Brüssel an Strafverfolger: Es gibt ein Recht auf Privatsphäre

Grundsätze zum Datenschutz sollen Polizei und Justiz in der EU ins Gewissen reden

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

In einer sich noch in der Abstimmungsphase befindenden Entschließung zur Regelung der Datenverarbeitung im Rahmen der polizeilichen und justiziellen Zusammenarbeit in der Union will der Europäische Rat Strafverfolgern hehre Grundsätze zum Datenschutz mit in den Arbeitsalltag geben. Doch für Europol, BKA und andere Polizeibehörden hat das Papier in vielen Fällen nur Empfehlungscharakter. Denn zum Schutz der öffentlichen Sicherheit gelten Ausnahmeregeln.

Nachdem die Mitglieder der Europäischen Union jahrelang mit Übereinkommen zur Einrichtung eines europäischen Polizeiamtes (Europol), zur Rechtshilfe in Strafsachen (Europäisches Rechtshilfeabkommen verabschiedet) oder zum Zollinformationssystem die Möglichkeiten zur Erfassung, Speicherung und Verarbeitung personenbezogener Daten über nationale Grenzen hinweg stark erweitert und Ängste vor einer pauschalen Kriminalisierung der Bürger hervorgerufen haben, will Brüssel nun übergeordnete Datenschutz-Grundsätze in einer Entschließung des Europäischen Rates (Datenschutz) nachreichen. Einen entsprechenden Entwurf, der Telepolis vorliegt, hat die Gruppe "Informationssysteme und Datenschutz" des Rates Anfang März diskutiert. Momentan prüft der Ratsvorsitz die Stellungnahmen der Landesdelegationen.

Geregelt werden sollen mit dem Papier die Befugnisse zum Datensammeln der Strafverfolger im Bereich der polizeilichen und justiziellen Zusammenarbeit, der so genannten Dritten Säule der Union. Regeln zur Verarbeitung von Daten im privatwirtschaftlichen Bereich hat die Europäische Kommission mit einer entsprechenden Richtlinie 1995 aufgestellt. Der Rat betont in seinem Entwurf zunächst, dass das "Recht auf Privatsphäre einschließlich des Schutzes personenbezogener Daten ein Grundrecht natürlicher Personen" ist. Das werde von der Charta der Grundrechte der Euro-päischen Union anerkannt. Doch die Privatheit findet ihre Grenzen beim Wohl der Gemeinheit: Das Recht auf Privatsphäre, heißt es daher in dem Entwurf, kann eingeschränkt werden, "wenn der Schutz höherrangiger Interessen dies erfordert." Darunter fällt vor allem die Effizienz der Strafverfolgung, die durch die weiter unten aufgeführten Bürgerrechte nicht behindert werden darf, wie der Rat klarstellt.

Löschen, Berichtigen, Benachrichtigen – lauter hehre Prinzipien

Die Grundsätze selbst, die in dem knapp zehnseitigen Dokument aufgeführt werden, lesen sich zunächst wie aus der Feder eines echten Privacy-Advokaten. So sollten personenbezogenen Daten von der Polizei beispielsweise nur für "festgelegte, eindeutige und rechtmäßige Zwecke erhoben" und nur für diese Zwecke weiterverarbeitet werden. Belanglose und "unverhältnismäßige" Daten sollten nicht in die vernetzten Computersysteme der Strafverfolger wandern. Weiter erfolgt der dringende Hinweis, dass unzutreffende, nicht aktuelle oder unvollständige Datensätze "gelöscht oder berichtigt werden."

Klargestellt werden soll mit der Entschließung zudem, dass personenbezogene Daten in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, nicht länger gespeichert werden dürfen, als es für zweckdienliche Maßnahmen erforderlich ist. Es folgen Grundsätze der "Vertraulichkeit der Verarbeitung" von Daten, des "Auskunftsrechts und des Rechts auf Berichtigung", der "Verantwortlichkeit" sowie des "Rechts auf Unterrichtung". Demnach sollten personenbezogene Daten beispielsweise ohne gesetzliche Ermächtigung oder Verpflichtung nicht an Dritte weitergegeben werden. Betroffene Bürger sollten außerdem "frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten über die sie betreffenden verarbeiteten Daten unterrichtet" werden und falsche Bestände berichtigen oder ihre Löschung beantragen dürfen.

Die für die Datenverarbeitung Verantwortlichen werden in dem Entwurf nicht zuletzt aufgefordert, "geeignete technische und organisatorische Maßnahmen" zu treffen, um personenbezogene Daten "vor zufälliger oder unrechtmäßiger Zerstörung, zufälligem Verlust oder unberechtigter Weitergabe, Änderung, unberechtigtem Zugang und allen sonstigen Formen unrechtmäßiger Verarbeitung zu schützen." Im Artikel 14 wird außerdem vorgeschlagen, dass "eine Person im Falle einer unrechtmäßigen Verarbeitung von sie betreffenden Daten ein Recht auf Ersatz des ihr entstandenen Schadens" haben sollte.

Das "Kleingedruckte"

Wie sich an den das gesamte Grundsatzwerk durchziehenden Konjunktivformulierungen feststellen lässt, geht die Entschließung bisher allerdings über den Charakter einer unverbindlichen Empfehlung nicht hinaus. Bisher konnten sich die Ratsmitglieder nicht einmal darauf einigen, Vorschriften für Datenspeicher- bzw. Datenlöschfristen fest zu schreiben. Artikel 8 spricht von der "Möglichkeit", hier eine Regelung zu treffen. Die deutsche Delegation hat allerdings ihren Vorbehalt gegen diese vage Formulierung ausgesprochen.

Nicht durchsetzen konnten sich bisher auch die Italiener, die vorschlugen, die Verarbeitung sensibler Daten – vorbehaltlich minimaler Ausnahmen – generell zu verbieten. So formuliert der entsprechende Artikel weiterhin relativ beliebig: "Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung personenbezogener Daten über Gesundheit oder Sexualleben sind nur zulässig, wenn geeignete Garantien vorgesehen sind". Was unter solchen "Garantien" zu verstehen ist, verschweigen die Autoren des Entschließungsantrags.

Weitgehend unklar bleibt auch, wer die Einhaltung der Grundsätze kontrollieren und gleichsam die Überwacher überwachen soll. Das Papier spricht von "einer oder mehreren unabhängigen Kontrollbehörden der Mitgliedstaaten oder von einer gemeinsamen Behörde der Mitgliedstaaten". Prinzipiell sollte das noch zu schaffende Kontrollorgan die Korrektur oder Löschung von Daten überprüfen und Schadensersatzansprüche abklären können.

Zahnlose Grundsätze?

Die Schlüsselfrage bleibt angesichts der weitgehend sehr offenen Formulierungen, ob die Grundsätze nach ihrer Verabschiedung überhaupt praktische Auswirkungen auf die Datenverarbeitungspraktiken von Justiz und Polizei entfalten könnten.

Vor allem Europol ist in den vergangenen Jahren in die Kritik von Datenschützern geraten (Computer – Daten – Macht. Europols Weg zum "Euro-FBI"). Im Europol-Übereinkommen von 1998 wird den Den Haager Strafverfolgern gestattet, eine stattliche Anzahl von Daten in Analysesystem der Behörde zu speichern. So finden nicht nur Informationen über Straftäter und Verdächtige Eingang in die Europol-Computer, sondern auch über potenzielle Täter, tatsächliche oder mögliche Zeugen, Opfer und "zukünftige Opfer". Selbst Angaben über "Risikogruppen", die Kontakte zu Kriminellen haben könnten, dürfen gesammelt werden. Häufig sollen zudem nicht nur die zur Identitätsfeststellung unbedingt nötigen Daten erfasst werden, sondern auch Informationen über Lebensweise, Religion sowie sexuelle Gewohnheiten und Orientierung. Richterlicher oder staatsanwaltlicher Anordnungen bedarf die Einladung zum unbegrenzten Datensammeln nicht.

Datenschützer haben daher bereits Zweifel daran erhoben, ob die vorgesehenen wechselseitigen Datenübermittlungen zwischen Europol und nationalen Polizeistellen mit den damit verbundenen Grundrechtseingriffen für deutsche Bürger ausreichend legitimiert sind. Als potenziell verfassungswidrig und mit dem in Deutschland geltenden Grundrecht auf informationelle Selbstbestimmung nicht vereinbar wurde das Europol-Übereinkommen bereits kritisiert.

Für Thilo Weichert, Stellvertreter des Landesbeauftragten für Datenschutz in Schleswig-Holstein, tendiert der Datenschutz bei der Den Haager Behörde bisher gegen Null. Das Europol-Computersystem, das bis zum Ende des Jahres Profile von über einer Million aufnehmen und miteinander verknüpfen können soll, eignet sich seiner Meinung nach "vorzüglich" als "Datenwaschanlage", mit der nationale Datenschutzbestimmungen umgangen werden können.

Ob die Entschließung des Rates die Bedenken der Datenschützer besänftigen kann? Die Verfasser des Entwurfs weisen darauf hin, dass"Ausnahmen oder Abweichungen von diesen Grundsätzen vorgesehen werden." Zum Beispiel, wenn es um Maßnahmen "zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit sowie der Währungsinteressen des Staates oder zur Bekämpfung von Straftaten" geht. Für Europol und Co. dürfte damit letztlich Vieles beim Alten bleiben.