EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52003DC0265
Report from the Commission - First Report on the implementation of the Data Protection Directive (95/46/EC)
Bericht der Kommission - Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG 95/46)
Bericht der Kommission - Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG 95/46)
/* KOM/2003/0265 endg. */
52003DC0265
Bericht der Kommission - Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG 95/46) /* KOM/2003/0265 endg. */
BERICHT DER KOMMISSION - Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG 95/46) INHALT 1. Die Gründe für den Bericht und die offene Konsultation über die Umsetzung der richtlinie 95/46/EG 2. Die offene Konsultation im Vorfeld dieses Berichts 3. Die Hauptergebnisse der Überprüfung 4. Die Hauptergebnisse der Überprüfung im Einzelnen 5. Die Verarbeitung von Ton- und Bilddaten 6. Arbeitsprogramm für die bessere Durchführung der Datenschutzrichtlinie (2003-2004) 7. Fazit 1. Die Gründe für den Bericht und die offene Konsultation über die Umsetzung der richtlinie 95/46/EG ,Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig, und zwar erstmals drei Jahre nach dem in Artikel 32 Absatz 1 genannten Zeitpunkt, einen Bericht über die Durchführung dieser Richtlinie vor und fügt ihm gegebenenfalls geeignete Änderungsvorschläge bei." (Art. 33 der EG-Richtlinie 95/46) Mit diesem Bericht kommt die Kommission diesem Auftrag nach. Sie legt den Bericht 18 Monate später als in der Richtlinie gefordert vor, weil die Mitgliedstaaten sich mit der Umsetzung der Richtlinie in innerstaatliches Recht sehr viel Zeit gelassen haben [1]. [1] Im Dezember 1999 verklagte die Kommission Frankreich, Deutschland, Irland, Luxemburg und die Niederlande vor dem Gerichtshof der Gemeinschaften, weil diese Länder nicht alle für die Umsetzung der Richtlinie 95/46 erforderlichen Maßnahmen mitgeteilt hatten. Im Jahr 2001 notifizierten die Niederlande und Deutschland entsprechende Maßnahmen und die Kommission stellte die Verfahren gegen diese Länder ein. Frankreich notifizierte das Datenschutzgesetz aus dem Jahr 1978, sodass das Verfahren gegen dieses Land ebenfalls fallen gelassen wurde. Gleichzeitig kündigte Frankreich ein neues Gesetz an, das noch nicht verabschiedet ist. Im Falle Luxemburgs hat das Vorgehen der Kommission zu einer Verurteilung durch den Gerichtshof wegen Nichterfuellung der Verpflichtungen aus dem EG-Vertrag geführt. Die Richtlinie wurde daraufhin durch ein neues Gesetz umgesetzt, das im Jahr 2002 in Kraft trat. Irland notifizierte eine partielle Umsetzung im Jahr 2001; kürzlich wurde indessen ein vollständiges Gesetz verabschiedet. Informationen über den Stand der Umsetzung in den Mitgliedstaaten sind abrufbar unter: Die Kommission hat für diesen Bericht einen breiten Ansatz gewählt. Sie hat sich dabei nicht auf die reine Überprüfung der Umsetzungsmaßnahmen der Mitgliedstaaten beschränkt, sondern darüber hinaus eine öffentliche Diskussion in Gang gesetzt und auf eine breite Beteiligung der Betroffenen an diesem Meinungsaustausch hingewirkt. Dieser Ansatz entspricht nicht nur dem Konzept, das die Kommission in ihrem Weißbuch vom Juli 2001 [2] für das ,Europäische Regieren" darlegt, er ist außerdem auf Grund der Besonderheit der Richtlinie 95/46 und der raschen technologischen Entwicklung in der Informationsgesellschaft sowie anderer internationaler Entwicklungen gerechtfertigt, die seit Verabschiedung der Richtlinie im Jahr 1995 einen beträchtlichen Wandel herbeigeführt haben. [2] KOM(2001) 428 endg. - http://europa.eu.int/eur-lex/de/com/cnc/ 2001/com2001_0428de01.pdf 1.1. Eine Richtlinie mit sehr breiter Wirkung Mit der Richtlinie 95/46 werden zwei der ältesten Ziele des europäischen Einigungswerkes verfolgt: die Vollendung eines Binnenmarktes (in diesem Fall für den freien Verkehr personenbezogener Daten) und der Schutz von Grundrechten und Grundfreiheiten des Einzelnen. In der Richtlinie haben beide Ziele den gleichen Rang. Rechtlich betrachtet stützt sich die Richtlinie indessen auf Binnenmarktvorschriften. Der Erlass einer Rechtsvorschrift auf EU-Ebene war gerechtfertigt, weil die unterschiedliche Art, in der diese Frage von den Mitgliedstaaten angegangen wurde, den freien Austausch personenbezogener Daten zwischen den Mitgliedstaaten unmöglich machte [3]. Rechtsgrundlage für die Richtlinie war mithin Artikel 100 a (jetzt Artikel 95) des Vertrags. Die Proklamation der Charta der Grundrechte [4] der Europäischen Union durch das Europäische Parlament, den Rat und die Kommission im Dezember 2000, und insbesondere Artikel 8 dieser Charta, in dem das Recht auf Datenschutz verankert ist, hat der Grundrechtsdimension der Richtlinie jedoch größeren Nachdruck verliehen. [3] Siehe KOM (90) 314 endg.- SYN 287 UND 288, 13. September 1990, Seite 4: ,Die unterschiedlichen Ansätze auf einzelstaatlicher Ebene und das Fehlen eines Schutzsystems auf Gemeinschaftsebene stellen ein Hemmnis für die Vollendung des Binnenmarkts dar. Sind die Grundrechte der betroffenen Personen, insbesondere das Recht auf Privatsphäre, nicht auf Gemeinschaftsebene gewährleistet, so könnte der grenzüberschreitende Datenfluss behindert werden..." [4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html Außerdem entfaltet die Richtlinie per se eine sehr breite Wirkung. Jede Person ist von der Datenverarbeitung betroffen, und in jedem Wirtschaftszweig gibt es für die Datenverarbeitung Verantwortliche. Selbst wenn die rechtliche Begründung eher eng gefasst ist, entfaltet die Richtlinie eine sehr breite Wirkung, was bei der Überprüfung der Umsetzung der Richtlinie im Auge behalten werden muss. 1.2. Die Entwicklung in der Informationstechnologie und wachsende Sicherheitsbedenken haben die Datenschutzdiskussion verschärft Seit der Verabschiedung der Richtlinie im Jahr 1995 hat die Zahl der Haushalte und Unternehmen mit Internetzugang exponentiell zugenommen und damit auch die Zahl der Personen, die immer mehr personenbezogene Daten unterschiedlichster Art im Web hinterlassen. Gleichzeitig werden die Verfahren zur Erhebung personenbezogener Daten immer ausgeklügelter und sind immer schwerer zu erkennen: Kameraüberwachungssysteme (CCTV) an öffentlichen Plätzen; Spyware, die von Websites aus auf PCs installiert wird, die diese Seiten besucht haben, und Informationen über die Surfgewohnheiten der Benutzer sammelt, die die Betreiber der Seiten dann häufig an Dritte weiterverkaufen; oder die Überwachung von Arbeitnehmern, einschließlich der Kontrolle von E-Mail- und Internet-Nutzung am Arbeitsplatz. Diese "Datenexplosion" wirft unweigerlich die Frage auf, ob die Rechtsvorschriften bestimmten Herausforderungen in vollem Umfang gerecht werden, insbesondere die klassischen Gesetze mit ihrem begrenzten geografischen Geltungsbereich, mit physischen Grenzen, die durch das Internet immer schneller immer mehr an Bedeutung verlieren [5]. [5] Das Fazit des Berichtes Future Bottlenecks in the Information Society (Künftige Engpässe in der Informationsgesellschaft), der von der Gemeinsamen Forschungsstelle der Kommission und dem Institut für technologische Zukunftsforschung erarbeitet wurde, lautet, dass die Vorschriften der Richtlinie auf einige neu entstandene Bereiche nur schwer passen und es daher notwendig werden könnte, die Richtlinie zu überarbeiten. Gleichzeitig heißt es in den Bericht, dass ,obwohl die Richtlinie in allen Mitgliedstaaten umgesetzt worden ist, der Missbrauch personenbezogener Daten in Online-Informationssystemen zunehmend gesellschaftliche Ängste verursacht." Bei der Ausarbeitung dieses Berichts wurden Daten erlangt, die diese Aussagen stützen. http://www.jrc.es/ FutureBottlenecksStudy.pdf Insbesondere als Reaktion auf die technologische Entwicklung wurden in der Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der Telekommunikation [6] die Grundsätze der Richtlinie 95/46/EG in konkrete Vorschriften für den Telekommunikationssektor übersetzt. Vor kurzem wurde die Richtlinie 97/66/EG durch die Richtlinie 2002/58/EG vom 12. Juli 2002 [7] über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation aktualisiert, sodass sie nun der Entwicklung der Märkte und Technologien für elektronische Kommunikationsdienste wie dem Internet Rechnung trägt und unabhängig von der verwendeten Technologie ein gleichmäßig hohes Datenschutzniveau gewährleistet. [6] ABl. L 24 vom 30.1.1998, S. 1-8. [7] ABl. L 201 vom 31.7.2002, S. 37-47. Die Mitgliedstaaten haben bis 31. Oktober 2003 Zeit für die Umsetzung der neuen Richtlinie in innerstaatliches Recht. Das Entstehen einer wissensbasierten Wirtschaft in Verbindung mit dem technischen Fortschritt und der wachsenden Bedeutung des Humankapitals haben die Datenerhebung am Arbeitsplatz intensiviert. Diese Entwicklungen bergen etliche Probleme und werfen eine Reihe von Fragen auf, und sie haben den wirksamen Datenschutz am Arbeitsplatz in den Mittelpunkt des Interesses gerückt. Die Kommission hat in der Unterlage, mit der sie sich in der zweiten Konsultationsphase im Oktober 2002 an die europäischen Sozialpartner wandte, festgestellt, dass Art. 137 Abs. 2 des Vertrages gesetzgeberische Maßnahmen der EU zulässt, die darauf zielen, durch Schaffung eines europäischen Rahmens mit Grundsätzen und Regeln für diesen Bereich die Arbeitsbedingungen zu verbessern. Die Kommission stellt gegenwärtig Überlegungen über Folgemaßnahmen zu dieser Konsultation an und will bis Ende 2003 eine Entscheidung darüber treffen. Eine solche europäische Rahmenregelung würde sich auf die allgemeinen Grundsätze der Richtlinie 95/46/EG stützen und sie mit Blick auf den Datenschutz am Arbeitsplatz ergänzen und verdeutlichen. Was den Bereich der Verbraucherkredite angeht, so hat die Kommission in ihren Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Harmonisierung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über den Verbraucherkredit [8] einige besondere Datenschutzvorschriften aufgenommen, die