52007DC0087

Mitteilung der Kommission An das Europäische Parlament und an den Rat - Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie /* KOM/2007/0087 endg. */


[pic] | KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN |

Brüssel, den 7.3.2007

KOM(2007) 87 endgültig

MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND AN DEN RAT

Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie

MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND AN DEN RAT

Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie

(Text von Bedeutung für den EWR)

Die Richtlinie 95/46/EG[1] markiert einen Wendepunkt in der Geschichte des Datenschutzes als Grundrecht. Geebnet wurde ihr der Weg durch das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten[2]. In ihrem gemäß Artikel 33 der Datenschutzrichtlinie erstellten ersten Durchführungsbericht[3] gelangte die Kommission zu dem Schluss, dass zwar keine Änderungen am Rechtstext erforderlich seien, dass aber die Durchführung der Richtlinie noch beträchtlich verbessert werden könne.

Der Bericht enthielt auch ein Arbeitsprogramm für die bessere Durchführung der Datenschutzrichtlinie. Die vorliegende Mitteilung unterzieht im Hinblick auf Artikel 8 der EU-Grundrechtscharta, in dem der Schutz personenbezogener Daten als eigenständiges Grundrecht verankert ist, den Stand der Arbeiten im Rahmen des Arbeitsprogramms einer näheren Betrachtung, bewertet die gegenwärtige Lage und beschreibt die Zukunftsaussichten, von denen der Erfolg einer Reihe von politischen Betätigungsfeldern abhängt.

Die Kommission ist der Ansicht, dass die Richtlinie einen allgemeinen Rechtsrahmen liefert, der im Wesentlichen angemessen und technologisch neutral ist. Die harmonisierten Vorschriften, die einen hohen Schutzstandard für personenbezogene Daten in der gesamten EU garantieren, bringen dem Einzelnen, den Unternehmen und den Behörden erhebliche Vorteile. Privatpersonen werden vor allgegenwärtiger Überwachung oder unzulässiger Diskriminierung aufgrund von Informationen, die Dritte über sie in den Händen halten, geschützt. Der elektronische Handel wird sich nur dann auf breiter Basis durchsetzen können, wenn die Verbraucher darauf vertrauen können, dass die persönlichen Daten, die sie bei ihren Transaktionen preisgeben, nicht missbräuchlich verwendet werden. Unternehmen und staatliche Behörden wiederum können EU-weit zu geschäftlichen Zwecken bzw. zum Zwecke der Zusammenarbeit Daten austauschen, ohne befürchten zu müssen, dass ihre internationalen Tätigkeiten unterbunden werden, weil die von ihnen benötigten personenbezogenen Daten am Ursprungsort oder am Bestimmungsort nicht geschützt sind.

Die Kommission wird die Durchführung der Richtlinie weiter beobachten, mit allen Beteiligten zusammenarbeiten, um die länderspezifischen Unterschiede noch weiter zu verringern, und prüfen, inwieweit durch bereichsspezifische Vorschriften dafür gesorgt werden muss, dass die Grundsätze des Datenschutzes auf neue Technologien Anwendung finden und dem öffentlichen Bedürfnis nach Sicherheit Rechnung getragen wird.

1. BISHERIGE ERFOLGSBILANZ DES ARBEITSPROGRAMMS

Seit Veröffentlichung des ersten Berichts sind im Bereich der nachstehenden zehn Aktionsfelder folgende Fortschritte zu verzeichnen[4]:

Aktion 1: Erörterungen mit den Mitgliedstaaten und den Datenschutzbehörden

Die Kommission hat mit den Mitgliedstaaten einen „strukturierten Dialog“ über die Umsetzung in innerstaatliches Recht geführt. Hierzu gehörte eine ausführliche Analyse der Gesetzgebung auf nationaler Ebene sowie Gespräche mit den nationalen Behörden mit dem Ziel, eine lückenlose Überstimmung der Rechtsvorschriften der Mitgliedstaaten mit den Anforderungen der Richtlinie zu erreichen.

Aktion 2: Einbeziehung der Beitrittsländer in die Bemühungen um eine bessere und einheitlichere Durchführung der Richtlinie

Bei den Sitzungen des mit Vertretern der Mitgliedstaaten besetzten Ausschusses nach Artikel 31 der Richtlinie waren schon vor dem Beitrittstermin Vertreter dieser Länder zugegen. Dasselbe gilt für die Artikel-29-Datenschutzgruppe[5], an deren Sitzungen seit 2002 Vertreter der Beitrittsländer teilnehmen. Gleichzeitig stand die Kommission im Zuge der Verabschiedung nationaler Rechtsvorschriften in engem Kontakt mit den Behörden dieser Länder und wirkte bei der Angleichung dieser Vorschriften an den EG-Besitzstand beratend mit, um förmliche Vertragsverletzungsverfahren auf ein Minimum zu begrenzen.

Aktion 3: Verbesserung der Meldung aller Rechtsvorschriften zur Umsetzung der Richtlinie sowie der Genehmigungen nach Artikel 26 Absatz 2 der Richtlinie

Der im Rahmen von Aktion 1 geführte strukturierte Dialog hat der Kommission ein klareres und umfassenderes Bild der von den Mitgliedstaaten ergriffenen Maßnahmen zur Durchführung der Richtlinie (Sekundärrecht und bereichsspezifisches Recht) vermittelt. In ihrem Schreiben an die Mitgliedstaaten vom August 2003 schlug die Kommission einheitliche Kriterien vor, die einen pragmatischen Umgang mit den Meldungen gemäß Artikel 26 Absatz 3 der Richtlinie ermöglichen sollen. Daraufhin nahmen die Meldungen seitens einiger Mitgliedstaaten zu. Der Austausch von bewährten Verfahren und Fachwissen zwischen den Behörden der Mitgliedstaaten wurde durch die Veröffentlichung ausgewählter Dokumente, Entscheidungen und Empfehlungen der Mitgliedstaaten auf den Internetseiten der Kommission gefördert.

Aktion 4: Durchsetzung

In ihrer diesbezüglichen Erklärung sprach sich die Datenschutzgruppe grundsätzlich für EU-weite, aufeinander abgestimmte Durchsetzungsmaßnahmen aus und legte Kriterien für die Bestimmung von Bereichen vor, die einer genaueren Prüfung unterzogen werden sollen. Im März 2006 begannen die Datenschutzbehörden mit einer gemeinsamen Prüfung der Verarbeitung personenbezogener Daten im Bereich der privaten Krankenversicherung.

Aktion 5: Meldung und Öffentlichkeit der Verarbeitungen

Hierzu hat die Datenschutzgruppe einen Bericht herausgegeben, in dem die derzeitige Situation auf nationaler Ebene beschrieben wird und Empfehlungen abgegeben werden, die sich mit denen der Kommission decken. Im Anschluss daran wurde ein „Leitfaden für die Meldeanforderungen" herausgegeben, das einen umfassenden Überblick über die einzelstaatlichen Vorschriften geben und den für die Datenverarbeitung Verantwortlichen als praktische Orientierungshilfe dienen soll.

Aktion 6: Einheitlichere Bestimmungen über Informationspflichten

Die Analyse der einzelstaatlichen Rechtsvorschriften durch die Kommission im Rahmen des strukturierten Dialogs wurde durch Arbeiten der Datenschutzgruppe ergänzt, die einen Harmonisierungsbedarf feststellte und nach einem gemeinsamen Ansatz für eine pragmatische Lösung suchte. Die Gruppe entwickelte Orientierungshilfen für die Verantwortlichen der Datenverarbeitung mit konkreten Fallbeispielen, mit Beispielen für die inhaltliche und formale Ausgestaltung der Informationen und mit Mustern für mehrschichtige Datenschutzhinweise oder einen Informationsvermerk über die Übermittlung von Fluggastdaten (PNR).

Aktion 7: Vereinfachung der Anforderungen für internationale Übermittlungen

a) Verstärkter Rückgriff auf Feststellungen eines angemessenen Datenschutzniveaus in Drittländern im Sinne von Artikel 25 Absatz 6

Die Kommission hat seit Annahme des Arbeitsprogramms in mehreren Fällen das Bestehen eines angemessenen Datenschutzniveaus festgestellt. So befand sie, dass Argentinien, Guernsey und die Insel Man über ein angemessenes Datenschutzniveau verfügen.

Außerdem nahm die Kommission eine Bestandsaufnahme in Bezug auf früher erfolgte Bescheinigungen eines angemessenen Datenschutzniveaus vor. Die Kommissionsdienststellen legten 2004 einen Bericht über die Funktionsweise der Regelung zum „Sicheren Hafen“ sowie ein Arbeitsdokument hierzu und ein Standardformular für die Eingabe von Beschwerden bei der Datenschutzbehörde vor. Daran schloss sich im Oktober 2006 eine sehr gut besuchte Konferenz über Fragen der internationalen Übermittlung personenbezogener Daten an, die gemeinsam von der Datenschutzgruppe und dem US-Handelsministerium organisiert worden war. Bewertet wurden auch die praktischen Folgen der Bescheinigung eines angemessenen Schutzniveaus für die Schweiz und Kanada.

b) Weitere Bescheinigungen auf der Grundlage von Artikel 26 Absatz 4, sodass die Wirtschaftsteilnehmer zwischen mehr Standardvertragsklauseln wählen können

Die Kommission nahm eine Entscheidung an, mit der sie einer Reihe weiterer Vertragsklauseln bescheinigte, ausreichende Garantien für die Übermittlung von Daten an für die Datenverarbeitung Verantwortliche in Drittländern zu bieten. Die Klauseln waren von einer Gruppe von repräsentativen Wirtschaftsverbänden, darunter die Internationale Handelskammer, vorgeschlagen worden. Die Kommissionsdienststellen legten 2006 außerdem einen ersten Bericht über die Durchführung früherer Kommissionsentscheidungen in Bezug auf Standardvertragsklauseln vor.

c) Die Rolle verbindlicher unternehmensinterner Vorschriften bei der Gewährleistung angemessener Garantien für unternehmensinterne Übermittlungen personenbezogener Daten

Die Datenschutzgruppe nahm nach zweijährigen Vorarbeiten (2003 und 2004) zwei wichtige Papiere an: in dem einen Papier wird ein Kooperationsmechanismus zwischen den nationalen Datenschutzbehörden entwickelt, um ausgehend von den verbindlichen unternehmensinternen Vorschriften gemeinsame Stellungnahmen zum Thema ausreichende Garantien zu erarbeiten. Das andere Papier enthält eine Standardmerkliste für die Verantwortlichen der Datenverarbeitung, anhand derer sie feststellen können, ob die Unternehmensvorschriften ausreichende Garantien bieten.

d) Einheitlichere Auslegung von Artikel 26 Absatz 1 der Richtlinie

Die Datenschutzgruppe nahm eine Stellungnahme an, die wichtige Anhaltspunkte dafür enthält, wann vom Erfordernis eines ausreichenden Datenschutzes in Drittländern abgewichen werden darf.

Aktion 8: Förderung von Technologien zur Verbesserung des Datenschutzes

Die 2003 und 2004 von der Kommission und der Datenschutzgruppe durchgeführten Arbeiten sind in die demnächst erscheinende Mitteilung der Kommission über Datenschutztechnologien (Privacy Enhancing Technologies - PET) eingeflossen, in der die künftige Strategie beschrieben wird.

Aktion 9: Förderung der Selbstregulierung und von europäischen Verhaltenskodizes

Eine wichtige Errungenschaft ist der Europäische Verhaltenkodex der FEDMA (Federation of European Direct Marketing), der von der Datenschutzgruppe gebilligt wurde. Andere Versuche dieser Art mündeten leider nicht in Verhaltenskodizes von vergleichbarer Qualität ein. Trotz anfänglicher Fortschritte konnten sich bedauerlicherweise auch die europäischen Sozialpartner nicht auf ein europäisches Abkommen über den Schutz personenbezogener Daten am Arbeitsplatz einigen.

Aktion 10: Sensibilisierung

Unter europäischen Bürgern und Unternehmen wurde eine Eurobarometer-Umfrage zum Thema Datenschutz durchgeführt. Sie zeigt, dass dieses Thema die Bürger berührt, dass sie aber nicht ausreichend über bestehende Vorschriften und Mechanismen zum Schutz ihrer Rechte informiert sind.

2. AKTUELLE SITUATION: ÜBERBLICK ÜBER DIE UMSETZUNG DER RICHTLINIE

Fortschritte bei der Umsetzung

Sämtliche Mitgliedstaaten haben die Richtlinie inzwischen in innerstaatliches Recht umgesetzt. Die Kernelemente der Richtlinie finden sich weitgehend in den einzelstaatlichen Bestimmungen wieder.

Die im Rahmen des Arbeitsprogramms durchgeführten Aktionen sind positiv zu bewerten und haben wesentlich zu einer besseren Umsetzung der Richtlinie im gesamten Gemeinschaftraum beigetragen. Großen Anteil daran hatten die Datenschutzbehörden aufgrund ihrer Mitarbeit in der Datenschutzgruppe.

Lückenhafte Umsetzung in einigen Mitgliedstaaten

Die im Rahmen des strukturierten Dialogs im Gefolge der Arbeiten zur Erstellung des ersten Berichts 2003 durchgeführte sorgfältige Analyse der einzelstaatlichen Datenschutzvorschriften hat nähere Erkenntnisse in Bezug auf die Art und Weise der Umsetzung die Richtlinie geliefert. Bei dieser Gelegenheit konnten eine Reihe von rechtlichen Fragen geklärt sowie Zweifel an der Richtlinienkonformität einiger einzelstaatlicher Vorschriften und Verfahren ausgeräumt werden.

Der strukturierte Dialog führte aber auch zu der Erkenntnis, dass eine Reihe von wichtigen Bestimmungen der Richtlinie in einigen Mitgliedstaaten nicht in innerstaatliches Recht übernommen worden sind. In anderen Fällen erfolgte die Umsetzung oder praktische Anwendung entweder nicht richtlinienkonform oder ging über den den Mitgliedstaaten zustehenden Handlungsspielraum hinaus.

Ein Problempunkt ist die Einhaltung der Vorschrift, wonach die Datenschutzbehörden ihre Aufgabe in völliger Unabhängigkeit wahrnehmen und mit den zur Ausübung ihres Auftrags erforderlichen Befugnissen ausgestattet werden. Die Behörden sind ein wichtiger Baustein in dem von der Richtlinie geschaffenen Schutzsystem und deshalb haben Versäumnisse bei der Sicherstellung ihrer Unabhängigkeit und Ausstattung mit den entsprechenden Befugnissen weit reichende negative Auswirkungen auf die Durchsetzung der Datenschutzvorschriften.

Die Kommission führt derzeit eine vergleichende Analyse sämtlicher Fälle durch, in denen eine falsche oder unvollständige Umsetzung vermutet wird, um ein kohärentes Vorgehen sicherzustellen. Einige Mitgliedstaaten haben Mängel in ihren Rechtsvorschriften eingeräumt und sich zur Vornahme der erforderlichen Korrekturen verpflichtet, ein Verfahren, das die Kommission für nachahmenswert hält. Weitere Probleme wurden durch Beschwerden von Bürgern offenkundig. In den Fällen, in denen Gemeinschaftsrecht fortdauernd verletzt wird, wird die Kommission gemäß Artikel 226 EG-Vertrag gegen die betreffenden Mitgliedstaaten das förmliche Vertragsverletzungsverfahren einleiten. In einigen Fällen ist dies bereits geschehen.

Abweichungen aufgrund des Ermessensspielraums, den die Richtlini e den Mitgliedstaaten zubilligt

Die Richtlinie enthält eine Reihe von Bestimmungen, die unbestimmt formuliert sind und den Mitgliedstaaten explizit oder implizit bei der Ausgestaltung ihrer innerstaatlichen Rechtsvorschriften einen gewissen Ermessensspielraum lassen. In diesem Rahmen können Unterschiede zwischen den Vorschriften der Mitgliedstaaten auftreten[6]. Diese Unterschiede sind jedoch nicht größer als in anderen Bereichen des Wirtschaftslebens und eine natürliche Folge eines solchen Spielraums.

Kein Problem für den Binnenmarkt

Die Kommission gab eine Studie zur Bewertung der wirtschaftlichen Folgen der Richtlinie für die Verantwortlichen der Datenverarbeitung in Auftrag (“Economic evaluation of the Data Protection Directive (95/46/EC)")[7] Anhand einiger ausgewählter Fallbeispiele zeigt die Studie auf, dass sich die Kosten der Umsetzung der Richtlinie für Unternehmen trotz gewisser Unterschiede in Grenzen halten.

Ein höheres Maß an Konvergenz wäre sicherlich wünschenswert, damit positive Initiativen wie Vereinfachung, Selbstregulierung oder Nutzung von verbindlichen unternehmensinternen Vorschriften besser greifen können. In den bei der Kommission eingegangenen Beschwerden finden sich jedoch keine Anhaltspunkte dafür, dass Abweichungen von Land zu Land, die sich innerhalb der von der Richtlinie vorgegebenen Grenzen bewegen, ein Hindernis für das Funktionieren des Binnenmarktes darstellen oder den freien Datenverkehr aufgrund eines fehlenden oder unzureichenden Datenschutzes im Herkunfts- oder Bestimmungsland beschränken. Auch wird der Wettbewerb zwischen privatwirtschaftlichen Unternehmen durch unterschiedliche Beschränkungen im Land ihrer Niederlassung nicht verzerrt. Unterschiede von Land zu Land hindern Unternehmen nicht daran, in mehreren Mitgliedstaaten tätig zu sein oder sich dort niederzulassen. Sie ändern auch nichts an der Verpflichtung der Europäischen Union und ihrer Mitgliedstaaten, die Grundrechte zu schützen.

Die Richtlinie erfüllt daher ihren Zweck, den freien Verkehr personenbezogener Daten innerhalb des Binnenmarktes zu gewährleisten und dabei ein hohes Maß an Datenschutz innerhalb der Gemeinschaft sicherzustellen.

Überwiegend zweckmäßige Vorschriften

Eine andere Frage ist, ob durch die von der Richtlinie vorgegebenen Lösungen abgesehen von der dadurch erreichten Harmonisierung auch die Probleme in angemessener Weise angegangen werden.

Einige Vorschriften sind kritisiert worden. Es wurde argumentiert, dass die Meldepflicht eine Belastung darstellt; sie ist jedoch für die Personen, deren Daten verarbeitet werden, von großem Wert, weil sie die Transparenz erhöht, und sie sensibilisiert die für die Verarbeitung Verantwortlichen; außerdem dient sie den Behörden zu Kontrollzwecken. Das Internet, die neuen Formen der Interaktion zwischen Personen und die Möglichkeit des Zugangs zu Dienstleistungen in Drittländern werfen Fragen in Bezug auf die Regeln auf, nach denen sich das anwendbare Recht bestimmen soll oder Daten in Drittländer übermittelt werden dürfen. Die Rechtsprechung hat hierauf bisher nur eine Teilantwort gefunden[8]. RFID-Systeme (Radio-Frequenz-Identifikation) werfen grundlegende Fragen zum Anwendungsbereich der Datenschutzbestimmungen und zum Begriff der personenbezogenen Daten auf. Bei der Kombination von Ton- und Bilddaten mit automatischer Erkennung ist bei der Anwendung der Grundsätze der Richtlinie besondere Vorsicht geboten.

Der Europarat führte eine ähnliche Debatte über die Bedeutung der Grundsätze des Übereinkommens 108 in der heutigen Welt. Allgemein besteht jedoch Einigkeit darin, dass diese Grundsätze ihre Gültigkeit behalten und eine zufrieden stellende Lösung darstellen.

Anpassung an den technologischen Wandel

Die Kommission ist der Auffassung, dass die Richtlinie technologisch neutral ist, d.h. dass ihre Grundsätze und Bestimmungen so allgemein gehalten sind, dass sie sich auch auf neue Technologien und Situationen übertragen lassen. Dennoch kann sich die Notwendigkeit ergeben, diese allgemeinen Grundsätze in spezielle Leitlinien oder Bestimmungen zu übersetzen, die den Besonderheiten dieser Technologien Rechnung tragen.

So spezifiziert und ergänzt die Richtlinie 2002/58/EG die Richtlinie 95/46/EG im Hinblick auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation, indem sie den freien Verkehr dieser Daten sowie elektronischer Kommunikationssysteme und –dienste innerhalb der Gemeinschaft garantiert. Die Richtlinie wird im Rahmen der Durchsicht des gesamten Regelwerks im Bereich der elektronischen Kommunikation derzeit einer Prüfung unterzogen.

Die Datenschutzgruppe hat sehr viel Mühe auf die Behandlung technologischer Aspekte wie unerbetene elektronische Nachrichten (‚Spam’), E-Mail-Filter oder die Verarbeitung von Verbindungsdaten zur Rechnungserstellung oder von Standortdaten für die Erbringung von höherwertigen Dienstleistungen verwandt. Im Zusammenhang mit der RFID-Technologie veranstaltete die Kommission eine Reihe von Arbeitstreffen sowie eine öffentliche Anhörung zum Thema Datenschutz und Datensicherheit.

Verarbeitungserfordernisse im öffentlichen Interesse

Die Verknüpfung des Schutzes der Grundrechte und Grundfreiheiten mit dem öffentlichen Interesse kommt in der Richtlinie auf zwei Arten zum Ausdruck.

Zum einen erfolgt der Ausschluss einer Reihe von Verarbeitungszwecken ( öffentliche Sicherheit, Landesverteidigung, Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und Tätigkeiten des Staates im strafrechtlichen Bereich ) vom Anwendungsbereich der Richtlinie (Artikel 3). Der Gerichtshof hat klargestellt, dass die Verarbeitung von Daten zum Schutz der öffentlichen Sicherheit und zu Strafverfolgungszwecken nicht in den Anwendungsbereich dieser Richtlinie fällt[9]. Im Interesse eines gemeinsamen Bündels von Datenschutzbestimmungen hat die Kommission ergänzend zu ihrem Vorschlag über den Austausch von Informationen nach dem Grundsatz der Verfügbarkeit[10] einen Vorschlag zum Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden[11], angenommen. Außerdem schloss die EU mit den USA ein internationales Abkommen über die Verarbeitung von Fluggastdatensätzen (‚PNR’) zum Zwecke der Verbrechensbekämpfung ab[12].

Zum anderen können die Mitgliedstaaten die Grundsätze des Datenschutzes unter bestimmten Bedingungen beschränken (" sofern eine solche Beschränkung notwendig ist für [es folgt eine Aufzählung von wesentlichen, im öffentlichen Interesse liegenden Gründen]" – Artikel 13). So können beispielsweise in Ausnahmefällen Beschränkungen zum Zwecke der Verbrechensbekämpfung oder zum Schutz der öffentlichen Gesundheit nötig werden. Die Richtlinie enthält noch einige weitere Vorschriften, die in begrenztem Maße ähnliche Ausnahmen vorsehen. Der Gerichtshof hat klargestellt, dass ursprünglich für wirtschaftliche Zwecke gesammelte Daten später nur unter den in Artikel 13 genannten Bedingungen aus Gründen des öffentlichen Interesses anderweitig verwendet werden dürfen. Die dem nationalen Gesetzgeber auferlegten Beschränkungen decken sich im Übrigen mit den Beschränkungen in Artikel 8 der Europäischen Menschenrechtskonvention. Von zentraler Bedeutung ist dabei auch die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte[13]. Dieses Verfahren, bei dem die Entscheidung darüber, was „ notwendig“ bzw. ein „wesentliches öffentliches Interesse“ ist, in das Ermessen der Mitgliedstaaten gestellt wird, ist an sich ein Hauptursache für die Unterschiede zwischen den einzelstaatlichen Rechtsvorschriften.

Eine Angleichung der Beschränkungen wurde lediglich in einen wenigen Sektoren vorgenommen. Ein Beispiel aus jüngster Zeit ist die Richtlinie 2006/24/EG[14] über die Vorratsdatenspeicherung; die Kommission hat angekündigt, eine Sachverständigengruppe einzusetzen, die die Probleme bei der Umsetzung der Richtlinie in innerstaatliches Recht erörtert.

Umsetzung des Grundrechts in die Praxis

Die Kommission ist bei allen von ihr vorgelegten Vorschlägen an die EU-Grundrechtscharta gebunden. Artikel 8 der Charta gilt dem Schutz der personenbezogenen Daten: die Richtlinie garantiert ein hohes Schutzniveau und bildet die Grundlage für kohärente Datenschutzbestimmungen quer durch verschiedene Bereiche der Gemeinschaftsgesetzgebung hindurch.

3. BLICK IN DIE ZUKUNFT: WIE GEHT ES WEITER?

Aufbauend auf dem bisher Erreichten möchte die Kommission eine Politik verfolgen, die durch die folgenden Elemente gekennzeichnet ist.

Neue Perspektiven bei einer Ratifizierung des Verfassungsvertrags

Der Verfassungsvertrag hätte enorme Auswirkungen auf diesen Bereich. Das in Artikel 8 der Grundrechtscharta verankerte Recht auf Schutz personenbezogener Daten würde als Artikel II-68 in den Verfassungsvertrag eingehen. Der Vertrag hielte mit Artikel I-51 auch eine eigenständige Rechtsgrundlage bereit, die der Union Gesetzgebungskompetenz in dieser Frage verleihen würde, so dass sie auf alle Bereiche anwendbare Rechtsakte erlassen könnte. Die gegenwärtige Unterteilung in „Säulen“ und die Beschränkungen in Artikel 3 der Richtlinie würden damit gegenstandslos. Bis geklärt ist, wie es mit dem Ratifizierungsprozess des Verfassungsvertrags weitergeht, hat die Kommission jedoch auf die Notwendigkeit effizienterer Verfahren im Bereich Freiheit, Sicherheit und Recht im Rahmen der bestehenden Verträge hingewiesen[15].

Keine Änderung der Richtlinie

Aus den vorstehend genannten Gründen ist die Kommission der Auffassung, dass die Datenschutzrichtlinie einen allgemeinen Rechtsrahmen liefert, der seinen eigentlichen Zweck erfüllt, indem er eine ausreichende Garantie für das Funktionieren des Binnenmarktes bietet und gleichzeitig ein hohes Schutzniveau gewährleistet. Die Richtlinie füllt das Grundrecht auf Schutz personenbezogener Daten mit Leben. Der Einzelne soll so Vertrauen in die Art und Weise der Verwendung seiner Daten gewinnen, denn ohne dieses Vertrauen wäre eine Ausweitung des elektronischen Geschäftsverkehrs nicht denkbar. Die Richtlinie liefert einen Anknüpfungspunkt für Initiativen in einer Reihe von Politikfeldern; sie ist technologisch neutral und sie hält fundierte und angemessene Antworten auf Fragen des Datenschutzes bereit.

Es ist daher nicht geplant, einen Vorschlag zur Änderung der Richtlinie vorzulegen.

Fortsetzung der Bemühungen um eine ordentliche Umsetzung der Vorschriften der Richtlinie auf nationaler und internationaler Ebene

Die Unstimmigkeiten in den innerstaatlichen Vorschriften sind zum Teil auf eine falsche oder unvollständige Umsetzung der Vorschriften der Richtlinie zurückzuführen. Ausgehend von den im Rahmen des strukturierten Dialogs mit den Mitgliedstaaten gesammelten und den Beschwerden von Bürgern entnommenen Informationen wird die Kommission ihre Zusammenarbeit mit den Mitgliedstaaten fortsetzen und gegebenenfalls förmliche Vertragsverletzungsverfahren einleiten, um dafür zu sorgen, dass in allen Mitgliedstaaten gleichartige Bedingungen herrschen.

Die Mitgliedstaaten werden aufgefordert, dafür zu sorgen, dass das auf der Grundlage der Richtlinie verabschiedete innerstaatliche Recht den Vorgaben entspricht. Parallel dazu wird die Kommission die Entwicklungen auf dem internationalen Parkett (Europarat, OECD, VN) aktiv verfolgen, um sicherzustellen, dass die Mitgliedstaaten keine Verpflichtungen eingehen, die ihren aufgrund der Richtlinie obliegenden Pflichten entgegenstehen.

Mitteilung zur Auslegung einiger Bestimmungen

Maßgebend für die Feststellung von Problemen bei der Umsetzung bestimmter Vorschriften der Richtlinie, die die Einleitung förmlicher Vertragsverletzungsverfahren nach sich ziehen können, ist die Art und Weise, wie die Kommission die Vorschriften der Richtlinie versteht und wie sie ihrer Meinung nach richtigerweise umzusetzen sind, wobei sie auf die Rechtsprechung und die Auslegung durch die Datenschutzgruppe zurückgreift.

Ihre Vorstellungen will die Kommission in einer Mitteilung näher erläutern.

Aufforderung aller Beteiligten zur weiteren Verringerung der nationalen Unterschiede

Zu diesem Zweck sind verschiedene Maßnahmen geplant.

– Fortführung des Arbeitsprogramms

Die 2003 festgelegten Aktionen waren und sind nach wie vor geeignet, die Umsetzung der Richtlinie zu verbessern.

Die im Arbeitsprogramm aufgelisteten Aktionen werden fortgeführt, wobei mit der Einbeziehung aller Beteiligten gute Voraussetzungen für eine bessere Umsetzung der Grundsätze der Richtlinie geschaffen wurden.

– Mehr Einsatz der Datenschutzgruppe im Hinblick auf eine einheitliche Anwendung

Die Datenschutzgruppe, in der die einzelstaatlichen Datenschutzbehörden vertreten sind, spielt eine Schlüsselrolle im Hinblick auf eine bessere und kohärentere Umsetzung der Richtlinie. Das Gremium hat die Aufgabe, "alle Fragen im Zusammenhang mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zu prüfen, um zu einer einheitlichen Anwendung beizutragen ". Es hat bereits wertvolle Arbeit bei der Suche nach einer einheitlichen Anwendung von Kernvorschriften (grenzüberschreitender Datenverkehr, Begriff der personenbezogenen Daten) geleistet.

Um den größtmöglichen Nutzen aus ihrem Mandat zu ziehen, sollten die Datenschutzbehörden zudem bestrebt sein, ihre Praxis im eigenen Land der gemeinsamen Linie anzupassen, auf die sie sich in der Datenschutzgruppe geeinigt haben.

Beschäftigung mit den Herausforderungen durch neue Technologien

Die Grundsätze der Richtlinie behalten ihre Gültigkeit und sollten nicht geändert werden. Angesichts der rasanten Entwicklung neuer Informations- und Kommunikationstechnologien bedarf es jedoch besonderer Orientierungshilfen, wie diese Grundsätze in der Praxis anzuwenden sind. Dank immer ausgefeilterer Techniken werden Informationen innerhalb kürzester Zeit rund um den Globus geschickt. Die neue Technik ermöglicht aber auch im Bedarfsfall einen besseren Schutz der Daten. Sie erleichtert die Datenkontrolle und die Datensuche. Einschlägige Daten sind schneller und leichter auffindbar. Für den Fall, dass keine Erlaubnis zur Übermittlung der Daten besteht, lassen sich diese mit Hilfe der modernen Technik besser und rascher herausfiltern und schützen als früher.

