Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz - 1.02.15

Staatliche Datensammlungen in EU-Ländern

Axel Bußmer

Ergebnisse eines multinationalen EU-Projektes. Aus: vorgänge Nr. 206/207 (Heft 2-3/2014), S. 144-151

(Red.) Obwohl die EU-Datenschutzrichtlinie seit nunmehr 20 Jahren gilt, unterscheiden sich Ausmaß und Praxis der staatlichen Datenspeicherung in den Mitgliedsstaaten der EU sehr stark. Diese Unterschiede darzustellen, die Datenschutzstandards in verschiedenen Ländern zu vergleichen und best practices für die datenschutzkonforme Speicherung zu formulieren, das waren die Ziele eines von der EU-Kommission geförderten Projektes, an dem sich die Humanistische Union beteiligt hat. Axel Bußmer schildert die Vorgehensweise des Projektes und stellt dessen wichtigste Ergebnisse vor.

 


Seit den 1970er Jahren werden in  Behörden immer mehr Computer eingesetzt. Zur gleichen Zeit entstanden die ersten Datenschutzgesetze, 1978 wurde der erste Bundesbeauftragte für Datenschutz berufen. Seitdem sind Computer und Datenbanken ein fester Bestandteil von modernen Verwaltungen, der immer weiter ausgebaut wird: zur Verbrechensbekämpfung, zur Steuererhebung, zur besseren Steuerung von Politik. In den Datenbanken sind zunehmend personenbezogene Informationen über die Bürger_innen gespeichert. Oft kann mit wenigen Anfragen erschreckend viel über eine Person herausgefunden werden; einmal gemachte Eingabefehler können sich endemisch verbreiten.

Mit der zunehmenden Europäisierung und Globalisierung nahm auch die datenverarbeitende Zusammenarbeit über die Ländergrenzen hinweg zu. Im Sicherheitsbereich entstanden beispielsweise europäische Datenbanken wie das Schengener Informationssystem (SIS) oder Eurodac. Dennoch ist das Wissen über die Datenerhebung und -verarbeitung in anderen Ländern vor allem anekdotisch. Vergleichende Studien gibt es kaum. Das Wissen über die Daten, die in anderen EU-Ländern  gespeichert werden, wie groß der Einfluss der Datenschutzbeauftragten ist und welche Probleme in verschiedenen Ländern besonders drängend sind, ist jedoch für eine länderübergreifende Bürgerrechtsarbeit wichtig.

Deshalb beteiligte sich die Humanistische Union 2013 und 2014 an dem von der Europäischen Union gefördertem multilateralen Projekt „Fichage, informer les citoyens: passeport pour la protection des données personnelles“. Zu den Projektpartnern gehörten die europäischen Netzwerke AEDH (European Association for the Defence of Human Rights) und MEDEL (Magistrats européens pour la démocratie et les libertés) sowie die nationalen Nichtregierungsorganisationen LDH (Ligue des droits de l’Homme in Frankreich), HCLU (Hungarian Civil Liberties Union in Ungarn) und ALOS-LDH (Action Luxemburg Ouvert et Solidaire - Ligue des droits de l’Homme in Luxemburg). Die Projektleitung lag bei der französischen „Ligue des droits de l'Homme“ (LDH).

Für das Projekt wurden vier Politikfelder ausgewählt, in denen sensible Daten erhoben werden: Bildung, Gesundheit, Polizei und Justiz. Vor der ersten Analyse wurde angenommen, dass es hier leicht vergleichbare Datenbanken und ein ähnliches Problembewusstsein in der Bevölkerung gibt und in den untersuchten EU-Staaten eine vergleichbare Situation vorliegt.

In einem ersten Untersuchungsschritt wurden Datenbanken aus allen vier Politikfeldern in den zu untersuchenden Ländern ausgewählt. Allein schon ein Blick auf die untersuchten Datenbanken (s. Übersicht unten) ist aufschlussreich: So sind zentrale Melderegister nur in zwei Staaten vorhanden; eine spezielle Datenbank mit Terrorverdächtigen scheint es nur in Deutschland zu geben. Die Idee, dass es leicht vergleichbare staatliche Datenbanken in allen beteiligten Ländern gibt, musste daher schnell aufgegeben werden. Zu den untersuchten Ländern gehörten Frankreich, Deutschland, Ungarn und Luxemburg (die Herkunftsländer der beteiligten Projektpartner) sowie Österreich, der Tschechischen Republik, Finnland, Griechenland, Italien, Polen, Portugal, Slowenien, Spanien und das Vereinigten Königreich. Mit der Länderauswahl konnte ein repräsentativer Überblick der EU-Mitgliedsstaaten für die vergleichende Analyse behördlicher Speichersysteme in der EU gewonnen werden. Die untersuchten Länder repräsentieren die geografische, historische, kulturelle und politische Vielfalt der EU.

