25.10.2008   

DE

Amtsblatt der Europäischen Union

C 270/1

1.

Das Binnenmarktinformationssystem (Internal Market Information System — IMI) ist ein Instrument der Informationstechnologie, mit dem die zuständigen Verwaltungen der Mitgliedstaaten bei der Durchführung binnenmarktrelevanter Rechtsakte Informationen austauschen können. Das IMI wird im Rahmen des IDABC-Programms (Interoperabilität europaweiter elektronischer Behördendienste für öffentliche Verwaltungen, Unternehmen und Bürger) (1) finanziert.

2.

Das IMI ist als allgemeines System zur Erleichterung der Durchführung binnenmarktrelevanter Rechtsakte in zahlreichen Bereichen konzipiert, und es ist geplant, seine Verwendung künftig auf eine Reihe weiterer Legislativbereiche auszudehnen. Zunächst wird das IMI zur Unterstützung der Amtshilfebestimmungen der Richtlinie 2005/36/EG („Anerkennung von Berufsqualifikationen“) (2) genutzt werden. Ab Dezember 2009 wird das IMI auch zur Unterstützung der Zusammenarbeit zwischen den Verwaltungen im Rahmen der Richtlinie 2006/123/EG („Dienstleistungsrichtlinie“) (3) genutzt werden.

3.

Im Frühjahr 2007 ersuchte die Europäische Kommission die Datenschutzgruppe „Artikel 29“, die Datenschutzaspekte des IMI zu prüfen. Die Datenschutzgruppe hat ihre Stellungnahme am 20. September 2007 abgegeben (4). In der Stellungnahme wurden die Pläne der Kommission befürwortet, eine Entscheidung zur Regelung der Datenschutzaspekte des IMI anzunehmen und für den Datenaustausch innerhalb des IMI eine spezifischere Rechtsgrundlage zu schaffen.

4.

Der EDSB begrüßt, dass die Kommission die Datenschutzgruppe vor der Ausarbeitung der IMI-Entscheidung um Stellungnahme ersucht hat. Der EDSB hat sich aktiv an den Arbeiten der Untergruppe beteiligt, die sich mit dem IMI befasst, und schließt sich den Schlussfolgerungen der Stellungnahme der Datenschutzgruppe an. Er begrüßt auch, dass die Kommission den EDSB vor der Annahme der IMI-Entscheidung informell konsultiert hat. So konnten bereits vor der Annahme Anregungen gegeben werden, was insbesondere notwendig war, weil das Verfahren nicht einen Vorschlag der Kommission, an den sich das Legislativverfahren mit Beteiligung des Rates und des Europäischen Parlaments anschließt, sondern eine Entscheidung der Kommission selbst betraf.

5.

Am 12. Dezember 2007 hat die Kommission ihre Entscheidung 2008/49/EG über den Schutz personenbezogener Daten bei der Umsetzung des Binnenmarktinformationssystems (IMI) (im folgenden „IMI-Entscheidung“) angenommen. In der Entscheidung wurden einige der Empfehlungen des EDSB und der Datenschutzgruppe berücksichtigt. Außerdem wurde darin die Rechtsgrundlage festgelegt.

6.

Allgemein beurteilt der EDSB das IMI positiv. Der EDSB befürwortet die Ziele der Kommission bei der Schaffung eines elektronischen Systems für den Informationsaustausch und bei der Regelung von dessen Datenschutzaspekten. Ein derartiges vereinheitlichtes System dürfte nicht nur die Effizienz der Zusammenarbeit erhöhen, sondern auch dazu beitragen, die Einhaltung der geltenden Datenschutzbestimmungen zu gewährleisten, und zwar dadurch, dass ein klarer Rahmen dafür geschaffen wird, welche Information mit wem unter welchen Bedingungen ausgetauscht werden darf.

7.

Die Schaffung eines elektronischen Zentralsystems birgt jedoch auch gewisse Risiken, nämlich in erster Linie, dass mehr Daten gemeinsam und in größerem Umfang gemeinsam genutzt werden könnten, als dies für den Zweck einer effizienten Zusammenarbeit unbedingt erforderlich ist, und dass Daten, einschließlich möglicherweise veralteter und unzutreffender Daten, länger als nötig in dem elektronischen System gespeichert werden könnten. Die Sicherheit einer Datenbank, die in 27 Mitgliedstaaten zugänglich ist, ist ebenfalls ein heikles Thema, da das System nur so sicher ist wie das schwächste Glied des Netzes.

