6. Rechtsschutz
43
Nach der neueren Auslegung der sog. Meroni-Doktrin[13] ist eine Übertragung von Befugnissen auf ausgelagerte Einrichtungen, etwa auf Agenturen, nicht mehr grundsätzlich ausgeschlossen. Gleichwohl muss das delegierende Organ seiner Kontroll- und Überwachungsfunktion in ausreichendem Maße nachkommen und darf die grundsätzliche Entscheidungshoheit nicht aus der Hand geben. Zusätzlich muss gegen die Entscheidungen solcher Einrichtungen jedenfalls ausreichender Rechtsschutz gewährt werden. Beschlüsse unabhängiger Einrichtungen dürften auch weiterhin schlicht als unverbindlich anzusehen sein, wenn sie aufgrund einer unzulässigen Übertragung getroffen wurden. Aufgrund dieser sehr abstrakten Grundsätze blieb die Frage nach einem Individualrechtsschutz gegen Maßnahmen europäischer Agenturen lange unbeantwortet.[14]
44
Grundsätzlich besteht ein Anspruch des Einzelnen auf effektiven Rechtsschutz auch auf Gemeinschaftsebene.[15] Er ergibt sich u.a. ausdrücklich aus Art. 19 Abs. 2 S. 2 EUV, Art. 47 GRC sowie seit dem Beitritt der EU aus Art. 13 EMRK. Dass jede Handlung einer Unionseinrichtung, die dazu bestimmt ist, Rechtswirkungen gegenüber Dritten zu erzeugen, gerichtlich nachprüfbar sein muss, hat das EuG ausdrücklich festgestellt.[16] Grundsätzlich kann eine unmittelbare justizielle Überprüfung der Tätigkeit von Europol jedoch weder durch die europäische noch durch die mitgliedsstaatliche Gerichtsbarkeit erfolgen.[17] Der EuGH hatte bis zum Abschluss des Vertrages von Lissabon lediglich die Auslegungshoheit über das Europol-Übereinkommen,[18] überwacht nun aber gem. Art. 263 Abs. 1 AEUV „die Rechtmäßigkeit der Handlungen der Einrichtungen oder sonstigen Stellen der Union mit Rechtswirkung gegenüber Dritten“. Für den Betroffenen einer Europol-Maßnahme eröffnet Art. 263 Abs. 4 AEUV somit die Möglichkeit einer Individual-Nichtigkeitsklage. Hinzu kommt die Möglichkeit einer Individualbeschwerde gegen Rechtsakte der EU gem. Art. 34 f. EMRK, die aber bislang noch nie im Zusammenhang mit Maßnahmen des Polizeiamtes erhoben wurde. Ein Vorgehen im Wege der Individualbeschwerde kann für einen Betroffenen vorteilhaft sein, da der EGMR nach eigenen Maßstäben entscheidet, wann der Beschwerdeführer als „Opfer“ klagebefugt ist.
45
Allerdings genießen Europol und ihr Personal weitreichende Immunität vor Strafverfolgung durch die Mitgliedstaaten. Grundlage hierfür ist das dem EUV und dem AEUV beigefügte Protokoll Nr. 7,[19] das gem. Art. 63 Abs. 1 Europol-VO auf die Mitarbeiter Anwendung findet. Dieser Grundsatz der absoluten Immunität wird jedoch durchbrochen für Straftaten im Rahmen der Teilnahme von Europol-Personal an gemeinsamen Ermittlungsgruppen, wobei das Recht des jeweiligen Einsatzmitgliedstaats zu gelten hat. Dementsprechend schließt die Verordnung (EG) Nr. 371/2009[20] diejenigen Europol-Bediensteten von den Vorrechten und Befreiungen aus, die an einer gemeinsamen Ermittlungsgruppe mitwirken, um Amtshandlungen vorzunehmen, die zur Wahrnehmung der im Europol-Beschluss aufgeführten Aufgaben erforderlich sind. Insoweit ist der primäre Rechtschutz für Betroffene als gewährleistet anzusehen.
46
Der Sekundärrechtsschutz hingegen erfolgt getrennt nach dem Haftungsgrund. Wird Schadensersatz für fehlerhafte Datenverarbeitung begehrt, hat der Betroffene ein Wahlrecht zwischen der Schadensersatzklage gem. Art. 268, 340 AEUV und einem Vorgehen nach den nationalen Vorschriften des Mitgliedstaats, in dem der Schadensfall eingetreten ist (Art. 50 Europol-VO). Für anderweitig verursachte Schäden haftet Europol nach den allgemeinen Rechtsgrundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind (Art. 49 Europol-VO).
7. Datenschutz
47
Gerade weil Europol nach wie vor primär als datenverarbeitende Zentralstelle dient, stellt der Datenschutz ein Kernproblem dar, denn wegen einer möglichen Beeinträchtigung des Grundrechts auf informationelle Selbstbestimmung müssen auch die datenbezogenen Aktivitäten von Europol gerichtlich kontrollierbar sein.[21] Dementsprechend verfügt Europol über ein strenges Datenschutzregime (Art. 28 ff. Europol-VO).
48
Über die von Europol vorgehaltenen Datenbanken können auch solche personenbezogenen Daten ausgetauscht werden, zu deren Erhebung der Empfänger nach nationalem Recht nicht befugt ist bzw. dort länger als im Ursprungs-Staat erlaubt gespeichert werden. Sobald die Daten den Bereich der Bundesrepublik verlassen haben, sind sie demnach nicht mehr kontrollierbar. Es ist bislang ungeklärt, welche Folgen die Verwendung von Daten hätte, die deutsche Strafverfolgungsbehörden über Europol erhalten, die aber vor deutschen Gerichten einem Verwertungsverbot unterliegen. Sofern eine gesetzliche Ermächtigung für eine Überwachungsmaßnahme besteht, welche den Kernbereich privater Lebensgestaltung berühren kann, muss so weitgehend wie möglich sichergestellt sein, dass Daten mit Kernbereichsbezug nicht erhoben werden. Ist dies aber – etwa bei dem heimlichen Zugriff auf ein informationstechnisches System – praktisch unvermeidbar, muss für hinreichenden Schutz in der Auswertungsphase gesorgt sein.[22] Wurden etwa im Zuge von Überwachungsmaßnahmen kernbereichsrelevante Daten erhoben, sind diese unverzüglich zu löschen und eine Weitergabe oder Verwertung ist auszuschließen.[23] Allerdings ist die Herkunft solcher Daten aus anderen Mitgliedstaaten in der Regel kaum genau nachzuverfolgen.
49
Die Verantwortung für den Datenschutz ist zwischen Europol und den Mitgliedstaaten aufgeteilt.[24] Die Mitgliedstaaten haben die Richtigkeit und die fortlaufende Aktualität der von ihnen übermittelten Daten sowie die Rechtmäßigkeit ihrer Übermittlung sicherzustellen (Art. 29 Europol-VO). Hierfür gelten die jeweiligen nationalen Datenschutzvorschriften, im Falle Deutschlands also insb. das BDSG. Die nationale Kontrollbehörde überwacht auf Grundlage des nationalen Rechts die Zulässigkeit dieser Übermittlungen und Abrufe (Art. 42 Europol-VO). Gem. § 5 Abs. 1 EuropolG nimmt der Bundesdatenschutzbeauftragte diese Funktion wahr. Zudem erhält Europol einen eigenen Datenschutzbeauftragten (Art. 41 Europol-VO), der an die Stelle der früheren gemeinsamen Kontrollinstanz tritt und der Kontrolle des Europäischen Datenschutzbeauftragten unterliegt (Art. 43 Europol-VO).[25]
Anmerkungen
ABlEG Nr. C 316/1 vom 27.11.1995.
Kremer FS Meyer, S. 571, 575.
Ratsdok. 17024/09.
Beschluss 2009/371/JI des Rates vom 6.4.2009 zur Errichtung des Europäischen Polizeiamts (Europol), ABlEU Nr. L 121/37 v. 15.5.2009 (Europol-Beschluss).
Vgl. Satzger § 10 Rn. 3.
So noch gem. Art. 26 Abs. 1 der Europol-Konvention.
VO (EU) 2016/794 vom 11.5.2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI,