Kapitel 9 Überwachungsbefugnisse der Polizei und Schutz personenbezogener Daten Inhalt​ Überwachung und Privatsphäre 156​ Polizei und Sicherheitsdienste 157​ Das Recht auf Privatsphäre 158​ Der Europarat 158​ Der Europäische Gerichtshof für Menschenrechte und Überwachung 158​ Der Sacharow-Fall 159​ Der Szabo-Fall 161​ Die Computerkriminalitätskonvention 162​ Probleme mit der Computerkriminalitätskonvention 163​ Der Kommissar für Menschenrechte 165​ Die Rolle des Kommissars für Menschenrechte 165​ Der Menschenrechtskommissar für Überwachung 166​ Die Europäische Union 166​ US-Gesetz 166​ Erhebung und Austausch von Daten in der EU und zwischen der EU und Drittstaaten​ Staaten 168​ Die EU-PNR-Richtlinie 168​ Die PNR-Abkommen der EU mit den USA und Kanada 169​ Die EU-Richtlinie zur Vorratsdatenspeicherung 171​ Die Datenschutzreform 172​ Das SWIFT-Abkommen zwischen der EU und den USA 173​ Die Resolution und die Folgeresolution des Europäischen​ Parlament zu Überwachungsprogrammen 174​ Prof. Dieter Kugelmann ist Professor für Rechtswissenschaften an der Deutschen Hochschule der Polizei, Münster, und Landesbeauftragter für den Schutz personenbezogener Daten des Landes Rheinland-Pfalz, Mainz. Christina Kosin, LL.M., ist Ph.D. Studentische und wissenschaftliche Hilfskraft am Lehrstuhl für Strafrecht, Strafprozessrecht und Kriminalpolitik an der Deutschen Hochschule der Polizei, Münster. D.Kugelmann (*) Landesbeauftragter für den Schutz personenbezogener Daten, Mainz E-Mail: poststelle@datenschutz.rlp.de C. Ich habe vorgeschlagen Deutsche Hochschule der Polizei, Münster, Deutschland E-Mail: christina.kosin@dhpol.de © Springer International Publishing AG 2018 R. Alleweldt, G. Fickenscher (eds.), The Police and International Human Rights Law, https://doi.org/10.1007/978-3-319-71339-7_9 9.4 Deutsches Überwachungsgesetz 175 9.5 Der Kampf gegen den Terrorismus 176​ Die EU und der Kampf gegen den Terrorismus 176​ Der internationale Kampf gegen den Terrorismus 178​ Differenzierungsansatz 178​ Referenzen 180 Zusammenfassung Im Kampf gegen schwere Verbrechen wie Terrorismus setzen Strafverfolgungsbeamte und Geheimdienste geheime Überwachungsmaßnahmen ein, um personenbezogene Daten zu sammeln, um diese Straftaten zu verhindern, aufzudecken und zu untersuchen. Darüber hinaus werden personenbezogene Daten zwischen Behörden, internationalen Akteuren sowie privaten Einrichtungen ausgetauscht, um die nationale Sicherheit zu gewährleisten. Diese Aktivitäten greifen zwangsläufig in die Grundrechte ein. Obwohl die nationale Sicherheit ein legitimes Ziel ist, sollten grundlegende Menschenrechte in demokratischen Staaten, die der Rechtsstaatlichkeit folgen, nicht missachtet werden. In diesem Beitrag werden das Recht auf Privatsphäre und der Schutz personenbezogener Daten auf internationaler Ebene erläutert, die internationale und nationale (Deutschland) Erhebung und Übermittlung personenbezogener Daten sowie die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, des Gerichtshofs, erläutert Justiz der Europäischen Union und des Bundesverfassungsgerichts vorgestellt. Die wesentliche Frage dieses Beitrags ist, unter welchen Voraussetzungen Eingriffe in das Recht auf Privatsphäre und das Recht auf Schutz personenbezogener Daten rechtlich zulässig sind. Kernargument ist, dass auf der Grundlage der Rechtsprechung der Gerichte allgemeine Kriterien identifiziert werden können, an denen sich rechtmäßige und verhältnismäßige Überwachungsmaßnahmen orientieren.​ Überwachung und Datenschutz​ Das Recht auf Privatsphäre wird im digitalen Zeitalter immer mehr zu einem der zentralsten und wichtigsten Grundrechte. Die Vereinten Nationen (UN) haben auf diese Entwicklung reagiert und die Position eines UN-Sonderberichterstatters für Datenschutz geschaffen. Im Juli 2015 ernannte der UN-Menschenrechtsrat (HRC) Prof. Joseph Cannataci aus Malta mit der Resolution A/HRC728/L.27 zum ersten Sonderberichterstatter für Datenschutz. Sein Mandat umfasst das Sammeln von Informationen über (inter)nationale Praktiken und Trends in Bezug auf das Recht auf Privatsphäre, die Identifizierung von Hindernissen, die Sensibilisierung, die Integration einer Geschlechterperspektive in die gesamte Arbeit und die Berichterstattung über Verletzungen des Rechts auf Privatsphäre als in internationalen Verträgen wie Art. 12 der Allgemeinen Erklärung der Menschenrechte (UDHR) und Art. 17 des Internationalen Pakts über bürgerliche und politische Rechte (ICCPR). Der Sonderberichterstatter für Datenschutz legt dem HRC sowie der UN-Generalversammlung (UNGA) Jahresberichte vor. Gemäß HRC-Resolution 28/16 legte Prof. Joseph Cannataci seinen ersten Bericht dem HRC während seiner 31. Sitzung am 8. März 2016 vor sowie einen Arbeitsplan für die ersten drei Jahre des Mandats. Der Jahresbericht des Berichterstatters für die VN-Generalversammlung wurde am 30. August 2016 veröffentlicht.2​ Polizei und Sicherheitsdienste​ Im Jahr 2013 veröffentlichte Edward Snowden Dokumente der National Security Agency (NSA), die enthüllten, dass die NSA geheime Überwachungsmaßnahmen eingesetzt hatte, um weltweit auszuspionieren. Diese Informationen lösten eine weitere Debatte über die Massenüberwachung durch Sicherheitsdienste einerseits und das Recht auf Privatsphäre andererseits aus. Überwachungsmaßnahmen bilden einen zentralen Bestandteil der Polizeiarbeit, ebenso wie die Arbeit von Sicherheitsdiensten wie der NSA in den USA, dem Government Communications Headquarters (GCHQ) in Großbritannien und dem Bundesnachrichtendienst (BND) in Deutschland. Überwachungsmaßnahmen sind jedoch auf das unbedingt Notwendige zu beschränken. Andernfalls droht eine ungerechtfertigte Verletzung des Persönlichkeitsrechts. Das bedeutet, dass Überwachungstätigkeiten eine Rechtsgrundlage haben und ein legitimes Ziel verfolgen müssen. Diese Mindestanforderungen sollen gewährleisten, dass Überwachungsmaßnahmen nicht willkürlich eingesetzt werden. Jegliche Zusammenarbeit zwischen Sicherheitsdiensten, der Polizei und anderen Beteiligten sollte in einem rechtlichen Rahmen erfolgen, der das Recht auf Privatsphäre und den Grundsatz der Verhältnismäßigkeit achtet. Ein herausfordernder Aspekt im Kontext der globalen Zusammenarbeit verschiedener internationaler Sicherheitsakteure ist der Rechtsbegriff der Privatsphäre. Beispielsweise besitzen nach US-amerikanischer Auffassung des Rechtsbegriffs Privacy Personen, die uneingeschränkten Zugriff auf Daten haben, die Rechte an diesen Daten.1 Aus europäischer Sicht ist es umgekehrt. Der rechtliche Begriff Datenschutz wird so verstanden, dass Personen, auf die sich die Daten beziehen, Rechte an diesen Daten eingeräumt werden. Während Datenschutz in den USA ein allgemeines Prinzip ist, stellt er in Europa ein Grundrecht dar. Innerhalb Europas sind das Recht auf Privatsphäre und der Schutz personenbezogener Daten zwei unterschiedliche, aber eng miteinander verbundene Grundrechte. Die unterschiedlichen Rechtsauffassungen der Privatsphäre und des Datenschutzes erschweren die Zusammenarbeit zwischen internationalen Akteuren (zumindest mit Blick auf die USA und Europa). Denn die unterschiedlichen Wahrnehmungen führen zu unterschiedlichen Schutzstandards für personenbezogene Daten. Um beim Austausch personenbezogener Daten zusammenarbeiten zu können, müssen sich die Staaten auf gemeinsame Datenschutzstandards einigen. Gleichzeitig müssen die Länder es schaffen, den Datenschutzstandard „zu Hause“ nicht unverhältnismäßig zu über- oder unterschreiten.​ Das Recht auf Privatsphäre​ Das Recht auf Privatsphäre ist ein Grundrecht, das in internationalen, europäischen und nationalen Gesetzen anerkannt ist. Das Recht auf Privatsphäre ist beispielsweise in Art. 12 AEMR, Art.-Nr. 8 der Europäischen Menschenrechtskonvention (EMRK) und Art. 7 der Charta der Grundrechte der Europäischen Union (GRC). Überwachungsmaßnahmen können Eingriffe in Grundrechte wie das Recht auf Privatsphäre darstellen, insbesondere wenn diese Maßnahmen geheimer Natur sind. Allerdings stellt nicht jeder Eingriff eine Verletzung des Rechts auf Privatsphäre dar. Denn die nationale Gesetzgebung, die europäische und die internationale Gesetzgebung fordern Rechtfertigungsgründe. Auf nationaler Ebene enthält beispielsweise das Polizeirecht Rechtfertigungsgründe für Eingriffe in das Recht auf Privatsphäre. Auf internationaler Ebene enthält die EMRK Rechtfertigungen für solche Eingriffe.​ Der Europarat​ Der Europäische Gerichtshof für Menschenrechte​ und Überwachung Artikel 8 (1) EMRK legt fest, dass „jedermann das Recht auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seiner Korrespondenz hat“. Dieses Recht umfasst drei zentrale Rechtsgüter, die geschützt werden: Familie, Wohnung und Korrespondenz. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat den Begriff der Korrespondenz in seiner Rechtsprechung weiter ausgearbeitet. Nach Ansicht des EGMR in der Rechtssache Copland gegen das Vereinigte Königreich1 ist die Korrespondenz gemäß Art. 8 (1) EMRK umfasst Post, Telefon, E-Mail sowie personenbezogene Daten.2 Daher ist das Konzept der Korrespondenz in diesem Artikel für das digitale Zeitalter geeignet, da es E-Mails neben traditionelleren Kommunikationsformen wie z wie Post und Telefon. Darüber hinaus subsumierte das Gericht personenbezogene Daten unter Art. 8 (1) EMRK, der zeigt, dass auch der Inhalt von Briefen oder der persönlichen Internetnutzung erfasst ist. In Kunst. 8 (2) EMRK, Rechtfertigungsgründe für Eingriffe in Art. 8 (1) EMRK vorgeschrieben sind. Danach sind Eingriffe in Art. 8 (1) durch eine Behörde sind nur zulässig, wenn sie mit dem Gesetz vereinbar und in einer demokratischen Gesellschaft, beispielsweise im Interesse der nationalen Sicherheit, erforderlich sind. In Verbindung mit dem Erfordernis „in einer demokratischen Gesellschaft notwendig“ werden weitere lebenswichtige Interessen von Staaten aufgeführt, wie die öffentliche Sicherheit oder das wirtschaftliche Wohlergehen eines Landes, die Verhütung von Unruhen oder Verbrechen, der Schutz der Gesundheit oder der Sittlichkeit oder die Schutz der Rechte und Freiheiten anderer. Neben Kunst. 8 EMRK, Art. 10 EHCR ist ein weiteres Grundrecht der Konvention, das im Zusammenhang mit Überwachungsmaßnahmen zu nennen ist. Artikel 10 sieht das Recht auf freie Meinungsäußerung vor. Das Recht auf freie Meinungsäußerung umfasst alle Mittel der Meinungsäußerung, beispielsweise per Telefon oder Internet. Das Recht auf freie Meinungsäußerung umfasst das Recht, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Grenzen zu erhalten. Da man sich ohne Informationen keine vollständig informierte Meinung bilden kann, ist es erforderlich, dass Art. 10 EMRK umfasst auch das Recht auf Auskunft.1 2 3 Seit Kunst. 10 EMRK kein absolutes Recht ist, können Eingriffe in diese Vorschrift unter bestimmten Voraussetzungen gerechtfertigt sein. Diese Bedingungen sind in Art. 10 (2) EMRK. Behörden können in Art. 10 (1) EMRK durch die Festlegung von Formalitäten, Auflagen, Beschränkungen oder Strafen, jedoch nur, wenn diese Handlungen gesetzlich vorgeschrieben und in einer demokratischen Gesellschaft erforderlich sind. In Verbindung mit letzterem ist Art. 10 (2) listet lebenswichtige Interessen von Staaten auf, wie nationale Sicherheit, territoriale Integrität oder öffentliche Sicherheit, Verhütung von Unruhen oder Verbrechen, Schutz der Gesundheit oder Moral, Schutz des Rufs oder der Rechte anderer, Verhinderung der Offenlegung vertraulich erhaltener Informationen oder Aufrechterhaltung die Autorität und Unparteilichkeit der Justiz.​ Der Fall Sacharow​ Der EGMR nutzt seine Rechtsprechung, um die in der Konvention vorgesehenen Rechte und Freiheiten, einschließlich Art. 8 EMRK. In zwei der jüngsten Fälle, Roman Zakharov gegen Russland1 und Szabo und Vissy gegen Ungarn? Der Gerichtshof erläuterte den Anwendungsbereich von Art. 8 EMRK. Im ersten Fall war der Beschwerdeführer, Herr Zakharov, ein russischer Staatsangehöriger, der als Chefredakteur eines Verlags und als Vorsitzender einer NGO arbeitete, die den Stand der Medienfreiheit in Russland überwacht.1 Herr Zakharov erhob Klage Verfahren gegen drei russische Mobilfunknetzbetreiber, die Anlagen nach russischem Recht installiert haben Order No. 10 of the State Committee for Communications and Information Technologies. Die russische Gesetzesverordnung Nr. 10 ermöglichte es den russischen Sicherheitsdiensten, alle Telefongespräche ohne vorherige gerichtliche Genehmigung abzuhören. Vor russischen Gerichten beschwerte sich Herr Zakharov darüber, dass die Gesetzgebung, deren Ergänzungen nie veröffentlicht wurden, sein Recht auf Privatsphäre seiner Telefonkommunikation verletzt. Seine Ansprüche wurden von den russischen Gerichten abgewiesen.2 Vor dem EGMR beschwerte sich Herr Zakharov, dass die bloße Existenz der Rechtsvorschriften eine Verletzung von Art. 8 EMRK.1 Der Gerichtshof näherte sich dem Fall, indem er den Kennedy-Ansatz anwandte, um herauszufinden, ob der Beschwerdeführer vor dem Straßburger Gericht stand.2 In der Rechtssache Kennedy gegen das Vereinigte Königreich3 hatte der EGMR Kriterien festgelegt, um zu prüfen, ob ein Beschwerdeführer vorliegt wer behauptet, dass sein oder ihr Recht auf Privatsphäre durch die bloße Existenz eines Gesetzes verletzt wurde, hat Klagebefugnis.4 Wie in zahlreichen Fällen erwähnt, prüft der Gerichtshof die Gesetze der Staaten in der Regel nicht abstrakt.5 Um jedoch diese heimliche Überwachung zu verhindern Maßnahmen vor dem EGMR praktisch unanfechtbar sind, hat der Gerichtshof Bedingungen aufgestellt, die es Einzelpersonen ermöglichen, die bloße Existenz von Gesetzen vor dem EGMR anzufechten. Bei Zakharov waren die beiden zentralen Kriterien des Kennedy-Ansatzes erfüllt. Erstens ließen die angefochtenen Rechtsvorschriften Überwachungsmaßnahmen gegen ein breites Spektrum von Personen zu. Von den gesetzlichen Bestimmungen waren alle Nutzer von Mobilfunkdiensten russischer Anbieter betroffen. Zweitens sah die Gesetzgebung keine wirksamen Rechtsbehelfe vor.1 Nachdem festgestellt wurde, dass ein Eingriff in Art. 8 EMRK bestand, erläuterte der EGMR die Rechtfertigungsgründe in Art. 8 (2) EMRK. Der Gerichtshof erklärte, dass das Erfordernis „in Übereinstimmung mit dem Gesetz“ das Qualitätserfordernis des Rechts darstellt und verlangt, dass die Gesetzgebung eine Grundlage im innerstaatlichen Recht hat, mit dem Rechtsstaat vereinbar ist, für die betroffene Person zugänglich und vorhersehbar ist zu seinen Auswirkungen. Das Kriterium „in einer demokratischen Gesellschaft notwendig“ bedeutet, dass die Rechtsvorschriften angemessene und wirksame Garantien gegen den Missbrauch der Rechtsvorschriften bieten.2 Vor diesem Hintergrund fasste das Gericht zusammen, dass die angefochtenen russischen Rechtsvorschriften für die breite Öffentlichkeit unzugänglich, unklar in Bezug auf die Umstände, unter denen die Kommunikation von Einzelpersonen abgehört werden kann, unzureichend klar in Bezug auf die Einstellung von Überwachungsmaßnahmen und unklar in Bezug auf die Umstände, unter denen Daten gespeichert werden würden nach einem Gerichtsverfahren vernichtet werden.1 Darüber hinaus betonte der EGMR, dass das Gesetz eine begrenzte gerichtliche Kontrolle vorsehe, da „sensible“ Bereiche außerhalb des gerichtlichen Überprüfungsbereichs lägen, es Geheimdienstmitarbeitern und der Polizei erlaube, Kommunikation ohne vorherige gerichtliche Genehmigung abzuhören, begrenzt dass die Aufsicht der Staatsanwaltschaft über geheime Überwachungsmaßnahmen als „sensible“ Bereiche außerhalb ihres Überprüfungsbereichs lag und dass sie keine wirksamen Rechtsbehelfe für Personen bot, deren Kommunikation abgehört wurde. Einzelpersonen wurden zu keinem Zeitpunkt benachrichtigt, und es gab keine Möglichkeit, Informationen über die Überwachung anzufordern.2 Bei Anwendung der Anforderungen aus Art. Art. 8 Abs. 2 EMRK auf russisches Recht kam der EGMR zu dem Schluss, dass die russische Gesetzgebung geheime Überwachungsmaßnahmen zulasse. Das angefochtene Gesetz entspreche nicht der „Qualitätsanforderung“ und sei nicht geeignet, den Eingriff auf „das Notwendige einer demokratischen Gesellschaft“ zu beschränken. Die Gesetzgebung sah weder angemessene und wirksame Garantien gegen Willkür noch eine wirksame und kontinuierliche Kontrolle, öffentliche Kontrolle und praktische Wirksamkeit vor. Daher stellte der EGMR fest, dass die angefochtene russische Gesetzgebung gegen Art. 8 EMRK.1 Der Fall Zakharov offenbarte spezifische Kriterien, die der EGMR fordert, damit Gesetze, die Überwachungsmaßnahmen im Einklang mit Art. 8 (2) EMRK. Das Gesetz, das geheime Überwachungsmaßnahmen erlaubt, muss die Anforderungen an Transparenz, Legitimität, Kontrolle, Notwendigkeit, Genauigkeit und Rechtsbehelf erfüllen. Dies bedeutet, dass die Rechtsvorschriften einer breiten Öffentlichkeit zugänglich sein müssen. Die Auswirkungen der gesetzlich vorgeschriebenen Maßnahmen müssen für die breite Öffentlichkeit absehbar sein. Darüber hinaus müssen Betroffene über die Maßnahmen informiert werden, um Auskunft verlangen zu können (Transparenz). Darüber hinaus müssen die im Gesetz festgelegten Maßnahmen einer vorherigen gerichtlichen Genehmigung sowie einer vollständigen und kontinuierlichen Überprüfung unterzogen werden, und das Gesetz selbst muss eine Rechtsgrundlage im innerstaatlichen Recht haben (Legitimität und Überprüfung). Der Inhalt der Rechtsvorschriften muss im Hinblick auf die Bedingungen, unter denen Überwachungsmaßnahmen eingesetzt werden können, hinreichend genau sein. Solche Maßnahmen müssen zielgerichtet sein, niemanden betreffen und sich auf das unbedingt Notwendige (Notwendigkeit) beschränken. Darüber hinaus muss es klare Kriterien geben, unter welchen Umständen die Kommunikation abgehört werden darf bzw. wann die Abhörung eingestellt wird (Präzision). Schließlich müssen Einzelpersonen in der Lage sein, den Einsatz von Überwachungsmaßnahmen gegen sie anzufechten. Dazu gehört, dass durch Überwachungsmaßnahmen erhobene personenbezogene Daten gelöscht werden können (Rechtsbehelf).​ Der Szabo-Fall​ In der Rechtssache Szabo und Vissy gegen Ungarn arbeiteten die beiden ungarischen Beschwerdeführer für die Institution „Watchdog“ – eine NGO, die sich für eine transparentere Regierung einsetzt.1 -Terrorismus-Sonderpolizei (Abschnitt 7/E (3) Überwachung), Verstoß gegen Art. 8 EMRK.2 Wie in der Rechtssache Zakharov fochten die Beschwerdeführer allgemeines Recht an und nicht eine spezifische Maßnahme, die sie betraf. Das angefochtene Gesetz sah geheime Überwachungsmaßnahmen im Rahmen der Informationsbeschaffung für die nationale Sicherheit vor. Zu den polizeilichen Vorrechten auf der Grundlage des Gesetzes gehörten Überwachungstätigkeiten wie das Aufzeichnen, Überprüfen und Aufzeichnen von Inhalten elektronischer oder computergestützter Kommunikation und geheime Hausdurchsuchungen. Die angegriffenen Rechtsvorschriften erforderten keine vorherige Einholung einer Einwilligung des Betroffenen.3 Der EGMR stimmte den Beschwerdeführern zu und entschied, dass das angefochtene Gesetz gegen Art. 8 EMRK und könnten nicht auf Grundlage von Art. 8 (2) EMRK. Nach Ansicht des Gerichtshofs fehlten der Gesetzgebung ausreichend präzise, wirksame und umfassende Garantien für die Anordnung, Vollstreckung und potenzielle Rechtsbehelfe für polizeiliche Maßnahmen. Darüber hinaus konnten die auf der Gesetzgebung basierenden Überwachungsmaßnahmen praktisch jeden treffen, es fehlten wirksame Rechtsbehelfe und sie wurden ausschließlich von der Exekutive gewährt, und der Einsatz solcher Maßnahmen war nicht an eine strikte Notwendigkeit geknüpft.1 Dieser Fall wiederholte, dass Überwachungsmaßnahmen und/oder das Gesetz, das diese Maßnahmen vorschreibt, muss transparent, legitim, notwendig und präzise sein. Darüber hinaus sollte die Gesetzgebung vollständig überprüft werden können und man muss Rechtsmittel gegen Überwachungsaktivitäten erhalten können.​ Die Computerkriminalitätskonvention​ Das Übereinkommen über Computerkriminalität (SEV Nr. 185), auch als Budapester Übereinkommen bekannt, wurde am 23. November 2001 vom Europarat (CoE) erstellt und trat am 1. Juli 2004 in Kraft. Das Übereinkommen ist das erste internationale Abkommen zur Bekämpfung der Computerkriminalität und um die spezifischen Fragen der Strafverfolgung im Zusammenhang mit Urheberrechtsverletzungen, Betrug, Kinderpornografie und Fragen der Netzwerksicherheit anzugehen.1 Das Budapester Übereinkommen kann als Reaktion auf die Veränderungen angesehen werden, die durch Digitalisierung, Konvergenz und Globalisierung von Computernetzwerken verursacht wurden. Das zentrale Ziel des Vertrags ist die Schaffung einer gemeinsamen Kriminalpolitik durch die Verabschiedung geeigneter Gesetze auf nationaler Ebene und die Förderung der internationalen Zusammenarbeit zum Schutz der Gesellschaft vor Cyberkriminalität. Insgesamt wird die Konvention von 49 Mitgliedstaaten unterstützt, darunter neun Staaten, die keine Mitglieder des Europarates sind, darunter die USA, Kanada und Japan. Israel war der letzte Staat, der das Übereinkommen im September 2016 ratifiziert hat. Einige Staaten der Europäischen Union (EU), wie Griechenland, Irland und Schweden, haben das Übereinkommen nicht ratifiziert.2 Das Budapester Übereinkommen ist in vier Kapitel unterteilt. Kapitel I klärt die Verwendung von Begriffen (Definition von Computersystem und andere). Kapitel II legt die Maßnahmen fest, zu denen die Vertragsstaaten auf nationaler Ebene verpflichtet sind. Zum Beispiel Art. 2 des Übereinkommens verpflichtet die Mitgliedstaaten, gesetzgeberische oder andere Maßnahmen zu ergreifen, um den vorsätzlichen Zugriff auf ein Computersystem ganz oder teilweise ohne Recht unter Strafe zu stellen. Die Rechtsangleichung ist für eine effektive internationale Zusammenarbeit von entscheidender Bedeutung, da viele Länder die beiderseitige Strafbarkeit für die Rechtshilfe verlangen.1 Kapitel III umfasst Formen der internationalen Zusammenarbeit (Rechtshilfe, Auslieferung, grenzüberschreitender Zugriff auf gespeicherte Computerdaten usw.). Zum Beispiel Art. 34 des Budapester Übereinkommens legt Bedingungen für die gegenseitige Amtshilfe in Bezug auf das Abfangen von Inhaltsdaten fest. Im letzten Teil, Kapitel IV, sind Schlussbestimmungen (räumlicher Geltungsbereich, Wirkungen des Übereinkommens, Vorbehalte etc.) aufgeführt. Die Cybercrime Convention wird durch das Cybercrime Convention Committee (T-CY) durchgesetzt, das gemäß Art. 46 der Konvention. Das T-CY zielt darauf ab, die effektive Nutzung und Umsetzung des Übereinkommens, den Informationsaustausch und mögliche Änderungen zu erleichtern. Im Gegensatz zu herkömmlichen internationalen Vertragsgremien wie dem UN-Menschenrechtsausschuss besteht das T-CY nicht aus unabhängigen Experten, sondern aus Vertretern der Vertragsstaaten. Da das Übereinkommen auf gesetzgeberischen und anderen Formen der Harmonisierung sowie auf internationaler Zusammenarbeit aufbaut, ist es entscheidend, dass die Vertragsstaaten das Übereinkommen selbst durchsetzen, damit es effektiv und erfolgreich ist. Nach Kunst. 44-46 des Budapester Übereinkommens ist der Europäische Ausschuss für Kriminalitätsfragen (CDPC) an der Durchsetzung des Übereinkommens in Fällen von Änderungen, Streitbeilegung und Kommunikation mit dem T-CY beteiligt. Das CDPC wurde 1958 vom Europarat gegründet und hat die Aufgabe, die Maßnahmen des Rates zur Kriminalprävention und Kriminalprävention zu überwachen und zu koordinieren. Im November 2002 verabschiedete der Europarat ein kurzes (16 Artikel!) Zusatzprotokoll über die Kriminalisierung von Handlungen rassistischer und fremdenfeindlicher Art, die über Computersysteme begangen werden, zum Übereinkommen über Computerkriminalität (SEV Nr. 189). Das Zusatzprotokoll trat im März 2006 in Kraft. 6 des Protokolls sind die Vertragsstaaten beispielsweise verpflichtet, die Veröffentlichung von Material über ein Computersystem zu ahnden, das Völkermord oder Verbrechen gegen die Menschlichkeit leugnet, grob verharmlost, billigt oder rechtfertigt. Das Zusatzprotokoll wird von 24 Mitgliedstaaten des Europarates unterstützt. Einige Mitgliedstaaten des Europarates haben das Zusatzprotokoll weder unterzeichnet noch ratifiziert, wie die Türkei, Russland, Bulgarien, Ungarn, Irland und das Vereinigte Königreich.1​ Probleme mit der Cybercrime Convention​ Obwohl das Budapester Übereinkommen als Fortschritt im Kampf gegen Cyberkriminalität angesehen werden kann, müssen einige Probleme mit dem Übereinkommen kritisch hervorgehoben werden. In Deutschland haben zwei Personen beim Bundesverfassungsgericht Verfassungsbeschwerde gegen die Cybercrime-Konvention eingelegt.1 Art. 59 Abs. 2 GG verstößt gegen die deutsche Verfassung. Die Beschwerdeführer behaupteten, Art. 25-34 Budapester Rechtshilfeübereinkommen verstoßen gegen das Recht auf Brief-, Post- und Fernmeldegeheimnis (Art. 10 GG), die Unverletzlichkeit der Wohnung (Art. 13 GG) sowie andere Bestimmungen des GG , einschließlich Art. 1 (1), art. 19 (4), Kunst. 101, Kunst. 102 und Kunst. 104 GG.2 Die Beschwerdeführer haben betont, dass die Übermittlung personenbezogener Daten in andere Länder wie die USA, die nicht den gleichen Schutz personenbezogener Daten wie Deutschland gewährleisten, gegen das GG verstoße. Die Beschwerdeführer machten geltend, dass sie persönlich, unmittelbar und gegenwärtig von den angefochtenen Bestimmungen des Budapester Übereinkommens betroffen seien, da sie Telekommunikationsnetze und das Internet intensiv nutzten und häufig ins Ausland reisten. Im Juni 2016 erklärte das Bundesverfassungsgericht die Verfassungsbeschwerde für unzulässig. Nach Ansicht des Gerichts Art. 25-31 und Kunst. 