Richtlinie (EU) 2016/680
Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist eine Richtlinie der Europäischen Union, die die Grundsätze der Datenschutz-Grundverordnung auch auf den Bereich der Verarbeitung personenbezogener Daten im Bereich innere Sicherheit, Polizei, Staatsanwaltschaften und Gerichte anwendbar macht.[1] Den Mitgliedstaaten wird in der Richtlinie aufgegeben, für die entsprechenden Bereiche die dafür notwendigen Datenschutzgesetze zu erlassen. Die Richtlinie ersetzt den aus 2008 stammenden Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden. Zusammen mit der Datenschutz-Grundverordnung bildet die Richtlinie (EU) 2016/680 seit Mai 2018 den gemeinsamen Datenschutzrahmen der Europäischen Union. Im Gegensatz zur Datenschutz-Grundverordnung wurde die Richtlinie nicht in das EWR-Abkommen übernommen. Sie ist in den Mitgliedstaaten der EU – nicht aber in Norwegen und Island anwendbar. Da Dänemark eine Sonderrolle im Raum der Freiheit, der Sicherheit und des Rechts[2] war die Zustimmung des Folketings für die Anwendbarkeit in Dänemark notwendig. Diese folgte am 25. Oktober 2016.[3] Aufgrund von Artikel 6a des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 war die Richtlinie in den meisten Fällen auch ohne deren gesonderte Zustimmung für das Vereinigte Königreich und Irland verbindlich.[4] Zu diesem Datenschutzrahmen trat im November 2018 die auch für die Organe und Stellen der Europäischen Union verbindliche Verordnung (EU) 2018/1725. Hintergrund und EntstehungDie EU-Vorschriften zum Schutz personenbezogener Daten basierten auf der Richtlinie 95/46/EG aus dem Jahr 1995, die sich zum einen auf den Schutz des Grundrechts auf Datenschutz und zum anderen auf die Garantie des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten konzentrierte. Die Richtlinie wurde durch spezifische Datenschutzbestimmungen im Bereich der polizeilichen und justiziellen Zusammenarbeit ergänzt („dritte Säule“) unter anderem durch den Rahmenbeschluss 2008/977/JI. Deshalb ersuchte Europäische Rat die Kommission, die bestehenden Rechtsinstrumente zum Datenschutz zu bewerten und gegebenenfalls weitere Initiativen vorzulegen.[5] Das Europäische Parlament begrüßte diesen Vorschlag.[6] In der Umsetzung des Stockholmer Programms stellte die Kommission fest, dass die EU ein umfassenderes und kohärenteres Konzept für den Datenschutz benötigte:[7] Insbesondere da der Rahmenbeschluss auf die grenzübergreifende Datenverarbeitung beschränkt war und die Verarbeitung durch Polizei- und Justizbehörden auf nationaler Ebene nicht einschloss. Dies konnte zu Problemen bei der polizeilichen und justiziellen Zusammenarbeit führen. Außerdem ließ der Rahmenbeschluss zu viele Ausnahmen vom Zweckbindungsprinzip zu. Darüber hinaus wurden in den Bestimmungen Datenkategorien nicht nach ihrer sachlichen Richtigkeit und Zuverlässigkeit unterschieden. Auch sollten auf Fakten beruhende Daten anders behandelt werden als Daten, denen Meinungen und persönliche Einschätzungen zugrunde lagen, und es sollte zwischen verschiedenen Gruppen der von der Verarbeitung Betroffenen (Straftäter, Verdächtigte, Opfer, Zeugen usw.) unterschieden werden, wobei für die Gruppe der Nichtverdächtigten besondere Garantien gelten mussten. RechtsgrundlageDie EU verfügt erst seit dem Vertrag von Lissabon über eine spezielle Rechtsgrundlage für den Erlass von Datenschutzvorschriften, die auch für die polizeiliche und justizielle Zusammenarbeit in Strafsachen gilt. Artikel 16 AEUV operationalisiert den Grundsatz, dass jede Person das Recht auf Schutz ihrer personenbezogenen Daten hat aus der Charta der Grundrechte der Europäischen Union. Die Mitgliedstaaten erkannten darüber hinaus an, „dass es sich aufgrund des spezifischen Charakters der Bereiche justizielle Zusammenarbeit in Strafsachen und polizeiliche Zusammenarbeit als erforderlich erweisen könnte, in diesen Bereichen spezifische, auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Datenverkehr zu erlassen.“[8] UmsetzungDeutschlandIn Deutschland wurde die Richtlinie für die Zuständigkeit des Bundes mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU,[9] dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU sowie dem Gesetz zur Umsetzung der Richtlinie (EU) 2016/680[10] im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679[11] umgesetzt. Hierdurch wurde Teil 3 des Bundesdatenschutzgesetzes (BDSG) neu gefasst. Soweit öffentliche Stellen der Länder im Anwendungsbereich der Strafprozessordnung personenbezogene Daten verarbeiten, ist Teil 3 des BDSG entsprechend anzuwenden (§ 500 Abs. 1 StPO). SchweizGemäß Erwägungsgrund 102 der Richtlinie 2016/680 stellt diese eine Weiterentwicklung des Schengen-Acquis dar. In diesem Zusammenhang existiert ein Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der schweizerischen Eidgenossenschaft über die Assoziierung der Schweiz bei der Umsetzung, Anwendung und Entwicklung des Schengen-Acquis. In der Folge tritt in der Schweiz am 1. März 2019 das Schengen-Datenschutzgesetz (SDSG) in Kraft.[12] Unter anderem verpflichtet das SDSG in Artikel 15 schweizerische Bundesorgane zur Meldung von Verletzungen der Datensicherheit. Im Gegensatz zu Artikel 33 der Datenschutz-Grundverordnung der EU müssen solche Meldungen dann erfolgen, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führt. Literatur
Einzelnachweise
|