TÄTIGKEITSBERICHT DER GEMEINSAMEN KONTROLLINSTANZ VON SCHENGEN
März 1995 - März 1997
Bph/div. Schengen, Gemeinsame Kontrollinstanz, Brüssel, den 27. März 1997
Vorwort
Unter den großen Projekten zur polizeilichen Zusammenarbeit stellen das Übereinkommen von Schengen und dessen Durchführungsübereinkommen sowie das gleichnamige Informationssystem ein Versuchslabor dar.
Zwar beinhaltet das Schengener Durchführungsübereinkommen zufriedenstellende Bestimmungen über die Rechte der Personen, die Datensicherheit und die Kontrolle des EDV-Systems, doch haben die aufeinanderfolgenden Aufschübe in bezug auf die Anwendung der Vorschriften fast dazu geführt, daß das System, welches um der Leistungsfähigkeit willen stärker wurde, der Anwendung der Grundsätze zuvorkommt. Diese Situation war besorgniserregend, zumal sich bereits andere europäische Kooperationsvorhaben entwickelten, bei denen in erster Linie das Gebot der Effizienz geltend gemacht wurde.
Sie hätte sich nachteilig auf die Kontrolle des Datenschutzes auswirken können, wäre nicht 1992 eine vorläufige gemeinsame Kontrollinstanz eingerichtet worden.
Ganz offensichtlich sind der Informationsaustausch und die polizeiliche, justitielle und Zollzusammenarbeit angesichts des freien Personenverkehrs zu notwendigen Mitteln bei der Bekämpf ung des Terrorismus, des Rauschgifthandels und der Schwerkriminalität, bei der Gewäleistung der Sicherheit und der Kontrolle der Migrationsströme geworden. Dies ist - über den Schengen-Rahmen hinaus - der Fall bei der Europol-Konvention und beim Dubliner Übereinkommen.
Dennoch ist es wichtig, daß das oder die Kapitel über den Schutz der Daten über natürliche Personen und die in diesem Bereich zuständigen gemeinsamen oder nationalen Kontrollinstanzen nicht nur eine Floskel sind.
Dieser erste Tätigkeitsbericht über zwei Jahre ist vor allem der unvollendete Bericht über eine mit den Mitgliedstaaten geführte schrittweise Verhandlung über die Verankerung in der Realität gemäß dem Buchstaben des Durchführungsübereinkommens der Unabhängigkeit und der Autorität einer Kontrollinstanz, die über die Achtung der Rechte der Personen, über die Daten ausgetauscht werden, wacht.
So ist die Gemeinsame Kontrollinstanz von Schengen, mehr noch als ein Versuchslabor, in ihrer Rolle als Wegbereiter eine Galionsfigur.
Alex Türk
März 1997
Inhalt:
Kapitel 1 Rückblick
1.1 Rechtsvorschriften (Schengener Übereinkommen, Schengener Durchfuuml;hrungsübereinkommen, Beitrittsübereinkommen, Kooperationsübereinkommen
1.2 Die gemeinsamen Gremien für die Anwendung des Durchführungsübereinkommens
1.3 Ziel und Architektur des Schengener Informationssystems
-Gespeicherte Daten
-Empfänger der Daten
-Architektur des SIS
1.4 Die SIRENE-Büros
Kapitel 2 Schutz personenbezogener Daten
2.1 Ein Gesetz und eine nationale Kontrollinstanz: Voraussetzungen für die Anwendung des Durchführungsübereinkommens
2.2 Die jeweiligen Geltungsbereiche des Durchführungsübereinkommens und des nationalen Rechts
-Rechte der Personen in bezug auf das SIS
-Kontrolle des SIS
-Austausch von Informationen außerhalb des SIS
Kapitel 3 Die Gemeinsame Kontrollinstanz und die Bedingungen ihrer Unabhängigkeit
3.1 Zusammensetzung der GK
3.2 Aufgaben der GK
3.3 Bedingungen der Unabhängigkeit
-Annahme einer Geschäftsordnung
-Erwirkung einer eigenen Haushaltslinie
-Erstellung eines Tätigkeitsberichts
-Unterrichtung über das Funktionieren des Durchführungsübereinkommens
Kapitel 4 Durchgeführte Aufgaben
4.1 Vollendete Aufgaben
4.1.1 Vergleich der in den Schengen-Staaten geltenden Vorschriften zum Datenschutz
4.1.2 Prüfung der rechtlichen Grundlage der SIRENE-Büros
und des Inhalts des SIRENE-Handbuchs
4.1.3 Zusammenarbeit zwischen den nationalen Kontrollinstanzen Stellungnahme vom 26. November 1996 betreffend die Ausübung des Auskunftsrechts und die Zusammenarbeit zur Überprüfung der Daten
4.1.4 Kontrolle des C.SIS
-Besuch der vorläufigen gemeinsamen Kontrollinstanz vor Ort und Stellungnahme vom 18.Mai 1994
-Kontrolle der GK, Besuch vor Ort vom 11. Februar 1997 und Stellungnahme vom 27. März 1997
4.1.5 Stellungnahme zum Pilotprojekt über Kfz-Verschiebung
4.1.6 Stellungnahme zum Übereinkommen über die Zusammenarbeit bei der Verfolgung von Zuwiderhandlungen gegen Verkehrsvorschriften und bei der Vollstreckung von dafür verhängten Geldbußen und Geldstrafen
4.2 Laufende Aufgaben
4.2.1 Leitfaden über das Auskunftsrecht in bezug auf das SIS
4.2.2 Auslegung von Artikel 102 Absatz 2 über die technische Vervielfältigung der Daten des SIS
4.2.3 Auslegung von Artikel 103 über die Kontrolle der Zulässigkeit der Abrufe des SIS
4.2.4 Auslegung von Artikel 102 Absatz 1 über den Grundsatz der Zweckgebundenheit für die Nutzung der Daten des SIS
Kapitel 5 Ausblick
5.1 Transparenz in den Beziehungen zwischen den Schengen-Gremien
-Unterrichtung der GK über das Funktionieren des Durchführungsübereinkommens
-Fertigstellung des Protokolls über die Durchführung der Kontrollen des C.SIS
-Endgültige Bestätigung der budgetären Unabhängigkeit der GK
5.2 Transparenz für den Bürger
-hinsichtlich der Zielsetzungen
-hinsichtlich der Erweiterung des Schengener Durchführungsübereinkommens und die zunehmenden Komplexität der Kontrollmechanismen der Datenschutzvorschriften
Kapitel 1 Rückblick
1. 1 Rechtsvorschriften
Das Schengener Übereinkommen wurde am 14. Juni 1 985 durch die Regierungen der Staaten der Benelux-Wirtschaftsunion, die Bundesrepublik Deutschland und die Französische Republik unterzeichnet. Es wurde vorläufig am Tag nach seiner Unterzeichnung angewendet (Artikel 32) und trat am 2. März 1 986 in Kraft.
Das Schengener Übereinkommen zielte als Ausdruck des Willens, einen gemeinsamen Raum des Waren- und Personenverkehrs zu schaffen, um eine Wiederholung der ein Jahr zuvor eingetretenen Zwischenfälle des Dienstes nach Vorschrift der italienischen Zöllner (Festhalten ausländischer Lastkraftwagen an den Grenzen, Errichtung von Barrikaden aus Protest in Frankreich, Behinderungen auf dem gesamten europäischen Straßennetz) zu verhindern, vor allem auf den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen der Unterzeichnerstaaten ab. Und de facto betreffen nur 7 der 33 Artikel des Übereinkommens die polizeiliche Zusammenarbeit und die Bekämpfung der illegalen Einwanderung.
Im Gegensatz dazu hat das am 1 9. Juni 1 990 von denselben Vertragsparteien unterzeichnete Übereinkommen zur Durchführung des Übereinkommens von Schengen zum Zwecke der Kontrolle an den gemeinsamen Außengrenzen die polizeiliche, justitielle und Zollzusammenarbeit ausgebaut, die im Zusammenhang mit den in den einzelnen Staaten geführten Diskussionen über die Unsicherheit und die illegale Einwanderung als Ausgleich für die fünf Jahre zuvor beschlossene Öffnung als erforderlich erachtet wurden.
Eine der grundlegenden Maßnahmen dieser Bestimmungen über die Zusammenarbeit war die Schaffung eines gemeinsamen EDV-Systems, des Schengener Informationssystems (Titel IV des Durchführungsübereinkommens).
Die Einrichtung dieses Systems führte durch nationale und internationale Vorschriften über die Achtung der Grundsätze des Datenschutzes zur Schaffung einer Gemeinsamen Kontrollinstanz nach dem Vorbild der unabhängigen, in diesem Bereich zuständigen nationalen Kontrollinstanzen. Das für sein Inkrafttreten zur Ratifizierung, Billigung oder Annahme vorgelegte Durchführungsübereinkommen trat angesichts der Tatsache, daß "die Voraussetzungen für seine Anwendung erfüllt und die Kontrollen an den Außengrenzen wirksam sind" am 1. September 1993 in Kraft und wird seit dem 26. März 1 995 angewendet. Das ursprünglich vorgesehene Datum war der 1. Januar 1993.
Das anderen Mitgliedstaaten der Europäischen Union zum Beitritt offenstehende (Artikel 140) Durchführungsübereinkommen ermöglichte die Ausdehnung des Schengener Raumes auf Italien, Spanien, Portugal, Griechenland und Österreich, wenngleich bis heute nur Spanien und Portugal alle Bedingungen für die Speisung des SIS, den Zugriff auf die darin enthaltenen Daten und die gleichberechtigte Teilnahme an den Versammlungen aller Schengen-Gremien, insbesondere an der Gemeinsamen Kontrollinstanz, erfüllt.
Seit dem 1. Mai 1996 nehmen die 5 Staaten der nordischen Union, die durch das Übereinkommen der nordischen Paßunion miteinander verbunden sind, durch das der freie Personenverkehr zwischen ihren Hoheitsgebieten und den Färöern eingeführt wurde, als Beobachter an den Schengen-Sitzungen teil.
Am 19.Dezember 1996 unterzeichneten Dänemark, Finnland und Schweden als Mitgliedstaaten der Europäischen Union das Beitrittsübereinkommen zu Schengen.
Island und Norwegen, beide nicht Mitgliedstaaten der Europäischen Union, wurde durch ein Kooperationsübereinkommen am gleichen Tage der Status eines assoziierten Mitglieds angeboten, durch das das Durchführungsübereinkommen abgesehen von den Bestimmungen über die Kontrolle von Waren für ihr jeweiliges Hoheitsgebiet gilt, ohne daß sie an den Entscheidungen formal mitwirken können. Diese beiden Staaten sind somit uneingeschränkt am Betrieb des Schengener Informationssystems beteiligt.
1.2 Die gemeinsamen Gremien für die Anwendung des Durchführungsübereinkommens
Die Vertragsparteien haben für die Anwendung des Durchführungsübereinkommens zwei Gremien geschaffen:
Der Exekutivausschuß, dem ein für die Umsetzung des Durchführungsübereinkommens in jeder Vertragspartei verantwortlicher Minister angehört, ist für die allgemeine Aufgabe zuständig, auf die ordnungsgemäße Anwendung des Durchführungsübereinkommens zu achten; er verfügt im übrigen über besondere Befugnisse (Artikel 131).
Die Gemeinsame Kontrollinstanz, der zwei Vertreter jeder nationalen Kontrollinstanz der Mitgliedstaaten angehören, ist für die Überprüfung der ordnungsgemäßen Anwendung der Bestimmungen des Durchführungs-übereinkommens hinsichtlich der technischen Unterstützungseinheit des SIS zuständig (Artikel 115). Sie verfügt in bezug auf den Datenschutz ebenfalls über allgemeinere Befugnisse.
Neben diesen beiden Gremien ist die Schengen-Organisation um eine Zentrale Gruppe herum strukturiert, der eine "SIS"-Steuerungsgruppe und verschiedene Arbeitsgruppen, von denen einige durch das Durchführungsübereinkommen geschaffen wurden, unterstellt sind. Die Schengen-Gremien werden durch ein Sekretariat unterstützt, dessen Aufgaben durch das Generalsekretariat der BENELUX-Wirtschaftsunion mit Sitz in Brüssel wahrgenommen werden.
