Erläuterungen
Allgemeiner Teil
Die in den letzten Jahren erhöhten Bedrohungen der inneren Sicherheit Österreichs durch den internationalen Terrorismus und grenzüberschreitend tätige kriminelle Gruppen führen zur Notwendigkeit, die internationale polizeiliche Zusammenarbeit zu verstärken. Unter anderem stellt hierbei die Tatsache, dass Straftäterinnen und Straftäter und Terroristinnen und Terroristen häufig unter wechselnden Falschidentitäten reisen, die Sicherheitsbehörden vor eine herausfordernde Aufgabe. Das Übereinkommen zwischen den Parteien der Konvention über die polizeiliche Zusammenarbeit in Südosteuropa über den automatisierten Austausch von DNA-, daktyloskopischen- und Fahrzeugregisterdaten (nachstehend als „Übereinkommen“ bezeichnet) und das entsprechende Durchführungsübereinkommen im Rang eines Regierungsübereinkommens iS von lit. a) der Entschließung des Bundespräsidenten vom 31. Dezember 1920, BGBl. Nr. 49/1921, sollen in diesem Zusammenhang einen wesentlichen Schritt bilden, um den genannten Bedrohungen wirkungsvoller begegnen zu können. Der Abschluss des Übereinkommens wird durch ein Änderungsprotokoll ergänzt.
In Ergänzung zu den Anstrengungen innerhalb der Europäischen Union zur Verstärkung der polizeilichen und justiziellen Zusammenarbeit in Strafsachen hat Österreich in den letzten Jahren eine Reihe von bi- und multilateralen Staatsverträgen in diesem Bereich abgeschlossen. So initiierte Österreich unter anderem die Konvention über die polizeiliche Zusammenarbeit in Südosteuropa, BGBl. III Nr. 152/2011 (Police Cooperation Convention for Southeast Europe, nachstehend als „PCC SEE“ bezeichnet). Die PCC SEE sieht umfassende Möglichkeiten zur internationalen polizeilichen Zusammenarbeit vor und regelt dabei Bereiche wie grenzüberschreitende Nacheilen und Observationen, kontrollierte Lieferungen, verdeckte Ermittlungen, gemeinsame Einsatzformen oder die konventionelle Übermittlung von DNA-Daten. Derzeit sind zwölf Länder (Republik Albanien, Bosnien und Herzegowina, Republik Bulgarien, Kroatien, Republik Moldau, Montenegro, Republik Nordmazedonien, Republik Österreich, Rumänien, Republik Serbien, Republik Slowenien und Ungarn) Vertragsstaaten der Konvention. Österreich trat der Konvention 2011 bei.
Während regelmäßig stattfindender Treffen von Fachleuten zur Umsetzung der PCC SEE wurde von österreichischen Expertinnen und Experten nach den positiven Erfahrungen, die innerhalb der Mitgliedstaaten der Europäischen Union (nachstehend als „EU“ bezeichnet) gemacht wurden, der Abschluss eines multilateralen Übereinkommens der PCC SEE-Vertragsparteien zur Regelung des automatisierten Austauschs von DNA-, daktyloskopischen- und Fahrzeugregisterdaten vorgeschlagen, um die Zusammenarbeit der Ermittlungs- und Strafverfolgungsbehörden in diesem Bereich zu verbessern.
Dieser Vorschlag wurde von allen Rechts- und Forensikexpertinnen und -experten der PCC SEE Staaten befürwortet, auf Ebene der Innenministerinnen und Innenminister angenommen und aufgrund des Beschlusses der Bundesregierung vom 2. Mai 2018 (sh. Pkt. 16 des Beschl. Prot. Nr. 16) das vorliegende Übereinkommen verhandelt. Die abschließenden formellen Verhandlungen fanden von 7. bis 9. Mai 2018 in Wien unter der Leitung des Bundesministeriums für Europa, Integration und Äußeres (BMEIA) statt. Die Grundlage für mehrere Treffen der Fachleute, zwei informelle sowie die formelle Verhandlungsrunde bildete ein österreichischer Textentwurf. Gemäß Beschluss der Bundesregierung vom 22. August 2018 (sh. Pkt. 23 des Beschl. Prot. Nr. 25) wurde eine entsprechende Unterzeichnungsvollmacht eingeholt und am 13. September 2018 das Übereinkommen von der Republik Albanien, der Republik Bulgarien, der Republik Mazedonien[1], der Republik Moldau, Montenegro, der Republik Österreich, Rumänien, der Republik Serbien und Ungarn in Wien unterzeichnet.
Das Übereinkommen orientiert sich eng an der bereits bestehenden sog. „Prümer Zusammenarbeit“ auf Grundlage des Vertrags zwischen dem Königreich Belgien, der Bundesrepublik Deutschland, dem Königreich Spanien, der Französischen Republik, dem Großherzogtum Luxemburg, dem Königreich der Niederlande und der Republik Österreich über die Vertiefung der grenzüberschreitenden Zusammenarbeit insbesondere zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration, BGBl. III Nr. 159/2006 (nachstehend als „Prümer Vertrag“ bezeichnet). Die Bestimmungen des multilateralen Prümer Vertrages für die Bereiche des Onlinedatenaustausches von DNA-Daten, daktyloskopischen Daten und Kfz-Zulassungsdaten wurden zur erfolgreichen Bekämpfung internationaler Kriminalität im Prümer Vertrag außer Kraft gesetzt und für alle EU-Mitgliedstaaten als verbindlich umzusetzendes Unionsrecht aufgenommen. Diese EU-Rechtsübernahme erfolgte mit dem EU-Beschluss 2008/615/JI zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABl. Nr. L 210 vom 06.08.2008 S. 1, sowie des Beschlusses 2008/616/JI zur Durchführung des Beschlusses 2008/615/JI zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität, ABl. Nr. L 210 vom 06.08.2008 S. 12 (nachstehend als „Prümer Beschlüsse“ bezeichnet). Für den Folgedatenaustausch von Personen- und Falldaten nach bestätigt festgestellten DNA- oder daktyloskopischen Datentreffern, welche über klassische sichere Polizeikooperationskanäle wie den Interpolkanal und zu notifizierende nationale Zentralstellen durchzuführen sind, orientiert sich das Übereinkommen auch am EU-Rahmenbeschluss 2006/960/JI über die Vereinfachung des Austausches von Informationen und Erkenntnissen zwischen den Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union, ABl. Nr. L 386 vom 29.12.2006 S. 89.
Das Übereinkommen hat daher zum Ziel, das durch den Prümer Vertrag errichtete und durch die Prümer Beschlüsse zum Großteil in EU-Recht überführte System des automatisierten Austauschs von DNA-, daktyloskopischen- und Fahrzeugregisterdaten im Rahmen der PCC SEE auf die Staaten Südosteuropas zu erweitern, sowie analog zu den oben angeführten EU-Rechtsakten diesen Informationsaustausch im Wege zentraler nationaler Kontaktstellen zu vereinfachen und zu beschleunigen.
Analog zur Prümer Zusammenarbeit sieht auch der gegenständliche Übereinkommenstext keine Errichtung einer großen zentralen Datenbank vor, sondern arbeitet mit anonymisierten biometrischen Abgleichen (in einem Treffer-/Nichttrefferverfahren) unter Nutzung der bestehenden nationalen Datenbanken und im Wege von zentralen nationalen Kontaktstellen. Nur im von forensischen Expertinnen und Experten der jeweiligen Parteien bestätigten biometrischen Trefferfall werden in einem zweiten Schritt zusätzlich personenbezogene Hintergrunddaten zu (mutmaßlichen) Täterinnen und Tätern und Straftaten zwischen den nationalen Kontaktstellen der Mitgliedstaaten ausgetauscht, wobei dies bei der Zusammenarbeit mit den Staaten Südosteuropas für die wichtigsten Identifizierungsdaten in rascher, strukturierter Form erfolgen soll. Darüber hinaus soll auch Unterstützung bei der Identifizierung von vermissten Personen und nichtidentifizierten sterblichen Überresten geleistet werden.
Das aufgrund der Prümer Zusammenarbeit bereits bestehende Datenverbundsystem (nachstehend als „Prümer Datenverbundsystem“ bezeichnet) ist eines der effizientesten Werkzeuge europäischer Sicherheitsbehörden und ermöglicht den operativen Mitgliedstaaten jedes Jahr, tausende schwere Straftaten international tätiger Straftäterinnen und Straftäter und Terroristinnen und Terroristen aufzuklären sowie solche gefahndeten Täterinnen und Täter zu lokalisieren. Die Ausweitung dieser Zusammenarbeit durch das gegenständliche Übereinkommen auf die Staaten Südosteuropas (Vertragsparteien der PCC SEE) wird in Österreich die Aufklärung zahlreicher ungeklärter Straftaten und die laufende rasche Identifizierung gefahndeter Straftäterinnen und Straftäter ermöglichen. Die Staaten Südosteuropas müssen als EU-Beitrittskandidaten zur Erreichung ihrer Beitrittseignung auch die Voraussetzungen für die Teilnahme am gleichgelagerten Prümer Datenverbundsystem nach den Prümer Beschlüssen erfüllen. Damit ist für diese Staaten ein weiterer Mehrwert gegeben, da sie mit einer erfolgreichen Umsetzung eines solchen PCC SEE Verbundsystems auch diese Voraussetzung erfüllen würden.
