This document is an excerpt from the EUR-Lex website
Document 31995L0046
Schutz von personenbezogenen Daten
Diese Zusammenfassung wurde archiviert und wird nicht aktualisiert. Aktualisierte Informationen zum Thema unter 'Datenschutz-Grundverordnung (DSGVO)' .
Schutz von personenbezogenen Daten
Auf europäischer Ebene ist die Richtlinie 95/46/EG der Bezugstext im Zusammenhang mit dem Schutz personenbezogener Daten. Mit dieser Richtlinie wird ein Regelungsrahmen eingeführt, der darauf abzielt, ein Gleichgewicht zwischen einem hohen Schutz der Privatsphäre und dem freien Verkehr personenbezogener Daten innerhalb der Europäischen Union (EU) zu schaffen. Zu diesem Zweck sieht die Richtlinie strenge Beschränkungen für die Erhebung und Verwertung personenbezogener Daten vor und fordert, in den einzelnen Mitgliedstaaten eine unabhängige nationale Stelle einzurichten, deren Aufgabe die Überwachung jeglicher Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten ist.
RECHTSAKT
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [Amtsblatt L 281 vom 23.11.1995] [Vgl. ändernde Rechtsakte].
ZUSAMMENFASSUNG
Diese Richtlinie findet auf automatisch verarbeitete Daten (beispielsweise in einer Kundendatenbank) sowie auf Daten Anwendung, die in einer nicht automatisierten Datei enthalten sind oder für eine solche Datei bestimmt sind (herkömmliche papiergestützte Dateien).
Die Richtlinie findet keine Anwendung auf die Verarbeitung von Daten,
Die Richtlinie zielt darauf ab, die Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten durch die Festlegung von Schlüsselkriterien für die rechtliche Zulässigkeit der Datenverarbeitung sowie von Grundprinzipien für die Datenqualität zu schützen.
Eine Verarbeitung von Daten ist nur dann rechtmäßig, wenn Folgendes zutrifft:
Die Grundsätze in Bezug auf die Qualität der Daten, die bei allen rechtmäßigen Tätigkeiten der Datenverarbeitung umgesetzt werden müssen, lauten wie folgt:
Die betroffene Person, deren Daten verarbeitet werden, kann die folgenden Rechte ausüben:
Weitere wichtige Aspekte für die Verarbeitung von Daten:
Jede Person muss bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen können. Außerdem muss jede Person, der wegen einer rechtswidrigen Verarbeitung ihrer personenbezogenen Daten ein Schaden entsteht, das Recht auf Schadenersatz haben.
Die Übermittlungen personenbezogener Daten aus einem Mitgliedstaat in ein Drittland mit einem angemessenen Schutzniveau sind zulässig. Allerdings werden, obwohl Übermittlungen nicht erfolgen dürfen, wenn kein angemessenes Schutzniveau gewährleistet wird, in der Richtlinie eine Reihe von Ausnahmen von dieser Regel aufgelistet, beispielsweise bei vorliegendem Einverständnis der betroffenen Person zu dieser Übermittlung, im Falle eines Vertragsabschlusses, falls es aufgrund eines öffentlichen Interesses notwendig ist, aber auch im Falle verbindlicher unternehmensinterner Vorschriften oder Standardvertragsklauseln, die von dem Mitgliedstaat genehmigt wurden.
Die Richtlinie soll die Ausarbeitung einzelstaatlicher und gemeinschaftlicher Verhaltensregeln fördern, die einen Beitrag zur ordnungsgemäßen Durchführung der einzelstaatlichen und gemeinschaftlichen Bestimmungen leisten sollen.
Jeder Mitgliedstaat sieht eine oder mehrere unabhängige Behörden vor, die beauftragt sind, die Durchführung der von den Mitgliedstaaten in Anwendung dieser Richtlinie erlassenen Bestimmungen in seinem Hoheitsgebiet zu überwachen.
Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt, die sich aus Vertretern der einzelstaatlichen Kontrollstellen, Vertretern der Kontrollstellen der Institutionen und Organe der Gemeinschaft und einem Vertreter der Kommission zusammensetzt.
BEZUG
Rechtsakt |
Datum des Inkrafttretens |
Termin für die Umsetzung in den Mitgliedstaaten |
Amtsblatt |
Richtlinie 95/46/EG |
13.12.1995 |
24.10.1998 |
ABl. L 281 vom 23.11.1995 |
Ändernde(r) Rechtsakt(e) |
Datum des Inkrafttretens |
Termin für die Umsetzung in den Mitgliedstaaten |
Amtsblatt |
Verordnung (EG) Nr.1882/2003 |
20.11.2003 |
- |
Abl. L 284 vom 31.10.2003 |
Die im Nachhinein vorgenommen Änderungen und Berichtigungen der Richtlinie 95/46/EG wurden in den Grundlagentext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.
VERBUNDENE RECHTSAKTE
DURCHFÜHRUNGSBERICHT
Mitteilung der Kommission an das Europäische Parlament und an den Rat vom 7. März 2007: „Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie“ [ KOM(2007) 87 endg. - Nicht im Amtsblatt veröffentlicht]
Die vorliegende Mitteilung untersuchte die Arbeiten im Rahmen des im ersten Bericht über die Durchführung der Richtlinie 95/46/EG enthaltenen Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie. Die Kommission stellte insofern Verbesserungen fest, da alle Mitgliedstaaten die Richtlinie umgesetzt haben. Nach ihrer Ansicht musste die Richtlinie nicht geändert werden.
Sie fügte hinzu, dass sie:
Bericht der Kommission vom 15. Mai 2003: Erster Bericht über die Durchführung der Datenschutzrichtlinie [ KOM(2003) 265 endg. - Nicht im Amtsblatt veröffentlicht]
In dem Bericht waren insbesondere die Ergebnisse einer breit angelegten Konsultation der Kommission über die Bewertung der Richtlinie 95/46/EG von Regierungen, Institutionen, Unternehmens- und Verbraucherverbänden und Bürgern enthalten. Aus den Ergebnissen der Konsultation ging hervor, dass sich nur wenige Befragte für eine Überarbeitung der Richtlinie ausgesprochen haben. Außerdem hat die Kommission nach der Konsultation der Mitgliedstaaten festgestellt, dass eine Mehrheit der Mitgliedstaaten und auch der nationalen Datenschutzbehörden eine Änderung der Richtlinie in diesem Stadium nicht für notwendig erachtet.
Trotz der Verzögerungen und der Mängel bei der Umsetzung wurde das Hauptziel der Richtlinie erreicht, namentlich der Abbau von Hindernissen, die dem freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten im Wege stehen. Die Kommission war im Übrigen der Meinung, dass das Ziel, ein hohes Schutzniveau in der Gemeinschaft zu gewährleisten, erreicht wurde, da mit der Richtlinie bestimmte Datenschutzstandards festgeschrieben wurden, die zu den höchsten weltweit gehören.
Bei anderen Zielen der Binnenmarktpolitik hingegen fällt die Bilanz schlechter aus. Die Rechtsvorschriften für den Datenschutz weisen von Mitgliedstaat zu Mitgliedstaat nach wie vor deutliche Unterschiede auf. Diese Unterschiede hindern multinationale Einrichtungen daran, gesamteuropäische Datenschutzstrategien zu entwickeln. Die Kommission kündigte daher an, alles zu tun, was notwendig ist, um Verbesserungen dieser Situation herbeizuführen, nach Möglichkeit jedoch ohne den offiziellen Weg zu beschreiten.
Generell kann in Bezug auf die Einhaltung der Rechtsvorschriften über den Datenschutz in der EU auf drei Problembereiche hingewiesen werden:
Mit dem Ziel, eine bessere Durchführung der Datenschutzrichtlinie sicherzustellen, hat die Kommission ein Arbeitsprogramm angenommen, das einige Maßnahmen beinhaltet, die zwischen der Annahme des vorliegenden Berichts und Ende 2004 durchgeführt werden sollten. Hierzu gehören die folgenden Initiativen:
DATENSCHUTZRICHTLINIE FÜR ELEKTRONISCHE KOMMUNIKATION
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation („Datenschutzrichtlinie für elektronische Kommunikation“) [Amtsblatt L 201 vom 31. Juli 2002]
Diese Richtlinie wurde im Jahre 2002 zusammen mit einem neuen Rechtsinstrument verabschiedet, das die Rahmenbedingungen für den Bereich der elektronischen Kommunikation festlegen sollte. Sie enthält Bestimmungen zu einigen mehr oder weniger sensiblen Aspekten, unter anderem die Aufbewahrung von Verbindungsdaten durch die Mitgliedstaaten zum Zwecke der Strafverfolgung (Speicherung der Daten), die elektronische Übermittlung unerbetener Nachrichten, die Platzierung so genannter Cookies und die Aufnahme personenbezogener Daten in öffentliche Verzeichnisse.
Die Verordnung (EU) Nr. 611/2013 enthält Regelungen zur Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten durch Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste für Fälle von Datenverlust, Datendiebstahl und anderen Beeinträchtigungen des Schutzes personenbezogener Kundendaten.
Bei einer Verletzung des Schutzes personenbezogener Daten müssen Betreiber gemäß der Richtlinie 2002/58/EG die zuständige nationale Datenschutzbehörde sowie, in bestimmten Fällen, die betroffenen Teilnehmer und Personen über die Schutzverletzung informieren. Die Verordnung (EU) 611/2013 führt „technische Durchführungsmaßnahmen“ zur Klarstellung, wie diese Verpflichtungen erfüllt werden sollten, ein.
Unter anderem sollten die Betreiber:
STANDARDKLAUSELN FÜR DIE ÜBERMITTLUNG VON DATEN AN DRITTLÄNDER
Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer [Amtsblatt L 385 vom 29.12.2004]
Die Europäische Kommission hat einen neuen Standardvertrag genehmigt, der es Unternehmen ermöglicht, ein angemessenes Datenschutzniveau zu gewährleisten, wenn sie personenbezogene Daten aus der EU in Nicht-EU-Länder übermitteln. Der neue Standardvertrag kommt zu dem Standardvertrag hinzu, der mit der Kommissionsentscheidung vom Juni 2001 eingeführt wurde (siehe unten).
Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG [Amtsblatt L 181 vom 4.7. 2001]
Mit dieser Entscheidung werden Standardvertragsklauseln festgelegt, die angemessene Garantien für die Übermittlung personenbezogener Daten aus der EU in Drittländer gewährleisten. Aufgrund dieser Entscheidung müssen die Mitgliedstaaten anerkennen, dass Unternehmen oder Organisationen, die solche Standardklauseln in Verträgen über die Übermittlung personenbezogener Daten in Drittländer anwenden, einen „angemessenen Schutz“ der Daten gewährleisten.
Beschluss der Kommission 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates [Amtsblatt L 39 vom 12.02.2010]
Beschlüsse der Kommission zur Bescheinigung eines angemessenen Schutzes personenbezogener Daten in einer Reihe von Drittländern, basierend auf Art. 25 (6): Bisher hat die Kommission anerkannt, dass Andorra, Argentinien, Australien, Kanada (Wirtschaftsunternehmen), Schweiz, Färöer, Guernsey, Israel, Insel Man, Jersey, Neuseeland, Uruguay und die „Grundsätze des sicheren Hafens zum Datenschutz“ des US-Handelsministeriums einen angemessenen Schutz bieten.
SCHUTZ PERSONENBEZOGENER DATEN DURCH DIE ORGANE UND EINRICHTUNGEN DER GEMEINSCHAFT
Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr [Amtsblatt L 8 vom 12.1.2001]
Mit der Verordnung soll der Schutz personenbezogener Daten in den Einrichtungen und Organen der Europäischen Union gewährleistet werden. Die Verordnung:
Letzte Aktualisierung: 08.03.2014