1.3 Ziel und Architektur des Schengener Informationssystems
Der gesamte Titel IV des Durchführungsübereinkommens befaßt sich mit dem Schengener Informationssystem (SIS). Artikel 93 des Durchführungsübereinkommens besagt, daß das SIS zum Ziel hat, anhand der aus diesem System erteilten Informationen die öffentliche Sicherheit und Ordnung einschließlich der Sicherheit des Staates und die Anwendung der Bestimmungen des Durchführungsübereinkommens im Bereich des Personenverkehrs zu gewährleisten.
Gespeicherte Daten
In Artikel 94 sind die Kategorien von Daten, die im System gespeichert werden dürfen, erschöpfend aufgeführt. Die Artikel 95 bis 100 bezeichnen die Zwecke, die die Eingabe der Ausschreibungen rechtfertigen.
Die Datenkategorien beziehen sich auf Personen, Sachen und Fahrzeuge. In bezug auf Personen können Daten zum Personenstand und Aliasnamen, besondere unveränderliche physische Merkmale, die etwaige Angabe, daß sie bewaffnet oder gewalttätig sind, und das Verhalten im Falle einer Entdeckung eingegeben werden.
Untersagt ist hingegen die Erwähnung sogenannter sensibler Daten über Rasse, politische Meinungen, religiöse und sonstige Überzeugungen sowie die Gesundheit oder das Sexualeben betreffende Daten.
Folgende Zwecke rechtfertigen die Ausschreibung einer Person im SIS:
a) unabhängig von der Staatsangehörigkeit der
Person:
-Festnahme zum Zwecke der Auslieferung (Artikel 95);
-Fahndung bei Vermißtmeldung, Fahndung nach Minderjährigen oder Personen, die aufgrund einer Entscheidung einer zuständigen Behörde in Gewahrsam zu nehmen sind
-Festnahme wegen Erscheinens vor Gericht, auch als Zeuge, im Rahmen eines verdeckte Registrierung und gezielte Kontrolle zur Strafverfolgung, zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Abwehr von erheblichen Gefährdungen für die Sicherheit des Staates (Artikel 99).
b) in bezug auf Drittausländer, das heißt Personen, die nicht Staatsangehörige der Mitgliedstaaten der Europäischen Gemeinschaften sind (Begriffsbestimmung in Artikel 1 Absatz 6):
- Einreiseverweigerung aufgrund einer Entscheidung einer Verwaltungsbehörde oder eines Gerichts, die unter Einhaltung der Verfahrensregeln des nationalen Rechts oder aufgrund einer Gefahr für die öffentliche Sicherheit und Ordnung oder die nationale Sicherheit oder aufgrund der Nichtbeachtung des nationalen Rechts über die Einreise und den Aufenthalt von Drittausländern gefaßt worden ist (Artikel 96).
Daten in bezug auf Sachen, einschließlich des Namens ihrer Eigentümer, dürfen nur eingegeben werden, wenn sie sich auf gestohlene, unterschlagene oder sonst abhandengekommene Fahrzeuge, Schußwaffen, Schriftstücke und Banknoten beziehen, die zur Sicherstellung oder Beweissicherung im Strafverfahren gesucht werden (Artikel 100).
In bezug auf Fahrzeuge dürfen auch Daten über gesuchte Fahrzeuge zur verdeckten Registrierung oder zur gezielten Kontrolle (Artikel 99, bereits erwähnt) aufgenommen werden. Diese Kategorie von Daten erlaubt die Speicherung von Angaben über den Fahrer und die Insassen der überwachten Fahrzeuge.
Empfänger der Daten
Die Artikel 92 und 101 legen fest, daß die von den Vertragsparteien bezeichneten Behörden durch einen Abruf im automatisierten oder nicht automatisierten Verfahren Zugriff haben können auf alle im SIS gespeicherten Daten, und zwar bei Grenzkontrollen und Überprüfungen sowie sonstigen Polizei und Zollkontrollen, die gemäß dem nationalen Recht innerhalb des jeweiligen Staates durchgeführt werden; auf die alleinige Kategorie der Ausschreibungen zur Einreiseverweigerung für die Erteilung von Sichtvermerken, Aufenthaltstiteln und die Handhabung der ausländerrechlichen Bestimmungen des Durchführungsübereinkommens im Bereich des Personenverkehrs.
Die Liste der Behörden, die die im SIS gespeicherten Daten unmittelbar abfragen dürfen, ist dem Exekutivausschuß zu übermitteln (Artikel 1 01 Absatz 4).
Architektur des Schengener Informationssystems
Zwar schreiben mehrere Artikel in Titel IV die Einhaltung dieser oder jener Maßnahme technischer Art vor, doch ist die allgemeine Beschreibung des Systems in Artikel 92 enthalten.
Das Schengener Informationssystem (SIS) setzt sich aus einem nationalen Teil (N.SIS) in jeder der Vertragsparteien und einer technischen Unterstützungseinheit (C.SIS) zusammen; letztere wurde gemeinsam eingerichtet und wird gemeinsam betrieben, unter Verantwortung der Französischen Republik.
Ziel der in Straßburg eingerichteten technischen Unterstützungseinheit ist die inhaltliche Angleichung aller N.SIS. Hierzu ist im C.SIS ein Bestand enthalten, der durch die Online-Übermittlung von Daten sicherstellt, daß die nationalen Bestände identisch bleiben. Die Datenübermittlung erfolgt gemäß den von den Vertragsparteien für die technische Unterstützungseinheit gemeinsam festgelegten Protokollen und Verfahren.
Artikel 118 Absatz 4 legt die Sicherheitsmaßnahmen fest, die für die technische Unterstützungseinheit zu treffen sind. Sie entsprechen genau den Maßnahmen, die für jedes N.SIS verlangt werden (Artikel 118 Absätze 1 bis 3).
1.4 Die SIRENE-Büros
Die SIRENE-Büros (Supplément d'Informations Requis á l'Entrée Nationale) wurden von den Mitgliedstaaten eingerichtet und sind nicht ausdrücklich im Durchführungsübereinkommen vorgesehen.
Sie sind in jedem Schengen-Staat auf der Grundlage des SIS für den Austausch von ergänzenden Informationen zuständig und dienen ebenfalls als Mittler bei den unterschiedlichen Konsultationen von Staat zu Staat über die Vorgehensweise bei der Ausführung einer Ausschreibung.
Ihre Aufgaben und Maßnahmen sind konkret in einem gemeinsamen, sogenannten "SIRENE-Handbuch" festgelegt. Sie bestehen im wesentlichen aus Konsultationen im Vorfeld der Erstellung von Ausschreibungen, dem Austausch von Informationen und der Überwachung von Mehrfachausschreibungen sowie der Erstellung von Rangfolgen.
Kapitel 2 Schutz personenbezogener Daten
2.1 Ein Gesetz und eine nationale Kontrollinstanz: Voraussetzungen für die Anwendung des Durchführungsübereinkommens
Für die Anwendung des Durchführungsübereinkommens in ihrem Hoheitsgebiet haben die Mitgliedstaaten mehrere Bedingungen gestellt. Auf ihre unbedingte Einhaltung wird in der Schlußakte hingewiesen. Zu diesen Voraussetzungen zählt auch die Pflicht jeder Vertragspartei, vor jeglicher Übermittlung personenbezogener Daten eine unabhängige nationale Kontrollinstanz einzurichten (Artikel 114 und 128) sowie ein Datenschutzgesetz zu erlassen.
Unabhängig davon, ob es sich um eine automatische Verarbeitung von in Anwendung des Durchführungsübereinkommens übermittelten Daten handelt oder nicht, enthält das Durchführungsübereinkommen folgende Vorschriften:
a) für die automatische Verarbeitung von in Anwendung von Titel IV über das SIS übermittelten Daten:
Artikel 117
Jede Vertragspartei trifft spätestens bis zum Inkrafttreten dieses Durchführungsübereinkommens in ihrem nationalen Recht in bezug auf die automatische Verarbeitung personenbezogener Daten die erforderlichen Maßnahmen zur Gewährleistung eines Datenschutzstandards, der zumindest dem entspricht, der sich aus der Verwirklichung der Grundsätze des Übereinkommens des Europarates über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 ergibt, und beachtet dabei die Empfehlung R (87) 15 des Ministerausschusses des Europarates über die Nutzung personenbezogener Daten im Polizeibereich vom 17. September 1987.
Die Übermittlungen personenbezogener Daten dürfen erst beginnen, wenn in dem Hoheitsgebiet der an der Übermittlung beteiligten Vertragsparteien die datenschutzrechtlichen Regelungen in Kraft getreten sind.
b) für die automatische Verarbeitung anderer in Anwendung des Durchführungsübereinkommens übermittelter Daten mit Ausnahme von Daten betreffend Asylbegehren:
Artikel 126
Erfordernis zum Zeitpunkt des Inkrafttretens des Durchführungsübereinkommens eines Datenschutzstandards, der zumindest dem entspricht, der sich aus der Verwirklichung der Grundsätze des vorgenannten Übereinkommens des Europarates vom 28. Januar 1981 ergibt, und Übermittlung der Daten, die an das tatsächliche Bestehen dieses Schutzes im Hoheitsgebiet der an der Übermittlung beteiligten Vertragsparteien geknüpft ist.
Artikel 129
In bezug auf die Übermittlung von die polizeiliche Zusammenarbeit betreffenden Daten haben die Vertragsparteien einen Datenschutzstandard zu verwirklichen, wobei die Grundsätze der bereits genannten Empfehlung R (87) 15 des Ministerausschusses des Europarates vom 17. September 1987 beachtet werden.
c) für in Anwendung des Durchführungsübereinkommens übermittelte Daten aus einer Datei oder in eine Datei eingegebene Daten mit Ausnahme von Daten, die sich auf Asylbegehren, das SIS oder die Rechtshilfe in Strafsachen beziehen:
Artikel 127
Anwendung der Bestimmungen von Artikel 126 und, hinsichtlich der Übermittlung von Daten über die polizeiliche Zusammenarbeit, Datenschutzstandard, bei dem die Grundsätze der oben genannten Empfehlung R (87) beachtet werden.
d) Schließlich gelten bei übermittelten Daten, die in Begleitpapieren enthalten sind, bis auf eine Ausnahme die besonderen Datenschutzbestimmungen in Artikel 126 Absatz 3, ggf. unter Aufsicht der zuständigen nationalen Instanz (Artikel 128 Absatz 2).
2.2 Die jeweiligen Geltungsbereiche des Durchführungsübereinkommens und des nationalen Rechts
Das Durchführungsübereinkommen sieht hinsichtlich des Schutzes personenbezogener Daten eine vielschichtige Unterscheidung zwischen dem Geltungsbereich seiner Bestimmungen und dem des jeweiligen nationalen Rechts der Vertragsparteien vor.
Rechte der Personen in bezug auf das SIS
Folgende Regel läßt sich aufstellen: Soweit das Durchführungsübereinkommen keine besonderen Bestimmungen vorsieht, gilt das Recht einer jeden Vertragspartei.
Das Durchführungsübereinkommen legt die Art der den Personen eingeräumten Rechte und deren etwaige Grenzen fest. Vorbehaltlich der Beachtung dieser Bestimmungen werden die Rechte der Personen unter Einhaltung des nationalen Rechts jeder Vertragspartei ausgeübt.
a) Auskunftsrecht (Artikel 109)
Jede Person kann über die zu ihrer Person im SIS gespeicherten Daten Auskunft erhalten. Hierzu kann sie bei den zuständigen Gremien jeder Vertragspartei einen Antrag stellen. Soweit das nationale Recht dies vorsieht, können dem Antragsteller die ihn betreffenden Daten mitgeteilt werden. In Anwendung des "Grundsatzes des Eigentums der Daten" setzt die Mitteilung jedoch voraus, daß der ersuchte Staat, der selbst die Ausschreibung nicht vorgenommen hat, dem ausschreibenden Staat zuvor Gelegenheit zur Stellungnahme gibt.
Die Auskunfterteilung kann verweigert werden, wenn sie der Ausführung der Ausschreibung schaden kann oder für den Schutz der Rechte und Freiheiten Dritter unerläßlich ist. In jedem Fall unterbleibt die Mitteilung, wenn die Person zum Zwecke der verdeckten Registrierung ausgeschrieben ist.
