Die Richtlinie (EU) 2016/680 ist eine unionsrechtliche Datenschutzrichtlinie für die Verarbeitung personenbezogener Daten durch zuständige Behörden zu Zwecken der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten sowie des Strafvollzugs. Sie betrifft damit vor allem Polizei, Staatsanwaltschaften, Strafgerichte und andere Sicherheits- und Strafverfolgungsbehörden. Als Richtlinie gilt sie nicht automatisch unmittelbar in allen Mitgliedstaaten, sondern bedarf grundsätzlich der Umsetzung in nationales Recht. In Österreich ist sie vor allem im Datenschutzgesetz und in fachgesetzlichen Vorschriften von Polizei und Justiz relevant.
Was regelt Richtlinie (EU) 2016/680?
Die Richtlinie (EU) 2016/680 wird oft als Datenschutzrichtlinie für Polizei und Justiz bezeichnet. Sie wurde gemeinsam mit der Datenschutz-Grundverordnung beschlossen, regelt aber einen anderen Bereich. Während die Datenschutz-Grundverordnung vor allem für allgemeine Datenverarbeitungen durch Unternehmen und viele Behörden gilt, betrifft die Richtlinie speziell den Bereich der Strafverfolgung und Gefahrenabwehr im strafrechtlichen Zusammenhang.
Sie legt Mindeststandards dafür fest, wie personenbezogene Daten durch zuständige Behörden verarbeitet werden dürfen. Erfasst sind insbesondere Datenverarbeitungen zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, soweit der Rechtsakt anwendbar ist.
Inhaltlich regelt die Richtlinie unter anderem:
- Grundsätze der Rechtmäßigkeit, Zweckbindung und Datenminimierung,
- Anforderungen an die Datenqualität und an die Unterscheidung verschiedener betroffener Personengruppen,
- Pflichten zur Datensicherheit und Protokollierung,
- Vorgaben für Berichtigung, Löschung und Einschränkung der Verarbeitung,
- Rechte betroffener Personen, soweit diese Rechte mit den Aufgaben der Strafverfolgung vereinbar sind,
- die Kontrolle durch unabhängige Datenschutzaufsichtsbehörden,
- Regeln für die Übermittlung personenbezogener Daten an andere Mitgliedstaaten, an Drittstaaten und an internationale Organisationen.
Gerade im Sicherheitsbereich ist Datenschutz nicht grenzenlos ausgestaltet. Die Richtlinie anerkennt, dass Ermittlungen und Strafverfolgung oft Vertraulichkeit erfordern. Deshalb können Informations- und Auskunftsrechte eingeschränkt werden, wenn dies notwendig und verhältnismäßig ist, etwa um Ermittlungen nicht zu gefährden oder Rechte anderer Personen zu schützen. Dennoch bleibt der Grundsatz bestehen, dass auch Polizei und Justiz an rechtsstaatliche Datenschutzvorgaben gebunden sind.
Warum ist der Rechtsakt wichtig?
Die Richtlinie ist wichtig, weil sie einen eigenständigen Datenschutzrahmen für einen besonders sensiblen Bereich schafft. Staatliche Sicherheits- und Strafverfolgungsbehörden arbeiten regelmäßig mit hochsensiblen Informationen, etwa zu strafrechtlichen Vorwürfen, Verdachtslagen, Opfern, Zeugen, Kontaktpersonen oder biometrischen Daten. Solche Datenverarbeitungen können tief in die Privatsphäre eingreifen und erhebliche Folgen für Betroffene haben.
Der Rechtsakt soll einen Ausgleich schaffen: Einerseits müssen Polizei und Justiz wirksam arbeiten können. Andererseits dürfen Datenerhebungen, Datenabgleiche und internationale Informationsübermittlungen nicht ohne klare rechtliche Grenzen erfolgen. Die Richtlinie dient damit dem Schutz der Grundrechte, insbesondere des Grundrechts auf Datenschutz und des Rechts auf Achtung des Privatlebens, und zugleich der besseren Zusammenarbeit zwischen den Behörden innerhalb der Europäischen Union.
Für die grenzüberschreitende Zusammenarbeit ist ein gemeinsames Mindestniveau besonders bedeutsam. Wenn Mitgliedstaaten Daten für Strafverfolgungszwecke austauschen, setzt das Vertrauen voraus, dass im Empfängerstaat ein angemessenes Datenschutzniveau besteht. Die Richtlinie stärkt daher auch die praktische Kooperation zwischen Sicherheits- und Justizbehörden in Europa.
Bedeutung für Österreich
Für Österreich ist die Richtlinie vor allem deshalb relevant, weil sie in nationales Recht umgesetzt werden musste. Anders als eine EU-Verordnung gilt eine Richtlinie grundsätzlich nicht unmittelbar in allen Einzelheiten, sondern verpflichtet die Mitgliedstaaten, ihre innerstaatliche Rechtsordnung entsprechend anzupassen. In Österreich erfolgte die Umsetzung insbesondere durch Änderungen im Datenschutzrecht und durch Anpassungen in bereichsspezifischen Materiengesetzen.
Von zentraler Bedeutung ist dabei das österreichische Datenschutzgesetz. Dieses enthält besondere Bestimmungen für die Verarbeitung personenbezogener Daten durch zuständige Behörden im Bereich der Strafverfolgung und Gefahrenabwehr im Rahmen des Anwendungsbereichs der Richtlinie. Daneben spielen fachgesetzliche Regelungen eine wesentliche Rolle, etwa im Sicherheitspolizeirecht, Strafprozessrecht und in organisationsrechtlichen Vorschriften für Justiz und Sicherheitsbehörden.
Für Österreich ist außerdem wichtig, dass das Grundrecht auf Datenschutz verfassungsrechtlich abgesichert ist. Daher ist die Umsetzung unionsrechtlicher Datenschutzvorgaben stets im Zusammenhang mit dem österreichischen Verfassungsrecht, mit der Europäischen Menschenrechtskonvention und mit der Charta der Grundrechte der Europäischen Union zu sehen. Die Richtlinie wirkt damit nicht isoliert, sondern innerhalb eines mehrschichtigen Grundrechtsschutzes.
Praktisch relevant ist die Richtlinie unter anderem für die Frage, unter welchen Voraussetzungen strafverfahrensbezogene Daten gespeichert, berichtigt, gelöscht, übermittelt oder protokolliert werden müssen. Ebenso wichtig sind die Anforderungen an interne Kontrollmechanismen, Dokumentation, Datensicherheit und Aufsicht. In Österreich kommt der Datenschutzbehörde dabei eine wichtige Kontrollfunktion zu, soweit ihr gesetzlicher Zuständigkeitsbereich reicht.
Wer ist davon betroffen?
- Polizeibehörden und Sicherheitsbehörden, soweit sie personenbezogene Daten zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten verarbeiten.
- Justizbehörden und sonstige zuständige Stellen im Strafverfahren oder Strafvollzug, soweit die jeweiligen nationalen Vorschriften den Anwendungsbereich der Richtlinie eröffnen.
- Betroffene Personen, deren Daten im Zusammenhang mit Ermittlungen, Strafverfahren, Gefahrenabwehr oder Strafvollstreckung verarbeitet werden, etwa Beschuldigte, Verdächtige, Opfer, Zeugen oder Kontaktpersonen.
Praktische Bedeutung
Die praktische Bedeutung der Richtlinie zeigt sich im behördlichen Alltag. Wenn eine Polizeibehörde Daten aus Anzeigen, Vernehmungen, Datenbanken, Bildaufnahmen oder internationalen Informationssystemen verarbeitet, muss dies auf einer ausreichenden Rechtsgrundlage beruhen und einem klaren Zweck dienen. Daten dürfen nicht beliebig gesammelt oder unbegrenzt gespeichert werden. Unrichtige Daten sind zu berichtigen, unzulässig verarbeitete Daten zu löschen oder in der Verarbeitung einzuschränken.
Wesentlich ist auch die Differenzierung nach Personengruppen. Die Richtlinie verlangt, soweit möglich, eine klare Unterscheidung zwischen etwa Verdächtigen, verurteilten Personen, Opfern und Zeugen. Das ist praktisch bedeutsam, weil die rechtliche und tatsächliche Stellung dieser Personen sehr unterschiedlich ist und falsche Zuordnungen gravierende Folgen haben können.
Hinzu kommen Anforderungen an Sicherheit und Nachvollziehbarkeit. Behörden müssen geeignete technische und organisatorische Maßnahmen treffen, um Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Außerdem sind bestimmte Verarbeitungsvorgänge zu protokollieren. Solche Protokolle dienen nicht nur der internen Kontrolle, sondern auch der datenschutzrechtlichen Überprüfbarkeit.
Für Betroffene bedeutet die Richtlinie, dass auch im Strafverfolgungsbereich nicht jede Datenverarbeitung intransparent bleiben darf. Informations- und Auskunftsrechte können zwar eingeschränkt sein, doch bestehen grundsätzlich Rechtsbehelfe und Kontrollmöglichkeiten. In Österreich können je nach Sachlage datenschutzrechtliche und verwaltungs- oder gerichtliche Rechtsschutzinstrumente relevant sein. Wie weit diese im Einzelfall reichen, hängt stark vom betroffenen Verfahren und von spezialgesetzlichen Regelungen ab.
Auch für den Datenaustausch innerhalb der Europäischen Union hat die Richtlinie erhebliche praktische Auswirkungen. Österreichische Behörden übermitteln Daten an Behörden anderer Mitgliedstaaten oder erhalten solche Daten von dort. Die Richtlinie soll sicherstellen, dass bei diesem Austausch einheitliche Mindeststandards gelten und dass die empfangende Behörde die Daten nur in rechtmäßiger Weise weiterverarbeitet.
Abgrenzung zu anderen Regelungen
Die Richtlinie (EU) 2016/680 ist klar von der Datenschutz-Grundverordnung abzugrenzen. Die Datenschutz-Grundverordnung gilt grundsätzlich für allgemeine Datenverarbeitungen, auch durch viele öffentliche Stellen, aber gerade nicht für jene spezialgesetzlich erfassten Verarbeitungen durch zuständige Behörden im Bereich der Strafverfolgung, die unter die Richtlinie fallen. In Österreich ist daher immer zu prüfen, ob eine Datenverarbeitung dem allgemeinen Datenschutzrecht oder dem speziellen Regime für Polizei und Justiz unterliegt.
Ebenso abzugrenzen ist die Richtlinie von der Richtlinie (EU) 2016/681 über Fluggastdatensätze und von unionsrechtlichen Instrumenten zum Informationsaustausch im Sicherheitsbereich. Diese Rechtsakte können neben der Richtlinie relevant sein, verfolgen aber einen spezielleren Regelungszweck.
Vom österreichischen Fachrecht ist insbesondere das Sicherheitspolizeirecht, das Strafprozessrecht und das Strafvollzugsrecht zu unterscheiden. Diese Materien regeln, wann Behörden überhaupt tätig werden dürfen und welche Befugnisse ihnen zustehen. Die Datenschutzrichtlinie für Polizei und Justiz regelt demgegenüber vor allem das datenschutzrechtliche Wie der Verarbeitung personenbezogener Daten. Beide Ebenen müssen zusammen gelesen werden.
Wichtig ist auch der unionsrechtliche Zusammenhang: Die Richtlinie ersetzt nicht das nationale Verfahrensrecht und schafft keine allgemeine neue Ermittlungskompetenz. Sie setzt vielmehr datenschutzrechtliche Grenzen und Mindeststandards für bereits bestehende oder neu geschaffene nationale Befugnisse. In Österreich ist deshalb stets zu prüfen, ob eine konkrete Datenverarbeitung sowohl fachgesetzlich erlaubt als auch datenschutzrechtlich zulässig ist.
Quellen
- Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr
- EUR-Lex: Richtlinie (EU) 2016/680
- Rechtsinformationssystem des Bundes (RIS)
- Datenschutzgesetz, insbesondere die österreichischen Umsetzungsbestimmungen für den Bereich der Strafverfolgung und Justiz, soweit anwendbar
- Gesetzesmaterialien zur Datenschutz-Anpassung in Österreich, soweit für die Umsetzung der Richtlinie einschlägig
