Die Datenschutzrichtlinie für Polizei und Justiz schafft EU-weite Mindeststandars für den Austausch von Daten. Foto: "Polizei" von Alsterstar, CC BY-NC-ND 2.0, flicker.com

Sicherheitszusammenarbeit in Europa

EU-Datenschutzregeln für Polizei und Justiz

Erstellt am 18.01.2017

Dieser Beitrag wird neben weiteren Artikeln Teil unserer neuen Broschüre "Datenschutz im digitalen Zeitalter" sein, die im Januar 2017 erscheinen wird.

 

EU-weite Mindeststandards

Die EU-Mitgliedstaaten haben seit den 1980er Jahren eine immer engere Kooperation ihrer Strafverfolger vereinbart - wichtige Schritte auf diesem Wege waren unter anderem das Schengener Abkommen aus dem Jahr 1985 und der Vertrag von Prüm aus dem Jahr 2005. Dieser beinhaltet auch den Zugang zu den polizeilichen Datenbanken in anderen EU-Mitgliedstaaten. Solche gegenseitigen Zugangsmöglichkeiten, genau wie auch die gegenseitige Anerkennung von Haftbefehlen oder Ermittlungsanordnungen der EU-Mitgliedstaaten, brauchen gemeinsame Mindeststandards. Im Jahr 2008 wurden erstmals Regeln für den grenzüberschreitenden Austausch persönlicher Daten zwischen den Polizeibehörden vereinbart. Diese regelten aber noch nicht, wie die EU-Mitgliedstaaten ihr polizeiliches Datenschutzrecht innerstaatlich zu gestalten hatten - das war weiterhin ausschließlich ihnen alleine vorbehalten.

 

Seitdem der Lissabonner Vertrag aus dem Jahr 2009 in Kraft getreten ist, besitzt die EU eine umfassende Gesetzgebungskompetenz für den Datenschutz. Auf dieser Grundlage wurde im Jahr 2016 zusammen mit der Datenschutz-Grundverordnung auch eine Datenschutzrichtlinie für Polizei und Justiz beschlossen. Diese Richtlinie muss bis Frühjahr 2018 von den Mitgliedstaaten in nationales Recht umgesetzt werden. Sie gibt erstmals EU-weite Mindeststandards auch für die innerstaatliche Verarbeitung personenbezogener Daten durch die Strafverfolger vor.

 

Ziel der Richtlinie ist es, persönliche Daten bei der Verarbeitung durch Behörden zu schützen. Die Grundlagen ähneln den allgemeinen Datenschutzprinzipien. Dementsprechend muss eine Verarbeitung der Daten rechtmäßig und nur für den vorgesehenen Zweck geschehen. Außerdem darf eine Verabreitung nur stattfinden, wenn sie maßgeblich für den vorgesehenen Zweck ist. Sobald Daten nicht mehr notwendig sind, müssen sie gelöscht werden. Zudem muss die betroffene Person über die Vorgänge informiert werden, sobald dies nicht mehr die Ermittlungen gefährdet. Daten, die fälschlich erhoben worden sind, müssen gelöscht werden. Anders als bei der allgemeinen Datenschutz-Grundverordnung wird in der Richtlinie auch unterschieden zwischen Verdächtigen, Opfern, Zeugen und Verurteilten, weil deren Daten in unterschiedlichem Maße schützenswert sind.

 

Datenschutz über europäische Grenzen hinaus

Im Zuge der Strafverfolgung werden auch über EU-Grenzen hinaus persönliche Daten ausgetauscht. So gibt es bei der internationalen Polizeibehörde Interpol unter anderem Datenbanken gestohlener Fahrzeuge und Ausweise, gesuchter Personen, sowie für DNA-Daten von Tatorten oder Verdächtigen. Mit vielen Ländern außerhalb der EU bestehen bilaterale Rechtshilfeabkommen der Mitgliedstaaten, der gesamten EU und auch von der europäischen Polizeibehörde Europol. Außerdem wurden Abkommen mit den USA zur Massenauswertung von Finanztransaktionsdaten (SWIFT-Daten) und zur Rasterung und Speicherung von Fluggastdaten (Passenger Name Record, PNR) geschlossen. Ein PNR-Abkommen der EU gibt es ebenfalls mit Australien, ein bereits fertig verhandeltes PNR-Abkommen mit Kanada wurde vom Europäischen Parlament im Jahr 2015 dem Europäischen Gerichtshof zur Überprüfung vorgelegt.

 

Alle diese internationalen Abkommen erlauben den Austausch personenbezogener Daten - teilweise im Zuge einzelner Ermittlungen, teilweise massenhaft. Internationale Datenschutzstandards, die ein Mindestmaß an Schutz für die Betroffenen sicherstellen, gab es bisher nicht. Lediglich die Konvention 108 des Europarates (der mehr Mitgliedstaaten hat als die EU) verpflichtet die Vertragsparteien auf ein Mindestmaß an Datenschutzregeln auch im Polizeibereich. Ihr sind aber außerhalb Europas bisher nur Uruguay, der Senegal und Mauritius beigetreten.

 

Das Europäische Parlament hatte wegen des Umfangs der transatlantischen Datentransfers auch im Strafverfolgungsbereich bereits seit Jahren ein Datenschutzabkommen zwischen der EU und den USA gefordert. Seit März 2011 gab es dann wirklich Verhandlungen, die aber mühsam waren und zunächst nicht recht vorankamen. Erst durch die Enthüllungen von Edward Snowden im Sommer 2013 und der folgenden Eintrübung des transatlantischen Verhältnisses sah die US-Administration ein, dass sie sich beim Datenschutz auf die EU zubewegen muss. Im September 2015 war der Text des so genannten Rahmenabkommens (Umbrella Agreement) für den Datenschutz im Polizeibereich fertig verhandelt, das am 1. Dezember 2016 vom Europäischen Parlament final angenommen wurde.

 

Das Umbrella Agreement setzt unter anderem der Zweckbestimmung einer Datenverarbeitung, der Speicherdauer und der Weitergabe der Daten Grenzen. Es regelt außerdem einheitlich die Betroffenenrechte, etwa auf Information, Auskunft oder Löschung der Daten. Im Februar 2016 änderte der US-Kongress sogar den US Privacy Act, um auch EU-Bürgern und -Bürgerinnen die Möglichkeit zu geben, ihre Rechte auch vor Gerichten in den USA durchzusetzen.

Im nächsten Schritt müssen nun weitere Datenschutzabkommen der EU mit anderen Staaten folgen - wenigsten mit denen, die schon Abkommen mit der EU über den Austausch von Daten geschlossen haben.

 

Das Wichtigste zu Datenschutzregeln für Polizei und Justiz:

  • Bessere Zusammenarbeit der Strafverfolgerinnen und Strafverfolger über Grenzen hinweg braucht gemeinsame Mindeststandards für den Schutz der Betroffenen. Dazu gehört auch der Datenschutz.
  • Es gibt mit der Datenschutzrichtlinie für Polizei und Justiz seit dem Jahr 2016 erstmals ein EU-Gesetz, das solche Mindeststandards festlegt.
  • Ebenfalls im Jahr 2016 hat die EU mit dem Umbrella Agreement erstmals ein Abkommen mit den USA geschlossen, das den Datenschutz und damit auch Betroffenenrechte regelt, wenn im Zuge von polizeilicher Zusammenarbeit Daten über den Atlantik übermittelt werden. Der US-Kongress änderte dafür auf Drängen der EU sogar den Privacy Act.

Kommentare

Keine Kommentare

Kommentar hinzufügen
*
*

*
CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.

*