In der Anlage sind die wesentlichen Merkmale des für die Ausübung des Rechts auf Auskunft über die in einer EDV-Verarbeitung gespeicherten Daten in mehreren Schengen-Staaten geltenden nationalen Rechts aufgeführt.
b) Recht auf Berichtigung (Artikel 110)
Jeder hat das Recht, auf seine Person bezogene unrichtige Daten berichtigen oder unrechtmäßig gespeicherte Daten löschen zu lassen.
c) Recht auf Erhebung einer Klage auf Berichtigung, Löschung, Auskunftserteilung oder Schadensersatz (Artikel 111)
Jeder hat das Recht, im Hoheitsgebiet jeder Vertragspartei eine Klage wegen einer seine Person betreffenden Ausschreibung insbesondere auf Berichtigung, Löschung, Auskunftserteilung oder Schadensersatz vor dem nach nationalem Recht zuständigen Gericht oder der zuständigen Behörde zu erheben. Die unanfechtbaren Entscheidungen sind von der jeweiligen Vertragspartei zu vollziehen.
d) Recht auf Überprüfung der Daten (Artikel 114 Absatz 2)
Jeder hat das Recht, eine nationale Kontrollinstanz zu ersuchen, die zu seiner Person im SIS gespeicherten Daten sowie deren Nutzung zu überprüfen. Wurden die Daten durch eine andere Vertragspartei als jener, die die Ausschreibung vorgenommen hat, eingegeben, so erfolgt die Kontrolle in enger Abstimmung mit der Kontrollinstanz der ausschreibenden Vertragspartei.
Zwar wurde noch keine umfassende Bestandsaufnahme der bei den Schengen-Staaten zur Geltendmachung besagter Rechte eingereichten Anträge vorgenommen, aber den Informationselementen, die der GK vorliegen, ist zu entnehmen, daß die Zahl der Anträge für jeden Staat in den beiden vergangenen Jahren zwischen einem und vierzig lag.
Kontrolle des Schengener Informationssystems
Das Durchführungsübereinkommen führt die Grundsätze des Datenschutzes auf, die unbeschadet des nationalen Rechts jeder Vertragspartei für die Verarbeitung der in das SIS aufgenommenen Daten gilt (Artikel 104). Es unterscheidet hinsichtlich der Kontrolle ihrer Einhaltung zwischen der Gemeinsamen Kontrollinstanz und den nationalen Kontrollinstanzen (Artikel 114 und 115).
Folgende Grundsätze sind im Durchführungsübereinkommen aufgeführt:
a) Grundsatz der Zweckgebundenheit hinsichtlich der Speicherung der Daten und, abgesehen von den erschöpfend aufgeführten Ausnahmen, hinsichtlich ihrer Verwendung: Auslieferung, Einreiseverweigerung, Vermißte, Zeugen, geladene oder verurteilte Personen, gestohlene Sachen, Personen oder Fahrzeuge unter verdeckter Registrierung oder gezielter Kontrolle (bereits erwähnte Artikel 94 bis 100 sowie 102).
b) Verbot der Verarbeitung sensibler Daten und erschöpfende Aufführung der gespeicherten Daten (Artikel 94, bereits erwähnt).
c) Festlegung der Empfänger: Zugriff durch die zuständigen nationalen Instanzen auf bestimmte Bereiche und allein auf die Erfüllung ihrer Aufgaben beschränkt (Artikel 101, bereits erwähnt).
d) Verbot des Kopierens der Ausschreibungen einer anderen Vertragspartei in einen nationalen Bestand und Beschränkung der Vervielfältigungen auf technische Zwecke (Artikel 102).
e) Verpflichtung zur Protokollierung jeder zehnten Datenübermittlung zur Kontrolle der Zulässigkeit (Artikel 103).
f) Festiegung einer Aufbewahrungsdauer für die Daten (Artikel 112 und 113).
g) Verpflichtung zur Aufbewahrung der gelöschten Daten während eines Jahres in der technischen Unterstützungseinheit zur nachträglichen Kontrolle ihrer Richtigkeit und der Rechtmäßigkeit ihrer Speicherung (Artikel 113 Absatz 2).
Hinsichtlich der Kontrolle des Systems legt das Durchführungsübereinkommen fest, daß jede Vertragspartei eine nationale Instanz mit der unabhängigen Kontrolle unter Beachtung des nationalen Rechts (Artikel 114) des Datenbestands des nationalen Teils des Informationssystems (N.SIS) zu beauftragen hat. Diese Instanzen haben die Aufgabe, die Einhaltung der vom Durchführungsübereinkommen vorgesehenen Datenschutzbestimmungen sowie der etwaigen zusätzlichen Bestimmungen des nationalen Rechts zu überprüfen.
Die Kontrolle der technischen Unterstützungseinheit (C.SIS) hingegen unterliegt der Gemeinsamen Kontrollinstanz, die unter Beachtung des Schengener Durchführungsübereinkommens, des Übereinkommens des Europarates über den Datenschutz, der Empfehlung des Europarates über die Daten im Polizeibereich und gemäß französischem Recht tätig werden muß.
Austausch von Informationen außerhalb des SIS
In Titel VI (Artikel 126 ff.) des Durchführungsübereinkommens ("Datenschutz") sind die für den Austausch von Informationen geltenden Vorschriften aufgeführt, bei dem es nicht zu einer Speicherung im SIS kommt, der aber zur Anwendung des Durchführungsübereinkommens erfolgt (vgl. Punkt 2.1 b) und c)1)
Die erwähnten Grundsätze (Zweckgebundenheit, Beschränkung der Empfänger, Richtigkeit der Daten usw.) gelten unbeschadet der Bestimmungen des nationalen Datenschutzrechts, das insbesondere die Geltendmachung der Rechte der Betroffenen regelt.
Die Kontrolle der Einhaltung der im Durchführungsübereinkommen genannten Regeln obliegt den nationalen Instanzen.
Die GK hat noch eine weitere Aufgabe: Sie kann auf Ersuchen der Vertragsparteien eine Stellungnahme über die Schwierigkeiten bei der Durchführung und Auslegung, die durch diese Vorschriften auftreten, abgeben.
Kapitel 3 Die Gemeinsame Kontrollinstanz und die Bedingungen ihrer Unabhängigkeit
3.1 Zusammensetzung der Gemeinsamen Kontrollinstanz
Artikel 115 Absatz 1 des Durchführungsübereinkommens legt fest, daß die Gemeinsame Kontrollinstanz (GK) sich aus zwei Vertretern der jeweiligen nationalen Kontrollinstanzen zusammensetzt.
Die Auswahl der Vertreter für die GK erfolgt durch die jeweiligen nationalen Kontrollinstanzen, deren Vorsitzender oder Direktor ihre Bezeichnung beim Sekretariat der GK und ihrem Vorsitzenden anzeigt. Die GK nimmt die vorgenommenen Bezeichnungen zur Kenntnis.
Da die nationalen Kontrollinstanzen nicht nach einem einheitlichen Muster zusammengesetzt sind (bei einigen von ihnen handelt es sich um kollegiale Gremien, bei anderen nicht), sind ihre Vertreter je nach Einzelfall Mitglieder des Kollegiums, Kommissare oder Direktoren, Leiter oder Bedienstete einer Dienststelle oder externe Persönlichkeiten. Da das Durchführungsübereinkommen keine zeitliche Befristung für das Mandat der Mitglieder der GK vorschreibt, entscheidet hierüber die jeweilige nationale Instanz.
Die GK wurde offiziell nach Inkraftsetzung des Durchführungsübereinkommens am 26. März 1 995 eingerichtet. Ihre Zusammensetzung ist in der Anlage aufgeführt.
Auf Betreiben von Herrn Faber, Luxemburgs Kommissar für den Datenschutz und ihr erster Vorsitzender, wurde im Einvernehmen mit den Schengen-Ministern schon im Juni 1992 eine vorläufige gemeinsame Kontrollinstanz eingerichtet. Ihre Zusammensetzung ist in der Anlage aufgeführt.
Zu dieser Zeit planten einige Vertragsparteien -nach der Durchführung von technischen Tests mit fiktiven Daten - die schrittweise Aufnahme personenbezogener Echtdaten in das SIS. Seitdem ist die Zweckdienlichkeit einer Abstimmung mit der gemeinsamen Kontrollstelle für die Einhaltung der Vorschriften des Datenschutzes unbestritten. Die vorläufige gemeinsame Kontrollinstanz, der ein oder zwei Vertreter der nationalen Kontrollinstanzen der fünf Staaten, auf die das Schengener Übereinkommen und dessen Durchführungsübereinkommen zurückgehen, sowie ein oder zwei unabhängige Experten angehörten, die von den Beitrittsstaaten bezeichnet wurden, in deren Hoheitsgebiet das Durchführungsübereinkommen noch nicht Anwendung fand, nahm eine vorläufige Geschäftsordnung an, die für die Erfüllung ihrer Aufgaben die Konsensregel vorschrieb. Sie erstellte einen Fragebogen über die Art der in den einzelnen Schengen-Staaten geltenden Datenschutzvorschriften im Hinblick auf das Durchführungsübereinkommen und ganz besonders auf das SIS und führte einen ersten Besuch in der technischen Unterstützungseinheit in Straßburg durch.
Sie trat zwischen dem 29. Juni 1992 und dem 22. Februar 1995 zwölf Mal in den Räumen des Schengen-Sekretariats in Brüssel sowie einmal, nämlich am 15. und 16. März 1994, in Straßburg zusammen.
Sie nahm die Rolle eines Wegbereiters wahr und erleichterte die Aufgabe der GK bei deren offizieller Einrichtung. Bei der Präsentation der Arbeiten der GK wird auf ihre Arbeiten verwiesen, die von ersterer vervollständigt wurden.
Kurz nach ihrer Einrichtung führte die GK zwischen dem 17. Mai und dem 14. Dezember 1995 unter dem Vorsitz von Herrn von Pommer-Esche, Deutschland, Vorsitzender der vorläufigen gemeinsamen Kontrollinstanz, 5 Sitzungen durch, insbesondere zur Erarbeitung ihrer endgültigen Geschäftsordnung. Am 14. Dezember 1995 fand die Wahl ihres für eine verlängerbare Amtszeit von einem Jahr gewählten Vorsitzenden, Herrn Türk, Frankreich, Senator, Mitglied der nationalen Kommission für Informatik und Freiheiten, und ihres stellvertretenden Vorsitzenden, Herrn Labescat, Portugal, Anwalt, Mitglied der nationalen Datenschutzkommission, statt.
Herr Türk als Vorsitzender und Herr Labescat als stellvertretender Vorsitzender wurden am 5. Dezember 1996 für ein weiteres Jahr gewählt.'
Die GK trat 1996 neun Mal und seit Anfang des Jahres 1997 drei Mal zusammen, wobei die erste offizielle Sitzung am 10. und 11. Februar 1997 in Straßburg stattfand. Dabei wurden zwei Arbeitsgruppen gebildet, wobei die erste zwei Mal, in Den Haag und Paris, und die zweite vier Mal, in Brüssel und Madrid, zusammentrat.
3.2 Aufgaben der GK
Die Hauptaufgabe der GK ist die Kontrolle der technischen Unterstützungseinheit des SIS, zu der sie allein befugt ist (Artikel 115 Absatz 2); ihr obliegt auch die Aufgabe der Beratung und Angleichung der nationalen Praktiken oder Lehren.
Das Übereinkommen zur Durchführung des Schengener Übereinkommens führt ihre Aufgaben hinsichtlich des SIS in folgenden Artikeln auf:
Artikel 106 Absatz 3: Kommt zwischen zwei Vertragsparteien über die Frage, ob die Daten unrichtig oder unrechtmäßig gespeichert sind, keine Einigung zustande, so gibt die GK eine Stellungnahme ab. Die Vertragspartei, die die Ausschreibung nicht veranlaßt hat, ist zur Anrufung verpflichtet.
Artikel 1 1 5 Absatz 3:
-Die GK prüft Anwendungs- oder Auslegungsfragen im Zusammenhang mit dem Funktionieren der SIS
-Die GK prüft Fragen im Zusammenhang mit den von den nationalen Kontrollinstanzen der Vertragsparteien unabhängig vorgenommenen Kontrollen;
-Die GK prüft Fragen im Zusammenhang mit der Ausübung des Auskunftsrechts;
-Die GK erarbeitet generell harmonisierte Vorschläge im Hinblick auf gemeinsame Lösungen für die bestehenden Fragen.