33-34 Budapester Übereinkommen berührten die Beschwerdeführer nicht unmittelbar, da diese Bestimmungen in Deutschland nicht unmittelbar anwendbar waren. Auf Grundlage von Art. Art. 59 Abs. 2 GG wurde das Cybercrime-Übereinkommen in deutsches Recht übernommen; dies löste jedoch nicht automatisch die unmittelbare Anwendung der Konvention in Deutschland aus.1 Das Bundesverfassungsgericht unterschied zwischen der Übernahme und Geltung der Budapester Konvention in deutsches Recht einerseits und der Anwendung der Konvention in innerstaatliches Recht andererseits. Nach Ansicht des Gerichtshofs waren das Budapester Übereinkommen und die angefochtenen Bestimmungen insofern nicht selbsterfüllend, als sie die Beschwerdeführer nicht unmittelbar betrafen. Vielmehr enthält die Cybercrime Convention – als völkerrechtlicher Vertrag, der in nationales Recht umgesetzt wurde – Pflichten für Vertragsstaaten wie Deutschland. Das Bundesverfassungsgericht erklärte gemäß § 32 Computerkriminalitätskonvention die Beschwerde der Urheber für unzulässig, da die Beschwerdeführer ihre Argumente nicht hinreichend substantiiert hätten.2 Obwohl das Bundesverfassungsgericht die Beschwerde für unzulässig erklärt hat, zeigt dieser Fall vor dem Bundesverfassungsgericht, dass die Bestimmungen des Budapester Übereinkommens nicht unumstritten sind. Da die Computerkriminalitätskonvention einen Rahmen für die internationale Zusammenarbeit beim Austausch personenbezogener Daten bietet, sind Fragen zum Datenschutzstandard unvermeidlich. Diese Probleme müssen angegangen und gelöst werden, um eine funktionierende und effektive internationale Zusammenarbeit zu erreichen. Ähnlich wie beim EGMR müssen Beschwerdeführer vor dem Bundesverfassungsgericht unmittelbar und persönlich von der angefochtenen Gesetzgebung betroffen sein, um Klagebefugnis zu haben. Wie in den Fällen Kennedy, Zakharov und Szabo gezeigt, kann der EGMR jedoch Beschwerden gegen Rechtsvorschriften abstrakt für zulässig erklären. In dem oben dargestellten Fall vor dem Bundesverfassungsgericht hat das Bundesverfassungsgericht die Beschwerde zurückgewiesen, weil die auf einem Staatsvertrag beruhende Gesetzgebung die Urheber nicht unmittelbar betraf. Ein weiteres Problem des Budapester Übereinkommens betrifft seine globale Reichweite. Die Konvention wird nicht von allen Ländern unterstützt, obwohl sie international gelten sollte.1 Wie oben erwähnt, hat beispielsweise Russland die Konvention nicht ratifiziert. Die Budapester Konvention wurde größtenteils von europäischen Staaten entworfen. Daher stellt sich die Frage, ob die Reichweite der Konvention auf Europa beschränkt ist. Dem kann jedoch entgegengehalten werden, dass die Cybercrime Convention von fast der Hälfte der Nicht-COE-Mitgliedstaaten der Konvention verfasst wurde, nämlich den USA, Japan, Kanada und Südafrika.2​ Der Kommissar für Menschenrechte​ Die Rolle des Kommissars für Menschenrechte​ Unter der Schirmherrschaft des Europarates wurde die Stelle eines Menschenrechtskommissars (HR Commissioner) geschaffen. Der Ministerrat (CoM) des Europarats verabschiedete die Resolution (99) 50, mit der 1999 der HR Commissioner eingesetzt wurde. Artikel 1 (1) Res. (99) 50 fasst das Mandat des HR Commissioner zusammen, das die Förderung von Bildung und die Sensibilisierung für und die Achtung der Menschenrechte umfasst, wie sie in den Menschenrechtsinstrumenten des Europarates verankert sind. Die Stellung des Personalbeauftragten ist außergerichtlich gem. 1 (1) Erl. (99) 50. Die Arbeit des Personalbeauftragten konzentriert sich auf drei Hauptbereiche. Zunächst besucht der Kommissar Länder und spricht mit nationalen Behörden sowie der Zivilgesellschaft. Zweitens veröffentlicht der HR-Kommissar thematische Berichte und gibt Ratschläge zur systematischen Umsetzung der Menschenrechte. Drittens engagiert sich der Kommissar für die Sensibilisierung für Menschenrechtsfragen. Der derzeitige HR Commissioner ist der lettische Amerikaner Nils Muiznieks, dessen Mandat 2012 begonnen hat und 2018 enden wird. Die detaillierten Aufgaben des Personalbeauftragten sind in Art. 3 (a-i) Entschließung. (99) 50. Der Beauftragte identifiziert Mängel in der Gesetzgebung und Praxis der Mitgliedstaaten in Bezug auf die Einhaltung der Menschenrechte (Artikel 3 (e)) und legt dem CoM oder dem CoM und der Parlamentarischen Versammlung einen Bericht zu einer bestimmten Angelegenheit vor des CoE (PA) (Art. 3 (f)), beantwortet Anfragen des CoM und der PA bezüglich ihrer Aufgaben bei der Gewährleistung der Einhaltung der Menschenrechte (Art. 3 (g)), legt dem CoM und der PA Jahresberichte vor (Art. 3 (h)) und kooperiert mit anderen internationalen Institutionen zur Förderung und zum Schutz der Menschenrechte (Art. 3 (i)). Bei letzterem achtet der Personalbeauftragte darauf, a Vervielfältigung von Aktivitäten. Gemäß Art. 1 (2) Erl. (99) 50 erfüllt der Beauftragte weder Funktionen, die bereits von anderen Aufsichtsgremien für Menschenrechtsinstrumente wahrgenommen werden, noch prüft er einzelne Beschwerden. Der derzeitige HR-Kommissar Nils Muiznieks hat zahlreiche Artikel und umfangreiche Papiere zum Thema Überwachung und Menschenrechte veröffentlicht, z. „Europe is spying on you“, das 2015 in der New York Times veröffentlicht wurde; „Menschenrechte in Europa sollten nicht unter Massenüberwachung einknicken“, die 2016 in Open Democracy veröffentlicht wurde; sowie „Demokratische und wirksame Aufsicht über nationale Sicherheitsdienste“ (CoE 2015) und „Rechtsstaatlichkeit im Internet und in der weiteren digitalen Welt“ (CoE 2014). Die zentralen Aussagen von Herrn Muiznieks zu Menschenrechten und Massenüberwachung werden im nachfolgenden Unterkapitel kurz vorgestellt.​ Der Menschenrechtskommissar für Überwachung​ Laut Nils Muiznieks ist das Recht auf Privatsphäre ein Grundrecht, das ein Leben in Würde und Sicherheit garantiert. Die Gesetzgebung sollte Überwachungsmaßnahmen und die Verwendung personenbezogener Daten einschränken, um das Recht auf Privatsphäre zu respektieren, das in wichtigen Menschenrechtsverträgen wie der Allgemeinen Erklärung der Menschenrechte und dem ICCPR verankert ist.1 Darüber hinaus hat sich angesichts der Terrorismusbekämpfung in Europa ein Sicherheitstrend ausgebreitet. Die Bekämpfung des Terrorismus auf Kosten der Menschenrechte ist jedoch ein unwirksamer Ansatz.2 Herr Muiznieks befürwortet, dass Staaten Kommunikationsinformationen, die für die Terrorismusbekämpfung von entscheidender Bedeutung sind, unter außergewöhnlichen und präzisen Bedingungen sammeln, verwenden und speichern, wie der EGMR im Fall Zakharov bekräftigt hat. Gezielte Überwachungsmaßnahmen verfolgen potenzielle Terroristen, während die Massenüberwachung jeden zum Verdächtigen macht. Darüber hinaus will der Terrorismus Menschen glauben machen, dass sie sich zwischen Freiheit und Sicherheit entscheiden müssen, aber Europa muss Maßnahmen ergreifen, die wirksam sind und den Menschenrechten und der Rechtsstaatlichkeit entsprechen.3​ Die Europäische Union​ US-Recht​ Gemäß Art. Ziel der Europäischen Union ist gemäß Art. 3 Abs. 2 des Vertrags über die Europäische Union (EUV), ihren Bürgerinnen und Bürgern einen Raum der Freiheit, der Sicherheit und des Rechts (RFSR) ohne Binnengrenzen zu gewährleisten. Dieses Ziel wird gesondert und vor dem Ziel der Schaffung eines Binnenmarktes (Art. 3 Abs. 3 EUV) festgelegt, was die Bedeutung des RFSR im Integrationsprozess.1 Ein RFSR benötigt einen angemessenen Datenschutz, insbesondere im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen. Der Schutz der EU-Bürger umfasst somit den Schutz der personenbezogenen Daten der Bürger. Das Primärrecht der EU bietet einen dreifachen Schutz personenbezogener Daten. Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) schreibt das Recht auf Schutz personenbezogener Daten vor. Art. 8 Abs. 1 GRC ist nahezu identisch mit Art. 16 (1) AEUV und beinhaltet auch das Recht auf Schutz personenbezogener Daten. Artikel 39 EUV regelt den Datenschutz im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU.1 Bis zum Inkrafttreten des Vertrags von Lissabon sah das Recht der EU kein ausdrückliches Recht auf Schutz personenbezogener Daten vor.2 Bemerkenswert ist, dass Art. 7 GRC legt das Recht auf Privatsphäre fest, das das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation umfasst. Allerdings ist im Rahmen des Schutzes personenbezogener Daten Art. 8 GRCh ist eine lex specialis zu Art. 7 CFREU. Im Vertrag über die Europäische Gemeinschaft (EGV), dem Vorgänger des AEUV, ist Art. 286 (1) EGV verpflichtet Organe der EU, den Datenschutzstandard der Datenschutzrichtlinie 95/46/EG einzuhalten. Doch im Gegensatz zu Art. 16 (1) AEUV, Art. 286 (1) EGV enthielt kein Recht auf Schutz personenbezogener Daten. Auffallend ist, dass der AEUV ausdrücklich das Recht auf Schutz personenbezogener Daten festschreibt, da andere Grundrechte und Grundfreiheiten in der GRC enthalten sind, nicht aber der AEUV oder der EUV. Dies unterstreicht die wachsende Bedeutung des Rechts auf Schutz personenbezogener Daten innerhalb der EU. Jedoch Kunst. 