Auf Grund der besonderen Sensibilität des Vertragsgegenstandes wurden in dem Übereinkommen höchste Datenschutzstandards verankert. Diese entsprechen in vollem Umfang den bestehenden Bestimmungen der Prümer Beschlüsse. Die dortigen Bestimmungen enthalten die umfangsreichsten und detailliertesten Datenschutzregelungen aller bisherigen Polizeikooperationsverträge innerhalb der EU.
Aus technischer Sicht erfolgt die Erweiterung des in Österreich bereits in vollem Umfang implementierten Prümer Datenverbundsystems auf die übrigen Parteien des Übereinkommens im Wesentlichen mit inhaltsgleicher Technologie. Es sind daher im Zuge der Umsetzung maximal geringfügige Kosten, etwa für Dienstreisen, Teststellungen und Programmierungen für Datenfelderweiterungen zu erwarten, welche aus dem bestehenden Budget des BMI abgedeckt werden. Soweit – wie zu erwarten – Implementierungsunterstützungen von den Parteien, etwa in Form von Beratungstätigkeiten österreichischer Expertinnen und Experten, erbeten werden, werden solche Kosten in vollem Umfang durch die jeweiligen nationalen Budgets der anfragenden Staaten oder aus für diese Zwecke den dortigen Staaten bereitgestellten EU-Förderprojekten getragen.
Das Übereinkommen zwischen den Parteien der Konvention über die polizeiliche Zusammenarbeit in Südosteuropa über den automatisierten Austausch von DNA-, daktyloskopischen- und Fahrzeugregisterdaten hat gesetzändernden bzw. gesetzesergänzenden Inhalt und bedarf daher der Genehmigung durch den Nationalrat gemäß Art. 50 Abs. 1 Z 1 B-VG. Es hat nicht politischen Charakter. Es ist nicht erforderlich, eine allfällige unmittelbare Anwendung des Übereinkommens im innerstaatlichen Rechtsbereich durch einen Beschluss gemäß Art. 50 Abs. 2 Z 4 B-VG, dass dieser Staatsvertrag durch Erlassung von Gesetzen zu erfüllen ist, auszuschließen. Da durch das Übereinkommen keine Angelegenheiten des selbständigen Wirkungsbereiches der Länder geregelt werden, bedarf es keiner Zustimmung des Bundesrates gemäß Art. 50 Abs. 2 Z 2 B-VG.
Die Kompetenz des Bundes zur Gesetzgebung ergibt sich aus Art. 10 Abs. 1 Z 2 B-VG (äußere Angelegenheiten).
Besonderer Teil
Zur Präambel
Die Präambel hält fest, dass das vorliegende Übereinkommen auf der Konvention über die polizeiliche Zusammenarbeit in Südosteuropa basiert.
Die Parteien haben zum Ziel, die grenzüberschreitende Zusammenarbeit zur Bekämpfung von Terrorismus, grenzüberschreitender Kriminalität und illegaler Migration zu verstärken, sowie die Implementierung der PCC SEE speziell im Bereich des Austauschs und Vergleiches von DNA-, daktyloskopischen- und Fahrzeugregisterdaten zu fördern.
Die Parteien nehmen in Absatz 3 auf jene Beschlüsse des Ministerkomitees der PCC SEE Bezug, in welchen die Notwendigkeit der Entwicklung eines automatisierten Austauschs von DNA-, daktyloskopischen- und Fahrzeugregisterdaten im Rahmen der PCC SEE hervorgehoben wurde.
Es werden weiters die Entwicklungen der PCC SEE auf dem Gebiet des Schutzes personenbezogener Daten gewürdigt und es wird festgehalten, dass alle Parteien die notwendigen Voraussetzungen erfüllen, um gemäß den europäischen gemeinsamen Prinzipien und Standards personenbezogene Daten untereinander auszutauschen. Dabei berücksichtigen sie insbesondere die Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI, ABl. Nr. L 119 vom 04.05.2016 S. 89 (nachstehend „Richtlinie (EU) 2016/680“ genannt), das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, BGBl. Nr. 317/1988, sowie die Empfehlung Nr. R (87) 15 des Ministerkomitees des Europarates vom 17. September 1987 über die Nutzung personenbezogener Daten im Polizeibereich (nachstehend „relevantes Europaratsübereinkommen“ und „relevante Europaratsempfehlung“ genannt).
Das vorliegende Übereinkommen ist vor allem dem Prümer Vertrag, dem korrespondierenden Durchführungsübereinkommen, sowie den Prümer Beschlüssen nachempfunden.
Kapitel I (Allgemeine Bestimmungen)
Kapitel I regelt, wie in multilateralen Abkommen üblich, den Anwendungsbereich, den wesentlichen Inhalt sowie das Ziel des Übereinkommens. Darüber hinaus befinden sich in Kapitel I die Definitionen aller zur Auslegung und zum Verständnis des Übereinkommens wesentlichen Begriffe.
Zu Artikel 1 (Zielsetzung, Anwendungsbereich und Begriffsbestimmungen)
Artikel 1 enthält als einleitende Bestimmung Regelungen betreffend den Anwendungsbereich und die Zielsetzung des Übereinkommens sowie die für das Übereinkommen wesentlichen Begriffsbestimmungen. Gegenstand des Übereinkommens ist die grenzüberschreitende polizeiliche Zusammenarbeit bei der Bekämpfung von Gefahren für die öffentliche Sicherheit und zur Verhütung und Aufdeckung von Straftaten, wie sie in der PCC SEE vorgesehen sind. Zweck ist es, Regeln zwischen den Vertragsstaaten für einen automatisierten Austausch von DNA-, daktyloskopischen- und Fahrzeugregisterdaten festzulegen.
In Absatz 2 einigen sich die Parteien jene Bestimmungen zu treffen, welche für die effektive Umsetzung der Übermittlung und des Abgleichs von DNA-Daten, daktyloskopischen Daten sowie Fahrzeugregisterdaten erforderlich sind. Dies sind Regelungen betreffend die Voraussetzungen, das Verfahren sowie administrative und technische Bestimmungen des Datenaustauschs. Neben dem gegenständlichen Übereinkommen sehen die Parteien in einem Durchführungsübereinkommen sowie in technischen Benutzerhandbüchern notwendige Regelungen betreffend die administrative und technische Umsetzung des Übereinkommens vor.
In Absatz 3 werden alle wesentlichen Begriffe des Übereinkommens definiert.
Kapitel II (Online-Zugriff und nachfolgende Anfragen)
Kapitel II regelt die polizeiliche Zusammenarbeit in Form der gegenseitigen automatisierten Suche von DNA-Profilen und daktyloskopischen Daten. Diese Form der Zusammenarbeit erfolgt im so genannten Hit/No Hit-Verfahren (Treffer-/Nichttrefferverfahren), wobei in einem ersten Arbeitsschritt in einem automatisiert ablaufenden Suchprozess Datenvergleiche von daktyloskopischen Daten bzw. DNA Profilen durchgeführt werden. Im Falle einer festgestellten Übereinstimmung wird nur das betreffende biometrische Datum mit einer Zuordnungsnummer (Referenzdatum) automatisiert an den Abfragestaat zur weiteren möglichen forensischen Prüfung rückgemittelt. Im Falle einer Nichtübereinstimmung wird nur rückgemeldet, dass der Suchabgleich erfolgte aber negativ verlaufen ist. Dies bedeutet, dass zunächst auch im Übereinstimmungsfall nur so genannte Referenzdaten übermittelt werden, die keine den/die Betroffene/n unmittelbar identifizierenden personenbezogenen Daten wie etwa Namen beinhalten. Der Austausch von zusätzlichen personenbezogenen Daten auf der Grundlage von festgestellten Übereinstimmungen erfolgt sodann in einem zweiten Arbeitsschritt im Rahmen von Amts- und Rechtshilfeverfahren und ausschließlich dann, wenn forensische Expertinnen und Experten des Anfragestaates eine tatsächliche Übereinstimmung in Einzelfallprüfungen bestätigen konnten. Diese Form der Zusammenarbeit entspricht der Zusammenarbeit auf Basis des Prümer Vertrags bzw. der Prümer Beschlüsse.
Der Datenaustausch sowohl in den automatisierten biometrischen und anonymisierten Abgleichprozessen des ersten Arbeitsschrittes als auch mögliche Datenübermittlungen von weiteren personenbezogenen Daten im Falle von forensisch bestätigten Treffern oder „Hits“ zur möglichen Einleitung weiterer Ermittlungsschritte zur Identifizierung der betreffenden Personen oder Zuordnung von offenen Spuren erfolgt in dieser Kooperation über zentrale nationale Kontaktstellen und über gesicherte Datenleitungen in strukturierter Form und über individuelle Anforderung dieser Zentralstellen. Weiterführende Datenübermittlungen über nachfolgende Amts- und Rechtshilfeersuchen werden bei Bedarf von den Sicherheits- und Justizbehörden abgewickelt.
Darüber hinaus sieht das Übereinkommen auch die gegenseitige automatisierte Suche von Daten aus den Fahrzeugregistern (Artikel 9) im Einzelfall vor. Dazu wird der Zugriff auf die Daten zur Eigentümerin oder zum Eigentümer bzw. Fahrzeughalterin oder Fahrzeughalter und die Fahrzeugdaten im so genannten Lesezugriff vereinbart.
Den Möglichkeiten für die polizeiliche Zusammenarbeit nach Kapitel II sind die umfangreichen Datenschutzbestimmungen, insbesondere für die automatisierte Suche und den Abgleich von Daten, in Kapitel IV gegenüberzustellen.
Zu Artikel 2 (Einrichtung nationaler DNA-Analysedateien)
In Artikel 2 verpflichten sich die Parteien zur Ermöglichung der Zusammenarbeit im Bereich der DNA-Analyse zur Einrichtung und Führung von zentralen nationalen DNA-Datenbanken. Die Europäische Union hat bereits in der Entschließung über den Austausch von DNS-Analyseergebnissen, ABl. C 193 vom 24.06.1997 S. 2, ihre Mitgliedstaaten aufgefordert, im Bereich des Austauschs von DNA-Profilen zusammen zu arbeiten und zu diesem Zweck nationale zentrale Dateibanken zu errichten. Österreich hat auf der Grundlage des Sicherheitspolizeigesetzes – SPG, BGBl. 1991/566 i.d.g.F., bereits im Jahr 1997 als zweiter Staat in Europa eine zentrale nationale DNA-Datenbank, die vom Bundesministerium für Inneres im Bundeskriminalamt betrieben wird, aufgebaut. Seit dem Inkrafttreten der Prümer Beschlüsse mit August 2008 sind alle Mitgliedstaaten der EU mittels EU Rechtsakt verpflichtet, solche zentralen DNA-Datenbanken zu betreiben und die dort gespeicherten Daten in Übereinstimmung mit nationalem Recht im „Prümer Datenverbundsystem“ auch den EU Partnerstaaten für automatisierte Abgleiche bereitzustellen.
Die Zusammenarbeit im Bereich der DNA-Profile beschränkt sich ausschließlich auf den Zweck der Ermittlung von Straftaten sowie zur Unterstützung bei der Identifizierung von vermissten Personen und nichtidentifizierbaren sterblichen Überresten. Allenfalls bestehende oder in der Zukunft zu administrativen Zwecken eingerichtete DNA-Analysedateien sind von der Einbeziehung in die Zusammenarbeit ausgeschlossen.
Die Verarbeitung der in diesen Dateien gespeicherten Daten erfolgt nach Maßgabe dieses Übereinkommens, im Einklang mit der PCC SEE sowie gemäß dem für den Verarbeitungsvorgang geltenden innerstaatlichen Recht.
Die innerstaatliche Rechtsgrundlage für die Erfassung und Verarbeitung von DNA-Profilen ist insbesondere im § 67 in Verbindung mit den §§ 65 und 75 SPG geregelt. Seit 1. Jänner 2008 befindet sich auch in den §§ 117 Z 5, 124 der Strafprozessordnung 1975 (StPO), BGBl. Nr. 631 i.d.g.F., eine strafprozessuale Grundlage für die Ermittlung und Verarbeitung von DNA-Profilen.
Absatz 2 sieht vor, dass in den Datenbanken die DNA- Profile von den sonstigen Informationen für diese internationale Kooperation zu trennen sind. Die DNA-Profile werden mit einer Referenzzahl versehen. DNA-Profile und Referenzzahl werden als Referenzdaten bezeichnet und müssen in den nationalen DNA-Analysedateien der Parteien verfügbar sein. Die Referenzzahl ist notwendig, um die Referenzdaten den entsprechenden personenbezogenen Daten und sonstigen Informationen zuordnen zu können. Die Referenzzahl muss so gestaltet sein, dass sie keine den/die Betroffene/n unmittelbar identifizierende Daten (Geschlecht, Geburtsdatum, Hinweise auf die Tat) enthält. Referenzdaten und die personenbezogenen Daten und sonstigen Informationen sind in getrennten Dateien zu speichern, um
a) die gegenseitige automatisierte Suche oder den Abgleich im Hit/No Hit-Verfahren (Treffer-/Nichttrefferverfahren) zu ermöglichen;
b) dem Gebot der Verhältnismäßigkeit des Verfahrens (§ 1 Absatz 2 des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999 i.d.g.F., § 29 SPG) Rechnung zu tragen.
Die österreichische DNA-Datei wird vom Bundesministerium für Inneres-Bundeskriminalamt auf Grundlage des § 75 SPG geführt. In dieser Datei sind die Referenzdaten von den personenbezogenen Daten und sonstigen Informationen getrennt, wie dies vom Übereinkommen gefordert ist.
Referenzdaten, die noch keiner Person zugeordnet werden können, werden als offene Spuren bezeichnet und werden als solche gekennzeichnet sein. Dadurch wird die technische Voraussetzung zum automatisierten Abgleich offener Spuren gemäß Artikel 4 geschaffen.
Nur dem Staat, in dessen nationaler Datenbank die DNA Daten gespeichert sind, ist es möglich, über nachfolgende Ersuchen diesen Referenzahlen auch weitere personenbezogene Daten von Betroffenen oder Spuren zuzuordnen und den ersuchenden Partnerstaaten nach Amts- und Rechtshilfeersuchen bereitzustellen.
Gemäß Absatz 3 haben die Parteien die nationalen DNA-Analysedateien dem Depositär bekanntzugeben. In Artikel 24 Absatz 1 ist die Republik Serbien als Depositär festgelegt.
Zu Artikel 3 (Automatisierte Suche nach DNA-Profilen)
Artikel 3 legt eine der beiden Formen der Zusammenarbeit im Bereich der DNA-Profile fest. Die automatisierte Suche nach DNA-Profilen ist der Vergleich zwischen einem DNA-Profil, das bei der einen Partei vorliegt, mit den DNA-Profilen in den Dateien der anderen Parteien. Dabei wird das DNA-Profil von der suchenden Partei über eine sichere Leitung an die DNA-Analysedatei der empfangenden Partei übermittelt und dort automatisiert mit den vorhandenen Referenzdaten (DNA-Profile) verglichen. Dieser Vergleich erfolgt durch ein technisches Verfahren ohne Einbeziehung eines Organs der empfangenden Partei („automatisiert“). Die Einzelheiten dieses technischen Verfahrens werden gemäß Artikel 20 in einem Durchführungsübereinkommen geregelt. Die technischen Details der Umsetzung werden gemäß Artikel 20 in technischen Handbüchern von den Expertinnen und Experten der Partnerstaaten in gemeinsamen Arbeitsgruppen (expert working groups) vereinbart und immer auf dem aktuellen technischen Stand gehalten. Ein analoges Verfahren ist gemäß Artikel 6 für den automatisierten Abruf von daktyloskopischen Daten vorgesehen.
Die automatisierte Suche darf nur im Einzelfall erfolgen. Das heißt, die suchende Partei darf jeweils nur ein DNA-Profil mit den Referenzdaten der empfangenden Partei vergleichen. Der Vergleich darf nur zum Zweck der Ermittlung von als Offizialdelikte von Gerichten zu ahndenden Straftaten sowie zur Unterstützung bei der Identifizierung von vermissten Personen und nichtidentifizierten sterblichen Überresten, und nach Maßgabe des Rechts der suchenden Partei erfolgen. Damit ist es nicht notwendig, dass jede Partei die entsprechenden Rechtsvorschriften aller anderen Parteien kennt, um auf deren DNA-Analysedateien zugreifen zu können. Jede Partei kann unter denselben Bedingungen, wie sie für den Zugriff auf die eigene DNA-Analysedatei gelten, auf die DNA-Analysedateien der anderen Parteien zugreifen. Die Prüfung der Zulässigkeit erfolgt nur nach Maßgabe der Bestimmungen dieses Übereinkommens und dem jeweilig geltenden innerstaatlichen Recht.
Nach § 67 Absatz 1 SPG darf die DNA eines Menschen im Rahmen dessen erkennungsdienstlicher Behandlung ermittelt werden, wenn der/die Betroffene in Verdacht steht, eine strafbare Handlung gegen die sexuelle Integrität und Selbstbestimmung oder eine mit mindestens einjähriger Freiheitsstrafe bedrohte vorsätzliche gerichtlich strafbare Handlung begangen zu haben, und wenn im Hinblick auf diese Tat oder die Persönlichkeit des/der Betroffenen erwartet werden kann, diese werde bei Begehung weiterer gefährlicher Angriffe Spuren hinterlassen, die ihre Wiedererkennung auf Grund der ermittelten genetischen Informationen ermöglichen würden. Unter denselben Bedingungen dürfen DNA-Profile und die vorhandenen personenbezogenen Daten und sonstigen Informationen gespeichert und gesucht werden. Die Bestimmungen des § 67 Absatz 1 SPG sind von der österreichischen Kontaktstelle auch für die automatisierte Suche von DNA-Profilen aus den DNA-Analyse-Dateien der anderen Parteien anzuwenden.