Artikel 115 Absatz 4: Die GK erstellt Berichte, die an die Stellen übermittelt werden, an die die nationalen Kontrollinstanzen ihre Berichte übermitteln.
Artikel 118 Absatz 2: Der GK sind die von jeder Vertragspartei getroffenen besonderen Vorkehrungen zur Datensicherung bei der Übermittlung von Daten an Stellen außerhalb des Hoheitsgebietes der Vertragsparteien mitzuteilen.
Hinsichtlich des Austauschs von Informationen außerhalb des SIS:
Artikel 126 Absatz 3 Litera f): Die GK kann auf Ersuchen der Vertragsparteien ein Gutachten über die Anwendungs- und Auslegungsschwierigkeiten abgeben, die sich bei der Anwendung des Artikels 126 über die Verarbeitung von in Anwendung des Durchführungsübereinkommens außerhalb des SIS übermittelten Daten ergeben.
Artikel 127 Absatz 1: Die GK kann im Falle der Übermittlung von Daten aus einer nicht automatisierten Datei und ihrer Aufnahme in eine solche Datei nach Maßgabe von Artikel 126 eine Stellungnahme abgeben.
Tatsächlich hat die GK zwischen Dezember 1995 und März 1997 ihre Bemühungen auf die Erwirkung der Garantien für ihre Unabhängigkeit sowie auf zwei als vorrangig eingestufte Aufgaben konzentriert (Zusammenarbeit zwischen den nationalen Kontrollinstanzen zur Ausübung des Auskunftsrechts und Kontrolle der technischen Unterstützungseinheit).
3.3 Bedingungen der Unabhängigkeit
Aus Artikel 115 geht zwar nicht ausdrücklich hervor, daß die GK eine unabhängige Behörde ist, ihre Mitglieder sind jedoch Vertreter der nationalen Instanzen, die in jedem Mitgliedstaat eine unabhängige Kontrolle des N.SIS durchführen. Darüber hinaus sei daran erinnert, daß in der Empfehlung R (87) 15 vom 17. September 1987 über die Regelung der Nutzung personenbezogener Daten im Polizeibereich in Artikel 115 ausdrücklich hervorgehoben wird (Punkt 1.1), daß die für die Beachtung der genannten Grundsätze zuständige Kontrollinstanz unabhängig zu sein hat.
Das Erfordernis der Unabhängigkeit wurde unverzüglich deutlich, zumal bei der Einrichtung der vorläufigen gemeinsamen Kontrollinstanz einige Entscheidungen wie die Wahl eines Vorsitzenden anstelle der Annahme der zwischen den Mitgliedstaaten aufgestellten Regel eines alle sechs Monate wechselnden Vorsitzes von den Vertragsparteien erörtert wurden.
Die Bedingungen ihrer Unabhängigkeit, und folglich ihrer Glaubwürdigkeit sowie jener der Schengen-Staaten, wurden von der GK bei ihrer Einrichtung eindeutig zum Ausdruck gebracht.
Zu diesen Bedingungen zählen insbesondere die Annahme einer Geschäftsordnung und die mit der Erstellung eines Tätigkeitsberichts verbundene Erwirkung einer eigenen Haushaltslinie.
Annahme einer Geschäftsordnung
Bei der Ausarbeitung ihrer Geschäftsordnung hat die GK die Wahl ihres Vorsitzenden und ihres stellvertretenden Vorsitzenden zur Regel gemacht, Regeln in bezug auf die Beschlußfähigkeit und Mehrheit zur Annahme ihrer Akte eingeführt und bestimmt, daß ihre Mitglieder, die Beobachter, die Sachverständigen und die Mitglieder des Sekretariats zur Verschwiegenheit verpflichtet sind.
Sie hat mehrere Fragen hinsichtlich ihrer Aufgaben, der Bedingungen für Mitglieder und Beobachter, der Bekanntmachung ihrer Akte und der Hinzuziehung von Sachverständigen für die Erfüllung ihrer Aufgaben entschieden.
In der Folge erwies es sich als erforderlich, diese Elemente der Doktrin festzulegen.
Hinsichtlich ihrer Aufgaben hat die GK festgelegt, daß sie neben den ihr durch das Durchführungsübereinkommen zugewiesenen Aufgaben weitere Aufgaben in bezug auf den Schutz personenbezogener Daten im Zusammenhang mit der Anwendung des Durchführungsübereinkommens wahrnehmen kann. Sie hat daran erinnert, daß sie sich von Amts wegen einschalten oder auf Ersuchen einer nationalen Kontrollinstanz, einer Vertragspartei oder eines Gremiums des Schengen-Systems gemäß den Bestimmungen des Durchführungsübereinkommens tätig werden kann.
Die GK hat nach einer rechtlichen Prüfung des Durchführungsübereinkommens schließlich festgestellt, daß nur Vertreter der nationalen Kontrollinstanzen der Vertragsparteien, in deren Hoheitsgebiet das Durchführungsübereinkommen Anwendung findet, als Vollmitglieder angesehen werden können, sofern die Ratifizierungen durchgeführt und die Voraussetzungen erfüllt sind.
Sie hat jedoch vorgesehen, die Vertreter der nationalen Kontrollinstanzen oder unabhängige Sachverständige der Vertragsparteien, in deren Hoheitsgebiet das Durchführungsübereinkommen noch nicht in Kraft gesetzt wurde, als Beobachter ohne Stimmrecht an den Sitzungen teilnehmen zu lassen.
So sind seit ihrer offiziellen Einrichtung Mitglieder der GK die Vertreter der nationalen Kontrollinstanzen von Deutschland, Belgien, Spanien, Frankreich, Luxemburg, den Niederlanden und Portugal. Als Beobachter nehmen teil
-die Vertreter Italiens, das - nachdem die Ratifizierungsinstrumente von zwei Ausnahmen abgesehen hinterlegt worden sind - nicht über ein Datenschutzgesetz und eine nationale Kontrollinstanz verfügte. Dies hat sich inzwischen mit dem Inkrafttreten des Gesetzes Nr. 675 am 31. Dezember 1996 über den Schutz natürlicher und juristischer Personen in bezug auf die Verarbeitung personenbezogener Daten und der Einrichtung der nationalen Kontrollinstanz am 5. März 1 997 geändert;
-die Vertreter der nationalen Kontrollinstanz Österreichs, wo die Hinterlegung der Ratifizierungsinstrumente durch alle Vertragsparteien noch nicht erfolgt war. Dies dürfte sich in Kürze ändern;
-die Vertreter Griechenlands, das aufgrund der Tatsache, daß das Ratifizierungsverfahren noch nicht abgeschlossen war, nicht über ein Datenschutzgesetz verfügte. Dies hat sich mit der Verabschiedung des Gesetzes über den Schutz des Menschen bei der Verarbeitung personenbezogener Daten vom 20. März 1997 geändert.
Seit März 1997 sind als Beobachter die Vertreter der nationalen Kontrollinstanzen Dänemarks, Finnlands und Schwedens aufgenommen.
Demnächst werden auch die Vertreter Norwegens und Islands als Beobachter teilnehmen können.
Die GK hat beschlossen, ihre Geschäftsordnung vor Ende des ersten Halbjahres 1997 in bezug auf die Voraussetzungen zur Erlangung des Beobachterstatus zu ändern. Hinsichtlich der Bekanntmachung ihrer Akte vertritt die GK die Ansicht, daß ihre Sitzungen unter Ausschluß der Öffentlichkeit stattfinden müßten; sie hat jedoch beschlossen, die Empfänger ihre Akte von Fall zu Fall zu bestimmen und sich über deren etwaige Bekanntmachung unbeschadet des Artikels 115 Absatz 4 zu äußern, der vorschreibt, daß ihre Berichte den Stellen zu übermitteln sind, an die die nationalen Kontrollinstanzen ihre Berichte übermitteln. Diese Entscheidung ermöglicht ihr insbesondere, ihre Akte den verschiedenen Schengen-Gremien zuzustellen.
Schließlich hat die GK festgelegt, daß sie Arbeitsgruppen bilden und Sachverständige hinzuziehen kann. Diese Bestimmung wurde insbesondere bei der Kontrolle des C.SIS im Oktober 1996 angewendet.
Die am 19. Oktober 1995 angenommene Geschäftsordnung ist in ihrer neuesten Fassung in der Anlage aufgeführt.
Erwirkung einer eigenen Haushaltslinie
Bereits am 18. Oktober 1995 ersuchte die GK für das Jahr 1996 um die Zuweisung einer eigenen Haushaltslinie zur Erfüllung ihrer Aufgaben in vollkommener Unabhängigkeit. Ihr einen Monat später von der Zentralen Gruppe geprüftes Ersuchen erhielt kein positives Echo. Daher wiederholte sie am 14. Dezember ihre Bitte an die Zentrale Gruppe und an den Exekutivausschuß mit Nachdruck.
Die Frage der Haushaltslinie erwies sich schon bald als Grundsatzfrage, über die sich die Positionen der GK und der Schengen-Staaten, insbesondere von Frankreich und Deutschland, im ganzen Jahr 1996 herauskristallisiert haben.
Die GK hat in einer Notiz vom 4. April 1996 über ihre
Aufgaben und ihr Aktionsprogramm an den Exekutivausschuß und die Zentrale Gruppe einen Haushaltsentwurf erarbeitet. In diesem Dokument ersuchte die GK unter Hinweis darauf, daß die Fahrtkosten ihrer Mitglieder zu den Arbeitssitzungen in Brüssel weiterhin von den nationalen Kontrollinstanzen getragen wurden, um folgende Garantien:
- Bereitstellung eines Sekretariats, insbesondere zur Führung des Verzeichnisses ihrer Akte, von Sitzungsräumen und eines Übersetzungs- und Dolmetschdienstes in allen Sprachen der Schengen-Staaten;
-Bereitstellung ausreichender finanzieller Mittel für die Hinzuziehung von Sachverständigen im Bedarfsfall zur Erfüllung ihrer Aufgaben, insbesondere im Rahmen einer Konsultation zum Zwecke einer Stellungnahme oder einer Kontrolle;
- Bereitstellung ausreichender finanzieller Mittel für die Erstellung eines jährlichen Tätigkeitsberichts zur Berichterstattung über die Verwendung dieser Mittel;
-Erstattung der Fahrtkosten ihrer Mitglieder für die mDurchführung einer jährlichen Sitzung in Straßburg und gegebenenfalls anderer besonderer Aufgaben.
Der Gesamtbetrag des beantragten Haushalts belief sich auf 4 250 000 BEF.
Der Haushaltsentwurf der GK wurde nach der Prüfung durch mehrere Schengen-Gremien zwischen dem 3. Juli 1996 und dem 28. Januar 1997 nach einer Vielzahl von Briefwechseln, Diskussionen, halbamtlichen bilateralen Sitzungen und offiziellen Treffen schließlich grundsätzlich angenommen und in der Praxis von der Zentralen Gruppe mit einigen Änderungen, die teilweise im Einvernehmen mit der GK erfolgten, wie etwa der Wegfall des mit dem Sekretariat zusammenhängenden Postens, angenommen. Die GK erhielt vor ihrer Zustimmung die Zusicherung, daß die für die Erfüllung ihrer Aufgaben erforderlichen Dokumente innerhalb zufriedenstellender Fristen übersetzt werden würden.
Dieser Beschluß wurde der GK am 10. Februar 1997, dem Tag vor ihrer ersten offiziellen Sitzung in Straßburg, bekanntgegeben; ferner wurde ihr der revidierte Haushaltsentwurf in Höhe von 2839950 BEF, der dem Exekutivausschuß im schriftlichen Verfahren im März 1996 zur endgültigen Annahme vorgelegt wurde, übermittelt.
