1.2.2 Europäisches Sekundärrecht

1-1 von 1
  • 1.2.2 Europäisches Sekundärrecht (Originalversion)

    von EnqueteBuero, angelegt
    1 Das zentrale Datenschutzinstrument auf europäischer Ebene
    2 ist die Datenschutzrichtlinie 95/46/EG [Fußnote: Richtlinie
    3 95/46/EG des Europäischen Parlaments und des Rates vom 24.
    4 Oktober 1995 zum Schutz natürlicher Personen bei der
    5 Verarbeitung personenbezogener Daten und zum freien
    6 Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).] aus dem
    7 Jahr 1995. Die Richt-linie verpflichtet die Mitgliedstaaten,
    8 für die Verarbeitung personenbezogener Daten bestimmte
    9 Mindeststandards in ihre nationale Gesetzgebung zu
    10 übernehmen. Sie zielt darauf ab, den Schutz der Privatsphäre
    11 natürlicher Personen und den grundsätzlich erwünschten
    12 freien Verkehr personenbezogener Daten zwischen den
    13 Mitgliedstaaten in Einklang zu bringen. Deshalb sieht die
    14 Richtlinie auch vor, dass der freie Verkehr
    15 personenbezogener Daten zwischen den Mitgliedstaaten nicht
    16 unter Hinweis auf den Schutz der Grundrechte und
    17 Grundfreiheiten, insbesondere des Schutzes der Privatsphäre,
    18 beschränkt oder untersagt werden darf. Die Mitgliedstaaten
    19 können also keine Datenschutzstandards einführen, die von
    20 den in der Richtlinie festgelegten Mindeststandards
    21 abweichen, wenn dadurch der freie Verkehr der Daten
    22 innerhalb der EU eingeschränkt wird. Die
    23 Datenschutzrichtlinie ist nicht anwendbar auf die
    24 Verarbeitung personenbezogener Daten, die nicht in den
    25 Anwendungsbereich des Gemeinschaftsrechts vor dem Vertrag
    26 von Lissabon fallen. Hierunter fallen insbesondere
    27 Tätigkeiten der EU in den Bereichen der polizeilichen und
    28 justiziellen Zusammenarbeit in Strafsachen (frühere 3.
    29 Säule). Eine Anpassung der Richtlinie an die mit dem Vertrag
    30 von Lissabon bewirkte Auflösung der Säulenstruktur ist
    31 bislang noch nicht erfolgt. [Fußnote: Zerdick in:
    32 Lenz/Borchardt (Hrsg.), EU-Verträge, 5. Auflage 2010, Art.
    33 16 AEUV, Rn. 37.]
    34
    35 Die in der Richtlinie vorgeschriebenen
    36 datenschutzrechtlichen Mindeststandards betreffen
    37
    38 - die Qualität der Daten (u. a. Verarbeitung nach Treu und
    39 Glauben, auf rechtmäßige Weise sowie für festgelegte
    40 Zwecke);
    41
    42 - die Zulässigkeit der Datenverarbeitung (u. a. Einwilligung
    43 der betroffenen Person oder Erforderlichkeit der
    44 Datenverarbeitung aus bestimmten in der Richtlinie
    45 festgelegten Gründen);
    46
    47 - erhöhte Schutzanforderungen für besonders sensible Daten,
    48 etwa über die politische Meinung oder religiöse Überzeugung;
    49
    50 - bestimmte Informationen, die der für die Verarbeitung
    51 Verantwortliche der betroffenen Person übermitteln muss;
    52
    53 - Auskunftsrechte sowie Rechte auf Berichtigung, Löschung
    54 und Sperrung von Daten;
    55
    56 - Widerspruchsrechte;
    57
    58 - die Vertraulichkeit und Sicherheit der Verarbeitung;
    59
    60 - Meldepflichten gegenüber einer Kontrollstelle;
    61
    62 - Rechtsbehelfe, Haftung und Sanktionen.
    63
    64 Die Richtlinie sieht weiterhin die Einrichtung von
    65 Kontrollstellen vor, die ihre Aufgaben in völliger
    66 Unabhängigkeit wahrnehmen und legt Grundsätze für die
    67 Übermittlung personenbezogener Daten an Drittländer fest.
    68 Voraussetzung hierfür ist, dass der Drittstaat ein
    69 „angemessenes Schutzniveau“ [Fußnote: Art. 25 der
    70 Richtlinie.] gewährleistet. Bei welchen Staaten dies der
    71 Fall ist, entscheidet die Kommission.
    72
    73 Der Verpflichtung zur Umsetzung der Richtlinie, die bis 1998
    74 zu erfüllen war, ist Deutschland durch Änderung des
    75 Bundesdatenschutzgesetzes im Jahr 2001 nachgekommen.
    76
    77 Bei der Umsetzung der Vorschriften über die
    78 Datenübermittlung in Drittländer ergaben sich gegenüber den
    79 USA Probleme, die zum Abschluss der „Safe Harbor“ -
    80 Vereinbarung führten. Auf Grund unterschiedlicher
    81 datenschutzrechtlicher Ansätze verfolgen die USA in Fragen
    82 des Datenschutzes einen sektoralen Ansatz, der auf einer
    83 Mischung von Rechtsvorschriften, Verordnungen und
    84 Selbstregulierung beruht, während in der EU Regelungen in
    85 Form umfassender Datenschutzgesetze überwiegen. Angesichts
    86 dieser Unterschiede bestanden Unsicherheiten, ob bei der
    87 Übermittlung personenbezogener Daten in die USA
    88 ein„angemessenes Schutzniveau“ im Sinne des
    89 EU-Datenschutzrechts gegeben sei. [Fußnote: Entscheidung
    90 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der
    91 Richtlinie 95/46/EG des Europäischen Parlaments und des
    92 Rates über die Angemessenheit des von den Grundsätzen des
    93 „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten
    94 Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom
    95 Handelsministerium der USA, ABl. 215 vom 25. August 2000, S.
    96 10.] Um ein angemessenes Datenschutzniveau zu gewährleisten,
    97 haben die EU und das US-Handelsministerium im Juli 2006 eine
    98 Vereinbarung zu den Grundsätzen des sogenannten „sicheren
    99 Hafens“ (Safe Harbor) geschlossen. [Fußnote: Entscheidung
    100 2000/520/EG der Kommission vom 26. Juli 2000, ABl. 215 vom
    101 25. August 2000, S. 7.] Als „Safe Harbor Prinzipien“ wurden
    102 sieben Grundsätze für die Datenverarbeitung festgelegt
    103 (betreffend u. a. Informationspflichten und Auskunftsrechte,
    104 Möglichkeit des „opt out“ bei der Weitergabe an Dritte oder
    105 der Nutzung für andere Zwecke, Sicherheitsvorkehrungen gegen
    106 Verlust, unbefugtem Zugriff oder Missbrauch
    107 personenbezogener Daten, Rechtsbehelfe und Sanktionen). Das
    108 Abkommen sieht vor, dass sich US-amerikanische Unternehmen
    109 öffentlich zur Einhaltung der sogenannten „Safe Harbor
    110 Prinzipien“ verpflichten können. Die Zertifizierung erfolgt
    111 durch Meldung an die Federal Trade Commission (FTC). Eine
    112 Liste der beigetretenen Unternehmen wird vom FTC im Internet
    113 veröffentlicht. Die Datenübermittlung an ein zertifiziertes
    114 Unternehmen ist dann möglich, ohne dass es einer weiteren
    115 behördlichen Feststellung des angemessenen Schutzniveaus
    116 bedürfte. [Fußnote: Nach einem Beschluss der obersten
    117 Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen
    118 Bereich am 28./29. April 2010 in Hannover, abrufbar unter
    119 http://www.bfdi.bund.de/cae/servlet/contentblob/1103868/publ
    120 icationFile/88848/290410_SafeHarbor.pdf
    121 sind die datenexportierenden Unternehmen in Deutschland
    122 dennoch verpflichtet, gewisse Mindestkriterien zu prüfen, da
    123 eine „flächendeckende“ Kontrolle durch die Kontrollbehörden,
    124 ob zertifizierte Unternehmen die „Safe Harbor Prinzipien“
    125 tatsächlich einhalten, nicht gegeben sei.]
    126
    127 Als bereichsspezifische Ergänzung zur Datenschutzrichtlinie
    128 regelt die E-Privacy-Richtlinie 2002/58/EG [Fußnote:
    129 Richtlinie 2002/58/EG des Europäischen Parlaments und des
    130 Rates vom 12. Juli 2002 über die Verarbeitung
    131 personenbezogener Daten und den Schutz der Privatsphäre in
    132 der elektronischen Kommunikation (Datenschutzrichtlinie für
    133 elektronische Kommunikation), ABl. L 201 vom 31. Juli 2002,
    134 S. 37.] datenschutzrechtliche Aspekte im Bereich der
    135 elektronischen Kommunikation, die durch die
    136 Datenschutzrichtlinie nicht ausreichend abgedeckt wurden,
    137 etwa die Vertraulichkeit der Kommunikation, Regelungen über
    138 Verkehrsdaten, Standortdaten, Einzelgebührennachweis,
    139 Rufnummernanzeige und unerbetene Werbenachrichten.
    140 Juristische Personen werden in den Schutzbereich der
    141 Richtlinie einbezogen. Die Richtlinie dient neben der
    142 Harmonisierung der mitgliedsstaatlichen
    143 Datenschutzvorschriften auch der Gewährleistung des freien
    144 Verkehrs von Daten, elektronischen Kommunikationsgeräten und
    145 -diensten in der Gemeinschaft.
    146
    147 Die E-Privacy Richtlinie wurde mit Richtlinie 2009/136/EG
    148 [Fußnote: Richtlinie 2009/136/EG des Europäischen Parlaments
    149 und des Rates vom 25. November 2009, ABl. L 337 vom 18.
    150 Dezember 2009, S. 11.] geändert. Erstmalig wurde auf
    151 EU-Ebene eine Informationspflicht der Diensteanbieter bei
    152 Datensicherheitsverletzungen eingeführt, die Installation
    153 von „Cookies“ oder „Spyware“ von der Einwilligung des
    154 Internetnutzers abhängig gemacht, die Rechte Betroffener
    155 gegen unerbetene kommerzielle Nachrichten gestärkt und die
    156 Durchsetzung der Datenschutzbestimmungen durch Sanktionen
    157 verbessert. Die Umsetzung dieser Änderungen hat bis zum 25.
    158 Mai 2011 zu erfolgen. [Fußnote: Jedenfalls teilweise soll
    159 dies im Rahmen der geplanten TKG-Novelle erfolgen, vgl. §
    160 109a des Gesetzentwurfs der Bundesregierung vom 2. März
    161 2011,
    162 http://www.bmwi.de/BMWi/Redaktion/PDF/Gesetz/referentenentwu
    163 rf-tkg-2011,property=pdf,bereich=bmwi,sprache=de,rwb=true.pd
    164 f (abgerufen am 9.3.2011)]
    165
    166 In der im Jahr 2000 verabschiedeten E-Commerce Richtlinie
    167 2000/31/EG [Fußnote: Richtlinie 2000/31/EG des Europäischen
    168 Parlaments und des Rates vom 8. Juni 2000 über bestimmte
    169 rechtliche Aspekte der Dienste der Informationsgesellschaft,
    170 insbesondere des elektronischen Geschäftsverkehrs, im
    171 Binnenmarkt (Richtlinie über den elektronischen
    172 Geschäftsverkehr), ABl. L 178 vom 17. Juli 2000, S. 1.], mit
    173 der ein europäischer Rechtsrahmen für den elektronischen
    174 Geschäftsverkehr geschaffen wurde, werden Fragen des
    175 Datenschutzes ausgeklammert [Fußnote: (14) der
    176 Erwägungsgründe, a.a.O. S. 3, sowie Artikel 1 Abs. 5 b) der
    177 Richtlinie.] und insoweit auf anderweitige Rechtsakte der
    178 Union verwiesen. In den Erwägungen der Richtlinie (Nr. 14)
    179 wird allerdings betont, dass die Grundsätze des Schutzes
    180 personenbezogener Daten bei der Umsetzung und Anwendung
    181 dieser Richtlinie uneingeschränkt zu beachten sind,
    182 insbesondere in bezug auf nicht angeforderte kommerzielle
    183 Kommunikation und die Verantwortlichkeit von Vermittlern.
    184
    185 Die Datenschutzverordnung für die EU-Organe 45/2001/EG
    186 [Fußnote: Verordnung (EG) Nr. 45/2001 des Europäischen
    187 Parlaments und des Rates vom 18. Dezember 2000 zum Schutz
    188 natürlicher Personen bei der Verarbeitung personenbezogener
    189 Daten durch die Organe und Einrichtungen der Gemeinschaft
    190 zum freien Datenverkehr, ABl. L 8 vom 12. Januar 2001, S.
    191 1.] beschreibt den datenschutzrechtlichen Rechtsrahmen für
    192 das Handeln der EU-Organe. Adressat der Verordnung sind also
    193 nicht die Mitgliedstaaten, sondern alle „Organe und
    194 Einrichtungen der Gemeinschaft“. Durch die Verordnung wird
    195 weiterhin der Europäische Datenschutzbeauftragte eingesetzt,
    196 der für die unabhängige Kontrolle der Verarbeitung
    197 personenbezogener Daten durch die Organe und Einrichtungen
    198 der EU zuständig ist.
    199
    200 Mit der Vorratsdatenspeicherungsrichtlinie 2006/24/EG
    201 [Fußnote: Richtlinie 2006/24/EG des Europäischen Parlaments
    202 und des Rates vom 15. März 2006 über die Vorratsspeicherung
    203 von Daten, die bei der Bereitstellung öffentliche
    204 zugänglicher elektronischer Kommunikationsdienste oder
    205 öffentlicher Kommunikationsnetze erzeugt oder verarbeitet
    206 werden, und zur Änderung der Richtlinie 2002/58/EG, ABl. L
    207 105 vom 13. April 2006, S. 54.] werden die Vorschriften der
    208 Mitgliedstaaten über die Vorratsspeicherung bestimmter
    209 Daten, die von Telekommunikationsdienstleistern etwa im
    210 Rahmen von Internet und Telefonie erzeugt oder verarbeitet
    211 werden, harmonisiert. Auf diese Weise soll sichergestellt
    212 werden, dass die Daten zu Zwecken der Ermittlung und
    213 Verfolgung schwerer Straftaten verfügbar sind. [Fußnote:
    214 Art. 1 der Richtlinie.] Die Richtlinie schreibt die
    215 vorsorgliche anlasslose Speicherung von Kommunikationsdaten
    216 vor und trifft u. a. Feststellungen zu den Kategorien der zu
    217 speichernden Daten, zu Speicherungsfristen und Fragen des
    218 Datenschutzes und der Datensicherheit. Daten, die
    219 Kommunikationsinhalte betreffen (Inhaltsdaten), sind nicht
    220 zu speichern. [Fußnote: Die Europäische Kommission führt
    221 derzeit eine Evaluation der
    222 Vorratsdatenspeicherungsrichtlinie durch.]
    223
    224 Im Bereich der justiziellen Zusammenarbeit in Strafsachen
    225 und bei der polizeilichen Zusammenarbeit existiert ein
    226 allgemeiner Rechtsakt mit der Annahme des Rahmenbeschlusses
    227 2008/977/JI des Rates über den Schutz personenbezogener
    228 Daten, die im Rahmen der polizeilichen und justiziellen
    229 Zusammenarbeit in Strafsachen verarbeitet werden. [Fußnote:
    230 Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008
    231 über den Schutz personenbezogener Daten, die im Rahmen der
    232 polizeilichen und justiziellen Zusammenarbeit in Strafsachen
    233 verarbeitet werden, online abrufbar unter
    234 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2
    235 008:350:0060:0071:DE:PDF (Stand: 21.9.2010).] Der eng
    236 gefasste Anwendungsbereich des Rahmenbeschlusses erstreckt
    237 sich auf solche personenbezogenen Daten, die von
    238 mit-gliedstaatlichen Behörden zur Verhütung, Ermittlung,
    239 Feststellung oder Verfolgung von Straftaten oder zur
    240 Vollstreckung strafrechtlicher Sanktionen erhoben bzw.
    241 verarbeitet werden. Der Rahmenbeschluss gilt nur bei einem
    242 zwischenstaatlichen Datenaustausch. Nicht anwendbar ist der
    243 Beschluss bei rein nationalen Sachverhalten. [Fußnote:
    244 Zerdick in: Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art.
    245 16, Rn. 48.] Im Gegensatz zur Datenschutzrichtlinie setzt
    246 der Rahmenbeschluss 2008/977/JI zwischen den Mitgliedstaaten
    247 lediglich einen Mindeststandard fest. Die einzelnen
    248 Mitgliedstaaten sind daher nicht daran gehindert, strengere
    249 nationale Bestimmungen im Regelungsbereich des
    250 Rahmenbeschlusses zu erlassen. [Fußnote: Zerdick in:
    251 Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art. 16, Rn.
    252 50.]
    253
    254 Die Europäische Kommission hat im November 2010 ein
    255 „Gesamtkonzept für den Datenschutz in der Europäischen
    256 Union“ [Fußnote: KOM(2010) 609 endg.] vorgelegt und für 2011
    257 einen Vor-schlag für die Änderung der Datenschutzrichtlinie
    258 angekündigt.