16 AEUV umfasst auch den eher wirtschaftlichen Aspekt des freien Datenverkehrs und kann als Rechtsgrundlage für Sekundärrecht herangezogen werden. Gemäß Art. Gemäß Art. 16 Abs. 2 AEUV legt das Europäische Parlament (EP) gemeinsam mit dem Rat der EU (Rat) Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und Vorschriften zum freien Verkehr personenbezogener Daten fest. Verpflichtete, die den Schutz der Persönlichkeitsrechte gewährleisten müssen, sind die Organe, Einrichtungen, Ämter und Agenturen der EU. Auch die Mitgliedstaaten der EU müssen den Schutz personenbezogener Daten sicherstellen, jedoch nur, wenn sie Tätigkeiten im Geltungsbereich der EU ausüben. Gemäß Art. Gemäß Art. 16 Abs. 2 AEUV müssen unabhängige Behörden die vom EP und vom Rat festgelegten Regeln durchsetzen. Der Begriff unabhängige Behörden bezieht sich auf den europäischen Datenschutzbeauftragten42, Herrn Giovanni Buttarelli; Datenschutzbeauftragte der Organe und Einrichtungen der EU1 2 3; sowie nationale Datenschutzbeauftragte44,45. Die EU und ihre Mitgliedstaaten teilen sich die Zuständigkeiten im RFSR gemäß Art. 4 (2) (j) AEUV. Jedoch Kunst. 72 AEUV legt fest, dass Tätigkeiten innerhalb des RFSR die Verantwortung der EU-Mitgliedstaaten für die Aufrechterhaltung von Recht und Ordnung und die Wahrung der inneren Sicherheit innerhalb ihrer Grenzen unberührt lassen. Dies bedeutet, dass die Mitgliedstaaten der Union die alleinigen Verteidiger ihrer nationalen Sicherheit bleiben, obwohl sie im RFSR die Zuständigkeiten mit der EU geteilt haben.1 Daher fallen nationale Überwachungsmaßnahmen, die darauf abzielen, die innere Sicherheit eines Landes zu gewährleisten, in die Zuständigkeiten der Mitgliedstaaten und nicht der EU. Artikel 276 AEUV ergänzt Art. 72 AEUV, soweit er vorschreibt, dass der Gerichtshof der Europäischen Union (EuGH) für Klagen der Mitgliedstaaten, die auf die Aufrechterhaltung der öffentlichen Ordnung abzielen, nicht zuständig ist.1 Im RFSR verfügt die EU über spezifische Zuständigkeiten auf diesem Gebiet der Sicherheit aufgrund der sich überschneidenden Begriffe „nationale Sicherheit“, „innere Sicherheit“, „innere Sicherheit der EU“ und „internationale Sicherheit“2. Menschenrechte können diese Kompetenzen jedoch beeinflussen.​ Erhebung und Austausch von Daten in der EU und zwischen der EU und Drittstaaten​ Die EU-PNR-Richtlinie​ Im Dezember 2015 haben das Europäische Parlament und der Rat die Richtlinie 2016/681 über die Verwendung von Fluggastdatensätzen (PNR) zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Straftaten und schweren Straftaten (EU-PNR-Richtlinie) ausgehandelt. Gemäß Art. 1 (a) und (b) der Richtlinie müssen Luftfahrtunternehmen PNR-Daten von Fluggästen, die von außerhalb der Union in die EU fliegen, an EU-Mitgliedstaaten übermitteln. Die Daten werden dann von und zwischen den Mitgliedstaaten erhoben, verwendet, gespeichert und ausgetauscht. Die Mitgliedstaaten können die PNR-Richtlinie gemäß Art. 2 (1) der EU-PNR-Richtlinie. Die erhobenen Daten werden nach 6 Monaten durch Ausmaskierung entpersonalisiert.1 Der Zugriff auf vollständige PNR-Daten, die die zur Identifizierung der betreffenden Person führt, wird nur unter strengen und begrenzten Bedingungen gewährt.1 Gemäß der Richtlinie müssen die Mitgliedstaaten PNR-Zentralstellen (PIUs) einrichten, um die Erhebung, Speicherung und Verarbeitung von PNR-Daten zu verwalten.2 Die Richtlinie wurde 2011 von der Kommission vorgeschlagen.1 Das EP lehnte den ursprünglichen Vorschlag der Kommission jedoch ab, weil er mit Grundrechten kollidierte.2 Nach den Anschlägen von Paris und Kopenhagen im Jahr 2015 wurden die Verhandlungen über eine EU-PNR-Richtlinie im Jahr 2015 wieder aufgenommen Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE-Ausschuss) des Parlaments im Juli 2015. Am 14. April 2016 billigte das EP die Richtlinie mit 461 Stimmen bei 179 Gegenstimmen und neun Enthaltungen. Der Text der Richtlinie wurde am 21. April 2016 vom Rat gebilligt.3 Die unterschiedslose Anwendung der EU-PNR-Richtlinie auf alle Flugpassagiere könnte einen unverhältnismäßigen Eingriff in das Recht auf Datenschutz und das Recht auf Privatsphäre darstellen.1 Darüber hinaus ist fraglich, ob ein direkter Zusammenhang zwischen den erhobenen und verwendeten PNR-Daten besteht die Verhütung, Aufdeckung, Untersuchung und Verfolgung von terroristischen Handlungen und schweren Straftaten, da die Richtlinie für alle Personen auf Flügen außerhalb und innerhalb der EU gilt oder gelten könnte.2​ Die PNR-Abkommen der EU mit den USA und Kanada​ Mit anderen Ländern wie den USA und Kanada hat die EU PNR-Abkommen geschlossen. Das PNR-Abkommen mit den USA wurde im Dezember 2011 geschlossen und trat im Juli 2012 in Kraft.57 Nach dem 11. September brauchten die USA Luft Fluggesellschaften PNR-Daten an das US-Heimatschutzministerium und die US-Zoll- und Grenzschutzbehörde weitergeben, um Personen zu überprüfen, die in die USA reisen. Diese Daten wurden verwendet, um terroristische Handlungen und andere grenzüberschreitende Verbrechen zu verhindern, aufzudecken, zu untersuchen und zu verfolgen. Da die USA auch Daten von europäischen Bürgern erhalten hatten, wurde ein Abkommen ausgehandelt, das die Übermittlung von PNR-Daten von europäischen Bürgern in die USA regelt. Das PNR-Abkommen zwischen der EU und den USA sieht vor, dass PNR-Daten aller Personen, die zwischen der EU und den USA reisen, an das US-Heimatschutzministerium übermittelt werden.1 Die Verarbeitung der PNR-Daten ist auf den Zweck der Bekämpfung von Terrorismus und anderen damit zusammenhängenden Straftaten beschränkt.2 Die USA können die Daten bis zu 5 Jahre aufbewahren, und der Zugriff auf die Datenbank ist auf eine begrenzte Anzahl von Beamten beschränkt.3 Das Abkommen sieht nach US-Recht administrative und gerichtliche Rechtsbehelfe für Personen vor, deren Daten angeblich entgegen dem Abkommen verwendet wurden. 4 Das erste Abkommen über PNR-Daten zwischen den USA und der Europäischen Gemeinschaft (EG) wurde 20045 geschlossen und 2006 vom EuGH aufgrund einer falschen Rechtsgrundlage niedergeschlagen.6 Das PNR-Abkommen mit den USA fiel nicht in den Anwendungsbereich des ersten Säule. Daher hatte die EG keine Kompetenz zum Abschluss des Abkommens.7 Das EP kritisierte das EU-US-PNR-Abkommen aus dem Jahr 2007 wegen der Aufbewahrungsfrist, unzureichender Rechtsbehelfe und fehlender Schutzmaßnahmen gegen Missbrauch heftig. Weitere Verhandlungen führten zum EU-US-PNR-Abkommen von 2012, dem das EP zustimmte. Am 25. Juni 2014 unterzeichneten die EU und Kanada ihr Abkommen über die Übermittlung von PNR-Daten an kanadische Behörden.8 Das Abkommen wurde geschlossen, um terroristische Straftaten oder andere schwere grenzüberschreitende Straftaten zu verhindern und zu bekämpfen.9 Das Abkommen ist nicht zustande gekommen noch in Kraft, da das EP den EuGH um Stellungnahme ersucht hat (gemäß Art. 218 (11) AEUV) zum Abkommen, insbesondere im Hinblick auf seine Vereinbarkeit mit Art. 16 AEUV und Art. 7 und Kunst. 8 CFREU. Am 8. September 2016 hat der Generalanwalt des EuGH seine Stellungnahme zum PNR-Abkommen EU-Kanada abgegeben, in der er feststellt, dass das Abkommen noch nicht mit Art. 16 AEUV und Art. 7 und 8 CFREU. Nach Ansicht des Generalanwalts müssen mehrere Änderungen vorgenommen werden. Beispielsweise sollten Straftaten, die unter die Definition schwerer grenzüberschreitender Straftaten fallen, erschöpfend definiert werden, und es sollte genau angegeben werden, warum es objektiv erforderlich ist, alle PNR-Daten für höchstens fünf Jahre aufzubewahren. 10
​ Die EU-Richtlinie zur Vorratsdatenspeicherung​ Am 8. April 2014 hat die Große Kammer des EuGH die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten, die im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden (EU-Richtlinie zur Vorratsdatenspeicherung) für ungültig erklärt.1 Die Richtlinie zur Vorratsdatenspeicherung wurde vom EP und vom Rat im November 2006 nach dem Bombenanschlag auf den Zug in Madrid im Jahr 2004 und den Bombenanschlag auf öffentliche Verkehrsmittel in London im Jahr 2006 verabschiedet. Ziel der Richtlinie war die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten zur Vorratsspeicherung von Daten, die von Anbietern elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden. Anbieter wurden verpflichtet, Daten (z. B. Verkehrs- und Standortdaten) zur Identifizierung von Nutzern aufzubewahren. Diese Daten wurden zur Verhütung, Ermittlung, Aufdeckung und Verfolgung schwerer Straftaten wie Terrorismus und organisierter Kriminalität verwendet. Die Richtlinie sah keine Beibehaltung des Inhalts der Kommunikation vor. Die Beschwerde gegen die Richtlinie zur Vorratsdatenspeicherung wurde vom High Court of Ireland und dem Verfassungsgerichtshof von Österreich nach dem Vorabentscheidungsverfahren nach Art. 267 AEUV. In Irland kam es zwischen dem irischen Unternehmen Digital Rights und irischen Behörden zu einem Streit über nationale Maßnahmen, die die Aufbewahrung von Daten aus elektronischer Kommunikation forderten. In Österreich herrschte Uneinigkeit über die Umsetzung der Richtlinie in nationales Recht. Im Mittelpunkt stand die Frage, ob die Richtlinie zur Vorratsdatenspeicherung mit EU-Recht, insbesondere Art. 7 und Kunst. 8 CFREU. Nach Ansicht des Gerichtshofs hat die Richtlinie die Verhältnismäßigkeitsprüfung im Hinblick auf Art. 7 und Kunst. 8 CFREU, da er alle Personen, elektronische Kommunikations- und Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahmen abdeckte.1 Die Richtlinie sah keinerlei Garantie dafür vor, dass die Daten nur von Behörden verarbeitet und ausschließlich zu Präventionszwecken verwendet werden , Aufdeckung oder strafrechtliche Verfolgung schwerer Straftaten. Darüber hinaus fehlte der Richtlinie eine Definition des Begriffs „schwere Kriminalität“ und erforderte keine vorherige Überprüfung durch Gerichte oder andere Institutionen.2 Die Datenaufbewahrungsfrist reichte von 6 bis 24 Monaten, und es war unklar, unter welchen Umständen Daten aufbewahrt werden sollten und wie lange.1 Außerdem wurde nicht zwischen Datenkategorien in Bezug auf die Zielsetzung unterschieden. Die Richtlinie bot keinen ausreichenden Schutz vor Missbrauch, da das Sicherheitsniveau von der wirtschaftlichen Lage des jeweiligen Anbieters abhing. Es gab keine Bestimmung, die die irreversible Vernichtung von Daten am Ende der Aufbewahrungsfrist sicherstellte. Darüber hinaus blieb unklar, wo die Daten gespeichert wurden.2 Daher entschied der EuGH, dass die Richtlinie ungerechtfertigt in Art. 7 und Kunst. 8 CFREU.3​ Die Datenschutzreform​ Im Jahr 2012 initiierte die Kommission Rechtsvorschriften, um die Datenschutzrichtlinie 95/46/EG zu ersetzen. Die Richtlinie von 1995 legte Bestimmungen zum Schutz der Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr fest. Die Datenschutzreform umfasst die Datenschutz-Grundverordnung 2016/6791 und die Richtlinie zur Strafverfolgung 2016/680.2 Letztere bietet Schutz für Personen, deren Daten von zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten verarbeitet werden bzw die Vollstreckung strafrechtlicher Sanktionen sowie den freien Datenverkehr. Das EP hat der Datenschutzreform am 14. April 2016 zugestimmt. Die Verordnung 2016/679 enthält Bestimmungen zum Recht auf Vergessenwerden und eine aktive Zustimmung zur Verarbeitung personenbezogener Daten durch die betroffene Person.1 Darüber hinaus richtet die Datenschutzverordnung einen Europäischen Datenschutzausschuss (den Ausschuss) in Art. 68, der sich aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats sowie dem Europäischen Datenschutzbeauftragten zusammensetzt. Die zentrale Aufgabe des Ausschusses besteht darin, eine einheitliche Anwendung der Verordnung sowie der Polizeirichtlinie zu gewährleisten.2 Die Richtlinie 2016/680 legt europäische Standards für den Informationsaustausch zwischen Durchsetzungsbehörden fest, um Gefahren für die öffentliche Sicherheit abzuwenden und gleichzeitig die Grundrechte zu wahren. Die Richtlinie fördert die Harmonisierung nationaler Rechtsvorschriften für eine effektivere Zusammenarbeit zwischen Strafverfolgungsbehörden und für einen effizienteren Datenaustausch zwischen den Mitgliedstaaten. Ziel der Richtlinie ist es, die Anwendung unterschiedlicher Vorschriften auf der Grundlage der Datenherkunft zu unterbinden. Wie in Art. 2 (b) der Richtlinie darf ein Datenaustausch nicht aus Gründen des Schutzes personenbezogener Daten einer Person eingeschränkt oder verboten werden. Darüber hinaus regelt sie den Datenaustausch mit Nicht-EU-Staaten oder internationalen Organisationen.1 Die Richtlinie leistet einen Beitrag zur Entwicklung eines Raums der Freiheit, der Sicherheit und des Rechts gem. 3 (1) EUV. Sie gilt nicht für europäische Agenturen, aber für die gesamte Datenverarbeitung durch nationale Behörden. Die Verordnung trat 20 Tage nach ihrer Veröffentlichung im Amtsblatt, am 24. Mai 2016, in Kraft und gilt für die EU-Mitgliedstaaten ab dem 25. Mai 2018. Die Richtlinie trat am 5. Mai 2016 in Kraft, und die Mitgliedstaaten werden zwei haben Jahren (5. Mai 2018), um seine Bestimmungen in innerstaatliches Recht umzusetzen.​ Das SWIFT-Abkommen zwischen der EU und den USA​ Im Jahr 2010 wurde das EU-US-Abkommen über die Verarbeitung und Übermittlung von Zahlungsverkehrsdaten aus der EU in die USA für Zwecke des Terrorist Finance Tracking Program (TFTP-Abkommen/SWIFT-Abkommen) geschlossen und ist im August 2010 in Kraft getreten.1 Dieses Abkommen zwischen der EU und den USA entstand nach dem 11. September, als das US-Finanzministerium und die CIA heimlich personenbezogene Daten von EU-Bürgern von der in Belgien ansässigen Society for Worldwide Interbank Financial Telecommunications (SWIFT) erhielten. Die USA nutzten die Daten, um Quellen der Terrorfinanzierung aufzudecken. Das EU-USA-SWIFT-Abkommen wurde abgeschlossen, um die Übermittlung personenbezogener Daten von EU-Bürgern in die USA zu regeln. Gemäß Art. 4 des TFTP-Abkommens unterliegt der Antrag des US-Finanzministeriums auf bestimmte SWIFT-Daten aus der EU der Genehmigung durch Europol. Außerdem Art. 11 des TFTP-Abkommens sieht Rechtsbehelfsmaßnahmen für EU-Bürger in den USA vor. Die Kommission prüfte im November 2013 die Machbarkeit eines eigenen EU-TFTP-Programms, um die Übermittlung von „Massendaten“ zu stoppen und nur gezielt Daten in die USA zu liefern.1 Die Kommission kam zu dem Schluss, dass ein Vorschlag für ein EU-TFP dies nicht ist zu diesem Zeitpunkt aus mehreren Gründen, wie z EP-Mitglieder haben EUROPOL dafür kritisiert, dass es den Anträgen der USA zu bereitwillig zustimmt.4​ Die Entschließung und die Folgeentschließung des Europäischen Parlaments zu Überwachungsprogrammen​ Am 12. März 2014 verabschiedete das EP eine Entschließung zum „Überwachungsprogramm der US-amerikanischen NSA, Überwachungsorgane in verschiedenen Mitgliedstaaten und deren Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres“.1 Die Entschließung wurde anschließend angenommen die Offenlegung mutmaßlicher Überwachungsaktivitäten der NSA und Geheimdienste einiger EU-Mitgliedstaaten an ausländischen Staatsbürgern. In der Entschließung betonte das EP, dass das Vertrauen zwischen den USA und der EU seit der Enthüllung, dass die Geheimdienste der USA und einiger Mitgliedstaaten in einem beispiellosen Ausmaß personenbezogene Daten aller Bürger auf der ganzen Welt sammeln, speichern und analysieren, zutiefst erschüttert wurde. Das EP vertrat den Standpunkt, dass ungezielte, geheime und illegale Massenüberwachungsprogramme niemals eine Rechtfertigung für den Kampf gegen den Terrorismus sein können, da sie mit den Grundsätzen der Notwendigkeit und der Verhältnismäßigkeit nicht vereinbar sind.2 Auf dieser Grundlage forderte das EP die Mitgliedstaaten auf, ihrer positiven Verpflichtung nach der EMRK nachzukommen, ihre Bürger vor Massenüberwachung durch ihre eigenen Nachrichtendienste oder durch Agenten von Drittstaaten zu schützen.1 Außerdem forderte das EP die Kommission auf, eine Prüfung durchzuführen über ein europäisches Programm zum Schutz von Hinweisgebern.2 In diesem Zusammenhang hat das EP „Ein europäisches digitales Habeas Corpus – Schutz der Grundrechte im digitalen Zeitalter“ mit acht Aktionsschritten und einem Zeitplan zur Überwachung der Umsetzung auf den Weg gebracht.3 Am 29. Oktober 2015 verabschiedete das EP eine Folgeentschließung zur Entschließung des EP vom 12. März 2014 zur elektronischen Massenüberwachung von EU-Bürgern.1 Auf der positiven Seite begrüßte das EP die Entscheidung des EuGH, die Richtlinie 2006/24/EG zu erklären on Telecommunication Data Retention ungültig. Gemäß dem EP führte die Richtlinie zur Vorratsdatenspeicherung zu schwerwiegenden Eingriffen in das Recht auf Privatleben und den Schutz personenbezogener Daten, die in der CFREU verankert sind.2 Darüber hinaus begrüßte das EP, dass der EuGH die Angemessenheitsentscheidung 2000/520/EG der Kommission über die Safe-Harbor-Regelung für ungültig erklärte, da dieses Instrument kein