ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

Wo liegt Prüm?
Der polizeiliche Datenaustausch in der EU bekommt eine neue Dimension

Thilo Weichert

Am 27. Mai 2005 wurde in Prüm ein internationaler Vertrag zwischen den EU-Mitgliedstaaten Deutschland, Spanien, Frankreich, Luxemburg, Holland, Österreich und Belgien unterzeichnet. In dieser ratifizierungsbedürftigen Vereinbarung sehen die Partner einen verstärkten und erleichterten polizeilichen Datenaustausch vor. Dieser Vertrag soll und kann dazu beitragen, dass die grenzüberschreitende Strafverfolgung und die Gefahrenabwehr verbessert werden. Dabei werden Datenschutzfragen aufgeworfen, die - wenn sie nicht beantwortet werden können - zum Bumerang nicht nur für die Bürgerrechte, sondern auch für die Polizei werden können. Im Folgenden wird der Vertrag dargestellt und aus Datenschutzsicht bewertet.

I. Einführung

Prüm liegt in Rheinland-Pfalz, nicht sehr weit entfernt von dem noch kleineren luxemburgischen Grenzort Schengen, der inzwischen europaweit über das Schengen-Vertragswerk und das Schengener Informationssystem (SIS) bekannt geworden ist. Der Vertrag von Prüm ist kein Bestandteil des Schengenvertrags und soll auch kein Teil des in die EU-Strukturen integrierten Schengen-Acquis werden. Doch folgt er dem Modell der Schengen-Zusammenarbeit, bevor diese im Amsterdam-Vertrag von 1999 in die erste und die dritte Säule der EU integriert wurde: Eine Gruppe von EU-Kernstaaten einigen sich außerhalb der formellen Strukturen der EU auf eine engere Zusammenarbeit mit dem erklärten Ziel, die auf einer multilateralen Ebene entwickelten Regeln in die EU hineinzutragen. Daraus folgt auch, dass das Europäische Parlament während der zwischenstaatlichen Phase nichts zu sagen hat. Es wird auch nur noch einen begrenzten Einfluss haben, wenn die sieben Staaten - oder inzwischen einige mehr - ihre Regeln in die EU integrieren wollen. Nach Art. 51 des Vertrags von Prüm können - nach Akzeptieren der vorgegebenen Regeln - sämtliche EU-Mitgliedstaaten dem Vertrag von Prüm beitreten.

Die Einbeziehung in die EU-Strukturen soll spätestens drei Jahre nach Inkrafttreten des Vertrages erfolgen, also nach Ratifizierung des Prümer Vertrages durch die sieben nationalen Parlamente. Während dieser Zeit werden die Vertragsparteien die Umsetzungsvereinbarungen ausarbeiten, in denen die technischen Details festgelegt werden, z.B. die Einrichtung der Kontaktstellen, die technische Verknüpfung der Datenbanken oder die Form der Übermittlung der zusätzlich vermittelten Daten.

II. Verfügbarkeit versus Datenschutz

Der Vertrag muss im Zusammenhang gesehen werden mit den Bestrebungen innerhalb der EU, das sog. "Prinzip der Verfügbarkeit" (principle of availability) zu verwirklichen. Dieses sieht einen weitgehenden und möglichst unbeschränkten Datenaustausch zwischen den Strafverfolgungs- und Polizeibehörden in den EU-Mitgliedstaaten vor. Dabei handelt es sich um Pläne, die nach den Bombenanschlägen von Madrid am 11.03.2004 entwickelt worden sind (Vorschlag für einen Rahmenbeschluss des Rates über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit, KOM -2005- 490 eng. Ratsdok. 1341/05 = BR-Drs. 770/05). Konkret verpflichten sich die Mitgliedstaaten, gleichwertigen Strafverfolgungsbehörden und Europol die Daten zur Verfügung zu stellen, "die diese zur Erfüllung ihrer gesetzlichen Aufgaben im Hinblick auf die Verhütung, Aufdeckung und Untersuchung von Straftaten benötigen". Zu diesem Zweck werden gegenseitige Online-Zugriffe auf Strafverfolgungsdateien eröffnet. Zugegriffen werden soll zunächst auf folgende Daten: DNA-Profile, Fingerabdrücke, Kfz-Halterdaten, Telekommunikationsbestands- und Verbindungsdaten sowie Identifizierungs- und Personenstandsdaten. Soweit die online angebundenen Verfahren Indexdateien sind, sollen auch die Dokumente beschafft werden können, auf die hingewiesen wird. Rechtsstaatliche Sicherung sind in dem geplanten Rahmenbeschluss nicht vorgesehen.

Das Prinzip der Verfügbarkeit soll die traditionellen Formen des Datenaustauschs in ihrer Logik in ihr Gegenteil umkehren: Bisher wird in Verträgen geregelt, welche Daten unter welchen Bedingungen ausgetauscht werden dürfen. Dies gilt selbst noch für die weit reichenden und kritikbedürftigen Regelungen in der Europol-Konvention. Dem gegenüber geht das Prinzip der Verfügbarkeit davon aus, dass grds. alle Daten weitergegeben werden können.

Zwar folgte diesem Rahmenbeschluss einige Monate später im Oktober 2005 - eher als Beweis schlechten Gewissens als als Indiz für die Grundrechtssensibilität - von der Kommission ein Vorschlag für einen "Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden" (KOM -2005- 475 endg. 2005/0202 -CNS). Doch würde auch dieses Dokument den Datenschutz im Bereich Justiz und Inneres nicht wesentlich verbessern. Es ergeht sich wortreich in allgemeinen Grundsätzen des Datenschutzes, um schließlich jede Datenverarbeitung zu erlauben, die nach nationalem Recht zugelassen wird und die "zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder zur Abwehr einer Bedrohung der öffentlichen Sicherheit oder einer Person erforderlich" ist und keine "Interessen oder Grundrechte der betroffenen Person überwiegen". Durch diese Abwägungsklausel wird es letztendlich den beteiligten Polizeibehörden überlassen, die Betroffeneninteressen durch eigene Strafverfolgungsbelange auszustechen.

Der Entwurf des Rahmenbeschlusses zum Polizeidatenschutz nimmt keine Unterscheidung zwischen Strafverfolgung und Gefahrenabwehr vor. Jedes Bagatelldelikt kann den Austausch und die Nutzung von Daten legitimieren, selbst wenn dieses Delikt in einem der beteiligten Staaten nicht strafbar ist. Zwar wird zwischen verschiedenen Rollen der Betroffenen differenziert, also z.B. nach Eigenschaft als Täter, Verdächtiger, Opfer, Hinweisgeber, Sonstiger. Doch werden hieraus keine materiellrechtlichen Konsequenzen gezogen. Die Anwendbarkeit für Daten aus Akten wird ausgeschlossen. So lässt sich der Datenschutz in der Dritten Säule der EU nicht gewährleisten.

Der Grundgedanke der Verfügbarkeit liegt dem Vertrag von Prüm insofern zu Grunde, als er ein generelles Zugangs- und Abrufrecht zu Registern und Datenbanken der Vertragsstaaten gewährt und zusätzlich die Möglichkeit eröffnet, weitere Informationen und Erkenntnisse abzufordern.

III. Der Abgleich von DNA-Profilen

Alle Vertragsstaaten verpflichten sich zur Einrichtung von forensischen DNA-Datenbanken. Ebenso wie bei den Fingerabdrucksystemen (z.B. dem deutschen "Automatisierten Fingerabdruckidentifikationssystem" - AFIS) werden die digital verformelten DNA-Daten mit Namensangaben einer bestimmten Person oder bei Spuren mit Angaben zu einem bestimmten Sachverhalt/einer bestimmten Straftat in einer Datenbank gespeichert. Spurendaten sind als solche registriert. Art. 2 beschreibt die inhaltlichen Anforderungen an die nationalen DNA-Datenbanken, ohne aber Datenschutzbestimmungen festzulegen. Zugriffsfähig sind damit grds. extensive Datenbanken wie die britische, bei denen Speicherungen auch im Bagatellbereich und auf Verdachtsbasis erfolgen, sowie solche, bei denen höhere materiellrechtliche und verfahrensrechtliche Voraussetzungen vorliegen müssen. Als einzige Schranke ist normiert, dass die Daten nur für Zwecke der Strafverfolgung ausgetauscht werden dürfen und nicht für präventive Polizeizwecke. Die digitalen DNA-Profile (Fundstellendatensätze) dürfen nicht auf codierenden Genabschnitten beruhen.

Die entsprechenden DNA-Datenbanken werden den anderen Vertragsstaaten zugänglich gemacht. Die Fundstellendatensätze werden vollständig zum Abgleich zur Verfügung gestellt. Im Fall eines "Treffers" erhält die anfragende nationale Kontaktstelle automatisiert eine Meldung mit Hinweis auf die Kennung. Die weitere Kommunikation bzw. der weitere Datenaustausch erfolgt über die nationalen Kontaktstellen, denen eine ähnliche Rolle zukommt wie den SIRENE-Büros beim Schengen-System. Die weitere Übermittlung von den zu den Fundstellendatensätzen vorhandenen personenbezogenen Daten erfolgt nach dem innerstaatlichen Recht, insbes. den Vorschriften über die Rechtshilfe der ersuchten Vertragspartei (Art. 5), soweit diese Daten verfügbar sind. Art. 7 regelt ergänzend, dass Vertragsstaaten Rechtshilfe bei der Gewinnung molekulargenetischen Materials und der Übermittlung von DNA-Profilen leisten, wenn sich die gesuchte Person auf dem jeweiligen Territorium befindet. Voraussetzung ist, dass die DNA-Analyse sowohl nach dem Recht des ersuchten wie nach dem des ersuchenden Landes zulässig ist.

IV. Fingerabdrücke (daktyloskopische Daten)

Der Vertrag erlaubt in Art. 8 den gegenseitigen Zugriff auf daktyloskopische Daten und Hinweisdaten (Kennung), die jedoch keine identifizierenden Daten enthalten dürfen. Auf das Recht des abgebenden Staates kommt es nicht an, so dass sich die anfragende Polizei nicht mit dessen Recht auseinandersetzen muss. Die präzise Zuordnung des Fingerabdrucks erfolgt nach Übermittlung der Fundstellendatensätze durch die abrufende Stelle. Als Zweck sind nicht nur die Strafverfolgung, sondern auch die Gefahrenabwehr (Verhinderung von Straftaten) zugelassen. Der Datenaustausch im Trefferfall ist vergleichbar geregelt wie bei DNA-Treffern (Art. 10).

V. Kfz-Fahrzeug- und -Halterdaten

Den nationalen Kontaktstellen der anderen Vertragsstaaten wird zum Zweck der Strafverfolgung und umfassend der Gefahrenabwehr sowie zur Verfolgung von Ordnungswidrigkeiten, für die die Staatsanwaltschaft oder Gerichte zuständig sind, der automatisierte Einzelabruf von Eigentümer- bzw. Halterdaten sowie von Fahrzeugdaten aus nationalen Registern erlaubt (Art. 12). Voraussetzung ist die Verwendung des vollständigen Kennzeichens bzw. der vollständigen Kfz-Identifizierungsnummer. Die Abfrage muss mit dem Recht des abrufenden Vertragsstaates vereinbar sein.

VI. Politische Demonstrationen und Großveranstaltungen (Art. 13-15)

Die Zusammenarbeit in diesem Bereich geht bis in die 80er Jahre zurück. Sie wurde in den 90er Jahren zunächst innerhalb der Schengen-Gruppe geregelt, dann im Rahmen des Rates der EU zum Gegenstand einer Gemeinsamen Aktion gemacht. Dabei erfolgte die Einrichtung von nationalen Kontaktstellen; Verbindungsoffiziere wurden in den Staat mit dem Großereignis gesandt; Informationen wurden ausgetauscht. Der während des G-8-Gipfels in Genua im Jahr 2001 praktizierte personenbezogene Informationsaustausch - einschließlich der Übermittlung von "schwarzen Listen" - wird nun legalisiert. Daten können spontan oder auf Anfrage ausgetauscht werden für Zwecke der Gefahrenabwehr oder Strafverfolgung. Wie die Praxis von Genua zeigte, kann dies z.B. Vorbeugegewahrsam, Inhaftnahme oder Einreiseverweigerung zur Folge haben.

VII. Übermittlung zur Verhinderung terroristischer Straftaten (Art. 16)

Diese Form des Austauschs besteht seit den späten 70er Jahren und geht auf die TREVI-Zusammenarbeit zurück. Kontaktstellen waren die Staatsschutzpolizeien. Die Kommunikation erfolgte zunächst über ein geschlossenes Fax-Netz, das später unter dem Begriff "BDL-Netzwerk" bekannt wurde. BDL bedeutet "bureau de liaison" (Verbindungsbüro). Es ist nicht eindeutig erkennbar, was sich in diesem Bereich mit dem Prüm-Vertrag ändern soll.

Namen, weitere Identifikationsdaten sowie sonstige Angaben dürfen übermittelt werden, soweit dies erforderlich ist, weil bestimmte Tatsachen die Annahme rechtfertigen, dass die Betroffenen Straftaten nach den Art. 1-3 des Rahmenbeschlusses 2002/475/JI des EU-Rates vom 13.06.2002 zur Terrorismusbekämpfung begehen werden. Der automatisierte Abgleich darf im Einzelfall nach Maßgabe des innerstaatlichen Rechts des abrufenden Staates erfolgen. Die Übermittlung setzt keine Anfrage voraus. Entsprechendes ist nach Art. 46 des Schengener Durchführungsabkommens schon zulässig, ohne dass dort die Beschränkung auf den Rahmenbeschluss des EU-Rates bestünde. Erfasst sind nicht nur terroristische Anschläge, sondern auch extremistische Bestrebungen oder etwa auch politisch begründete Aktionen zivilen Ungehorsams.

Die übermittelnde Stelle kann die Übermittlung mit Nutzungsbeschränkungen für die empfangende Stelle versehen. Diese Beschränkungen können sich auf eine Nutzung als Gerichtsbeweis oder im Rahmen einer konkreten strafrechtlichen Ermittlung beziehen. Sie sind üblich, wenn die Informationen von Informanten, von verdeckten Ermittlern, aus Abhöraktionen oder uas dem Einsatz besonderer Ermittlungstechniken stammen. V.a. Staatsschutzabteilungen und Geheimdienste haben oft ein gesteigertes Interesse am Schutz bzw. am Verbergen ihrer Quellen.

VIII. Sonstige Regelungsbereiche

Art. 17 und 18 haben keine Datenschutzrelevanz. Sie erlauben den Einsatz von bewaffneten Flugsicherheitsbegleitern (sky marshals) in Luftfahrzeugen. Kapitel 4 (Art. 20-23) des Vertrages bezieht sich auf die Bekämpfung illegaler Migration, u.a. den Einsatz von Verbindungsbeamten und Dokumentenberatern. Der Austausch über "Erkenntnisse zur illegalen Migration" kann sich nur auf allgemeine Informationen beziehen; ein personenbezogener Austausch wird mit der Regelung des Art. 20 Abs. 2 nicht erlaubt. Die in Art. 23 normierte Unterstützung bei Rückführungen erfolgte schon in der Vergangenheit (z.b. bei der vom deutschen Bundesgrenzschutz praktizierten Rückführung von 17 afrikanischen Asylsuchenden gemeinsam mit belgischen und schweizer Behörden. Auch insofern legitimieren die neuen Regelungen nicht zu einem erweiterten Austausch von Personendaten.

Art. 24 regelt die Intensivierung der polizeilichen Zusammenarbeit durch gemeinsame Einsatzformen, wobei - nach Maßgabe des innerstaatlichen Rechts - fremde Polizeibeamte muit der Wahrnehmung hoheitlicher Befugnisse betraut werden können. Weitere Regelungen betreffen die Nacheile (Art. 25) und die Hilfeleistung bei Großereigenissen, Katastrophen und Unglücksfällen (Art. 26). Eine weiter gehende grenzüberschreitende Polizeizusammenarbeit hat Deutschland z.B. mit der Schweiz durch Vertrag vom April 1999 verabredet (von gemeinsamen Streifen bis hin zu Verhaftungsrechten).

In Art. 27 verpflichten sich die Vertragsstaaten auf Ersuchen zur gegenseitigen Hilfeleistung auch in personenbezogenen Fällen unter Bezugsnahme auf die Schengener Vertragsregelungen.

IX. Datenschutz

Kapitel 7 des Vertrags von Prüm (Art. 33 bis 41) enthält Bestimmungen zum Datenschutz. Dabei werden die allgemeinen international bestehenden Datenschutzdefinitionen und Prinzipien bekräftigt. Hinsichtlich des nationalen Datenschutzniveaus wird auf die Datenschutzkonvention des Europarates von 1981 und auf dessen Empfehlung zur Datenverarbeitung im Polizeibereich von 1987 Bezug genommen und zwar auch, soweit Daten nicht automatisiert verarbeitet werden (Art. 34). In Anlage 2 zum Vertrag von Prüm kommen die Vertragsstaaten in einer gemeinsamen Erklärung überein, "dass die Voraussetzungen für die Übermittlung von personenbezogenen Daten nach Kapitel 7 des Vertrages, soweit diese nicht den automatisierten Abruf oder Abgleich betreffen, im Wesentlichen bereits zum Zeitpunkt der Unterzeichnung vorliegen", bzw. "dass sie hinsichtlich der noch fehlenden Voraussetzungen nach Kapitel 7 insbesondere im Bereich des automatisierten Abrufs oder Abgleichs, diese schnellst möglich schaffen werden".

Art. 35 regelt - über die o.g. allgemeinen Regelungen hinausgehend - die Zweckbindung der nach dem Vertrag übermittelten Daten. Dabei wird festgelegt, dass die zum automatisierten Abruf genutzten Daten ausschließlich für den jeweiligen konkreten Einzelfall (und für Datenschutzzwecke) genutzt werden dürfen und danach - außer im materiell begründeten "Trefferfall" - unverzüglich gelöscht werden müssen.

Jede Übermittlung nach dem Vertrag muss für Zwecke der Datenschutzkontrolle protokolliert werden. Diese für zwei Jahre zu speichernden Daten dürfen ausschließlich für Zwecke der Datenschutzkontrolle und zur Gewährleistung der Datensicherheit genutzt werden (Art. 39).

Gemäß Art. 41 informiert die empfangende Vertragspartei "die übermittelnde Vertragspartei über die Verarbeitung der übermittelten Daten und des dadurch erzielten Ergebnisses". Es ist dabei nicht ausdrücklich klargestellt, dass diese Informationen ausschließlich für Datenschutzzwecke genutzt werden dürfen.

X. Bemerkungen zum Vertrag

Der Vertrag von Prüm enthält aus Datenschutzsicht Licht und Schatten. Zu begrüßen ist grundsätzlich das Datenschutzregime mit einer umfassenden Protokollierungspflicht und einer bzgl. der Protokolldaten geltenden strengen Zweckbindung. Zugleich erfolgt mit dem Vertrag aber ein Paradigmenwechsel bei der polizeilichen Zusammenarbeit, indem die Datenbanken der Polizei zum gegenseitigen Abruf bereit gestellt werden. Bzgl. des Datenschutzniveaus bei den Abfragern wird letztendlich auf das dort geltende nationale Datenschutzrecht verwiesen. Als Mindeststandard werden die Empfehlungen des Europarates aus dem Jahr 1987 (!) herangezogen, die ausdrücklich nicht den Anspruch auf Verbindlichkeit erheben. Mehr als dies: Ohne ersichtliche tatsächliche Prüfung wird unterstellt, dass das Datenschutzniveau in den beteiligten Ländern schon ausreichend sein dürfte. Und sollte dies nicht der Fall sein, so versprechen sich die Partner - ohne Verbindlichkeit und Kontrolle - nachzubessern. Defizite sollen jedenfalls kein Hindernis für den Datenaustausch schon am Tag nach dem Inkrafttreten des Vertrags sein. Selbst wenn der derzeit als Entwurf vorliegende EU-Rahmenbeschluss für den Datenschutz im Bereich der Strafverfolgung anwendbar würde (s.o. II.), könnte kaum eine materielle Verbesserung erreicht werden.

Datenschutz und polizeilicher Datenaustausch sind zwei Dinge, die in der Praxis wenig miteinander zu tun haben müssen. Wer die polizeiliche Datenverarbeitung in Deutschland kennt und die Nichtbeachtung der Kennzeichnungs- und Zweckbindungspflichten, der wird begründete Zweifel haben, dass sich dies in Deutschland nach Inkrafttreten des Vertrages von Prüm ändern wird und dass dem in den anderen Vertragsstaaten Folge geleistet werden wird.

Der Vertrag von Prüm ist insofern ein weiterer Beleg eines äußerst beklagenswerten Umstandes - des Fehlens von verbindlichen Datenschutzstandards innerhalb der EU im Bereich der dritten Säule. Während bzgl. des Datenaustauschs und sonstiger Ermittlungen der Polizei immer mehr Befugnisse eingeräumt werden - jeweils angestoßen durch spektakuläre internationale Straftaten - entwickeln die EU und die nationalen Regierungen keine ernsthaften Anstrengungen zur Gewährleistung gemeinsamer verbindlicher Datenschutzregelungen und eines einheitlichen Verfahrens. Schlimmer noch beim Vertrag von Prüm: Durch Abschluss eines völkerrechtlichen Vertrages - außerhalb der EU-Strukturen - werden sämtliche EU-Institutionen ausgeschlossen. Dies hat fatale Konsequenzen für die rechtliche wie die parlamentarische Kontrolle: die europäischen Gerichte und das Europäische Parlament sind nicht zuständig. Die nationalen Organe und Gremien können ihre theoretisch zustehenden Kontroll- und Einspruchsmöglichkeiten de facto nicht wahrnehmen.

Der Vertrag von Prüm ist im Internet verfügbar unter http://www.statewatch.org/news/2005/jul/schengenIII-german-full.pdf.
Die Anlagen dazu befinden sich unter http://www.statewatch.org/news/2005/jul/schengenIII-german-Anl2.pdf.