32002D0002

2002/2/EG: Entscheidung der Kommission vom 20. Dezember 2001 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet (Bekannt gegeben unter Aktenzeichen K(2001) 4539)

Amtsblatt Nr. L 002 vom 04/01/2002 S. 0013 - 0016


Entscheidung der Kommission

vom 20. Dezember 2001

gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet

(Bekannt gegeben unter Aktenzeichen K(2001) 4539)

(2002/2/EG)

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(1), insbesondere auf Artikel 25 Absatz 6,

in Erwägung nachstehender Gründe:

(1) Gemäß der Richtlinie 95/46/EG haben die Mitgliedstaaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland vor der Übermittlung ein angemessenes Schutzniveau gewährleistet und die Rechtsvorschriften der Mitgliedstaaten zur Umsetzung anderer Bestimmungen der Richtlinie beachtet werden.

(2) Die Kommission kann feststellen, dass ein Drittland einen angemessenen Datenschutz gewährleistet. Diese Feststellung ermöglicht die Übermittlung personenbezogener Daten durch die Mitgliedstaaten, ohne dass zusätzliche Garantien erforderlich sind.

(3) Nach der Richtlinie 95/46/EG ist das Datenschutzniveau unter Berücksichtigung aller Umstände, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen, sowie der sonstigen Gegebenheiten zu beurteilen. Die gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten hat Leitlinien für die Erstellung solcher Beurteilungen veröffentlicht(2).

(4) Angesichts der unterschiedlichen Ansätze von Drittländern im Bereich des Datenschutzes sollte die Beurteilung der Angemessenheit bzw. die Durchsetzung jeglicher Entscheidung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG in einer Form erfolgen, die gegen Drittländer bzw. unter Drittländern, in denen gleiche Bedingungen vorherrschen, nicht willkürlich oder ungerechtfertigt diskriminierend wirkt und unter Berücksichtigung der bestehenden internationalen Verpflichtungen der Gemeinschaft kein verstecktes Handelshemmnis darstellt.

(5) Das kanadische Gesetz über personenbezogene Informationen und elektronische Dokumente (Personal Information Protection and Electronic Documents Act) vom 13. April 2000(3) (nachstehend "kanadisches Gesetz" genannt) gilt für privatwirtschaftliche Organisationen, die im Rahmen kommerzieller Tätigkeiten personenbezogene Daten erheben, verarbeiten oder weitergeben. Es tritt in drei Stufen in Kraft:

Seit 1. Januar 2001 gilt das kanadische Gesetz für personenbezogene Daten, außer Gesundheitsdaten, die Organisationen, die als Betrieb oder Unternehmen des Bundes tätig sind, im Rahmen kommerzieller Tätigkeiten erheben, verarbeiten oder weitergeben. Beispiele für solche Organisationen sind Luftfahrtgesellschaften, Banken, Rundfunkgesellschaften, provinzübergreifende Verkehrsbetriebe und Telekommunikationsunternehmen. Unter das kanadische Gesetz fallen des Weiteren sämtliche Organisationen, die personenbezogene Daten gegen Entgelt an Empfänger außerhalb einer Provinz oder außerhalb Kanadas weitergeben. Außerdem gilt das kanadische Gesetz für Beschäftigtendaten, die sich auf die Arbeitnehmer eines Betriebs oder eines Unternehmens des Bundes beziehen.

Ab 1. Januar 2002 findet das kanadische Gesetz dann auf Gesundheitsdaten Anwendung, die mit den Organisationen und Tätigkeiten im Zusammenhang stehen, die bereits unter die erste Stufe fallen.

Ab 1. Januar 2004 gilt das kanadische Gesetz schließlich für sämtliche Organisationen, die im Rahmen einer kommerziellen Tätigkeit personenbezogene Daten erheben, verarbeiten oder weitergeben, unabhängig davon, ob es sich um eine unter Bundesrecht fallende Organisation handelt oder nicht. Nicht in den Geltungsbereich des kanadischen Gesetzes fallen Organisationen, für die das Bundesdatenschutzgesetz (Federal Privacy Act) gilt oder die auf Provinzebene Regelungen des öffentlichen Sektors unterliegen, ebenso wenig Organisationen ohne Erwerbscharakter und karikative Tätigkeiten, es sei denn, es handelt sich um Tätigkeiten kommerzieller Art. Auch gilt das kanadische Gesetz nicht für Beschäftigtendaten, die für nichtkommerzielle Zwecke benutzt werden, es sei denn, es handelt sich um Beschäftigtendaten von unter Bundesrecht fallenden privatwirtschaftlichen Unternehmen. Der kanadische Bundesdatenschutzbeauftragte (Federal Privacy Commissioner) kann zusätzliche Informationen zu derartigen Fällen bereitstellen.

(6) Zur Wahrung des Rechts der Provinzen, in ihren Zuständigkeitsbereichen Rechtsvorschriften zu erlassen, sieht das Gesetz vor, dass in den Fällen, in denen eine Provinz ein Gesetz erlässt, das dem Bundesgesetz weitgehend entspricht, eine Ausnahmeregelung für Organisationen oder Tätigkeiten gewährt werden kann, so dass diese dann den Datenschutzvorschriften der Provinz unterliegen. Wenn die Bundsregierung zu der Überzeugung gelangt ist, dass für bestimmte Organisationen, Kategorien von Organisationen, Tätigkeiten oder Kategorien von Tätigkeiten Rechtsvorschriften einer Provinz gelten, die weitgehend diesem Teil des Bundesgesetzes entsprechen, dann kann sie gemäß Abschnitt 26 (2) des Personal Information Protection and Electronic Documents Act diese Organisationen, Tätigkeiten oder Kategorien in Bezug auf die Erhebung, Verarbeitung oder Weitergabe von personenbezogenen Daten, die innerhalb dieser Provinz erfolgen, von dem betreffenden Teil des Bundesgesetzes ausnehmen. Die Ausnahmen im Falle von Rechtsvorschriften, die weitgehend Bundesrecht entsprechen, gewährt der Governor in Council (kanadische Bundesregierung) im Wege eines Order-in-Council.

(7) Erlässt eine Provinz Rechtsvorschriften, die weitgehend dem Bundesrecht entsprechen, werden die Organisationen, Kategorien von Organisationen oder Tätigkeiten, die unter diese Rechtsvorschriften fallen, für Transaktionen innerhalb der Provinz von der Anwendung des Bundesrechts ausgenommen. Das Bundesgesetz gilt weiterhin für die provinzübergreifende und die internationale Erhebung, Verarbeitung und Weitergabe von personenbezogenen Daten und in allen Fällen, in denen die Provinzen keine Rechtsvorschriften erlassen haben, die ganz oder teilweise dem Bundesrecht entsprechen.

(8) Kanada hat sich am 29. Juni 1984 auf die OECD-Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten aus dem Jahr 1980 verpflichtet. Kanada zählt auch zu den Ländern, die die Richtlinien der Vereinten Nationen betreffend personenbezogene Daten in automatisierten Dateien anwenden, die am 14. Dezember 1990 von der Generalversammlung beschlossen wurden.

(9) Das kanadische Gesetz berücksichtigt alle Grundsätze, die beachtet werden müssen, damit ein ausreichender Schutz für natürliche Personen gegeben ist, auch wenn es zur Wahrung wichtiger öffentlicher Interessen und mit Blick auf bestimmte Informationen, die dem öffentlichen Bereich zuzuordnen sind, auch Ausnahmen und Einschränkungen vorsieht. Um die Anwendung dieser Vorschriften zu garantieren, stehen Rechtsmittel zur Verfügung, und unabhängige Stellen, zum Beispiel der mit Untersuchungs- und Eingriffsbefugnissen ausgestattete Bundesdatenschutzbeauftragte, stellen die Überwachung sicher. Im Übrigen sind die Bestimmungen des kanadischen Rechts über die zivilrechtliche Haftung anwendbar, wenn betroffene Personen durch unerlaubte Verarbeitung Schaden erleiden.

(10) Im Interesse der Transparenz und um zu gewährleisten, dass die zuständigen einzelstaatlichen Behörden in der Lage sind, den Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, ist es ungeachtet der Feststellung eines angemessenen Schutzniveaus notwendig, in der Entscheidung die besonderen Umstände zu nennen, unter denen die Aussetzung bestimmter Datenströme gerechtfertigt ist.

(11) Die Gruppe für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die nach Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine Stellungnahme zum Schutzniveau abgegeben, das das kanadische Gesetz bietet; diese Stellungnahmen wurden bei der Erarbeitung der vorliegenden Entscheidung berücksichtigt(4).

(12) Die in der vorliegenden Entscheidung enthaltenen Maßnahmen stimmen mit der Stellungnahme des Ausschusses überein, der gemäß Artikel 31 der Richtlinie 95/46/EG eingesetzt wurde -

HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:

Artikel 1

Für die Zwecke von Artikel 25 Absatz 2 der Richtlinie 95/46/EG wird Kanada als ein Land angesehen, das ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der Gemeinschaft an Empfänger garantiert, die der Personal Information Protection and Electronic Documents Act (nachstehend "kanadisches Gesetz" genannt) unterliegen.

Artikel 2

Diese Entscheidung betrifft ausschließlich die Angemessenheit des Schutzes, den das kanadische Gesetz in Kanada im Hinblick auf die Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; andere zur Umsetzung sonstiger Vorschriften der Richtlinie festgelegte Bestimmungen und Einschränkungen hinsichtlich der Verarbeitung personenbezogener Daten in den Mitgliedstaaten bleibt davon unberührt.

Artikel 3

(1) Ungeachtet ihrer Handlungsbefugnis zum Zwecke der Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als denen des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, können die zuständigen Behörden in den Mitgliedstaaten von ihrem Recht Gebrauch machen, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an einen Empfänger in Kanada auszusetzen, dessen Tätigkeiten unter das kanadische Gesetz fallen, wenn

a) eine zuständige kanadische Behörde feststellt, dass der Datenempfänger die geltenden Datenschutzvorschriften nicht einhält, oder

b) eine hohe Wahrscheinlichkeit besteht, dass die Schutzvorschriften verletzt werden; wenn Grund zur Annahme besteht, dass die zuständige kanadische Behörde nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den betreffenden Fall zu lösen; wenn die fortgesetzte Datenübermittlung den betroffenen Personen einen nicht wieder gutzumachenden Schaden zufügen würde und die zuständigen Behörden in den Mitgliedstaaten ihre Mitteilungspflicht gegenüber der für die Verarbeitung in Kanada zuständigen Stelle unter den gegebenen Umständen in angemessener Weise erfuellt und dieser Gelegenheit zur Stellungnahme gegeben haben.

Die Aussetzung ist zu beenden, sobald sichergestellt ist, dass die Vorschriften befolgt werden und die zuständige Behörde in der Gemeinschaft davon in Kenntnis gesetzt ist.

(2) Die Mitgliedstaaten informieren die Kommission unverzüglich, wenn Maßnahmen gemäß Absatz 1 ergriffen wurden.

(3) Die Mitgliedstaaten und die Kommission informieren einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften in Kanada verantwortlichen Einrichtungen nicht ausreichen, um die Einhaltung zu gewährleisten.

(4) Ergeben die Informationen nach den Absätzen 1, 2 und 3, dass eine der für die Einhaltung der Vorschriften in Kanada verantwortlichen Einrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so informiert die Kommission die zuständige kanadische Behörde und schlägt, wenn nötig, Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor im Hinblick auf eine Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs.

Artikel 4

(1) Die Entscheidung kann jederzeit im Lichte der Erfahrungen mit ihrer Anwendung oder bei Änderung der kanadischen Rechtsvorschriften geändert werden; dies gilt auch für Maßnahmen zur Feststellung, dass eine kanadische Provinz dem Bundesrecht weitgehend entsprechende Vorschriften erlassen hat. Die Kommission nimmt drei Jahre, nachdem sie die Mitgliedstaaten von dieser Entscheidung in Kenntnis gesetzt hat, anhand der verfügbaren Informationen eine Bewertung ihrer Umsetzung vor und unterrichtet den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über ihre Feststellungen, einschließlich sämtlicher Erkenntnisse, die die Beurteilung in Artikel 1 dieser Entscheidung, wonach Kanada ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie 95/46/EG bietet, berühren könnte, sowie etwaiger Belege dafür, dass die Entscheidung in diskriminierender Weise angewandt wird.

(2) Die Kommission schlägt erforderlichenfalls gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren Maßnahmen vor.

Artikel 5

Die Mitgliedstaaten ergreifen binnen neunzig Tagen, nachdem sie von der Veröffentlichung der Entscheidung in Kenntnis gesetzt worden sind, alle für ihre Umsetzung erforderlichen Maßnahmen.

Artikel 6

Diese Entscheidung ist an alle Mitgliedstaaten gerichtet.

Brüssel, den 20. Dezember 2001

Für die Kommission

Frederik Bolkestein

Mitglied der Kommission

(1) ABl. L 281 vom 23.11.1995, S. 31.

(2) WP 12: "Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU", von der Datenschutzgruppe angenommen am 24. Juli 1998, verfügbar unter folgender Adresse: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm

(3) Elektronische Fassungen sind unter http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html und http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html abrufbar. Gedruckte Fassungen sind erhältlich bei Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Stellungnahme 2/2001 zum Datenschutzniveau des kanadischen Personal Information and Electronic Documents Act - WP 39 vom 26. Januar 2001, verfügbar unter http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm