1 | Das zentrale Datenschutzinstrument auf europäischer Ebene |
2 | ist die Datenschutzrichtlinie 95/46/EG [Fußnote: Richtlinie |
3 | 95/46/EG des Europäischen Parlaments und des Rates vom 24. |
4 | Oktober 1995 zum Schutz natürlicher Personen bei der |
5 | Verarbeitung personenbezogener Daten und zum freien |
6 | Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).] aus dem |
7 | Jahr 1995. Die Richt-linie verpflichtet die Mitgliedstaaten, |
8 | für die Verarbeitung personenbezogener Daten bestimmte |
9 | Mindeststandards in ihre nationale Gesetzgebung zu |
10 | übernehmen. Sie zielt darauf ab, den Schutz der Privatsphäre |
11 | natürlicher Personen und den grundsätzlich erwünschten |
12 | freien Verkehr personenbezogener Daten zwischen den |
13 | Mitgliedstaaten in Einklang zu bringen. Deshalb sieht die |
14 | Richtlinie auch vor, dass der freie Verkehr |
15 | personenbezogener Daten zwischen den Mitgliedstaaten nicht |
16 | unter Hinweis auf den Schutz der Grundrechte und |
17 | Grundfreiheiten, insbesondere des Schutzes der Privatsphäre, |
18 | beschränkt oder untersagt werden darf. Die Mitgliedstaaten |
19 | können also keine Datenschutzstandards einführen, die von |
20 | den in der Richtlinie festgelegten Mindeststandards |
21 | abweichen, wenn dadurch der freie Verkehr der Daten |
22 | innerhalb der EU eingeschränkt wird. Die |
23 | Datenschutzrichtlinie ist nicht anwendbar auf die |
24 | Verarbeitung personenbezogener Daten, die nicht in den |
25 | Anwendungsbereich des Gemeinschaftsrechts vor dem Vertrag |
26 | von Lissabon fallen. Hierunter fallen insbesondere |
27 | Tätigkeiten der EU in den Bereichen der polizeilichen und |
28 | justiziellen Zusammenarbeit in Strafsachen (frühere 3. |
29 | Säule). Eine Anpassung der Richtlinie an die mit dem Vertrag |
30 | von Lissabon bewirkte Auflösung der Säulenstruktur ist |
31 | bislang noch nicht erfolgt. [Fußnote: Zerdick in: |
32 | Lenz/Borchardt (Hrsg.), EU-Verträge, 5. Auflage 2010, Art. |
33 | 16 AEUV, Rn. 37.] |
34 | |
35 | Die in der Richtlinie vorgeschriebenen |
36 | datenschutzrechtlichen Mindeststandards betreffen |
37 | |
38 | - die Qualität der Daten (u. a. Verarbeitung nach Treu und |
39 | Glauben, auf rechtmäßige Weise sowie für festgelegte |
40 | Zwecke); |
41 | |
42 | - die Zulässigkeit der Datenverarbeitung (u. a. Einwilligung |
43 | der betroffenen Person oder Erforderlichkeit der |
44 | Datenverarbeitung aus bestimmten in der Richtlinie |
45 | festgelegten Gründen); |
46 | |
47 | - erhöhte Schutzanforderungen für besonders sensible Daten, |
48 | etwa über die politische Meinung oder religiöse Überzeugung; |
49 | |
50 | - bestimmte Informationen, die der für die Verarbeitung |
51 | Verantwortliche der betroffenen Person übermitteln muss; |
52 | |
53 | - Auskunftsrechte sowie Rechte auf Berichtigung, Löschung |
54 | und Sperrung von Daten; |
55 | |
56 | - Widerspruchsrechte; |
57 | |
58 | - die Vertraulichkeit und Sicherheit der Verarbeitung; |
59 | |
60 | - Meldepflichten gegenüber einer Kontrollstelle; |
61 | |
62 | - Rechtsbehelfe, Haftung und Sanktionen. |
63 | |
64 | Die Richtlinie sieht weiterhin die Einrichtung von |
65 | Kontrollstellen vor, die ihre Aufgaben in völliger |
66 | Unabhängigkeit wahrnehmen und legt Grundsätze für die |
67 | Übermittlung personenbezogener Daten an Drittländer fest. |
68 | Voraussetzung hierfür ist, dass der Drittstaat ein |
69 | „angemessenes Schutzniveau“ [Fußnote: Art. 25 der |
70 | Richtlinie.] gewährleistet. Bei welchen Staaten dies der |
71 | Fall ist, entscheidet die Kommission. |
72 | |
73 | Der Verpflichtung zur Umsetzung der Richtlinie, die bis 1998 |
74 | zu erfüllen war, ist Deutschland durch Änderung des |
75 | Bundesdatenschutzgesetzes im Jahr 2001 nachgekommen. |
76 | |
77 | Bei der Umsetzung der Vorschriften über die |
78 | Datenübermittlung in Drittländer ergaben sich gegenüber den |
79 | USA Probleme, die zum Abschluss der „Safe Harbor“ - |
80 | Vereinbarung führten. Auf Grund unterschiedlicher |
81 | datenschutzrechtlicher Ansätze verfolgen die USA in Fragen |
82 | des Datenschutzes einen sektoralen Ansatz, der auf einer |
83 | Mischung von Rechtsvorschriften, Verordnungen und |
84 | Selbstregulierung beruht, während in der EU Regelungen in |
85 | Form umfassender Datenschutzgesetze überwiegen. Angesichts |
86 | dieser Unterschiede bestanden Unsicherheiten, ob bei der |
87 | Übermittlung personenbezogener Daten in die USA |
88 | ein„angemessenes Schutzniveau“ im Sinne des |
89 | EU-Datenschutzrechts gegeben sei. [Fußnote: Entscheidung |
90 | 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der |
91 | Richtlinie 95/46/EG des Europäischen Parlaments und des |
92 | Rates über die Angemessenheit des von den Grundsätzen des |
93 | „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten |
94 | Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom |
95 | Handelsministerium der USA, ABl. 215 vom 25. August 2000, S. |
96 | 10.] Um ein angemessenes Datenschutzniveau zu gewährleisten, |
97 | haben die EU und das US-Handelsministerium im Juli 2006 eine |
98 | Vereinbarung zu den Grundsätzen des sogenannten „sicheren |
99 | Hafens“ (Safe Harbor) geschlossen. [Fußnote: Entscheidung |
100 | 2000/520/EG der Kommission vom 26. Juli 2000, ABl. 215 vom |
101 | 25. August 2000, S. 7.] Als „Safe Harbor Prinzipien“ wurden |
102 | sieben Grundsätze für die Datenverarbeitung festgelegt |
103 | (betreffend u. a. Informationspflichten und Auskunftsrechte, |
104 | Möglichkeit des „opt out“ bei der Weitergabe an Dritte oder |
105 | der Nutzung für andere Zwecke, Sicherheitsvorkehrungen gegen |
106 | Verlust, unbefugtem Zugriff oder Missbrauch |
107 | personenbezogener Daten, Rechtsbehelfe und Sanktionen). Das |
108 | Abkommen sieht vor, dass sich US-amerikanische Unternehmen |
109 | öffentlich zur Einhaltung der sogenannten „Safe Harbor |
110 | Prinzipien“ verpflichten können. Die Zertifizierung erfolgt |
111 | durch Meldung an die Federal Trade Commission (FTC). Eine |
112 | Liste der beigetretenen Unternehmen wird vom FTC im Internet |
113 | veröffentlicht. Die Datenübermittlung an ein zertifiziertes |
114 | Unternehmen ist dann möglich, ohne dass es einer weiteren |
115 | behördlichen Feststellung des angemessenen Schutzniveaus |
116 | bedürfte. [Fußnote: Nach einem Beschluss der obersten |
117 | Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen |
118 | Bereich am 28./29. April 2010 in Hannover, abrufbar unter |
119 | http://www.bfdi.bund.de/cae/servlet/contentblob/1103868/publ |
120 | icationFile/88848/290410_SafeHarbor.pdf |
121 | sind die datenexportierenden Unternehmen in Deutschland |
122 | dennoch verpflichtet, gewisse Mindestkriterien zu prüfen, da |
123 | eine „flächendeckende“ Kontrolle durch die Kontrollbehörden, |
124 | ob zertifizierte Unternehmen die „Safe Harbor Prinzipien“ |
125 | tatsächlich einhalten, nicht gegeben sei.] |
126 | |
127 | Als bereichsspezifische Ergänzung zur Datenschutzrichtlinie |
128 | regelt die E-Privacy-Richtlinie 2002/58/EG [Fußnote: |
129 | Richtlinie 2002/58/EG des Europäischen Parlaments und des |
130 | Rates vom 12. Juli 2002 über die Verarbeitung |
131 | personenbezogener Daten und den Schutz der Privatsphäre in |
132 | der elektronischen Kommunikation (Datenschutzrichtlinie für |
133 | elektronische Kommunikation), ABl. L 201 vom 31. Juli 2002, |
134 | S. 37.] datenschutzrechtliche Aspekte im Bereich der |
135 | elektronischen Kommunikation, die durch die |
136 | Datenschutzrichtlinie nicht ausreichend abgedeckt wurden, |
137 | etwa die Vertraulichkeit der Kommunikation, Regelungen über |
138 | Verkehrsdaten, Standortdaten, Einzelgebührennachweis, |
139 | Rufnummernanzeige und unerbetene Werbenachrichten. |
140 | Juristische Personen werden in den Schutzbereich der |
141 | Richtlinie einbezogen. Die Richtlinie dient neben der |
142 | Harmonisierung der mitgliedsstaatlichen |
143 | Datenschutzvorschriften auch der Gewährleistung des freien |
144 | Verkehrs von Daten, elektronischen Kommunikationsgeräten und |
145 | -diensten in der Gemeinschaft. |
146 | |
147 | Die E-Privacy Richtlinie wurde mit Richtlinie 2009/136/EG |
148 | [Fußnote: Richtlinie 2009/136/EG des Europäischen Parlaments |
149 | und des Rates vom 25. November 2009, ABl. L 337 vom 18. |
150 | Dezember 2009, S. 11.] geändert. Erstmalig wurde auf |
151 | EU-Ebene eine Informationspflicht der Diensteanbieter bei |
152 | Datensicherheitsverletzungen eingeführt, die Installation |
153 | von „Cookies“ oder „Spyware“ von der Einwilligung des |
154 | Internetnutzers abhängig gemacht, die Rechte Betroffener |
155 | gegen unerbetene kommerzielle Nachrichten gestärkt und die |
156 | Durchsetzung der Datenschutzbestimmungen durch Sanktionen |
157 | verbessert. Die Umsetzung dieser Änderungen hat bis zum 25. |
158 | Mai 2011 zu erfolgen. [Fußnote: Jedenfalls teilweise soll |
159 | dies im Rahmen der geplanten TKG-Novelle erfolgen, vgl. § |
160 | 109a des Gesetzentwurfs der Bundesregierung vom 2. März |
161 | 2011, |
162 | http://www.bmwi.de/BMWi/Redaktion/PDF/Gesetz/referentenentwu |
163 | rf-tkg-2011,property=pdf,bereich=bmwi,sprache=de,rwb=true.pd |
164 | f (abgerufen am 9.3.2011)] |
165 | |
166 | In der im Jahr 2000 verabschiedeten E-Commerce Richtlinie |
167 | 2000/31/EG [Fußnote: Richtlinie 2000/31/EG des Europäischen |
168 | Parlaments und des Rates vom 8. Juni 2000 über bestimmte |
169 | rechtliche Aspekte der Dienste der Informationsgesellschaft, |
170 | insbesondere des elektronischen Geschäftsverkehrs, im |
171 | Binnenmarkt (Richtlinie über den elektronischen |
172 | Geschäftsverkehr), ABl. L 178 vom 17. Juli 2000, S. 1.], mit |
173 | der ein europäischer Rechtsrahmen für den elektronischen |
174 | Geschäftsverkehr geschaffen wurde, werden Fragen des |
175 | Datenschutzes ausgeklammert [Fußnote: (14) der |
176 | Erwägungsgründe, a.a.O. S. 3, sowie Artikel 1 Abs. 5 b) der |
177 | Richtlinie.] und insoweit auf anderweitige Rechtsakte der |
178 | Union verwiesen. In den Erwägungen der Richtlinie (Nr. 14) |
179 | wird allerdings betont, dass die Grundsätze des Schutzes |
180 | personenbezogener Daten bei der Umsetzung und Anwendung |
181 | dieser Richtlinie uneingeschränkt zu beachten sind, |
182 | insbesondere in bezug auf nicht angeforderte kommerzielle |
183 | Kommunikation und die Verantwortlichkeit von Vermittlern. |
184 | |
185 | Die Datenschutzverordnung für die EU-Organe 45/2001/EG |
186 | [Fußnote: Verordnung (EG) Nr. 45/2001 des Europäischen |
187 | Parlaments und des Rates vom 18. Dezember 2000 zum Schutz |
188 | natürlicher Personen bei der Verarbeitung personenbezogener |
189 | Daten durch die Organe und Einrichtungen der Gemeinschaft |
190 | zum freien Datenverkehr, ABl. L 8 vom 12. Januar 2001, S. |
191 | 1.] beschreibt den datenschutzrechtlichen Rechtsrahmen für |
192 | das Handeln der EU-Organe. Adressat der Verordnung sind also |
193 | nicht die Mitgliedstaaten, sondern alle „Organe und |
194 | Einrichtungen der Gemeinschaft“. Durch die Verordnung wird |
195 | weiterhin der Europäische Datenschutzbeauftragte eingesetzt, |
196 | der für die unabhängige Kontrolle der Verarbeitung |
197 | personenbezogener Daten durch die Organe und Einrichtungen |
198 | der EU zuständig ist. |
199 | |
200 | Mit der Vorratsdatenspeicherungsrichtlinie 2006/24/EG |
201 | [Fußnote: Richtlinie 2006/24/EG des Europäischen Parlaments |
202 | und des Rates vom 15. März 2006 über die Vorratsspeicherung |
203 | von Daten, die bei der Bereitstellung öffentliche |
204 | zugänglicher elektronischer Kommunikationsdienste oder |
205 | öffentlicher Kommunikationsnetze erzeugt oder verarbeitet |
206 | werden, und zur Änderung der Richtlinie 2002/58/EG, ABl. L |
207 | 105 vom 13. April 2006, S. 54.] werden die Vorschriften der |
208 | Mitgliedstaaten über die Vorratsspeicherung bestimmter |
209 | Daten, die von Telekommunikationsdienstleistern etwa im |
210 | Rahmen von Internet und Telefonie erzeugt oder verarbeitet |
211 | werden, harmonisiert. Auf diese Weise soll sichergestellt |
212 | werden, dass die Daten zu Zwecken der Ermittlung und |
213 | Verfolgung schwerer Straftaten verfügbar sind. [Fußnote: |
214 | Art. 1 der Richtlinie.] Die Richtlinie schreibt die |
215 | vorsorgliche anlasslose Speicherung von Kommunikationsdaten |
216 | vor und trifft u. a. Feststellungen zu den Kategorien der zu |
217 | speichernden Daten, zu Speicherungsfristen und Fragen des |
218 | Datenschutzes und der Datensicherheit. Daten, die |
219 | Kommunikationsinhalte betreffen (Inhaltsdaten), sind nicht |
220 | zu speichern. [Fußnote: Die Europäische Kommission führt |
221 | derzeit eine Evaluation der |
222 | Vorratsdatenspeicherungsrichtlinie durch.] |
223 | |
224 | Im Bereich der justiziellen Zusammenarbeit in Strafsachen |
225 | und bei der polizeilichen Zusammenarbeit existiert ein |
226 | allgemeiner Rechtsakt mit der Annahme des Rahmenbeschlusses |
227 | 2008/977/JI des Rates über den Schutz personenbezogener |
228 | Daten, die im Rahmen der polizeilichen und justiziellen |
229 | Zusammenarbeit in Strafsachen verarbeitet werden. [Fußnote: |
230 | Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 |
231 | über den Schutz personenbezogener Daten, die im Rahmen der |
232 | polizeilichen und justiziellen Zusammenarbeit in Strafsachen |
233 | verarbeitet werden, online abrufbar unter |
234 | http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2 |
235 | 008:350:0060:0071:DE:PDF (Stand: 21.9.2010).] Der eng |
236 | gefasste Anwendungsbereich des Rahmenbeschlusses erstreckt |
237 | sich auf solche personenbezogenen Daten, die von |
238 | mit-gliedstaatlichen Behörden zur Verhütung, Ermittlung, |
239 | Feststellung oder Verfolgung von Straftaten oder zur |
240 | Vollstreckung strafrechtlicher Sanktionen erhoben bzw. |
241 | verarbeitet werden. Der Rahmenbeschluss gilt nur bei einem |
242 | zwischenstaatlichen Datenaustausch. Nicht anwendbar ist der |
243 | Beschluss bei rein nationalen Sachverhalten. [Fußnote: |
244 | Zerdick in: Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art. |
245 | 16, Rn. 48.] Im Gegensatz zur Datenschutzrichtlinie setzt |
246 | der Rahmenbeschluss 2008/977/JI zwischen den Mitgliedstaaten |
247 | lediglich einen Mindeststandard fest. Die einzelnen |
248 | Mitgliedstaaten sind daher nicht daran gehindert, strengere |
249 | nationale Bestimmungen im Regelungsbereich des |
250 | Rahmenbeschlusses zu erlassen. [Fußnote: Zerdick in: |
251 | Lenz/Borchardt, EU-Verträge, 5. Aufl. 2010, Art. 16, Rn. |
252 | 50.] |
253 | |
254 | Die Europäische Kommission hat im November 2010 ein |
255 | „Gesamtkonzept für den Datenschutz in der Europäischen |
256 | Union“ [Fußnote: KOM(2010) 609 endg.] vorgelegt und für 2011 |
257 | einen Vor-schlag für die Änderung der Datenschutzrichtlinie |
258 | angekündigt. |
1-1 von 1
-
1.2.2 Europäisches Sekundärrecht (Originalversion)
von EnqueteBuero, angelegt