Der Vorsitzende der GK unterrichtete die Zentrale Gruppe am 17. Februar 1997 über das große Erstaunen der Mitglieder der GK angesichts der Streichung des mit der jährlichen Sitzung in Straßburg zusammenhängenden Postens und gab an, daß sie die Auffassung verträten, daß dies die Erfüllung der Aufgaben der GK und den Grundsatz ihrer Unabhängigkeit gefährden könnte. Er stellte jedoch klar, daß sich die GK vorläufig mit diesem Haushalt zufriedengeben würde, dieser am Ende des Rechnungsjahres jedoch geprüft werden würde, namentlich um den Möglichkeiten der Anpassung der nationalen Haushalte der Kontrollinstanzen Rechnung zu tragen, um zusätzlich zu den Fahrtkosten ihrer Vertreter für die Arbeitssitzungen in Brüssel auch die Kosten für die von der GK beschlossenen Sonderaufgaben zu übernehmen. Ferner wurde darauf hingewiesen, daß dieser Haushalt so zu überarbeiten sei, daß der Erweiterung der GK um 5 neue Staaten Rechnung getragen wird
Erstellung eines Tätigkeitsberichts
Obwohl es ihr durch das Durchführungsübereinkommen nicht auferlegt wird, beschloß die GK im April 1996, einen jährlichen Tätigkeitsbericht zu erstellen. Sie wollte durch einen solchen Bericht auf transparente Weise Rechenschaft über die Erfüllung ihrer Aufgaben und die Verwendung ihres Haushalts ablegen.
Dieser erste Bericht erstreckt sich wegen verschiedener, und insbesondere finanzieller Schwierigkeiten, die die GK seit ihrer offiziellen Einrichtung zu bewältigen hatte, auf zwei Jahre. Künftig wird er jährlich erscheinen.
Der Bericht richtet sich in erster Linie an den Exekutivausschuß und die Zentrale Gruppe sowie gemäß Artikel 115 Absatz 4 an die nationalen Kontrollinstanzen, die für die Weiterleitung an ihre jeweiligen nationalen Gremien und für dessen Veröffentlichung auf dem für ihre eigenen Berichte üblichen Weg zuständig sind.
Unterrichtung über das Funktionieren des Durchführungsübereinkommens
Die GK hat seit 1995 und mit mehr Nachdruck vor der Vorbereitung der Kontrolle des C.SIS für die Erfüllung ihrer Aufgaben mehrmals verschiedene Dokumente angefordert, die für ihre Kenntnis der Anwendung des Durchführungs-übereinkommens und des Betriebs des SIS unerläßlich sind. Sie stieß dabei oftmals auf Schwierigkeiten, um sie rechtzeitig zu erhalten, und hat einige von ihnen, insbesondere die der Steuerungsgruppe und der Permanent Working Party (PWP) entsprechend dem Stand ihrer Erstellung trotz ihrer Reklamationen bislang noch immer nicht erhalten.
Kapitel 4 Begonnene Aufgaben
Das Durchführungsübereinkommen sieht vor, daß die GK Stellungnahmen abgibt oder Berichte erstellt. Seit Inkrafttreten des Durchführungsübereinkommens hat die GK 180 Notizen geprüft, 6 Stellungnahmen angenommen und, abgesehen vom Tätigkeitsbericht, einen Bericht angenommen.
4.1Vollendete Aufgaben
4.1.1 Vergleich der in den Schengen-Staaten
geltenden Vorschriften zum Datenschutz
Die Ausarbeitung eines Fragebogens, mit dem der Stand jedes Schengen-Staates hinsichtlich der Bestimmungen des Durchführungsübereinkommens im Bereich des Datenschutzes so genau wie möglich festgestellt werden sollte, wurde von der vorläufigen gemeinsamen Kontrollinstanz 1993 beschlossen (Fragebogen Aut-cont (94) 16 und Synthesedokument SCH/Aut-cont (96) 19). Dieses Dokument wurde von der GK in bezug auf einige Punkte - wie die Bedingungen für die Ausübung des Auskunftsrechts in jedem Mitgliedstaat - ergänzt (ein Auszug ist in Anlage aufgeführt).
Der Fragebogen als praktisches Instrument eines Rechtsvergleichs bezieht sich auf die internationalen und nationalen Rechtsvorschriften im Bereich des Datenschutzes und ganz allgemein auf die Rechte und Freiheiten der Personen. Er befaßt sich mit den folgenden spezifischeren Themen: Transparenz (Erklärung über die Einrichtung des N.SIS, Bekanntmachung), Rechtsgrundlage des SIRENE-Büros und Instanz, der die zentrale Zuständigkeit für das N.SIS obliegt, Kontrollmechanismus (Zusammensetzung und Befugnisse der nationalen Kontrollinstanz), Rechte der Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten (Recht auf Auskunftserteilung, Berichtigung, Löschung, Schadensersatz und Rechtsmittel), für das N.SIS getroffene Sicherheitsvorkehrungen, für die Aufnahme im SIS genutzte nationale Datenbestände und zur unmittelbaren Abfrage ermächtigte Behörden. Der Fragebogen soll von jeder Delegation, die Mitglied der GK oder Beobachter innerhalb der Instanz ist, ausgefüllt werden. Italien und die nordischen Staaten werden ersucht, auf die enthaltenen Fragen im Laufe des Jahres 1997 zu antworten, sowie Griechenland auf der Grundlage seines neuen Datenschutzgesetzes.
4.1.2 Prüfung der rechtlichen Grundlage
der SIRENE-Büros und des Inhalts des SIRENE-Handbuchs
Rechtliche Grundlage der SIRENE-Büros
Das Fehlen einer besonderen rechtlichen Grundlage für die SIRENE-Büros im Durchführungsübereinkommen hat die vorläufige gemeinsame Kontrollinstanz dazu veranlaßt, jede ihrer Delegationen um Mitteilung darüber zu ersuchen, ob ihr nationales Büro nach Artikel 1 08 des Durchführungsübereinkommens zur Ausübung der zentralen Zuständigkeit für das N.SIS bezeichnet worden ist oder ob sie durch eine autonome nationale Rechtsvorschrift geschaffen worden ist, und wenn ja, weiche Verbindung zur Zentralstelle besteht. Die vorläufige gemeinsame Kontrollinstanz nahm zur Kenntnis, daß die das Durchführungsübereinkommen anwendenden Staaten (Deutschland, Spanien, Frankreich, Luxemburg, Niederlande und Portugal) mit Ausnahme von Belgien ihrem jeweiligen SIRENE-Büro nach Artikel 108 nicht die zentrale Zuständigkeit für das N.SIS zugewiesen haben, sondern es auf der Grundlage einer nationalen Rechtsvorschrift (Frankreich, Niederlande und Portugal) geschaffen hatten oder die Auffassung vertraten, daß verschiedene nationale Rechtsvorschriften über die Polizei oder im Zusammenhang mit dem Schengener Durchführungsübereinkommen für die Verankerung seines rechtlichen Bestehens ausreichten (Deutschland, Spanien und Luxemburg).
Sie hat festgestellt, daß die Schengen-Staaten - mit Ausnahme von Belgien (Angliederung des SIRENE-Büros als Instanz, der die zentrale Zuständigkeit für das N.SIS obliegt, an das Justizministerium) und Portugal (Angliederung der vom SIRENEBüro getrennten Zentralstelle an den Ausländer- und Grenzdienst des Innenministeriums) - die zentrale Zuständigkeit für das N.SIS an ihre Polizei- oder Gendarmeriedienste übertragen und ihr SIRENE-Büro diesen Dienststellen angegliedert hatten. Die vorläufige gemeinsame Kontrollinstanz hat gegenüber den Vertragsparteien des Schengener Durchführungsübereinkommens betont, daß es von Interesse gewesen wäre, aus Gründen der Transparenz die Schaffung der SIRENE-Büros und ihre Aufgabenbereiche in den Wortlaut des Durchführungsübereinkommens aufzunehmen.
Inhalt des SIRENE-Handbuchs
Die vorläufige gemeinsame Kontrollinstanz hat 1993 und 1994 mehrmals den Inhalt des Entwurfs des SIRENE-Handbuchs geprüft. Dieses Gemeinsame Handbuch der Schengen-Staaten beschreibt das Verfahren, demnach es möglich ist, einem Nutzer, der bei der Abfrage des SIS einen Trefferfall erzielt hat, die für sein Eingreifen nötigen Zusatzinformationen zu übermitteln.
4.1.3 Zusammenarbeit zwischen den nationalen Kontrollinstanzen
Stellungnahme über die Ausübung des Auskunftsrechts und die Zusammenarbeit bei der Überprüfung der Daten
Die GK hat eine Stellungnahme nach Artikel 115 Absatz 3 über die Grundsätze der Zusammenarbeit zwischen den nationalen Kontrollinstanzen auf der Grundlage des Artikels 114 Absatz 2 angenommen.
Diese Stellungnahme bot die Gelegenheit, die Abstimmung der Bestimmungen in bezug auf die Ausübung des Rechts auf Überprüfung der im SIS aufgenommenen Daten und deren Nutzung sowie der Bestimmungen des Artikels 109 über das Auskunftsrecht zu untersuchen. Diese Stellungnahme wurde dem Exekutivausschuß und der Zentralen Gruppe sowie den nationalen Kontrollinstanzen übermittelt. Letzteren wurde vorgeschlagen, ein Verzeichnis der Ansprechpartner zu erstellen, um die Verwirklichung der Zusammenarbeit zu erleichtern. Als erste nationale Instanz, die noch am Tag der Inkrafttretens des Durchführungsübereinkommens mit einem Ersuchen um Auskunftserteilung und in der Folge mit mehreren weiteren Ersuchen befaßt wurde, lenkte die französische nationale Kommission für Informatik und Freiheiten die Aufmerksamkeit der GK auf die Schwierigkeiten bei der wirksamen Überprüfung in den N.SIS im Sinne des Durchführungsübereinkommens der Zweckdienlichkeit der Speicherung von Daten durch einen anderen Mitgliedstaat.
Die GK bildete daher eine Arbeitsgruppe, bestehend aus den deutschen, belgischen, niederländischen und französischen Vertretern, und übertrug ihr die Untersuchung der aufgeworfenen Fragen und die Unterbreitung einer harmonisierten Lösung. Die Arbeitsgruppe trat zwei Mal zu informellen Treffen zusammen und legte der GK am 2 1. Juni 1 996 einen Entwurf für eine Stellungnahme vor.
Diese am 26. November 1996 angenommene Stellungnahme weist in der Einleitung darauf hin, daß das Durchführungsübereinkommen in den Artikeln 109 und 114 zwischen dem Auskunftsrecht und dem Recht, um eine Prüfung der Daten und deren Nutzung zuersuchen, unterscheidet. Da das nationale Recht der ersuchten Vertragspartei Anwendung findet, ist die für die Behandlung der Ersuchen zuständige Instanz - hinsichtlich des Auskunftsrechts in den Staaten mit unmittelbarem Auskunftsrecht der Leiter des Datenbestands und in den Staaten mit mittelbarem Auskunftsrecht die hinsichtlich der Überprüfung und der Nutzung der Daten in beiden Fällen die Kontrollinstanz. Wurden die Daten von einer anderen als der ersuchten Vertragspartei aufgenommen, so macht Artikel 109 die Auskunftserteilung davon abhängig, daß die ausschreibende Vertragspartei Stellung. Die Zusammenarbeit zwischen den Kontrollinstanzen ist somit nur im Rahmen eines Ersuchens um Überprüfung ausdrücklich vorgesehen, und Artikel 114 Absatz 2 sieht keine Auskunftserteilung an die betroffene Person vor.
Die Stellungnahme beinhaltet nach diesen Vorbemerkungen folgende Überlegungen:
Die mit einem Ersuchen um Auskunftserteilung befaßte nationale Kontrollinstanz, die Überprüfungen vorzunehmen hat (französisches, belgisches Recht usw.) oder die unmittelbar mit einem Ersuchen um Überprüfung befaßt ist, kann, wenn die personenbezogenen Daten von einer anderen Vertragspartei eingegeben worden sind, die Kontrollinstanz dieser Vertragspartei ersuchen, in enger Abstimmung mit ihr eine Kontrolle der Daten vorzunehmen. Durch ein solches Ersuchen um Zusammenarbeit wird die ersuchende Kontrollinstanz in keinem Fall von ihrer Aufgabe befreit; ferner wird das für die Behandlung des Ersuchens geltende nationale Recht in keinem Fall geändert. Die ersuchte nationale Kontrollinstanz nimmt die Überprüfungen vor, um die sie von der ersuchenden Instanz ersucht wurde. Diese teilt der ersuchten Instanz alle in ihrem Besitz befindlichen Daten mit, die für die Durchführung ihrer Überprüfungen zweckdienlich sind.
