Schutz personenbezogener Daten bei Nutzung durch Polizei- und Strafverfolgungsbehörden (ab 2018)

ZUSAMMENFASSUNG DES DOKUMENTS:

Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten durch Polizei- und Strafverfolgungsbehörden sowie zum freien Datenverkehr

WAS IST DER ZWECK DER RICHTLINIE?

• Die Richtlinie (EU) 2016/680, die Datenschutzrichtlinie für Vollzugsbehörden, sichert den Schutz personenbezogener Daten von Personen, die an Strafverfahren beteiligt sind, sei es als Zeuge, Opfer oder Verdächtige.
• Sie richtet einen umfassenden Rahmen zur Gewährleistung eines hohen Schutzes personenbezogener Daten ein unter Einbeziehung der Besonderheiten der Bereiche Polizei und Strafverfolgung.
• Sie trägt zu mehr Vertrauen bei und erleichtert die Zusammenarbeit bei der Kriminalitätsbekämpfung in Europa, indem der Schutz personenbezogener Daten durch Vollzugsbehörden in Mitgliedstaaten der Europäischen Union (EU) und Schengen-Staaten harmonisiert wird.
• Die Richtlinie ist Teil der Datenschutzreform der EU, zusammen mit der Datenschutz-Grundverordnung (DSGVO) (siehe Zusammenfassung) und der Richtlinie (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU (siehe Zusammenfassung).

WICHTIGE ECKPUNKTE

Die Richtlinie sieht vor, dass die von Strafverfolgungsbehörden erhobenen Daten

• auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden;
• für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nur in einer mit diesen Zwecken zu vereinbarenden Weise verarbeitet werden;
• dem Verarbeitungszweck entsprechen, maßgeblich und in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sind;
• sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind;
• nicht länger, als es für den Verarbeitungszweck erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der Person ermöglicht;
• angemessen gesichert werden, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung, durch geeignete technische und organisatorische Maßnahmen.

Ausschlussfristen

Die Mitgliedstaaten müssen für die Löschung von personenbezogenen Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung Fristen vorsehen.

„Betroffene Personen“

Die Richtlinie erfordert, dass die Strafverfolgungsbehörden zwischen den Daten verschiedener Kategorien von Personen klar unterscheiden, darunter:

• Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben oder in naher Zukunft begehen werden;
• verurteilte Straftäter;
• Opfer einer Straftat oder Personen, bei denen berechtigterweise angenommen werden kann, dass sie Opfer einer Straftat sein könnten;
• Parteien im Zusammenhang mit einer Straftat, darunter potenzielle Zeugen.

Unterrichtung von betroffenen Personen und Zugang zu Daten

Personen haben das Recht auf bestimmte Informationen, die ihnen von den zuständigen Strafverfolgungsbehörden zur Verfügung gestellt – und in einigen Fällen erteilt – werden, darunter:

• Name und Kontaktdaten der zuständigen Behörde, die den Verarbeitungszweck und die Verarbeitungsmittel festlegt;
• die Zwecke, für die Daten verarbeitet werden;
• das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten;
• das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung ihrer personenbezogenen Daten sowie das Recht auf Einschränkung der Verarbeitung ihrer personenbezogenen Daten.

Personen haben das Recht, von den zuständigen Behörden eine Bestätigung zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und auf diese Daten und Informationen zu deren Verarbeitung zuzugreifen.

Sicherheit und Protokollierung

Die nationalen Behörden müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Bei einer automatisierten Datenverarbeitung muss eine Reihe von Maßnahmen ergriffen werden, darunter:

• Verwehrung des Zugangs zu Anlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte;
• Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern*;
• Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Einsicht, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

Die nationalen Behörden müssen Protokolle mit Informationen wie dem Datum und der Uhrzeit des Zugriffs auf personenbezogene Daten und den Namen derjenigen, welche auf die Daten zugegriffen haben und denen die Daten offengelegt wurden, führen. Die Protokolle werden hauptsächlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Sicherstellung der Integrität und Sicherheit der Verarbeitung sowie für Strafverfahren verwendet.

Aufhebung

Die Richtlinie ersetzt den Rahmenbeschluss 2008/977/JI vom 06. Mai 2018 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden.

Überprüfung

Die Europäische Kommission hat im Juni 2020 eine Kommunikation mit dem Titel „Weg zur Anpassung des Besitzstands der ehemaligen dritten Säule durch Datenschutzverordnungen“ veröffentlicht.

Der erste Bericht zur Bewertung und Überprüfung der Richtlinie ist am 05. Mai 2022 fällig.

WANN TRITT DIE RICHTLINIE IN KRAFT?

Sie ist am 5. Mai 2016 in Kraft getreten. Die Mitgliedstaaten mussten sie bis zum 6. Mai 2018 in nationales Recht umsetzen.

HINTERGRUND

Weiterführende Informationen:

• Reform der EU-Datenschutzvorschriften (Europäische Kommission)
• EU-Datenschutzvorschriften (Europäische Kommission)
• Kommissionsbericht: Die EU-Datenschutzvorschriften stärken die Rechte der Bürgerinnen und Bürger und sind zeitgemäß – Pressemitteilung (Europäische Kommission)
• Datenschutzreform – Memo (Europäische Kommission)
• Schutz personenbezogener Daten (Europäische Kommission).

SCHLÜSSELBEGRIFFE

HAUPTDOKUMENT

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89-131).

Nachfolgende Änderungen der Verordnung (EU) 2016/680 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

VERBUNDENE DOKUMENTE

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88).

Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39-98).

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37-47).

Siehe konsolidierte Fassung.

Letzte Aktualisierung: 14.01.2022