Schutz von personenbezogenen Daten

Auf europäischer Ebene ist die Richtlinie 95/46/EG der Bezugstext im Zusammenhang mit dem Schutz personenbezogener Daten. Mit dieser Richtlinie wird ein Regelungsrahmen eingeführt, der darauf abzielt, ein Gleichgewicht zwischen einem hohen Schutz der Privatsphäre und dem freien Verkehr personenbezogener Daten innerhalb der Europäischen Union (EU) zu schaffen. Zu diesem Zweck sieht die Richtlinie strenge Beschränkungen für die Erhebung und Verwertung personenbezogener Daten vor und fordert, in den einzelnen Mitgliedstaaten eine unabhängige nationale Stelle einzurichten, deren Aufgabe die Überwachung jeglicher Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten ist.

RECHTSAKT

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [Amtsblatt L 281 vom 23.11.1995] [Vgl. ändernde Rechtsakte].

ZUSAMMENFASSUNG

Diese Richtlinie findet auf automatisch verarbeitete Daten (beispielsweise in einer Kundendatenbank) sowie auf Daten Anwendung, die in einer nicht automatisierten Datei enthalten sind oder für eine solche Datei bestimmt sind (herkömmliche papiergestützte Dateien).

Die Richtlinie findet keine Anwendung auf die Verarbeitung von Daten,

die von einer natürlichen Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird,
die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, wie die öffentliche Sicherheit, die Landesverteidigung oder die Staatssicherheit.

Die Richtlinie zielt darauf ab, die Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten durch die Festlegung von Schlüsselkriterien für die rechtliche Zulässigkeit der Datenverarbeitung sowie von Grundprinzipien für die Datenqualität zu schützen.

Eine Verarbeitung von Daten ist nur dann rechtmäßig, wenn Folgendes zutrifft:

Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist;
die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;
die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;
die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder einem Dritten übertragen wurde;
die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem Dritten wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die geschützt werden müssen, überwiegen.

Die Grundsätze in Bezug auf die Qualität der Daten, die bei allen rechtmäßigen Tätigkeiten der Datenverarbeitung umgesetzt werden müssen, lauten wie folgt:

Personenbezogene Daten müssen insbesondere nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden und für festgelegte eindeutige und rechtmäßige Zwecke erhoben werden. Sie müssen dem angestrebten Zweck entsprechen, dafür erheblich sein und dürfen nicht darüber hinausgehen, sie müssen sachlich richtig und gegebenenfalls auf den neuesten Stand gebracht sein und dürfen nicht länger als notwendig und nur für den Zweck, zu dem sie erhoben wurden, gespeichert werden;
die besonderen Kategorien der Verarbeitung: Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben, ist zu untersagen. Für diese Bestimmung gelten Einschränkungen, wenn beispielsweise die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist oder aus Gründen der Gesundheitsvorsorge und der medizinischen Diagnostik.

Die betroffene Person, deren Daten verarbeitet werden, kann die folgenden Rechte ausüben:

Recht auf Erhalt von Information : Der für die Verarbeitung Verantwortliche muss der Person, bei der die sie betreffenden Daten erhoben werden, bestimmte Angaben machen (Identität des für die Verarbeitung Verantwortlichen, Zweckbestimmungen der Verarbeitung, Empfänger der Daten usw.);
das Zugangsrecht dieser Personen zu den Daten: Jede betroffene Person muss das Recht haben, vom für die Verarbeitung Verantwortlichen Folgendes zu erhalten;
das Widerspruchsrecht gegen die Verarbeitung der Daten: Die betroffene Person sollte das Recht haben, aus berechtigten Gründen der Verarbeitung der sie betreffenden Daten zu widersprechen. Sie sollte außerdem das Recht haben, auf Antrag kostenfrei gegen eine vom für die Verarbeitung Verantwortlichen beabsichtigte Verarbeitung sie betreffender Daten für Zwecke der Direktwerbung Widerspruch einzulegen. Schließlich sollte sie informiert werden, bevor personenbezogene Daten für Zwecke der Direktwerbung an Dritte weitergegeben werden, und ausdrücklich auf dieses Widerspruchsreccht gegen solche Weitergaben hingewiesen werden.

Weitere wichtige Aspekte für die Verarbeitung von Daten:

die Ausnahmen und Einschränkungen der Rechte der betroffenen Person: Für die Bestimmungen bezüglich der Qualität der Daten, der Information der betroffenen Person, des Zugangsrechts und der Veröffentlichung der verarbeiteten Daten können Beschränkungen auferlegt werden, wenn dies unter anderem notwendig ist für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verfolgung von Straftaten, ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union oder den Schutz der betroffenen Person;
die Vertraulichkeit und Sicherheit der Verarbeitung: Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Der für die Verarbeitung Verantwortliche muss darüber hinaus die für den Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang geeigneten Maßnahmen ergreifen;
die Meldepflicht der Verarbeitungen bei einer Kontrollstelle: Der für die Verarbeitung Verantwortliche hat vor der Durchführung der Verarbeitung bei der nationalen Kontrollstelle eine entsprechende Meldung zu machen. Nach Eingang der Meldung prüft die Kontrollstelle vorab, ob Risiken für die Rechte und Freiheiten der betroffenen Personen bestehen. Die Öffentlichkeit der Verarbeitungen muss sichergestellt sein, und die Kontrollstellen sind zur Führung eines Verzeichnisses der gemeldeten Verarbeitungen verpflichtet.

Jede Person muss bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen können. Außerdem muss jede Person, der wegen einer rechtswidrigen Verarbeitung ihrer personenbezogenen Daten ein Schaden entsteht, das Recht auf Schadenersatz haben.

Die Übermittlungen personenbezogener Daten aus einem Mitgliedstaat in ein Drittland mit einem angemessenen Schutzniveau sind zulässig. Allerdings werden, obwohl Übermittlungen nicht erfolgen dürfen, wenn kein angemessenes Schutzniveau gewährleistet wird, in der Richtlinie eine Reihe von Ausnahmen von dieser Regel aufgelistet, beispielsweise bei vorliegendem Einverständnis der betroffenen Person zu dieser Übermittlung, im Falle eines Vertragsabschlusses, falls es aufgrund eines öffentlichen Interesses notwendig ist, aber auch im Falle verbindlicher unternehmensinterner Vorschriften oder Standardvertragsklauseln, die von dem Mitgliedstaat genehmigt wurden.

Die Richtlinie soll die Ausarbeitung einzelstaatlicher und gemeinschaftlicher Verhaltensregeln fördern, die einen Beitrag zur ordnungsgemäßen Durchführung der einzelstaatlichen und gemeinschaftlichen Bestimmungen leisten sollen.

Jeder Mitgliedstaat sieht eine oder mehrere unabhängige Behörden vor, die beauftragt sind, die Durchführung der von den Mitgliedstaaten in Anwendung dieser Richtlinie erlassenen Bestimmungen in seinem Hoheitsgebiet zu überwachen.

Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt, die sich aus Vertretern der einzelstaatlichen Kontrollstellen, Vertretern der Kontrollstellen der Institutionen und Organe der Gemeinschaft und einem Vertreter der Kommission zusammensetzt.

BEZUG

Rechtsakt	Datum des Inkrafttretens	Termin für die Umsetzung in den Mitgliedstaaten	Amtsblatt
Richtlinie 95/46/EG	13.12.1995	24.10.1998	ABl. L 281 vom 23.11.1995

Ändernde(r) Rechtsakt(e)	Datum des Inkrafttretens	Termin für die Umsetzung in den Mitgliedstaaten	Amtsblatt
Verordnung (EG) Nr.1882/2003	20.11.2003	-	Abl. L 284 vom 31.10.2003

Die im Nachhinein vorgenommen Änderungen und Berichtigungen der Richtlinie 95/46/EG wurden in den Grundlagentext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

VERBUNDENE RECHTSAKTE

DURCHFÜHRUNGSBERICHT

Mitteilung der Kommission an das Europäische Parlament und an den Rat vom 7. März 2007: „Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie“ [ KOM(2007) 87 endg. - Nicht im Amtsblatt veröffentlicht]

Die vorliegende Mitteilung untersuchte die Arbeiten im Rahmen des im ersten Bericht über die Durchführung der Richtlinie 95/46/EG enthaltenen Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie. Die Kommission stellte insofern Verbesserungen fest, da alle Mitgliedstaaten die Richtlinie umgesetzt haben. Nach ihrer Ansicht musste die Richtlinie nicht geändert werden.

Sie fügte hinzu, dass sie:

ihre Arbeiten mit den Mitgliedstaaten fortsetzen wird und gegebenenfalls das förmliche Vertragsverletzungsverfahren einleiten wird,
eine Auslegungsmitteilung zu einigen Bestimmungen der Richtlinie ausarbeiten wird,
die Durchführung des Arbeitsprogramms fortsetzen wird,
im Falle einer bedeutenden technologischen Entwicklung in einem bestimmten Bereich bereichsspezifische EU-Vorschriften vorschlagen wird,
ihre Zusammenarbeit mit externen Partnern wie insbesondere den USA fortsetzen wird.

Bericht der Kommission vom 15. Mai 2003: Erster Bericht über die Durchführung der Datenschutzrichtlinie [ KOM(2003) 265 endg. - Nicht im Amtsblatt veröffentlicht]

In dem Bericht waren insbesondere die Ergebnisse einer breit angelegten Konsultation der Kommission über die Bewertung der Richtlinie 95/46/EG von Regierungen, Institutionen, Unternehmens- und Verbraucherverbänden und Bürgern enthalten. Aus den Ergebnissen der Konsultation ging hervor, dass sich nur wenige Befragte für eine Überarbeitung der Richtlinie ausgesprochen haben. Außerdem hat die Kommission nach der Konsultation der Mitgliedstaaten festgestellt, dass eine Mehrheit der Mitgliedstaaten und auch der nationalen Datenschutzbehörden eine Änderung der Richtlinie in diesem Stadium nicht für notwendig erachtet.

Trotz der Verzögerungen und der Mängel bei der Umsetzung wurde das Hauptziel der Richtlinie erreicht, namentlich der Abbau von Hindernissen, die dem freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten im Wege stehen. Die Kommission war im Übrigen der Meinung, dass das Ziel, ein hohes Schutzniveau in der Gemeinschaft zu gewährleisten, erreicht wurde, da mit der Richtlinie bestimmte Datenschutzstandards festgeschrieben wurden, die zu den höchsten weltweit gehören.

Bei anderen Zielen der Binnenmarktpolitik hingegen fällt die Bilanz schlechter aus. Die Rechtsvorschriften für den Datenschutz weisen von Mitgliedstaat zu Mitgliedstaat nach wie vor deutliche Unterschiede auf. Diese Unterschiede hindern multinationale Einrichtungen daran, gesamteuropäische Datenschutzstrategien zu entwickeln. Die Kommission kündigte daher an, alles zu tun, was notwendig ist, um Verbesserungen dieser Situation herbeizuführen, nach Möglichkeit jedoch ohne den offiziellen Weg zu beschreiten.

Generell kann in Bezug auf die Einhaltung der Rechtsvorschriften über den Datenschutz in der EU auf drei Problembereiche hingewiesen werden:

Bereitstellung unzureichender Ressourcen für die Durchführung,
sehr uneinheitliche Einhaltung durch die für die Datenverarbeitung Verantwortlichen,
ein offenbar niedriger Kenntnisstand der betroffenen Personen über ihre Rechte, was Ursache des vorhergehenden Problemfelds sein könnte.

Mit dem Ziel, eine bessere Durchführung der Datenschutzrichtlinie sicherzustellen, hat die Kommission ein Arbeitsprogramm angenommen, das einige Maßnahmen beinhaltet, die zwischen der Annahme des vorliegenden Berichts und Ende 2004 durchgeführt werden sollten. Hierzu gehören die folgenden Initiativen:

Erörterungen mit den Mitgliedstaaten und den Datenschutzbehörden von Änderungen der jeweiligen nationalen Rechtsvorschriften, um die nationalen Rechtsvorschriften voll mit den Anforderungen der Richtlinie in Einklang zu bringen;
Einbeziehung der Beitrittsländer in die Bemühungen um eine bessere und einheitlichere Durchführung der Richtlinie;
Verbesserung der Mitteilung aller Rechtsvorschriften zur Umsetzung der Richtlinie;
Vereinfachung der Anforderungen für internationale Übermittlungen;
Förderung von Technologien zur Verbesserung des Datenschutzes;
Förderung von Selbstregulierung und von europäischen Verhaltenskodizes.

DATENSCHUTZRICHTLINIE FÜR ELEKTRONISCHE KOMMUNIKATION

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation („Datenschutzrichtlinie für elektronische Kommunikation“) [Amtsblatt L 201 vom 31. Juli 2002]

Diese Richtlinie wurde im Jahre 2002 zusammen mit einem neuen Rechtsinstrument verabschiedet, das die Rahmenbedingungen für den Bereich der elektronischen Kommunikation festlegen sollte. Sie enthält Bestimmungen zu einigen mehr oder weniger sensiblen Aspekten, unter anderem die Aufbewahrung von Verbindungsdaten durch die Mitgliedstaaten zum Zwecke der Strafverfolgung (Speicherung der Daten), die elektronische Übermittlung unerbetener Nachrichten, die Platzierung so genannter Cookies und die Aufnahme personenbezogener Daten in öffentliche Verzeichnisse.

Die Verordnung (EU) Nr. 611/2013 enthält Regelungen zur Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten durch Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste für Fälle von Datenverlust, Datendiebstahl und anderen Beeinträchtigungen des Schutzes personenbezogener Kundendaten.

Bei einer Verletzung des Schutzes personenbezogener Daten müssen Betreiber gemäß der Richtlinie 2002/58/EG die zuständige nationale Datenschutzbehörde sowie, in bestimmten Fällen, die betroffenen Teilnehmer und Personen über die Schutzverletzung informieren. Die Verordnung (EU) 611/2013 führt „technische Durchführungsmaßnahmen“ zur Klarstellung, wie diese Verpflichtungen erfüllt werden sollten, ein.

Unter anderem sollten die Betreiber:

Die zuständige Datenschutzbehörde binnen 24 Stunden nach Feststellung der Verletzung über diese informieren, um den Schaden so weit wie möglich einzugrenzen;
bei der Prüfung, ob Teilnehmer und Personen informiert werden sollen, die Art der Daten, deren Schutz verletzt wurde, berücksichtigen, beispielsweise wenn finanzielle Daten, E-Mail-Daten, Internet-Protokolldateien, Webbrowser-Verläufe etc. betroffen sind;
der Datenschutzbehörde und/oder den jeweiligen Teilnehmern bzw. Personen genaue Angaben zum Vorfall, zur Art der betroffenen Daten und zu den unternommenen Gegenmaßnahmen vorlegen.

STANDARDKLAUSELN FÜR DIE ÜBERMITTLUNG VON DATEN AN DRITTLÄNDER

Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer [Amtsblatt L 385 vom 29.12.2004]

Die Europäische Kommission hat einen neuen Standardvertrag genehmigt, der es Unternehmen ermöglicht, ein angemessenes Datenschutzniveau zu gewährleisten, wenn sie personenbezogene Daten aus der EU in Nicht-EU-Länder übermitteln. Der neue Standardvertrag kommt zu dem Standardvertrag hinzu, der mit der Kommissionsentscheidung vom Juni 2001 eingeführt wurde (siehe unten).

Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG [Amtsblatt L 181 vom 4.7. 2001]

Mit dieser Entscheidung werden Standardvertragsklauseln festgelegt, die angemessene Garantien für die Übermittlung personenbezogener Daten aus der EU in Drittländer gewährleisten. Aufgrund dieser Entscheidung müssen die Mitgliedstaaten anerkennen, dass Unternehmen oder Organisationen, die solche Standardklauseln in Verträgen über die Übermittlung personenbezogener Daten in Drittländer anwenden, einen „angemessenen Schutz“ der Daten gewährleisten.

Beschluss der Kommission 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates [Amtsblatt L 39 vom 12.02.2010]

Beschlüsse der Kommission zur Bescheinigung eines angemessenen Schutzes personenbezogener Daten in einer Reihe von Drittländern, basierend auf Art. 25 (6): Bisher hat die Kommission anerkannt, dass Andorra, Argentinien, Australien, Kanada (Wirtschaftsunternehmen), Schweiz, Färöer, Guernsey, Israel, Insel Man, Jersey, Neuseeland, Uruguay und die „Grundsätze des sicheren Hafens zum Datenschutz“ des US-Handelsministeriums einen angemessenen Schutz bieten.

SCHUTZ PERSONENBEZOGENER DATEN DURCH DIE ORGANE UND EINRICHTUNGEN DER GEMEINSCHAFT

Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr [Amtsblatt L 8 vom 12.1.2001]

Mit der Verordnung soll der Schutz personenbezogener Daten in den Einrichtungen und Organen der Europäischen Union gewährleistet werden. Die Verordnung:

enthält Bestimmungen, die ein hohes Schutzniveau für personenbezogene Daten sicherstellen sollen, welche von den Gemeinschaftseinrichtungen und -organen verarbeitet werden;
sieht die Einrichtung einer unabhängigen Kontrollinstanz vor, die die Anwendung dieser Vorschriften überwacht.

Letzte Aktualisierung: 08.03.2014