Gemäß Absatz 2 erfolgt nicht nur der Vergleich des übermittelten DNA-Profils automatisiert, sondern auch die Mitteilung eines bei einem solchen Abgleich festgestellten Ergebnisses bei einer festgestellten Nichtübereinstimmung oder Übereinstimmung. Eine Übereinstimmung liegt dann vor, wenn das von der suchenden Partei übermittelte DNA-Profil mit einem DNA-Profil in der DNA-Analysedatei der empfangenden Partei in den vorhandenen Profilwerten, die einen alphanumerischen forensischen Code darstellen, übereinstimmt. Mit der automatisierten Mitteilung einer Übereinstimmung werden auch die Referenzzahl des passenden DNA-Profils und die Profilwerte dieses DNA Profils mitgeteilt. Mittels dieser Vergleichsprofilwerte können forensische Expertinnen und Experten die tatsächliche Übereinstimmung prüfen und diese als Treffer bestätigen. Die Übermittlung der Referenzzahl ermöglicht die nachfolgende Anfrage gemäß Artikel 7 zur Übermittlung weiterer personenbezogener Daten und sonstiger Informationen. Wird keine Übereinstimmung erzielt, wird dies gleichfalls automatisiert mitgeteilt.
Das Verfahren gemäß Artikel 3 erfolgt in folgenden Schritten:
1. Die suchende Partei übermittelt das DNA-Profil.
2. Das übermittelte DNA-Profil wird mit den in den Referenzdaten vorhandenen DNA-Profilen der empfangenden Partei automatisiert verglichen.
3. Die Tatsache einer Übereinstimmung wird mit dem gefundenen DNA-Übereinstimmungsprofil gemeinsam mit der Referenzzahl automatisiert der suchenden Partei mitgeteilt.
4. Gleichfalls automatisiert erfolgt die Mitteilung, dass keine Übereinstimmung vorliegt.
5. Das weitere Verfahren bei Vorliegen eines bestätigten Treffers erfolgt im Wege der Amts- oder Rechtshilfe gemäß Artikel 7 wobei im Rechtsakt als „Kerndaten“ definierte Daten, welche als Erstschritt eine rasche Identifizierung der Trefferpersonen oder Deliktsinformationen ermöglichen, bei technisch vorhandener Realisierung auch in strukturierter Form über sichere Datenleitungen zwischen den nationalen Kontaktstellen beschleunigt übermittelt werden können.
Auf Seiten der abgefragten Partei verläuft das Verfahren im ersten anonymisierten Suchschritt durchgängig automatisiert. Außer den Referenzdaten und dem Vorliegen oder Nichtvorliegen einer Übereinstimmung werden im ersten Arbeitsschritt keine Daten von der abgefragten Partei an die suchende Partei übermittelt. Im Rahmen von nachfolgenden individuellen Amts- und Rechtshilfeersuchen haben die ersuchten Staaten nochmals die Möglichkeit einer individuellen Rechts- und Sachverhaltsprüfung in Übereinstimmung mit nationalen Rechtsgrundlagen, bevor weiterführende Daten zu den bestätigten Treffern bereitgestellt werden. Die Verarbeitung der gemäß Artikel 3 übermittelten Daten wird in Artikel 13 Absatz 2 geregelt. Weiters wird jede automatisierte Suche gemäß Artikel 17 Absatz 1 sowohl von der suchenden als auch der abgefragten Partei protokolliert (doppelte Protokollierung).
Zu Artikel 4 (Automatisierter Abgleich von DNA-Profilen)
Artikel 4 regelt die zweite Form der Zusammenarbeit im Bereich der DNA-Profile. Der automatisierte Abgleich von DNA-Profilen ist der Vergleich der offenen Spuren einer Partei mit allen Referenzdaten der DNA-Analysedateien der anderen Parteien. Offene Spuren sind Referenzdaten, die noch keiner Person zugeordnet werden können und die gemäß Artikel 2 Absatz 2 letzter Satz als solche gekennzeichnet sind. Dabei werden die offenen Spuren von der suchenden Partei über eine sichere Leitung an die DNA-Analysedatei der abgefragten Partei übermittelt und dort automatisiert mit den vorhandenen Referenzdaten (DNA-Profile von identifizierten Personen und offenen Spuren) verglichen. Dieser Vergleich erfolgt durch ein technisches Verfahren ohne Einbeziehung eines Organs der suchenden Partei („automatisiert“). Die Einzelheiten dieses technischen Verfahrens werden gemäß Artikel 20 in einem Durchführungsübereinkommen geregelt. Für den Bereich der daktyloskopischen Daten ist keine vergleichbare Zusammenarbeit vorgesehen. Im Gegensatz zum Datenübermittlungsprozess des Artikels 3 werden daher in dieser Form der Zusammenarbeit einerseits nur offene Spurendaten und nicht auch Personenprofile mit Abgleichsersuchen übermittelt. Diese Kooperation erlaubt die Übermittlung nicht nur in Einzelfällen, sondern auch die Übermittlung aller offenen Spurenprofile in einem Prozess. In einem solchen, sogenannten Batchverfahren, werden üblicherweise gerade zu Beginn der Kooperation in einem einzigen Abgleichsprozess tausende von bislang ungeklärten und damit offenen Spurendaten gegen die Datenbestände der Partnerstaaten abgeglichen werden können.
Da in diesen Prozessen wesentlich größere Datenmengen übermittelt werden, deren technische Abarbeitung besonders umfangreich ist, wird dieser automatisierte Abgleich nur im Einvernehmen zwischen den Parteien vereinbart, welches jeweils im Einzelfall herzustellen ist. Der Vergleich darf nur zum Zweck der Ermittlung von Straftaten sowie zur Unterstützung bei der Identifizierung von vermissten Personen und nichtidentifizierten sterblichen Überresten und nach Maßgabe des Rechts der suchenden Partei erfolgen.
Nicht nur der Vergleich der offenen Spuren erfolgt automatisiert, sondern auch die Mitteilung der Übereinstimmungen.
Das Verfahren gemäß Artikel 4 erfolgt in folgenden Schritten:
1. Die suchende Partei übermittelt die offenen Spuren in einem Batchsuchprozess.
2. Die übermittelten offenen Spuren werden automatisiert mit den Referenzdaten der anderen Partei verglichen.
3. Die Referenzdaten werden im Übereinstimmungsfall automatisiert der suchenden Partei mitgeteilt.
4. Das weitere Verfahren erfolgt nach erfolgter forensischer Prüfung im Trefferfall im Wege der Amts- oder Rechtshilfe gemäß Artikel 7, analog der Kooperation wie sie im Artikel 3 bereits beschrieben ist.
Zu Artikel 5 (Daktyloskopische Daten)
Artikel 5 normiert, dass die Parteien auf der Grundlage dieses Übereinkommens im Bereich des automatisierten Austauschs daktyloskopischer Daten zusammenarbeiten. Der Begriff daktyloskopische Daten umfasst Fingerabdrücke sowie Abdrücke von Hand- oder Fußflächen, also aller jener Körperteile, die Papillarlinien aufweisen. Diese Papillarlinien sind bei jedem Menschen einzigartig und ermöglichen die eindeutige Identifizierung dieses Menschen.
Die Zusammenarbeit im Bereich der daktyloskopischen Daten beschränkt sich ausschließlich auf zum Zweck der Verhütung und Aufklärung von Straftaten sowie zur Unterstützung bei der Identifizierung von vermissten Personen und nichtidentifizierten sterblichen Überresten eingerichtete Dateien. Allenfalls bestehende oder in Zukunft zu administrativen Zwecken eingerichtete Dateien (z. B. Visa, Reispässe) sind von der Einbeziehung in die Zusammenarbeit ausgeschlossen. Weiters umfasst die Zusammenarbeit nicht jene daktyloskopischen Daten, die in nicht automatisierten Sammlungen geführt werden.
Damit eine Zusammenarbeit zwischen den Parteien möglich wird, verpflichten sich diese, die in ihren nationalen polizeilichen Datenbanken vorhandenen daktyloskopischen Daten im Wege von Referenzdaten den anderen Parteien zugänglich zu machen. Diese Referenzdaten umfassen die daktyloskopischen Daten und eine Referenzzahl. Die Referenzzahl ist notwendig, um die Referenzdaten den entsprechenden personenbezogenen Daten und sonstigen Informationen zuordnen zu können. Die Referenzzahl muss so gestaltet sein, dass sie keine den/die Betroffene/n unmittelbar identifizierende Daten (Geschlecht, Geburtsdatum, Hinweise auf die Tat) enthält.
Österreich hat auf der Grundlage des SPG eine automatisierte Sammlung daktyloskopischer Daten beim Bundeskriminalamt eingerichtet.