angemessenes Schutzniveau vorsah.1 Das Parlament forderte die Mitgliedstaaten ausdrücklich auf, alle Strafanzeigen gegen Edward fallen zu lassen Snowden und ihm Schutz in Anerkennung seines Status als internationaler Menschenrechtsverteidiger zu gewähren.2 Auf der negativen Seite erklärte das Parlament, es sei sehr enttäuscht über den allgemeinen Mangel an Dringlichkeit und Bereitschaft der meisten EU-Mitgliedstaaten und EU-Institutionen, sich ernsthaft mit dem Thema Massenüberwachung zu befassen.1 Das EP betonte, dass es über einige besorgt sei neuere Gesetze, die die Möglichkeiten der geheimen Überwachung erweitert haben. Beispielsweise wurde in Frankreich im Juni 2015 als Reaktion auf die Anschläge auf Charlie Hebdo ein neues weitreichendes Geheimdienstgesetz verabschiedet.2 Darüber hinaus betrachtete das EP die Reaktion der Kommission auf die Entschließung von 2014 angesichts des Ausmaßes der Enthüllungen als äußerst unzureichend. Das EP bedauerte, dass die Kommission keine Prüfung eines potenziellen Whistleblower-Schutzprogramms eingeleitet hat. Das Parlament warnte vor einer Abwärtsspirale für das Grundrecht auf Privatsphäre, wenn jede Information über menschliches Verhalten als potenziell nützlich für die Bekämpfung künftiger Verbrechen angesehen wird.1 Zusammenfassend zeigen diese Entschließungen des EP, dass das Parlament ein entschlossener Verfechter eines stärkeren Schutzes personenbezogener Daten und einer Stärkung des Rechts auf Privatsphäre angesichts der jüngsten Enthüllungen über Massenüberwachungsmaßnahmen gegen ausländische Bürger ist. Auf der anderen Seite scheinen die Kommission sowie einige EU-Mitgliedstaaten bei der Einführung und Durchsetzung strengerer Vorschriften für Überwachungsmaßnahmen im Rückstand zu sein.​ Deutsches Überwachungsgesetz​ In Deutschland sind Strafverfolgungsbehörden wie das Bundeskriminalamt (BKA) berechtigt, Überwachungsmaßnahmen nach nationalem Recht anzuwenden. Der Staat bleibt für die Sicherheit seiner Bürger und die Gewährleistung der Grundrechte im Grundgesetz verantwortlich. Das Bundesverfassungsgericht hat am 20. April 2016 sein Urteil zu Regelungen des BKA-Gesetzes (BKAG) gefällt, die es Behörden des BKA ermöglichen, geheime Überwachungsmaßnahmen in der Terrorismusbekämpfung einzusetzen.1 Das Bundesverfassungsgericht hat entschieden, dass einige Regelungen des BKAG nicht in Übereinstimmung mit dem GG. Bestimmungen des BKAG wie Art. 20 (h) (heimliche Überwachungsmaßnahmen zu Hause) sind teilweise zu unspezifisch und weit gefasst und verstoßen gegen den Grundsatz der Verhältnismäßigkeit.2 Polizeiliche Befugnisse sind nach Auffassung des Gerichtshofs an übergeordnete Anforderungen zu stellen, da sie schwerwiegende Eingriffe in das Recht auf Privatleben darstellen. Beispielsweise sollten präventive polizeiliche Maßnahmen, die lebenswichtige Schutzgüter (z. B. Unverletzlichkeit der Wohnung) verletzen würden, nur dann eingesetzt werden, wenn tatsächliche Anhaltspunkte für eine immanente konkrete Gefahr vorliegen oder wenn das Verhalten eines Einzelnen zu einer konkreten Wahrscheinlichkeit einer Straftat führt in absehbarer Zeit.1 Das BKA hat mit einer Spezialsoftware (Bundestrojaner) unter strengen Auflagen heimlich Daten von Computern und Laptops für kriminalpolizeiliche Ermittlungen gesammelt. Nun will das BKA den Bundestrojaner auch auf Handys und Tablets einsetzen.1 Gemeinsam mit dem Bundesamt für Verfassungsschutz (BfV) und dem Bundesnachrichtendienst (BND) nutzt das BKA eine gemeinsame Datenbank zum islamistischen Terrorismus in der Kampf gegen den Terrorismus.2​ Der Kampf gegen den Terrorismus​ Die EU und der Kampf gegen den Terrorismus​ Die Mitgliedstaaten der EU tauschen wertvolle Informationen und personenbezogene Daten über gemeinsame Datenbanken wie das Schengener Informationssystem (SIS)1 und das Visa-Informationssystem (VIS)2 aus. Das SIS ermöglicht zuständigen Behörden der Schengen-Staaten wie dem BKA in Deutschland und assoziierten Ländern zur Erfassung und Gewinnung von Informationen über gesuchte oder vermisste Personen oder Gegenstände. Das zentrale Ziel des SIS ist die Wahrung der inneren Sicherheit aufgrund des Fehlens von Kontrollen an den Binnengrenzen. Das VIS ermöglicht den Schengen-Staaten den Austausch von Visadaten (z. B. Fingerscans) zur Kontrolle der EU-Außengrenzen. Der Vertrag von Prüm bietet eine weitere Datenbank, die EU-Mitgliedstaaten nutzen können, um Daten wie DNA-Profile, Fingerabdrücke und Fahrzeugregisterdaten auszutauschen. Der Vertrag wurde außerhalb des EU-Rahmens zwischen Deutschland, den Niederlanden, Luxemburg, Belgien und Österreich im Jahr 2005 geschlossen, zentrale Teile des Vertrags über die polizeiliche und justizielle Zusammenarbeit in Strafsachen wurden jedoch im Jahr 2008 in den Besitzstand der EU übernommen (Prüm-Beschluss). 1 Das Europäische Polizeiamt (Europol) wurde 2009 vom Rat der EU eingerichtet.1 Sein Ziel ist es, die nationalen Strafverfolgungsbehörden bei der Bekämpfung des Terrorismus und anderer damit zusammenhängender internationaler Verbrechen zu unterstützen, indem es Informationen und Erkenntnisse sammelt, speichert, verarbeitet, analysiert und austauscht . Europol übermittelt den zuständigen Behörden der EU-Mitgliedstaaten wie dem BKA landesspezifische Informationen und hilft den Mitgliedstaaten, indem es ihnen alle notwendigen Informationen zur Aufklärung von Völkerrechtsverbrechen zur Verfügung stellt. Ein weiteres System, das als Plattform für den Informationsaustausch dient, ist Eurodac. Eurodac wurde ursprünglich vom Rat für den Vergleich von Fingerabdrücken zwischen Mitgliedstaaten für eine effektive Anwendung des Dubliner Übereinkommens im Jahr 2000 eingerichtet.1 Am 26. Juni 2013 wurde eine neue Version von Eurodac ins Leben gerufen.2 Die neue Version von Eurodac ermöglicht Strafverfolgungsbehörden Mitgliedstaaten sowie Europol Zugang zu Fingerabdruckdaten erhalten, die von Eurodac zur Bekämpfung terroristischer Straftaten und anderer schwerer Straftaten erhoben wurden. Der Austausch personenbezogener Daten zwischen nationalen Strafverfolgungsbehörden sowie internationalen Stellen wie Europol hilft bei der Identifizierung von Personen, die (angeblich) an terroristischen Aktivitäten oder anderen schweren Straftaten beteiligt sind. Um die innere Sicherheit zu gewährleisten, können Eingriffe in Menschenrechte wie das Recht auf Privatsphäre legitim sein. In diesem Zusammenhang stellt sich die Frage, ob Vorschriften zum Datenschutz und zum Recht auf Privatsphäre die Terrorismusbekämpfung behindern. Dies kann verneint werden. Um Terrorismus und andere internationale Verbrechen wirksam bekämpfen zu können, müssen Rechtsvorschriften, die den Datenaustausch ermöglichen, präzise und zielgerichtet sein. Auf diese Weise werden Verdächtige ins Visier genommen und nicht alle. Wie beispielsweise im Fall von Eurodac zu sehen ist, wirken sich terroristische Aktivitäten und andere schwere Verbrechen auf das Sicherheitsrecht und das Rechtssystem im Allgemeinen aus. Im Gegensatz zur alten Eurodac-Version erlaubt das neue Eurodac-System die Verwendung von Fingerabdruckdaten nicht nur zur Überwachung der (illegalen) Migration, sondern auch zum Zwecke der Prävention und Aufklärung schwerer Straftaten. Es ist von größter Bedeutung, dass Maßnahmen zur Bekämpfung schwerer Straftaten die Grundrechte nicht vollständig untergraben. Um die innere Sicherheit zu gewährleisten, müssen Maßnahmen der Strafverfolgungsbehörden verhältnismäßig sein. Daher müssen Sicherheitsmaßnahmen geeignet sein (führen die Sicherheitsmaßnahmen zum Ziel der nationalen Sicherheit oder tragen dazu bei?), notwendig (gibt es weniger einschneidende Sicherheitsmaßnahmen, um das Ziel der inneren Sicherheit zu erreichen?) und angemessen (sind die Vor- und Nachteile der Sicherheitsmaßnahmen in einem vernünftigen Verhältnis zueinander?).​ Der internationale Kampf gegen den Terrorismus​ Es gibt mehrere internationale Akteure, die am Kampf gegen den Terrorismus beteiligt sind, indem sie Geheimdienstinformationen und personenbezogene Daten austauschen. Interpol ist eine zwischenstaatliche Organisation, die die polizeiliche Zusammenarbeit im Kampf gegen Terrorismus und andere Verbrechen unterstützt, indem sie Informationen über fast 20 Datenbanken austauscht. Die forensische Datenbank ermöglicht es den Mitgliedstaaten beispielsweise, Fingerabdrücke und DNA-Profile abzugleichen. 