Anlage 37
Europäische Datenschutzkonferenz vom 16. bis 17. Mai 2013 in Lissabon
Entschließung zur Sicherstellung eines angemessenen Datenschutzniveaus bei Euro- pol
Sponsoren:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Deutschland
College Bescherming Persoonsgegevens (CBP), Niederlande,
Garante per la protezione dei dati personali (Garante), Italien
Comissão Nacional de Protecção de Dados (CNPD), Portugal
Am 27. März 2013 hat die Europäische Kommission einen Vorschlag für eine Verordnung gemäß Artikel 88 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) vorgestellt. Dieser Verordnungsentwurf ändert inhaltlich grundlegend und weitrei- chend die geltende Rechtsgrundlage für das Europäische Polizeiamt (Europol) – den Be- schluss des Rates vom 6. April 2009 zur Errichtung Europols (2009/371/JI - ABl. L 121/37).
Hierzu erklärt die Konferenz:
Mit der neuen Rechtsgrundlage soll Europol neue Aufgaben wahrnehmen und zusätzliche Befugnisse erhalten. Nach dem Willen der Kommission soll die Datenverarbeitung Europols nicht länger gemäß den im geltenden Recht definierten Systemen und Dateien erfolgen, um die Möglichkeiten Europols für eine Verknüpfung der Daten aus bzw. mit unterschiedlichen Systemen nicht zu behindern. Mit dem Verordnungsentwurf soll die Analysetätigkeit Europols in größtmöglicher Weise flexibilisiert werden, da die Analyse nach Ansicht der Kommission der „Grundpfeiler“5 der modernen, „informationsauswertenden“6 Strafverfol- gungstätigkeit ist.
Angesichts der erweiterten Möglichkeiten zur Verarbeitung personenbezogener Daten muss für Europol der Datenschutz auf hohem Niveau gewährleistet werden. Dies ergibt sich auch aus Art. 8 der Europäischen Grundrechtecharta, der hohe Anforderungen an den Schutz der Privatsphäre und personenbezogener Daten stellt. Einrichtungen der EU, die – wie Europol – in großem Umfang personenbezogene Daten verarbeiten, sind diesen Vorgaben in beson- derer Weise verpflichtet.
Keinesfalls wäre es hinzunehmen, wenn die neue Rechtsgrundlage das bestehende Daten- schutzniveau absenken würde. Genau dies ist aber zu befürchten – legt man den von der Kommission vorgelegten Entwurf zu Grunde. Mit dem Wegfall der bestehenden Europol- Systeme und -Dateien würden systemspezifische Sicherungen entfallen, wie z. B. die im Eu-
5 „Cornerstone“ (öffentliches Memo der Europäischen Kommission vom 27. März 2013, (Memo/13/286) „Ques- tions and Answers: Enhancing Europol´s support to law enforcement cooperation and training“, S. 1).
6 „intelligence-led” (a.a.O.)
ropol-Beschluss und den Begleitregelungen enthaltenen engen Zweckbegrenzungen und Vorgaben für die Verarbeitung personenbezogener Daten in Analysedateien. Es scheint, als sollten durch den Kommissionsvorschlag bestehende Verfahrenssicherungen eingeschränkt sowie geltende Beschränkungen für die Datenübermittlung an Drittstaaten und -stellen auf- gehoben werden.
Die Konferenz der europäischen Datenschutzbeauftragten fordert das Europäische Parla- ment, den Rat, und die Kommission auf, dafür zu sorgen, dass die neue Rechtsgrundlage für Europol den folgenden Anforderungen entspricht und dass die Kommissionsvorschläge in diesem Sinne nachgebessert werden.
1. Daten unschuldiger Personen (Opfer, Zeugen, Kontaktpersonen etc.) dürfen nur unter sehr strengen Voraussetzungen verarbeitet werden und bedürfen dabei besonderen Schutzes.
2. Betroffenenrechte.
3. Verfahrensgarantien.
4. Unabhängige und effiziente Datenschutzkontrolle, sowohl extern als auch innerhalb von Europol, zur Gewährleistung eines effizienten Datenschutzes unter aktiver Betei- ligung der nationalen Datenschutzbehörden.
5. Ein angemessenes Datenschutzniveau bei der Kooperation mit Drittstaaten und mit sonstigen Stellen außerhalb der EU.
6. Eine strenge Zweckbindung für die Verarbeitung personenbezogener Daten.
Anlage 38
33. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre vom 1. bis 3. November 2011 in Mexiko
Entschließung „Die Verwendung eindeutiger Kennungen bei der Nutzung von Internet Protokoll Version 6 (IPv6)“
Sponsor:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Unterstützt von:
Privacy Commission, Belgien
Privacy Commissioner of Canada
Information and Privacy Commissioner of Ontario/Canada
Information Commissioner, Vereinigtes Königreich
Institute for Access to Information, United Mexican States
Heute hat sich das Internet zur wichtigsten Technologie für die Übermittlung jeder Art von Kommunikation entwickelt, sei es Sprache, Video oder Daten, und es wurde zur Grundlage fast aller geschäftlicher Transaktionen und sozialer Interaktionen. Angesichts der drohenden Erschöpfung der Adressen, die vom gegenwärtig genutzten Internet Protokoll Version 4 (IPv4) zur Verfügung gestellt werden, angesichts der anhaltenden enormen weltweiten Nachfrage für Internetadressen und angesichts der Notwendigkeit des Internets zur Unter- stützung einer wachsenden Palette neuer Geräte, einschließlich Sensoren und intelligenter Zähler (das „Internet der Dinge“), wurde ein neues Internetprotokoll (IPv6 – IP Version 6) standardisiert, entwickelt und im Laufe der letzten 10 Jahren getestet und muss nun umge- setzt werden.
Obwohl IPv6 im Vergleich zu IPv4 eine Reihe praktischer Vorteile aufweist, können seine Eigenschaften auch zu bestimmten Risiken für den Datenschutz und die Privatsphäre füh- ren, was von der Konfiguration des neuen Protokolls und vor allem von der für die Zuteilung und Zuweisung der IPv6-Adresse gewählten Strategie abhängt. Diese Risiken müssen beim Einsatz der neuen Version des Internetprotokolls angesprochen und kontrolliert werden.
Die Internationale Konferenz gibt folgende Empfehlungen:
Die Nutzung temporärer und nicht permanenter IPv6-Adressen („dynamische Adres- sen“) muss für jeden Nutzer durch die Beibehaltung der dynamischen Zuweisung von IPv6-Adressen durch ISPs möglich bleiben. Internetzugangsanbieter und Betreiber von Gateways sollte die Nutzung dynamischer IP-Adressen als Standardeinstellung anbie- ten. Nutzer sollten außerdem in der Lage sein, ihre IP-Adresse während einer Sitzung durch einfaches Verfahren zu ändern. Die Gesetzgeber oder Regulierungsbehörden sollten, soweit erforderlich, es in Erwägung ziehen, entsprechende Verpflichtungen in ihre nationalen Rechtsrahmen hinzuzufügen, sofern dies nicht bereits geschehen ist.
Der Einsatz temporärer und nicht permanenter IPv6-Adressen muss mit den IPv6- Autokonfigurationsfunktionen möglich bleiben, indem alle vorhandenen Möglichkeiten der Pseudorandomisierung der Schnittstellenkennung („Privacy Extensions“) genutzt werden. Gerätehersteller – vor allem Hersteller mobiler Geräte – sollten solche Mög- lichkeiten schnell in ihre Produkte integrieren. Der Einsatz dynamischer Adressen für Endgeräte sollte als Standardfunktion aktiviert werden.
Als Standardeinstellung sollten Anbieter, Protokolle, Produkte und Dienstleistungen die Nutzung temporärer und nicht permanenter Adressen anbieten.
Wie jeweils anwendbar, sollten Netzwerke und Applikationen alle Sicherheitsfunktionen von IPv6 (IPSec) in vollem Umfang nutzen, um die Sicherheit, Integrität und Vertrau- lichkeit zu gewährleisten.
Immer wenn Standortinformationen für die Nutzung der Dienste auf mobilen Geräten und anderen über IPv6 verbundenen Geräten notwendig sind, sollten solche Informati- onen z. B. durch Verschlüsselung gegen rechtswidriges Abhören und Missbrauch ge- schützt werden.
Alle für die Ausarbeitung und Umsetzung aller weiteren Entwicklungen des IP- Protokolls verantwortlichen Akteure müssen sicherstellen, dass solche Normen und Vorgaben die Datenschutzrechte und Werte von Anfang an vollständig berücksichtigen.
Die Internationale Konferenz begrüßt es, dass die International Working Group on Data Pro- tection in Telecommunications (IWGDPT) derzeit über einen umfassenden Bericht zu diesen Fragen diskutiert. In dem Bericht sollen insbesondere die Auswirkungen einer datenschutz- freundlichen Umsetzung von IPv6 auf dem Gebiet der Strafverfolgung untersucht werden.
Die IWGDPT wird gebeten, ihren Bericht unter Berücksichtigung der oben genannten Emp- fehlungen abzuschließen.
