1.2.2011   

DE

Amtsblatt der Europäischen Union

L 27/39


BESCHLUSS DER KOMMISSION

vom 31. Januar 2011

gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus im Staat Israel im Hinblick auf die automatisierte Verarbeitung personenbezogener Daten

(Bekannt gegeben unter Aktenzeichen K(2011) 332)

(Text von Bedeutung für den EWR)

(2011/61/EU)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1), insbesondere auf Artikel 25 Absatz 6,

nach Konsultation des Europäischen Datenschutzbeauftragten,

in Erwägung nachstehender Gründe:

(1)

Die Richtlinie 95/46/EG verpflichtet die Mitgliedstaaten, dafür zu sorgen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen darf, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und wenn vor der Übermittlung die sonstigen Bestimmungen, mit denen die Mitgliedstaaten die Richtlinie umgesetzt haben, beachtet wurden.

(2)

Die Kommission kann feststellen, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind.

(3)

Gemäß der Richtlinie 95/46/EG sind bei der Beurteilung des Datenschutzniveaus alle Umstände zu berücksichtigen, die bei einer Datenübermittlung oder einer Reihe von Datenübermittlungen eine Rolle spielen, insbesondere die für die Datenübermittlung relevanten, in Artikel 25 der Richtlinie aufgeführten Aspekte.

(4)

Wegen der unterschiedlichen Handhabung des Datenschutzes in Drittländern sollte die Beurteilung der Angemessenheit des Schutzniveaus sowie jeder Beschluss gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG und dessen Durchführung in einer Weise erfolgen, die gegenüber Drittländern bzw. unter Drittländern, in denen gleiche Bedingungen vorherrschen, keine willkürliche oder ungerechtfertigte Diskriminierung bewirkt und unter Berücksichtigung der bestehenden internationalen Verpflichtungen der Europäischen Union kein verstecktes Handelshemmnis darstellt.

(5)

Die Rechtsordnung des Staates Israel kennt keine geschriebene Verfassung, doch wurden bestimmte grundlegende Gesetze vom höchsten israelischen Gericht in den Verfassungsrang erhoben. Diese „Grundlagengesetze“ werden durch eine umfangreiche Rechtsprechungssammlung ergänzt, da sich die israelische Rechtsordnung weitgehend an den Grundsätzen des Common Law orientiert. Das Recht auf Schutz der Privatsphäre ist in Paragraph 7 des Grundlagengesetzes über Menschenwürde und Freiheit verankert.

(6)

Die israelischen Rechtsnormen zum Schutz personenbezogener Daten im Staat stützen sich weitgehend auf die in der Richtlinie 95/46/EG vorgegebenen Normen und sind im Gesetz 5741-1981 niedergelegt, das zuletzt 2007 geändert wurde, um neue Kriterien für die Verarbeitung personenbezogener Daten sowie ausführliche Regelungen zur Organisation der Datenschutzbehörde einzuführen.

(7)

Diese Datenschutzgesetzgebung wird ergänzt durch Regierungsbeschlüsse zur Durchführung des Gesetzes 5741-1981 und zur Organisation und Funktionsweise der Datenschutzbehörde; diese folgen weitgehend den Empfehlungen, die der Ausschuss zur Prüfung der Gesetzgebung auf dem Gebiet der Datenbanken für das Justizministerium ausgearbeitet hat (Schoffman-Bericht).

(8)

Datenschutzrechtliche Bestimmungen sind darüber hinaus in einer Reihe von Rechtsinstrumenten zur Regulierung einzelner Sektoren enthalten, zum Beispiel in den Rechtsvorschriften für den Finanzsektor, das Gesundheitswesen und öffentliche Register.

(9)

Die israelischen Datenschutzbestimmungen enthalten sämtliche Grundsätze, die für einen angemessenen Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten in automatisierten Datenbanken erforderlich sind. Kapitel 2 des Gesetzes 5741-1981, das die Grundsätze für die Verarbeitung personenbezogener Daten enthält, gilt nicht für die Verarbeitung personenbezogener Daten in nicht automatisierten (manuellen) Datenbanken.

(10)

Die Anwendung der Datenschutznormen wird garantiert mittels administrativer und gerichtlicher Rechtsbehelfe sowie einer unabhängigen Aufsicht durch die mit Untersuchungs- und Eingriffskompetenzen ausgestattete, autonom agierende israelische Rechts-, Informations- und Technologiebehörde (ILITA).

(11)

Die israelischen Datenschutzbehörden haben Erläuterungen und Garantien zur Auslegung des israelischen Rechts abgegeben und darüber hinaus zugesichert, dass die israelischen Datenschutzvorschriften gemäß dieser Auslegung umgesetzt werden. Der vorliegende Beschluss trägt diesen Erläuterungen und Zusicherungen Rechnung und setzt ihre Einhaltung voraus.

(12)

Der Staat Israel sollte daher zu den Ländern gezählt werden, die einen im Sinne der Richtlinie 95/46/EG angemessenen Schutz bei der automatisierten grenzüberschreitenden Übermittlung personenbezogener Daten aus der Europäischen Union in den Staat Israel bieten; dies gilt auch für den Fall der nicht automatisierten Übermittlung, wenn die Daten anschließend im Staat Israel automatisch verarbeitet werden. Dieser Beschluss sollte hingegen nicht für Übermittlungen personenbezogener Daten aus der EU in den Staat Israel gelten, wenn sowohl die Übermittlung als auch die anschließende Verarbeitung ausschließlich in nicht automatisierter Form erfolgen.

(13)

Im Interesse der Transparenz und um sicherzustellen, dass die zuständigen Behörden der Mitgliedstaaten in der Lage sind, den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, sind — ungeachtet der Feststellung eines angemessenen Schutzniveaus — die besonderen Umstände zu nennen, unter denen die Übermittlung bestimmter Daten ausgesetzt werden darf.

(14)

Die durch diesen Beschluss festgestellte Angemessenheit des Datenschutzniveaus bezieht sich auf den Staat Israel im Sinne des Völkerrechts. Weiterübermittlungen personenbezogener Daten an einen Empfänger außerhalb des Staates Israel, wie er durch das Völkerrecht festgelegt ist, sind als Übermittlungen an ein Drittland anzusehen.

(15)

Die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten hat eine befürwortende Stellungnahme zur Angemessenheit des Schutzes personenbezogener Daten bei automatisierten grenzüberschreitenden Datenübermittlungen aus der Europäischen Union bzw. bei nicht automatisierten Datenübermittlungen unter der Bedingung einer anschließenden automatisierten Verarbeitung der Daten in Israel abgegeben. In ihrer befürwortenden Stellungnahme hat die Datenschutzgruppe den israelischen Behörden empfohlen, weitere Vorschriften zu erlassen, damit die israelischen Datenschutzgesetze auch auf manuelle Datenbanken Anwendung finden, der Grundsatz der Verhältnismäßigkeit ausdrücklich auch für Verarbeitungen personenbezogener Daten im privaten Sektor gilt und die genannten Ausnahmen im Bereich des grenzüberschreitenden Datenaustauschs in Übereinstimmung mit den im „Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG“ (2) genannten Kriterien ausgelegt werden. Dieser Stellungnahme wurde bei der Erarbeitung dieses Beschlusses Rechnung getragen (3).

(16)

Der durch Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzte Ausschuss hat innerhalb der von seinem Vorsitzenden festgesetzten Frist keine Stellungnahme abgegeben —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

(1)   Der Staat Israel verfügt im Sinne von Artikel 25 Absatz 2 der Richtlinie 95/46/EG über ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten aus der Europäischen Union im Falle automatisierter grenzüberschreitender Datenübermittlungen bzw. im Falle nicht automatisierter Datenübermittlungen unter der Bedingung einer anschließenden automatisierten Verarbeitung der Daten im Staat Israel.

(2)   Die Behörde, die im Staat Israel die Anwendung der israelischen Datenschutzbestimmungen überwacht, ist die im Anhang zu diesem Beschluss genannte „Israeli Law, Information and Technology Authority (ILITA)“.

Artikel 2

(1)   Soweit es um Artikel 25 Absatz 1 der Richtlinie 95/46/EG geht, betrifft dieser Beschluss ausschließlich die Angemessenheit des Datenschutzes im Staat Israel im Sinne des Völkerrechts; sonstige Bedingungen oder Beschränkungen im Zusammenhang mit der Umsetzung anderer Bestimmungen der Richtlinie, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, bleiben hiervon unberührt.

(2)   Der Beschluss ist im Einklang mit den Bestimmungen des Völkerrechts anzuwenden. Er lässt den völkerrechtlichen Status der Golanhöhen, des Gazastreifens und des Westjordanlands einschließlich Ost-Jerusalem unberührt.

