EUROPÄISCHER DATENSCHUTZBEAUFTRAGTER · Dudgeon, A45, Nr. 7525. des Dudgeon-Urteils erfüllt. Die...

I

(Mitteilungen)

EUROPÄISCHER DATENSCHUTZBEAUFTRAGTER

Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Richtliniedes Europäischen Parlaments und des Rates über die Vorratsspeicherung von Daten, die bei derBereitstellung öffentlicher elektronischer Kommunikationsdienste verarbeitet werden, und zur

Änderung der Richtlinie 2002/58/EG (KOM(2005) 438 endg.)

(2005/C 298/01)

DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE —

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 286,

gestützt auf die Charta der Grundrechte der Europäischen Union, insbesondere auf Artikel 8,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freienDatenverkehr (1) und auf die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in derelektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (2),

gestützt auf die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Datendurch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (3), insbesondere aufArtikel 41,

gestützt auf das am 23. September 2005 eingegangene Ersuchen der Kommission um Stellungnahmenach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 —

HAT FOLGENDE STELLUNGNAHME ANGENOMMEN:

I. Einleitung

1. Der Europäische Datenschutzbeauftragte (European DataProtection Supervisor, im Folgenden EDPS genannt) begrüßtes, dass er nach Artikel 28 Absatz 2 der Verordnung (EG)Nr. 45/2001 konsultiert wird. Da es sich bei Artikel 28Absatz 2 der Verordnung (EG) Nr. 45/2001 um eine

zwingende Vorschrift handelt, sollte die vorliegende Stellung-nahme jedoch in der Präambel der Richtlinie erwähnt werden.

2. Der EDPS sieht ein, dass die Strafverfolgungsbehördender Mitgliedstaaten insbesondere zur Bekämpfung vonTerrorismus und anderen schweren Straftaten über alleerforderlichen Rechtsinstrumente verfügen müssen. Die aus-

29.11.2005 DE Amtsblatt der Europäischen Union C 298/1

(1) ABl. L 281 vom 23.11.1995, S. 31.(2) ABl. L 201 vom 31.7.2002, S. 37.(3) ABl. L 8 vom 12.1.2001, S. 1.

reichende Verfügbarkeit bestimmter Verkehrs- und Stand-ortdaten öffentlicher elektronischer Dienste kann für dieseStrafverfolgungsbehörden ein Instrument von zentralerBedeutung sein und zur physischen Sicherheit von Personenbeitragen. Es ist allerdings darauf hinzuweisen, dass dies nichtdie Notwendigkeit der im gegenwärtigen Vorschlag vorge-sehenen neuen Instrumente stillschweigend impliziert.

3. Es ist offensichtlich, dass der Vorschlag erheblicheAuswirkungen auf den Schutz personenbezogener Datenhat. Betrachtet man den Vorschlag ausschließlich aus der Sichtdes Datenschutzes, so sollten Verkehrs- und Standortdatenüberhaupt nicht zum Zwecke der Strafverfolgung auf Vorratgespeichert werden. In der Richtlinie 2002/58/EG wurdegerade aus Datenschutzgründen als Rechtsgrundsatz veran-kert, dass Verkehrsdaten gelöscht werden müssen, sobald dieSpeicherung nicht mehr für Zwecke erforderlich ist, die mitder Kommunikation selbst zusammenhängen (einschließlichAbrechnungszwecken). Ausnahmen von diesem Rechtsgrund-satz sind strengen Bedingungen unterworfen.

4. In der vorliegenden Stellungnahme wird der EDPSaufzeigen, welche Auswirkungen der Vorschlag für den Schutzpersonenbezogener Daten hat. Dabei wird der EDPS auchberücksichtigen, dass der Vorschlag trotz seiner Bedeutung fürdie Strafverfolgung nicht dazu führen darf, dass Menschen ihrGrundrecht auf Schutz ihrer Privatsphäre entzogen wird.

5. Diese Stellungnahme des EDPS ist vor dem Hintergrunddieser Überlegungen zu sehen. Der EDPS strebt einenausgewogenen Ansatz an, bei dem die Notwendigkeit unddie Verhältnismäßigkeit des Eingriffs in den Datenschutz einezentrale Rolle spielen.

6. Was den Vorschlag selbst betrifft, so ist er als eineReaktion auf die Initiative der Französischen Republik, Irlands,des Königreichs Schweden und des Vereinigten Königreichs füreinen Rahmenbeschluss über die Vorratsspeicherung vonDaten, die in Verbindung mit der Bereitstellung öffentlicherelektronischer Kommunikationsdienste verarbeitet und auf-bewahrt werden, oder von Daten, die in öffentlichenKommunikationsnetzen vorhanden sind, für die Zwecke derVorbeugung, Ermittlung, Aufdeckung und Verfolgung vonStraftaten einschließlich Terrorismus (nachstehend „Entwurfeines Rahmenbeschlusses“ genannt) zu sehen, der vomEuropäischen Parlament (im Rahmen des Konsultationsver-fahrens) abgelehnt worden ist.

7. Der EDPS ist zu dem Entwurf eines Rahmenbeschlussesweder konsultiert worden, noch hat er auf eigene Initiativeeine Stellungnahme zu dem Entwurf abgegeben. Es ist auchnicht seine Absicht, jetzt eine Stellungnahme zu diesemEntwurf abzugeben — er wird jedoch in der vorliegenden

Stellungnahme auf diesen Entwurf Bezug nehmen, wenn ihmdies sinnvoll erscheint.

II. Allgemeine Bemerkungen

Die Auswirkungen des Vorschlags für den Datenschutz

8. Für den EDPS ist es von größter Bedeutung, dass in demVorschlag die Grundrechte gewahrt bleiben. Eine Legislativ-maßnahme, durch die der Schutz beeinträchtigt würde, derdurch das Gemeinschaftsrecht und insbesondere die Rechts-prechung des Gerichtshofs und des Europäischen Gerichtshofsfür Menschenrechte gewährleistet ist, wäre nicht nur unan-nehmbar, sondern auch illegal. Die gesellschaftlichen Bedin-gungen können sich aufgrund von Terroranschlägen durchausgeändert haben, dies darf aber nicht dazu führen, dass diehohen Schutzstandards im derzeitigen Recht beeinträchtigtwerden. Der Schutz ist durch das Recht gewährleistet,ungeachtet der aktuellen Erfordernisse der Strafverfolgung.Überdies lässt die Rechtsprechung selbst auch Ausnahmen zu,sofern diese in einer demokratischen Gesellschaft erforderlichsind.

9. Der Vorschlag hat direkte Auswirkungen für den durchArtikel 8 der Europäischen Konvention zum Schutze derMenschenrechte und Grundfreiheiten („EMRK“) gewährtenSchutz. In der ständigen Rechtsprechung des EuropäischenGerichtshofs für Menschenrechte wurde Folgendes festgestellt:

— Die Speicherung von Informationen über eine Einzel-person wurde als Eingriff in das Privatleben erachtet,auch wenn diese Informationen keine sensitiven Datenenthielten (Amann (1)).

— Das Gleiche gilt für die Praxis der Telefongesprächserfas-sung, bei der ein Gerät benutzt wird, das automatisch dieauf einem Telefon gewählte Nummer sowie den Zeit-punkt und die Dauer jedes einzelnen Gesprächs auf-zeichnet (Malone (2)).

— Die Gründe für den Eingriff sollten schwerer wiegen alsdie nachteilige Wirkung, die allein die Existenz derfraglichen Rechtsbestimmung für die betroffenen Perso-nen haben könnte (Dudgeon (3)).

10. Artikel 6 Absatz 2 des EU-Vertrags sieht vor, dass dieUnion die in der EMRK verankerten Grundrechte achtet. In dervorstehenden Nummer wurde aufgezeigt, dass die Verpflich-tung zur Vorratsspeicherung von Daten nach der Rechts-prechung des Europäischen Menschenrechtsgerichtshofs inden Geltungsbereich von Artikel 8 EMRK fällt, und dass esdafür einer sehr triftigen Begründung bedarf, die das Kriterium

C 298/2 DE Amtsblatt der Europäischen Union 29.11.2005

(1) Urteil des EGMR vom 16. Februar 2000 in der RechtssacheAmann, 2000-II, Nr. 27798/95.

