Bericht und Antrag der Regierung an den Landtag des Fürstentums Liechtenstein
betreffend die Abänderung des Datenschutzgesetzes vom 14. März 2002 (DSG)
4
Der Beitritt Liechtensteins zu den Abkommen von Schengen und Dublin bringt einen Anschluss Liechtensteins an europäische Datenbanken, insbesondere an das Schengen Informationssystem (SIS) wie auch an Eurodac, mit sich. Das Schengener Durchführungsübereinkommen (SDÜ) sieht detaillierte Regelungen zur Bearbeitung von Personendaten vor (Art. 92 ff. SDÜ). Auf Grund der Wichtigkeit der Datenbearbeitung sieht das SDÜ zwei Gremien vor, welche den Datenschutz überprüfen: Zum einen die nationale Kontrollinstanz (Art. 114 SDÜ) und zum anderen die gemeinsame Kontrollinstanz (Art. 115 SDÜ). Auch in Bezug auf Eurodac gibt es eine nationale Kontrollinstanz (Art. 19 der Eurodac Verordnung) wie auch eine gemeinsame Kontrollinstanz (Art. 20 der Eurodac Verordnung). Die Anforderungen an eine nationale Kontrollinstanz entsprechen den Anforderungen an eine nationale Kontrollstelle nach Art. 28 der Datenschutzrichtlinie 95/46/EG, welche durch Liechtenstein mit dem Datenschutzgesetz (DSG) umgesetzt wurde. Abklärungen haben ergeben, dass das DSG nicht ganzheitlich den Anforderungen der Richtlinie (bzw. des SDÜ und der Eurodac Verordnung) entspricht. Aus diesem Grund wird das Datenschutzgesetz einer Teilrevision unterzogen. Insbesondere soll die Unabhängigkeit der Datenschutzstelle gestärkt und ein Klagerecht eingeführt werden.
Zuständiges Ressort
Inneres
Betroffene Amtsstellen
Stabsstelle für Datenschutz
5
Vaduz, 27. Mai 2008
P
Sehr geehrter Herr Landtagspräsident,
Sehr geehrte Frauen und Herren Abgeordnete
Die Regierung gestattet sich, dem Hohen Landtag nachstehenden Bericht und Antrag betreffend die Abänderung des Datenschutzgesetzes an den Landtag zu unterbreiten.
Der Beitritt Liechtensteins zu den Abkommen von Schengen und Dublin bringt einen Anschluss Liechtensteins an europäische Datenbanken, insbesondere an das Schengen Informationssystem (SIS) wie auch an Eurodac, mit sich. Das Schengener Durchführungsübereinkommen (SDÜ) sieht detaillierte Regelungen zur Bearbeitung von Personendaten vor (Art. 92 ff. SDÜ). Die nationalen Behörden, welche Personendaten im nationalen Teil des Schengen Informationssystems (N-SIS) bearbeiten, tragen die Verantwortung für diese Datenbearbeitung. Heute umfasst das SIS in etwa 15 Millionen Daten. Unrichtig eingegebene Daten können unter Umständen dazu führen, dass eine Person verhaftet wird, was u.a. zu einem Schadenersatzanspruch führen kann. Auf Grund der Wichtigkeit der Datenbearbeitung sieht das SDÜ deshalb zwei Gremien vor, welche den Datenschutz überprüfen: Zum einen die nationale Kontrollinstanz (Art. 114 SDÜ) und zum anderen die
6
gemeinsame Kontrollinstanz (Art. 115 SDÜ). Auch in Bezug auf Eurodac gibt es eine nationale Kontrollinstanz (Art. 19 der Eurodac Verordnung) wie auch eine gemeinsame Kontrollinstanz (Art. 20 der Eurodac Verordnung).
Die Anforderungen an eine nationale Kontrollinstanz entsprechen den Anforderungen an eine nationale Kontrollstelle nach Art. 28 der Datenschutzrichtlinie 95/46/EG, welche durch Liechtenstein mit dem Datenschutzgesetz (LGBl. 2002 Nr. 55, DSG) umgesetzt wurde. Abklärungen haben ergeben, dass Art. 28 DSG nicht ganzheitlich den Anforderungen der Richtlinie (bzw. des SDÜ und der Eurodac Verordnung) entspricht, welche in Erwägung 63 präzisierend hinzufügt, dass "diese Stellen mit den notwendigen Mitteln für die Erfüllung dieser Aufgabe auszustatten" sind. Zu diesen Mitteln, auf welche im Folgenden vertieft eingegangen wird, gehört auch ein Klagerecht des Datenschutzbeauftragten (DSB), welches es bisher nicht gibt.
Im Vorfeld eines Beitrittes zu Schengen wird eine Datenschutzevaluation Liechtensteins durch Datenschutzexperten aus Schengen-Ländern durchgeführt werden. Eine solche Evaluation fand in der Schweiz im März dieses Jahres statt. Ein Vergleich mit der Schweiz ist aus liechtensteinischer Sicht relevant, da das liechtensteinische DSG zu einem guten Teil dem Bundesgesetz für den Datenschutz der Schweiz entspricht; insbesondere die Bestimmungen über den Datenschutzbeauftragten (Art. 28 bis 31 DSG) wurden den Bestimmungen des genannten Bundesgesetzes entnommen. Anlässlich der Datenschutzevaluation der Schweiz gab es einige Kritikpunkte, welche auf Grund der weitgehenden Analogie als solche auch in Bezug auf Liechtenstein zu erwarten sind. Neben dem zur Zeit noch nicht öffentlichen Evaluationsbericht zur Schweiz bestehen auch Anforderungen der Europäischen Kommission an eine nationale Kontrollstelle nach Art. 28 der Richtlinie. Diese Anforderungen an die "völlige Unabhängigkeit" umfassen dabei die Elemente der
7
institutionellen Unabhängigkeit: Keine Zuordnung zu einer Regierungsstelle und somit den Ausschluss einer externen Einflussmöglichkeit in Bezug auf die Aufgaben der Datenschutzstelle;
funktionellen Unabhängigkeit, welche sich auf die Unabhängigkeit von zu kontrollierenden Behörden und Privaten bezieht;
materiellen Unabhängigkeit, welche eine funktionierende Infrastruktur und insbesondere genügend finanzielle Mittel (eigenes Personal und Büroräumlichkeiten zur Sicherstellung der Unabhängigkeit) voraussetzen; welche eine finanzielle Kontrolle ausschliesst, welche die Unabhängigkeit beeinflusst, sowie
andere Elemente, wie die Zuteilung von genügend Ressourcen.
Die Regierung hat für die operative Umsetzung von Schengen/Dublin in den einzelnen Amtsstellen in der Landesverwaltung eine Projektgruppe eingesetzt. Diese hat den Auftrag, die verschiedenen Teilprojekte und die Projektstruktur zu definieren, eine Umsetzungsplanung zu erarbeiten sowie die notwendigen Massnahmen umzusetzen bzw. der Regierung zur Beschlussfassung vorzulegen.