8.

Daher ist es von großer Bedeutung, dass der Datenschutz in einem rechtlich bindenden Gemeinschaftsinstrument so umfassend und eindeutig wie möglich geregelt wird.

9.

Der EDSB begrüßt, dass die Kommission den Anwendungsbereich des IMI klar definiert und abgrenzt, wobei die einschlägigen Gemeinschaftsrechtsakte, aufgrund deren Informationen ausgetauscht werden können, in einem Anhang aufgeführt sind. Dazu gehört derzeit lediglich die Richtlinie über die Anerkennung von Berufsqualifikationen und die Dienstleistungsrichtlinie; der Anwendungsbereich des IMI dürfte in Zukunft jedoch erweitert werden. Bei der Annahme neuer Rechtsvorschriften, in denen ein Informationsaustausch mittels des IMI vorgesehen ist, wird gleichzeitig der Anhang aktualisiert. Der EDSB begrüßt dieses Vorgehen, da hierdurch i) der Anwendungsbereich des IMI klar festgelegt und ii) Transparenz gewährleistet wird, während zugleich iii) Flexibilität für den Fall eingeräumt wird, dass das IMI künftig für den Austausch weiterer Informationen verwendet wird. Dadurch ist ferner sichergestellt, dass mittels des IMI kein Informationsaustausch durchgeführt werden kann, i) ohne dass es eine geeignete Rechtsgrundlage in spezifischen binnenmarktrelevanten Rechtsakten gibt, die den Informationsaustausch zulassen oder vorschreiben, und ii) ohne dass in den Anhang zur IMI-Entscheidung ein Bezugsvermerk auf diese Rechtsgrundlage aufgenommen wird.

10.

Der EDSB bemängelt jedoch i) die Wahl der Rechtsgrundlage der IMI-Entscheidung, was bedeutet, dass die IMI-Entscheidung sich derzeit auf eine unsichere Rechtsgrundlage (siehe Abschnitt 2 dieser Stellungnahme) stützt, und ii) den Umstand, dass eine Reihe erforderlicher Bestimmungen, die die Datenschutzaspekte des IMI im einzelnen regeln, nicht in den Text aufgenommen wurden (siehe Abschnitt 3 der Stellungnahme).

11.

Bedauerlicherweise bedeutet die von der Kommission gewählte Lösung, dass die IMI-Entscheidung entgegen den Erwartungen des EDSB und der Datenschutzgruppe nicht alle wichtigen Datenschutzaspekte des IMI umfassend regelt; dies gilt unter anderem für die Art und Weise, in der die gemeinsam für die Verarbeitung Verantwortlichen die Verantwortung für die Datenschutzhinweise teilen und das Auskunftsrecht der Betroffenen für die spezifischen praktischen Fragen der Verhältnismäßigkeit. Der EDSB bedauert auch, dass die Kommission nicht gehalten ist, die vordefinierten Fragen und Datenfelder auf ihrer Website zu veröffentlichen, was zu einer größeren Transparenz und Rechtssicherheit beitragen würde.

12.

Die Rechtsgrundlage der IMI-Entscheidung bildet, wie in der Entscheidung selbst dargelegt, der Beschluss 2004/387/EG des Europäischen Parlaments und des Rates vom 21. April 2004 über die interoperable Erbringung europaweiter elektronischer Behördendienste (eGovernment-Dienste) für öffentliche Verwaltungen, Unternehmen und Bürger („IDABC-Beschluss“) (5), insbesondere dessen Artikel 4.

13.