Referenzdaten, die noch keiner Person zugeordnet werden können, werden als offene Spuren bezeichnet und werden als solche gekennzeichnet. Eine Bestimmung für mögliche Massenabgleiche einer großen Anzahl von offenen Spuren in sogenannten Batchverfahren ist für die Zusammenarbeit im Rahmen des Übereinkommens unerheblich, da bei daktyloskopischen Daten aufgrund anderer technischer Möglichkeiten – anders als bei DNA-Profilen – kein Abgleich aller offenen Spuren vorgesehen und möglich ist.
Zu Artikel 6 (Automatisierte Suche nach daktyloskopischen Daten)
Artikel 6 regelt als Form der Zusammenarbeit im Bereich der daktyloskopischen Daten die automatisierte Suche von daktyloskopischen Daten. Eine dem Artikel 4 nachgebildete Zusammenarbeit für den automatisierten Abgleich von daktyloskopischen Daten findet zwischen den Parteien nicht statt.
Die automatisierte Suche ist der Vergleich zwischen einem daktyloskopischen Datum, das bei einer Partei vorliegt, mit den daktyloskopischen Daten in den Dateien der anderen Parteien. Dabei wird das daktyloskopische Datum von der suchenden Partei über eine sichere Leitung an die daktyloskopischen Dateien der empfangenden Partei übermittelt und dort mit den vorhandenen Referenzdaten (daktyloskopisches Datum und Referenzzahl) verglichen. Anders als bei DNA-Profilen ist es auf Grund des unterschiedlichen technischen Verfahrens nicht möglich, bereits beim ersten Vergleich eine eindeutige Zuordnung des übermittelten daktyloskopischen Datums mit den entsprechenden Referenzdaten bei der empfangenden Partei vorzunehmen. Zur endgültigen Zuordnung müssen daher eine Reihe annähernd übereinstimmender Referenzdaten („Set“) von der empfangenden Partei an die suchende Partei übermittelt werden. Vergleich und Übermittlung der annähernd übereinstimmenden Referenzdaten erfolgt automatisiert, d.h. dass dieser Vergleich durch ein technisches Verfahren ohne Einbeziehung eines Organs der empfangenden Partei erfolgt. Bei der suchenden Partei erfolgt in weiterer Folge die eindeutige Zuordnung des daktyloskopischen Datums zu einem der automatisiert übermittelten Referenzdaten durch eine Expertin oder einen Experten der suchenden Partei (Verifikation).
Das Verfahren gemäß Artikel 6 erfolgt in folgenden Schritten:
1. Die suchende Partei übermittelt das daktyloskopische Datum.
2. Das übermittelte daktyloskopische Datum wird mit den in den Referenzdaten vorhandenen daktyloskopischen Daten der empfangenden Partei automatisiert verglichen.
3. Von der empfangenden Partei wird automatisiert ein Set an ähnlichen Referenzdaten der suchenden Partei zur Verifikation übermittelt.
4. Durch eine Expertin oder einen Experten der suchenden Partei erfolgt die eindeutige Zuordnung des daktyloskopischen Datums zu einem der übermittelten Referenzdaten oder die endgültige Feststellung, dass kein Treffer erzielt wurde.
5. Das weitere Verfahren bei Vorliegen eines bestätigten Treffers erfolgt im Wege der Amts- oder Rechtshilfe gemäß Artikel 7, wobei im Rechtsakt als „Kerndaten“ definierte Daten, welche in einem ersten Arbeitsschritt eine rasche Identifizierung der Trefferpersonen oder Deliktsinformationen ermöglichen, bei technisch vorhandener Realisierung auch in strukturierter Form über sichere Datenleitungen zwischen den nationalen Kontaktstellen beschleunigt übermittelt werden können.
Auf Seiten der abgefragten Partei verläuft das Verfahren durchgängig automatisiert. Die Einzelheiten des technischen Verfahrens werden gemäß Artikel 20 in einem Durchführungsübereinkommen und technischen Handbüchern geregelt, wie bereits in den Erläuterungen zum Artikel 3 erläutert. Die gemäß Artikel 3 vorgesehene automatisierte Suche von DNA-Profilen entspricht in etwa der automatisierten Suche von daktyloskopischen Daten.
Die Verarbeitung der gemäß Artikel 6 übermittelten Daten wird in Artikel 13 Absatz 2 geregelt. Weiters wird jede automatisierte Suche gemäß Artikel 17 Absatz 1 sowohl von der suchenden als auch der empfangenden Partei protokolliert (doppelte Protokollierung).
Die automatisierte Suche darf nur im Einzelfall erfolgen, sodass die suchende Partei jeweils nur ein daktyloskopisches Datum mit den Referenzdaten der empfangenden Parteien vergleichen darf. Der Vergleich darf nur zur Verhütung und Aufklärung von Straftaten sowie zur Unterstützung bei der Identifizierung von vermissten Personen und nichtidentifizierten sterblichen Überresten und nach Maßgabe des Rechts der suchenden Partei erfolgen. Damit ist es nicht notwendig, dass jede Partei die entsprechenden Rechtsvorschriften aller anderen Parteien kennt, um auf deren daktyloskopische Dateien zugreifen zu können. Jede Partei kann daher unter denselben Bedingungen, wie sie für den Zugriff auf die eigenen daktyloskopischen Dateien gelten, auf die daktyloskopischen Dateien der anderen Parteien zugreifen. Die Prüfung der Zulässigkeit erfolgt nach Maßgabe der Bestimmungen dieses Übereinkommens und dem jeweilig geltenden innerstaatlichen Recht.
Nach § 65 SPG sind die Sicherheitsbehörden ermächtigt, einen Menschen, der im Verdacht steht, eine mit Strafe bedrohte Handlung begangen zu haben, erkennungsdienstlich zu behandeln, wenn er im Rahmen einer kriminellen Verbindung tätig wurde oder dies aufgrund seiner Persönlichkeit, wegen der Art oder Ausführung der Tat oder zur Vorbeugung gefährlicher Angriffe erforderlich erscheint. Die Bestimmungen des § 65 SPG sind von der österreichischen Kontaktstelle auch für die automatisierte Suche von daktyloskopischen Daten aus den daktyloskopischen Dateien der anderen Parteien anzuwenden.
Zu Artikel 7 (Übermittlung zusätzlicher personenbezogener Daten und sonstiger Angaben)
Artikel 7 regelt die Übermittlung zusätzlicher personenbezogener Daten und sonstiger Angaben zwischen den Parteien. Die automatisierte Suche und der automatisierte Abgleich von DNA-Profilen gemäß den Artikeln 3 und 4 sowie die automatisierte Suche von daktyloskopischen Daten gemäß Artikel 6 erfolgt im Hit/No Hit-Verfahren (Treffer-/Nichttrefferverfahren). D.h. zunächst wird festgestellt, ob in einer der DNA- beziehungsweise daktyloskopischen Datenbanken der übrigen Parteien übereinstimmende Referenzdaten vorhanden sind. Wird eine Übereinstimmung erzielt welche als Treffer bestätigt werden kann, richtet die suchende Partei ein Ersuchen um Übermittlung der weiteren personenbezogenen Daten und der sonstigen Informationen an jene Partei, in deren DNA-Analysedatei, beziehungsweise daktyloskopischen Dateien, der Treffer erzielt wurde.
Die Anfrage wird nach dem nationalen Recht der anfragenden Partei in Form eines Amts- oder Rechtshilfeersuchens gestellt. Österreich kann diese Anfrage im Rahmen der polizeilichen Amtshilfe nach den §§ 6 ff. des Polizeikooperationsgesetzes – PolKG, BGBl. I Nr. 104/1997 i.d.g.F., iVm Artikel 3, 4 und 6 des gegenständlichen Übereinkommens stellen, bzw. gemäß §§ 3 und 5 PolKG iVm Artikel 3, 4 und 6 des gegenständlichen Übereinkommens eingehende Anfragen auf dieser Rechtsgrundlage beantworten.
Bei vorhandener technischer Realisierung können die als „Kerndaten“ definierten Daten, welche als Erstschritt eine rasche Identifizierung der Trefferpersonen oder Deliktsinformationen ermöglichen, auch in strukturierter Form über sichere Datenleitungen zwischen den nationalen Kontaktstellen beschleunigt übermittelt werden.
Zu Artikel 8 (Nationale Kontaktstellen)
Artikel 8 sieht vor, dass die automatisierte Suche und der automatisierte Abgleich von DNA-Daten gemäß Artikel 3 und 4, die automatisierte Suche nach daktyloskopischen Daten gemäß Artikel 6, die Übermittlung weiterer personenbezogener Daten und sonstiger Angaben gemäß Artikel 7 sowie die automatisierte Suche nach Fahrzeugregisterdaten gemäß Artikel 9 ausschließlich über nationale Kontaktstellen erfolgt. Die Parteien teilen einander die jeweilige zuständige nationale Kontaktstelle mit. Für Österreich wird die Generaldirektion für die öffentliche Sicherheit im Bundeskriminalamt als nationale Kontaktstelle benannt werden. Es handelt sich dabei um jene nationale Kontaktstelle, welche aufgrund der bereits bestehenden Prümer Zusammenarbeit (Prümer Vertrag und Prümer Beschlüsse) existiert. In Absatz 2 wird festgehalten, dass die Übermittlung personenbezogener Daten gemäß der interstaatlichen Rechtslage der Partei, welche die zuständige nationale Kontaktstelle benennt, erfolgt. Der Rechtshilfeweg ist nur insoweit zu beschreiten als dies nationale Rechtsvorschriften der Parteien vorsehen.