Nachdem diese Überprüfungen erfolgt sind, übermittelt die ersuchte Kontrollinstanz der ersuchenden Kontrollinstanz sämtliche im Laufe ihrer Ermittlungen gesammelten Informationen. Zielte die ersuchende Kontrollinstanz in ihrem Ersuchen um Zusammenarbeit gemäß Artikel 114 Absatz 2 auf Artikel 109 ab, der die etwaige Mitteilung an den Antragsteller der im SIS enthaltenen ihn betreffenden Informationen vorsieht, so fügt die ersuchte Instanz im Rahmen des Möglichen die Stellungnahme ihrer Regierung über die Mitteilungsfähigkeit dieser Informationen bei.
4.1.4 Kontrolle des C.SIS
Besuch der vorläufigen gemeinsamen Kontrollinstanz vor
Ort und Stellungnahme vom 18. Mai 1994
Am 16. März 1994 war die vorläufige gemeinsame Kontrollinstanz in den Räumen des C.SIS in Straßburg zu Besuch. Zu dieser Zeit war das SIS noch nicht einsatzbereit und seine Funktionstüchtigkeit wurde nicht kontrolliert. Nur die Anlagen, das Gebäude und die Rechner wurden einer Überprüfung unterzogen. Von der niederländischen und der französischen Delegation wurden nach diesem Besuch zwei Berichte erstellt über
-den physischen Schutz (Gebäude und Standort, Anlagen, physischer Schutz der Zugänge, Schutz gegen Feuer, Wasser, Diebstahl und Vandalismus, Organisation, Verfahren und Anweisungen);
-operationeller Schutz (Vorkehrungen und Verfahren zur Gewährleistung der Unversehrtheit der Daten und der Kontrolle des Zugangs zu den Datenbeständen und Netzen);
-organisatorischer Schutz (Verwaltung, Aufgabenteilung, Verfahren, Verantwortlichkeiten und Befugnisse);
-Schutz der kontinuierlichen Bearbeitung der Daten (Vorkehrungen und Verfahren zur Gewährleistung eines ordnungsgemäßen Ablaufs der Verfahren zur Bearbeitung und Verhütung von Schäden, die sich aus einem schlechten Verfahrensablauf ergeben könnten).
Nach der Prüfung der Berichte vertrat die vorläufige gemeinsame Kontrollinstanz die Auffassung, daß die getroffenen Vorkehrungen und angewandten Verfahren im Hinblick auf die Vorschriften in Artikel 118 Absatz 1 des Durchführungsübereinkommens insgesamt, insbesondere aber hinsichtlich des physischen Schutzes, zufriedenstellend waren. Dennoch nahm sie in einer Stellungnahme vom 18. Mai 1994 drei an die Zentrale Gruppe gerichtete Empfehlungen an, damit bei der Anwendung des Durchführungsübereinkommens auf folgende Punkte geachtet wird:
-physische Trennung zwischen den Anlagen des C.SIS und denen des französischen Innenministeriums, die am sehen Standort untergebracht sind;
-vollkommen sichere Verwahrung und Transport der Backups aller Daten;
-Steigerung der Zuverlässigkeit der Verbindungen zwischen dem C.SIS und den N.SIS, um die Gefahr der Unterbrechung der Leitungen auszuschließen bzw. erheblich zu verringern.
Die an die Zentrale Gruppe gerichtete Stellungnahme der vorläufigen gemeinsamen Kontrollinstanz wurde zur eingehenderen Prüfung an die Steuerungsgruppe übermittelt, deren von der Zentralen Gruppe angenommene Schlußfolgerungen der vorläufigen gemeinsamen Kontrollinstanz am 13. September 1994 mitgeteilt wurden. Aus diesen Schlußfolgerungen ging hervor, daß den Anforderungen der vorläufigen gemeinsamen Kontrollinstanz dank der bereits getroffenen Vorkehrungen entsprochen wurde und daß diesen Anforderungen im Rahmen der gegenwärtigen und künftigen technischen Weiterentwicklungen in größtem Maße Rechnung getragen würde.
Kontrolle der Gemeinsamen Kontrollinstanz, Besuch vor Ort am 11. Februar 1997 und Stellungnahme vom 27. März 1997
Die GK beschloß am 26. März 1996, gemäß Artikel 115 Absatz 2 eine Kontrolle des C.SIS durchzuführen. Hierzu setzte sie am 21. Juni 1996 eine Arbeitsgruppe ein, die für die Kontrolle und zunächst einmal dafür zuständig war,
-die einschlägigen technischen Unterlagen des C.SIS zu prüfen;
-die durchzuführenden Untersuchungen festzulegen;
-das von den Sachverständigen geforderte technische Fachwissen zu bestimmen.
Diese unter Vorsitz von Herrn Faber, Luxemburg, aus drei weiteren Mitgliedern der GK (Herr von Pommer-Esche, Deutschland, Herr Cueva, Spanien, Frau Carblanc, Frankreich) und drei Sachverständigen der nationalen Kontrollinstanzen (Herr Lopez und Herr Perez, Spanien, Herr Ngo, Frankreich) bestehende Gruppe trat am 6. September 1996 im Schengen-Generalsekretariat zusammen und unterbreitete der GK ihre Untersuchungsvorschläge, die diese am 12. September 1996 annahm. Am 2. Oktober 1996 fand im Schengen-Sekretariat eine zweite Sitzung statt, um die durchzuführenden Untersuchungen unter den Sachverständigen und den anderen Gruppenmitgliedern aufzuteilen. Der Leiter des C.SIS und die Zentrale Gruppe wurden von der endgültigen Zusammensetzung der Kontrollgruppe am 3. Oktober 1996 unterrichtet; am selben Tag wurde ihnen ein dokumentarischer Fragebogen über das C.SIS übermittelt. Die Kontrolle wurde in der Woche des 7. Oktober 1996 durchgeführt. Sie wurde am 10. Oktober 1996 auf Ersuchen der französischen Behörden, die die Sachverständigen der Gruppe aufforderten, ihre Untersuchungen einzustellen, beendet, da nach ihrer Auffassung nur die Mitglieder der GK dazu berechtigt gewesen wären. Diese Entscheidung rief- eine sofortige, äußerst scharfe Reaktion durch den Vorsitzenden der GK und all ihrer Mitglieder hervor. Dieser Zwischenfall führte zu einer Reihe von Treffen zwischen der Zentralen Gruppe und der GK, um eine Wiederholung dieser Ereignisse zu vermeiden und generell die von der GK bei der Erwirkung ihrer eigenen Haushaltslinie und der Erfüllung ihrer Aufgaben unter zufriedenstellenden Bedingungen (siehe Punkt 5. 1) verzeichneten Probleme zur Sprache zu bringen.
Grundsätzlich wählte die Gruppe zur Durchführung der Kontrolle folgende Vorgehensweise:
-Erstellung vorläufiger Checklisten;
-Ausarbeitung eines Fragebogens, um allgemeine Informationen über das System und seine Bestandteile, seine Dokumentation, die Organisation und die Zusammensetzung des technischen Unterstützungsteams (Betriebsteam des C.SIS) zu erhalten;
-Anpassung der Checklisten an die besonderen Merkmals des C.SIS auf der Grundlage der Antworten auf den Fragebogen und der vor Ort bereitgestellten Dokumentation.
Die von der Gruppe vorgenommene Bewertung konnte aufgrund der großen Zahl von innerhalb einer sehr kurzen Frist zu überprüfenden Unterlagen, der Unmöglichkeit, Abschriften dieser Unterlagen zwecks Prüfung außerhalb des Zentrums zu erhalten, und der vorzeitigen Beendigung der Kontrolle nicht vollständig erfolgen. Somit konnte sich ihr Bericht nur auf die Gesichtspunkte beziehen, die in ausreichendem Maße geprüft und kontrolliert wurden, um gemäß dem Durchführungsübereinkommen und insbesondere gemäß Artikel 118 eine begründete Bewertung vorzunehmen. Die Kontrollen bezogen sich auf folgende Punkte:
a. Allgemeine Kontrollen zur Feststellung, ob die Unterstützungseinheit des C.SIS geeignete Vorkehrungen und Verfahren getroffen hat und anwendet, damit ihre Mittel im Bereich der Informationstechnologie angemessene Sicherheitsgarantien bieten.
Leitung und Organisation
Organisatorische Struktur und Aufgabentrennung
Normen, Vorschriften und Verfahren
Systemsoftware
Betrieb der Anlagenteile
Logische Sicherheit auf Ebene des Betriebssystems, des Kommunikations-systems und des Datenbankverwaltungssystems (SGBD)
Audit des Betriebssystems, des Kommunikationssystems und des SGBD
Physische Sicherheit (Sicherheit des Bereichs und Zutrittskontrolle zum Standort und zu den Büros, Kontrolle des physischen Zugangs zu den Einrichtungen und Kommunikationseinrichtungen).
b. Besondere Kontrollen zur Überprüfung, ob der Datenbestand des C.SIS und die Funktionsweise der technischen Unterstützungseinheit, die für ihre Verwaltung zuständig ist, den Bestimmungen des Durchführungsübereinkommens entsprechen.
-Unversehrtheit der Datenbestände des C.SIS und der N.SIS (Artikel 92 Absatz 2)
-Inhalt (in die Datenbank aufgenommene Daten, eingebende Behörden, eindeutige Erkennung, Gültigkeitsvermerke, bestehende Daten)
-automatische Löschung personenbezogener Daten (Artikel 112 Absatz 3)
-miteinander verbundene Staaten [Artikel 117 und 118 Absatz 1 Litera f)
-entfernbare Datenträger (Speicherung, Etikettierung, Inventar, Verlagerung am Ort der Speicherung und Verbringung außerhalb des kontrollierten Bereichs, Löschung der wiederverwendbaren Datenträger, Beseitigung der nicht wiederverwendbaren Datenträger)
-Dateneingabe [Artikel 118 Absatz 1 Litera c) und g)
-Transport [Artikel 118 Absatz 1 Litera h)
Die Bewertung dieser allgemeinen und besonderen Kontrolle veranlaßte die Kontrollgruppe zur Erteilung mehrerer Empfehlungen. Der Bericht der Gruppe wurde von der GK am 8. November 1996 geprüft und am 5. Dezember 1996 angenommen; er wurde anschließend an die Zentrale Gruppe und die für die technische Unterstützungseinheit verantwortlichen französischen Behörden mit der Bitte um Stellungnahme übermittelt. Am 11. Februar 1997 hielt die GK ihre jährliche Sitzung in Straßburg ab und besuchte das C.SIS, um insbesondere allen Mitgliedern die Möglichkeit zu bieten, die Betriebsmodalitäten des C.SIS kennenzulernen und Informationen mit den Vertretern der Zentralen Gruppe und den Verantwortlichen der technischen Unterstützungseinheit auszutauschen.
In Anbetracht der diversen Feststellungen und nach Kenntnisnahme der Bemerkungen der Schengen-Staaten nahm die GK am 27. März 1997 den endgültigen Kontrollbericht an.
Sie vertrat die Ansicht, daß dem Durchführungsübereinkommen in bezug auf verschiedene Punkte nachgekommen wird, und zwar insbesondere:
-die zum Schutz der Gebäude, in denen das C.SIS untergebracht ist, ergriffenen Sicherheitsvorkehrungen werden eingehalten;
-die Datenbank enthält ausschließlich personenbezogene Daten, die von den Vertragsparteien nach Artikel 92 Absatz 3 und Artikel 113 Absatz 2 eingegeben wurden;
-die Datenbank enthält keine anderen personenbezogenen Daten als jene nach Artikel 94 Absatz 3 des Durchführungsübereinkommens;
-die Verwendung von Gültigkeitsvermerken ist mit Artikel 94 Absatz 4 vereinbar.
Sie ist hingegen der Meinung, daß die fünf folgenden Punkte hervorzuheben sind und daß diesbezüglich Empfehlungsvorschläge zu formulieren sind:
1. Die Datenbestände der Vertragsparteien des Durchführungsübereinkommens sind nicht identisch. Es wurde eine bedeutende Zahl von Unterschieden zwischen den Datenbeständen Frankreichs und Luxemburgs und jenen der anderen Staaten festgestellt; diese Unterschiede gehen auf April 1996 zurück und waren sechs Monate später immer noch nicht gänzlich behoben worden. Das derzeit angewandte Verfahren zur Feststellung von Unterschieden ist ungeeignet,.seine Häufigkeit (ungefähr alle sechs Monate) und seine Dauer (mehrere Monate) ermöglichen es nicht, die zwischen den Datenbeständen verzeichneten Unterschiede schnell zu erkennen und zu berichtigen. Die zur Rechtfertigung der Unterschiede (Unterschiede auf Ebene der Konzeption der Datenbanken), die durch das Datenabgleichverfahren herausgestellt wurden, vorgebrachten Erklärungen würden implizieren, daß die Bestimmungen des Artikels 92 Absatz 2 systematisch mißachtet werden (aufgrund der Konzeption); in diesem Fall könnten die Datenbestände der Vertragsparteien nie "inhaltlich identisch" sein, wie dies besagter Artikel fordert.
2. Es wurde festgestellt, daß die Verantwortlichen der technischen Unterstützungseinheit - in Ermangelung eines externen Audits zu Bewertung des für das EDV-System erforderlichen Sicherheitsniveaus - beschlossen haben, ein gewisses Sicherheitsniveau zu wählen, daß jedoch nicht immer die notwendigen technischen Vorkehrungen zur Gewährleistung dieses Sicherheitsniveaus getroffen werden und daß die festgelegten Regeln nicht ausreichend präzise und nicht ausreichend bekannt sind.
3. Zu viele Personen besitzen ein "Superuser"-Profil, das ihnen die Möglichkeit bietet, auf jede beliebige Datei des EDV-Systems (Betriebssystem, Datenbank und Netz) zurückzugreifen und deren Inhalt zu ändern, und zwar derart, daß ihre Operation nicht zurückverfolgt werden kann.
4. Die Trace-Funktionen, anhand derer im Nachhinein die von verschiedenen Nutzern verrichteten Operationen ungeachtet von deren Profil (Datum, Uhrzeit, Datenendgerät, Paßwort des Nutzers, Art der Operation) geprüft werden können, werden nicht sachgemäß angewendet.
5. Es wurde festgestellt, daß die Sicherheit bei der Verwaltung und dem Transport der Datenträger, auf denen die Daten des SIS gespeichert sind, unzulänglich ist. Daher hat die GK folgende Empfehlungen ausgesprochen;
1. Eine komplette Analyse der zwischen den Datenbeständen der N.SIS und des C.SIS festgestellten Unterschieden vornehmen und Maßnahmen zur zügigen Behebung dieser Unterscheide vorschlagen, um zu verhindern, daß diese sich in Zukunft wiederholen. Das Datenabgleichsverfahren derart ändern, daß eventuelle inhaltliche Unterschiede zwischen den nationalen Datenbeständen schnell festgestellt und berichtigt werden können.
2. Eine ITSEM/ITSEC-Zertifizierung durchführen lassen und die empfohlenen Sicherheitsvorkehrungen ergreifen; zumindest wenigstens das geplante Sicherheitsniveau garantieren.
3. Den privilegierten Zugriff auf das System auf ein Minimum beschränken, d.h. ein "Superuser"-Konto, anhand dessen ohne jegliche Einschränkung alle Arten von Operationen in der Datenbank vorgenommen werden können.
4. Die Trace-Funktionen systematisch aktivieren, anhand derer alle im C.SIS vorgenommenen Operationen im Nachhinein geprüft werden können.
5. Systematisch auf Verschlüsselungsmethoden zurückgreifen, wenn Daten auf Datenträger gespeichert werden müssen.
Da Artikel 118 für jedes einzelne N.SIS und das C.SIS anwendbar ist, hat die GK schließlich mit Nachdruck auf die Notwendigkeit hingewiesen, zur stichhaltigen globalen Beurteilung der Einhaltung der Bestimmungen des Durchführungsübereinkommens betreffend das SIS durch die Schengen-Staaten die Kontrolle des C.SIS durch eine auf identischer technischer Grundlage durchgeführte Kontrolle jedes N.SIS zu vervollständigen.
4.1.5 Stellungnahme zum Pilotprojekt über Kfz-Verschiebung
Die Zentrale Gruppe übermittelte der GK am 10. Februar 1997 ein Ersuchen der Arbeitsgruppe 1 "Polizei und Sicherheit" um Stellungnahme über die Teilnahme der nicht in das SIS integrierten Staaten an einem Pilotprojekt über Kfz-Verschiebung. Nachdem die GK darauf hinwies, daß dieses Projekt den nicht in das SIS integrierten Staaten ermöglichen würden, das SIS über ihre Verbindungsbeamten abzurufen, bat sie um weitere Informationen über die Art der ausgetauschten Informationen und die Art ihrer Übermittlung.
Nachdem der GK diese Angaben mitgeteilt wurde, erinnerte sie am 7. März 1997 in einer Stellungnahme daran, daß
-die Informationen über die Marke, den Typ, die Farbe die technischen Merkmale eines Fahrzeugs an sich keine personenbezogenen Daten darstellen, sofern keine Verbindung zwischen diesen Informationen und dem amtlichen Kennzeichen, dem Halter oder Fahrer des Fahrzeugs besteht;
-der Austausch polizeilicher Informationen aus den nationalen Beständen zwischen den in das SIS integrierten Vertragsparteien und den anderen Staaten, in denen das Durchführungsübereinkommen noch nicht angewendet wird, über die Mechanismen der bilateralen oder multilateralen Zusammenarbeit dem jeweiligen nationalen Recht über den Datenschutz und der Kontrolle der nationalen Kontrollinstanzen unterliegt.
Hinsichtlich der im SIS gespeicherten unmittelbar oder mittelbar namentlichen Informationen vertrat die GK die Auffassung, daß sie für die Behörden der Vertragsparteien, in deren Hoheitsgebiet das Abkommen gemäß Artikel 101 und Artikel 126 Absatz 1 des Durchführungsübereinkommens noch nicht angewendet wird, nicht zugänglich seien und nicht unmittelbar von ihnen abgerufen werden könnten.
4.1.6 Stellungnahme zum Übereinkommen über die Zusammenarbeit bei der Verfolgung von Zuwiderhandlungen gegen Verkehrsvorschriften und bei der Vollstreckung von dafür verhängten Geldbußen und Geldstrafen
Die Zentrale Gruppe übermittelte der GK am 10. Februar 1997 ein Ersuchen der Arbeitsgruppe 111 "Justitielle Zusammenarbeit" um Stellungnahme zu dem Entwurf eines Übereinkommens über Zuwiderhandlungen gegen Verkehrsvorschriften.
Der Text sieht einerseits den Zugang zu in den Verkehrsregisterbehörden der Vertragsparteien enthaltenen Informationen und Daten und andererseits ein System der unmittelbaren Mitteilung sowie der Zusammenarbeit und effektiven Vollstreckung durch jede Vertragspartei der von einer Behörde einer anderen Vertragspartei gefaßten Entscheidung vor, vorbehaltlich einiger Fälle, in denen die Verhängung einer Geldbuße oder Geldstrafe eingeschränkt oder ausgeschlossen wird. Dieser Entwurf beruht auf der gemeinsamen Erklärung der Minister und Staatssekretäre vom 19. Juni 1990, nach der sich die Vertragsparteien zur Aufnahme oder Fortführung von Erörterungen in verschiedenen Bereichen verpflichten, zu denen auch die Verfolgung von Zuwiderhandlungen gegen Verkehrsvorschriften und die gegenseitige Vollstreckung von Geldbußen oder Geldstrafen gehört.
Er stellt ein spezifisches internationales Rechtsmittel in Ergänzung zum Schengener Durchführungsübereinkommen dar und bezieht sich in seinem Titel VI auf die für die Übermittlung von nicht im SIS enthaltenen Daten geltenden Datenschutzvorschriften. Die GK gab nach der Prüfung der im Entwurf des Übereinkommens vorgesehenen Datenschutzbestimmungen im März 1997 eine Stellungnahme ab, in der sie um die Aufnahme oder explizite Aufführung folgender Grundsätze ersucht:
-das Recht jeder Person, die Berichtigung oder die Löschung von sie betreffenden unrichtigen oder unrechtmäßig aufgenommenen Daten zu verlangen;
-der Grundsatz der Zusammenarbeit zwischen nationalen Kontrollinstanzen nach Artikel 128 Absatz 1 im Hinblick auf die Gewährleistung des Rechts auf Auskunfterteilung, Berichtigung oder Löschung;
-die Zuständigkeit der GK für die Abgabe von Stellungnahmen über die sich aus der Anwendung des Übereinkommens ergebenden gemeinsamen Gesichtspunkte beim Schutz personenbezogener Daten.
4.2 Laufende Aufgaben
Zu den wichtigsten Aufgaben, welche die GK in Angriff genommen hat und die noch nicht abgeschlossen sind, zählen folgende:
4.2.1 Leitfaden über das Auskunftsrecht in bezug auf das SIS
Da die GK festgestellt hat, daß die Bestimmungen des Schengener Durchführungsübereinkommens über den Schutz personenbezogener Daten und insbesondere über das Auskunftsrecht weitgehend unbekannt waren, beschloß sie, ein für die Öffentlichkeit bestimmtes Faltblatt zu erstellen, um sie umfassend über ihre Rechte zu unterrichten und ihnen alle nützlichen praktischen Informationen zu vermitteln. Die GK beschloß daher, einen Teil ihres Haushalts für die Herstellung dieses Handbuchs im Laufe des Jahres 1997 in allen Sprachen der Schengen-Staaten und seine Bereitstellung in den Auslandsvertretungen, Flughäfen und verschiedenen nationalen Verwaltungen zu verwenden.
4.2.2 Auslegung von Artikel 102 Absatz 2 über die technische Vervielfältigung der Daten des SIS
Artikel 102 Absatz 2 besagt, daß die im SIS gespeicherten Daten "nur zu technischen Zwecken vervielfältigt werden (dürfen), soweit dies zum unmittelbaren Abruf durch die (ermächtigten) nationalen Stellen erforderlich ist". Die GK hat auf Ersuchen der belgischen Kommission für den Schutz des Privatlebens im Sinne dieses Artikels eine Diskussion über die Auslegung des Begriffes der Vervielfältigung von Daten zu technischen Zwecken und über die des unmittelbaren Abrufs, insbesondere bezogen auf die automatisierte Abrufweise nach Artikel 92, in Gang gesetzt. Sie hat ebenfalls damit begonnen, die Auswirkungen der gesamten oder teilweisen Vervielfältigung eines N.SIS auf CD-ROM zu bewerten, insbesondere zum Zwecke der Konsultation durch diplomatischen Missionen und konsularischen Vertretungen.
Die Prüfung der Anwendungsbedingungen nach Artikel 102 Absatz 2 wirft in der Tat Fragen in bezug auf die Aktualisierung der vervielfältigten Informationen und die Sicherheit der Übermittlungen an Dienststellen außerhalb des Hoheitsgebietes der Vertragsparteien auf. Die GK, der entgegen den Vorschriften nach Artikel 118 Absatz 2 die getroffenen besonderen Vorkehrungen zur Gewährleistung der Datensicherheit in einem solchen Fall nicht mitgeteilt worden sind, wird im Laufe des Jahres 1997 eine Stellungnahme über die von den Schengen-Staaten zur Anwendung von Artikel 102 Absatz 2 getroffenen Maßnahmen abgeben und eine harmonisierte Lösung vorschlagen, die mit den vom Durchführungsübereinkommen festgelegten Datenschutzvorschriften vereinbar ist.
4.2.3 Auslegung von Artikel 103 über die Kontrolle der Zulässigkeit der Abrufe des Schengener Informationssystems
Die deutsche Delegation machte die anderen Mitglieder der GK auf die bei der Anwendung von Artikel 103 des Durchführungsübereinkommens betreffend die Protokollierung im jeweiligen N.SIS jeder zehnten Übermittlung personenbezogener Daten durch die den Datenbestand verwaltende Stelle aufgetretenen Schwierigkeiten aufmerksam. Da Artikel 103 des Durchführungsübereinkommens nicht zwischen den verschiedenen Ausschreibungskategorien unterscheidet, muß sich die Kontrolle der Zulässigkeit der Abrufe des Systems auf alle von ihnen beziehen (Artikel 95 bis 100). Die GK, die eine Untersuchung der von jedem Mitgliedstaat zur Einhaltung von Artikel 103 getroffenen technischen Lösungen eingeleitet hat, wird im Laufe des Jahres 1997 eine Stellungnahme über die Auslegung dieses Artikels abgeben und die Annahme eines harmonisierten Verfahrens empfehlen.
