angemessenen Datenschutz unterliegen.

Einer der besorgniserregendsten Aspekte ist, dass Artikel zum Datentransfer (u.a. Artikel 7), je nach Ausgestaltung, erlauben könnten, dass massiv Daten von Strafverfolgungsbehörden innerhalb der Mitgliedsstaaten (im Geltungsbereich der Richtlinie) an die entsprechenden nationalen Geheimdienste (nicht im Geltungsbereich der Richtlinie) bewegt werden könnten. (EDRi: Data Protection Directive on law enforcement: The loopholes, Übersetzung: Digitalcourage)

Vor dem Hintergrund, dass einige nationale Geheimdienste Daten international tauschen, wäre das eine riesige Hintertür in einer Richtlinie, die Daten schützen soll. Zuletzt äußerte sich der Europäische Gerichtshof zu diesem Problem im sogenannten „Safe Harbor“-Urteil: Bis zu diesem Urteil regelte das „Safe Harbor“-Datenschutzabkommen den Transfer von Daten aus der EU in die USA. Im Oktober 2015 erklärte der Europäische Gerichtshof in einem Urteil zum Max Schrems-Fall das „Safe Harbor“-Abkommen für ungültig.

Der Europäische Datenschutzbeauftragte empfiehlt darum eine Überarbeitung von Kapitel V der Richtline (EDSB Opinion 6/2015, S. 7).
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordern, dass Übermittlungen an Behörden und Gerichte in Drittstaaten transparent gemacht werden. Außerdem sollen Abwägungen in Einzellfällen überprüfbar dokumentiert sein (Kernpunktepapier S. 8).

Prinzipien des Datenschutzes in Gefahr

Die folgenden Punkte sind grundlegende Prinzipien des Datenschutzes, die durch die Richtlinie gestärkt werden müssen, damit die Richtlinie dem Anspruch von Artikel 8 der EU-Grundrechte-Charta „Schutz personenbezogener Daten“ gerecht wird:

Schutz bestimmter Personengruppen

Die Konferenz der deutschen Datenschutzbeauftragten fordert, dass „Daten bestimmter Personengruppen (Zeugen, Opfer, Kontaktpersonen etc.) unter strengeren Voraussetzungen mit kürzeren Fristen gespeichert werden und dass darüber hinaus Daten anderer Personen, die nicht einer Straftat verdächtig sind, entweder gar nicht oder nur in sehr begrenzten Fällen gespeichert werden dürfen.“ (Kernpunktepapier S. 5). Dieses Recht auf den Schutz der persönlichen Daten wird geregelt in Artikel 5 in Kapitel II des Entwurf der Richtlinie des Europäischen Parlaments. Im Entwurf des Rats ist Artikel 5 gestrichen.

Bürgerinnen und Bürger müssen darauf vertrauen können, nicht in polizeilichen Dateien erfasst zu werden, wenn sie keinen Anlass für eine polizeiliche Speicherung gegeben haben. (…) Wer beispielsweise Opfer oder Zeuge einer Straftat war, muss darüber hinaus darauf vertrauen können, dass seine Daten nur beschränkt und unter strengen Voraussetzungen von Polizeibehörden verarbeitet werden dürfen. (Kernpunktepapier Datenschutzkonferenz S.2)

Zweckbindung

Daten werden im Bereich Polizei und Justiz erhoben, um einen bestimmten Zweck zu erfüllen. Diese Zweckbindung muss konkret formuliert sein, damit Daten nicht für andere Zwecke verwendet werden können. Die Konferenz deutscher Datenschutzbeauftragten fordert, dass die gegenwärtig vorgeschlagene Zweckbindung in der Richtlinie (Artikel 4 Abs. 1) „insgesamt strikter gefasst“ werden muss. Die Richtlinie setzt auch für die Zweckbindung den Rahmen für die Umsetzung in die nationale Gesetzgebung des jeweiligen Landes. Dieser Rahmen darf nicht so weit gefasst sein, dass die Zweckbindung praktisch auf nationaler Ebene aufgelöst werden kann. Auf keinen Fall dürfen Daten, deren Umgang diese Richtlinie regelt, für alle Zwecke verwendet werden, die in der Richtlinie angeführt werden (Kernpunktepapier S. 4.)
In den Trilogverhandlungen muss unbedingt eine datenschutzgerechte und effektive Zweckbindung in die Richtlinie eingearbeitet werden.

Kontrolle durch unabhängige Instanzen

Datenschutz hat zum Ziel die Persönlichkeits- und Freiheitsrechte aller Menschen zu schützen. Das ist nur möglich, wenn wirksamer Datenschutz nicht nur in Gesetzen garantiert ist, sondern, wenn die zuständigen Behörden und Organisationen mit ausreichenden finanziellen und personellen Ressourcen und weitreichenden Befugnissen (Artikel 46) ausgestattet sind. Darüber hinaus fordert die Konferenz, dass in gesetzgebenden Verfahren weitsichtige Datenschutz-Folgeabschätzung durchgeführt werden müssen. Außerdem muss die Position von Datenschutzbeauftragten in Polizei und Justiz maßgeblich gestärkt werden (Kernpunktepapier S. 7 und S.8).

