Papier: 1.2.2 Europäisches Sekundärrecht
Originalversion
| 1 | Das zentrale Datenschutzinstrument auf europäischer Ebene |
| 2 | ist die Datenschutzrichtlinie 95/46/EG [Fußnote: Richtlinie |
| 3 | 95/46/EG des Europäischen Parlaments und des Rates vom 24. |
| 4 | Oktober 1995 zum Schutz natürlicher Personen bei der |
| 5 | Verarbeitung personenbezogener Daten und zum freien |
| 6 | Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).] aus dem |
| 7 | Jahr 1995. Die Richt-linie verpflichtet die Mitgliedstaaten, |
| 8 | für die Verarbeitung personenbezogener Daten bestimmte |
| 9 | Mindeststandards in ihre nationale Gesetzgebung zu |
| 10 | übernehmen. Sie zielt darauf ab, den Schutz der Privatsphäre |
| 11 | natürlicher Personen und den grundsätzlich erwünschten |
| 12 | freien Verkehr personenbezogener Daten zwischen den |
| 13 | Mitgliedstaaten in Einklang zu bringen. Deshalb sieht die |
| 14 | Richtlinie auch vor, dass der freie Verkehr |
| 15 | personenbezogener Daten zwischen den Mitgliedstaaten nicht |
| 16 | unter Hinweis auf den Schutz der Grundrechte und |
| 17 | Grundfreiheiten, insbesondere des Schutzes der Privatsphäre, |
| 18 | beschränkt oder untersagt werden darf. Die Mitgliedstaaten |
| 19 | können also keine Datenschutzstandards einführen, die von |
| 20 | den in der Richtlinie festgelegten Mindeststandards |
| 21 | abweichen, wenn dadurch der freie Verkehr der Daten |
| 22 | innerhalb der EU eingeschränkt wird. Die |
| 23 | Datenschutzrichtlinie ist nicht anwendbar auf die |
| 24 | Verarbeitung personenbezogener Daten, die nicht in den |
| 25 | Anwendungsbereich des Gemeinschaftsrechts vor dem Vertrag |
| 26 | von Lissabon fallen. Hierunter fallen insbesondere |
| 27 | Tätigkeiten der EU in den Bereichen der polizeilichen und |
| 28 | justiziellen Zusammenarbeit in Strafsachen (frühere 3. |
| 29 | Säule). Eine Anpassung der Richtlinie an die mit dem Vertrag |
| 30 | von Lissabon bewirkte Auflösung der Säulenstruktur ist |
| 31 | bislang noch nicht erfolgt. [Fußnote: Zerdick in: |
| 32 | Lenz/Borchardt (Hrsg.), EU-Verträge, 5. Auflage 2010, Art. |
| 33 | 16 AEUV, Rn. 37.] |
| 34 | |
| 35 | Die in der Richtlinie vorgeschriebenen |
| 36 | datenschutzrechtlichen Mindeststandards betreffen |
| 37 | |
| 38 | - die Qualität der Daten (u. a. Verarbeitung nach Treu und |
| 39 | Glauben, auf rechtmäßige Weise sowie für festgelegte |
| 40 | Zwecke); |
| 41 | |
| 42 | - die Zulässigkeit der Datenverarbeitung (u. a. Einwilligung |
| 43 | der betroffenen Person oder Erforderlichkeit der |
| 44 | Datenverarbeitung aus bestimmten in der Richtlinie |
| 45 | festgelegten Gründen); |
| 46 | |
| 47 | - erhöhte Schutzanforderungen für besonders sensible Daten, |
| 48 | etwa über die politische Meinung oder religiöse Überzeugung; |
| 49 | |
| 50 | - bestimmte Informationen, die der für die Verarbeitung |
| 51 | Verantwortliche der betroffenen Person übermitteln muss; |
| 52 | |
| 53 | - Auskunftsrechte sowie Rechte auf Berichtigung, Löschung |
| 54 | und Sperrung von Daten; |
| 55 | |
| 56 | - Widerspruchsrechte; |
| 57 | |
| 58 | - die Vertraulichkeit und Sicherheit der Verarbeitung; |
| 59 | |
| 60 | - Meldepflichten gegenüber einer Kontrollstelle; |
| 61 | |
| 62 | - Rechtsbehelfe, Haftung und Sanktionen. |
| 63 | |
| 64 | Die Richtlinie sieht weiterhin die Einrichtung von |
| 65 | Kontrollstellen vor, die ihre Aufgaben in völliger |
| 66 | Unabhängigkeit wahrnehmen und legt Grundsätze für die |
| 67 | Übermittlung personenbezogener Daten an Drittländer fest. |
| 68 | Voraussetzung hierfür ist, dass der Drittstaat ein |
| 69 | „angemessenes Schutzniveau“ [Fußnote: Art. 25 der |
| 70 | Richtlinie.] gewährleistet. Bei welchen Staaten dies der |
| 71 | Fall ist, entscheidet die Kommission. |
| 72 | |
| 73 | Der Verpflichtung zur Umsetzung der Richtlinie, die bis 1998 |