Artikel 3

(1)   Unbeschadet ihrer Befugnis, Maßnahmen zum Zwecke der Einhaltung einzelstaatlicher Vorschriften zu ergreifen, denen andere Bestimmungen als die des Artikels 25 der Richtlinie 95/46/EG zugrunde liegen, können die zuständigen Behörden in den Mitgliedstaaten von ihrem Recht Gebrauch machen, zum Schutz von Privatpersonen bei der Verarbeitung von deren personenbezogenen Daten die Datenübermittlung an einen Empfänger im Staat Israel auszusetzen, wenn

a)

eine zuständige israelische Behörde feststellt, dass der Datenempfänger die geltenden Datenschutzvorschriften nicht einhält, oder

b)

eine hohe Wahrscheinlichkeit besteht, dass die Datenschutzvorschriften verletzt werden, Grund zur Annahme besteht, dass die zuständige israelische Behörde nicht rechtzeitig angemessene Maßnahmen ergreift, um das Problem zu lösen, die Fortsetzung der Datenübermittlung den betroffenen Personen einen unmittelbar bevorstehenden schweren Schaden zuzufügen droht und die zuständigen Behörden in den Mitgliedstaaten sich unter den gegebenen Umständen in angemessener Weise bemüht haben, die für die Datenverarbeitung verantwortliche Stelle im Staat Israel zu benachrichtigen, und ihr Gelegenheit zur Stellungnahme gegeben haben.

(2)   Die Aussetzung ist zu beenden, sobald der Datenschutz sichergestellt ist und dies den zuständigen Behörden der betreffenden Mitgliedstaaten mitgeteilt wird.

Artikel 4

(1)   Die Mitgliedstaaten unterrichten die Kommission unverzüglich, wenn Maßnahmen gemäß Artikel 3 ergriffen werden.

(2)   Die Mitgliedstaaten und die Kommission benachrichtigen einander auch über Fälle, bei denen die Maßnahmen der verantwortlichen Stellen im Staat Israel nicht ausreichen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten.

(3)   Ergeben die nach Artikel 3 sowie nach Absatz 1 und 2 dieses Artikels gewonnenen Erkenntnisse, dass eine für die Einhaltung der Vorschriften im Staat Israel verantwortliche Stelle ihre Aufgabe nicht vollständig erfüllt, so benachrichtigt die Kommission die zuständige israelische Behörde und schlägt erforderlichenfalls Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, um eine Aufhebung oder Aussetzung dieses Beschlusses oder eine Beschränkung seines Anwendungsbereichs zu erwirken.

Artikel 5

Die Kommission überwacht die Durchführung dieses Beschlusses und unterrichtet den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über relevante Erkenntnisse; dazu zählen auch Erkenntnisse, die sich auf die Feststellung in Artikel 1 dieses Beschlusses auswirken könnten, wonach der Staat Israel ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie 95/46/EG bietet, ferner Erkenntnisse, die darauf hindeuten, dass dieser Beschluss in diskriminierender Weise angewandt wird. Ihre besondere Aufmerksamkeit gilt dabei der Verarbeitung personenbezogener Daten in manuellen Datenbanken.

Artikel 6

Die Mitgliedstaaten ergreifen die erforderlichen Maßnahmen, um dem Beschluss binnen drei Monaten nach seiner Bekanntgabe nachzukommen.

Artikel 7

Dieser Beschluss ist an die Mitgliedstaaten gerichtet.

Brüssel, den 31. Januar 2011

Für die Kommission

Viviane REDING

Vizepräsidentin


(1)  ABl. L 281 vom 23.11.1995, S. 31.

(2)  WP 114 vom 25. November 2005. Abrufbar unter http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_de.pdf

(3)  Stellungnahme 6/2009 zum Umfang des Schutzes personenbezogener Daten in Israel. Abrufbar unter http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp165_de.pdf


ANHANG

Zuständige Datenschutzbehörde gemäß Artikel 1 Absatz 2 dieses Beschlusses:

The Israeli Law, Information and Technology Authority

The Government Campus

9th floor

125 Begin Rd.

Tel Aviv

Israel

Postanschrift:

P.O. Box 7360

Tel Aviv, 61072

Tel.: +972-3-7634050

Fax +972-2-6467064

E-Mail: ILITA@justice.gov.il

Website: http://www.justice.gov.il/MOJEng/RashutTech/default.htm