2006 veröffentlichte die UNGA die UN Global Counter-Terrorism Strategy.1 Die Strategie, die einen gemeinsamen Ansatz aller UN-Mitgliedstaaten zur Terrorismusbekämpfung festschreibt, sieht die Entwicklung einer Datenbank zu biologischen Vorfällen vor. Die NATO unterstützt die militärische Zusammenarbeit im Kampf gegen Terrorismus und Cyberkriminalität durch den Austausch von Erkenntnissen und Informationen mit ihren Mitgliedstaaten. Die OSZE ist eine zwischenstaatliche Organisation für Sicherheit in Europa, einschließlich Polizeieinsätzen. Die Organisation dient als Plattform für die Zusammenarbeit zwischen den Mitgliedstaaten sowie für den Informations- und Erfahrungsaustausch.​ Ansatz der Differenzierung​ Die Durchführung geheimer Überwachungsmaßnahmen und der Austausch personenbezogener Daten zwischen (inter)nationalen Strafverfolgungsbehörden, Nachrichtendiensten, privaten Akteuren und internationalen Organisationen sind unverzichtbare Maßnahmen zur Verhütung und Bekämpfung internationaler Verbrechen und zur Gewährleistung der nationalen Sicherheit. Da solche Maßnahmen zwangsläufig in international anerkannte grundlegende Menschenrechte, das Recht auf Privatsphäre sowie den Schutz personenbezogener Daten eingreifen, müssen Überwachungsmaßnahmen und der Austausch personenbezogener Daten innerhalb strenger gesetzlicher Grenzen erfolgen. In demokratischen Rechtsstaaten kann nationale Sicherheit nicht durch eine großangelegte Grundrechtsverletzung erreicht werden. Daher muss ein Gleichgewicht zwischen Sicherheitsmaßnahmen einerseits und Grundrechten andererseits hergestellt werden. Der EGMR, der EuGH und das Bundesverfassungsgericht haben Bedingungen festgelegt, die einen übergeordneten Rechtsrahmen darstellen, innerhalb dessen geheime Überwachungsmaßnahmen eingesetzt und der Austausch personenbezogener Daten stattfinden kann. Die Urteile der drei Gerichte haben gezeigt, dass die Rechtfertigungsgründe für den Einsatz von Sicherheitsmaßnahmen stark sein müssen. Der Einsatz von Sicherheitsmaßnahmen kann nur bei schweren Straftaten wie organisierter Kriminalität, Terrorismus und anderen schweren Gesetzesverstößen gerechtfertigt sein. Geheime Überwachungsmaßnahmen, die zwangsläufig in besonders geschützte Interessen wie die Unverletzlichkeit der Wohnung eingreifen, sind bei gewöhnlichen Straftaten nicht zu rechtfertigen. Das gleiche Prinzip gilt für die Übermittlung personenbezogener Daten, die durch geheime Überwachungsmaßnahmen erhoben wurden. Es müssen triftige Gründe vorliegen, die den Austausch solcher Daten rechtfertigen. Alle drei Gerichte fordern, dass Sicherheitsmaßnahmen und der Austausch personenbezogener Daten auf das unbedingt Notwendige beschränkt bleiben und der Grundsatz der Verhältnismäßigkeit gewahrt bleibt. Diese übergeordneten Kriterien sollen eine gezielte Überwachung und einen gezielten Austausch personenbezogener Daten im Gegensatz zu einer Massenüberwachung und einer Massenübermittlung von Daten gewährleisten. Ein zentrales Problem der Massenüberwachung und des Massendatenaustauschs ist, dass Personen betroffen sind, die nicht an schweren Straftaten beteiligt sind. Daher können unschuldige Personen unter Generalverdacht gestellt werden. Insbesondere fordern der EGMR, der EuGH und das Bundesverfassungsgericht, dass Rechtsvorschriften, die Sicherheitsmaßnahmen und die Übermittlung personenbezogener Daten zulassen, präzise und zielgerichtet im Hinblick auf die Maßnahmen, die betroffenen Personen, die zuständigen Behörden und die zu verhindernde oder zu untersuchende Straftat sind. Es muss klare und präzise Kriterien geben, unter welchen Umständen eine Sicherheitsmaßnahme angewendet oder eingestellt wird. Es muss klar sein, welche Personen betroffen sind und warum. Es muss ein unmittelbarer Zusammenhang zwischen der gegen eine Person verhängten Maßnahme und der konkret zu bekämpfenden Straftat bestehen. Der Grad des Verdachts einer Person entscheidet darüber, ob der Einsatz von Sicherheitsmaßnahmen angemessen ist oder nicht. So reicht es beispielsweise nicht aus, wenn das Verhalten einer Person lediglich darauf hindeutet, dass sie an einer schweren kriminellen Tätigkeit beteiligt ist oder beteiligt sein wird. Es müssen konkrete Anhaltspunkte oder eine konkrete Wahrscheinlichkeit dafür vorliegen, dass die betroffene Person eine schwere Straftat begangen hat oder in absehbarer Zeit eine solche Straftat begehen wird. Die Rechtsvorschriften sollten genau festlegen, welche zuständigen Behörden Überwachungsmaßnahmen ergreifen oder auf personenbezogene Daten zugreifen und diese verwenden können. Es sollte angegeben werden, welche schweren Straftaten verhindert oder untersucht werden sollen, um sicherzustellen, dass die Sicherheitsmaßnahmen oder die personenbezogenen Daten nur für einen bestimmten Zweck verwendet werden. Darüber hinaus fordern die Gerichte Verfahrensvorkehrungen, die gewährleisten sollen, dass der Einsatz von Überwachungsmaßnahmen und der Datenaustausch rechtmäßig und nicht willkürlich erfolgen. Beispielsweise sollte die Anwendung von Sicherheitsmaßnahmen in vielen Fällen der vorherigen Einholung einer gerichtlichen Genehmigung unterliegen. Ebenso sollten personenbezogene Daten nicht ohne vorherige Genehmigung durch eine zuständige Behörde übermittelt werden. Der Kontrollspielraum der Staatsanwaltschaft über den Einsatz von Überwachungsmaßnahmen und den Austausch personenbezogener Daten sollte nicht eingeschränkt werden. Generell sollten geheime Überwachungsmaßnahmen und die Übermittlung personenbezogener Daten einer kontinuierlichen Überprüfung durch einen unabhängigen Kontrollmechanismus unterzogen werden. Darüber hinaus müssen diejenigen, die von Sicherheitsmaßnahmen direkt betroffen sind oder deren Daten verarbeitet wurden, die Möglichkeit haben, einen gerichtlichen Rechtsbehelf einzulegen. Dies hat zur Folge, dass die betroffenen Personen über die gegen sie ergriffenen Maßnahmen informiert werden. Darüber hinaus müssen die Betroffenen die Möglichkeit haben, weitere Informationen einzuholen und die Maßnahme gerichtlich anzufechten. Hier liegt eine der Schwierigkeiten des Gesetzgebers, da er bei der Schaffung der Rechtsgrundlagen für Überwachungsmaßnahmen und den Austausch personenbezogener Daten – zwei Aktivitäten, die geheimnisvoller Natur sind – ein gewisses Maß an Transparenz gewährleisten muss. Die von EGMR, EuGH und Bundesverfassungsgericht geforderten Kriterien verlangen von Gesetzgebern wie auch von Strafverfolgungsbehörden ein differenziertes Vorgehen bei der Schaffung oder Anwendung des Rechts, das den Einsatz von Überwachungsmaßnahmen und die Übermittlung personenbezogener Daten erlaubt. Durch die Einhaltung dieser materiellen und verfahrensrechtlichen Vorkehrungen können Strafverfolgungsbeamte die nationale Sicherheit gewährleisten, ohne Grundrechte zu verletzen. Verweise Boehm F (2015) Ein Vergleich zwischen US- und EU-Datenschutzgesetzgebung für Strafverfolgungszwecke. Generaldirektion Interne Politikbereiche, Fachabteilung C: Bürgerrechte und konstitutionelle Angelegenheiten, bürgerliche Freiheiten, Justiz und Inneres Clough J (2014) Eine Welt voller Unterschiede: die Budapester Konvention zur Cyberkriminalität und die Herausforderungen der Harmonisierung. Monash Univ Law Rev. 40(3):698-736 Faull J, Sorecca L (2008) EU-US-Beziehungen in Justiz und Inneres. In: Martenczuk B., Van Thiel S. (Hrsg.) Justiz, Freiheit, Sicherheit: Neue Herausforderungen für die Außenbeziehungen der EU. Brussels University Press, Brüssel Kingreen T (2016) AEUV Art. 16 (ex-Art. 286 EGV) [Datenschutz]. In: Calliess C, Ruffert M (eds) EUV/AEUV 5. C.H. Beck, München Kugelmann D (2003) Der Schutz privater individueller Kommunikation nach der EMRK, Europaische Grundrechte Zeitschrift, S. 16​ Kugelmann D (2012) In: Streinz R (Hrsg.) EUV/AEUV, Kommentar, 2. Aufl. Munich Lovelace D (2015) Terrorism: commentary on security documents, vol 138. OUP, Oxford Muiznieks N (2015a) Europe is spioning on you. Erhältlich über die New York Times. http://www . nytimes.com/2015/10/28/opinion/europe-is-spying-on-you-masssurveillance.html?_r=1. Abgerufen am 1. Oktober 2016 Muiznieks N. (2015b) Menschenrechte in Europa sollten nicht unter Massenüberwachung einknicken. Verfügbar über Open Democracy. https://www.opendemocracy.net/digit...ope-should-not-buckle-under-mass-surveillance . Abgerufen am 1. Oktober 2016 Rossi M (2016) AEUV Art. 72 [Nationale Zustandigkeiten]. In: Calliess C, Ruffert M (eds) EUV/AEUV 5. C.H. Beck, München Terhechte JP (2016) EUV Art. 3 Ziele der Union. In: Grabitz E, Hilf M, Nettesheim M (eds) Das Recht der Europaischen Union EUV/AEUV 58.EL. C.H. Beck, München Werthebach E (2004) Idealtypische Organisation innerer und außerer Sicherheit. In: Weidenfeld W (ed) Herausforderungen Terrorismus: Die Zukunft der Sicherheit. Verlag für sozialwissenschaften, Wiesbaden​