(2) Urteil des EGMR vom 2. August 1984 in der RechtssacheMalone, A82, Nr. 8691/79.

(3) Urteil des EGMR vom 22. Oktober 1981 in der RechtssacheDudgeon, A45, Nr. 7525.

des Dudgeon-Urteils erfüllt. Die Notwendigkeit und dieVerhältnismäßigkeit der Verpflichtung zur Vorratsspeicherungvon Daten — mit ihrer ganzen Tragweite — muss nachge-wiesen werden.

11. Überdies hat der Vorschlag erhebliche Auswirkungen aufdie im Gemeinschaftsrecht verankerten Grundsätze desDatenschutzes:

— Die Daten müssen über einen Zeitraum auf Vorratgespeichert werden, der viel länger ist als die Zeiträume,die für die Vorratsspeicherung durch Anbieter öffentlichzugänglicher elektronischer Kommunikationsdiensteoder Betreiber eines öffentlichen Kommunikationsnetzes(für beide Dienste wird im Folgenden der Begriff„Betreiber“ benutzt) üblich sind.

— Nach der Richtlinie 2002/58/EG, insbesondere nachArtikel 6, dürfen Daten nur aus Gründen erhoben undgespeichert werden, die in direkter Beziehung zu derNachricht selbst stehen, einschließlich zu Abrechnungsz-wecken (1). Danach sind die Daten zu löschen (außer inAusnahmefällen). Nach dem gegenwärtigen Vorschlag istdie Vorratsspeicherung zum Zwecke der StrafverfolgungPflicht. Die Ausgangspositionen stehen somit im Wider-spruch zueinander.

— Die Richtlinie 2002/58/EG gewährleistet die Sicherheitund die Vertraulichkeit. Der vorliegende Vorschlag darfnicht zu Gesetzeslücken auf diesem Gebiet führen;strenge Schutzmechanismen sind erforderlich, und derZweck sollte deutlich eingegrenzt werden.

— Die Einführung einer Pflicht zur Vorratsspeicherung vonDaten, wie sie im Vorschlag vorgesehen ist, führt zuumfangreichen Datenbanken und birgt für den Betroffe-nen besondere Risiken. So könnten die Daten bei-spielsweise gewerblich genutzt oder von denStrafverfolgungsbehörden und von den nationalenSicherheitsdiensten zu Ausforschungszwecken und/oderfür Data Mining benutzt werden.

12. Außerdem wurden sowohl der Schutz des Privatlebensals auch der Schutz personenbezogener Daten in der Grund-rechtecharta anerkannt, wie in der Begründung des Vorschlagsangeführt wird.

13. Die Auswirkungen des Vorschlags für den Schutzpersonenbezogener Daten müssen gründlich untersuchtwerden. Bei dieser Untersuchung wird der EDPS die obengenannten Aspekte berücksichtigen und zu dem Schlusskommen, dass mehr Schutzmechanismen erforderlich sind.Ein einfacher Verweis auf den geltenden Rechtsrahmen zumDatenschutz (insbesondere die Richtlinien 95/46/EG und2002/58/EG) ist nicht ausreichend.

Die Notwendigkeit, Verkehrs- und Standortdaten auf Vorrat zuspeichern

14. Der EDPS erinnert an die Schlussfolgerung der Daten-schutzgruppe „Artikel 29“ vom 9. November 2004 zu demEntwurf eines Rahmenbeschlusses. Die Gruppe stellte fest, dassdie verbindlich vorgeschriebene Vorratsspeicherung vonVerkehrsdaten unter den in dem Entwurf eines Rahmen-beschlusses vorgesehenen Bedingungen nicht annehmbar ist.Die Schlussfolgerung ergab sich unter anderem daraus, dasskein Beweis dafür erbracht wurde, dass die Vorratsspeicherungzu Zwecken der öffentlichen Ordnung erforderlich ist, da eineentsprechende Analyse ergab, dass die von den Strafverfol-gungsbehörden nachgefragten Daten größtenteils nicht älterals sechs Monate waren.

15. Nach Auffassung des EDPS sollten die oben dargestelltenÜberlegungen der Datenschutzgruppe den Ausgangspunkt fürdie Beurteilung des vorliegenden Vorschlags darstellen.Allerdings kann das Ergebnis dieser Überlegungen nichteinfach auf den vorliegenden Vorschlag übertragen werden.Es ist zu berücksichtigen, dass sich die Umstände ändernkönnen. Nach Ansicht des EDPS könnten die nachstehendenEntwicklungen für die Beurteilung von Relevanz sein.

16. Erstens wurden einige Zahlen vorgelegt, um nachzu-weisen, dass die Strafverfolgungsbehörden in der Praxis umVerkehrsdaten ersuchen, die bis zu einem Jahr alt sind. Sowohldie Kommission als auch der Vorsitz des Rates messen einerStudie der Polizei des Vereinigten Königreichs (2) Bedeutungbei, aus der hervorgeht, dass zwar 85 % der von der Polizeibenötigten Verkehrsdaten weniger als 6 Monate alt waren, dassaber bei komplexen Untersuchungen zu schwereren Straftatenzwischen 6 und 12 Monate alte Daten verwendet wurden. Eswurden auch einige Beispiele für solche Fälle gegeben. DieSpeicherungsfrist im Vorschlag — für Telefondaten ein Jahr —spiegelt diese Praxis der Strafverfolgungsbehörden wider.

17. Der EDPS ist nicht davon überzeugt, dass diese Zahlenden Beweis dafür erbringen, dass die Vorratsspeicherung vonVerkehrsdaten für bis zu einem Jahr erforderlich ist. DieTatsache, dass die Verfügbarkeit von Verkehrs- und/oderStandortdaten in einigen Fällen zur Aufklärung einesVerbrechens beigetragen hat, bedeutet nicht zwangsläufig,dass diese Daten (generell) als Instrument für die Straf-verfolgung benötigt werden. Die Zahlen dürfen allerdingsauch nicht ignoriert werden. Sie stellen zumindest denernsthaften Versuch dar, nachzuweisen, dass die Vorratsspei-cherung erforderlich ist. Außerdem zeigen die Zahlen deutlich,dass aus Sicht der gegenwärtigen Strafverfolgungspraxis keinBedarf an einer Speicherungsfrist von mehr als einem Jahrbesteht.

18. Zweitens wird die nach der Richtlinie 2002/58/EG fürdie Betreiber bestehende Möglichkeit, Verkehrsdaten zuAbrechnungszwecken auf Vorrat zu speichern, nicht immergenutzt, da in einer immer größeren Zahl von Fällen gar keineDatenspeicherung zu Abrechnungszwecken mehr erfolgt(Prepaid-Karten für Mobiltelefone, Pauschaltarife usw.). In


(1) Siehe auch Nr. 3 dieser Stellungnahme.

(2) „Liberty and security, striking the right balance“. Dokument desbritischen Vorsitzes der Europäischen Union vom 7. September2005.

diesen Fällen — die in der Praxis häufiger geworden sind —

werden Verkehrs- und Standortdaten gar nicht gespeichert,sondern sofort nach der Kommunikation gelöscht. Dasselbegilt für erfolglose Anrufversuche. Dies wirkt sich möglicher-weise auf die Effizienz der Strafverfolgung aus.

19. Diese Entwicklung bei den Telekommunikationsdienstenkann außerdem zu Störungen des Funktionierens desBinnenmarktes führen, unter anderem aufgrund der (bevor-stehenden) Annahme von Legislativemaßnahmen nach Arti-kel 15 der Richtlinie 2002/58/EG in den Mitgliedstaaten. Sohat z. B. die italienische Regierung vor kurzem eineVerordnung veröffentlicht, die die Betreiber verpflichtet,Telefondaten vier Jahre lang zu speichern. Diese Verpflichtungwird in bestimmten Mitgliedstaaten, wie Italien, zu erheblichenKosten führen.

20. Drittens haben sich auch die Arbeitsmethoden derStrafverfolgungsbehörden weiterentwickelt: Proaktive Ermitt-lungen und der Einsatz technischer Hilfsmittel sind wichtigergeworden. Die Entwicklungen führen dazu, dass die Behördenüber angemessene und genau umrissene Instrumente verfügenmüssen, um ihre Arbeit unter gebührender Achtung derDatenschutzgrundsätze verrichten zu können. Ein Instrument,über das die Behörden in den Mitgliedstaaten gewöhnlichverfügen, ist die Sicherungsspeicherung von Daten bzw. dieAufbewahrung von Kommunikationsdaten auf Verlangen imRahmen einer konkreten Ermittlung. Es wurde festgestellt,dass dieses Instrument, das geringere Auswirkungen auf dieDatenschutzgrundsätze als das nun vorgeschlagene Instru-ment (Vorratsspeicherung von Daten) hat, nicht immerausreichend sein könnte, insbesondere, wenn es darum geht,Personen aufzuspüren, die in Terrorismus oder andere schwereStraftaten verwickelt sind und zuvor keiner kriminellenAktivität verdächtigt wurden. Es sind jedoch mehr Beweiseerforderlich, um festzustellen, ob dies tatsächlich zutrifft.

21. Viertens ist die Sorge in Bezug auf Terroranschlägegewachsen. Der EDPS teilt die im Zusammenhang mit denVorschlägen zur Vorratspeicherung von Daten geäußerteAnsicht, dass die physische Sicherheit an sich von allergrößterBedeutung ist. Gesellschaften bedürfen des Schutzes. Ausdiesem Grund sind die Regierungen im Falle eines Angriffs aufdie Gesellschaft verpflichtet, unter Beweis zu stellen, dass siedieses Schutzbedürfnis ernst nehmen, und auszuforschen, obsie mit der Einführung neuer Legislativmaßnahmen reagierenmüssen. Selbstverständlich unterstützt der EDPS in vollemUmfang die Aufgabe der Regierungen — sowohl aufnationaler als auch auf europäischer Ebene —, die Gesellschaftzu schützen und unter Beweis zu stellen, dass sie allesNotwendige unternehmen, um Schutz zu bieten, einschließ-lich der Annahme neuer, rechtmäßiger und effizienterMaßnahmen als Ergebnis ihrer Nachforschungen.

22. Der EDPS erkennt zwar an, dass sich die Umständeverändert haben, ist aber trotzdem noch nicht davonüberzeugt, dass eine Vorratsspeicherung von Verkehrs- undStandortdaten zu Strafverfolgungszwecken, wie sie in demVorschlag vorgesehen ist, erforderlich ist. Er betont dieBedeutung des in der Richtlinie 2002/58/EG verankertenRechtsgrundsatzes, wonach Verkehrsdaten gelöscht werdenmüssen, sobald die Speicherung nicht mehr für Zwecke

erforderlich ist, die mit der Kommunikation selbst zusam-menhängen. Außerdem belegen die vorgelegten Zahlen weder,dass der bestehende Rechtsrahmen nicht die für den Schutzder physischen Sicherheit erforderlichen Instrumente bietet,noch, dass die Mitgliedstaaten ihre Befugnisse nach europäi-schem Recht in vollem Umfang ausüben, um zusammenzu-arbeiten, wie es ihnen der bestehende Rechtsrahmen gestattet(ohne dass dies die erforderlichen Ergebnisse erbringenwürde).

23. Wenn aber das Europäische Parlament und der Rat —nach sorgfältiger Abwägung der Interessen, die auf dem Spielstehen — zu dem Schluss kommen, dass die Notwendigkeitder Vorratsspeicherung von Verkehrs- und Standortdatenausreichend nachgewiesen ist, so lässt sich die Vorratsspeiche-rung nach Auffassung des EDPS nach dem Gemeinschaftsrechtnur dann rechtfertigen, wenn, wie in dieser Stellungnahmedargelegt, der Grundsatz der Verhältnismäßigkeit gewahrtbleibt und für angemessene Schutzmechanismen gesorgt wird.

Verhältnismäßigkeit

24. Die Verhältnismäßigkeit der vorgeschlagenen neuenLegislativmaßnahme hängt vom Inhalt ihrer Bestimmungenab: Stellt die Maßnahme eine geeignete und angemesseneReaktion auf die Bedürfnisse der Gesellschaft dar?

25. Die erste Überlegung betrifft die Geeignetheit desVorschlags: Kann davon ausgegangen werden, dass derVorschlag die physische Sicherheit der Bewohner der Euro-päischen Union erhöht? Ein häufig in der öffentlichenDiskussion genannter Grund, die Geeignetheit zu bezweifeln,ist, dass Verkehrs- und Standortdaten nicht immer mit einerbestimmten Person in Verbindung stehen; die Kenntnis einerTelefonnummer (oder einer Internet-Protokoll-Adresse) führtnicht zwangsläufig zur Identifizierung einer Person. Einanderer — und schwerwiegenderer — Grund für Zweifel liegtin der Frage, ob riesige Datenbanken die Strafverfolgungs-behörden tatsächlich in die Lage versetzen, leicht zu finden,was sie in einem ganz bestimmten Fall suchen.

26. Der EDPS ist der Ansicht, dass die Vorratsspeicherungvon Verkehrs- und Standortdaten allein keine geeignete oderwirksame Reaktion darstellt. Es sind zusätzliche Maßnahmenerforderlich, um sicherzustellen, dass die Behörden zielsicherund schnell auf die in einem ganz bestimmten Fall benötigtenDaten zugreifen können. Die Vorratsspeicherung von Daten istnur dann geeignet und wirksam, wenn es auch effizienteSuchmaschinen gibt.

27. Die zweite Überlegung betrifft die Angemessenheit derReaktion. Damit der Vorschlag angemessen ist,

— sollten die Speicherungsfristen im Vorschlag begrenztwerden. Diese Fristen müssen den nachgewiesenenErfordernissen der Strafverfolgungsbehörden entspre-chen;

— sollte die Anzahl der zu speichernden Daten imVorschlag begrenzt werden. Diese Anzahl muss dennachgewiesenen Erfordernissen der Strafverfolgungsbe-hörden entsprechen, und es muss sichergestellt werden,dass kein Zugang zu Inhaltsdaten möglich ist;


— sollten im Vorschlag geeignete Schutzmechanismenenthalten werden, so dass der Zugang und die Weiter-verwendung begrenzt werden, die Sicherheit der Datengewährleistet ist und sichergestellt wird, dass dieBetroffenen selbst ihre Rechte ausüben können.

28. Der EDPS hebt hervor, wie wichtig diese strengenBegrenzungen mit geeigneten Schutzmechanismen zurBeschränkung des Zugangs sind. Er ist der Ansicht, dass dieMitgliedstaaten angesichts der Bedeutung der unter dervorstehenden Nummer genannten drei Punkte keine zusätz-lichen nationalen Maßnahmen in Bezug auf diese drei Punkteergreifen dürfen, die die Verhältnismäßigkeit berühren. DieseNotwendigkeit der Harmonisierung wird in Abschnitt IVeingehender behandelt.

Geeignete Sicherheitsmaßnahmen

29. Der Vorschlag führt dazu, dass die Betreiber überDatenbanken verfügen werden, in denen große Mengen vonVerkehrs- und Standortdaten gespeichert sein werden.

30. Erstens muss in dem Vorschlag sichergestellt werden,dass der Zugang zu den Daten und ihre Weiterverwendungbegrenzt werden und nur unter bestimmten Umständen undzu einer eingeschränkten Zahl konkreter Zwecke erfolgendürfen.

31. Zweitens müssen die Datenbanken ausreichend geschütztwerden (Datensicherheit). Zu diesem Zweck ist sicherzustellen,dass die Daten nach Ablauf der Speicherungsfristen effizientgelöscht werden. Es sollte keine „wilde Entsorgung von Daten“und keine Auswertung der Daten geben. Kurz gesagt bedarf esdazu einer hohen Datensicherheit und geeigneter technischerund organisatorischer Sicherheitsmaßnahmen.

32. Eine hohe Datensicherheit ist umso wichtiger, als dasbloße Vorhandensein der Daten zu Ersuchen von mindestensdrei interessierten Gruppen um Zugang und Verwendungführen könnte:

— die Betreiber selbst. Sie könnten versucht sein, die Datenfür ihre eigenen kommerziellen Zwecke zu nutzen. Essind Sicherheitsmechanismen erforderlich, mit denen dasKopieren der betreffenden Dateien verhindert wird;

— die für die Strafverfolgung zuständigen Behörden: DerVorschlag gibt ihnen ein Zugangsrecht, aber nur in ganzbestimmten Fällen und nach Maßgabe der nationalenRechtsvorschriften (Artikel 3 Absatz 2 des Vorschlags).Es sollte keinen Zugang für Data Mining oder zuAusforschungszwecken geben. Der Austausch von Datenmit Behörden in anderen Mitgliedstaaten sollte klargeregelt werden;

— Nachrichtendienste (mit Zuständigkeit für die nationaleSicherheit).