| 74 | zu erfüllen war, ist Deutschland durch Änderung des |
| 75 | Bundesdatenschutzgesetzes im Jahr 2001 nachgekommen. |
| 76 | |
| 77 | Bei der Umsetzung der Vorschriften über die |
| 78 | Datenübermittlung in Drittländer ergaben sich gegenüber den |
| 79 | USA Probleme, die zum Abschluss der „Safe Harbor“ - |
| 80 | Vereinbarung führten. Auf Grund unterschiedlicher |
| 81 | datenschutzrechtlicher Ansätze verfolgen die USA in Fragen |
| 82 | des Datenschutzes einen sektoralen Ansatz, der auf einer |
| 83 | Mischung von Rechtsvorschriften, Verordnungen und |
| 84 | Selbstregulierung beruht, während in der EU Regelungen in |
| 85 | Form umfassender Datenschutzgesetze überwiegen. Angesichts |
| 86 | dieser Unterschiede bestanden Unsicherheiten, ob bei der |
| 87 | Übermittlung personenbezogener Daten in die USA |
| 88 | ein„angemessenes Schutzniveau“ im Sinne des |
| 89 | EU-Datenschutzrechts gegeben sei. [Fußnote: Entscheidung |
| 90 | 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der |
| 91 | Richtlinie 95/46/EG des Europäischen Parlaments und des |
| 92 | Rates über die Angemessenheit des von den Grundsätzen des |
| 93 | „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten |
| 94 | Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom |
| 95 | Handelsministerium der USA, ABl. 215 vom 25. August 2000, S. |
| 96 | 10.] Um ein angemessenes Datenschutzniveau zu gewährleisten, |
| 97 | haben die EU und das US-Handelsministerium im Juli 2006 eine |
| 98 | Vereinbarung zu den Grundsätzen des sogenannten „sicheren |
| 99 | Hafens“ (Safe Harbor) geschlossen. [Fußnote: Entscheidung |
| 100 | 2000/520/EG der Kommission vom 26. Juli 2000, ABl. 215 vom |
| 101 | 25. August 2000, S. 7.] Als „Safe Harbor Prinzipien“ wurden |
| 102 | sieben Grundsätze für die Datenverarbeitung festgelegt |
| 103 | (betreffend u. a. Informationspflichten und Auskunftsrechte, |
| 104 | Möglichkeit des „opt out“ bei der Weitergabe an Dritte oder |
| 105 | der Nutzung für andere Zwecke, Sicherheitsvorkehrungen gegen |
| 106 | Verlust, unbefugtem Zugriff oder Missbrauch |
| 107 | personenbezogener Daten, Rechtsbehelfe und Sanktionen). Das |
| 108 | Abkommen sieht vor, dass sich US-amerikanische Unternehmen |
| 109 | öffentlich zur Einhaltung der sogenannten „Safe Harbor |
| 110 | Prinzipien“ verpflichten können. Die Zertifizierung erfolgt |
| 111 | durch Meldung an die Federal Trade Commission (FTC). Eine |
| 112 | Liste der beigetretenen Unternehmen wird vom FTC im Internet |
| 113 | veröffentlicht. Die Datenübermittlung an ein zertifiziertes |
| 114 | Unternehmen ist dann möglich, ohne dass es einer weiteren |
| 115 | behördlichen Feststellung des angemessenen Schutzniveaus |
| 116 | bedürfte. [Fußnote: Nach einem Beschluss der obersten |
| 117 | Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen |
| 118 | Bereich am 28./29. April 2010 in Hannover, abrufbar unter |
| 119 | http://www.bfdi.bund.de/cae/servlet/contentblob/1103868/publ |
| 120 | icationFile/88848/290410_SafeHarbor.pdf |
| 121 | sind die datenexportierenden Unternehmen in Deutschland |
| 122 | dennoch verpflichtet, gewisse Mindestkriterien zu prüfen, da |
| 123 | eine „flächendeckende“ Kontrolle durch die Kontrollbehörden, |
| 124 | ob zertifizierte Unternehmen die „Safe Harbor Prinzipien“ |
| 125 | tatsächlich einhalten, nicht gegeben sei.] |
| 126 | |
| 127 | Als bereichsspezifische Ergänzung zur Datenschutzrichtlinie |
| 128 | regelt die E-Privacy-Richtlinie 2002/58/EG [Fußnote: |
| 129 | Richtlinie 2002/58/EG des Europäischen Parlaments und des |
| 130 | Rates vom 12. Juli 2002 über die Verarbeitung |
| 131 | personenbezogener Daten und den Schutz der Privatsphäre in |
| 132 | der elektronischen Kommunikation (Datenschutzrichtlinie für |
| 133 | elektronische Kommunikation), ABl. L 201 vom 31. Juli 2002, |
| 134 | S. 37.] datenschutzrechtliche Aspekte im Bereich der |
| 135 | elektronischen Kommunikation, die durch die |
| 136 | Datenschutzrichtlinie nicht ausreichend abgedeckt wurden, |
| 137 | etwa die Vertraulichkeit der Kommunikation, Regelungen über |
| 138 | Verkehrsdaten, Standortdaten, Einzelgebührennachweis, |
| 139 | Rufnummernanzeige und unerbetene Werbenachrichten. |
| 140 | Juristische Personen werden in den Schutzbereich der |
| 141 | Richtlinie einbezogen. Die Richtlinie dient neben der |
| 142 | Harmonisierung der mitgliedsstaatlichen |
| 143 | Datenschutzvorschriften auch der Gewährleistung des freien |
| 144 | Verkehrs von Daten, elektronischen Kommunikationsgeräten und |
| 145 | -diensten in der Gemeinschaft. |
| 146 | |
| 147 | Die E-Privacy Richtlinie wurde mit Richtlinie 2009/136/EG |
| 148 | [Fußnote: Richtlinie 2009/136/EG des Europäischen Parlaments |
| 149 | und des Rates vom 25. November 2009, ABl. L 337 vom 18. |
| 150 | Dezember 2009, S. 11.] geändert. Erstmalig wurde auf |
| 151 | EU-Ebene eine Informationspflicht der Diensteanbieter bei |
| 152 | Datensicherheitsverletzungen eingeführt, die Installation |
| 153 | von „Cookies“ oder „Spyware“ von der Einwilligung des |
| 154 | Internetnutzers abhängig gemacht, die Rechte Betroffener |
| 155 | gegen unerbetene kommerzielle Nachrichten gestärkt und die |
| 156 | Durchsetzung der Datenschutzbestimmungen durch Sanktionen |
| 157 | verbessert. Die Umsetzung dieser Änderungen hat bis zum 25. |
| 158 | Mai 2011 zu erfolgen. [Fußnote: Jedenfalls teilweise soll |
| 159 | dies im Rahmen der geplanten TKG-Novelle erfolgen, vgl. § |
| 160 | 109a des Gesetzentwurfs der Bundesregierung vom 2. März |
| 161 | 2011, |
| 162 | http://www.bmwi.de/BMWi/Redaktion/PDF/Gesetz/referentenentwu |
| 163 | rf-tkg-2011,property=pdf,bereich=bmwi,sprache=de,rwb=true.pd |
| 164 | f (abgerufen am 9.3.2011)] |
| 165 | |
| 166 | In der im Jahr 2000 verabschiedeten E-Commerce Richtlinie |
| 167 | 2000/31/EG [Fußnote: Richtlinie 2000/31/EG des Europäischen |
| 168 | Parlaments und des Rates vom 8. Juni 2000 über bestimmte |
| 169 | rechtliche Aspekte der Dienste der Informationsgesellschaft, |
| 170 | insbesondere des elektronischen Geschäftsverkehrs, im |
| 171 | Binnenmarkt (Richtlinie über den elektronischen |
| 172 | Geschäftsverkehr), ABl. L 178 vom 17. Juli 2000, S. 1.], mit |
| 173 | der ein europäischer Rechtsrahmen für den elektronischen |
| 174 | Geschäftsverkehr geschaffen wurde, werden Fragen des |
| 175 | Datenschutzes ausgeklammert [Fußnote: (14) der |
| 176 | Erwägungsgründe, a.a.O. S. 3, sowie Artikel 1 Abs. 5 b) der |
| 177 | Richtlinie.] und insoweit auf anderweitige Rechtsakte der |
| 178 | Union verwiesen. In den Erwägungen der Richtlinie (Nr. 14) |
| 179 | wird allerdings betont, dass die Grundsätze des Schutzes |
| 180 | personenbezogener Daten bei der Umsetzung und Anwendung |
| 181 | dieser Richtlinie uneingeschränkt zu beachten sind, |
| 182 | insbesondere in bezug auf nicht angeforderte kommerzielle |
| 183 | Kommunikation und die Verantwortlichkeit von Vermittlern. |
| 184 | |
| 185 | Die Datenschutzverordnung für die EU-Organe 45/2001/EG |
| 186 | [Fußnote: Verordnung (EG) Nr. 45/2001 des Europäischen |
| 187 | Parlaments und des Rates vom 18. Dezember 2000 zum Schutz |
| 188 | natürlicher Personen bei der Verarbeitung personenbezogener |
| 189 | Daten durch die Organe und Einrichtungen der Gemeinschaft |
| 190 | zum freien Datenverkehr, ABl. L 8 vom 12. Januar 2001, S. |
| 191 | 1.] beschreibt den datenschutzrechtlichen Rechtsrahmen für |
| 192 | das Handeln der EU-Organe. Adressat der Verordnung sind also |
| 193 | nicht die Mitgliedstaaten, sondern alle „Organe und |
| 194 | Einrichtungen der Gemeinschaft“. Durch die Verordnung wird |
| 195 | weiterhin der Europäische Datenschutzbeauftragte eingesetzt, |
| 196 | der für die unabhängige Kontrolle der Verarbeitung |
