32003D0821

Entscheidung der Kommission

vom 21. November 2003

über die Angemessenheit des Schutzes personenbezogener Daten in Guernsey

(Bekannt gegeben unter Aktenzeichen K(2003) 4309)

(Text von Bedeutung für den EWR)

(2003/821/EG)

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(1), insbesondere auf Artikel 25 Absatz 6,

nach Stellungnahme der Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten(2),

in Erwägung nachstehender Gründe:

(1) Gemäß der Richtlinie 95/46/EG haben die Mitgliedstaaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und die Rechtsvorschriften der Mitgliedstaaten zur Umsetzung anderer Bestimmungen der Richtlinie eingehalten werden, bevor die Übermittlung erfolgt.

(2) Die Kommission kann feststellen, dass ein Drittland einen angemessenen Datenschutz gewährleistet. In diesem Fall können die Mitgliedstaaten personenbezogene Daten übermitteln, ohne dass zusätzliche Garantien erforderlich sind.

(3) Nach der Richtlinie 95/46/EG sind bei der Bewertung des Datenschutzniveaus alle Umstände zu berücksichtigen, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen, ferner eine Reihe sonstiger bei der Datenübermittlung wichtiger und in Artikel 25 Absatz 2 der Richtlinie aufgeführter Gegebenheiten.

(4) Angesichts der unterschiedlichen Ansätze von Drittländern im Bereich des Datenschutzes sollten die Angemessenheitsbeurteilungen und etwaige Entscheidungen gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG und deren Durchsetzung in einer Form erfolgen, die einzelne Drittländer bzw. Drittländer, in denen gleiche Bedingungen vorherrschen untereinander, nicht willkürlich oder ungerechtfertigt diskriminiert; darüber hinaus sollten sie unter Berücksichtigung der bestehenden internationalen Verpflichtungen der Gemeinschaft kein verstecktes Handelshemmnis darstellen.

(5) Die Vogtei Guernsey untersteht der britischen Krone (ohne zum Vereinigten Königreich zu gehören oder Kolonie zu sein) und genießt volle Unabhängigkeit, mit Ausnahme der Außenbeziehungen und der Verteidigung, wofür die Regierung des Vereinigten Königreichs zuständig ist. Aus diesem Grund sollte die Vogtei Guernsey als Drittland im Sinne der Richtlinie betrachtet werden.

(6) Mit Wirkung vom August 1987 wurde die Ratifizierung des Übereinkommens des Europarates zum Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108) durch das Vereinigte Königreich auch auf die Vogtei Guernsey ausgedehnt.

(7) Die Rechtsvorschriften der Vogtei Guernsey zum Schutz personenbezogener Daten basieren auf der Richtlinie 95/46/EG und sind im Data Protection (Bailiwick of Guernsey) Law von 2001 niedergelegt, das am 1. August 2002 in Kraft trat.

(8) Darüber hinaus wurden in Guernsey im Jahr 2002 sechzehn Rechtsakte (orders) verabschiedet, in denen spezifische Fragen geregelt sind, wie beispielsweise der Zugriff des Betroffenen auf seine Daten, die Verarbeitung sensibler Daten oder die Meldungen an die Kontrollstelle. Diese Instrumente ergänzen das Gesetz.

(9) Die in Guernsey geltenden Rechtsvorschriften enthalten alle Grundsätze, die für einen angemessenen Schutz natürlicher Personen erforderlich sind. Die Anwendung dieser Vorschriften ist durch Rechtsbehelfe und die unabhängige Kontrolle der zuständigen Stellen, wie beispielsweise des Datenschutzbeauftragten gewährleistet, der mit Untersuchungs- und Eingriffsbefugnissen ausgestattet ist.

(10) Daher sollte angenommen werden, dass Guernsey ein angemessenes Schutzniveau für personenbezogene Daten gemäß der Richtlinie 95/46/EG bietet.

(11) Im Interesse der Transparenz und um sicherzustellen, dass die zuständigen Behörden der Mitgliedstaaten in der Lage sind, den Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, sind - unbeschadet der Feststellung eines angemessenen Schutzniveaus - die besonderen Umstände zu nennen, unter denen die Aussetzung bestimmter Datenströme gerechtfertigt ist.