33. Was den Zugang von Nachrichtendiensten anbelangt, soweist der EDPS darauf hin, dass Maßnahmen im Rahmen derdritten und der ersten Säule nach Artikel 33 EU-Vertrag undArtikel 64 EG-Vertrag nicht die Wahrnehmung der Zuständig-keiten der Mitgliedstaaten für die Aufrechterhaltung deröffentlichen Ordnung und den Schutz der inneren Sicherheitberühren. Nach Auffassung des EDPS bedeuten diese Bestim-mungen, dass die Europäische Union nicht befugt ist, denZugang von Sicherheits- oder Nachrichtendiensten zu den vonden Betreibern auf Vorrat gespeicherten Daten zu kontroll-ieren. Mit anderen Worten: Das Recht der Europäischen Unionberührt weder den Zugang dieser Dienste zu den Verkehrs-und Standortdaten der Betreiber noch die Weiterverwendungder von diesen Diensten eingeholten Informationen. Dies istein Aspekt, der bei der Beurteilung des Vorschlags zuberücksichtigen ist. Es ist Sache der Mitgliedstaaten, dieerforderlichen Maßnahmen zu ergreifen, um den Zugang derNachrichtendienste zu regeln.

34. Drittens haben die in den vorstehenden Nummernbeschriebenen Wirkungen des Vorschlags potenziell Folgenfür den Betroffenen. Es sind zusätzliche Schutzmechanismenerforderlich, um sicherzustellen, dass er seine Rechte alsBetroffener auf einfache Weise und zügig ausüben kann. DerEDPS weist darauf hin, dass der Zugang zu den Daten und ihreWeiterverwendung wirksam kontrolliert werden müssen,vorzugsweise durch die Justizbehörden in den Mitgliedstaaten.Die Schutzmechanismen sollten auch in Bezug auf denZugang und die Weiterverwendung der Verkehrsdaten durchBehörden in anderen Mitgliedstaaten gelten.

35. Der EDPS verweist in diesem Zusammenhang auf dieInitiativen für einen neuen, den Datenschutz betreffendenRechtsrahmen, der Anwendung auf die Strafverfolgung findensoll (in der dritten Säule des EU-Vertrags). Seines Erachtenserfordert ein solcher Rechtsrahmen zusätzliche Schutzmecha-nismen und darf sich nicht darauf beschränken, die all-gemeinen Grundsätze des Datenschutzes in der ersten Säulezu bekräftigen. (1)

36. Viertens besteht eine direkte Beziehung zwischen derGeeignetheit der Sicherheitsmaßnahmen und den Kostendieser Maßnahmen. Ein geeignetes Gesetz zur Vorratsspeiche-rung von Daten muss daher den Betreibern Anreize fürInvestitionen in die technische Infrastruktur bieten. Ein solcherAnreiz könnte darin bestehen, dass den Betreibern diezusätzlichen Kosten geeigneter Sicherheitsmaßnahmenzurückerstattet werden.

37. Fazit: Geeignete Sicherheitsmaßnahmen sollten

— den Zugang zu den Daten und ihre Weiterverwendungeinschränken;

— für geeignete technische und organisatorische Sicher-heitsmaßnahmen zum Schutz der Datenbanken sorgen.Dazu gehört die wirksame Löschung der Daten nachAblauf der Speicherungsfrist und die Anerkennung der


(1) Siehe im gleichen Sinne das auf der Frühjahrskonferenz derEuropäischen Datenschutzbehörden vom 25./26. April 2005 inKrakau angenommene Positionspapier zum Thema Strafverfol-gung und Informationsaustausch in der EU.

Tatsache, dass es von Seiten verschiedener interessierterGruppen Anfragen nach dem Zugang zu den Daten undihrer Verwendung geben könnte;

— gewährleisten, dass die Betroffenen ihre Rechte ausübenkönnen, und zwar nicht nur, indem die allgemeinenGrundsätze des Datenschutzes bekräftigt werden;

— Anreize für die Betreiber beinhalten, damit diese in dietechnische Infrastruktur investieren.

III. Die Rechtsgrundlage und der Entwurf einesRahmenbeschlusses

38. Der Vorschlag ist auf den EG-Vertrag, insbesondere aufArtikel 95, gestützt und hat laut Artikel 1 die Harmonisierungder Pflichten der Betreiber hinsichtlich der Verarbeitung undVorratsspeicherung von Verkehrs- und Standortdaten zumZiel. In dem Vorschlag ist vorgesehen, dass die Daten nur inEinzelfällen im Zusammenhang mit Straftaten an diezuständigen nationalen Behörden weitergegeben werden; diegenauere Definition des Zweckes sowie die Regelung desZugangs zu den Daten und ihrer Weiterverwendung werdenhingegen vorbehaltlich der Schutzmechanismen des bestehen-den Gemeinschaftsrahmens zum Datenschutz in das Ermessender Mitgliedstaaten gelegt.

39. In dieser Hinsicht hat der Vorschlag einen stärkereingegrenzten Geltungsbereich als der Entwurf eines Rahmen-beschlusses, der auf Artikel 31 Absatz 1 Buchstabe c des EU-Vertrags gestützt ist, und der zusätzliche Bestimmungen überden Zugang zu den auf Vorrat gespeicherten Daten und überAnträge auf Zugang aus anderen Mitgliedstaaten enthält. Inder Begründung des Richtlinienvorschlags wird ein Grund fürdiese Eingrenzung des Geltungsbereichs genannt. Es wird dortfestgestellt, dass Fragen des Zugangs zu den Informationenund des Austauschs zwischen den einschlägigen Strafverfol-gungsbehörden nicht in den Anwendungsbereich des EG-Vertrags fallen.

40. Diese in der Begründung enthaltene Erklärung überzeugtden EDPS nicht. Eine auf Artikel 95 des EG-Vertrags(Binnenmarkt) gestützte Intervention der Gemeinschaft mussdie Beseitigung von Handelshemmnissen zum Hauptzielhaben. Nach der Rechtsprechung des Europäischen Gerichts-hofs muss eine solche Maßnahme tatsächlich dazu geeignetsein, zur Beseitigung eines solchen Hemmnisses beizutragen.Der Europäische Gesetzgeber muss allerdings bei seinerIntervention die Grundrechte achten (Artikel 6 Absatz 2 desEU-Vertrags; siehe Abschnitt II dieser Stellungnahme). Ausdiesen Gründen könnte die Einführung von Vorschriften zurVorratsspeicherung von Daten auf Gemeinschaftsebene imInteresse des Binnenmarktes erforderlich machen, dass auchdie Achtung der Grundrechte auf der Ebene der EuropäischenGemeinschaft behandelt wird. Wenn der Gemeinschaftsge-setzgeber keine Vorschriften über den Zugang zu Daten undüber ihre Verwendung festlegen könnte, so könnte er seinenPflichten nach Artikel 6 des EU-Vertrags nicht nachkommen,da die in diesem Artikel enthaltenen Vorschriften unverzicht-bar sind, um sicherzustellen, dass die Vorratsspeicherung untergebührender Achtung der Grundrechte erfolgt. Mit anderenWorten: Nach Auffassung des EDPS sind Vorschriften überden Zugang, die Verwendung und den Austausch von Datennicht von der Pflicht zur Vorratsspeicherung der Daten zutrennen.

41. Was die Einrichtung der zuständigen Behörden anbe-langt, so räumt der EDPS ein, dass dies in der Verantwortungder Mitgliedstaaten liegt. Das Gleiche gilt für die Organisationder Strafverfolgung und des gerichtlichen Schutzes. Allerdingskönnen den Mitgliedstaaten in einem Rechtsakt der Gemein-schaft Bedingungen in Bezug auf die Benennung zuständigerBehörden, die gerichtliche Kontrolle oder den Zugang derBürger zur Justiz auferlegt werden. Mit solchen Bestimmungenwird sichergestellt, dass auf nationaler Ebene geeigneteMechanismen vorhanden sind, die die uneingeschränkteWirksamkeit des Rechtsakts gewährleisten, einschließlich deruneingeschränkten Einhaltung der Datenschutzvorschriften.

