861. Sitzung des Bundesrates am 18. September 2009
A.
Der federführende Ausschuss für Fragen der Europäischen Union (EU) und der Rechtsausschuss (R) empfehlen dem Bundesrat, zu der Vorlage gemäß §§ 3 und 5 EUZBLG wie folgt Stellung zu nehmen:
- 1. Aus Sicht des Bundesrates begegnet die beabsichtigte Errichtung einer Agentur, die für das Betriebsmanagement sämtlicher IT-Großsysteme im Bereich der Freiheit, der Sicherheit und des Rechts zuständig sein soll, grundsätzlichen Bedenken.
- 2. Der Bundesrat betont, dass der vorliegende Vorschlag im Widerspruch zu seiner grundsätzlichen Haltung über die Errichtung europäischer Agenturen (BR-Drucksache 228/08(B)
) steht. Danach dürfen Gemeinschaftsagenturen nur in begründeten Ausnahmefällen und nur nach Prüfung ihrer Notwendigkeit (Mehrwert) und von Alternativen im Hinblick auf Deregulierung, Subsidiarität, Verhältnismäßigkeit (Kosten-Nutzen-Analyse) und Konzentration eingerichtet werden. Dies wird in der Folgenabschätzung zum Kommissionsvorschlag nicht hinreichend nachgewiesen. Zudem bedauert der Bundesrat, dass die Kommission mit vorliegendem Vorschlag zur Errichtung einer Agentur nicht seine Anregung aufgreift, auch bereits vorgeschlagene, aber noch nicht errichtete Agenturen in den angekündigten "Agenturenstopp" einzubeziehen. Vor diesem Hintergrund bittet der Bundesrat die Bundesregierung, in den weiteren Verhandlungen kritisch zu hinterfragen, ob die Errichtung einer neuen EU-Agentur tatsächlich notwendig und wirtschaftlich ist. Nach Auffassung des Bundesrates könnten die Aufgaben der hier vorgeschlagenen neuen Agentur an bereits bestehende Behörden angegliedert werden. - 3. Die Zusammenführung unterschiedlichster Datenbanksysteme verbunden mit einem Portalsystem, das jeden Informationswunsch der nationalen Polizei- und Sicherheitsbehörden in jeweils datenbankspezifische Anfragesysteme einbringt, setzt die betroffenen Daten im Vergleich zu einer getrennten Datenhaltung innerhalb des jeweiligen IT-Großsystems einem erhöhten Risiko auch missbräuchlichen Zugriffs aus. Die allgegenwärtigen Nutzungsmöglichkeiten vernetzter informationstechnischer Systeme führen nicht nur zu einem immensen Anfall von personenbezogenen Daten der betroffenen Personen und eröffnen damit Rückschlüsse auf die Persönlichkeit, die bis hin zu einer umfassenden Profilbildung reichen können. Sie wecken zugleich auch Begehrlichkeiten der nationalen Polizei- und Sicherheitsbehörden, auf diese gebündelten "Informationsquellen" zuzugreifen.
Um diesem erhöhten Missbrauchsrisiko wirksam zu begegnen, sollten anstelle einer zentralen Agentur nicht vernetzte Verwaltungsbehörden innerhalb des jeweiligen IT-Großsystems (bislang SIS II, VIS, EURODAC) geschaffen werden.
- 4. Der Verordnungsvorschlag genügt nicht den Anforderungen, die sich aus den Bestimmungen für den Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft ergeben:
- - Der Vorschlag enthält keine hinreichend bestimmte Aufgabenzuweisung an die Agentur.
Die Agentur soll Aufgaben wahrnehmen, die auf Grundlage der SIS-II-Verordnung (Verordnung Nr. 1986/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über den Zugang von für die Ausstellung von Kfz-Zulassungsbescheinigungen zuständigen Dienststellen der Mitgliedstaaten zum Schengener Informationssystem der zweiten Generation, Abl. L 381 vom 28. Dezember 2006, Seite 1), der VIS-Verordnung (Verordnung Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt, ABl. L 218 vom 13. August 2008, Seite 60) und der EURO-DAC-Verordnung (Verordnung Nr. 2725/2000 des Rates vom 11. Dezember 2000 über die Errichtung von "EURODAC" für den Vergleich von Fingerabdrücken zum Zwecke der effektiven Anwendung des Dubliner Übereinkommens, ABl. L 316 vom 15. Dezember 2000, Seite 1) jeweils besonderen "Verwaltungsbehörden" übertragen worden sind; für diese Aufgaben ist bislang die Kommission zuständig. Der Europäische Datenschutzbeauftragte hat die Zuständigkeit der Kommission für das Betriebsmanagement zusammen mit ihrer führenden Rolle bei Entwicklung und Wartung der eingerichteten IT-Großsysteme datenschutzrechtlich als eine "Kontrollaufgabe sui generis" charakterisiert (Stellungnahmen vom 23. März 2005, ABl. C 181 vom 23. Juli 2005, Seiten 13, 24, und vom 19. Oktober 2005, ABl. C 91 vom 19. April 2006, Seiten 38, 49). Diese Kontrollaufgabe umfasse zum einen viel mehr als eine Verarbeitungsaufgabe (insbesondere Systementwicklung); zum anderen sei sie eingeschränkter als die einer gewöhnlichen Kontrollstelle, da die Kommission keinen Zugang zu den in den IT-Großsystemen verarbeiteten personenbezogenen Daten habe.
- 5. Der Europäische Datenschutzbeauftragte hat sich daher für eine umfassende und unmissverständliche Festlegung der Zuständigkeiten der Kommission ausgesprochen, was insbesondere im Hinblick auf eine konsequente und effektive Kontrolle der IT-Großsysteme wichtig sei. Entsprechendes gilt für die Agentur, die die Aufgabe anstelle der Kommission wahrnehmen soll.
Der Verordnungsvorschlag wird diesem Erfordernis nicht gerecht. Die Aufgaben der Agentur sind in den Artikeln 2 bis 4 nicht unmittelbar, sondern lediglich durch Verweisung auf die drei bestehenden Verordnungen festgelegt.
- 6. - Es fehlt an einer Klarstellung, dass der Agentur keine hoheitlichen Entscheidungsbefugnisse gegenüber den von der Datenverarbeitung innerhalb des jeweiligen IT-Großsystems betroffenen Personen zugewiesen werden.
- - Der Vorschlag enthält keine ausdrückliche Klarstellung, dass die Übertragung des Betriebsmanagements auf die Agentur sich nicht auf die für die betroffenen IT-Großsysteme geltenden besonderen Vorschriften auswirken darf; dies gilt insbesondere für die Vorschriften, die Zweckgebundenheit, Zugangsrechte, Sicherheitsmaßnahmen und Datenschutzanforderungen in Bezug auf diese Systeme regeln.
Der Vorschlag sieht bislang in Artikel 25 lediglich eine pauschale Regelung zum Datenschutz vor. Danach sollen Informationen, die von der Agentur verarbeitet werden, der Verordnung (EG) Nr. 045/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12. Januar 2001, Seite 1) unterliegen; der Verwaltungsrat soll die Maßnahmen für die Anwendung dieser Verordnung durch die Agentur festlegen. Hingegen wird das Verhältnis zu den Datenverarbeitungsbefugnissen der mitgliedstaatlichen Behörden, die an die IT-Großsysteme angeschlossen sind, nicht angesprochen.
Der Text von Erwägungsgrund 11 sollte daher ausdrücklich in den Regelungsteil der Verordnung aufgenommen werden.
B.
- 7. Der Ausschuss für Innere Angelegenheiten empfiehlt dem Bundesrat, von der Vorlage gemäß §§ 3 und 5 EUZBLG Kenntnis zu nehmen.