Zu Artikel 9 (Automatisierte Suche nach Fahrzeugregisterdaten)
Artikel 9 regelt die automatisierte Suche von Daten aus den Fahrzeugregistern der anderen Parteien. Anders als bei der automatisierten Suche und dem Abgleich von DNA-Profilen und der automatisierten Suche von daktyloskopischen Daten handelt es sich in diesem Fall nicht nur um die bloße Mitteilung, dass ein passender Registerdatensatz vorhanden ist (Übereinstimmung bzw. Treffer), sondern es können direkt die vorgesehenen Daten gelesen werden (Lesezugriff).
Die Parteien gewähren den nationalen Kontaktstellen der anderen Parteien hierbei Zugriff zu folgenden nationalen Fahrzeugregisterdaten:
1. Daten zu Eigentümerinnen und Eigentümern bzw. zu Fahrzeughalterinnen und Fahrzeughaltern.
2. Fahrzeugdaten.
Dabei können z. B. anhand eines bekannten Kfz-Kennzeichens die vollen Fahrzeugdaten (Marke, Type, etc.) und die Daten zu Eigentümerinnen und Eigentümern bzw. zu Fahrzeughalterinnen und Fahrzeughaltern abgerufen werden.
Die automatisierte Suche darf nur im Einzelfall erfolgen. Das heißt, die suchende Partei darf jeweils nur eine automatisierte Suche aus den Fahrzeugregistern der anderen Parteien vornehmen.
Darüber hinaus können Suchen nur anhand einer vollständigen Fahrzeugidentifizierungsnummer oder eines vollständigen Kennzeichens durchgeführt werden.
Die Suche darf nur zu folgenden Zwecken erfolgen:
1. Zur Verhütung und Aufklärung von Straftaten die als Offizialdelikte zu verfolgen sind,
2. zur Unterstützung bei der Identifizierung von vermissten Personen und nichtidentifizierten sterblichen Überresten,
3. zur Verfolgung anderer Verstöße, die in die Zuständigkeit der Gerichte oder der Staatsanwaltschaft bei der suchenden Partei fallen sowie
4. zur Aufrechterhaltung der öffentlichen Sicherheit.
Zum dritten Fall ist festzuhalten, dass darunter keine reinen Verwaltungsdelikte wie geringfügige Geschwindigkeitsüberschreitungen oder Parkvergehen zu verstehen sind, die nicht von Gerichten zu ahnden sind.
Die Beurteilung der Zulässigkeit der Suche erfolgt nach Maßgabe des Rechts der suchenden Partei. Damit ist es nicht notwendig, dass jede Partei die entsprechenden Rechtsvorschriften aller anderen Parteien kennt, um auf deren Kraftfahrzeugregister zugreifen zu können. Jede Partei kann unter denselben Bedingungen auf die Kraftfahrzeugregister der anderen Parteien zugreifen, wie sie für den Zugriff auf die eigenen Kraftfahrzeugregister gelten. Die Prüfung der Zulässigkeit erfolgt nur nach Maßgabe der Bestimmungen dieses Übereinkommens und dem jeweils geltenden innerstaatlichen Recht.
Die Auskunftserteilung aus der durch das Bundesministerium für Inneres geführten zentralen Zulassungsevidenz ist in § 47 Absatz 4 des Kraftfahrgesetzes 1967 – KFG, BGBl. Nr. 267 i.d.g.F., geregelt. Demnach sind Auskünfte im Wege der Datenfernverarbeitung den in § 47 Absatz 4 KFG angeführten Behörden zu erteilen, soweit diese zur Wahrnehmung der ihnen übertragenen Aufgaben eine wesentliche Voraussetzung bilden. Gemäß § 136 Absatz 3b KFG ist der Bundesminister für Inneres im Einvernehmen mit dem Bundesminister für Verkehr, Innovation und Technik (nunmehr Bundesministerin für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie) mit der Vollziehung des § 47 Absatz 4 KFG betraut.
Die automatisierte Suche von Daten aus Fahrzeugregistern erfolgt ausschließlich über die nationalen Kontaktstellen. Die Parteien teilen einander die jeweilige zuständige nationale Kontaktstelle mit. Für Österreich wird die Generaldirektion für die öffentliche Sicherheit, Bundeskriminalamt als nationale Kontaktstelle benannt. Das Übereinkommen trifft keine Aussagen über die Befugnisse der nationalen Kontaktstellen, sondern überlässt dies dem nationalen Recht.
Gemäß Absatz 2 sind die näheren Ausgestaltungen des technischen Verfahrens der automatisierten Suche von Daten aus den Fahrzeugregistern in technischen Benutzerhandbüchern festzulegen, welche keinen rechtsverbindlichen Charakter haben und bei Bedarf ohne kompliziertes Verfahren angepasst werden können. Diese wurden bereits vor Abschluss des Übereinkommens durch Fachleute der Parteien erstellt und gelangen zwischen diesen zur Anwendung.
Zu Kapitel III (Gemeinsame Bestimmungen zum Datenaustausch)
In Kapitel III werden von den Parteien die Grundsätze sowie die technischen und organisatorischen Vorgaben für den Austausch von DNA- und daktyloskopischen Daten festgelegt.
Zu Artikel 10 (Grundsätze für den Austausch von DNA-Daten und daktyloskopischen Daten)
Artikel 10 legt Grundsätze für den Austausch von DNA – Daten und daktyloskopischen Daten fest.
In Absatz 1 und Absatz 2 wird festgehalten, dass bestehende Standards beim Austausch von DNA- und daktyloskopischen Daten eingehalten werden und die Suche und der Abgleich innerhalb einer dezentralen Struktur abgewickelt werden. Es wird von den Parteien keine zentrale Datenbank eingerichtet.
In Absatz 3 und 4 ist vorgesehen, dass die Parteien geeignete Maßnahmen internationalen Standards, beispielsweise aktuelle Standards internationaler technischer oder forensischer Normungsinstitute wie etwa ANSI/NIST, ENFSI, EU DG Digit, entsprechend zur Gewährleistung der Vertraulichkeit, Integrität und Verschlüsselung der übermittelten Daten setzen.
Zu Artikel 11 (Technische und organisatorische Vorgaben)
Artikel 11 sieht die Einhaltung gemeinsamer technischer Vorgaben bei allen Antworten und Anfragen vor. Diese werden im Durchführungsübereinkommen und den Benutzerhandbüchern festgelegt.
Zu Kapitel IV (Datenschutz)
Kapitel IV legt die einschlägigen Datenschutzbestimmungen fest.
Zu Artikel 12 (Datenschutzniveau)
Artikel 12 enthält die Verpflichtung der Parteien in ihren jeweiligen nationalen Rechtsordnungen den Schutz von personenbezogenen Daten bei der Übermittlung personenbezogener Daten vorzusehen, welcher den Standards der Richtlinie (EU) 2016/680, dem relevanten Europaratsübereinkommen sowie der Europaratsempfehlung entspricht.
Zu Artikel 13 (Zweckbindung)
Artikel 13 legt für sämtliche auf Grund des Übereinkommens ausgetauschten personenbezogenen Daten das Gebot der strikten Zweckbindung fest. Die vorgesehenen Zwecke (z. B.: „strafrechtliche Ermittlungen“ in Artikel 3 Absatz 1 des Übereinkommens) müssen bereits vor der Übermittlung feststehen und dürfen nicht willkürlich nachträglich verändert werden. Eine Verarbeitung zu anderen Zwecken durch die empfangende Partei kommt nur ausnahmsweise im Einzelfall in Betracht, und zwar nach Einholung der Genehmigung durch die Partei, welche die betreffenden Daten und Informationen bereitgestellt hat. Letztere darf eine solche Genehmigung nur nach Maßgabe ihres innerstaatlichen Rechts erteilen. Die diesbezüglichen innerstaatlichen Rechtsgrundlagen haben sich wiederum insbesondere an den Rahmen, den die in Artikel 12 zitierten Rechtsinstrumente vorgeben, zu halten. Zu verweisen ist hier etwa konkret auf die Richtlinie (EU) 2016/680 sowie auf das relevante Europaratsübereinkommen.