Der IDABC-Beschluss seinerseits ist ein Rechtsakt im Rahmen des Titels XV „Transeuropäische Netze“ des Vertrags zur Gründung der Europäischen Gemeinschaft („EG-Vertrag“). Nach Artikel 154 des EG-Vertrags trägt die Gemeinschaft zum Auf- und Ausbau transeuropäischer Netze in den Bereichen der Verkehrs-, Telekommunikations- und Energieinfrastruktur bei. Diese Tätigkeit zielt auf die Förderung des Verbunds und der Interoperabilität der einzelstaatlichen Netze sowie des Zugangs zu diesen Netzen ab. In Artikel 155 werden die Maßnahmen aufgeführt, die die Gemeinschaft in diesem Rahmen ergreifen kann, nämlich i) Leitlinien, ii) Aktionen, die sich gegebenenfalls als notwendig erweisen, um die Interoperabilität der Netze zu gewährleisten, insbesondere im Bereich der Harmonisierung der technischen Normen, und iii) Unterstützung von Vorhaben. Der IDABC-Beschluss stützt sich auf Artikel 156 Absatz 1 über das Verfahren zur Festlegung der Maßnahmen.

14.

In Artikel 4 des IDABC-Beschlusses ist u. a. vorgesehen, dass die Gemeinschaft Projekte von gemeinsamem Interesse durchführt. Diese müssen Teil eines fortlaufenden Arbeitsprogramms sein und die Durchführung muss mit den in den Artikeln 6 und 7 des IDABC-Beschlusses aufgeführten Grundsätzen im Einklang stehen, nämlich in erster Linie: breite Beteiligung, solides und unparteiisches Verfahren sowie Harmonisierung der technischen Normen. Außerdem soll die wirtschaftliche Seriosität und Durchführbarkeit der Projekte sichergestellt werden.

15.

Wie bereits dargelegt, wird das Binnenmarktinformationssystem in der Anfangsphase für den Austausch personenbezogener Daten im Rahmen von zwei Richtlinien genutzt werden:

16.

Artikel 34 Absatz 1 der Dienstleistungsrichtlinie bildet die spezifische Rechtsgrundlage für die Einrichtung eines elektronischen Systems für den Austausch von Informationen zwischen den Mitgliedstaaten als flankierende Maßnahme für die Zwecke der Richtlinie. Artikel 34 Absatz 1 lautet: „Die Kommission richtet in Zusammenarbeit mit den Mitgliedstaaten ein elektronisches System für den Austausch von Informationen zwischen den Mitgliedstaaten ein, wobei sie bestehende Informationssysteme berücksichtigt.“

17.

In der Richtlinie über die Anerkennung von Berufsqualifikationen ist kein spezifisches elektronisches System für den Informationsaustausch vorgesehen, jedoch wird der Informationsaustausch in mehreren Bestimmungen eindeutig vorgeschrieben. Zu den einschlägigen Bestimmungen, die den Informationsaustausch vorschreiben, gehört Artikel 56 der Richtlinie, dem zufolge die zuständigen Behörden der Mitgliedstaaten eng zusammenarbeiten und einander Amtshilfe leisten, um die Anwendung dieser Richtlinie zu erleichtern. Nach Artikel 56 Absatz 2 sind bei der Verarbeitung sensibler Daten die Datenschutzvorschriften einzuhalten. Außerdem ist in Artikel 8 ausdrücklich vorgesehen, dass die zuständigen Behörden des Aufnahmemitgliedstaats von den zuständigen Behörden des Niederlassungsmitgliedstaats alle Informationen über die Rechtmäßigkeit der Niederlassung und die gute Führung des Dienstleisters, sowie Informationen darüber anfordern können, dass keine berufsbezogenen disziplinarischen oder strafrechtlichen Sanktionen vorliegen. Schließlich kann nach Artikel 50 Absatz 2 der Aufnahmemitgliedstaat bei berechtigten Zweifeln von den zuständigen Behörden eines Mitgliedstaats eine Bestätigung der Authentizität der in jenem Mitgliedstaat ausgestellten Bescheinigungen und Ausbildungsnachweise verlangen.

18.

Der Schutz personenbezogener Daten ist in Artikel 8 der Grundrechtecharta der Union und durch Rechtsprechung aufgrund des Artikels 8 der Europäischen Menschenrechtskonvention („EMRK“) als Grundrecht anerkannt.

19.