42. Der EDPS möchte einen weiteren Punkt im Zusammen-hang mit der Rechtsgrundlage ansprechen. Es ist Sache desEuropäischen Gesetzgebers, die geeignete Rechtsgrundlageund dementsprechend das geeignete Gesetzgebungsverfahrenzu wählen. Diese Entscheidung geht über den Auftrag desEDPS hinaus. Angesichts der ganz wesentlichen Fragen, umdie es sich hierbei handelt, spricht sich der EDPS in dergegenwärtigen Situation jedoch eindeutig für das Mitentschei-dungsverfahren aus. Nur dieses Verfahren stellt ein trans-parentes Beschlussfassungsverfahren unter umfassenderBeteiligung der drei einbezogenen Organe und unter gebüh-render Achtung der Grundsätze dar, auf die sich die Uniongründet.

IV. Notwendigkeit der Harmonisierung

43. In dem Richtlinienvorschlag werden die Art der aufVorrat zu speichernden Daten, die Speicherungsfristen fürdiese Daten sowie die Zwecke, zu denen die Daten an diezuständigen Behörden weitergegeben werden dürfen, harmo-nisiert. In dem Vorschlag ist eine vollständige Harmonisierungdieser Aspekte vorgesehen. In dieser Hinsicht unterscheidetsich der Richtlinienvorschlag grundlegend von dem Entwurfeines Rahmenbeschlusses, der Mindestvorschriften festlegt.

44. Der EDPS betont, dass diese Aspekte mit Blick auf dasFunktionieren des Binnenmarktes, die Erfordernisse der Straf-verfolgung und — nicht zuletzt — die EMRK und dieGrundsätze des Datenschutzes uneingeschränkt harmonisiertwerden müssen.

45. Was das Funktionieren des Binnenmarktes anbelangt, sobegründet die Harmonisierung der Pflicht zur Vorratsspeiche-rung der Daten die Wahl der Rechtsgrundlage des Vorschlags(Artikel 95 des EG-Vertrags). Die vorhandenen Störungen imBinnenmarkt für elektronische Kommunikation, die unteranderem durch die (unmittelbar bevorstehende) Verabschie-dung von Legislativmaßnahmen nach Artikel 15 der Richtlinie2002/58/EG in den Mitgliedstaaten verursacht werden (sieheNr. 19 dieser Stellungnahme), werden nicht ausgeräumt, wennzugelassen wird, dass sich die Rechtsvorschriften der Mit-gliedstaaten wesentlich unterscheiden.

46. Dies ist umso wichtiger, als für einen großen Teil derelektronischen Kommunikation die Zuständigkeit von mehrals einem Mitgliedstaat relevant ist. Beispiele dafür sind:grenzüberschreitende Telefongespräche, Roaming, Grenzübe-rschreitung während einer Mobilfunkkommunikation und derRückgriff auf einen Betreiber in einem anderem Mitgliedstaatals dem, in dem die betreffende Person ihren Wohnsitz hat.


47. Überdies würde in diesem Zusammenhang eine man-gelnde Harmonisierung den Erfordernissen der Strafverfol-gung zuwiderlaufen, da die zuständigen Behördenunterschiedliche Rechtsvorschriften einhalten müssen. Dieskönnte den Informationsaustausch zwischen den Behördender Mitgliedstaaten behindern.

48. Schließlich hebt der EDPS — unter Verweis auf seineVerantwortung nach Artikel 41 der Verordnung (EG)Nr. 45/2001— hervor, dass eine vollständige Harmonisierungder wichtigsten im Vorschlag enthaltenen Aspekte unbedingterforderlich ist, um der EMRK und den Grundsätzen desDatenschutzes zu entsprechen. Wenn eine Legislativmaß-nahme, die zur Vorratsspeicherung von Verkehrs- und Stand-ortdaten verpflichtet, aus Sicht des Datenschutzes annehmbarsein und den Vorgaben der Notwendigkeit und Verhält-nismäßigkeit entsprechen soll, müssen in dieser Maßnahmedie Anzahl der auf Vorrat zu speichernden Daten, dieSpeicherungsfristen und der (Zweck des) Zugang(s) zu denDaten und ihre(r) Weiterverwendung eindeutig begrenztwerden.

V. Bemerkungen zu den Artikeln des Vorschlags

Artikel 3: Vorratsspeicherungspflicht

49. Artikel 3 ist die zentrale Bestimmung des Vorschlags. MitArtikel 3 Absatz 1 wird die Pflicht zur Vorratsspeicherung vonVerkehrs- und Standortdaten eingeführt, während Artikel 3Absatz 2 dem Grundsatz der Zweckbindung Wirkungverleiht. In Artikel 3 Absatz 2 sind drei wichtige Begrenzun-gen vorgesehen. Die auf Vorrat gespeicherten Daten werdennur

— an die zuständigen nationalen Behörden,

— in ganz bestimmten Fällen,

— zum Zwecke der Vorbeugung, Ermittlung, Aufdeckungund Verfolgung von schweren Straftaten wie Terrorismusund organisierter Kriminalität

weitergegeben. In Artikel 3 Absatz 2 wird, was die Festlegungweiterer Einschränkungen anbelangt, auf die nationalenRechtsvorschriften der Mitgliedstaaten verwiesen.

50. Der EDPS begrüßt Artikel 3 Absatz 2 als eine wichtigeBestimmung, ist jedoch der Ansicht, dass die Begrenzungennicht präzise genug sind, dass der Zugang zu den Daten undihre Weiterverwendung im Rahmen dieser Richtlinie explizitgeregelt werden sollten, und dass zusätzliche Schutzmecha-nismen erforderlich sind. Wie bereits in Abschnitt III dieserStellungnahme dargelegt, ist der EDPS nicht davon überzeugt,dass die Nichtaufnahme (präziser) Bestimmungen über denZugang zu den Verkehrs- und Standortdaten und über ihreWeiterverwendung eine unvermeidliche Folge der Rechts-grundlage des Vorschlags (Artikel 95) ist. Dies gibt Anlass zuden nachstehenden Bemerkungen.

51. Erstens: Es wird nicht präzise festgelegt, dass andereInteressengruppen, wie etwa der Betreiber selbst, keinen

Zugang zu den Daten haben. Nach Artikel 6 der Richtlinie2002/58/EG dürfen die Betreiber Verkehrsdaten nur bis zumEnde des Zeitraums verarbeiten, während dessen die Daten zuAbrechnungszwecken auf Vorrat gespeichert werden. NachAuffassung des EDPS gibt es außer dem in der Richtlinie2002/58/EG vorgesehenen Zugang, der den Bedingungendieser Richtlinie unterliegt, keinen anderen gerechtfertigtenZugang des Betreibers oder sonstiger Interessierter zu denDaten.

52. Der EDPS empfiehlt, dem Text eine Bestimmung hin-zuzufügen, um sicherzustellen, dass niemand anders als diezuständigen Behörden Zugang zu den Daten hat. DieseBestimmung könnte folgendermaßen formuliert sein: „DerZugang zu den Daten und/oder ihre Verarbeitung ist nur zudem in Artikel 3 Absatz 2 genannten Zweck gestattet“ oder„die Betreiber gewährleisten, dass nur den zuständigenBehörden Zugang zu den Daten gewährt wird“.

53. Zweitens: Die Begrenzung auf ganz bestimmte Fällescheint einen routinemäßigen Zugang zu Ausforschungszwek-ken oder für Data-Mining-Aktivitäten zu verbieten. Es sollteaber trotzdem in dem Text präzisiert werden, dass die Datennur dann zur Verfügung gestellt werden können, wenn dies imZusammenhang mit einer spezifischen Straftat erforderlich ist.

54. Drittens: Der EDPS begrüßt es, dass der Zweck desZugangs auf schwere Straftaten wie Terrorismus und organi-sierte Kriminalität begrenzt ist. In weniger schweren Fällendürfte ein Zugang zu Verkehrs- und Standortdaten nicht soleicht angemessen sein. Der EDPS bezweifelt jedoch, dass dieseBegrenzung präzise genug ist, insbesondere, wenn imZusammenhang mit anderen schweren Straftaten als Terro-rismus und organisierte Kriminalität um Zugang ersucht wird.Die Praxis in den Mitgliedstaaten wird unterschiedlichaussehen. Der EDPS hat in Abschnitt IV dieser Stellungnahmebetont, dass die wesentlichen in diesem Vorschlag enthaltenenAspekte vollständig harmonisiert werden müssen. Daherempfiehlt der EDPS, die Bestimmung auf bestimmte schwereStraftaten einzuschränken.

