Auf der europäischen Rechtsebene ist wieder Bewegung beim Thema Datenschutz zu beobachten. Der Schutz personenbezogener Daten hat als Grundrecht Eingang in die Europäische Verfassung gefunden. Im Feb-ruar 2004 hat der neue Datenschutzbeauftragte der EU Peter Hustinx sein Amt übernommen, der zwischenzeitlich ein gefragter Gesprächspart-ner gleichermaßen beim Europäischen Parlament und bei der Europäi-schen Kommission geworden ist. Als Spätfolge bei der Bekämpfung des internationalen Terrorismus hat der Europäische Rat für die Ermittlungs-behörde Eurojust und die Europäische PolizeiErmittlungs-behörde Europol neue Auf-gaben und eine Konzentration der Abwehr durch ergänzende Rechtsakte vorgesehen.
Dazu gehört auch eine Überarbeitung des Schengener Durchführungs-übereinkommens, mit dessen Hilfe u.a. das Aufenthaltsrecht von Bürgern aus Drittstaaten und die Abwehr und Fahndung von bzw. nach Straftätern in den Schengenstaaten geregelt werden (vgl. oben Ziff. 4). Bekanntlich sind bis heute nicht alle Mitgliedsstaaten der Europäischen Union auch dem Schengener Abkommen beigetreten.
Hinzuweisen ist ferner auf die Bemühungen der Datenschutzbeauftragten der EU-Mitgliedsländer (jetzt 25), beim Europäischen Rat mit Hilfe der Eu-ropäischen Kommission und des EuEu-ropäischen Parlaments darauf zu drin-gen, dass die bisher in der sog. Dritten Säule (Justiz und Polizei) neben-einander existierenden datenschutzrechtlichen Kontrollinstanzen zusam-mengelegt und auf einheitliche datenschutzrechtliche Bestimmungen ge-stellt werden. Zur Zeit gibt es vier Kontrollinstanzen - schon mit einem gemeinsamen Sekretariat - in der Dritten Säule und - wie bereits vorste-hend ausgeführt - in der Ersten Säule, den neuen Datenschutzbeauftrag-ten der Europäischen Union. Die entstehende Europäische Verfassung sieht diese Möglichkeit auf der Grundlage eines europäischen Gesetzes
vor. Ein erster Anstoß zur Änderung erfolgte auf der Konferenz der Daten-schutzbeauftragten aus Europa im April 2004 in Rotterdam, und deren nächste Konferenz im April 2005 in Krakau wird diesem Thema einen Schwerpunkt widmen.
6.1 Eurojust
Wie bereits im letzten Tätigkeitsbericht dargestellt, hat der Rat der Euro-päischen Union mit Blick auf die Verstärkung des Kampfes gegen schwere Kriminalität die Gründung von Eurojust beschlossen. Die Datenschutzbe-auftragten des Bundes und der Länder hatten in einer Entschließung im Oktober 2001 bereits Anforderungen an den Umgang mit personenbezo-genen Daten bei Eurojust definiert.
Nachdem die Bundesregierung den Entwurf eines Eurojust-Gesetzes im August 2003 auf den Weg brachte, trat dieses am 18. Mai 2004 in Kraft.
Die im Errichtungsbeschluss des Rates der EU bestehenden Unklarheiten durch die mangelnde Bestimmtheit von Aufgaben- und Befugnisregelun-gen konnten zwar im Laufe des Gesetzgebungsverfahren nur im Rahmen des Vorgegebenen präzisiert werden. Die von den Datenschutzbeauftrag-ten vorgeschlagenen Klarstellungen fanden jedoch weitgehend Berück-sichtigung.
Da nur die Ergebnisse der Arbeit der strafermittelnden Behörden (in Deutschland vor allem Staatsanwaltschaft, Polizei und Finanzverwaltung), auch soweit sie die Mitwirkung von Eurojust genutzt haben, einer gerichtli-chen Kontrolle unterliegen, nicht dagegen jedoch die Arbeit von Eurojust selbst, sind die im Eurojust-Beschluss festgeschriebenen Schutzregelun-gen beim Umgang mit personenbezoSchutzregelun-genen Daten von besonderem Be-lang.
Eurojust führt neben einem zentralen Ermittlungsindex auch temporäre Arbeitsdateien. Auf diese Datenbestände haben nur nationale Mitglieder und hierzu befugte Mitarbeiter von Eurojust unmittelbaren Zugriff. Die zu beachtende strenge Zweckbindung bei der Verarbeitung von personenbe-zogenen Daten, auf welche von deutschen Stellen bei deren Übermittlung gesondert hinzuweisen ist, wird durch einen internen Datenschutzbeauf-tragten sowie eine Gemeinsame Kontrollinstanz überwacht. Eine gewisse Begrenzung erfährt die Datennutzung bei Eurojust durch eine als ab-schließend gedachte Auflistung von Datenkategorien.
Jede Person kann Auskunftsansprüche gegenüber Eurojust geltend ma-chen. Daneben dürfte, soweit die Weitergabe von personenbezogenen Daten an Eurojust problematisch ist, gegenüber deutschen Stellen eine Klage bezüglich der Einhaltung des Eurojust-Gesetzes und damit u.U.
subsidiär auch des Bundesdatenschutzgesetzes möglich sein.
Auch wenn eine rechtswidrige Datenverarbeitung eine Schadenersatz-pflicht von Eurojust auslösen kann, ist - gerade auch in diesem Zusam-menhang - als Manko festzuhalten, dass eine dem deutschen Strafverfah-rensrecht vergleichbare Pflicht, Betroffene nach Abschluss der Ermittlun-gen durch die ermittelnden Behörden über die Erhebung, Verarbeitung und Weitergabe ihrer Daten zu informieren, für Eurojust nicht
festge-schrieben wurde. Auch wenn man in Rechnung stellt, dass sich Eurojust nicht mit „kleinen Fischen“ befasst, gilt in gleicher Weise der Erfahrungs-satz, dass unter den datenschutzrechtlich Betroffenen etliche brave Ein-wohnerinnen und Einwohner Europas erfasst sein dürften. Diese können sich gegen einen Datenmissbrauch jedoch nur wehren, wenn sie von den Umständen der Nutzung ihrer Daten Kenntnis erlangen.
6.2 Europol
Europol hat sich im Berichtszeitraum in Den Haag nicht nur bei der Zahl der Mitarbeiter weiter vergrößert, sondern zeigt zunehmend Erfolge bei der Abstimmung und Koordinierung von Einsätzen von Polizeikräften aus den Mitgliedsstaaten der Union. Schwerpunkte waren der weitere Ausbau der Analysedateien, die Integration der 10 neuen Mitgliedsländer und der weitere Abschluss von Abkommen mit Drittstaaten. Verbesserungsbedürf-tig ist die Zusammenarbeit auf dem Gebiet der Terrorismusbekämpfung.
Gesetzlicher Änderungsbedarf zeigt sich bei den Regelungen über die Unterstützung und Zusammenarbeit mit Drittländern (z.B. der Drogenbe-kämpfung in Südamerika und Vorderasien). Auch die Speicherdauer der Daten in den Analysedateien soll von bisher 3 auf 5 oder 10 Jahre verlän-gert werden.
Rechtliche Änderungen sind aber bei der Europolkonvention angesichts der Anzahl zu beteiligender Mitgliedsländern nicht einfach.
Die Gemeinsame Kontrollinstanz (GKI) hat auch in den Jahren 2003 und 2004 wieder jeweils eine Kontrolle durchgeführt, die Schwachstellen bei der technischen Absicherung, aber auch Mängel bei den aus den Mit-gliedsländern angelieferten Unterlagen und deren Verarbeitung bei Euro-pol ergeben haben.
Einzelheiten können dem zweiten Tätigkeitsbericht der GKI für die Zeit von 2002 bis 2004 entnommen werden. Die Sprachfassungen sind im Februar 2005 fertiggestellt worden.
In den letzten Tätigkeitsberichten ist darüber berichtet worden, dass der Landesbeauftragte in Person seit 1998 zweites deutsches Mitglied in der GKI für Europol war und dieses Gremium zuletzt von Oktober 2002 bis 2004 als Präsident geleitet hat. In dieser Zeit ist eine Zusammenarbeit mit der neuen (ersten) US-amerikanischen Datenschutzbehörde bei dem neu errichteten US-Heimatschutzministerium begründet worden.
Obwohl der Bundesrat den Landesbeauftragten im Oktober 2003 noch einmal für fünf Jahre als Kontrollmitglied gewählt hatte, ist diese Aufgabe im Hinblick auf den inzwischen vollzogenen Amtswechsel in Sachsen-Anhalt zum 31. Dezember 2004 niedergelegt worden. Der Bundesrat hat als Nachfolger für die Bundesländer auf Vorschlag der Konferenz der tenschutzbeauftragten des Bundes und der Länder den Hessischen Da-tenschutzbeauftragten Prof. Ronellenfitsch gewählt.
7. Entwicklung der automatisierten Datenverarbeitung