Nach Artikel 1 der IMI-Entscheidung werden in dieser Entscheidung die Funktionen, Rechte und Pflichten der IMI-Akteure und IMI-Nutzer im Hinblick auf Datenschutzanforderungen festgelegt. Der EDSB entnimmt dem Erwägungsgrund 7, dass die IMI-Entscheidung als Festlegung des allgemeinen Gemeinschaftsrahmens für den Datenschutz gemäß der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 konzipiert ist. Sie befasst sich insbesondere mit der Definition der für die Verarbeitung Verantwortlichen und ihren Zuständigkeiten, dem Zeitraum für die Datenaufbewahrung und den Rechten der betroffenen Personen. Die IMI-Entscheidung betrifft somit die Einschränkung bzw. Spezifizierung von Grundrechten und zielt darauf ab, die subjektiven Rechte der Bürger festzulegen.

20.

Aufgrund der Rechtsprechung zur EMRK sollte kein Zweifel über den rechtlichen Status von Bestimmungen bestehen, die die Grundrechte einschränken. Diese Bestimmungen müssen in einem Rechtsakt, gestützt auf den EG-Vertrag, niedergelegt sein, der vor Gericht geltend gemacht werden kann. Anderenfalls würde Rechtsunsicherheit für die betroffene Person entstehen, da sie sich nicht darauf verlassen kann, sich vor Gericht auf die Vorschriften berufen zu können.

21.

Die Frage der Rechtssicherheit ist sogar noch bedeutender, da im Rahmen des EG-Vertrags in erster Linie die nationalen Gerichte zu entscheiden haben werden, welchen Wert sie der IMI-Entscheidung beimessen. Dies könnte zu unterschiedlichen Ergebnissen in den einzelnen Mitgliedstaaten, ja sogar innerhalb ein und desselben Mitgliedstaates führen. Eine derartige Rechtsunsicherheit ist nicht hinzunehmen.

22.

Das Fehlen eines Rechtsmittels (bzw. der Gewissheit, über ein Rechtsmittel zu verfügen) würde auf jeden Fall Artikel 6 der EMRK, in dem das Recht auf ein faires Verfahren niederlegt ist, und der Rechtsprechung zu diesem Artikel zuwiderlaufen. In diesem Fall würde die Gemeinschaft ihren Verpflichtungen nach Artikel 6 des EG-Vertrags über die Europäische Union („VEU“) nicht nachkommen, dem zufolge die Union die Grundrechte, wie sie von der EMRK gewährleistet werden, achtet.

23.

Der EDSB hegt starke Bedenken, ob die Verfasser der Kommissionsentscheidung durch die Wahl des Artikels 4 des IDABC-Beschlusses als Rechtsgrundlage der Entscheidung die oben skizzierte Anforderung der Rechtssicherheit erfüllt haben. Der EDSB führt im folgenden die Elemente auf, die Zweifel an der Angemessenheit der Wahl der Rechtsgrundlage der IMI-Entscheidung wecken könnten:

24.

Aus den oben genannten Gründen benötigt die IMI-Entscheidung eine solide Rechtsgrundlage. Es bestehen ernsthafte Zweifel, ob die Rechtsgrundlage der IMI-Entscheidung die Anforderung der Rechtssicherheit erfüllt. Der EDSB empfiehlt der Kommission, diese Rechtsgrundlage nochmals zu prüfen und nach Lösungen zur Überwindung der Mangelhaftigkeit der gewählten Rechtsgrundlage zu suchen, wobei eine mögliche Konsequenz darin besteht, die IMI-Entscheidung durch einen Rechtsakt zu ersetzen, der die Anforderung der Rechtssicherheit erfüllt.

25.

In diesem Zusammenhang dürfte die optimale Lösung wohl darin bestehen, dass der Rat und das Europäische Parlament für das IMI-System wie beim Schengener Informationssystem, dem Visa-Informationssystem und anderen IT-Großdatenbanken einen gesonderten Rechtsakt annehmen.

26.

Der EDSB schlägt vor, diese Option zu prüfen. Dieser gesonderte Rechtsakt könnte sich dann mit den Funktionen, Rechten und Pflichten der IMI-Akteure und IMI-Nutzer im Hinblick auf Datenschutzanforderungen (dem in der IMI-Entscheidung definierter Gegenstand) sowie anderen Auflagen für die Errichtung und den Betrieb des IMI-Systems befassen.

27.

Eine zweite Option könnte darin bestehen, eine Rechtsgrundlage in den einzelnen binnenmarktrelevanten Rechtsakten zu finden. Soweit die IMI-Entscheidung sich auf den Austausch personenbezogener Daten im Rahmen der Dienstleistungsrichtlinie bezieht, sollte weiter analysiert werden, ob diese Richtlinie selbst — insbesondere Artikel 34 — die erforderliche Rechtsgrundlage bilden könnte. Soweit die IMI-Entscheidung sich auf den Austausch personenbezogener Daten im Rahmen der Richtlinie über die Anerkennung von Berufsqualifikationen bezieht, wäre ein ähnlicher Ansatz möglich: durch die Änderung der Richtlinie selbst könnte eine spezifische und klare Rechtsgrundlage geschaffen werden.

28.

Was weitere binnenmarktrelevante Rechtsakte betrifft, die künftig eventuell einen Informationsaustausch zwischen den zuständigen Behörden der Mitgliedstaaten vorschreiben, so könnte eine spezifische Rechtsgrundlage jedesmal in einem derartigen neuen Rechtsakt angenommen werden.

29.

In diesem Abschnitt der Stellungnahme erörtert der EDSB die in der IMI-Entscheidung enthaltenen Bestimmungen über die Datenschutzaspekte des IMI. Die Anregungen des EDSB könnten in einen neuen Rechtsakt aufgenommen werden, der, wie oben vorgeschlagen, die IMI-Entscheidung ersetzt. Falls kein neuer Rechtsakt ausgearbeitet wird, könnten die Anregungen in die geänderte IMI-Entscheidung selbst aufgenommen werden.

30.

Außerdem können jetzt schon einige der Anregungen von den IMI-Akteuren in der täglichen Praxis berücksichtigt werden, ohne dass die Entscheidung geändert wird. Der EDSB erwartet, dass die Kommission die in dieser Stellungnahme ausgesprochenen Empfehlungen zumindest in der täglichen Praxis berücksichtigt, soweit sie sich auf die Tätigkeiten der Kommission als IMI-Akteur beziehen, und die somit der Aufsicht des EDSB unterliegen.

31.

Der EDSB begrüßt, dass die Kommission auf der IMI-Website die erste Reihe vordefinierter Fragen und anderer Datenfelder veröffentlicht hat. Diese beziehen sich auf den Informationsaustausch im Rahmen der Richtlinie über die Anerkennung von Berufsqualifikationen.

32.

Damit diese bewährte Praxis bei der Kommission zu einer klaren Verpflichtung wird und auf diese Weise die Transparenz gewährleistet und weiter verbessert wird, empfiehlt der EDSB, in einem Rechtsakt für das IMI die Kommission zu verpflichten, die vordefinierten Fragen und andere Datenfelder auf der IMI-Website zu veröffentlichen.

33.

Was die Verhältnismäßigkeit anbelangt, so sollte in einem Rechtsakt für das IMI festgelegt werden, dass die vordefinierten Fragen und anderen Datenfelder den Zwecken entsprechen müssen, für die sie erhoben und/oder weiterverarbeitet werden, dass sie dafür erheblich sein müssen und dass sie nicht darüber hinausgehen dürfen. Außerdem spricht der EDSB zwei spezifische Empfehlungen für die Verhältnismäßigkeit aus:

34.

Die Zuweisung der Verantwortung in Artikel 3 der IMI-Entscheidung ist unklar und zweideutig. Der EDSB erkennt an, dass es vielleicht nicht praktikabel ist, in der IMI-Entscheidung jeden einzelnen Verarbeitungsvorgang speziell zu bezeichnen und die Verantwortung dafür der Kommission oder einer besonderen zuständigen Behörde in einem speziellen Mitgliedstaat zuzuweisen. Dennoch hätten in der IMI-Entscheidung zumindest hinsichtlich der wichtigsten Datenschutzpflichten eines für die Verarbeitung Verantwortlichen gewisse Leitlinien vorgegeben werden sollen.

35.

Insbesondere empfiehlt der EDSB, in einem Rechtsakt für das IMI genau anzugeben, dass:

36.

Der EDSB empfiehlt, in einen Rechtsakt für das IMI einen neuen Absatz aufzunehmen, in dem die Verantwortung für die Datenschutzhinweise den gemeinsam für die Verarbeitung Verantwortlichen „in Schichten“ zugewiesen wird. In dem Rechtsakt sollte insbesondere folgendes festgelegt werden:

37.

Der EDSB empfiehlt ferner, einen neuen Absatz aufzunehmen, um:

38.

Außerdem sollte festgelegt werden, dass die Kommission nur Auskunft über die Daten erteilen kann, zu denen sie selbst rechtmäßig Zugang hat. Daher wird die Kommission nicht verpflichtet sein, Auskunft über den Informationsaustausch zwischen den zuständigen Behörden zu erteilen. Wendet sich eine betroffene Person dennoch mit einem derartigen Antrag an die Kommission, so muss diese die betroffene Person ohne unnötige Verzögerung an die Behörden weiterverweisen, die Zugang zu den Informationen haben, und die betroffene Person entsprechend unterrichten.

39.

In Artikel 4 Absatz 1 der IMI-Entscheidung ist vorgesehen, dass die Daten noch sechs Monate nach dem „formellen Abschluss“ eines Informationsaustauschs aufbewahrt werden.

40.

Der EDSB geht davon aus, dass die zuständigen Behörden eine gewisse Flexibilität bei der Aufbewahrung von Daten benötigen, da über die ursprüngliche Anfrage und Antwort hinaus bei den zuständigen Behörden vielleicht noch weitere Fragen zu demselben Fall auftreten. Während der Ausarbeitung der Stellungnahme der Datenschutzgruppe erläuterte die Kommission, dass die Verwaltungsverfahren, in deren Rahmen ein Informationsaustausch erforderlich sein könnte, in der Regel in einigen Monaten abgeschlossen sind und die Aufbewahrungszeit von sechs Monaten angesetzt worden war, um einen gewissen Spielraum für unerwartete Verzögerungen zu lassen.

41.

In Anbetracht dessen hegt der EDSB aufgrund der Erläuterungen der Kommission Zweifel, ob es einen legitimen Grund gibt, die Daten nach dem formellen Abschluss des Informationsaustauschs weitere sechs Monate lang im IMI aufzubewahren. Daher empfíehlt der EDSB, dass die Sechsmonatsfrist für die automatische Löschung an dem Tag beginnen sollte, an dem die ersuchende Behörde ihre Partnerbehörde in einem spezifischen Informationsaustausch zum ersten Mal kontaktiert. Eine bessere Lösung würde darin bestehen, den Termin für die automatische Löschung entsprechend der jeweiligen Art des Informationsaustauschs festzusetzen (wobei die Fristen immer ab Beginn des Austauschs laufen). Während beispielsweise eine Aufbewahrungsfrist von sechs Monaten für einen Informationsaustausch im Rahmen der Richtlinie über die Anerkennung von Berufsqualifikationen angemessen sein könnte, ist diese für einen anderen Informationsaustausch im Rahmen künftiger binnenmarktrelevanter Rechtsakte möglicherweise nicht zwangsläufig angebracht.

42.

Der EDSB fügt ferner hinzu, dass in dem Fall, dass seiner Empfehlung nicht Rechnung getragen würde, zumindest klargestellt werden sollte, was mit „formellem Abschluss“ eines Informationsaustauschs gemeint ist. Insbesondere muss sichergestellt werden, dass keine Daten länger als nötig in der Datenbank verbleiben können, nur weil eine zuständige Behörde es versäumt, „den Vorgang abzuschließen“.

43.

Außerdem empfiehlt der EDSB, in Artikel 2 Absatz 2 die Logik von Löschung/Aufbewahrung umzukehren. Die Kommission sollte Anträgen auf Löschung unbedingt innerhalb von 10 Arbeitstagen nachkommen, gleichgültig ob die andere am Informationsaustausch beteiligte zuständige Behörde die Information im IMI aufbewahren möchte. Dennoch sollte diese andere zuständige Behörde automatisch benachrichtigt werden, so dass sie die Daten nicht verliert und sie, falls sie dies wünscht, herunterladen oder ausdrucken und sie vorbehaltlich ihrer eigenen Datenschutzbestimmungen für ihre eigenen Zwecke außerhalb des IMI speichern könnte. Eine Benachrichtigungsfrist von 10 Tagen dürfte sowohl als Mindest- als auch als Höchstfrist angemessen sein. Vor Ablauf dieser zehntägigen Frist sollte die Kommission Daten nur löschen können, wenn beide Behörden ihre Löschanfrage bestätigen.

44.

Der EDSB empfiehlt außerdem anzugeben, dass Sicherheitsvorkehrungen der Kommission oder der zuständigen Behörden entsprechend bewährter Praxis in den Mitgliedstaaten getroffen werden sollten.

45.

Da der Informationsaustausch im Rahmen des IMI (neben der Anwendbarkeit der Verordnung (EG) Nr. 45/2001 und der Aufsichtsbefugnis des EDSB für bestimmte Aspekte der Verarbeitungsvorgänge) zahlreichen nationalen Datenschutzbestimmungen und der Aufsicht vieler nationaler Datenschutzbehörden unterliegt, empfiehlt der EDSB, in einem Rechtsakt für das IMI klare Bestimmungen vorzusehen, die die gemeinsame Aufsicht der verschiedenen beteiligten Datenschutzbehörden über das IMI erleichtert. Die gemeinsame Aufsicht könnte wie in den Rechtsakten über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) gestaltet werden (8).

46.

Der EDSB befürwortet die Ziele der Kommission bei der Schaffung eines elektronischen Systems für den Informationsaustausch und bei der Regelung von dessen Datenschutzaspekten.

47.

Aus den oben genannten Gründen benötigt die IMI-Entscheidung eine solide Rechtsgrundlage. Der EDSB empfiehlt der Kommission, ihre Wahl der Rechtsgrundlage nochmals zu überprüfen und nach Lösungen zur Überwindung der Mangelhaftigkeit der gewählten Rechtsgrundlage zu suchen, wobei eine mögliche Konsequenz darin besteht, die IMI-Entscheidung durch einen Rechtsakt zu ersetzen, der die Anforderung der Rechtssicherheit erfüllt.

48.

Als letztlich optimale Lösung schlägt der EDSB vor, dass auf Ebene des Rats und des Europäischen Parlaments die Möglichkeit geprüft wird, für das IMI-System wie beim Schengener Informationssystem, dem Visa-Informationssystem und anderen IT-Großdatenbanken einen gesonderten Rechtsakt anzunehmen.

49.

Als Alternative könnte analysiert werden, ob Artikel 34 der Dienstleistungsrichtlinie und ähnliche Bestimmungen, die für andere binnenmarktrelevante Rechtsakte noch angenommen werden müssen, die erforderliche Rechtsgrundlage bilden könnten.

50.

Außerdem enthält die vorliegende Stellungnahme eine Reihe von Anregungen für die Regelung der Datenschutzaspekte des IMI; diese Anregungen sollten in einen neuen Rechtsakt, der die IMI-Entscheidung wie oben vorgeschlagen ersetzt, oder, falls kein derartiger neuer Rechtsakt ausgearbeitet wird, in die geänderte IMI-Entscheidung selbst aufgenommen werden.

51.

Viele der Anregungen können von den IMI-Akteuren bereits jetzt in der Praxis angewandt werden, ohne dass die Entscheidung geändert wird. Der EDSB erwartet, dass die Kommission die in dieser Stellungnahme ausgesprochenen Empfehlungen zumindest in der täglichen Praxis soweit wie möglich berücksichtigt, soweit sie sich auf die Tätigkeiten der Kommission als IMI-Akteur beziehen.

52.

Diese Empfehlungen beziehen sich auf die Transparenz und Angemessenheit, die gemeinsame Verantwortung für die Verarbeitung und die Zuweisung der Zuständigkeiten, die Datenschutzhinweise, die Auskunfts-, Widerspruchs und Berichtigungsrechte, die Sicherheitsvorkehrungen und die gemeinsame Aufsicht.