| 197 | personenbezogener Daten durch die Organe und Einrichtungen |
| 198 | der EU zuständig ist. |
| 199 | |
| 200 | Mit der Vorratsdatenspeicherungsrichtlinie 2006/24/EG |
| 201 | [Fußnote: Richtlinie 2006/24/EG des Europäischen Parlaments |
| 202 | und des Rates vom 15. März 2006 über die Vorratsspeicherung |
| 203 | von Daten, die bei der Bereitstellung öffentliche |
| 204 | zugänglicher elektronischer Kommunikationsdienste oder |
| 205 | öffentlicher Kommunikationsnetze erzeugt oder verarbeitet |
| 206 | werden, und zur Änderung der Richtlinie 2002/58/EG, ABl. L |
| 207 | 105 vom 13. April 2006, S. 54.] werden die Vorschriften der |
| 208 | Mitgliedstaaten über die Vorratsspeicherung bestimmter |
| 209 | Daten, die von Telekommunikationsdienstleistern etwa im |
| 210 | Rahmen von Internet und Telefonie erzeugt oder verarbeitet |
| 211 | werden, harmonisiert. Auf diese Weise soll sichergestellt |
| 212 | werden, dass die Daten zu Zwecken der Ermittlung und |
| 213 | Verfolgung schwerer Straftaten verfügbar sind. [Fußnote: |
| 214 | Art. 1 der Richtlinie.] Die Richtlinie schreibt die |
| 215 | vorsorgliche anlasslose Speicherung von Kommunikationsdaten |
| 216 | vor und trifft u. a. Feststellungen zu den Kategorien der zu |
| 217 | speichernden Daten, zu Speicherungsfristen und Fragen des |
| 218 | Datenschutzes und der Datensicherheit. Daten, die |
| 219 | Kommunikationsinhalte betreffen (Inhaltsdaten), sind nicht |
| 220 | zu speichern. [Fußnote: Die Europäische Kommission führt |
| 221 | derzeit eine Evaluation der |
| 222 | Vorratsdatenspeicherungsrichtlinie durch.] |
| 223 | |
| 224 | Im Bereich der justiziellen Zusammenarbeit in Strafsachen |
| 225 | und bei der polizeilichen Zusammenarbeit existiert ein |
| 226 | allgemeiner Rechtsakt mit der Annahme des Rahmenbeschlusses |
| 227 | 2008/977/JI des Rates über den Schutz personenbezogener |
| 228 | Daten, die im Rahmen der polizeilichen und justiziellen |
| 229 | Zusammenarbeit in Strafsachen verarbeitet werden. [Fußnote: |
| 230 | Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 |
| 231 | über den Schutz personenbezogener Daten, die im Rahmen der |
| 232 | polizeilichen und justiziellen Zusammenarbeit in Strafsachen |
| 233 | verarbeitet werden, online abrufbar unter |
| 234 | http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2 |
| 235 | 008:350:0060:0071:DE:PDF (Stand: 21.9.2010).] Der eng |
| 236 | gefasste Anwendungsbereich des Rahmenbeschlusses erstreckt |
| 237 | sich auf solche personenbezogenen Daten, die von |
| 238 | mit-gliedstaatlichen Behörden zur Verhütung, Ermittlung, |
| 239 | Feststellung oder Verfolgung von Straftaten oder zur |
| 240 | Vollstreckung strafrechtlicher Sanktionen erhoben bzw. |
| 241 | verarbeitet werden. Der Rahmenbeschluss gilt nur bei einem |
| 242 | zwischenstaatlichen Datenaustausch. Nicht anwendbar ist der |
| 243 | Beschluss bei rein nationalen Sachverhalten. [Fußnote: |
| 244 | Zerdick in: Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art. |
| 245 | 16, Rn. 48.] Im Gegensatz zur Datenschutzrichtlinie setzt |
| 246 | der Rahmenbeschluss 2008/977/JI zwischen den Mitgliedstaaten |
| 247 | lediglich einen Mindeststandard fest. Die einzelnen |
| 248 | Mitgliedstaaten sind daher nicht daran gehindert, strengere |
| 249 | nationale Bestimmungen im Regelungsbereich des |
| 250 | Rahmenbeschlusses zu erlassen. [Fußnote: Zerdick in: |
| 251 | Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art. 16, Rn. |
| 252 | 50.] |
| 253 | |
| 254 | Die Europäische Kommission hat im November 2010 ein |
| 255 | „Gesamtkonzept für den Datenschutz in der Europäischen |
| 256 | Union“ [Fußnote: KOM(2010) 609 endg.] vorgelegt und für 2011 |
| 257 | einen Vor-schlag für die Änderung der Datenschutzrichtlinie |
| 258 | angekündigt. |
Der Text verglichen mit der Originalversion
| 1 | Das zentrale Datenschutzinstrument auf europäischer Ebene |
| 2 | ist die Datenschutzrichtlinie 95/46/EG [Fußnote: Richtlinie |
| 3 | 95/46/EG des Europäischen Parlaments und des Rates vom 24. |
| 4 | Oktober 1995 zum Schutz natürlicher Personen bei der |
| 5 | Verarbeitung personenbezogener Daten und zum freien |
| 6 | Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).] aus dem |
| 7 | Jahr 1995. Die Richt-linie verpflichtet die Mitgliedstaaten, |
| 8 | für die Verarbeitung personenbezogener Daten bestimmte |
| 9 | Mindeststandards in ihre nationale Gesetzgebung zu |
| 10 | übernehmen. Sie zielt darauf ab, den Schutz der Privatsphäre |
| 11 | natürlicher Personen und den grundsätzlich erwünschten |
| 12 | freien Verkehr personenbezogener Daten zwischen den |
| 13 | Mitgliedstaaten in Einklang zu bringen. Deshalb sieht die |
| 14 | Richtlinie auch vor, dass der freie Verkehr |
| 15 | personenbezogener Daten zwischen den Mitgliedstaaten nicht |
| 16 | unter Hinweis auf den Schutz der Grundrechte und |
| 17 | Grundfreiheiten, insbesondere des Schutzes der Privatsphäre, |
| 18 | beschränkt oder untersagt werden darf. Die Mitgliedstaaten |
| 19 | können also keine Datenschutzstandards einführen, die von |
| 20 | den in der Richtlinie festgelegten Mindeststandards |
| 21 | abweichen, wenn dadurch der freie Verkehr der Daten |
| 22 | innerhalb der EU eingeschränkt wird. Die |
| 23 | Datenschutzrichtlinie ist nicht anwendbar auf die |
| 24 | Verarbeitung personenbezogener Daten, die nicht in den |
| 25 | Anwendungsbereich des Gemeinschaftsrechts vor dem Vertrag |
| 26 | von Lissabon fallen. Hierunter fallen insbesondere |
| 27 | Tätigkeiten der EU in den Bereichen der polizeilichen und |
| 28 | justiziellen Zusammenarbeit in Strafsachen (frühere 3. |
| 29 | Säule). Eine Anpassung der Richtlinie an die mit dem Vertrag |
| 30 | von Lissabon bewirkte Auflösung der Säulenstruktur ist |
| 31 | bislang noch nicht erfolgt. [Fußnote: Zerdick in: |
| 32 | Lenz/Borchardt (Hrsg.), EU-Verträge, 5. Auflage 2010, Art. |
| 33 | 16 AEUV, Rn. 37.] |
| 34 | |
| 35 | Die in der Richtlinie vorgeschriebenen |
| 36 | datenschutzrechtlichen Mindeststandards betreffen |
| 37 | |
| 38 | - die Qualität der Daten (u. a. Verarbeitung nach Treu und |
| 39 | Glauben, auf rechtmäßige Weise sowie für festgelegte |
| 40 | Zwecke); |
| 41 | |
| 42 | - die Zulässigkeit der Datenverarbeitung (u. a. Einwilligung |
| 43 | der betroffenen Person oder Erforderlichkeit der |
| 44 | Datenverarbeitung aus bestimmten in der Richtlinie |
| 45 | festgelegten Gründen); |
| 46 | |
| 47 | - erhöhte Schutzanforderungen für besonders sensible Daten, |
| 48 | etwa über die politische Meinung oder religiöse Überzeugung; |
| 49 | |
| 50 | - bestimmte Informationen, die der für die Verarbeitung |
| 51 | Verantwortliche der betroffenen Person übermitteln muss; |
| 52 | |
| 53 | - Auskunftsrechte sowie Rechte auf Berichtigung, Löschung |
| 54 | und Sperrung von Daten; |
| 55 | |
| 56 | - Widerspruchsrechte; |
| 57 | |
| 58 | - die Vertraulichkeit und Sicherheit der Verarbeitung; |
| 59 | |
| 60 | - Meldepflichten gegenüber einer Kontrollstelle; |
| 61 | |
| 62 | - Rechtsbehelfe, Haftung und Sanktionen. |
| 63 | |
| 64 | Die Richtlinie sieht weiterhin die Einrichtung von |
| 65 | Kontrollstellen vor, die ihre Aufgaben in völliger |
| 66 | Unabhängigkeit wahrnehmen und legt Grundsätze für die |
| 67 | Übermittlung personenbezogener Daten an Drittländer fest. |
| 68 | Voraussetzung hierfür ist, dass der Drittstaat ein |
| 69 | „angemessenes Schutzniveau“ [Fußnote: Art. 25 der |
| 70 | Richtlinie.] gewährleistet. Bei welchen Staaten dies der |
| 71 | Fall ist, entscheidet die Kommission. |
| 72 | |
| 73 | Der Verpflichtung zur Umsetzung der Richtlinie, die bis 1998 |
| 74 | zu erfüllen war, ist Deutschland durch Änderung des |
| 75 | Bundesdatenschutzgesetzes im Jahr 2001 nachgekommen. |
| 76 | |
| 77 | Bei der Umsetzung der Vorschriften über die |
| 78 | Datenübermittlung in Drittländer ergaben sich gegenüber den |
| 79 | USA Probleme, die zum Abschluss der „Safe Harbor“ - |
| 80 | Vereinbarung führten. Auf Grund unterschiedlicher |
| 81 | datenschutzrechtlicher Ansätze verfolgen die USA in Fragen |
| 82 | des Datenschutzes einen sektoralen Ansatz, der auf einer |
| 83 | Mischung von Rechtsvorschriften, Verordnungen und |
| 84 | Selbstregulierung beruht, während in der EU Regelungen in |
| 85 | Form umfassender Datenschutzgesetze überwiegen. Angesichts |
| 86 | dieser Unterschiede bestanden Unsicherheiten, ob bei der |
| 87 | Übermittlung personenbezogener Daten in die USA |
| 88 | ein„angemessenes Schutzniveau“ im Sinne des |
| 89 | EU-Datenschutzrechts gegeben sei. [Fußnote: Entscheidung |
| 90 | 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der |
| 91 | Richtlinie 95/46/EG des Europäischen Parlaments und des |
| 92 | Rates über die Angemessenheit des von den Grundsätzen des |
| 93 | „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten |
| 94 | Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom |
| 95 | Handelsministerium der USA, ABl. 215 vom 25. August 2000, S. |
| 96 | 10.] Um ein angemessenes Datenschutzniveau zu gewährleisten, |
| 97 | haben die EU und das US-Handelsministerium im Juli 2006 eine |
| 98 | Vereinbarung zu den Grundsätzen des sogenannten „sicheren |
| 99 | Hafens“ (Safe Harbor) geschlossen. [Fußnote: Entscheidung |
| 100 | 2000/520/EG der Kommission vom 26. Juli 2000, ABl. 215 vom |
| 101 | 25. August 2000, S. 7.] Als „Safe Harbor Prinzipien“ wurden |
| 102 | sieben Grundsätze für die Datenverarbeitung festgelegt |
| 103 | (betreffend u. a. Informationspflichten und Auskunftsrechte, |
| 104 | Möglichkeit des „opt out“ bei der Weitergabe an Dritte oder |
| 105 | der Nutzung für andere Zwecke, Sicherheitsvorkehrungen gegen |
| 106 | Verlust, unbefugtem Zugriff oder Missbrauch |
| 107 | personenbezogener Daten, Rechtsbehelfe und Sanktionen). Das |
| 108 | Abkommen sieht vor, dass sich US-amerikanische Unternehmen |
| 109 | öffentlich zur Einhaltung der sogenannten „Safe Harbor |
| 110 | Prinzipien“ verpflichten können. Die Zertifizierung erfolgt |
| 111 | durch Meldung an die Federal Trade Commission (FTC). Eine |
| 112 | Liste der beigetretenen Unternehmen wird vom FTC im Internet |
| 113 | veröffentlicht. Die Datenübermittlung an ein zertifiziertes |
| 114 | Unternehmen ist dann möglich, ohne dass es einer weiteren |
| 115 | behördlichen Feststellung des angemessenen Schutzniveaus |
| 116 | bedürfte. [Fußnote: Nach einem Beschluss der obersten |
| 117 | Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen |
| 118 | Bereich am 28./29. April 2010 in Hannover, abrufbar unter |
| 119 | http://www.bfdi.bund.de/cae/servlet/contentblob/1103868/publ |
| 120 | icationFile/88848/290410_SafeHarbor.pdf |
| 121 | sind die datenexportierenden Unternehmen in Deutschland |
| 122 | dennoch verpflichtet, gewisse Mindestkriterien zu prüfen, da |
| 123 | eine „flächendeckende“ Kontrolle durch die Kontrollbehörden, |
| 124 | ob zertifizierte Unternehmen die „Safe Harbor Prinzipien“ |
| 125 | tatsächlich einhalten, nicht gegeben sei.] |
| 126 | |
| 127 | Als bereichsspezifische Ergänzung zur Datenschutzrichtlinie |
| 128 | regelt die E-Privacy-Richtlinie 2002/58/EG [Fußnote: |
| 129 | Richtlinie 2002/58/EG des Europäischen Parlaments und des |
| 130 | Rates vom 12. Juli 2002 über die Verarbeitung |
| 131 | personenbezogener Daten und den Schutz der Privatsphäre in |
| 132 | der elektronischen Kommunikation (Datenschutzrichtlinie für |
| 133 | elektronische Kommunikation), ABl. L 201 vom 31. Juli 2002, |
| 134 | S. 37.] datenschutzrechtliche Aspekte im Bereich der |
| 135 | elektronischen Kommunikation, die durch die |
| 136 | Datenschutzrichtlinie nicht ausreichend abgedeckt wurden, |
| 137 | etwa die Vertraulichkeit der Kommunikation, Regelungen über |
| 138 | Verkehrsdaten, Standortdaten, Einzelgebührennachweis, |
| 139 | Rufnummernanzeige und unerbetene Werbenachrichten. |
| 140 | Juristische Personen werden in den Schutzbereich der |
| 141 | Richtlinie einbezogen. Die Richtlinie dient neben der |
| 142 | Harmonisierung der mitgliedsstaatlichen |
| 143 | Datenschutzvorschriften auch der Gewährleistung des freien |
| 144 | Verkehrs von Daten, elektronischen Kommunikationsgeräten und |
| 145 | -diensten in der Gemeinschaft. |
| 146 | |
| 147 | Die E-Privacy Richtlinie wurde mit Richtlinie 2009/136/EG |
| 148 | [Fußnote: Richtlinie 2009/136/EG des Europäischen Parlaments |
| 149 | und des Rates vom 25. November 2009, ABl. L 337 vom 18. |
| 150 | Dezember 2009, S. 11.] geändert. Erstmalig wurde auf |
| 151 | EU-Ebene eine Informationspflicht der Diensteanbieter bei |
| 152 | Datensicherheitsverletzungen eingeführt, die Installation |
| 153 | von „Cookies“ oder „Spyware“ von der Einwilligung des |
| 154 | Internetnutzers abhängig gemacht, die Rechte Betroffener |
| 155 | gegen unerbetene kommerzielle Nachrichten gestärkt und die |
| 156 | Durchsetzung der Datenschutzbestimmungen durch Sanktionen |
| 157 | verbessert. Die Umsetzung dieser Änderungen hat bis zum 25. |
| 158 | Mai 2011 zu erfolgen. [Fußnote: Jedenfalls teilweise soll |
| 159 | dies im Rahmen der geplanten TKG-Novelle erfolgen, vgl. § |
| 160 | 109a des Gesetzentwurfs der Bundesregierung vom 2. März |
| 161 | 2011, |
| 162 | http://www.bmwi.de/BMWi/Redaktion/PDF/Gesetz/referentenentwu |
| 163 | rf-tkg-2011,property=pdf,bereich=bmwi,sprache=de,rwb=true.pd |
| 164 | f (abgerufen am 9.3.2011)] |
| 165 | |
| 166 | In der im Jahr 2000 verabschiedeten E-Commerce Richtlinie |
| 167 | 2000/31/EG [Fußnote: Richtlinie 2000/31/EG des Europäischen |
| 168 | Parlaments und des Rates vom 8. Juni 2000 über bestimmte |
| 169 | rechtliche Aspekte der Dienste der Informationsgesellschaft, |
| 170 | insbesondere des elektronischen Geschäftsverkehrs, im |
| 171 | Binnenmarkt (Richtlinie über den elektronischen |
| 172 | Geschäftsverkehr), ABl. L 178 vom 17. Juli 2000, S. 1.], mit |
| 173 | der ein europäischer Rechtsrahmen für den elektronischen |
| 174 | Geschäftsverkehr geschaffen wurde, werden Fragen des |
| 175 | Datenschutzes ausgeklammert [Fußnote: (14) der |
| 176 | Erwägungsgründe, a.a.O. S. 3, sowie Artikel 1 Abs. 5 b) der |
| 177 | Richtlinie.] und insoweit auf anderweitige Rechtsakte der |
| 178 | Union verwiesen. In den Erwägungen der Richtlinie (Nr. 14) |
| 179 | wird allerdings betont, dass die Grundsätze des Schutzes |
| 180 | personenbezogener Daten bei der Umsetzung und Anwendung |
| 181 | dieser Richtlinie uneingeschränkt zu beachten sind, |
| 182 | insbesondere in bezug auf nicht angeforderte kommerzielle |
| 183 | Kommunikation und die Verantwortlichkeit von Vermittlern. |
| 184 | |
| 185 | Die Datenschutzverordnung für die EU-Organe 45/2001/EG |
| 186 | [Fußnote: Verordnung (EG) Nr. 45/2001 des Europäischen |
| 187 | Parlaments und des Rates vom 18. Dezember 2000 zum Schutz |
| 188 | natürlicher Personen bei der Verarbeitung personenbezogener |
| 189 | Daten durch die Organe und Einrichtungen der Gemeinschaft |
| 190 | zum freien Datenverkehr, ABl. L 8 vom 12. Januar 2001, S. |
| 191 | 1.] beschreibt den datenschutzrechtlichen Rechtsrahmen für |
| 192 | das Handeln der EU-Organe. Adressat der Verordnung sind also |
| 193 | nicht die Mitgliedstaaten, sondern alle „Organe und |
| 194 | Einrichtungen der Gemeinschaft“. Durch die Verordnung wird |
| 195 | weiterhin der Europäische Datenschutzbeauftragte eingesetzt, |
| 196 | der für die unabhängige Kontrolle der Verarbeitung |
| 197 | personenbezogener Daten durch die Organe und Einrichtungen |
| 198 | der EU zuständig ist. |
| 199 | |