4.2.4 Auslegung von Artikel 102 Absatz 1 über den Grundsatz der Zweckgebundenheit für die Nutzung der Daten des SIS
Die deutsche Delegation machte die GK auch auf die Schwierigkeiten der Verwahrung von Ausschreibungsunterlagen nach deren Ausführung gemäß Artikel 102 Absatz 1 aufmerksam. So untersagt Artikel 102 Absatz 1 den Vertragsparteien, die Daten nach Artikel 95 bis 100 für andere als die für jede in diesen Artikeln genannte Ausschreibung erwähnten Zwecke zu nutzen. Die zentrale Instanz für den deutschen Teil des SIS verwahrt jedoch nach der Durchführung der Fahndung in ihrem nationalen System der Kriminalpolizei die Ausschreibungen des SIS, bei denen sie die Auffassung vertritt, daß sie international operierende Täter betreffen. Die GK wird hinsichtlich dieser überaus bedeutsamen Frage in bezug auf den Grundsatz der Zweckgebundenheit der Daten vor Ende des Jahres 1997 eine Stellungnahme abgeben.
Kapitel 5 Ausblick
Aufgrund ihrer Erfahrung und insbesondere den bei der Festigung ihrer Autorität und ihrer Unabhängigkeit sowie der Erfüllung ihrer Aufgaben unter zufriedenstellenden materiellen Bedingungen aufgetretenen Schwierigkeiten kommt die GK zu dem Schluß, daß eine wahre Transparenz zwischen allen Schengen-Gremien für die effektive und wirksame Anwendung des Durchführungsübereinkommens unabdingbar ist.
Im übrigen ist die GK der Ansicht, daß die im Schengener Durchführungsübereinkommen verfolgten Ziele, dessen Erweiterung durch den Abschluß ergänzender Übereinkommen sowie die Komplexität der Kontrollmechanismen der Datenschutzvorschriften eine Anstrengung im Bereich der Information des Bürgers rechtfertigen.
5.1 Transparenz in den Beziehungen zwischen den Schengen-Gremien
Einige der in diesem Bericht aufgeführten Schwierigkeiten hätten vermieden werden können, wenn das Durchführungsübereinkommen hinsichtlich der Befugnisse der GK und ihrer budgetären Unabhängigkeit expliziter gewesen wäre. Dennoch wünscht die GK, daß vom Exekutivausschuß drei einfache Maßnahmen getroffen werden, um die bei der Erfüllung ihrer Aufgaben unter zufriedenstellenden Bedingungen aufgetretenen Schwierigkeiten endgültig auszuräumen.
Unterrichtung der gemeinsamen Kontrollinstanz über das Funktionieren des Durchf ührungsübereinkornmens
Die GK muß, um ihre Aufgaben in Kenntnis der Sachlage erfüllen zu können, regelmäßig und systematisch über die von den Schengen-Staaten verfolgten Ziele, insbesondere beim Abschluß von ergänzenden Übereinkommen, sowie hinsichtlich des Wirkbetriebs des SIS und seiner vorhersehbaren technischen Änderungen wie das Projekt SIRENE Phase 11 informiert werden. Sie muß ferner die Monatsberichte über den Wirkbetrieb des C.SIS erhalten, um imstande sein zu können, ihre Kontrollen so wirksam wie möglich durchzuführen. Da ihren verschiedenen Ersuchen in diesem Sinne nur von Fall zu Fall und nach einer recht langen Bearbeitungszeit stattgegeben wurde, besteht die GK darauf, daß ihr nunmehr systematisch die von ihr benötigten Informationen und Dokumente zu Verfügung gestellt werden.
Fertigstellung des Protokolls über die Durchführung der Kontrollen des C.SIS
Gemäß Artikel 115 des Durchführungsübereinkommens erfolgt die Kontrolle des C.SIS durch die GK gemäß den Bestimmungen des Schengener Durchführungsübereinkommens, des Übereinkommens des Europarates vom 28. Januar 1981 unter Berücksichtigung der Empfehlung R (87) 15 vom 17. September 1987 des Ministerausschusses des Europarates und in Ubereinstimmung mit dem nationalen Recht der für die technische Unterstützungseinheit zuständigen Vertragspartei.
Bei der Durchführung der Kontrolle des C.SIS im Oktober 1996 traten die bereits erwähnten Schwierigkeiten auf. Die GK begrüßt den wahren Kooperationswillen, der von der Zentralen Gruppe und den französischen Behörden in bezug auf die Erarbeitung eines Protokolls für die Durchführung der Kontrollen des C.SIS zum Ausdruck gebracht worden ist. Dieses Protokoll, mit dessen Erarbeitung vor Ende 1996 begonnen wurde, bezieht sich auf das durchzuführende Verfahren zur Unterrichtung der Schengen-Staaten und der französischen Verantwortlichen über die Durchführung einer Kontrolle, auf die Eigenschaft der Personen, die sie vornehmen können, auf die Ebene der für den Zugang von insbesondere als secret défense (Verteidigungsgeheimnis) klassifizierten Dokumenten erforderlichen Ermächtigung, auf die Vervielfältigung aller zweckdienlicher und insbesondere vertraulicher Unterlagen und auf die im C.SIS für die Kontrolle der Sachverständigen der GK vorzunehmenden technischen Änderungen.
Die GK wünscht, daß dieses Protokoll so früh wie möglich angenommen wird und daß vor allem ihrem Ersuchen um Gewährung eines "User-Kontos" stattgegeben wird, das ihr erlaubt, unmittelbar, ohne Änderungsbefugnis, auf das Betriebssystem und die Datenbanken zugreifen zu können.
Endgültige Bestätigung der budgetären Unabhängigkeit der GK
Zwar wurde der Grundsatz der Schaffung einer Haushaltslinie für die Erfüllung ihrer Aufgaben von der Zentralen Gruppe (und vom Exekutivausschuß im März 1997) angenommen, dennoch wünscht die GK, die dies mit den bereits dargelegten Vorbehalten begrüßt, daß auch die Erhöhung des Haushalts erwirkt wird, um dem Anstieg der Zahl ihrer Mitglieder Rechnung zu tragen. Sie erwartet darüber hinaus, daß die Schwierigkeiten, die bei der Übersetzung ihrer Arbeitsunterlagen in angemessener Zeit durch das Schengen-Sekretariat aufgetreten sind, eine annehmbare Lösung erfahren, die sie nicht dazu zwingt, die für außerordentliche Freelance-Übersetzungen besonderer Dokumente zurückgestellten Beträge zu verwenden.
Als klassische, zwischen Mitgliedstaaten der Europäischen Gemeinschaft geschlossene internationale Verträge haben das Schengener Übereinkommen und dessen Durchführungsübereinkommen vorbehaltlich von Begleitmaßnahmen die Kontrollen an ihren Binnengrenzen vor dem für den 1. Januar 1993 geplanten Inkrafttreten von Artikel 7 a des Vertrags der Europäischen Gemeinschaften zur Errichtung eines Raumes ohne Binnengrenzen, in dem der freie Verkehr von Personen gewährleistet ist, abgebaut.
Das Ziel der Vertragsparteien stimmt gemäß den ersten Erwägungsgründen des Durchführungsabkommens und gemäß Artikel 134 mit dem des durch die Einheitliche Europäische Akte ergänzten Vertrags der Europäischen Gemeinschaften überein Langfristig dürften eine gemeinschaftliche Gesetzgebung und ein neues System (das Europäische Informationssystem - EIS) an die Stelle des Schengener Übereinkommens und des Schengener Durchführungsübereinkommens treten und im Hoheitsgebiet aller Mitgliedstaaten der Europäischen Union gelten. Wird der zwischenstaatliche Rahmen, der in den Beziehungen zwischen den Vertragsparteien und den europäischen Institutionen stets obsiegte, heute durch die Erweiterung der ursprünglichen Grenzen des Durchführungsübereinkommens über die Hoheitsgebiete der Mitgliedstaaten der Europäischen Union hinaus gestärkt oder ist hierin eine Phase der Integration neuer Staaten zu sehen?
Zumindest jedoch ist dies der Ausdruck für den Erfolg, den "der Schengen-Raum, in dem Freizügigkeit gegeben ist" und gemeinsame Ausgleichsmaßnahmen zu Kontrollzwecken, zu denen auch das SIS zählt, haben. Die vorgenommene Ausweitung sowie weitere Übereinkommensentwürfe sehen einen zusätzlichen Informationsaustausch vor, dessen Auswirkungen vom Bürger gegenwärtig nicht erkennbar sind.
hinsichtlich der Erweiterung des Schengener Durchführungsübereinkommens und der zunehmenden Komplexität der Kontrollmechanismen der Datenschutzvorschriften
Auf der Grundlage der gemeinsamen Erklärung der Minister und Staatssekretäre vom 19. Juni 1990 werden ergänzende Übereinkommen zum Schengener Durchführungsübereinkommen die Kooperationsbereiche der Vertragsparteien vergrößern (Kfz-Verschiebung, Zuwiderhandlungen gegen Verkehrsvorschriften). Führt dieser Austausch nicht zu einer Eingabe in das SIS, so werden die einschlägigen Datenschutzvorschriften weniger präzise bestimmt, wobei auf die wesentlichen Bestimmungen, insbesondere über die Rechte der Personen, das nationale Recht jedes Mitgliedstaates verwiesen wird. Daraus ergibt sich eine größere Komplexität der Mechanismen zur Kontrolle der Einhaltung dieser Vorschriften und die Gefahr einer fehlenden Angleichung ihrer Auslegung und Anwendung.
Die GK jedoch ist nicht in der Lage, diese Gefahr wirksam einzudämmen, da ihre Rolle außerhalb des SIS zweitrangig ist und ihre Anrufung grundsätzlich ein Ersuchen der Vertragsparteien voraussetzt. Den Regierungen steht es zwar frei, die Ziele ihrer polizeilichen und justitiellen Zusammenarbeit festzulegen, und ihnen obliegt die Festlegung der Kontrollmechanismen, um auf die Einhaltung ihrer Verpflichtungen zu achten. Dennoch haben sie den Bürger über die Rechte zu unterrichten, die sie ihm zuerkennen, um die Beachtung der öffentlichen und individuellen Freiheiten zu gewährleisten. Während eine Richtlinie im Rahmen des Gemeinschaftsrechts die nationalen Gesetze in bezug auf den Datenschutz angeglichen hat, haben die Regierungen im Bereich der zwischenstaatlichen polizeilichen und justitiellen Zusammenarbeit nichts dergleichen vereinbart.
Unterschiedliche internationale Instrumente ohne rechtliche Verknüpfung miteinander, Kooperationsübereinkommen wie Schengen und Europol, enthalten von Fall zu Fall erarbeitete Datenschutzvorschriften, und den Bürgern bleibt, wenn sie die ihnen zuerkannten Rechte geltend machen wollen, nur die Wahl, ein juristisches Labyrinth zu erforschen.
In dieser Hinsicht wünscht die GK, daß es zu einer Annäherung mit der gemeinsamen Kontrollinstanz von Europol - bereits ab ihrer Einrichtung - kommt und daß gemeinsame Informationsmaßnahmen durchgeführt werden. Eine solche Annäherung könnte sich eventuell aus einem eigenständigen, aber ergänzenden Übereinkommen zum Schengener Übereinkommen und zum Schengener Durchführungsübereinkommen ergeben. Sie würde diesen Instanzen die zweckmäßige Möglichkeit bieten, ihre Erfahrungen bei der Kontrolle der Einhaltung der Datenschutzvorschriften zu bündeln und dem Bürger wieder ein globaleres Bild der Rechte vermitteln, die ihm im Rahmen der von jedem Übereinkommen verfolgten Ziele gewährleistet werden.
In einer Zeit, da die polizeiliche und justitielle Zusammenarbeit verstärkt wird, die Einrichtung gemeinsamer Informationssysteme die schnelle Übermittlung von Informationen und neue Arbeitsmethoden wie Fernkontrolle (Einreiseverweigerung, verdeckte Registrierung) und die Vorsorge durch die Analyse von Informationen fördert, muß das legitime Anliegen der Transparenz für den Bürger nicht nur ein vorrangiges Anliegen der GK und der anderen gemeinsamen und nationalen Kontrollinstanzen, sondern auch der Staaten sein.