55. Viertens: Im Gegensatz zum Entwurf eines Rahmen-beschlusses enthält der Vorschlag keine Bestimmung über denZugang zu den Daten. Nach Auffassung des EDPS sollten derZugang zu den Daten und ihre Weiterverwendung imVorschlag nicht ignoriert werden. Sie sind fester Bestandteildes Gegenstands (siehe Abschnitt III dieser Stellungnahme).

56. Der EDPS empfiehlt, dem Vorschlag einen oder mehrereArtikel über den Zugang der zuständigen Behörden zu denStandort- und Verkehrsdaten und über die Weiterverwendungder Daten hinzuzufügen. Mit diesen Artikeln sollte sicherge-stellt werden, dass die Daten zu den in Artikel 3 Absatz 2genannten Zwecken genutzt werden, dass die Behörden Sorgefür die Qualität, Vertraulichkeit und Sicherheit der an sieweitergegebenen Daten tragen, und dass die Daten gelöschtwerden, wenn sie nicht länger für die Vorbeugung, Ermittlung,


Aufdeckung und Verfolgung der spezifischen Straftat benötigtwerden. Ferner sollte festgelegt werden, dass der Zugang inganz bestimmten Fällen der gerichtlichen Kontrolle in denMitgliedstaaten unterliegt.

57. Fünftens: Der Vorschlag enthält keine zusätzlichenSchutzmechanismen für den Datenschutz. In den Erwägungs-gründen wird auf Schutzmechanismen in den geltendenRechtsvorschriften, insbesondere in den Richtlinien95/46/EG und 2002/58/EG, verwiesen. Der EDPS ist mitdiesem begrenzten Ansatz des Datenschutzes trotz derbesonderen Bedeutung von (zusätzlichen) Schutzmechanis-men (siehe Abschnitt II dieser Stellungnahme) nicht ein-verstanden.

58. Der EDPS empfiehlt daher, einen Absatz zum Daten-schutz aufzunehmen. In diesen Absatz könnten die vorste-henden Empfehlungen zu Artikel 3 Absatz 2 aufgenommenwerden sowie weitere Bestimmungen zum Datenschutz, wieBestimmungen in Bezug auf die Ausübung der Rechte desBetroffenen (siehe Abschnitt II dieser Stellungnahme), auf dieQualität und die Sicherheit der Daten sowie auf Standort- undVerkehrsdaten von Personen, die nicht einer Straftat verdächtigsind.

Artikel 4: Für die Vorratsspeicherung in Frage kommendeDatenkategorien

59. Im Allgemeinen begrüßt der EDPS diesen Artikel undden Anhang aufgrund

— des gewählten Aufbaus, bei der die funktionalenBeschreibungen im verfügenden Teil der Richtlinie unddie technischen Einzelheiten in einem Anhang enthaltensind. Dieser Aufbau ist flexibel genug, damit angemessenauf technische Entwicklungen reagiert werden kann, undbietet den Bürgern Rechtssicherheit;

— der Unterscheidung zwischen Telefon- und Internetdaten,obgleich diese Unterscheidung technisch betrachtet anBedeutung verliert. Aus der Sicht des Datenschutzes istdiese Unterscheidung jedoch wichtig, da es im Internetkeine klare Grenze zwischen Inhaltsdaten und Verkehrs-daten gibt (siehe z. B. Artikel 1 Absatz 2 der Richtlinie, indem festgelegt wird, dass es sich bei im Interneteingesehenen Informationen um Inhaltsdaten handelt);

— des Maßes der Harmonisierung: Der Vorschlag sieht einhohes Maß an Harmonisierung mit einer erschöpfendenAufzählung der für die Vorratsspeicherung in Fragekommenden Datenkategorien vor (im Gegensatz zu demEntwurf eines Rahmenbeschlusses, der eine Mindestlisteenthält und den Mitgliedstaaten viel Spielraum zurEinbeziehung weiterer Daten lässt). Aus der Sicht desDatenschutzes ist eine vollständige Harmonisierung vonwesentlicher Bedeutung (siehe Abschnitt IV).

60. Der EDPS schlägt die folgenden Änderungen vor:

— Artikel 4 Absatz 2 sollte mehr sachliche Kriterienenthalten, um sicherzustellen, dass keine Inhaltsdatenaufgenommen werden. Folgender Satz sollte hinzugefügtwerden: „In den Anhang dürfen keine Daten aufgen-ommen werden, die den Inhalt einer Kommunikationoffen legen.“

— Artikel 5 eröffnet die Möglichkeit einer Überarbeitungdes Anhangs durch eine Richtlinie der Kommission(„Komitologie“). Der EDPS empfiehlt, dass Überarbei-tungen des Anhangs, die wesentliche Auswirkungen aufden Datenschutz haben, vielmehr im Wege einerRichtlinie nach dem Mitentscheidungsverfahren vorgen-ommen werden. (1)

Artikel 7: Speicherungsfristen

61. Der EDPS begrüßt den Umstand, dass die Speicherungs-fristen in dem Vorschlag erheblich kürzer sind als die in demEntwurf eines Rahmenbeschlusses vorgesehenen Fristen.

— Unter Rückverweis auf die Zweifel, die in dieserStellungnahme in Bezug auf den Nachweis der Notwen-digkeit einer Vorratsspeicherung von Verkehrsdatenfür bis zu einem Jahr geäußert wurden, ist festzustellen,dass die Frist von einem Jahr der Praxis der Straf-verfolgung entspricht, wie sie aus den von der Kommissionund dem Vorsitz des Rates vorgelegten Zahlen hervorgeht.

— Aus diesen Zahlen geht ebenfalls hervor, dass eineVorratsspeicherung von Daten über längere Zeiträume—Sonderfälle ausgenommen — nicht der Praxis derStrafverfolgung entspricht.

— Die kürzere Frist von sechs Monaten für Daten inVerbindung mit elektronischen Nachrichtenübermittlun-gen, die ganz oder überwiegend unter Verwendung desInternet-Protokolls vorgenommen werden, ist aus derSicht des Datenschutzes wichtig, da die Speicherung vonErgebnissen der Internet-Kommunikation zu großenDatenbanken führt (diese Daten werden gewöhnlichnicht zu Abrechnungszwecken gespeichert), die Grenzezu den Inhaltsdaten unscharf ist und eine Vorratsspei-cherung von mehr als sechs Monaten nicht der Praxis derStrafverfolgung entspricht.

62. Es sollte im Text präzisiert werden, dass

— die Vorratsspeicherungsfristen von sechs Monaten bzw.einem Jahr die Höchstdauer der Vorratsspeicherungdarstellen;


(1) Siehe in demselben Sinne auch die Stellungnahme des EDPSvom 23. März 2005 zu dem Vorschlag für eine Verordnung desEuropäischen Parlaments und des Rates über das Visa-Informa-tionssystem (VIS) und den Datenaustausch zwischen Mit-gliedstaaten über Visa für den kurzfristigen Aufenthalt(Abschnitt 3.12).

— die Daten nach Ablauf der Vorratsspeicherungsfristgelöscht werden. Im Text sollte ebenfalls präzisiertwerden, wie die Löschung erfolgen sollte. Nach Auf-fassung des EDPS muss ein Betreiber die Daten aufautomatische Weise löschen, und zwar mindestenseinmal pro Tag.

Artikel 8: Anforderungen an die Vorratsspeicherung

63. Dieser Artikel steht in enger Verbindung zu Artikel 3Absatz 2 und enthält eine wichtige Bestimmung, mit dersichergestellt werden kann, dass in ganz bestimmten Fällen derZugang zu den Daten auf die Daten beschränkt wird, diespeziell für diese Fälle benötigt werden. Nach Artikel 8 undArtikel 3 Absatz 2 ist davon auszugehen, dass die benötigtenDaten von den Betreibern an die Behörden weitergeleitetwerden und die Behörden keinen direkten Zugang zu denDatenbanken haben. Der EDPS empfiehlt, dies im Textausdrücklich aufzunehmen.

