Sie sind hier: RAV > PublikationenInfoBriefeSonderBrief Rassismus & Recht 2016 > EUROSUR & die EU-Kommission

EUROSUR & die EU-Kommission

Fragwürdige Auslegung des Begriffes ›Personenbezogene Daten‹

DANIEL DEIBLER

Steigende Flüchtlingszahlen in europäischen Mitgliedstaaten und die Terroranschläge in Paris im letzten Jahr haben zu einer verstärkten Diskussion über die Sicherung der europäischen Außengrenzen geführt. Im Besonderen wurden eine verstärkte Überwachung der Grenzen und neue Methoden der Grenzsicherung diskutiert und teilweise eine Ausweitung der Mandate von FRONTEX(1) sowie Europol gefordert. Diese Forderungen sind jedoch nicht neu. Bereits im Jahr 2008 hat die Europäische Union die so genannte ›smart border‹-Initiative(2) ins Leben gerufen. Die Initiative beinhaltete Vorschläge zu einem ›entry/exit system‹ und ein ›registered traveller programme‹ und wurde vervollständigt durch einen Vorschlag für ein External Border Surveillance System, kurz EUROSUR, mit dem sich dieser Artikel befasst.
Verkürzt gesagt, ermöglicht das EUROSUR-System den für den Grenzschutz zuständigen nationalen Behörden, relevante Daten auszutauschen und den Einsatz von Überwachungstechnologien zu koordinieren. Der Datenaustausch geschieht über ein von FRONTEX betreutes Kommunikationsnetzwerk, welches einen echtzeitnahen, bilateralen und multilateralen Informationsaustausch, Telefon- und Videokonferenzen sowie die sichere Verwendung, Speicherung, Übermittlung und Verarbeitung von sensiblen Informationen erlaubt.(3) In den Worten der dem System zu Grunde liegenden Verordnung zielt EUROSUR darauf ab, das ›Lagebewusstsein‹ und die Reaktionsfähigkeit der zuständigen nationalen Behörden an den Außengrenzen der Union zu verbessern.(4) 

›LAGEBEWUSSTSEIN‹ UND ›PERSONENBEZOGENE DATEN‹ 

›Lagebewusstsein‹ wird in diesem Zusammenhang verstanden als die Fähigkeit, illegale, grenzüberschreitende Aktivitäten zu beobachten, aufzudecken, zu identifizieren, zu verfolgen und zu verstehen, um Reaktionsmaßnahmen angemessen zu begründen, indem neue Informationen mit bereits bekannten Fakten kombiniert werden.(5)
Aus dieser Kurzbeschreibung des Systems wird bereits ersichtlich, dass die Verarbeitung und der Austausch von Informationen die Schlüsselelemente des Systems darstellen. Dennoch scheint die Europäische Kommission keine datenschutzrechtlichen Probleme im Zusammenhang mit EUROSUR zu sehen, da der Informationsaustausch auf operative Informationen beschränkt sei und somit nur eine sehr begrenzte Möglichkeit zum Austausch personenbezogener Daten bestehe.(6) Die Bedeutung dieser Aussage darf nicht unterschätzt werden.
Denn die automatisierte Verarbeitung von personenbezogenen Daten ist Voraussetzung für die Anwendbarkeit von Datenschutzrecht.(7) Auch für die Entscheidung, ob ein Eingriff in das durch Artikel (8) EMRK8 geschützte Recht auf Achtung des Privatlebens vorliegt, ist sie von erheblicher Bedeutung.(9) Der Verfasser wird im Folgenden erläutern, dass – entgegen der Einschätzung der Europäischen Kommission – personenbezogene Daten im Rahmen von EUROSUR verarbeitet werden. Hierbei wird sich der Verfasser vor allem auf die Interpretationsleitlinien der Artikel 29-Datenschutzgruppe stützen, einer Expertengruppe der europäischen Datenschutzbehörden, die der Europäischen Kommission beratend zur Seite steht.
Generell werden unter personenbezogenen Daten alle Informationen über eine bestimmte oder bestimmbare natürliche Person verstanden.(10) Informationen sind nicht nur solche ›über‹ eine Person, falls sie eine direkte Aussage über diese Person treffen, sondern auch der Zweck einer Datenverarbeitung kann den geforderten Bezug der Daten zu einer bestimmbaren Person herstellen. Dementsprechend schätzt die Artikel 29-Datenschutzgruppe Informationen als auf eine Person bezogen ein, falls die Datenverarbeitung darauf abzielt, eine bestimmte Person anders zu behandeln, das Verhalten der Person oder ihre Rechte zu beeinflussen.(11)
Darüber hinaus ist es notwendig, dass sich die Informationen auf eine ›bestimmte‹ oder ›bestimmbare‹ Person beziehen. Eine Person ist immer dann bestimmbar, wenn sie, auch mit Hilfe weiterer Nachforschungen, identifiziert werden kann.(12) Dies bedeutet jedoch nicht, dass in jedem Fall der Name der Person bekannt sein muss, sondern dass ausreichende Informationen vorliegen, um die Person von den restlichen Mitgliedern einer Gruppe zu unterscheiden und folglich zu identifizieren.(13) Wie viele Informationen hierfür notwendig sind, hängt stark von den Einzelheiten der konkreten Datenverarbeitung und der Größe der Gruppe ab, aus der die betreffende Person ausgesondert werden soll. Der Maßstab für die Möglichkeit einer Identifikation ist laut der Artikel 29-Datenschutzgruppe kein objektiver, und es ist nicht unbedingt notwendig, dass die datenverarbeitende Stelle alle notwendigen Informationen zur Verfügung hat. Selbst wenn nur Freunde oder die Familie der betreffenden Person in der Lage sind, diese, z.B. auf einem Foto, zu identifizieren, reicht diese Möglichkeit aus, um von einer Bestimmbarkeit auszugehen.(14) Außerdem kann auch aus dem Zweck der Datenverarbeitung auf die Bestimmbarkeit der Person geschlossen werden. Die Artikel 29-Datenschutzgruppe erklärt dies am Beispiel einer Videoüberwachung. Auch wenn bei einer Videoüberwachung nicht jede erfasste Person identifizierbar ist, geht die datenverarbeitende Stelle grundsätzlich davon aus, dass sie mit Hilfe der Videoaufzeichnungen in der Lage ist, falls dies notwendig wird, die relevanten Personen zu identifizieren. Folglich müssen alle Personen auf den Videoaufzeichnungen grundsätzlich als bestimmbar angesehen werden.(15)

