VII. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2003 - 31.03.2005
6.1 Eurojust
Wie bereits im letzten Tätigkeitsbericht dargestellt, hat der Rat der Europäischen Union mit Blick auf die Verstärkung des Kampfes gegen schwere Kriminalität die Gründung von Eurojust beschlossen. Die Datenschutzbeauftragten des Bundes und der Länder hatten in einer Entschließung im Oktober 2001 bereits Anforderungen an den Umgang mit personenbezogenen Daten bei Eurojust definiert.
Nachdem die Bundesregierung den Entwurf eines Eurojust-Gesetzes im August 2003 auf den Weg brachte, trat dieses am 18. Mai 2004 in Kraft.
Die im Errichtungsbeschluss des Rates der EU bestehenden Unklarheiten durch die mangelnde Bestimmtheit von Aufgaben- und Befugnisregelungen konnten zwar im Laufe des Gesetzgebungsverfahren nur im Rahmen des Vorgegebenen präzisiert werden. Die von den Datenschutzbeauftragten vorgeschlagenen Klarstellungen fanden jedoch weitgehend Berücksichtigung.
Da nur die Ergebnisse der Arbeit der strafermittelnden Behörden (in Deutschland vor allem Staatsanwaltschaft, Polizei und Finanzverwaltung), auch soweit sie die Mitwirkung von Eurojust genutzt haben, einer gerichtlichen Kontrolle unterliegen, nicht dagegen jedoch die Arbeit von Eurojust selbst, sind die im Eurojust-Beschluss festgeschriebenen Schutzregelungen beim Umgang mit personenbezogenen Daten von besonderem Belang.
Eurojust führt neben einem zentralen Ermittlungsindex auch temporäre Arbeitsdateien. Auf diese Datenbestände haben nur nationale Mitglieder und hierzu befugte Mitarbeiter von Eurojust unmittelbaren Zugriff. Die zu beachtende strenge Zweckbindung bei der Verarbeitung von personenbezogenen Daten, auf welche von deutschen Stellen bei deren Übermittlung gesondert hinzuweisen ist, wird durch einen internen Datenschutzbeauftragten sowie eine Gemeinsame Kontrollinstanz überwacht. Eine gewisse Begrenzung erfährt die Datennutzung bei Eurojust durch eine als abschließend gedachte Auflistung von Datenkategorien.
Jede Person kann Auskunftsansprüche gegenüber Eurojust geltend machen. Daneben dürfte, soweit die Weitergabe von personenbezogenen Daten an Eurojust problematisch ist, gegenüber deutschen Stellen eine Klage bezüglich der Einhaltung des Eurojust-Gesetzes und damit u.U. subsidiär auch des Bundesdatenschutzgesetzes möglich sein.
Auch wenn eine rechtswidrige Datenverarbeitung eine Schadenersatzpflicht von Eurojust auslösen kann, ist - gerade auch in diesem Zusammenhang - als Manko festzuhalten, dass eine dem deutschen Strafverfahrensrecht vergleichbare Pflicht, Betroffene nach Abschluss der Ermittlungen durch die ermittelnden Behörden über die Erhebung, Verarbeitung und Weitergabe ihrer Daten zu informieren, für Eurojust nicht festgeschrieben wurde. Auch wenn man in Rechnung stellt, dass sich Eurojust nicht mit „kleinen Fischen” befasst, gilt in gleicher Weise der Erfahrungssatz, dass unter den datenschutzrechtlich Betroffenen etliche brave Einwohnerinnen und Einwohner Europas erfasst sein dürften. Diese können sich gegen einen Datenmissbrauch jedoch nur wehren, wenn sie von den Umständen der Nutzung ihrer Daten Kenntnis erlangen.