Der Datenschutzgruppe kommt in dieser Angelegenheit besondere Bedeutung zu. Sie sollte ihre Tätigkeiten im Rahmen der Internet-Arbeitsgruppe fortsetzen und weiter an einem gemeinsamen Ansatz arbeiten, wie die jeweiligen innerstaatlichen Rechtsvorschriften vor allem in der Frage des anwendbaren Rechts und des grenzüberschreitenden Datenverkehrs harmonisiert werden können.

Sollte die Anwendung der Datenschutzgrundsätze auf eine bestimmte Technologie, die häufig genutzt wird oder bei der die Möglichkeit besteht, dass sie sich durchsetzt, dauerhaft Probleme bereiten und deshalb schärfere Maßnahmen rechtfertigen, so könnte die Kommission auf EU-Ebene bereichsspezifische Vorschriften erlassen, die gewährleisten, dass diese Grundsätze auf die fragliche Technologie Anwendung finden. Ein Beispiel hierfür ist die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation.

Derzeit werden die Richtlinie 2002/58/EG wie auch die Mitteilung zur oben erwähnten RFID-Technologie einer Prüfung unterzogen, womit sich die Gelegenheit bietet, über eine Änderung der Richtlinie oder den Erlass besonderer Vorschriften nachzudenken, die auf die Datenschutzprobleme im Zusammenhang mit Technologien wie dem Internet oder RFID eingehen.

Kohä rentes Vorgehen im Hinblick auf die Verwendung aus Gründen des öffentlichen Interesses und speziell aus Gründen der Sicherheit

Hier gilt es, zwei grundlegende Erfordernisse miteinander zu vereinen: auf der einen Seite Abwendung von Gefahren, die eine Bedrohung für das Alltagsleben der europäischen Bürger und vor allem für deren Sicherheit darstellen können, und auf der anderen Seite Schutz der Grundrechte, wozu auch das Recht auf Schutz personenbezogener Daten gehört. Die Menge an persönlichen Daten, die über einzelne Personen gesammelt werden, und die Vielzahl an Tätigkeiten, bei denen Spuren personenbezogener Daten hinterlassen und gespeichert werden, ist groß. Diese Daten dürfen nur dann für andere Zwecke als diejenigen, für die sie ursprünglich gesammelt wurden, verwendet werden, wenn ein solches Vorgehen rechtsstaatlich legitimiert ist. In einer demokratischen Gesellschaft müssen derartige Maßnahmen aus Gründen des öffentlichen Interesses erforderlich und gerechtfertigt sein, beispielsweise aus Gründen der Bekämpfung von Terrorismus und des organisierten Verbrechens.

Bei der Abwägung zwischen Sicherheitsinteressen und dem Schutz unabdingbarer Grundrechte stellt die Kommission sicher, dass der Schutz von personenbezogenen Daten gemäß Artikel 8 der Grundrechtscharta gewährleistet ist. In einer globalisierten Welt ist zudem die Zusammenarbeit mit externen Partnern von grundlegender Bedeutung. Die EU und die USA stehen in einem ständigen transatlantischen Dialog über Fragen des Austauschs und des Schutzes personenbezogener Daten im Rahmen von Strafverfolgungsmaßnahmen.

Die Kommission wird die Umsetzung der Richtlinie nach Abschluss der in dieser Mitteilung genannten Maßnahmen erneut überprüfen.

[1] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutzrichtlinie“, ABl. L 281 vom 23.11.1995, S. 31)

[2] ETS Nr. 108 ("Europaratskonvention 108") .

[3] Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG/95/46), KOM(2003) 265 endg. vom 15.5.2003.

[4] Der erste Bericht der Kommission ebenso wie die hier erwähnten, im Rahmen des Arbeitsprogramms angenommenen öffentlich zugänglichen Dokumente sind abrufbar unter http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_de.htm

[5] Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten, eingesetzt durch Artikel 29 der Richtlinie (hier kurz „Datenschutzgruppe“).

[6] Erwägungsgrund 9 der Richtlinie.

[7] http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf

[8] Rs. C-101/01 ("Lindqvist"), Urteil vom 6. November 2003.

[9] Verbundene Rechtssachen C-317/04 und C-318/04 („PNR“), Urteil vom 30. Mai 2006.

[10] KOM(2005) 490 endg. vom 12.10.2005.

[11] KOM(2005) 475 endg. vom 4.10.2005.

[12] ABl. L 298 vom 27.10.2006, S. 29.

[13] Verbundene Rechtssachen C-465/00, C-138/01 und C-139/01 ("Rechnungshof"), Urteil vom 20. Mai 2003.

[14] ABl. L 105 vom 13.4.2006, S. 54.

[15] KOM(2006) 331 endg. vom 28.6.2006.