Um vergleichbare Ergebnisse zu erhalten, wurde ein Analyseraster erstellt, nach dem die jeweils untersuchten staatlichen Datenbanken beschrieben und bewertet wurden:

  • der Zweck des Speichersystems und seine Verwendung,
  • Kriterien, nach denen Personendaten in dem System gespeichert werden,
  • Inhalt und Umfang der gesammelten Daten,
  • der Rechtsrahmen und die bestehenden/geplanten Datenschutzgarantien (vor allem Speicherfristen, die Rolle der Aufsichtsbehörden, Risiken und (Missbrauchs-)Gefahren, Rechtsschutzmöglichkeiten),
  • das öffentliche Wissen über die Speichersysteme und der zivilgesellschaftliche Protest dagegen.

Schnell wurde den Projektteilnehmer_innen deutlich, wie viele unterschiedliche Datenbanken es vor allem bei der Polizei und der Justiz gibt, wie wenig die Öffentlichkeit über sie weiß und wie spärlich konkrete Informationen über die Datenbanken, ihren Aufbau und Inhalt publiziert wurden. Die Analyse der verschiedenen Datenbanken zeigte auch, dass nur die wenigsten Datenbanken miteinander vergleichbar waren. Wirklich kompatibel war eigentlich keine Datenbank, weil schon bei der Eingabe Sachverhalte und Merkmale anders kodiert werden und es teilweise in den anderen EU-Staaten kein Äquivalent zu einer bestimmten Datenbank gibt. Außerdem unterscheiden sich EU-Länder – auch wegen ihrer unterschiedlichen Größe – erheblich in ihrem Staats- und Verwaltungsaufbau. Es gibt zentralistische  Länder wie Frankreich, in denen eine staatlich geplante Datei sofort im ganzen Land gilt, während in einem föderalistischen Land wie Deutschland die Bundesländer in einigen Politikbereichen weitgehend frei handeln.Insofern schärften die vergleichenden Studien und der Austausch untereinander das Bewusstsein für die Sicht anderer Länder und deren Umgang mit Daten.

Ergänzend wurden die Verbindungen der nationalen Datenbanken mit europäischen Datenbanken betrachtet, die vor allem im Rahmen der polizeilichen und justiziellen Zusammenarbeit wichtig sind. Dabei handelt es sich um das Schengener Informationssystem II (SIS II), das Eurodac-System, das Visa-Informationssystem (VIS) sowie das ECRIS-System.

Auf der Grundlage der über achtzig Datenbankanalysen wurden in einem zweiten Schritt zusammenfassende Länderberichte über alle untersuchten Staaten verfasst, in denen die jeweils zentralen Datenschutzdefizite zusammengefasst sind. Die Ergebnisse dieser Länderberichte (die HU-Projektmitarbeiter_innen untersuchten Deutschland, Österreich und das Vereinigte Königreich) fasst ein „Vergleichender Überblick über die Gesetze und Praktiken im Hinblick auf behördliche Speicherung in vierzehn Ländern der Europäischen Union im Zusammenhang mit dem Rechtsrahmen der EU“. Dieser Bericht, der die Kernpunkte der inhaltlichen Recherchen aller Projektteilnehmer_innen bündelt, konzentriert sich auf vier Punkte:

  • Rechte und Freiheiten, die durch die Speichersysteme betroffen sind
  • die Transparenz der Speichersysteme und deren Verwaltung (u.a. das Wissen der Bürger_innen zu diesen Speichersystemen und die in den Datenbanken gespeicherten Informationen)
  • das Verfahren zum Rechtsschutz
  • die Rolle der Kontrollstellen: ihre Befugnisse, Mittel und Tätigkeiten.

In der Schlussphase des Projektes entstanden aus den Vorarbeiten mehrere für die Öffentlichkeitsarbeit nutzbare Materialien, die über die Humanistische Union zu beziehen sind: (1)

  • ein Online-Quiz, mit dem Interessierte ihre Kenntnisse über den europäischen Datenschutz testen können
  • die „Hit-Parade“, ein vierseitiges Informationsblatt über „Staatliche Datenbanken in 14 europäischen Staaten - Wissen Sie, in welchen Datenbanken Sie erfasst werden können?“
  • einen 16-seitigen Datenschutz-Pass „Staatliche Datensammlung – Sind Bürger gefährdet?“, in dem ausgewählte Ergebnisse und Tipps zum Schutz der Privatsphäre stehen

Als Hintergrundmaterialien stehen für Interessierte außerdem der 70seitige „Vergleichende Überblick über die Gesetze und Praktiken ...“ und (auf Englisch) alle 14 Länderberichte des im Sommer 2014 abgeschlossenen Projektes zur Verfügung.