| 200 | Mit der Vorratsdatenspeicherungsrichtlinie 2006/24/EG |
| 201 | [Fußnote: Richtlinie 2006/24/EG des Europäischen Parlaments |
| 202 | und des Rates vom 15. März 2006 über die Vorratsspeicherung |
| 203 | von Daten, die bei der Bereitstellung öffentliche |
| 204 | zugänglicher elektronischer Kommunikationsdienste oder |
| 205 | öffentlicher Kommunikationsnetze erzeugt oder verarbeitet |
| 206 | werden, und zur Änderung der Richtlinie 2002/58/EG, ABl. L |
| 207 | 105 vom 13. April 2006, S. 54.] werden die Vorschriften der |
| 208 | Mitgliedstaaten über die Vorratsspeicherung bestimmter |
| 209 | Daten, die von Telekommunikationsdienstleistern etwa im |
| 210 | Rahmen von Internet und Telefonie erzeugt oder verarbeitet |
| 211 | werden, harmonisiert. Auf diese Weise soll sichergestellt |
| 212 | werden, dass die Daten zu Zwecken der Ermittlung und |
| 213 | Verfolgung schwerer Straftaten verfügbar sind. [Fußnote: |
| 214 | Art. 1 der Richtlinie.] Die Richtlinie schreibt die |
| 215 | vorsorgliche anlasslose Speicherung von Kommunikationsdaten |
| 216 | vor und trifft u. a. Feststellungen zu den Kategorien der zu |
| 217 | speichernden Daten, zu Speicherungsfristen und Fragen des |
| 218 | Datenschutzes und der Datensicherheit. Daten, die |
| 219 | Kommunikationsinhalte betreffen (Inhaltsdaten), sind nicht |
| 220 | zu speichern. [Fußnote: Die Europäische Kommission führt |
| 221 | derzeit eine Evaluation der |
| 222 | Vorratsdatenspeicherungsrichtlinie durch.] |
| 223 | |
| 224 | Im Bereich der justiziellen Zusammenarbeit in Strafsachen |
| 225 | und bei der polizeilichen Zusammenarbeit existiert ein |
| 226 | allgemeiner Rechtsakt mit der Annahme des Rahmenbeschlusses |
| 227 | 2008/977/JI des Rates über den Schutz personenbezogener |
| 228 | Daten, die im Rahmen der polizeilichen und justiziellen |
| 229 | Zusammenarbeit in Strafsachen verarbeitet werden. [Fußnote: |
| 230 | Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 |
| 231 | über den Schutz personenbezogener Daten, die im Rahmen der |
| 232 | polizeilichen und justiziellen Zusammenarbeit in Strafsachen |
| 233 | verarbeitet werden, online abrufbar unter |
| 234 | http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2 |
| 235 | 008:350:0060:0071:DE:PDF (Stand: 21.9.2010).] Der eng |
| 236 | gefasste Anwendungsbereich des Rahmenbeschlusses erstreckt |
| 237 | sich auf solche personenbezogenen Daten, die von |
| 238 | mit-gliedstaatlichen Behörden zur Verhütung, Ermittlung, |
| 239 | Feststellung oder Verfolgung von Straftaten oder zur |
| 240 | Vollstreckung strafrechtlicher Sanktionen erhoben bzw. |
| 241 | verarbeitet werden. Der Rahmenbeschluss gilt nur bei einem |
| 242 | zwischenstaatlichen Datenaustausch. Nicht anwendbar ist der |
| 243 | Beschluss bei rein nationalen Sachverhalten. [Fußnote: |
| 244 | Zerdick in: Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art. |
| 245 | 16, Rn. 48.] Im Gegensatz zur Datenschutzrichtlinie setzt |
| 246 | der Rahmenbeschluss 2008/977/JI zwischen den Mitgliedstaaten |
| 247 | lediglich einen Mindeststandard fest. Die einzelnen |
| 248 | Mitgliedstaaten sind daher nicht daran gehindert, strengere |
| 249 | nationale Bestimmungen im Regelungsbereich des |
| 250 | Rahmenbeschlusses zu erlassen. [Fußnote: Zerdick in: |
| 251 | Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art. 16, Rn. |
| 252 | 50.] |
| 253 | |
| 254 | Die Europäische Kommission hat im November 2010 ein |
| 255 | „Gesamtkonzept für den Datenschutz in der Europäischen |
| 256 | Union“ [Fußnote: KOM(2010) 609 endg.] vorgelegt und für 2011 |
| 257 | einen Vor-schlag für die Änderung der Datenschutzrichtlinie |
| 258 | angekündigt. |
-
Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.
-
Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.
-
Sie können hier auch eine neue Version des Papiers einbringen.
Vorschlag