64. Die Bestimmung sollte präzisiert werden, indem ausge-führt wird, dass

— die benötigten Daten von den Betreibern an die Behördenweitergeleitet werden (siehe Nr. 63);

— die Betreiber die erforderlichen technischen Einrichtun-gen, einschließlich Suchmaschinen, installieren sollten,um den gezielten Zugriff auf die benötigten Daten zuerleichtern;

— die Betreiber sicherstellen sollten, dass nur Mitarbeiter,die für bestimmte technische Aufgaben verantwortlichsind, aus technischen Gründen Zugang zu den Daten-banken haben, und dass sich diese Mitarbeiter dessensitiven Charakters der Daten bewusst sind und nachstrengen internen Vertraulichkeitsregeln arbeiten;

— die Weiterleitung nicht nur unverzüglich, sondern auchso erfolgen sollte, dass keine anderen Verkehrs- undStandortdaten weitergegeben werden als die, die für dieZwecke der Anfrage benötigt werden.

Artikel 9: Statistik

65. Die Pflicht der Betreiber, jährlich eine Statistik zuübermitteln, hilft den Gemeinschaftsorganen, die Effizienzder Umsetzung und der Anwendung des vorliegendenVorschlags zu überwachen. Es bedarf ausreichender Informa-tionen.

66. Nach Auffassung des EDPS verleiht diese Verpflichtungdem Grundsatz der Transparenz Wirkung. Der europäischeBürger hat das Recht, zu wissen, wie effizient die Vorrats-speicherung von Daten ist. Aus diesem Grund sollte derBetreiber zusätzlich verpflichtet werden, Protokolle zu führenund systematisch (Selbst-)Kontrollen durchzuführen, um soden nationalen Datenschutzbehörden zu ermöglichen, diepraktische Anwendung der Datenschutzvorschriften zu über-wachen (1). Der Vorschlag sollte dementsprechend geändertwerden.

Artikel 10: Kosten

67. Wie bereits in Abschnitt II dargelegt, besteht eine direkteBeziehung zwischen der Eignung der Sicherheitsmaßnahmenund den Kosten für diese Maßnahmen, oder, mit anderenWorten, zwischen Sicherheit und Kosten. Der EDPS hält daherArtikel 10, der die Erstattung von nachweislich entstandenenZusatzkosten vorsieht, für eine wichtige Bestimmung, die fürdie Betreiber ein Anreiz sein könnte, in die technischeInfrastruktur zu investieren.

68. Nach den Schätzungen, die in der dem EDPS von derKommission vorgelegten Folgenabschätzung enthalten sind,sind die mit der Vorratsspeicherung verbundenen Kostenbeträchtlich. Für einen großen Netzbetreiber und Dienst-eanbieter würden sich die Kosten für eine einjährigeVorratsspeicherung auf mehr als 150 Mio. EUR belaufen,wobei die jährlichen Betriebskosten rund 50 Mio. EURausmachen würden. (2) Es gibt allerdings weder Zahlen zuden Kosten für zusätzliche Sicherheitsmaßnahmen, wie teureSuchmaschinen (siehe die Bemerkung zu Artikel 6), noch zuden (geschätzten) finanziellen Konsequenzen einer vollständi-gen Erstattung zusätzlicher Kosten des Betreibers.

69. Nach Auffassung des EDPS sind präzisere Zahlenerforderlich, damit der Vorschlag in seiner ganzen Tragweitebeurteilt werden kann. Er regt an, die finanziellen Kon-sequenzen des Vorschlags in der Begründung des Vorschlagsklar darzulegen.

70. Was im Einzelnen die Bestimmung von Artikel 10betrifft, so sollte die Beziehung zwischen der Eignung derSicherheitsmaßnahmen und den Kosten im Text der Bestim-mung klar zum Ausdruck gebracht werden. Überdies solltenim Vorschlag Mindeststandards für die Sicherheitsmaßnahmenvorgesehen werden, die die Betreiber ergreifen müssen, umAnspruch auf eine Rückerstattung durch einen Mitgliedstaatzu haben. Nach Auffassung des EDPS kann die Festlegungdieser Standards nicht ausschließlich den Mitgliedstaaten


(1) Siehe in demselben Sinne auch die Stellungnahme des EDPSvom 23. März 2005 zu dem Vorschlag für eine Verordnung desEuropäischen Parlaments und des Rates über das Visa-Informa-tionssystem (VIS) und den Datenaustausch zwischen Mit-gliedstaaten über Visa für den kurzfristigen Aufenthalt(Abschnitt 3.9).

(2) Die Kommission verweist auf Zahlen des ETNO (EuropäischerVerband der Telekommunikationsbetreiber) und auf einenBericht des MEP Alvaro zu dem Entwurf eines Rahmen-beschlusses.

überlassen werden. Dies könnte sich auf den mit der Richtlinieangestrebten Grad der Harmonisierung schädlich auswirken.Außerdem sollte berücksichtigt werden, dass die finanziellenKonsequenzen der Erstattung von den Mitgliedstaaten getra-gen werden.

Artikel 11: Änderung der Richtlinie 2002/58/EG

71. Die Beziehung zu Artikel 15 Absatz 1 der Richtlinie2002/58/EG sollte geklärt werden, da der vorliegendeVorschlag dieser Bestimmung viel von ihrem Inhalt nimmt.Die Bezugnahmen in Artikel 15 Absatz 1 der Richtlinie2002/58/EG auf die Artikel 6 und 9 (derselben Richtlinie)sollten gestrichen oder zumindest geändert werden, um zupräzisieren, dass die Mitgliedstaaten nicht länger die Befugnishaben, Straftaten betreffende Rechtsvorschriften anzunehmen,die einen Zusatz zu diesem Vorschlag darstellen. JeglicheUnklarheit in Bezug auf ihre verbleibenden Befugnisse — z. B.was die Vorratsspeicherung von Daten im Zusammenhang mitweniger schweren Straftaten anbelangt — muss ausgeräumtwerden.

Artikel 12: Bewertung

72. Der EDPS begrüßt, dass der Vorschlag einen Artikelenthält, wonach spätestens drei Jahre nach ihrem Inkrafttreteneine Bewertung der Richtlinie vorzulegen ist. Eine Bewertungist umso wichtiger, da Zweifel an der Notwendigkeit und derVerhältnismäßigkeit des Vorschlags bestehen.

73. Vor diesem Hintergrund rät der EDPS dazu, eine nochstrengere Verpflichtung einzuführen, die Folgendes enthaltensollte:

— Bei der Bewertung sollte auch evaluiert werden, wieeffizient die Umsetzung der Richtlinie aus der Sicht derStrafverfolgung ist und welche Auswirkungen die Rich-tlinie auf die Grundrechte des Betroffenen hat. DieKommission sollte dabei alle Nachweise berücksichtigen,die Auswirkungen auf die Bewertung haben könnten.

— Die Bewertung sollte in regelmäßigen Abständen vor-genommen werden (zumindest alle zwei Jahre).

— Die Kommission sollte verpflichtet sein, gegebenenfallsÄnderungen am Vorschlag vorzulegen (wie in Artikel 18der Richtlinie 2002/58/EG).

VI. Schlussfolgerungen

Voraussetzungen

74. Für den EDPS ist es ganz wichtig, dass in dem Vorschlagdie Grundrechte gewahrt bleiben. Eine Legislativmaßnahme,

durch die der Schutz beeinträchtigt würde, den das Gemein-schaftsrecht und insbesondere die Rechtsprechung desGerichtshofs und des Europäischen Gerichtshofs für Men-schenrechte gewährleisten, ist nicht nur unannehmbar,sondern auch illegal.

75. Die Notwendigkeit und die Verhältnismäßigkeit derPflicht zur Vorratsspeicherung — in ihrer ganzen Tragweite— bleibt nachzuweisen.

76. Was die Notwendigkeit anbelangt, so sieht der EDPS ein,dass sich die Umstände verändert haben; er ist aber trotzdemnoch nicht davon überzeugt, dass eine Vorratsspeicherung vonVerkehrs- und Standortdaten zu Strafverfolgungszwecken, wiesie in dem Vorschlag vorgesehen ist, erforderlich ist.

77. Der EDPS legt in dieser Stellungnahme trotzdem auchseine Auffassung zur Verhältnismäßigkeit des Vorschlags dar.Das heißt erstens, dass die Vorratsspeicherung von Verkehrs-und Standortdaten an sich keine geeignete oder wirksameReaktion darstellt. Es sind zusätzliche Maßnahmen erforder-lich, um sicherzustellen, dass die Behörden in einem ganzbestimmten Fall einen gezielten und schnellen Zugriff auf dieerforderlichen Daten haben. Zweitens sollten

— die Speicherungsfristen im Vorschlag begrenzt sein. DieseFristen müssen den Erfordernissen der Strafverfolgungs-behörden entsprechen;

— die Anzahl der zu speichernden Daten im Vorschlagbegrenzt sein. Diese Anzahl muss den Erfordernissen derStrafverfolgungsbehörden entsprechen und Gewähr dafürbieten, dass kein Zugang zu Inhaltsdaten möglich ist;

— im Vorschlag geeignete Schutzmechanismen enthaltensein.

Allgemeine Beurteilung

78. Der EDPS betont die Bedeutung der Tatsache, dass indem gegenwärtigen Text die vollständige Harmonisierung derwichtigsten Aspekte des Vorschlags vorgesehen ist, insbe-sondere die Harmonisierung der auf Vorrat zu speicherndenDaten, die Zeiträume, während deren die Daten gespeichertwerden sollen, sowie der (Zweck des) Zugang(s) zu den Datenund ihre(r) Weiterverwendung.

79. In einigen Punkten bedarf es einer weiteren Präzisierung,um z. B. sicherzustellen, dass nach Ablauf der Vorratsspeiche-rungsfrist eine entsprechende Löschung der Daten erfolgt, undum wirksam zu verhindern, dass verschiedene Interessen-gruppen Zugang zu den Daten haben und sie nutzen.


80. Nach Auffassung des EDPS sind folgende Punkte vongrößter Bedeutung, damit der Vorschlag aus Sicht desDatenschutzes annehmbar wird:

— Dem Vorschlag sollten als wesentlicher und festerBestandteil seines Gegenstands konkrete Bestimmungenüber den Zugang der zuständigen Behörden zu denVerkehrs- und Standortdaten und über die Weiterver-wendung der Daten hinzugefügt werden.

— Dem Vorschlag sollten zusätzliche Sicherheitsmecha-nismen für den Datenschutz hinzugefügt werden (imGegensatz zu einem einfachen Verweis auf Sicherheits-mechanismen in geltenden Rechtsvorschriften, insbeson-dere auf die Richtlinien 95/46/EG und 2002/58/EG), u. a.um sicherzustellen, dass der Betroffene seine Rechteausüben kann.

— Der Vorschlag sollte um weitere Anreize — auchfinanzieller Art — für die Betreiber ergänzt werden,damit diese in eine angemessene technische Infrastrukturinvestieren. Diese Infrastruktur kann nur dann ange-messen sein, wenn es auch entsprechende effizienteSuchmaschinen gibt.

Empfehlungen zur Änderung des Vorschlags

81. Zu Artikel 3 Absatz 2:

— Aufnahme einer Bestimmung, damit sichergestellt wird,dass niemand anders als die zuständigen BehördenZugang zu den Daten hat. Diese Bestimmung könntefolgendermaßen formuliert sein: „Der Zugang zu denDaten und/oder ihre Verarbeitung ist nur zu dem inArtikel 3 Absatz 2 genannten Zweck gestattet“ oder „dieBetreiber gewährleisten, dass nur den zuständigenBehörden Zugang zu den Daten gewährt wird“;

— Präzisierung, dass die Daten nur weitergegeben werdendürfen, wenn dies im Zusammenhang mit einerspezifischen Straftat erforderlich ist;

— Begrenzung der Bestimmung auf bestimmte schwereStraftaten;

— Aufnahme eines oder mehrerer Artikel über den Zugangder zuständigen Behörden zu den Standort- undVerkehrsdaten und über die Weiterverwendung derDaten sowie einer Bestimmung in den Vorschlag, wonachder Zugang in ganz bestimmten Fällen der gerichtlichenKontrolle in den Mitgliedstaaten unterliegen sollte;

— Aufnahme eines Absatzes zum Datenschutz.

82. Zu den Artikeln 4 und 5:

— Aufnahme des folgenden Satzes in Artikel 4 Absatz 2: „Inden Anhang dürfen keine Daten aufgenommen werden,die den Inhalt einer Kommunikation offen legen.“;

— Präzisierung, dass Überarbeitungen des Anhangs, diewesentliche Auswirkungen auf den Datenschutz haben,vorzugsweise im Wege einer Richtlinie nach demMitentscheidungsverfahren vorgenommen werden.

83. Zu Artikel 7: Präzisierung im Text, dass

— die Vorratsspeicherungsfristen von sechs Monaten bzw.einem Jahr die Höchstdauer der Vorratsspeicherungdarstellen;

— die Daten nach Ablauf der Vorratsspeicherungsfristgelöscht werden. Im Text sollte ebenfalls präzisiertwerden, wie die Löschung erfolgen sollte, nämlich durchden Betreiber auf automatische Weise, und zwarmindestens einmal pro Tag.

84. Zu Artikel 8: Präzisierung im Text, dass

— die benötigten Daten von den Betreibern an die Behördenweitergeleitet werden;

— die Betreiber die erforderlichen technischen Einrichtun-gen einschließlich Suchmaschinen installieren sollten, umeinen gezielten Zugriff auf die benötigten Daten zuerleichtern;

— die Betreiber sicherstellen sollten, dass nur Mitarbeiter,die für bestimmte technische Aufgaben verantwortlichsind, aus technischen Gründen Zugang zu den Daten-banken haben, und dass sich diese Mitarbeiter dessensitiven Charakters der Daten bewusst sind und nachstrengen internen Vertraulichkeitsregeln arbeiten;

— die Datenübermittlung nicht nur unverzüglich, sondernauch so erfolgen sollte, dass keine anderen Verkehrs- undStandortdaten weitergegeben werden als die, die für dieZwecke der Anfrage benötigt werden.

85. Zu Artikel 9:

— Aufnahme einer Bestimmung, mit der der Betreiberzusätzlich verpflichtet wird, Protokolle zu führen undsystematisch (Selbst-)Kontrollen durchzuführen, um soden nationalen Datenschutzbehörden zu ermöglichen,die praktische Anwendung der Datenschutzvorschriftenzu überwachen.


86. Zu Artikel 10:

— Präzisierung der Beziehung zwischen der Eignung derSicherheitsmaßnahmen und den Kosten im Text derBestimmung;

— Aufnahme von Mindeststandards für die Sicherheits-maßnahmen, die die Betreiber ergreifen müssen, umAnspruch auf eine Rückerstattung durch einen Mitglied-staat zu haben;

— klare Darstellung der finanziellen Konsequenzen desVorschlags in seiner Begründung.

87. Zu Artikel 11:

— Änderung von Artikel 15 Absatz 1 der Richtlinie2002/58/EG, indem die Verweise auf die Artikel 6 und9 (derselben Richtlinie) gestrichen oder zumindest

abgeändert werden, um zu präzisieren, dass die Mit-gliedstaaten nicht länger die Befugnis haben, Straftatenbetreffende Rechtsvorschriften anzunehmen, die einenZusatz zu diesem Vorschlag darstellen.

88. Zu Artikel 12: Änderung der Bestimmung über dieBewertung:

— Bei der Bewertung sollte auch evaluiert werden, wieeffizient die Umsetzung der Richtlinie ist;

— die Bewertung sollte in regelmäßigen Abständen vor-genommen werden (zumindest alle zwei Jahre);

— die Kommission sollte verpflichtet sein, gegebenenfallsÄnderungen zum Vorschlag vorzulegen (wie in Artikel 18der Richtlinie 2002/58/EG).

Geschehen zu Brüssel am 26. September 2005.

Peter HUSTINXEuropäischer Datenschutzbeauftragter


EUROPÄISCHER DATENSCHUTZBEAUFTRAGTER · Dudgeon, A45, Nr. 7525. des Dudgeon-Urteils erfüllt. Die...

Documents

Transcript of EUROPÄISCHER DATENSCHUTZBEAUFTRAGTER · Dudgeon, A45, Nr. 7525. des Dudgeon-Urteils erfüllt. Die...