AUSSONDERUNG BESTIMMBARER PERSONEN 

Im Ergebnis hängt die Bestimmbarkeit einer Person stark davon ab, welche Ziele die datenverarbeitende Stelle mit der Datenverarbeitung verfolgt, welche zusätzlichen Informationen im Moment oder in Zukunft zur Verfügung stehen und wie groß die Gruppe ist, aus der die betreffende Person ausgesondert werden soll.
Wendet man diese Leitlinien nun auf das EUROSUR-System an, können folgende Schlüsse gezogen werden:
(1) Ruft man sich das Ziel von EUROSUR und die oben erwähnte Definition von ›Lagebewusstsein‹ wieder in Erinnerung, fällt auf, dass der Zweck der Datenverarbeitung darin besteht, die in illegale, grenzüberschreitende Aktivitäten involvierten Personen zu beobachten, aufzudecken, zu identifizieren und zu verfolgen. Basierend auf diesem Zweck und den oben erwähnten Interpretationen der Artikel 29-Datenschutzgruppe ergibt sich bereits, dass Informationen über bestimmbare Personen verarbeitet werden, da die relevanten Personen aus der Gesamtheit der Personen, die sich an den Außengrenzen aufhalten, herausgefiltert werden sollen, um diese dann abzufangen oder näher zu beobachten.
(2) Jedoch auch wenn man den Zweck der Datenverarbeitung nicht genügen lassen will, gibt es weitere Hinweise, dass personenbezogene Daten verarbeitet werden. Während des Gesetzgebungsverfahrens für die EUROSUR-Verordnung hat eine Umfrage bei den für die Grenzsicherung zuständigen nationalen Behörden ergeben, dass neun von ihnen bereits personenbezogene Daten verarbeiten und eine weitere dieses plant.(16) Diese Daten stellen die Grundlage für den Datenaustausch über das Kommunikationsnetzwerk von EUROSUR dar. Nach Ansicht der Artikel 29-Datenschutzgruppe verlieren Informationen ihren Charakter als personenbezogene Daten nicht dadurch, dass sie in Teilen weitergegeben oder vor der Weitergabe pseudonymisiert werden.(17) Solange die Ausgangsbehörde weiterhin die Informationen einer Person zuordnen kann, stellen diese Informationen personenbezogene Daten dar. Da nicht davon auszugehen ist, dass nationale Behörden ihren Datenbestand löschen, sobald sie Teile davon über EUROSUR austauschen, kann man davon ausgehen, dass personenbezogene Daten über EUROSUR ausgetauscht werden.
(3) Ferner ist zu bedenken, dass laut Artikel 29-Datenschutzgruppe auch später erlangte Informationen dazu führen können, dass bereits vorhandene Informationen von vornherein personenbezogene Daten darstellen. Aus diesem Grund sind Speicherfristen und die Folgen der Datenverarbeitung von enormer Bedeutung. Die Informationen im EUROSUR-System sollen – gemäß der Verordnung – als Grundlage für weitere Reaktionsmaßnahmen, wie z.B. dem Abfangen von Booten, dienen. Deswegen kann man davon ausgehen, dass nach dem Datenaustausch weitere Informationen im Rahmen der Reaktionsmaßnahmen erhoben werden. Wird zum Beispiel ein Boot aufgegriffen und die Passagiere werden identifiziert, kann nun der Ausgangshafen des Bootes und dessen Route allen Passagieren zugerechnet werden. Aus diesem Grund sollten die Basisinformationen, die durch spätere Erkenntnisse angereichert werden, bereits von Anfang an als personenbezogene Daten behandelt werden, da nicht voraussehbar ist, welche Daten spätere Relevanz erlangen. 

ÜBERWACHUNGSTECHNOLOGIEN UND DATENSCHUTZ 

(4) In diesem Zusammenhang ist ferner zu beachten, dass Daten über eine Sache ebenso Informationen über Personen beinhalten können. So können aus den Informationen von Schiffsmeldesystemen durchaus auch Informationen über den Kapitän oder die Crew des Schiffes erlangt werden, da man davon ausgehen kann, dass der Aufenthaltsort des Schiffes derselbe ist wie der der Personen an Bord.(18)
(5) Zuletzt hat auch der Einsatz von Überwachungstechnologien datenschutzrechtliche Relevanz. Gemäß der Verordnung sollen unter anderem Informationen von Schiffsmeldesystemen, Satelliten und jeglicher Art von Sensoren, die auf Fahrzeugen, Schiffen oder anderen Wasserfahrzeugen montiert sind, genutzt werden.(19) Darüber hinaus erwägt FRONTEX die Anschaffung und den Einsatz von Drohnen zur Überwachung der Grenzregionen.(20) Wie oben erklärt, stellen fotografische Aufnahmen, wie z.B. Videos, grundsätzlich personenbezogene Informationen dar, selbst wenn nicht alle Personen stets identifizierbar sind. Insbesondere die von der Europäischen Kommission gewünschte Verknüpfung von Satellitenbildern oder Fotos von anderen Überwachungssensoren mit bekannten Daten, wie z.B. Daten von  Schiffsmeldesystemen,(21) führt dazu, dass eine Identifizierung in den meisten Fällen möglich sein wird.

EU-KOMMISSION: NUR OPERATIVE DATEN? 

Im Ergebnis zeigen all diese Beispiele, dass zumindest starke Indizien dafür sprechen, dass im Rahmen von EUROSUR personenbezogene Daten erhoben, verarbeitet und ausgetauscht werden. Im Jahr 2008 ist auch die Europäische Kommission hiervon ausgegangen. In der ersten Mitteilung über EUROSUR hieß es noch: 

»Daher muss sich die Verarbeitung personenbezogener Daten im Rahmen von EUROSUR auf geeignete Rechtssetzungsmaßnahmen stützen, welche die Art der Verarbeitung definieren und geeignete Garantien vorsehen«.(22) 

Am Ende des Gesetzgebungsverfahrens vertrat sie jedoch eine andere Ansicht und scheint seitdem davon auszugehen, dass der Informationsaustausch auf operative Daten beschränkt sei.(23) Dass diese Ansicht jedoch nicht der Wirklichkeit entspricht und entgegen der Ansicht der Europäischen Kommission doch personenbezogene Daten verarbeitet werden, wurde dargelegt. Hieraus folgt, dass die Datenverarbeitung im Rahmen von EUROSUR einen Eingriff in Artikel 8 EMRK darstellt und Datenschutzrecht auch auf EUROSUR anwendbar ist.
An anderer Stelle(24) hat der Verfasser bereits ausführlich dargelegt, dass dieser Eingriff in das Recht auf Achtung des Privatlebens (Artikel 8 EMRK & Artikel 7 und 8 EUGRCh25) nicht gerechtfertigt ist, da die gesetzliche Grundlage – die EUROSUR-Verordnung – zu ungenau formuliert ist und unzureichende datenschutzrechtliche Regelungen enthält. Ferner erscheint das gesamte EUROSUR-System vor allem nicht verhältnismäßig, da die Nutzung des jetzigen Systems nicht nur einen sehr weitgehenden Eingriff in das Recht auf Achtung des Privatlebens darstellt, sondern auch eine datenschutzfreundlichere Version des Kommunikationsnetzwerkes möglich gewesen wäre, z.B. indem man von Beginn an einen ›privacy by design‹-Ansatz verfolgt hätte. 