Für die Weitergabe von Daten durch Sicherheitsbehörden an andere staatliche Stellen oder private Stellen statuiert Artikel 5 der Europaratsempfehlung wichtige Grundsätze, auf die an dieser Stelle verwiesen sei. In Österreich setzt die Übermittlung an andere staatliche Behörden und Private auf Grund der klaren Vorgaben des § 1 Absatz 2 DSG stets eine gesetzliche Grundlage voraus, welche in ihrer Bestimmtheit an Artikel 18 B-VG bzw. Artikel 8 EMRK iVm der dazu ergangenen Judikatur zu messen ist. An bestehenden gesetzlichen Grundlagen ist hier neben dem DSG im Wesentlichen auf die §§ 56 und 71 SPG und §§ 8 f PolKG zu verweisen. Letztere Bestimmungen sehen keine spezifischen Ermächtigungen für österreichische Sicherheitsbehörden zur Erteilung von Genehmigungen an ausländische Sicherheitsbehörden zur Weiterverwendung von Daten für vom ursprünglichen Übermittlungszweck abweichende oder mit diesem „unvereinbare“ Zwecke vor. In Bezug auf personenbezogene Daten, die von Sicherheitsorganisationen oder ausländischen Sicherheitsbehörden übermittelt worden sind, bestimmt § 9 Absatz 1 PolKG, dass diese nur mit vorheriger Zustimmung der übermittelnden Stelle zu anderen als den der Übermittlung zugrundeliegenden Zwecken verwendet werden dürfen. Selbst wenn eine solche vorliegt, muss die Verhältnismäßigkeit und damit innerstaatliche Zulässigkeit einer Weiterverwendung zusätzlich anhand der Verfassungsbestimmung des § 1 Absatz 2 DSG geprüft werden. Zusammenfassend ist daher festzustellen, dass einer Weiterverwendung personenbezogener Daten, die nach dem vorliegenden Übereinkommen übermittelt werden, für andere als die der Übermittlung zugrundeliegenden Zwecke sehr enge Grenzen gesetzt sind.
Die Absätze 2, 3 und 4 sind als eine Konkretisierung des allgemeinen Grundsatzes der Zweckbindung mit Blick für die spezifischen Fälle der automatisierten Suche bzw. des Abgleichs von Daten nach den Art. 3, 4, 6 und 9 des Übereinkommens zu verstehen.
Zu Artikel 14 (Zuständige Behörden)
Artikel 14 ist in engem Zusammenhang mit dem in Artikel 13 niedergelegten Zweckbindungsprinzip zu sehen. Eine Verarbeitung übermittelter Daten durch andere als die unmittelbar zuständigen Behörden würde das Zweckbindungsprinzip unterlaufen.
Zu Artikel 15 (Richtigkeit, Aktualität und Speicherungsdauer der Daten)
In Artikel 15 legen die Parteien Bestimmungen betreffend die Richtigkeit, Aktualität und Speicherung der übermittelten Daten fest. Wie schon Artikel 5 lit. d des relevanten Europaratsübereinkommens betont Artikel 15 Absatz 1 die Verpflichtung der Parteien, auf die Richtigkeit und Aktualität der personenbezogenen Daten zu achten. In der Erwägung, dass Aktualität, Richtigkeit und allfällige Höchstfristen für die Aufbewahrung grenzüberschreitend ausgetauschter Informationen jeweils nur bei wechselseitiger Unterstützung der beteiligten Parteien gewährleistet werden können, beinhalten Artikel 15 Absatz 1 und 3 neben entsprechenden Prüf-, Korrektur- und Löschungspflichten insbesondere ausdrückliche gegenseitige Informationspflichten über festgestellte Unrichtigkeiten, unzulässige Übermittlungen oder durchzuführende Löschungen. Wird von einer Partei angenommen, dass es durch die Löschung der Daten zu einer Beeinträchtigung schutzwürdiger Interessen des/der Betroffenen kommt, werden die Daten, nach Maßgabe des innerstaatlichen Rechts der jeweiligen Partei, aufbewahrt. Ein denkbarer Anwendungsfall wäre ein Beweissicherungsinteresse des/der Betroffenen während der Dauer eines noch anhängigen Beschwerdeverfahrens.
Wird die Richtigkeit von Daten von dem/der Betroffenen bestritten und ist deren Richtigkeit oder Unrichtigkeit nicht feststellbar, so sind diese Daten gemäß Artikel 15 Absatz 2 auf Verlangen des/der Betroffenen entsprechend zu kennzeichnen und sind diese nur nach Maßgabe des innerstaatlichen Rechts mit Zustimmung des/der Betroffenen oder mit Beschluss des zuständigen Gerichts oder der Datenschutzbehörde aufzuheben.
Zu Artikel 16 (Technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit)
Artikel 16 enthält Regelungen betreffend die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit. Eine allgemeine Verpflichtung zu Datensicherheitsmaßnahmen gemäß Absatz 1 enthält bereits Artikel 7 des relevanten Europaratsübereinkommens sowie Artikel 4 Absatz 1 Ziffer f der Richtlinie (EU) 2016/680. Innerstaatlich ist insbesondere auf § 37 Absatz 1 Ziffer 6 DSG zu verweisen. Der legislative Mehrwert des Artikels 16 Absatz 1 liegt darin, dass hier konkret sowohl die übermittelnde als auch die empfangende Stelle ausdrücklich zu einschlägigen Sicherheitsvorkehrungen verpflichtet werden.
Die Spezifik der automationsunterstützten Such- bzw. Abgleichverfahren (vgl. dazu wieder Artikel 3, 4, und 9 des Übereinkommens) erfordert besondere technische Vorkehrungen zur Gewährleistung von Datenschutz und Datensicherheit. Um das vorliegende Übereinkommen nicht mit technischen Details zu überfrachten, deren konkrete Ausgestaltung zudem vom jeweiligen „Stand der Technik“ abhängt, verweist Artikel 16 Absatz 2 auf das Durchführungsübereinkommen gemäß Artikel 20 des Übereinkommens, welches gleichzeitig mit dem vorliegenden Übereinkommen erstellt, verhandelt und unterzeichnet worden ist.
Zu Artikel 17 (Dokumentation und Protokollierung: besondere Vorschriften für die automatisierte und nichtautomatisierte Übermittlung)
Artikel 17 kommt durch die Regelung der Dokumentations- und Protokollierungspflichten eine zentrale Bedeutung zu. Die strikte Einhaltung dieser Pflichten ist die Voraussetzung für die wirksame nachprüfende Kontrolle der Rechtmäßigkeit von Datenübermittlungen. Die Bestimmung sieht eine generelle „Vollprotokollierung“ vor, d. h. jede Übermittlung und jeder Empfang personenbezogener Daten sind in Bezug auf Anlass, Inhalt, Datum etc. festzuhalten (vgl. Artikel 17 Absatz 1 und Absatz 2 lit. b des Übereinkommens). Darüber hinaus haben bei den automationsunterstützten Such- bzw. Abgleichverfahren nach Artikel 3, 4, 6 und 9 die jeweils anfragenden Stellen nicht nur die Kennung der Beamtin oder des Beamten, die oder der eine automatisierte Suche durchführt, zu protokollieren, sondern auch die Kennung der Beamtin oder des Beamten, die oder der die Anfrage oder Übermittlung veranlasst hat. Auf diese Weise soll die Rückverfolgbarkeit von automatisierten Suchen nicht nur bis zu einem bestimmten Terminal in einer Zentralstelle ermöglicht werden, sondern bis hin zu jener Person, die die Information letztlich in einem bestimmten Fall angefordert bzw. verwendet hat (vgl. Artikel 17 Absatz 2 letzter Absatz).
Zur Kontrolle des Datenschutzes oder zur Sicherstellung der Datensicherheit teilt die protokollierende Stelle nach Artikel 17 Absatz 3 die Protokolldaten den für die Datenschutzkontrolle zuständigen Stellen der betreffenden Partei auf Ersuchen unverzüglich, spätestens jedoch innerhalb von vier Wochen nach Eingang des Ersuchens mit.
Sowohl im Falle der konventionellen Datenübermittlung als auch im Fall der automatisierten Suche sind die Protokolldaten zwei Jahre aufzubewahren und danach unverzüglich zu löschen (vgl. Artikel 17 Absatz 4).
Aus Artikel 17 Absatz 5 Satz 1 ergibt sich, dass durch das Übereinkommen keine neuen datenschutzspezifischen zwischenstaatlichen Kontrollinstanzen eingerichtet werden. Die Datenschutzkontrolle obliegt vielmehr den für die Datenschutzkontrolle zuständigen unabhängigen Stellen bzw. Justizbehörden der jeweiligen Parteien. In Österreich ist dies die Datenschutzbehörde, welcher diese Aufgaben bereits unter anderem aufgrund des Prümer Vertrages sowie der Prümer Beschlüsse zukommen. Hervorzuheben ist in diesem Kontext, dass die unabhängigen Datenschutzkontrollbehörden der Parteien nicht nur das Recht haben, Protokolldaten zum Zweck der nachprüfenden Kontrolle anzufordern, sondern sogar ausdrücklich verpflichtet sind, in gewissen Abständen Stichproben zu ziehen und auf dieser Basis zusammen mit den zugrundeliegenden Aktenfällen die Rechtmäßigkeit bestimmter Anfragen zu prüfen (vgl. Artikel 17 Absatz 5 Satz 3). Für die Aufbewahrung der Ergebnisse dieser Kontrolltätigkeit gelten kürzere Fristen als für die Protokolldaten im Sinne der Absätze 1 bis 4 des Artikel 17.