Am Ende des Projektes ist eine beeindruckende Menge an Material entstanden, das für künftige internationale Bürgerrechtsarbeit sicher wertvoll, aber aus wissenschaftlicher Perspektive auch etwas unbefriedigend ist. Vor allem bei der Vergleichsstudie fällt auf, dass es kein einheitliches Analyseraster gab.(2) Letztendlich wurden in dem Projekt doch Einzelfälle aneinander gereiht. Zwischen der jeweiligen Datenbank und dem Staatsaufbau, vor allem dem Aufbau der Verwaltung, konnte im Rahmen der Projektarbeit keine Verbindung herausgearbeitet werden. Auch die Frage, inwiefern die Datenbanken für ihren jeweiligen Zweck erfüllen und ob sie für die politischen Zielsetzungen dienlich sind, blieb leider unberücksichtigt. Daher verwundert es auch nicht, dass die für jeden Bereich formulierten Forderungen an die Politik zwar bürgerrechtlich begrüßenswert sind, sich aber nicht aus den Daten des Projektes und dessen Analyseraster herleiten. Dennoch leisten die Länderberichte und die darauf basierende Vergleichsstudie Pionierarbeit. Hier wurden erstmals die Datenschutzregime mehrerer EU-Staaten aus zivilgesellschaftlicher Perspektive miteinander verglichen. An diese Vorarbeiten können und sollten weitere Studien, in denen auch die Thesen des Projektes zu überprüfen wären, anschließen.

Ausgewählte Ergebnisse des Projektes

Kriminalitätsbekämpfung und polizeiliche Datenbanken

Die polizeiliche Zusammenarbeit innerhalb der EU war oft der Schrittmacher für den europäischen Datenaustausch. Die wichtigsten Stationen dieser Entwicklung sind: das Schengener Abkommen bzw. dessen Durchführungsvereinbarung mit der Errichtung des gleichnamigen Informationssystems (1990); die Errichtung der europäischen kriminalpolizeilichen Zentralstelle Europol (1999); die Erfassung der Fingerabdrücke aller über vierzehnjährigen Flüchtlinge, die in der EU einen Asylantrag stellen, im EURODAC-System (seit 2000); die Speicherung der VISA-Antragsteller sowie ihrer Kontaktpersonen im VISA-Informationssystem (VIS, seit 2011).

Aus dem Sicherheitsbereich wurden im Rahmen des Projektes die meisten Datenbanken untersucht. Dabei beschränkte sich das Projekt auf polizeiliche Datenbanken, weil geheimdienstliche Datenbanken prinzipiell nicht öffentlich und deshalb noch schwieriger zu beurteilen sind.

Aus datenschutzrechtlicher Perspektive kritisch sind das französische Dokumentationssystem für Straftaten (STIC) und das deutsche Informationssystem der Polizei (INPOL). Beide erlauben es auch, selbstverfasste Bemerkungen zu den gespeicherten Personen zu erfassen. Das können Angaben zur ethnischen Herkunft, zu religiösen oder politischen Überzeugungen, zur Mitgliedschaft in einer Gewerkschaft oder zum Sexualleben sein. Solche Freitextfelder, in denen willkürlich weitere, eventuell diskriminierende Informationen erfasst werden können, scheint es nur in Deutschland und Frankreich zu geben.

Von der Polizei benutzte DNA-Datenbanken gibt es in allen untersuchten Ländern. Sie unterscheiden sich allerdings erheblich in der Zielgruppe, den Voraussetzungen für eine DNA-Entnahme und der Verwendung der Daten. So dürfen im Vereinigten Königreich vor 2012 erhobene DNA-Daten auf unbestimmte Zeit gespeichert werden. Das betrifft DNA-Proben von sieben Millionen Menschen, die wegen einer registrierten Straftat von der Polizei in Gewahrsam genommen wurden. Ebenso sind 77 Prozent der jungen, in England und Wales lebenden schwarzen Männer zwischen 15 und 34 Jahren erfasst. In Frankreich wurden dagegen viele Demonstrant_innen zur Abgabe einer DNA-Probe gezwungen, weil sie Eigentum beschädigt haben sollten. In Luxemburg kann eine DNA-Probe ohne Zustimmung der Person genommen werden, wenn sie verdächtigt wird, eine schwere Straftat begangen zu haben. Unterschiedlich ist auch die Kontrolle durch die Betroffenen und die Datenschutzbehörden geregelt. So musste sich die griechische Datenschutzbehörde (HDPA) noch nie mit einer Beschwerde wegen unsachgemäßer DNA-Speicherung beschäftigen, weil sie, im Gegensatz zu vielen anderen Ländern, keine rechtliche Befugnis zur Überprüfung der DNA-Datenverarbeitung hat.


1

2

Vor