Udo Wackernagel - Fiskalstrafrecht

40

Während die Mitgliedstaaten auch einen direkten Zugriff auf die in den Informationssystemen von Europol gespeicherten Daten haben (Art. 20 Abs. 1 Europol-VO), erhalten Eurojust und OLAF lediglich einen indirekten Zugriff nach dem Treffer/Kein-Treffer-Verfahren (Art. 21 Abs. 1 Europol-VO). In Deutschland sind etwa die Bundespolizei, der Zollfahndungsdienst sowie die Landespolizeibehörden befugt, auf die Analysedatenbanken zuzugreifen (§ 3 Abs. 1 EuropolG). Die Übermittlung personenbezogener Daten an Unionseinrichtungen durch Europol ist zulässig, soweit dies für die Erfüllung der Aufgaben von Europol oder der betroffenen Unionseinrichtung erforderlich ist (Art. 24 Europol-VO). Für die Übermittlung an Drittstaaten, internationale Organisationen und private Dateien müssen zusätzliche Voraussetzungen erfüllt sein.

41

In Ermangelung eigener Strafverfolgungsbefugnisse kann Europol die zuständigen Behörden der Mitgliedstaaten lediglich über deren nationale Stelle um die Einleitung strafrechtlicher Ermittlungen über eine unter die Ziele von Europol fallende Straftaten ersuchen (Art. 6 Abs. 1 Europol-VO). Die nationalen Behörden dürfen ein solches Ersuchen grundsätzlich nur unverzüglich und mit Begründung ablehnen (Art. 6 Abs. 3 Europol-VO).

42

Allerdings können Europol-Beamte nach Maßgabe von Art. 5 Europol-VO zusammen mit nationalen Beamten an gemeinsamen Ermittlungsgruppen (vgl. unten unter Rn. 61 ff.) teilnehmen. Nur in dieser Form dürfen sie auf dem Gebiete der Mitgliedstaaten tätig werden, wobei sie dem während derartiger Einsätze dem nationalen Recht des Einsatzmitgliedstaates unterliegen. Sind die Europol-Beamten in eine gemeinsame Ermittlungsgruppe eingebunden, sind ihre Handlungen deshalb der führenden nationalen Strafverfolgungsbehörde zuzurechnen und hinsichtlich ihrer strafrechtlichen Relevanz vor den nationalen Gerichten nachprüfbar.[12] Obwohl sie als Mitglieder gemeinsamer Ermittlungsgruppen operativ arbeiten dürfen, unterliegen die Europol-Beamten auch hier dem grundsätzlichen Verbot, selbst Zwangsmaßnahmen anzuwenden.

43

Nach der neueren Auslegung der sog. Meroni-Doktrin[13] ist eine Übertragung von Befugnissen auf ausgelagerte Einrichtungen, etwa auf Agenturen, nicht mehr grundsätzlich ausgeschlossen. Gleichwohl muss das delegierende Organ seiner Kontroll- und Überwachungsfunktion in ausreichendem Maße nachkommen und darf die grundsätzliche Entscheidungshoheit nicht aus der Hand geben. Zusätzlich muss gegen die Entscheidungen solcher Einrichtungen jedenfalls ausreichender Rechtsschutz gewährt werden. Beschlüsse unabhängiger Einrichtungen dürften auch weiterhin schlicht als unverbindlich anzusehen sein, wenn sie aufgrund einer unzulässigen Übertragung getroffen wurden. Aufgrund dieser sehr abstrakten Grundsätze blieb die Frage nach einem Individualrechtsschutz gegen Maßnahmen europäischer Agenturen lange unbeantwortet.[14]

44

Grundsätzlich besteht ein Anspruch des Einzelnen auf effektiven Rechtsschutz auch auf Gemeinschaftsebene.[15] Er ergibt sich u.a. ausdrücklich aus Art. 19 Abs. 2 S. 2 EUV, Art. 47 GRC sowie seit dem Beitritt der EU aus Art. 13 EMRK. Dass jede Handlung einer Unionseinrichtung, die dazu bestimmt ist, Rechtswirkungen gegenüber Dritten zu erzeugen, gerichtlich nachprüfbar sein muss, hat das EuG ausdrücklich festgestellt.[16] Grundsätzlich kann eine unmittelbare justizielle Überprüfung der Tätigkeit von Europol jedoch weder durch die europäische noch durch die mitgliedsstaatliche Gerichtsbarkeit erfolgen.[17] Der EuGHhatte bis zum Abschluss des Vertrages von Lissabon lediglich die Auslegungshoheit über das Europol-Übereinkommen,[18] überwacht nun aber gem. Art. 263 Abs. 1 AEUV „die Rechtmäßigkeit der Handlungen der Einrichtungen oder sonstigen Stellen der Union mit Rechtswirkung gegenüber Dritten“. Für den Betroffenen einer Europol-Maßnahme eröffnet Art. 263 Abs. 4 AEUV somit die Möglichkeit einer Individual-Nichtigkeitsklage. Hinzu kommt die Möglichkeit einer Individualbeschwerdegegen Rechtsakte der EU gem. Art. 34 f. EMRK, die aber bislang noch nie im Zusammenhang mit Maßnahmen des Polizeiamtes erhoben wurde. Ein Vorgehen im Wege der Individualbeschwerde kann für einen Betroffenen vorteilhaft sein, da der EGMR nach eigenen Maßstäben entscheidet, wann der Beschwerdeführer als „Opfer“ klagebefugt ist.