Zu Artikel 18 (Rechte von Betroffenen auf Auskunft und Schadenersatz)
Artikel 18 Absatz 1 greift die Vorgaben des inhaltlich korrespondierenden Artikel 8 des relevanten Europaratsübereinkommens sowie der Europaratsempfehlungen bzw. der Richtlinie EU 2016/680 auf. Die Bestimmung ist darüber hinaus auch durch die umfassend konzipierte Auskunftsregelung des DSG inspiriert.
Im Übrigen entspricht das institutionelle Rechtsschutzkonzept des Artikel 18 Absatz 1 jenem der Richtlinie EU 2016/680. Konkret bedeutet dies die Verpflichtung der Parteien sowohl einen gerichtlichen Rechtsschutz gegen Datenschutzverletzungen im Allgemeinen vorzusehen, als auch einen zusätzlichen Zugang des/der Betroffenen zu einer spezialisierten unabhängigen Datenschutzkontrollbehörde zu gewährleisten. In Österreich fungiert als zuständige Instanz für Beschwerden gegen Auftraggeber im öffentlichen Bereich die Datenschutzbehörde. Dabei vereint sie jedenfalls im öffentlichen Bereich die Rolle des Gerichts im Sinne des Artikel 6 Absatz 1 EMRK und jene der spezialisierten Kontrollstelle im Sinne der Richtlinie EU 2016/680.
Absatz 2 soll einem/r geschädigten Betroffenen die Geltendmachung seiner Schadenersatzansprüche am Ort des Schadenseintritts erleichtern, und zwar unabhängig davon, ob die Unrichtigkeit der Daten von der den Schaden unmittelbar verursachenden Stelle zu verantworten ist oder von der übermittelnden Stelle.
Zu Artikel 19 (Auskunft auf Ersuchen der Parteien)
Artikel 19 wirkt zwar nur im Verhältnis der Sicherheitsbehörden der Parteien untereinander, kann aber auch im Interesse des/der Betroffenen zur Aufklärung von Datenmissbräuchen genutzt werden.
Zu Kapitel V (Schlussbestimmungen)
Kapitel V enthält, wie in internationalen Verträgen üblich, insbesondere Bestimmungen über Durchführungsübereinkommen, die Umsetzung, Anwendung, das Inkrafttreten, die Kündigung und Suspendierungsmöglichkeit.
Zu Artikel 20 (Durchführungsübereinkommen und Benutzerhandbücher)
Artikel 20 Absatz 1 sieht den Abschluss eines Durchführungsübereinkommens zum vorliegenden Übereinkommen vor. Ein entsprechendes Durchführungsübereinkommen wurde von den Parteien zeitgleich mit dem vorliegenden Übereinkommen erstellt, verhandelt und am 13. September 2018 unterzeichnet.
Absatz 2 regelt die Erstellung der Benutzerhandbücher, welche insbesondere in Ergänzung zum Übereinkommen administrative und technische Informationen enthalten, um einen effizienten und effektiven Datenaustausch zu gewährleisten und keinen rechtsverbindlichen Charakter haben.
Zu Artikel 21 (Evaluierung des Datenaustausches)
Artikel 21 Absatz 1 legt fest, dass die administrative, technische und finanzielle Umsetzung des Datenaustausches vor der Echtbetriebsaufnahme in den jeweiligen Datenkategorien durch einen bereits operativen Partnerstaat vorzunehmen ist. Der Umfang und Inhalt dieser Evaluierungsprüfung ist in den technischen Handbüchern detailliert geregelt und muss unter anderem auch technische Testläufe mit standardisierten Testdaten umfassen, in welchen die richtige Funktionsweise geprüft wird. Die Evaluierungsberichte sind allen Mitgliedstaaten vorzulegen. Der Datenaustausch startet erst, sobald die gemeinsame Arbeitsgruppe mit Vertreterinnen und Vertretern aller Partnerstaaten diesen Evaluierungsbericht mit Bestätigung der rechtskonformen Umsetzung akzeptiert hat. Im Bedarfsfall können wiederholende Evaluierungen vorgenommen werden.
Absatz 2 sieht vor, dass sich diese Arbeitsgruppe aus Vertretern der Parteien zusammensetzt und auf Ersuchen einer Partei oder regelmäßig alle fünf Jahre zusammentritt.
Zu Artikel 22 (Verhältnis zu anderen internationalen Übereinkommen)
Artikel 22 regelt das Verhältnis des Übereinkommens zu anderen internationalen Übereinkommen.
Absatz 1 hält fest, dass das Übereinkommen Rechte und Verpflichtungen der Parteien welche sich aus anderen internationalen Übereinkommen ergeben, nicht berührt.
Gemäß Absatz 2 erfolgt die Zusammenarbeit der Parteien für den Fall, dass das Übereinkommen explizit nichts Anderes vorsieht, im Einklang mit dem jeweiligen nationalen Recht der Parteien.
Zu Artikel 23 (Umsetzung und Anwendung)
Artikel 23 Absatz 1 sieht Mitteilungspflichten der Parteien gegenüber dem Depositär hinsichtlich der Erfüllung der Verpflichtungen aus dem Übereinkommen sowie der Benennung der nationalen Kontaktstellen vor. Entsprechend abgegebene Erklärungen können hierbei jederzeit abgeändert werden.
Absatz 2 bestimmt, dass eine Partei zur Anwendung des Übereinkommens umgehend berechtigt ist, sobald eine positive Evaluierung nach diesem Übereinkommen (Artikel 21) oder im Rahmen der Europäischen Union vorliegt. Dies gilt in Bezug auf alle anderen Parteien, für die das Übereinkommen in Kraft getreten ist und die eine positive Bewertung erhalten haben. Der Depositär ist von der betreffenden Partei hierüber in Kenntnis zu setzen.
Zu Artikel 24 (Depositär)
Artikel 24 legt für das Übereinkommen die Republik Serbien als Depositär fest.
Der Republik Serbien kommen als Depositär folgende Pflichten zu:
– Sie übermittelt jedem Unterzeichnerstaat eine beglaubigte Abschrift des Übereinkommens.
– Sie notifiziert den anderen Parteien Ratifikationen, Annahmen, Genehmigungen oder Beitritte, sowie alle sonstigen Erklärungen im Zusammenhang mit diesem Übereinkommen.
– Sie notifiziert allen Parteien den Zeitpunkt des Inkrafttretens des Übereinkommens gemäß Artikel 26.
Zu Artikel 25 (Ratifikation, Annahme, Genehmigung, Beitritt oder Vorbehalte)
Gemäß Artikel 25 bedarf das Übereinkommen der Ratifikation, der Annahme oder der Genehmigung durch die Parteien. Darüber hinaus steht es jedem Vertragsstaat der PCC SEE offen, dem Übereinkommen beizutreten. Die entsprechenden Erklärungen sind gemäß Artikel 24 beim Depositär zu verwahren. Gemäß Absatz 3 können von den Parteien keine Vorbehalte zum Übereinkommen abgegeben werden.
Zu Artikel 26 (Inkrafttreten)
Artikel 26 regelt das Inkrafttreten des Übereinkommens. Es tritt 60 Tage nach Hinterlegung der zweiten Ratifikations-, Annahme-, Genehmigungs- oder Beitrittsurkunde zwischen den beiden Parteien, die ratifiziert haben, in Kraft. Für die nachfolgenden Parteien tritt das Übereinkommen 60 Tage nach Hinterlegung der Ratifikations-, Annahme-, Genehmigungs- oder Beitrittsurkunde in Kraft.
Zu Artikel 27 (Kündigung und Suspendierung)
Artikel 27 sieht eine Kündigungs- sowie eine Suspendierungsmöglichkeit des Abkommens vor und regelt die dafür vorgesehene formelle Vorgehensweise.
Gemäß Absatz 1 ist das Übereinkommen auf unbestimmte Zeit abgeschlossen und kann durch schriftliche, an den Depositär gerichtete, Notifikation gekündigt werden, wobei laut Absatz 2 die Kündigung binnen sechs Monaten nach Eingang der Notifikation beim Depositär wirksam wird.
Absatz 3 sieht vor, dass unabhängig von der Beendigung des Übereinkommens die Bestimmungen des Kapitels IV des Abkommens über den Datenschutz weiter anzuwenden sind.
Absatz 4 sieht die Möglichkeit der gänzlichen oder teilweisen Suspendierung des Übereinkommens durch die Parteien vor, wenn dies notwendig ist, um die öffentliche Ordnung aufrechtzuerhalten bzw. die nationale Sicherheit oder öffentliche Gesundheit zu schützen. Die Parteien haben die Suspendierung oder die Aufhebung der Suspendierung dem Depositär unverzüglich mitzuteilen und diese wird 15 Tage nach Eingang der Notifikation wirksam. Der Depositär hat die übrigen Parteien über die jeweilige Notifikation zu informieren.