(12) Die in dieser Entscheidung vorgesehenen Maßnahmen stehen im Einklang mit der Stellungnahme des Ausschusses, der gemäß Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzt wurde -

HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:

Artikel 1

Für die Zwecke von Artikel 25 Absatz 2 der Richtlinie 95/46/EG wird davon ausgegangen, dass die Vogtei Guernsey ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der Gemeinschaft bietet.

Artikel 2

Diese Entscheidung betrifft die Angemessenheit des Schutzes, den das Gesetz in Guernsey im Hinblick auf die Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; andere zur Umsetzung sonstiger Vorschriften der Richtlinie festgelegte Bestimmungen und Einschränkungen hinsichtlich der Verarbeitung personenbezogener Daten in den Mitgliedstaaten bleiben davon unberührt.

Artikel 3

(1) Unbeschadet ihrer Handlungsbefugnis zum Zwecke der Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als denen des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, können die zuständigen Behörden in den Mitgliedstaaten von ihrem Recht Gebrauch machen, zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an einen Empfänger in Guernsey auszusetzen, wenn

a) eine zuständige Behörde in Guernsey feststellt, dass der Datenempfänger die geltenden Datenschutzvorschriften nicht einhält, oder

b) eine hohe Wahrscheinlichkeit besteht, dass die Schutzvorschriften verletzt werden, Grund zur Annahme besteht, dass die zuständige Behörde in Guernsey nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den betreffenden Fall zu lösen, die Fortsetzung der Datenübermittlung den betroffenen Personen unmittelbar einen schweren Schaden zuzufügen droht und die zuständigen Behörden in den Mitgliedstaaten sich unter den gegebenen Umständen in angemessener Weise bemüht haben, die für die Verarbeitung in Guernsey zuständige Stelle zu benachrichtigen und ihr Gelegenheit zur Stellungnahme gegeben haben.

(2) Die Aussetzung ist zu beenden, sobald sichergestellt ist, dass die Vorschriften befolgt werden und die zuständige Behörde in dem (den) jeweiligen Mitgliedstaat(en) davon in Kenntnis gesetzt ist (sind).

Artikel 4

(1) Die Mitgliedstaaten informieren die Kommission unverzüglich, wenn Maßnahmen gemäß Artikel 3 ergriffen wurden.

(2) Die Mitgliedstaaten und die Kommission benachrichtigen einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften in Guernsey verantwortlichen Einrichtungen nicht ausreichen, um die Einhaltung zu gewährleisten.

(3) Ergeben die gemäß Artikel 3 und den Absätzen 1 und 2 dieses Artikels gewonnenen Erkenntnisse, dass eine für die Einhaltung der Vorschriften in Guernsey verantwortliche Einrichtung ihre Aufgabe nicht wirksam erfuellt, so benachrichtigt die Kommission die zuständige Behörde in Guernsey und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf eine Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.

Artikel 5

Die Kommission überwacht das Funktionieren dieser Entscheidung und unterrichtet den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über relevante Erkenntnisse; dazu zählen auch Erkenntnisse, die sich auf die Beurteilung in Artikel 1 dieser Entscheidung auswirken könnten, wonach Guernsey ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie 95/46/EG bietet, ferner Erkenntnisse, die darauf hindeuten, dass diese Entscheidung in diskriminierender Weise angewandt wird.

Artikel 6

Die Mitgliedstaaten ergreifen binnen vier Monaten, nachdem sie von der Veröffentlichung der Entscheidung in Kenntnis gesetzt worden sind, alle für ihre Umsetzung erforderlichen Maßnahmen.

Artikel 7

Diese Entscheidung ist an alle Mitgliedstaaten gerichtet.

Brüssel, den 21. November 2003

Für die Kommission

Frederik Bolkestein

Mitglied der Kommission

(1) ABl. L 281 vom 23.11.1995, S. 31.

(2) Stellungnahme 5/2003 der Datenschutzgruppe vom 13. Juni 2003 zum Umfang des Schutzes personenbezogener Daten in Guernsey, abrufbar unter http://europa.eu.int/comm/ internal_market/privacy/workingroup/ wp2003/wpdocs03_de.htm.