45

Allerdings genießen Europol und ihr Personal weitreichende Immunität vor Strafverfolgung durch die Mitgliedstaaten. Grundlage hierfür ist das dem EUV und dem AEUV beigefügte Protokoll Nr. 7,[19] das gem. Art. 63 Abs. 1 Europol-VO auf die Mitarbeiter Anwendung findet. Dieser Grundsatz der absoluten Immunität wird jedoch durchbrochen für Straftaten im Rahmen der Teilnahme von Europol-Personal an gemeinsamen Ermittlungsgruppen, wobei das Recht des jeweiligen Einsatzmitgliedstaats zu gelten hat. Dementsprechend schließt die Verordnung (EG) Nr. 371/2009[20] diejenigen Europol-Bediensteten von den Vorrechten und Befreiungen aus, die an einer gemeinsamen Ermittlungsgruppe mitwirken, um Amtshandlungen vorzunehmen, die zur Wahrnehmung der im Europol-Beschluss aufgeführten Aufgaben erforderlich sind. Insoweit ist der primäre Rechtschutz für Betroffene als gewährleistet anzusehen.

46

Der Sekundärrechtsschutzhingegen erfolgt getrennt nach dem Haftungsgrund. Wird Schadensersatz für fehlerhafte Datenverarbeitung begehrt, hat der Betroffene ein Wahlrecht zwischen der Schadensersatzklage gem. Art. 268, 340 AEUV und einem Vorgehen nach den nationalen Vorschriften des Mitgliedstaats, in dem der Schadensfall eingetreten ist (Art. 50 Europol-VO). Für anderweitig verursachte Schäden haftet Europol nach den allgemeinen Rechtsgrundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind (Art. 49 Europol-VO).

47

Gerade weil Europol nach wie vor primär als datenverarbeitende Zentralstelledient, stellt der Datenschutz ein Kernproblem dar, denn wegen einer möglichen Beeinträchtigung des Grundrechts auf informationelle Selbstbestimmung müssen auch die datenbezogenen Aktivitäten von Europol gerichtlich kontrollierbar sein.[21] Dementsprechend verfügt Europol über ein strenges Datenschutzregime (Art. 28 ff. Europol-VO).

48

Über die von Europol vorgehaltenen Datenbanken können auch solche personenbezogenen Daten ausgetauscht werden, zu deren Erhebung der Empfänger nach nationalem Recht nicht befugt ist bzw. dort länger als im Ursprungs-Staat erlaubt gespeichert werden. Sobald die Daten den Bereich der Bundesrepublik verlassen haben, sind sie demnach nicht mehr kontrollierbar. Es ist bislang ungeklärt, welche Folgen die Verwendung von Daten hätte, die deutsche Strafverfolgungsbehörden über Europol erhalten, die aber vor deutschen Gerichten einem Verwertungsverbot unterliegen. Sofern eine gesetzliche Ermächtigung für eine Überwachungsmaßnahme besteht, welche den Kernbereich privater Lebensgestaltung berühren kann, muss so weitgehend wie möglich sichergestellt sein, dass Daten mit Kernbereichsbezug nicht erhoben werden. Ist dies aber – etwa bei dem heimlichen Zugriff auf ein informationstechnisches System – praktisch unvermeidbar, muss für hinreichenden Schutz in der Auswertungsphase gesorgt sein.[22] Wurden etwa im Zuge von Überwachungsmaßnahmen kernbereichsrelevante Daten erhoben, sind diese unverzüglich zu löschen und eine Weitergabe oder Verwertung ist auszuschließen.[23] Allerdings ist die Herkunft solcher Daten aus anderen Mitgliedstaaten in der Regel kaum genau nachzuverfolgen.

49

Die Verantwortung für den Datenschutz ist zwischen Europol und den Mitgliedstaaten aufgeteilt.[24] Die Mitgliedstaaten haben die Richtigkeit und die fortlaufende Aktualität der von ihnen übermittelten Daten sowie die Rechtmäßigkeit ihrer Übermittlung sicherzustellen (Art. 29 Europol-VO). Hierfür gelten die jeweiligen nationalen Datenschutzvorschriften, im Falle Deutschlands also insb. das BDSG. Die nationale Kontrollbehördeüberwacht auf Grundlage des nationalen Rechts die Zulässigkeit dieser Übermittlungen und Abrufe (Art. 42 Europol-VO). Gem. § 5 Abs. 1 EuropolG nimmt der Bundesdatenschutzbeauftragte diese Funktion wahr. Zudem erhält Europol einen eigenen Datenschutzbeauftragten (Art. 41 Europol-VO), der an die Stelle der früheren gemeinsamen Kontrollinstanz tritt und der Kontrolle des Europäischen Datenschutzbeauftragten unterliegt (Art. 43 Europol-VO).[25]