Datenschutz für EU-Polizeinetz angemahnt
EU-Datenschützer Peter Hustinx hat neue Empfehlungen zum Polizeidatentauschsystem ECRIS abgegeben. Da ECRIS in der "dritten Säule" der Union verhandelt wird, fehlt bisher die Aufsicht durch Datenschützer auf EU-Ebene.
Hustinx hat am Donnerstag seine Stellungnahme zum aktuellen Stand der Verhandlungen über die Einrichtung des neuen EU-Systems zum grenzübergreifenden Austausch von Polizeidaten [European Criminal Records Information System; ECRIS] veröffentlicht. EU-Kommission und -Rat wollen mit ECRIS den Austausch von Daten über verurteilte Verbrecher zwischen den Polizeidatenbanken der Mitgliedsländer verbessern.
Hustinx identifiziert in dem Bericht zahlreiche ungelöste Probleme mit dem System. Eines der größten darunter dürfte sein, dass es bisher niemanden gibt, der für den Datenschutz in ECRIS zuständig ist. Im Gegensatz zum Schengen-Informationssystem SIS und zum Visa-Informationssystem VIS werde ECRIS nämlich im Bereich der "dritten Säule" der EU verhandelt.
In der "dritten Säule", der "polizeilichen und justiziellen Zusammenarbeit in Strafsachen", ist die Kontrolle der EU-Organe wie etwa des Parlaments bisher sehr schwach, da diese Themen vor allem in den Händen der Nationalstaaten liegen und der Rat hier federführend ist.
Sensibles Material
Diese Zuordnung habe dazu geführt, dass die Datenschutzbestimmungen der EU nicht automatisch Gültigkeit in ECRIS hätten. Das sei "unglücklich", so Hustinx, zumal es sich bei den Daten von verurteilten Verbrechern um sensibles Material handle.
Ein weiteres Problem besteht darin, dass Hustinx aber sehr wohl für den Datenschutz im EU-Kommunikationsnetzwerk S-TESTA [Trans European Services for Telematics between Administrations] zuständig ist. Dieses spezialisierte Netzwerk, dessen Administrationsbasis in Bratislava angesiedelt ist, dient unter anderem für SIS als Backbone und soll auch die Infrastruktur für ECRIS bieten. Hustinx schlägt vor, den Geltungsbereich der EG-Richtlinie 45/2001 über die Verarbeitung persönlicher Daten auch auf ECRIS auszudehnen, das unter der Verantwortung der EU-Kommission arbeite.
Die Einrichtung von ECRIS geht unter anderem auf eine Deklaration des EU-Ministerrats zur Terrorismusbekämpfung vom 25./26. März 2004 zurück.
Für ECRIS wird ein einheitliches Datenformat für den Informationsaustausch geschaffen. Auch die verschiedenen Straftatbestände sollen so organisiert werden, dass sie automatisch von ECRIS übersetzt und aufbereitet werden können.
Datenschutz nicht effizient koordiniert
Hustinx begrüßt, dass die Polizeidatenbanken weiterhin dezentral in den Mitgliedsländern geführt werden sollen. Das würde für Datensparsamkeit sorgen, da die Informationen nicht zusätzlich in einer zentralen EU-weiten Datenbank gespeichert werden müssten.
Auch hätten die Polizeien keinen direkten gegenseitigen Zugriff auf die nationalen Datenbanken. Durch das "Peer-to-Peer"-Prinzip beim Datenzugriff entstehe aber das Problem, dass auch die übermittelten Daten immer auf dem aktuellen Stand gehalten werden müssten. Auch gebe es bisher keine effiziente Koordination zwischen den nationalen Datenschutzbeauftragten.
Weiterhin moniert Hustinx, dass die Software-Komponente von ECRIS nicht standardisiert sei und die Verantwortlichkeit darüber bei den Mitgliedsstaaten liege. Es sei auch im Interesse der Datenschützer, wenn die Kommission außer für das Netzwerk auch für die Software-Komponente die Verantwortung übernehme. Bisher seien auch grundlegende Datenschutzfunktionen für die Software-Komponente noch nicht definiert, so die eindeutige sichere Identifikation des Datenabsenders und die Sicherung der Integrität der Abfragen.
Besonderer Schutz biometrischer Daten
Wie bereits in einer früheren Stellungnahme weist der EDPS nochmals darauf hin, dass auch für den Austausch von ECRIS-Daten mit Drittstaaten außerhalb der EU die Datenschutzbestimmungen der Union gelten müssten. Bis Ende 2008 werde allerdings ein EU-Rahmenbeschluss für den Datenschutz bei polizeilicher Zusammenarbeit für minimale Sicherheitsbestimmungen sorgen.
In der Dokumentation zu ECRIS vermisst der Datenschutzbeauftragte besondere Vorschriften zum Umgang mit "speziellen Kategorien von Daten", etwa biometrischen Informationen.
(futurezone | Günter Hack)