Auskunftsrechte und Benachrichtigungspflichten

Zum Schutz persönlicher Daten nach Artikel 8 der EU-Menschenrechts-Charta betont der Europäische Datenschutzbeauftragte Auskunftsrechte und Benachrichtigungspflichten. Diese werden in Kapitel III der Regulierung geregelt: Informieren der betroffenen Person über die Verarbeitung ihrer persönlichen Daten, Einsicht in die Daten, Möglichkeit die Löschung, Berichtigung oder Untersagung der Verwendung von Daten einzufordern. Entscheidungen müssen immer schriftlich begründet werden. Diese Auskunftsrechte und Informationspflichten müssen unbedingt explizit in der Richtlinie garantiert sein. Der Europäische Datenschutzbeauftragte kritisiert den Entwuf des Rates sehr stark, in dem diese Rechte extrem eingeschränkt sind. (EDSB Opinion 6/2015, S. 7).

Recht auf Korrektur, Löschung und Aktualität

Die Rechte der betroffenen Personen werden in Kapitel III der Richtlinie festgehalten. Darüber hinaus steht in Kapitel II, Artikel 4 (siehe auch S. 13 (24)) des Rats Entwurfs, dass unvollständige, veraltete oder falsche Daten gar nicht erst übermittelt oder zugänglich gemacht werden, da sie immer einem Up-to-Date-Status unterliegen sollten. Das Recht auf Korrektur oder Löschung (Artikel 15) wäre somit strittig, wie Heise online im Juli 2015 berichtete. Artikel 12 bestätigt hingegen die Auskunftsrechte der Europäischen Datenschutzbeauftragten, indem hier das Recht eingeräumt wird, eine Beschwerde an die jeweilige Behörde zu schicken, wonach die Behörde in der Verpflichtung steht, der betroffenen Person von der Verarbeitung und dem Ergebnis der Beschwerde zu berichten (siehe auch Präambel Punkt 60).

Wir fordern wirksamen Datenschutz in Europa!

  • Belange der nationalen Sicherheit dürfen kein Argument werden, um den Datenschutz und Grundrechte auszuhebeln.
  • Alle Grundprinzipien des Datenschutzes müssen in der Richtlinie gestärkt werden.
  • Entscheidend für das Datenschutzniveau der Richtlinie ist eine wirksame und enge Zweckbindung für die Verarbeitung von personenbezogenen Daten, wie sie in der EU-Grundrechtscharta festgelegt ist, so wie ein präziser Geltungsbereich, der keine Schlupflöcher für den Transfer von Daten zulässt.
  • Die im Rahmen der EU-Richtlinie erhobenen Daten dürfen nicht für Big Data-Anwendungen und Predictive Policing verwendet werden.
  • Die Richtlinie darf keine Ausnahmeregelungen für bestimmte Behörden oder Geheimdienste enthalten und auch keine Schlupflöcher für private Strafverfolgung.
  • Unbedingt notwenig ist die höchstmögliche Datensicherheit in Technik und Verwaltung im Umgang mit sensiblen, persönlichen Daten.
  • Nachdem der Europäische Gerichtshof das „Safe Harbor“-Abkommen für ungültig erklärt hat, muss jede neue Gesetzgebung berücksichtigen, dass es keine Möglichkeiten gibt, Daten sicher in die USA zu übermitteln.
  • In der Richtlinie muss Artikel 5 nach dem Entwurf des Europäischen Parlaments enthalten sein.
  • Kompetente, unabhängige, umfangreich mit Befugnissen und Personal ausgestattete Datenschutzbeauftragte sind zwingend notwendig, um alle Arbeitsabläufe wie Erhebung, Verarbeitung, Auswertung, Weitergabe, Löschung und weiteres zu kontrollieren.
  • Bürgerinnen und Bürger brauchen wirksame Rechte zur Korrektur, Löschung und Aktualität Ihrer Daten.

Das können Sie tun

Kritische Positionen zur Richtlinie

Weiterführende Artikel

Sie möchten mehr Informationen zu diesem und weiteren Themen? Abonnieren Sie gern unseren kostenfreien Newsletter.

Digitalcourage wirkt – wirken Sie mit:
Werden Sie Fördermitglied bei Digitalcourage.

Text: Friedemann Ebelt, Svenja Falkowski
Titelbild: Montage aus: Steven Kay: OpenStreetMap GPS bulk data map of Europe CC BY SA 2.0 und MPD01605: EU Flagga CC BY SA 2.0

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld