Der Bundesrat hat in seiner 861. Sitzung am 18. September 2009 gemäß §§ 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:
- 1. Aus Sicht des Bundesrates begegnet die beabsichtigte Errichtung einer Agentur, die für das Betriebsmanagement sämtlicher IT-Großsysteme im Bereich der Freiheit, der Sicherheit und des Rechts zuständig sein soll, grundsätzlichen Bedenken.
- 2. Der Bundesrat betont, dass der vorliegende Vorschlag im Widerspruch zu seiner grundsätzlichen Haltung über die Errichtung europäischer Agenturen (BR-Drucksache 228/08(B)
) steht. Danach dürfen Gemeinschaftsagenturen nur in begründeten Ausnahmefällen und nur nach Prüfung ihrer Notwendigkeit (Mehrwert) und von Alternativen im Hinblick auf Deregulierung, Subsidiarität, Verhältnismäßigkeit (Kosten-Nutzen-Analyse) und Konzentration eingerichtet werden. Dies wird in der Folgenabschätzung zum Kommissionsvorschlag nicht hinreichend nachgewiesen. Zudem bedauert der Bundesrat, dass die Kommission mit vorliegendem Vorschlag zur Errichtung einer Agentur nicht seine Anregung aufgreift, auch bereits vorgeschlagene, aber noch nicht errichtete Agenturen in den angekündigten "Agenturenstopp" einzubeziehen. Vor diesem Hintergrund bittet der Bundesrat die Bundesregierung, in den weiteren Verhandlungen kritisch zu hinterfragen, ob die Errichtung einer neuen EU-Agentur tatsächlich notwendig und wirtschaftlich ist. Nach Auffassung des Bundesrates könnten die Aufgaben der hier vorgeschlagenen neuen Agentur an bereits bestehende Behörden angegliedert werden. - 3. Der Verordnungsvorschlag genügt nicht den Anforderungen, die sich aus den Bestimmungen für den Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft ergeben:
- - Der Vorschlag enthält keine hinreichend bestimmte Aufgabenzuweisung an die Agentur.
Die Agentur soll Aufgaben wahrnehmen, die auf Grundlage der SIS-II-Verordnung (Verordnung Nr. 1986/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über den Zugang von für die Ausstellung von Kfz-Zulassungsbescheinigungen zuständigen Dienststellen der Mitgliedstaaten zum Schengener Informationssystem der zweiten Generation, Abl. L 381 vom 28. Dezember 2006, Seite 1), der VIS-Verordnung (Verordnung Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt, ABl. L 218 vom 13. August 2008, Seite 60) und der EURO-DAC-Verordnung (Verordnung Nr. 2725/2000 des Rates vom 11. Dezember 2000 über die Errichtung von "EURODAC" für den Vergleich von Fingerabdrücken zum Zwecke der effektiven Anwendung des Dubliner Übereinkommens, ABl. L 316 vom 15. Dezember 2000, Seite 1) jeweils besonderen "Verwaltungsbehörden" übertragen worden sind; für diese Aufgaben ist bislang die Kommission zuständig. Der Europäische Datenschutzbeauftragte hat die Zuständigkeit der Kommission für das Betriebsmanagement zusammen mit ihrer führenden Rolle bei Entwicklung und Wartung der eingerichteten IT-Großsysteme datenschutzrechtlich als eine "Kontrollaufgabe sui generis" charakterisiert (Stellungnahmen vom 23. März 2005, ABl. C 181 vom 23. Juli 2005, Seiten 13, 24, und vom 19. Oktober 2005, ABl. C 91 vom 19. April 2006, Seiten 38, 49). Diese Kontrollaufgabe umfasse zum einen viel mehr als eine Verarbeitungsaufgabe (insbesondere Systementwicklung); zum anderen sei sie eingeschränkter als die einer gewöhnlichen Kontrollstelle, da die Kommission keinen Zugang zu den in den IT-Großsystemen verarbeiteten personenbezogenen Daten habe.
- - Es fehlt an einer Klarstellung, dass der Agentur keine hoheitlichen Entscheidungsbefugnisse gegenüber den von der Datenverarbeitung innerhalb des jeweiligen IT-Großsystems betroffenen Personen zugewiesen werden.
- - Der Vorschlag enthält keine ausdrückliche Klarstellung, dass die Übertragung des Betriebsmanagements auf die Agentur sich nicht auf die für die betroffenen IT-Großsysteme geltenden besonderen Vorschriften auswirken darf; dies gilt insbesondere für die Vorschriften, die Zweckgebundenheit, Zugangsrechte, Sicherheitsmaßnahmen und Datenschutzanforderungen in Bezug auf diese Systeme regeln.
- - Der Vorschlag enthält keine hinreichend bestimmte Aufgabenzuweisung an die Agentur.
Der Vorschlag sieht bislang in Artikel 25 lediglich eine pauschale Regelung zum Datenschutz vor. Danach sollen Informationen, die von der Agentur verarbeitet werden, der Verordnung (EG) Nr. 045/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12. Januar 2001, Seite 1) unterliegen; der Verwaltungsrat soll die Maßnahmen für die Anwendung dieser Verordnung durch die Agentur festlegen. Hingegen wird das Verhältnis zu den Datenverarbeitungsbefugnissen der mitgliedstaatlichen Behörden, die an die IT-Großsysteme angeschlossen sind, nicht angesprochen.
Der Text von Erwägungsgrund 11 sollte daher ausdrücklich in den Regelungsteil der Verordnung aufgenommen werden.