Daniel Deibler ist ein auf Datenschutzrecht und Menschenrechte spezialisierter deutscher Jurist. Er hat bis zum letzten Jahr beim Unabhängigen Landeszentrum für Datenschutz gearbeitet und ist dann an den Europäischen Gerichtshof für Menschenrechte gewechselt. Der Beitrag stellt eine kurze Zusammenfassung des Artikels ›EUROSUR – A sci-fi border zone controlled by drones‹ dar, erschienen in Jan Camenisch, et al. (2015): Privacy and Identity Management for the Future Internet in the Age of Globalisation, Heidelberg. Er gibt nicht notwendigerweise die Auffassung des früheren oder jetzigen Arbeitgebers des Verfassers wieder. Die Zwischenüberschriften wurden von der Redaktion eingefügt.

Fußnoten
(1) Europäische Agentur für die operative Zusammenarbeit an den Außengrenzen der Mitgliedstaaten der Europäischen Union, im Folgenden: FRONTEX.
(2) Europäische Kommission (2008): Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen - Vorbereitung der nächsten Schritte für die Grenzverwaltung in der Europäischen Union, KOM/2008/0069 endg.
(3) Artikel 7 Verordnung (EU) Nr. 1052/2013 des Europäischen Parlamentes und des Rates vom 22. Oktober 2013 zur Errichtung eines Europäischen Grenzüberwachungssystems (EUROSUR); im Folgenden: Verordnung oder EUROSUR-Verordnung.
(4) Artikel 1 EUROSUR-Verordnung.
(5) Artikel 3 b) EUROSUR-Verordnung.
(6) Pressemitteilung der Europäischen Kommission (2013): EUROSUR: neue Instrumente zur Rettung von Migranten und zur Verhütung von Straftaten an den EU-Grenzen, Brüssel, 29. November, IP/13/1182.
(7) Vgl. z.B. Artikel 3 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Convention No. 108; Artikel 3 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
(8) Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten, im Folgenden: EMRK.
(9) Vgl. z.B. Europäischer Gerichtshof für Menschenrechte (Grand Chamber), S. and Marper v. United Kingdom, Nr. 30562/04 and 30566/04, 04.12.2008: §§ 66, 67.
(10) Vgl. z.B. Artikel 2 a) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
(11) Artikel 29-Datenschutzgruppe (2007): Opinion 4/2007 on the concept of personal data, 20. Juni: 10, 11.
(12) European Union Agency for Fundamental Rights, Handbook on European Data Protection Law, Luxembourg, Publications Office of the European Union, 2014: 39.
(13) Artikel 29-Datenschutzgruppe, Opinion 4/2007 on the concept of personal data, 20 Juny 2007: 13.
(14) Ebd.: 13, 21.
(15) Ebd.: 16.
(16) Europäische Kommission (2011): Commission Staff Working Paper - Impact Assessment accompanying the Proposal for a Regulation of the European Parliament and of the Council establishing the European Border Surveillance System (EUROSUR), SEC(2011) 1538 final, 12.12.2011: 31, 32.
(17) Artikel 29-Datenschutzgruppe, Opinion 05/2014 on Anonymisation Techniques, 10. April 2014: 9.
(18) Artikel 29-Datenschutzgruppe, Letter to the Commissioner for Home Affairs Ms. Cecilia Malmström regarding the Proposal for a Regulation establishing the European Border Surveillance System.
(19) Artikel 12 EUROSUR-Verordnung.
(20) Nielsen, N. (2013): EU looks to ‘hybrid drones‘ for legal shortcut on migration, EUobserver (14. Oktober).
(21) Europäische Kommission (2013): Communication from the Commission to the European Parliament and the Council on the work of the Task Force Mediterranean, COM (2013) 869 final, Brussels, 4. Dezember: 17.
(22) Europäische Kommission (2008): Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Prüfung der Schaffung eines Europäischen Grenzkontrollsystems (EUROSUR), Kom (2008) 68 endg.: 12.
(23) Europäische Kommission (2013): EUROSUR: new tools to save migrants’ lives at sea and fight cross-border crime, Memo/13/578, Brüssel, 19. Juni.
(24) Deibler, Daniel (2015): ›EUROSUR – A sci-fi border zone controlled by drones‹,  in: Jan Camenisch et al., Privacy and Identity Management for the Future Internet in the Age of Globalisation, Springer: 87-109.
(25) Charta der Grundrechte der Europäischen Union.