den Verbraucherschutz weiter stärken sollen. [8] KOM (2002) 443 endg. vom 11.9.2002. Gleichzeitig hat ein wachsendes Sicherheitsbedürfnis, insbesondere nach den Ereignissen des 11. September 2001, einen gewissen Druck auf die bürgerlichen Freiheiten im Allgemeinen und die Rechte auf Schutz der Privatsphäre und Schutz personenbezogener Daten im besonderen ausgeübt. Das ist weder neu noch überraschend. Der Europäische Gerichtshof für Menschenrechte sah sich schon 1978 zu folgender Warnung veranlasst: ,....Staaten dürfen nicht im Namen des Kampfes gegen Spionage und Terrorismus alle Maßnahmen ergreifen, die sie für geeignet halten....die Gefahr (besteht darin), die Demokratie, die verteidigt werden soll, zu untergraben oder gar zu zerstören." [9] [9] Klass und andere gegen Deutschland, Urteil vom 6. September 1978, Reihe A Nr. 28. Die Richtlinie ist natürlich nicht auf die Verarbeitung personenbezogener Daten im Zusammenhang mit den sogenannten Tätigkeiten der "dritten Säule" [10] anwendbar. Deswegen spricht dieser Bericht Datenschutz in diesem Bereich nicht an. Die Gesetze der Mitgliedstaaten machen jedoch oft nicht dieselbe Unterscheidung. Dies wirft eine Anzahl von Fragen und Problemen auf, die insbesondere vom Europäischen Parlament hervorgehoben wurden und eine weitere Debatte verdienen. [10] Artikel 3.2. erster Absatz schliesst vom Anwendungsbereich der Richtlinie aus: "Tätigkeiten, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen... und auf jeden Fall Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschliesslich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich". 2. Die offene Konsultation im Vorfeld dieses Berichts Vor diesem Hintergrund hat die Kommission versucht, eine offene Diskussion mit möglichst breiter Beteiligung parallel zur Überprüfung der Richtliniendurchführung in Gang zu setzen. Alle Betroffenen - Regierungen, Institutionen, Unternehmen und Verbraucherverbände, sogar einzelne Firmen und Bürger - erhielten die Möglichkeit, teilzunehmen und ihre Meinung zu äußern [11]. Die Kommission bewertet diesen Prozess positiv. Er hat die Informationsquellen erweitert, auf die sie sich bei diesem Bericht und den Empfehlungen für künftige Maßnahmen stützen kann. Außerdem hat er den Meinungsumschwung bestätigt, der sich bereits bei den für die Verarbeitung Verantwortlichen [12] und den Vertretern der Unternehmen im Besonderen abzeichnete: Für die Verarbeitung Verantwortliche beteiligen sich inzwischen konstruktiv am Dialog darüber, wie ein effektiver Datenschutz wirksam zu gewährleisten ist, anstatt Vorschriften auf diesem Gebiet rundheraus zu bekämpfen. [11] Die Kommission hat Fragen an die Regierungen der Mitgliedstaaten und getrennt an die Datenschutzbehörden gestellt; zwei wissenschaftliche Studien in Auftrag gegeben; im Amtsblatt und auf der Kommissionswebsite eine Aufforderung zur Abgabe von Stellungnahmen veröffentlicht; zwei Fragebogen über zwei Monate lang auf ihre Website gestellt, einen, der sich an für die Verarbeitung Verantwortliche richtete, und einen für von der Verarbeitung Betroffene; eine internationale Konferenz veranstaltet, auf der in sechs verschiedenen Workshops ein umfangreiches Themenspektrum erörtert wurde. [12] Zwar ist in diesem Bericht, wenn auf die für die Verarbeitung Verantwortlichen Bezug genommen wird, in der Regel von der ,Wirtschaft" oder ,Unternehmensvertretern" die Rede (weil sie am meisten zur Diskussion beigetragen haben), aber auch Behörden, die im Geltungsbereich des Gemeinschaftsrechts tätig sind, sind für die Verarbeitung Verantwortliche und die Empfehlungen und Anmerkungen in diesem Bericht betreffen selbstverständlich auch sie. Andererseits bedauert die Kommission die schwache Beteiligung von Verbraucherorganisationen am Sondierungsprozess [13]. [13] Nur das BEUC, der Europäische Verbraucherverband, hat ein Positionspapier vorgelegt, in dem unter anderem denjenigen, die für eine Anpassung der Richtlinie an die Erfordernisse der Online-Umgebung plädieren, entgegengehalten wird, dass es die Online-Umgebung sei, die angepasst werden müsse, um sicherzustellen, dass die Grundsätze der Richtlinie uneingeschränkt beachtet werden. Der vorliegende Bericht ist eine Zusammenfassung der Erkenntnisse der Kommission aus den eingegangenen Stellungnahmen sowie ihrer Handlungsempfehlungen. Die Kommission ist jedoch der Meinung, dass dies nur als erster Schritt eines längeren Prozesses betrachtet werden kann. 3. Die Hauptergebnisse der Überprüfung 3.1. Für und Wider einer Richtlinienänderung Die Kommission ist der Auffassung, dass die Ergebnisse der Überprüfung letztlich gegen Änderungen der Richtlinie in diesem Stadium sprechen. In den Beiträgen, die im Zuge der Konsultation eingingen, gab es ausdrückliche Forderungen nach einer Änderung der Richtlinie die Ausnahme. Zu erwähnen sind dabei in erster Linie die sehr detaillierten Änderungsvorschläge, die gemeinsam von Österreich, Schweden, Finnland und dem Vereinigten Königreich vorgelegt wurden [14]. Diese Änderungsvorschläge betrafen nur wenige Bestimmungen (namentlich Artikel 4, der das anwendbare Recht bestimmt, Artikel 8 über sensible Daten, Artikel 12 über das Auskunftsrecht, Artikel 18 über die Meldung bei der Kontrollstelle und Artikel 25 und 26 über die Übermittlung in Drittländer); das Gros der Vorschriften und sämtliche Grundsätze der Richtlinie blieben indessen unangetastet. Die besonderen Probleme, die die genannten Artikel und einige andere Bestimmungen aufwerfen, werden an anderer Stelle in diesem Bericht näher beleuchtet. [14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm Die Niederlande haben sich diesem Vorschlag später angeschlossen. Die Kommission ist der Auffassung, dass es aus den nachstehend aufgeführten Gründen nicht sinnvoll ist, in nächster Zukunft Vorschläge zur Änderung der Richtlinie zu unterbreiten: - Die Erfahrung mit der Durchführung der Richtlinie ist bisher sehr begrenzt. Nur wenige Mitgliedstaaten haben die Richtlinie fristgerecht umgesetzt. Die meisten Mitgliedstaaten meldeten erst 2000 und 2001 Umsetzungsmaßnahmen an die Kommission, und Irland hat seine jüngsten Umsetzungsmaßnahmen immer noch nicht notifiziert. In einigen Mitgliedstaaten steht die Verabschiedung wichtiger Umsetzungsvorschriften noch immer aus. Damit ist keine geeignete Erfahrungsgrundlage für einen Vorschlag zur Richtlinienänderung gegeben. - Viele der Schwierigkeiten, die bei der Überprüfung ermittelt wurden, können ohne Änderung der Richtlinie behoben werden. In einigen Fällen, in denen die Probleme durch eine fehlerhafte Durchführung der Richtlinie verursacht werden, müssen sie durch gezielte Änderungen der innerstaatlichen Rechtsvorschriften beseitigt werden. In anderen ermöglicht der mit der Richtlinie gewährte Handlungsspielraum eine engere Zusammenarbeit zwischen den Kontrollstellen, um die Konvergenz zu erzielen, die erforderlich ist, um die Probleme zu überwinden, die entstehen, weil die Mitgliedstaaten diese zu unterschiedlich anwenden. Solche Maßnahmen dürften sicherlich schneller Wirkung zeigen als eine Richtlinienänderung und sollten deshalb zunächst in vollem Umfang genutzt werden. - Dort, wo die Betroffenen Richtlinienänderungen vorgeschlagen haben, geht es häufig darum, den Aufwand zu senken, der den für die Verarbeitung Verantwortlichen durch die Befolgung der Richtlinie entsteht. Das ist zwar an sich ein legitimes Ziel, das auch von der Kommission gestützt wird, die Kommission ist jedoch der Meinung, dass viele der Vorschläge auch eine Senkung des Datenschutzniveaus nach sich ziehen würden. Nach Auffassung der Kommission sollten alle Änderungen, die zu gegebener Zeit ins Auge gefasst werden könnten, auf die Aufrechterhaltung des Datenschutzniveaus zielen und mit dem Gesamtrahmen in Einklang stehen, der durch die bestehenden internationalen Instrumente vorgegeben ist [15] [15] Kommissar Bolkestein hat es zum Abschluss der Konferenz über die Durchführung der Richtlinie mit folgenden Worten ausgedrückt: ,Der Datenschutz ist sicherlich kein politisches Neuland (...) Bei der Ausarbeitung ihres Berichtes wird die Kommission ... den übergeordneten rechtlichen und politischen Rahmen beachten müssen, insbesondere die Grundsätze des Übereinkommens Nr. 108 des Europarates." In der Diskussion mit den Mitgliedstaaten hat die Kommission festgestellt, dass inzwischen eine breite Mehrheit der EU-Länder und auch der nationalen Kontrollstellen ihre Auffassung teilt, dass eine Änderung der Richtlinie zum jetzigen Zeitpunkt weder notwendig noch wünschenswert ist. Die Kommission ist der Meinung, dass einige der angesprochenen Probleme, die hier nur einer vorläufigen Analyse unterzogen werden, eingehender geprüft werden müssen und dass unter Umständen zu gegebener Zeit ein Vorschlag zur Änderung der Richtlinie in den betreffenden Punkten auf den Weg gebracht werden muss. Einem solchen Vorschlag käme zugute, dass man bis dahin mehr Erfahrung mit der Durchführung der Richtlinie gewonnen hätte. Wie bereits gesagt, kann die Durchführung der geltenden Richtlinie noch beträchtlich verbessert werden, wodurch eine Reihe von Schwierigkeiten, die während der Überprüfung festgestellt und teilweise fälschlich auf die Richtlinie selbst zurückgeführt wurden, ausgeräumt werden dürfte. Die Kommission hat sich in der Vergangenheit und wird sich auch in der Zukunft vor allem auf die Bereiche konzentrieren, in denen eindeutig gegen Gemeinschaftsrecht verstoßen wird, sowie auf diejenigen, in denen unterschiedliche Auslegungen und/oder Praxis Probleme im Binnenmarkt verursachen. Eine weitere Priorität der Kommission ist die einheitliche Anwendung der Vorschriften über die Datenübermittlung in Drittländer, wobei es gilt, zulässige Übermittlungen zu erleichtern und unnötige Schranken oder aufwändige Verfahren zu vermeiden. 3.2. Gesamtbeurteilung der Richtlinienumsetzung in den Mitgliedstaaten - das Problem der Abweichungen zwischen den einzelstaatlichen Rechtsvorschriften Die Dienststellen der Kommission haben die Umsetzung in den 15 Mitgliedstaaten anhand der erhobenen Informationen sorgfältig analysiert. Dabei war die Mitarbeit der Mitgliedstaaten und der nationalen Kontrollstellen äußerst hilfreich. Dieser Bericht und ein technischer Anhang, der getrennt veröffentlicht wird, enthalten die ersten Ergebnisse dieser Analyse, die Erhebung und Auswertung von Informationen über die Umsetzung in den Mitgliedstaaten wird jedoch im Jahr 2003 weitergeführt werden müssen. ERGEBNISSE DER ONLINE-BEFRAGUNGEN Im Juni stellte die Kommission zwei Fragebogen auf ihre Website (Online-Konsultation im Zuge der interaktiven Politikgestaltung) und bat von der Datenverarbeitung Betroffene (öffentliche Konsultation) und für die Datenverarbeitung Verantwortliche (Zielgruppenkonsultation) um ihre Meinungen zu verschiedenen Aspekten des Datenschutzes. Bei Abschluss der Befragungen hatten 9156 natürliche Personen und 982 für die Verarbeitung Verantwortliche geantwortet. Die vollständigen Ergebnisse der Befragungen sind abrufbar unter http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm Die Kommission hält folgende Ergebnisse für besonders interessant: - Obwohl die Datenschutzrichtlinie ein hohes Schutzniveau bietet, betrachteten die meisten der antwortenden natürlichen Personen (4113 von 9156 oder 44,9 %) den gebotenen Datenschutz als Minimum. - 81 % der Antwortenden aus dieser Gruppe halten den Informationsstand über den Datenschutz für unzureichend, schlecht oder sehr schlecht, lediglich 10,3 % halten ihn für ausreichend und nur 3,46 % für gut oder sehr gut. Bei den für die Verarbeitung Verantwortlichen wurde der Kenntnisstand der Bürger fast genauso negativ beurteilt: die Mehrzahl (30 %) hält das Wissen der Bürger über den Datenschutz für unzureichend, und nur sehr wenige stufen es als sehr gut ein (2,95 %). - Die Akzeptanz der Datenschutzvorschriften auf Seiten der Unternehmen hat zugenommen. So halten beispielsweise 69,1 % der Antwortenden (für die Verarbeitung Verantwortliche) Datenschutzvorschriften in unserer Gesellschaft für notwendig, und nur 2,64 % betrachten sie als vollkommen unnötige Regelungen, die abgeschafft werden sollten. - Die große Mehrheit der für die Verarbeitung Verantwortlichen, die den Fragebogen beantwortet haben (61,2 %), ist nicht der Meinung, dass es ihrer Organisation sehr viel Aufwand verursacht, wenn sie Anträgen Betroffener auf Zugang zu ihren persönlichen Daten nachkommt. Die meisten der für die Verarbeitung Verantwortlichen, die den Fragebogen beantwortet haben, verfügten entweder nicht über Zahlen oder sie erhielten weniger als zehn solcher Anfragen im Jahr 2001. Der Kommission ist bewusst, dass diese Ergebnisse nicht als so repräsentativ eingestuft werden können wie die Ergebnisse von Erhebungen auf der Basis wissenschaftlich ausgewählter Stichproben. Sie schlägt vor, im Jahr 2003 eine weitere Erhebung durchzuführen, sowohl um die Zuverlässigkeit der Ergebnisse der offenen Konsultation zu überprüfen als auch um eine Messlatte für die Entwicklung unterschiedlicher Meinungen oder Indikatoren in der Zukunft zu haben. Verspätete Umsetzung Die Umsetzung einer Richtlinie dieses Typs, d. h. einer Richtlinie, die den Mitgliedstaaten beträchtlichen Spielraum lässt, ihnen aber gleichzeitig Detailregelungen in erheblichem Umfang abverlangt, ist zweifelsohne eine komplexe Aufgabe. Aber der erste und wichtigste Mangel, den die Kommission im Zusammenhang mit der Durchführung der Richtlinie feststellen muss und den sie unmissverständlich verurteilt, ist die übermäßige Verzögerung bei der Umsetzung der Richtlinie in den meisten Mitgliedstaaten. Wie bereits erwähnt hat sie selbstverständlich dagegen Maßnahmen nach Art. 226 des Vertrags ergriffen. Freier Datenverkehr gewährleistet Trotz der Umsetzungsverzögerungen und -lücken hat die Richtlinie ihren Hauptzweck, die Beseitigung von Schranken für den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten erfuellt. Vor Verabschiedung der Richtlinie waren die Hautschwierigkeiten nämlich darauf zurückzuführen, dass die meisten Mitgliedstaaten Datenschutzgesetze hatten, einige wenige jedoch nicht. 1995 waren Italien und Griechenland die einzigen Länder ohne solche Rechtsvorschriften, sie gehörten indessen zu den ersten bei der Umsetzung der Richtlinie, womit die Hauptschwierigkeit ausgeräumt war. Seit Verabschiedung der Richtlinie hat die Kommission von keinem Fall gehört, in dem die Übermittlung personenbezogener Daten zwischen Mitgliedstaaten aus Datenschutzgründen ausgesetzt oder abgelehnt worden wäre. Es gibt natürlich subtilere Behinderungen des freien Datenverkehrs als glatte Verbote in den innerstaatlichen Rechtsvorschriften oder die Blockierung der Datenübermittlung durch nationale Kontrollstellen. So sind Fälle vorstellbar, in denen unnötig strenge Vorschriften in einem Mitgliedstaat zunächst die interne Verarbeitung personenbezogener Daten in diesem Mitgliedstaat und in der Folge auch den Export dieser Daten in andere Mitgliedstaaten einschränken. Mit anderen Worten, die Kommission ist zwar was den freien Verkehr von Informationen in der Gemeinschaft angeht im Großen und Ganzen mit der Wirkung der Richtlinie zufrieden, die weiteren Erfahrungen mit der Durchführung könnten jedoch Probleme zutage fördern, die einer Lösung bedürfen [16]. [16] Beispielsweise unterschiedliche Ansätze hinsichtlich des Datenschutzes für juristische Personen. Hohes Datenschutzniveau In Erwägungsgrund 10 der Richtlinie heißt es, dass die Angleichung der Rechtsvorschriften der Mitgliedstaaten, die mit der Richtlinie angestrebt wird, darauf ausgerichtet sein muss, ein hohes Datenschutzniveau in der Gemeinschaft zu erzielen. Die Kommission ist der Meinung, dass dieses Ziel erreicht wurde. Die Richtlinie selbst weist nämlich einen der höchsten Datenschutzstandards weltweit auf. Die Ergebnisse der Online-Befragung weisen jedoch darauf hin, dass die Bürger das anders empfinden. Dieses Paradoxon erfordert weiteres Nachdenken. Eine erste Analyse deutet darauf hin, dass das Problem zumindest teilweise auf eine unvollständige Anwendung der Vorschriften (siehe Abschnitt ,Rechtsdurchsetzung, Rechtsbefolgung und Sensibilisierung") zurückzuführen ist. Schlechtere Bilanz bei anderen Zielen der Binnenmarktpolitik Die Kommission betrachtet auch die übergeordneten Ziele, die, über freien Waren-, Dienstleistungs-, Kapital- und Personenverkehr hinaus, mit dem Binnenmarktrecht verwirklicht werden sollen. Diese Rechtsvorschriften sollten für Chancengleichheit zwischen Marktteilnehmern aus verschiedenen Mitgliedstaaten sorgen, zur Vereinfachung des Regelungsumfelds, sowohl im Sinne verantwortungsvoller Politik als auch im Interesse der Wettbewerbsfähigkeit, beitragen und grenzüberschreitende Tätigkeiten in der EU fördern und nicht behindern. Gemessen an diesen Kriterien sind die Unterschiede, die das Datenschutzrecht der Mitgliedstaaten nach wie vor kennzeichnen, zu groß. Das war die Hauptbotschaft aus den Beiträgen zur Überprüfung der Richtliniendurchführung, insbesondere von Seiten der Wirtschaftsvertreter. Sie beklagen vor allem, dass die bestehenden Unterschiede multinationale Einrichtungen daran hinderten, eine gesamteuropäische Datenschutzstrategie zu entwickeln. Die Kommission erinnert daran, dass mit der Richtlinie eine Annäherung und nicht vollständige Einheitlichkeit angestrebt wird und dass, im Sinne des Subsidiaritätsprinzips, der Angleichungsprozess nicht über das Notwendige hinausgehen sollte. Sie ist aber auch der Meinung, dass die Betroffenen zu Recht mehr Konvergenz in der Gesetzgebung und ihrer Anwendung durch die Mitgliedstaaten und insbesondere durch die Kontrollstellen fordern. In einigen Stellungnahmen wird die Änderung der Richtlinie im Sinne detaillierterer oder genauerer Regelungen zur Erreichung dieser Konvergenz empfohlen. Die Kommission zieht, zumindest vorerst, andere Maßnahmen vor. Außerdem spricht die Art der Richtlinie, um die es hier geht, d. h. die Tatsache, dass sie für eine Vielzahl von Sektoren und Sachverhalten gilt, generell gegen mehr Detailregelungen. Unterschiede zwischen den Rechtsvorschriften der Mitgliedstaaten erfordern unterschiedliche Lösungen Da die Unterschiede zwischen den Rechtsvorschriften der Mitgliedstaaten unterschiedliche Ursachen und Folgen haben, erfordern sie auch eine Reihe unterschiedlicher Lösungen. Es liegt auf der Hand, dass, wenn ein Mitgliedstaat über die Richtlinie hinausgegangen ist oder ihre Erfordernisse nicht erfuellt, eine Abweichung entsteht, die durch eine Änderung der betreffenden Rechtsvorschrift des Mitgliedstaates behoben werden muss. Bestimmte Vorschriften lassen den Mitgliedstaaten wenig oder gar keinen Spielraum, und dennoch ist es hier zu Abweichungen gekommen - z. B. bei den ,Begriffsbestimmungen" oder den abschließenden Aufzählungen in der Richtlinie wie in Artikel 7 (Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung), 8 Abs. 1 (sensible Daten), 10 (Informationen der Betroffenen), 13 (Ausnahmen), 26 (Ausnahmen bezüglich der Übermittlung in Drittländer usw.). Das deutet auf eine Verletzung des Gemeinschaftsrechts hin. Auch Artikel 4 (anwendbares Recht) ist in einer Reihe von Fällen fehlerhaft umgesetzt worden. Die Kommission ist selbstverständlich bereit, ihre Befugnisse nach Art. 226 des Vertrages zu nutzen, um solche Änderungen zu bewirken, sie hofft jedoch, dass es nicht nötig sein wird, den offiziellen Weg zu beschreiten. Es werden bilaterale und multilaterale Gespräche mit den Mitgliedstaaten geführt werden, um zu einvernehmlichen richtlinienkonformen Lösungen zu gelangen. Andere Unterschiede können das legitime Ergebnis einer korrekten Umsetzung durch einen Mitgliedstaat sein, der im Rahmen des von der Richtlinie eingeräumten Handlungsspielraumes eine andere Richtung eingeschlagen hat. Für die Zwecke dieses Berichtes befasst sich die Kommission mit solchen Abweichungen nur insoweit als sie nennenswerte negative Folgen für den Binnenmarkt haben oder aber unter dem Gesichtspunkt einer ,besseren Rechtsetzung", wenn beispielsweise den Marktteilnehmern dadurch ungerechtfertigter Verwaltungsaufwand entsteht. Zusammenfassend lässt sich Folgendes festhalten: a) Ein Großteil der von den Kommissionsdienststellen ermittelten Abweichungen kann nicht als Verletzung des Gemeinschaftsrechts oder als den Binnenmarkt nennenswert beeinträchtigend betrachtet werden. Sollte dies jedoch eintreten, wird die Kommission die erforderlichen Schritte unternehmen, um Abhilfe zu schaffen. b) Viele der festgestellten Unterschiede stehen indessen einem flexiblen, vereinfachten Regelungssystem im Wege und sind daher trotzdem bedenklich (beispielsweise die unterschiedlichen Notifizierungserfordernisse oder die Bedingungen für internationale Datenübermittlungen. Es bietet sich ein breites Spektrum an Handlungsmöglichkeiten an, um dem abzuhelfen, wie unter Ziffer 6 im Arbeitsprogramm dargelegt wird. Diese Lösungen werden zwar in nächster Zukunft in Angriff genommen, das bedeutet aber nicht, dass die Kommission die Möglichkeit entsprechender Richtlinienänderungen in der Folge ausschließt, wenn die Schwierigkeiten fortbestehen. Eine engere Zusammenarbeit zwischen den Kontrollstellen der Mitgliedstaaten und eine allgemeine Bereitschaft zur Verringerung der Negativfolgen solcher Abweichungen sind daher als eine Alternative zu betrachten, Änderungen der Richtlinie, die die Wahlmöglichkeiten der nationalen Gesetzgeber und der Kontrollstellen der Mitgliedstaaten einschränken, als die andere. Die Mitgliedstaaten und ihre Kontrollstellen werden zweifellos die erste Alternative vorziehen, und es ist an ihnen zu zeigen, dass sie funktionieren kann. Rechtsdurchsetzung, Rechtsbefolgung und Sensibilisierung Bevor auf einige der Problembereiche der Richtliniendurchführung näher eingegangen wird, verdient eine andere allgemeine Frage Beachtung, nämlich die des generellen Befolgungsgrades des Datenschutzrechtes in der EU und die damit verknüpfte Frage der Rechtsdurchsetzung. Trotz (oder wegen) der Allgegenwart der Verarbeitung personenbezogener Daten sind genaue und vollständige Informationen über den Befolgungsgrad der Rechtsvorschriften nur schwer zu erlangen. Die Angaben, die die Kommission auf ihre Aufforderung zur Stellungnahme hin erhalten hat, brachten in dieser Hinsicht nicht sehr viele neue Erkenntnisse. Einzelne Beiträge indessen lassen, in Verbindung mit ,harter" Information, die der Kommission vorliegt [17], auf das Vorhandensein von drei miteinander verflochtenen Phänomenen schließen: [17] Beispielsweise die relativ geringe Zahl von Einzelbeschwerden bei der Kommission und die geringe Zahl von Genehmigungen nationaler Kontrollstellen für die Übermittlung von Daten in Drittländer, die der Kommission nach Art. 26 Abs. 3 gemeldet wurden. - Unzureichende Ressourcen für die Durchsetzung und Kontrollstellen mit einem breiten Aufgabenspektrum, in dem Durchsetzungsmaßnahmen eher untergeordnete Bedeutung haben; - sehr lückenhafte Befolgung der Vorschriften durch die für die Verarbeitung Verantwortlichen, die zweifellos nur widerwillig ihre bisherige Praxis ändern, um Vorschriften zu erfuellen, die unter Umständen kompliziert und aufwändig erscheinen, wenn die Gefahr, erwischt zu werden, gering scheint; - ein offenbar niedriger Kenntnisstand bei den von der Verarbeitung Betroffenen über ihre Rechte, was der Grund für die mangelhafte Vorschriftenbefolgung sein könnte. Diese Gegebenheiten, insbesondere die fehlenden Mittel, bereiten auch den Kontrollstellen selbst in vielen Mitgliedstaaten Sorge. Mittelknappheit kann die Unabhängigkeit beeinträchtigen, aber die Unabhängigkeit bei Entscheidungen ist eine Bedingung sine qua non für das einwandfreie Funktionieren des Systems. Dieser Aspekt muss eingehender geprüft werden, aber wenn die Trends sich bestätigen, ist das sehr bedenklich und Kommission, Mitgliedstaaten und Kontrollstellen müssen gemeinsam Ursachenforschung betreiben und gangbare Lösungen erarbeiten. Da die drei Phänomene miteinander verflochten sind, kann die Lösung eines dieser Probleme auch positive Auswirkungen auf die anderen haben. Eine nachdrücklichere und wirksamere Durchsetzung wird zu einem höheren Befolgungsgrad der Vorschriften führen. Eine bessere Befolgung der Vorschriften wird sich darin äußern, dass die für die Verarbeitung Verantwortlichen die Betroffenen umfassender und besser über die Verarbeitung als solche und über ihre gesetzlichen Rechte informieren, was sich positiv auf den Kenntnisstand der Bürger allgemein in Sachen Datenschutz auswirken wird. Die Beitrittsländer Nach den Kopenhagener Kriterien sind alle Beitrittsländer verpflichtet, die Richtlinie 95/46/EG bis zum Zeitpunkt des Beitritts umzusetzen. Bisher haben alle Länder Gesetze für diesen Bereich erlassen, außer der Türkei, wo man mit der Vorbereitung des Datenschutzgesetzes bereits gut vorangekommen ist. In den zehn Ländern, die die Beitrittsverträge unterzeichnet haben, beinhalten die geltenden Rechtsvorschriften die meisten Kernelemente der Richtlinie. Es sind jedoch noch weitere Anstrengungen nötig, um diese Rechtsvorschriften voll und ganz mit der Richtlinie in Einklang zu bringen. Äußerst wichtig ist in diesem Zusammenhang die Einrichtung unabhängiger Datenschutzbehörden. In einigen dieser Länder ist die Unabhängigkeit der Datenschutzbehörden vorbildlich, in anderen wiederum eindeutig unzureichend. Andererseits fehlen all diesen Kontrollstellen die erforderlichen Mittel und einigen auch die Befugnisse, die nötig sind, um eine wirksame Durchführung des Datenschutzrechtes zu gewährleisten. 4. Die Hauptergebnisse der Überprüfung im Einzelnen [18] [18] Für ein vollständigeres Bild sollte der technische Anhang herangezogen werden. Im Folgenden werden die Hauptpunkte, die nach Auffassung der Kommission angesichts der Überprüfungsergebnisse erhöhte Aufmerksamkeit erfordern, näher beleuchtet und an konkreten Beispielen illustriert. 4.1. Die Richtlinienumsetzung muss abgeschlossen werden Eine vollständige Umsetzung der Richtlinie erfordert normalerweise (neben der Verabschiedung von Durchführungsbestimmungen) eine zweite Phase, die hauptsächlich die Überprüfung anderer Rechtsvorschriften, die zu den Richtlinienerfordernissen im Widerspruch stehen könnten, beinhaltet, und/oder den Erlass bestimmter allgemeiner Vorschriften und geeigneter Garantien in den Fällen, in denen Ausnahmeregelungen der Richtlinie in Anspruch genommen werden. Diese zweite Phase der Umsetzung hat, allgemein gesprochen, in einigen Mitgliedstaaten noch gar nicht begonnen, und in einigen Mitgliedstaaten, in denen sie bereits in Angriff genommen wurde, ist sie noch nicht sehr weit gediehen. In den Rechtsvorschriften mehrerer Mitgliedstaaten wird auf den künftigen Erlass detaillierterer Regelungen verwiesen, beispielsweise hinsichtlich der Anwendung von Art. 7 Buchst. f (Interessenabwägung), der jedoch noch nicht erfolgt ist. [19] [19] In einigen Beiträgen - siehe unter anderem den von Clifford Chance - wird die Bedeutung dieser Bestimmung hervorgehoben, die der Regelung über die Verarbeitung ,nach Treu und Glauben" ein wichtiges Flexibilitätselement hinzufügt. Eine unvollständige oder unklare Umsetzung dieser Bestimmung führt zu einem unnötig rigiden Rechtsrahmen. Eine andere Regelung, die häufig nur unvollständig umgesetzt ist, ist Art. 8 Abs. 2 Buchstabe b. Diese Bestimmung erlaubt den Mitgliedstaaten Ausnahmen von der allgemeinen Regel, die die Verarbeitung sensibler Daten verbietet, und zwar dann, wenn die Verarbeitung notwendig ist, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen auf dem Gebiet des Arbeitsrechts nachkommen kann, wobei jedoch ausreichende Garantien vorgesehen werden müssen. In einigen Mitgliedstaaten wird dieses Erfordernis durch besondere Vorschriften über den Datenschutz am Arbeitsplatz erfuellt, die entweder sehr umfassend (z. B. in Finnland) oder auf bestimmte Bereiche ausgerichtet sind (z. B. Gesundheitsgesetzgebung in Dänemark und den Niederlanden). In anderen Mitgliedstaaten ist die Situation nicht so eindeutig. Nicht alle Mitgliedstaaten haben bisher Bestimmungen über die erforderlichen Garantien verabschiedet. Dort, wo sie existieren, sind sie häufig unbefriedigend. Ähnlich stellt sich die Situation in Bezug auf Art. 8 Absätze 4 und 5 - Verarbeitung sensibler Daten aus Gründen eines wichtigen öffentlichen Interesses bzw. Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen. Wenn die Garantien fehlen, bedeutet das, dass das erforderliche Datenschutzniveau nicht erreicht wird, was die Mitgliedstaaten ebenso bedenklich stimmen sollte wie die Kommission. Diese Frage wird insbesondere unter Ziffer 1 des Arbeitsprogramms behandelt. Ferner könnte die Problematik dort, wo personenbezogene Daten in einem bestimmten Sektor oder Zusammenhang, z. B. im Rahmen eines Beschäftigungsverhältnisses, verarbeitet werden, durch sektorbezogene Gemeinschaftsaktionen angegangen werden [20]. [20] Vgl. hierzu Ziff. 1.2. 4.2. Die Auslegung muss vernünftig und flexibel sein In vielen Beiträgen wird für eine vernünftige und flexible Auslegung bestimmter Richtlinienbestimmungen plädiert. [21] Ein gutes Beispiel ist die Frage der sensiblen Daten [22]. Es muss eine Auslegung gefunden werden, die sowohl mit dem verstärkten Schutz in Einklang steht, den die Richtlinie für diese Datenkategorien vorsieht, als auch mit der Wirklichkeit des Geschäftsalltags, mit Routineverarbeitungen und mit der tatsächlichen Bedrohung, die von bestimmten Verarbeitungen für Grundrechte und Grundfreiheiten des Einzelnen ausgeht. [23] [21] Besonders interessant ist in dieser Hinsicht der Beitrag des European Privacy Officers Forum (EPOF), z. B. seine Forderung nach einer vernünftigen Auslegung von Begriffen wie ,anonyme Daten" oder ,sensible Daten". [22] So enthält der Beitrag der FEDMA einige praktische Beispiele für unterschiedliche Auslegungen dieses Begriffs durch Mitgliedstaaten wie das Vereinigte Königreich, Frankreich oder Portugal. [23] Die Forderung nach einer vernünftigen Auslegung findet sich auch in der von Österreich, Finnland, Schweden und dem Vereinigten Königreich vorgeschlagenen Änderung von Erwägungsgrund und 33. Artikel 12 der Richtlinie (Auskunftsrecht der Betroffenen) ist ebenfalls eine der Bestimmungen, die den Ruf nach einer flexiblen Auslegung haben laut werden lassen, und zwar bezüglich des Rechts auf Datenzugang und der Möglichkeit der Zugangsverweigerung. Es wird argumentiert, dass es sich als extrem schwierig und kostspielig für den für die Verarbeitung Verantwortlichen erweisen könnte, Anträgen auf Datenzugang nachzukommen, die sich auf Daten beziehen, die in riesigen, komplexen Informationsnetzen verarbeitet werden. Im Beitrag Österreichs, Schwedens, Finnlands und des Vereinigten Königreichs wird eine Änderung der Richtlinie vorgeschlagen, mit der verdeutlicht wird, dass bei Anträgen auf Datenzugang, die äußerst schwierig abzurufende Daten betreffen, welche klar außerhalb der normalen Verarbeitungen des für die Verarbeitung Verantwortlichen liegen, dieser den Betroffenen auffordern darf, der Organisation bei der Suche nach diesen Daten behilflich zu sein [24]. Die Kommission erinnert daran, dass die geltende Fassung der Richtlinie bereits die Möglichkeit zulässt, diese Hilfe einzufordern. Die Kommission ist nicht davon überzeugt, dass die Durchführung dieser Richtlinienbestimmung wirklich ernste praktische Probleme aufwirft. Jedenfalls scheint die Zahl der Anträge auf Datenzugang nach wie vor niedrig zu sein [25]. Die Kommission hält die Auslegungen und Leitlinien, die die nationalen Kontrollstellen bisher vorgegeben haben, für absolut vernünftig. [24] Die Rechtsvorschriften des Vereinigten Königreichs und Österreichs sehen eine solche Hilfe bereits vor. [25] Siehe hierzu Zahlen und Antworten der für die Verarbeitung Verantwortlichen zum Online-Fragebogen. Nach Artikel 5 der Richtlinie bestimmen die Mitgliedstaaten, nach Maßgabe der Vorschriften von Kapitel II (Art. 6 bis 21), die Voraussetzungen näher, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. In diesem Zusammenhang nimmt die Kommission die Bedenken zur Kenntnis, die Schweden im Zuge der laufenden Überprüfung seiner Rechtsvorschriften hinsichtlich der Anwendung der Datenschutzgrundsätze auf fortlaufende Text-, Ton- und Bilddaten geäußert hat. Die Kommission ist der Meinung, dass das Ziel der Vereinfachung der Rahmenbedingungen für die Datenverarbeitung dort, wo die Rechte des Einzelnen nicht ernsthaft gefährdet sind, besser verwirklicht werden kann durch Nutzung des Handlungsspielraums, den die Richtlinie lässt, insbesondere der Möglichkeiten, die Art. 7 Buchst. f sowie Art. 9 und 13 bieten. 4.3. Förderung von Technologien, die den Datenschutz verbessern (Privacy Enhancing Technologies - PETs) Die Idee, die hinter den PETs steht, ist die von Informations- und Kommunikationssystemen und -technologien, die so ausgelegt sind, dass die Erhebung und Nutzung personenbezogener Daten minimiert wird und unzulässige Verarbeitungsformen verhindert werden. Die Kommission hält den Einsatz geeigneter technologischer Maßnahmen für eine unverzichtbare Ergänzung rechtlicher Maßnahmen und ist der Auffassung, dass sie integraler Bestandteil jeglicher Bemühungen um einen ausreichendes Datenschutzniveau sein sollten. Technologieerzeugnisse sollten in jedem Fall in Übereinstimmung mit den geltenden Datenschutzvorschriften entwickelt werden. Aber die Rechtskonformität ist nur der erste Schritt. Das Ziel sollte die Entwicklung von Produkten sein, die nicht nur die gesetzlichen Anforderungen erfuellen und den Datenschutz fördern, sondern nach Möglichkeit auch den Datenschutz verbessern [26]. [26] Siehe hierzu Schlussfolgerungen der Unterlage WP 37 der Artikel-29-Datenschutzgruppe vom November 2000 : ,Privatsphäre im Internet - ein integrierter EU-Ansatz zum Online-Datenschutz". Produkte, die den Datenschutz gewährleisten, sind Erzeugnisse, die voll und ganz den Anforderungen der Richtlinie entsprechen, Produkte, die den Datenschutz fördern, gehen einen Schritt weiter, und zwar durch einige Eigenschaften, die bestimmte Aspekte des Datenschutzes für den Benutzer besser zugänglich machen, wie beispielsweise sehr benutzerfreundliche Informationen oder die einfache Wahrnehmung von Nutzerrechten. Den Datenschutz verbessernde Produkte sind diejenigen, die auf eine maximale Nutzung wirklich anonymer Daten ausgelegt sind. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_de.htm Bei der Diskussion über PETs auf der von der Kommission veranstalteten Konferenz im Jahre 2002 wurde darauf hingewiesen, dass der Einsatz bestimmter technischer Werkzeuge es den für die Verarbeitung Verantwortlichen unmöglich macht, ihre gesetzlichen Verpflichtungen zu erfuellen. Ein weiteres Problem liegt, wie sich gezeigt hat, darin, dass schwer auszumachen ist, welche Produkte echte PETs sind. Einige Teilnehmer forderten eine Zertifizierung oder ein Gütesiegel auf der Grundlage einer unabhängigen Überprüfung der Erzeugnisse. Gegenwärtig werden Produkte als PETs ausgegeben, die nicht einmal die gesetzlichen Datenschutzerfordernisse erfuellen. Die Kernfrage ist daher nicht nur, wie Technologien entwickelt werden können, die tatsächlich den Datenschutz verbessern, sondern wie dafür gesorgt werden soll, dass diese Technologien ordnungsgemäß als solche gekennzeichnet und von den Nutzern erkannt werden. Zertifizierungssysteme spielen hier eine entscheidende Rolle, und die Kommission wird die Entwicklung in diesem Bereich weiter verfolgen [27]. [27] Beispielsweise in Kanada, dessen Bundesregierung die erste Zentralregierung war, die obligatorische Datenschutz-Folgenabschätzungen für alle Bundesministerien und -agenturen vorgeschrieben hat, bei allen Programmen und Diensten, bei denen der Datenschutz berührt werden könnte. Die Agenturen müssen in der Frühphase der Konzeption oder Überarbeitung eines Programms oder eines Dienstes eine solche Folgenabschätzung vornehmen, damit der Entwicklungsprozess entsprechend gesteuert und dafür gesorgt wird, dass der Datenschutz eines der Hauptkriterien ist. Das Land Schleswig-Holstein hat ein ähnlich ausgelegtes Zertifizierungssystem für den öffentlichen und den privaten Sektor eingeführt. Die Kommission ist der Meinung, dass solche Systeme gefördert und weiterentwickelt werden sollten. Ziel ist nicht nur eine bessere Datenschutz-Kultur, sondern auch mehr Transparenz und somit ein höheres Vertrauen der Benutzer; ferner sollte denjenigen, die in die Gewährleistung und sogar die Verbesserung des Datenschutzes investieren, Gelegenheit gegeben werden, ihre Leistung auf diesem Gebiet darzustellen und Wettbewerbsvorteile daraus zu ziehen. 4.4. Anmerkungen zu einigen spezifischen Bestimmungen Der vorliegende Bericht führt nur die wichtigsten Ergebnisse der jeweiligen Fälle an. Nähere Einzelheiten sind in einem technischen Anhang enthalten, der getrennt veröffentlicht wird [28]. [28] www.europa.eu.int/comm/privacy 4.4.1. Artikel 4: Anwendbares einzelstaatliches Recht Dies ist vom Standpunkt des Binnenmarktes aus gesehen eine der wichtigsten Bestimmungen der Richtlinie, und ihre korrekte Durchführung ist wesentlich für das Funktionieren des Systems. Die Durchführung dieser Bestimmung ist in mehreren Fällen fehlerhaft, wodurch genau die Art von Konflikten auftreten könnten, die durch diesen Artikel verhindert werden sollen. Einige Mitgliedstaaten werden ihre einschlägigen Rechtsvorschriften ändern müssen. Die Bestimmung war eine derjenigen, die im Laufe des Überarbeitungsverfahrens am häufigsten kritisiert wurden. In einigen Beiträgen wurde ein Herkunftslandprinzip gefordert, das es internationalen Organisationen ermöglichen würde, innerhalb der EU mit einem einzigen Regelwerk arbeiten zu können. Viele argumentierten außerdem, dass die ,Mittel" kein geeignetes oder verwendbares Kriterium sein könnten, um zu bestimmen, ob EU-Recht auf für die Verarbeitung Verantwortliche außerhalb der EU anwendbar ist. Was das Herkunftslandprinzip angeht, so ermöglicht die Richtlinie bereits die Organisation der Verarbeitung durch einen einzigen für die Verarbeitung Verantwortlichen, d.h. es müssen nur die Datenschutzgesetze des Landes befolgt werden, in dem der für die Verarbeitung Verantwortliche niedergelassen ist. Dies gilt natürlich nicht, wenn ein Unternehmen sein Niederlassungsrecht in mehreren Mitgliedstaaten ausübt. Was die ,Mittel" angeht, so ist der Kommission bewusst, dass dieses Kriterium in der Praxis möglicherweise nicht leicht anzuwenden ist und weiterer Klärung bedarf. Sollte diese Klärung nicht ausreichen, um die praktische Anwendbarkeit zu gewährleisten, könnte es erforderlich werden, eine Änderung vorzuschlagen, die einen anderen Bezugsfaktor zur Bestimmung des anwendbaren Rechts schaffen würde. Vorrangig möchte die Kommission jedoch sicherstellen, dass die Mitgliedstaaten die geltende Bestimmung korrekt durchführen. Weitere Erfahrungen und Überlegungen, unter Berücksichtigung der technologischen Entwicklung, sind erforderlich, bevor Vorschläge zur Änderung von Artikel 4 Absatz 1 Buchstabe c gemacht werden können. Ungeachtet der Notwendigkeit, weitere Überlegungen anzustellen, wäre es falsch, den Eindruck zu erwecken, dass Artikel 4 insgesamt infrage gestellt wird. Im Gegenteil - ihre Anwendung ist in weiten Bereichen unangefochten und Gegenstand einstimmiger Zustimmung aller Datenschutzbehörden und der Kommission. 4.4.2. Artikel 6 und 7: Qualität der Daten und Grundsätze in Bezug auf die Zulässigkeit derVerarbeitung von Daten Die Prüfung einzelstaatlicher Rechtsvorschriften zeigt, dass die Durchführung dieser Bestimmungen bisweilen nicht zufriedenstellend ist. Artikel 6 Absatz 1 Buchstabe b ermöglicht die Weiterverarbeitung zu historischen, statistischen oder wissenschaft lichen Zwecken, jedoch nur, wenn geeignete Garantien vorgesehen sind. Nicht alle Mitgliedstaaten haben Garantien vorgesehen, während eine solche Weiterverarbei tung allgemein zugelassen wird. Einige Mitgliedstaaten sind über die Liste der Gründe für eine rechtmäßige Verarbeitung in Artikel 7 hinaus gegangen oder haben diese gekürzt und werden ihre Vorschriften ändern müssen. Der Begriff der Einwilligung ,ohne jeden Zweifel" (Artikel 7 Buchstabe a) muss näher erläutert werden und eine einheitlichere Auslegung erhalten insbesondere im Vergleich zu dem Begriff der ,ausdrücklichen" Einwilligung in Artikel 8. Die Beteiligten müssen wissen, was eine gültige Einwilligung ist, insbesondere bei Online-Szenarios. 4.4.3. Artikel 10 und 11: Information der betroffenen Personen Die Durchführung von Artikel 10 und 11 der Richtlinie wies eine Reihe von Abweichungen auf. Dies ist in gewissem Umfang auf eine fehlerhafte Umsetzung zurückzuführen, beispielsweise wenn ein Gesetz verlangt, dass die betroffene Person immer zusätzliche Informationen erhalten muss, unabhängig von der in der Richtlinie vorgesehenen Prüfung der Erforderlichkeit, geht jedoch auch auf abweichende Auslegungen und Praktiken der Kontrollstellen zurück. Die Beiträge wiesen darauf hin, dass internationale Unternehmen, die europaweit tätig sind, Schwierigkeiten haben, die auf diese Unterschiede zurückzuführen sind [29]. [29] Siehe beispielsweise die Stellungnahmen des EPOF (European Privacy Officers Forum): http://europa.eu.int/comm/internal_market/ privacy/docs/lawreport/paper/epof_en.pdf oder des EU-Ausschusses der amerikanischen Handelskammer: 4.4.4. Artikel 18 und 19: Meldung In vielen Beiträgen wird die Meinung geäußert, die Anforderungen der Mitgliedstaaten hinsichtlich der Meldung von Verarbeitungen durch für die Verarbeitung Verantwortliche müssten vereinfacht und angeglichen werden. Die Kommission teilt diese Auffassung, erinnert aber daran, dass die Richtlinie den Mitgliedstaaten bereits die Möglichkeit bietet, weitgehende Ausnahmen von der Meldepflicht zuzulassen, wenn wenig Risiken bestehen oder der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten ernannt hat. Diese Ausnahmen ermöglichen ausreichend Flexibilität und beeinträchtigen das garantierte Schutzniveau nicht. Leider haben einige Mitgliedstaaten diese Möglichkeiten nicht genutzt. Die Kommission teilt jedoch die Auffassung, dass neben einer weitergehenden Nutzung der bestehenden Ausnahmen eine weitere Vereinfachung sinnvoll wäre und ohne Änderung der geltenden Richtlinie möglich sein sollte. 4.4.5. Artikel 25 und 26 der Richtlinie: Die externe Dimension Die Abweichungen zwischen den Rechtsvorschriften der Mitgliedstaaten zur Durchführung dieser beiden Bestimmungen sind enorm. Der von einigen Mitgliedstaaten verfolgte Ansatz, bei dem die Beurteilung der Angemessenheit des vom Empfänger garantierten Schutzniveaus von dem für die Verarbeitung Verantwortlichen vorgenommen werden soll, die Kontrolle der Datenströme durch den Staat oder die nationalen Kontrollstelle aber sehr begrenzt ist, entspricht offensichtlich nicht der Anforderung, die den Mitgliedstaaten in Artikel 25 Absatz 1 auferlegt wird [30]. [30] ,Die Mitgliedstaaten sehen vor, dass die Übermittlung personenbezogener Daten (...) in ein Drittland (...) zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet" Der Ansatz einiger anderer Mitgliedstaaten, alle Übermittlungen in Drittländer von einer administrativen Genehmigung abhängig zu machen [31] ist offensichtlich auch nicht mit Kapitel IV der Richtlinie vereinbar, das darauf abzielt, sowohl einen angemessenen Schutz als auch einen möglichst wenig aufwändigen Fluss personenbezogener Daten in Drittländer zu garantieren. Meldungen an einzelstaatliche Kontrollstellen können nach Artikel 19 verlangt, aber nicht in De-facto-Genehmigungen verwandelt werden, wenn die Übermittlung in ein Drittland eindeutig zulässig ist, sei es, weil der Empfänger ein angemessenes Schutzniveau bietet, das durch eine verbindliche Entscheidung der Kommission bestätigt wird, oder weil der für die Verarbeitung Verantwortliche erklärt, dass die Übermittlung unter eine der Ausnahmen nach Artikel 26 der Richtlinie fällt. Die Datenschutzbehörde kann zwar rechtmäßig verlangen, dass diese Übermittlungen gemeldet werden [32], aber diese Übermittlungen müssen nicht genehmigt werden, weil sie bereits durch die Gemeinschaftsvorschriften zugelassen sind. [31] Übermittlungen gemäß den Ausnahmen nach Artikel 26 Absatz 1 oder sogar in andere Mitgliedstaaten oder Drittländer, denen von der Europäischen Kommission ein angemessenes Datenschutzniveau bescheinigt wird, bedürfen in einigen Mitgliedstaaten einer Genehmigung. [32] Um beispielsweise zu prüfen, ob das Vertragsmuster genau dem von der Kommission genehmigten Muster entspricht oder dass der Empfänger tatsächlich unter die Angemessenheitsentscheidung fällt. Bei der zu nachsichtige Haltung einiger Mitgliedstaaten besteht - abgesehen davon, dass sie gegen die Richtlinie verstößt - die Gefahr, dass der Schutz in der gesamten EU geschwächt wird, weil aufgrund des durch die Richtlinie garantierten freien Datenverkehrs die Datenströme wahrscheinlich über die ,am wenigsten aufwändigen" Ausfuhrwege geleitet werden. Andererseits würde ein zu strenger Ansatz die legitimen Erfordernisse des internationalen Warenverkehrs und die Realität der globalen Telekommunikationsnetze ignorieren und die Gefahr bergen, dass sich eine Kluft zwischen Gesetz und Praxis auftut, die der Glaubwürdigkeit der Richtlinie und der Rechtsvorschriften der Gemeinschaft generell schaden würde. Internationale Übermittlungen sind in der Tat offensichtlich eines der Gebiete, auf denen fehlende Durchsetzungsmaßnahmen zu einer solchen Lücke führen. Die einzelstaatlichen Behörden sollen die Kommission informieren, wenn sie Übermittlungen nach Artikel 26 Absatz 2 der Richtlinie genehmigen. Seit Inkrafttreten der Richtlinie 1998 hat die Kommission nur sehr wenige solcher Meldungen erhalten. Auch wenn man berücksichtigt, dass es andere zulässige Übermittlungswege neben Artikel 26 Absatz 2 gibt, ist die Zahl der Meldungen lächerlich verglichen mit dem, was zu erwarten wäre. Neben anderen Hinweisen in ähnlicher Richtung [33] legt dies die Vermutung nahe, dass viele unerlaubte und möglicherweise unzulässige Übermittlungen an Bestimmungsorte oder Empfänger stattfinden, die keinen angemessenen Schutz garantieren. Es gibt aber kaum oder keine Hinweise auf Durchsetzungsmaßnahmen seitens der Kontrollstellen. [33] Der im Mai 2001 von der Frühjahrstagung der Datenschutzbehörden angenommene Bericht zeigte, dass die meisten nationalen Kontrollstellen nicht in der Lage waren, die Zahl der Verarbeitungen anzugeben, die sich auf Übermittlungen in Drittländer bezogen. Wenn Zahlen vorlagen, waren sie unbedeutend (600 Übermittlungen aus Frankreich, 1352 aus Spanien und 150 aus Dänemark). Übermittlungen, die der Genehmigung und Meldung bedürfen, verursachen erheblichen Verwaltungsaufwand sowohl für die Datenexporteure als auch für die Kontrollstellen. Daher ist es wünschenswert, dass die in Artikel 25 Absatz 6 und 26 Absatz 4 der Richtlinie vorgesehenen ,Gruppengenehmigungen" stärker genutzt werden. Bisher wurden so nur vier Entscheidungen über die Angemessenheit des Datenschutzes für Drittländer (für Ungarn, die Schweiz, Kanada und die USA - Safe Harbor [34]) sowie zwei Sätze Standardvertragsklauseln erstellt, zum einen für Übermittlungen an für die Verarbeitung Verantwortliche in Drittländern und zum anderen für Übermittlungen an Verarbeiter. Es ist noch einiges zu tun, um die Bedingungen für internationale Übermittlungen zu vereinfachen. [34] Ferner ist in Kürze eine Kommissionsentscheidung über die Angemessenheit des Datenschutzes in Argentinien zu erwarten. 5. Die Verarbeitung von Ton- und Bilddaten Während der Erarbeitung der Richtlinie äußerten einige Personen die Sorge, die Richtlinie könnte zukünftige technische Entwicklungen möglicherweise nicht ausreichend berücksichtigen. Das Ausmaß dieser technischen Entwicklungen war unsicher, und es wurden Bedenken geäußert, dass man auf Schwierigkeiten stoßen könnte, wenn ein Text, der in erster Linie im Hinblick auf die Verarbeitung von Textdaten erarbeitet wurde, auf die Verarbeitung von Ton- und Bilddaten angewandt werde. Artikel 33 enthält deshalb einen ausdrücklichen Hinweis auf Ton- und Bilddaten. Die Kommission hat diesem Überblick eine Studie zugrunde gelegt, die von einem externen Dienstleister durchgeführt wurde und die Lage in den Mitgliedstaaten analysiert; hinzu kommen Beiträge der Mitgliedstaaten selbst und der nationalen Kontrollstellen. Die vorliegenden Informationen zeigen, dass die Verarbeitung von Ton- und Bilddaten in den Geltungsbereich aller einzelstaatlichen Rechtsvorschriften zur Umsetzung der Richtlinie fällt und dass die Anwendung der Richtlinie auf diese Verarbeitungskategorien nicht besonders problematisch war. In den meisten Mitgliedstaaten gelten die gleichen (allgemeinen) Bestimmungen für die Verarbeitung von Ton- und Bilddaten wie für die Verarbeitung anderer personenbezogener Daten. Lediglich zwei Mitgliedstaaten (Deutschland und Luxemburg) haben spezifische Bestimmungen über die Verarbeitung von Ton- und Bilddaten in ihre Gesetze zur Umsetzung der Richtlinie aufgenommen. Drei Mitgliedstaaten (Dänemark, Schweden und Portugal) haben in getrennten Gesetzen spezifische Bestimmungen über die Videoüberwachung eingeführt. Trotz der während der Verhandlungen über die Richtlinie zur Sprache gebrachten Zweifel sind die Mitgliedstaaten somit zu dem Schluss gekommen, dass das Ziel der Technologieneutralität der Richtlinie erreicht wurde, zumindest was die Verarbeitung von Ton- und Bilddaten angeht. Weder von den Mitgliedstaaten noch von anderen Teilnehmern der Konsultation wurden diesbezügliche Änderungen der Richtlinie vorgeschlagen. In den gemeinsamen Vorschlägen Österreichs, Finnlands, Schwedens und des Vereinigten Königreichs werden Bedenken zum Ausdruck gebracht, die Richtlinie könnte unter Umständen bestimmten technischen Entwicklungen nicht gerecht werden, sie enthalten aber keine konkreten Vorschläge, die in direktem Zusammenhang mit dieser Frage stehen. Einer der Workshops bei der Konferenz über die Durchführung der Richtlinie war ausschließlich dieser Frage gewidmet. Hauptthema war die Videoüberwachung, die Thematik, der die nationalen Kontrollstellen bisher die meiste Aufmerksamkeit gewidmet haben (gefolgt von Biometrik) . Die Teilnehmer glaubten, dass bisher nicht in ausreichendem Maße öffentlich über die Grenzen diskutiert wurde, die dem Einsatz der Videoüberwachung gesetzt werden müssen, um bestimmte Rechte und Freiheiten einer demokratischen Gesellschaft zu schützen. Die Artikel 29-Datenschutzgruppe hat ebenfalls beträchtliche Energie auf diese Frage verwandt und einen Entwurf eines Arbeitsdokuments angenommen, das auf der Datenschutz-Website der Kommission veröffentlicht worden ist und zu dem Betroffene Stellung nehmen können. Hinzu kommt eine Reihe rechtlicher und praktischer Fragen, die sich aus der Durchführung der Richtlinie in den Mitgliedstaaten im Hinblick auf Ton- und Bilddaten ergeben und die zu Unsicherheiten bei denjenigen führen, die die Rechtsvorschriften einhalten müssen, und bei Einzelpersonen, die das Recht haben, Datenschutzansprüche geltend zu machen. Es gibt beispielsweise Unsicherheiten im Hinblick auf die Begriffsbestimmungen der Richtlinie, z.B. in welchem Maße ein einzelnes Bild oder ein Fingerabdruck in den Fällen als personenbezogene Daten zu sehen sind, in denen der für die Verarbeitung Verantwortliche nicht oder höchstwahrscheinlich nicht in der Lage ist, eine Einzelperson zu identifizieren; oder ob die einfache Überprüfung eine Verarbeitung darstellt oder wie eine vernünftige Auslegung des Begriffs der sensiblen Daten erreicht werden kann. Die Kommission erkennt an, dass die nationalen Rechtsvorschriften zur Umsetzung der Richtlinie Antworten auf alle diese Fragen enthalten, hält jedoch genauere Anleitungen für erforderlich. Diese Anleitungen müssen realistisch und pragmatisch sein, wenn sie zu einer besseren Befolgung beitragen sollen und sollten so weit wie möglich von den Mitgliedstaaten koordiniert werden. Die Kommission begrüßt die bisherige Arbeit der Artikel 29-Datenschutzgruppe auf diesem Gebiet und fordert sie auf, weiterhin sinnvolle Anleitungen zu geben, unter Berücksichtigung sachdienlicher Beiträge der Betroffenen. 6. Arbeitsprogramm für die bessere Durchführung der Datenschutzrichtlinie (2003-2004) Die im vorliegenden Bericht enthaltene Prüfung der Durchführung in den Mitgliedstaaten bringt Probleme zum Vorschein, die gelöst werden müssen, wenn die Richtlinie die beabsichtigte Wirkung voll entfalten soll. Das nachfolgende Arbeitsprogramm umfasst Maßnahmen, die ab dem Zeitpunkt der Annahme dieses Berichts bis Ende 2004 durchgeführt werden sollen und gemeinsame Anstrengungen der Europäischen Kommission, der Mitgliedstaaten (einschließlich der Beitrittsländer) und ihrer nationalen Kontrollstellen sowie in einigen Fällen auch der Vertreter der für die Verarbeitung Verantwortlichen erforderlich machen werden. Eine allgemeine, ernste Sorge, die bereits angesprochen wurde, gilt dem Befolgungsgrad, der Durchsetzung und dem Kenntnisstand über den Datenschutz, die offensichtlich unzureichend sind. Ein allgemeiner Aktionspunkt der Kommission, der für alle im Folgenden aufgeführten Initiativen gilt, wird daher die Zusammenarbeit mit Mitgliedstaaten, Kontrollstellen und Betroffenen zur Ermittlung der Gründe hierfür und zur Erarbeitung gangbarer Lösungen für diesen Problemkreis sein. Initiativen der Kommission Aktion 1: Erörterungen mit den Mitgliedstaaten und den Datenschutzbehörden Im Laufe des Jahres 2003 werden die Kommissionsdienststellen bilaterale Sitzungen mit den Mitgliedstaaten abhalten. Der Hauptzweck dieser Sitzungen wird die Erörterung der Änderungen sein, die erforderlich sind, um die einzelstaatlichen Rechtsvorschriften voll mit den Anforderungen der Richtlinie in Einklang zu bringen. Die Beteiligung der zuständigen Datenschutzbehörden kann bei einigen Fragen erforderlich sein. Der Bedarf an einer strengeren Durchsetzung könnte ebenfalls ein Thema dieser bilateralen Erörterungen sein. Auch die mangelhafte Mittelausstattung der Kontrollstellen sollte erörtert werden. Diese Sitzungen können ergänzt werden durch Erörterungen der fehlerhaften Durchführung der Richtlinie auf den ,Paketsitzungen", die regelmäßig vom Generalsekretariat der Kommission und/oder der GD Binnenmarkt mit den Mitgliedstaaten durchgeführt werden. Erörterungen in der Artikel 29-Datenschutzgruppe und dem Artikel-31-Ausschuss sollen es ermöglichen, bestimmte Fragen, die eine große Zahl von Mitgliedstaaten betreffen, auf multilateraler Basis anzugehen, wobei diese Diskussionen selbstverständlich nicht zu einer De-facto-Änderung der Richtlinie führen sollen. Neben der Ad-hoc-Erörterung spezifischer Fragen schlägt die Kommission vor, dass jede Gruppe im Laufe des Jahres 2003 eine komplette Sitzung auf dieses Thema verwendet. Aktion 2: Einbeziehung der Beitrittsländer in die Bemühungen um eine bessere und einheitlichere Durchführung der Richtlinie Der vorliegende Bericht befasst sich fast ausschließlich mit der Situation in den 15 Mitgliedsländern. Vor der Vollendung des Arbeitsprogramms werden 10 neue Mitgliedstaaten der Union beigetreten sein. Vertreter der Kontrollstellen mehrerer Kandidatenländer nehmen seit 2002 an Sitzungen der Artikel 29-Datenschutzgruppe teil. Ab dem Datum der Unterzeichnung der Beitrittsverträge werden die Beitrittsländer zu allen Sitzungen der Datenschutzgruppe und des Artikel-31-Ausschusses eingeladen. Bilaterale Erörterungen und möglicherweise "peer reviews" sollen in vernünftigem Maße bis zum Beitritt und darüber hinaus weitergeführt werden, um die bestmögliche Angleichung der Rechtsvorschriften der neuen Mitgliedstaaten an die Richtlinien zu erreichen und die Zahl der Vertragsverletzungsverfahren möglichst gering zu halten. Aktion 3: Verbesserung der Mitteilung aller Rechtsvorschriften zur Umsetzung der Richtlinie und der Genehmigungen nach Artikel 26 Absatz 2 der Richtlinie Die Kommissionsdienststellen werden in enger Zusammenarbeit mit den Datenschutzbehörden und den Mitgliedstaaten mit der Erhebung von Daten über die Durchführung der Richtlinie fortfahren, und sie werden insbesondere die Bereiche ermitteln, in denen deutliche Lücken bei den mitgeteilten Umsetzungsmaßnahmen bestehen; sie werden sich der Mitarbeit der Mitgliedstaaten zu versichern suchen, um diese Lücken schnellstmöglich zu fuellen. Die Kommission wird den Austausch bewährter Verfahren erleichtern, wenn dies hilfreich erscheint. Die Kommission wird ihre formellen Befugnisse nach Artikel 226 EG-Vertrag ausüben, wenn dieser kooperative Ansatz (6.1, 6.2 und 6.3) nicht zu den erforderlichen Ergebnissen führt. Darüber hinaus werden die Mitgliedstaaten und ihre Kontrollstellen die erforderlichen Vorkehrungen treffen müssen, um (gemäß Artikel 26 Absatz 3) einzelstaatliche Genehmigungen für internationale Übermittlungen (nach Artikel 26 Absatz 2 der Richtlinie) zu melden. Die Kommission wird dies mit den Mitgliedstaaten und ihren Kontrollstellen erörtern. Die Kommission wird eine neue Seite auf ihrer Website [35] einrichten, auf der sie gut strukturiert nicht nur alle Informationen veröffentlichen wird, die zur Erarbeitung des vorliegenden Berichts erhoben wurden, sondern auch Informationen über die Arbeiten, die im Rahmen dieses Arbeitsprogramms durchgeführt werden sollen. Sie wird ferner die nationalen Kontrollstellen auffordern, Entscheidungen und Empfehlungen, die von Datenschutzbehörden angenommen wurden, und wichtige Leitfäden und Hinweise, die sie veröffentlicht haben, zu dieser Website beizusteuern, wobei der Schwerpunkt auf Gebieten liegen soll, in denen eine ausgeglichenere Auslegung und Anwendung des Rechts erforderlich ist. [35] www.europa.eu.int/comm/privacy Beitrag der Artikel 29-Datenschutzgruppe [36] [36] Diese Liste lässt das allgemeine Arbeitsprogramm der Artikel 29-Datenschutzgruppe unberührt, das abrufbar ist unter: http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf Die Kommission begrüßt die Beiträge der Artikel 29-Datenschutzgruppe zur Erreichung einer einheitlicheren Anwendung der Richtlinie. Sie möchte an die Bedeutung der Transparenz in diesem Prozess erinnern und unterstützt die derzeitigen Anstrengungen der Gruppe um ihre Arbeit noch transparenter zu machen. Aktion 4: Durchsetzung Die Kommission fordert die Artikel 29-Datenschutzgruppe auf, die Frage der besseren Durchsetzung insgesamt periodisch zu erörtern. Dies dürfte unter anderem zum Austausch und zur Annahme bewährter Verfahren führen. Darüber hinaus sollte die Gruppe erwägen, sektorale Untersuchungen auf EU-Ebene durchzuführen und die diesbezüglichen Normen anzugleichen. Ziel solcher gemeinsamer Untersuchungen wäre es, ein genaueres Bild von der Durchführung der Datenschutzvorschriften in der Gemeinschaft zu bekommen und den betroffenen Sektoren gemeinsame Empfehlungen und praktische Hinweise an die Hand zu geben, um die Einhaltung auf möglichst einfache Weise sicherzustellen. Aktion 5: Meldung und Öffentlichkeit der Verarbeitungen Die Europäische Kommission teilt weitgehend die Kritik, die von für die Verarbeitung Verantwortlichen während der Prüfung bezüglich der unterschiedlichen Inhalte der für sie geltenden Meldeanforderungen ausgesprochen wurde. Die Kommission empfiehlt eine stärkere Nutzung der Ausnahmeregelungen, und insbesondere der in Artikel 18 Absatz 2 der Richtlinie vorgesehenen Möglichkeit, nämlich der Ernennung eines Datenschutzbeauftragten, die zu einer Befreiung von den Meldeanforderungen führt. Die Kommission fordert die Artikel 29-Datenschutzgruppe auf, zu einer einheitlicheren Durchführung der Richtlinie beizutragen, indem sie Vorschläge für eine wesentliche Vereinfachung der Meldeanforderungen in den Mitgliedstaaten und für Zusammenarbeitsmechanismen zur Vereinfachung der Meldungen internationaler Unternehmen mit Niederlassungen in mehreren Mitgliedstaaten unterbreitet. Diese Vorschläge müssen gegebenenfalls auch Vorschläge zur Änderung einzelstaatlicher Rechtsvorschriften enthalten. Die Kommission ist bereit, selbst Vorschläge zu unterbreiten, falls die Datenschutzgruppe dies nicht innerhalb einer angemessenen Frist tun kann (12 Monate). Aktion 6: Einheitlichere Bestimmungen über Informationspflichten Die Kommission teilt die Auffassung, dass der derzeitige Flickenteppich aus unterschiedlichen und sich überschneidenden Anforderungen hinsichtlich der Informationen, die die für die Verarbeitung Verantwortlichen den betroffenen Personen erteilen müssen, die Wirtschaftsteilnehmer unnötig belastet, ohne zu dem erreichten Schutzniveau beizutragen. Sofern die Informationsanforderungen an für die Verarbeitung Verantwortliche mit der Richtlinie unvereinbar sind, ist zu hoffen, das dies schnell im Wege eines Dialogs mit den Mitgliedstaaten und korrigierender rechtlicher Maßnahmen ihrerseits gelöst werden kann. Zusätzlich dazu ruft die Kommission die Artikel 29-Datenschutzgruppe auf, bei der Suche nach einer einheitlicheren Auslegung von Artikel 10 mitzuwirken. Aktion 7: Vereinfachung der Anforderungen für internationale Übermittlungen Parallel zu den Diskussionen, mit denen die Änderungen herbeigeführt werden sollen, die notwendig sind, um die Rechtsvorschriften der Mitgliedstaaten richtlinienkonform zu machen, fordert die Kommission die Artikel 29-Datenschutzgruppe auf, den letzten Bericht des Workshops zur internationalen Bearbeitung von Beschwerden als Grundlage für weitere Erörterungen heranzuziehen, um eine grundlegende Annäherung bestehender Praktiken in den Mitgliedstaaten und die Vereinfachung der Bedingungen für internationale Datenübermittlungen zu erreichen. Die Kommission selbst beabsichtigt, ihre Befugnisse nach Artikel 25 Absatz 6 und 26 Absatz 4 stärker zu nutzen, die die besten Möglichkeiten bieten, den regulatorischen Rahmen für Wirtschaftsteilnehmer zu vereinfachen und gleichzeitig einen angemessenen Schutz für Daten sicherzustellen, die in Drittländer übermittelt werden. In Zusammenarbeit mit der Artikel 29-Datenschutzgruppe und dem Artikel-31-Ausschuss erwartet die Kommission Fortschritte in vier Bereichen: a) eine stärkere Nutzung von Entscheidungen über die Angemessenheit des Datenschutzes in Drittländern nach Artikel 25 Absatz 6, während zugleich selbstverständlich ein ausgewogener Ansatz gegenüber Drittländern gewahrt wird, der mit den Verpflichtungen der EU innerhalb der WTO in Einklang steht; b) weitere Entscheidungen auf der Grundlage von Artikel 26 Absatz 4, sodass die Wirtschaftsteilnehmer zwischen mehr Standardvertragsklauseln wählen können, die so weit wie möglich auf Klauseln beruhen, die von Unternehmensvertretern vorgelegt werden, z.B. von der International Chamber of Commerce und anderen Unternehmensverbänden; c) die Rolle verbindlicher unternehmensinterner Vorschriften (Vorschriften, die für eine Unternehmensgruppe mit Niederlassungen in mehreren unterschiedlichen Rechtsräumen innerhalb und außerhalb der EU verbindlich sind) bei der Gewährleistung angemessener Garantien für unternehmensinterne Übermittlungen personenbezogener Daten; d) die einheitlichere Auslegung von Artikel 26 Absatz 1 der Richtlinie (zulässige Ausnahmen von den Anforderungen für einen angemessenen Schutz bei Übermittlungen in Drittländer) und der einzelstaatlichen Bestimmungen zu ihrer Umsetzung. All diese Arbeiten sollten mit angemessener Transparenz und periodischen Beiträgen von Betroffenen durchgeführt werden. Andere Initiativen Aktion 8: Förderung von Technologien zur Verbesserung des Datenschutzes Die Kommission arbeitet bereits auf dem Gebiet der Technologien zur Verbesserung des Datenschutzes, insbesondere in der Forschung, z.B. im Rahmen von Projekten wie RAPID [37] und PISA [38]. [37] Roadmap for Advanced Research in Privacy and Identity Management - Strategieleitfaden für die angewandte Forschung im Bereich Schutz der Privatsphäre und Identitätsmanagement [38] Privacy-Enhancing Intelligent Software Agents - Intelligente Softwareagenten zur Erweiterung des Datenschutzes Sie schlägt vor, 2003 einen Fach-Workshop zu veranstalten, um im Hinblick auf PETs zu sensibilisieren und eine Möglichkeit zu bieten, eingehend die Maßnahmen zu erörtern, die ergriffen werden könnten, um die Entwicklung und den Einsatz von PETs zu fördern, wie z.B. die Rolle, die Gütesiegel, Zertifizierungssysteme oder PIAs [39] in Europa spielen könnten. [39] Privacy Impact Assessments Sie fordert die Datenschutzgruppe auf, die Frage der PETs weiterhin zu erörtern und darüber nachzudenken, welche Maßnahmen die nationalen Kontrollstellen ergreifen könnten, um die Nutzung dieser Technologien auf nationaler Ebene weiter zu fördern. Im Anschluss an den Fach-Workshop, und unter Berücksichtigung der davon ausgehenden Impulse wird die Kommission weitere Vorschläge zur Förderung der PETs auf europäischer Ebene unterbreiten. Bei diesen Vorschlägen wird besonders berücksichtigt werden, dass Regierungen und Einrichtungen des öffentlichen Sektors ermutigt werden müssen, mit gutem Beispiel voranzugehen und PETs bei ihren Verarbeitungen, z.B. in den E-Government-Anwendungen, zu benutzen. Aktion 9: Förderung von Selbstregulierung und von europäischen Verhaltenskodizes Die Kommission ist enttäuscht, dass so wenige Einrichtungen sektorale Verhaltenskodizes vorgelegt haben, die auf Gemeinschaftsebene angewandt werden können. Sie wird die Erarbeitung von Verhaltenskodizes, die der Artikel 29-Datenschutzgruppe zur Prüfung vorgelegt werden [40], weiterhin unterstützen und dabei beraten (innerhalb der durch die verfügbaren Ressourcen gesetzten Grenzen). Sie fordert Branchen und Interessengruppen dazu auf, eine viel aktivere Rolle zu übernehmen, da sie glaubt, dass die Selbstregulierung und insbesondere Verhaltenskodizes eine wichtige Rolle bei der zukünftigen Entwicklung des Datenschutzes innerhalb und außerhalb der EU spielen sollten, nicht zuletzt, um zu detaillierte Rechtsvorschriften zu vermeiden. [40] Derzeit prüft die Artikel 29-Datenschutzgruppe folgende Beiträge: Verhaltenskodex zur Direktwerbung der FEDMA; Verhaltenskodex über die Verarbeitung personenbezogener Daten durch Headhunter der AESC und Verhaltenskodex über europaweite Anzeige der Rufnummer des Anrufers der ETP. Ein früherer Antrag der IATA genügte den Anforderungen an einen Verhaltenskodex nach Artikel 27 der Richtlinie nicht, wurde aber von der Artikel 29-Datenschutzgruppe in ihrer Stellungnahme WP 49 vom 13. September 2001 positiv bewertet. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49de.pdf Mit demselben Ziel hat die Kommission in ihrem an die europäischen Sozialpartner gerichteten Konsultationspapier zum Datenschutz am Arbeitsplatz ihre Hoffnung zum Ausdruck gebracht, dass diese Verhandlungen über eine europäische Vereinbarung auf diesem Gebiet aufnehmen. Die Kommission bedauert, dass die Sozialpartner keine Verhandlungen über diese Frage vereinbart haben, und sie hofft, dass die Möglichkeit von Kollektivvereinbarungen in diesem Bereich weiter ausgelotet wird. Aktion 10: Sensibilisierung Die Kommission beabsichtigt, eine Eurobarometer-Umfrage zu den Fragen durchzuführen, die Gegenstand der 2002 durchgeführten Online-Konsultation waren. Sie hofft, dass einige Datenschutzbehörden sich an dieser Initiative beteiligen werden und dass es gemeinsame Bemühungen geben wird, Datenschutzfragen zum Gegenstand öffentlicher Diskussionen zu machen. Sie fordert die Mitgliedstaaten auf, mehr Ressourcen für die Sensibilisierung bereitzustellen, insbesondere in den Haushalten der nationalen Kontrollstellen. 7. Fazit Der vorliegende Bericht ist ein erster Schritt zur Auswertung der Angaben über die Durchführung der Richtlinie 95/46/EG und zur Ermittlung der Maßnahmen, die erforderlich sind, um die wichtigsten Probleme in Angriff zu nehmen, die dabei zu Tage treten. Die Kommission hofft, dass diese Analyse Regierungen, Datenschutzbehörden und Wirtschaftsteilnehmern dabei helfen wird, klarzustellen, was getan werden muss, um eine bessere Anwendung der Richtlinie in der EU zu erreichen mit einer rigoroseren Durchsetzung, einer besseren Befolgung und einer stärkeren Sensibilisierung der betroffenen Personen und der für die Verarbeitung Verantwortlichen für ihre Rechte und Pflichten. Die Kommission erwartet, dass die Mitgliedstaaten erforderlichenfalls ihre Gesetzgebung ändern, um die Befolgung der Richtlinie zu erreichen, und ihre Kontrollstellen mit ausreichenden Mitteln ausstatten. Sie erwartet ferner, dass Mitgliedstaaten und Kontrollstellen alle vertretbaren Anstrengungen unternehmen, um ein Umfeld zu schaffen, das die Befolgung der Vorschriften für die für die Verarbeitung Verantwortlichen - und nicht zuletzt diejenigen, die europaweit und/oder international tätig sind - weniger kompliziert und aufwändig macht, und dass sie alles tun, um zu vermeiden, dass Auflagen gemacht werden, auf die verzichtet werden kann, ohne, dass das durch die Richtlinie garantierte hohe Schutzniveau Schaden leidet. Die Kommission fordert die Bürger auf, die ihnen durch die Gesetzgebung verliehenen Rechte zu nutzen, und sie fordert die für die Verarbeitung Verantwortlichen auf, alle Schritte zu unternehmen, die notwendig sind, um die Einhaltung der Rechtsvorschriften zu gewährleisten. Die Kommission wird die technische Entwicklung und die Ergebnisse des in diesem Bericht enthaltenen Arbeitsprogramms genau verfolgen und gegen Ende 2004 Vorschläge für Folgemaßnahmen unterbreiten. Dann werden sowohl die Kommission als auch die Mitgliedstaaten erheblich mehr Erfahrung mit der Durchführung der Richtlinie haben als zum jetzigen Zeitpunkt.