Richtlinie 95/46/EG (Datenschutzrichtlinie)

Flagge der Europäischen Union

Richtlinie 95/46/EG

Titel: Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
Bezeichnung:
(nicht amtlich)
Datenschutzrichtlinie
Geltungsbereich: EU
Rechtsmaterie: Datenschutzrecht
Grundlage: Artikel 100a EGV
Verfahrensübersicht: Europäische Kommission
Europäisches Parlament
IPEX Wiki
Inkrafttreten: 13. Dezember 1995
In nationales Recht
umzusetzen bis:
24. Oktober 1998
Umgesetzt durch: Deutschland
Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze (BGBl. I S. 904);
Österreich
Datenschutzgesetz 2000
sowie Wertpapieraufsichtsgesetz
Ersetzt durch: Verordnung (EU) 2016/679
Außerkrafttreten: 24. Mai 2018
Fundstelle: ABl. L 281 vom 23. November 1995, S. 31–50
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist außer Kraft getreten.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist eine 1995 erlassene Richtlinie der Europäischen Gemeinschaft zum Schutz der Privatsphäre[1] von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten. Sie ist durch die am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlichte Datenschutz-Grundverordnung am 25. Mai 2018 abgelöst worden. Verweise auf die Richtlinie gelten seitdem als Verweise auf die Datenschutz-Grundverordnung (Art. 94 Abs. 2 der Datenschutz-Grundverordnung).

Geschichte

Bereits in den 1970ern und 1980ern forderte das Europäische Parlament die Kommission der EG mehrfach[2][3][4][5] auf, „an die Vorbereitung einer Richtlinie zu denken, um den einzelnen Bürger der Gemeinschaft vor Missbrauch bei der Speicherung, Verarbeitung und Verbreitung persönlicher Informationen durch automatische Datenbanken im öffentlichen wie im privaten Sektor zu schützen“. Dieser ursprünglichen Forderung von 1975 kam die Kommission jedoch rund zwanzig Jahre später – mit der Empfehlung,[6] doch das Datenschutz-Übereinkommen[1] des Europarats zu ratifizieren – nach. Dies erscheint auf den ersten Blick paradox, spiegelt jedoch die unterschiedlichen Ausgangspunkte des Parlamentes und der Kommission wider:[7] Das Parlament betrachtete die sich durch Computer radikal ändernden Verarbeitungsbedingungen und die daraus möglichen Konsequenzen für die Betroffenen. Erste Prämisse der Kommission war es, den freien Warenverkehr – und damit dem gemeinsamen Markt – zu fördern. Und daher jede Einschränkung für den Markt in dieser Hinsicht genauso wenig zu tolerieren wie einschränkende Regelungen für jedes andere „marktfähige Gut“. Gegenteiligerweise unterstützte die Kommission die Verstärkung des unbeschränkten Verkehrs mit Daten.[8][9][10][11]

Der formelle Rechtsetzungsprozess für die Richtlinie begann mit der Veröffentlichung eines „Vorschlags für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten“[12][13] durch die Kommission; dieser wurde im Rechtsetzungsprozess 1992 noch einmal grundlegend geändert.[14] Der Vorschlag der Kommission stellt fest, dass die Mitgliedstaaten ihre Empfehlung[6] nur mangelhaft umgesetzt hatten. Nur sieben der zwölf Mitgliedsstaaten der EG waren dem Datenschutzübereinkommen beigetreten, darauf basierende einzelstaatliche Regelungen bestanden in nur sechs Mitgliedsstaaten (Deutschland, Dänemark, Frankreich, Irland, Luxemburg, und Vereinigtes Königreich), Spanien hatte den Vertrag zwar ratifiziert, jedoch noch nicht umgesetzt, die Niederlande hatten ein davon unabhängiges Datenschutzrecht. Daneben hatte der Rat der OECD 1980 Datenschutz-Leitlinien[15] verabschiedet.

Es wurden somit drei Probleme im Datenschutzrecht festgestellt:[12]

  1. Die Grundrechte der Gemeinschaftsbürger wurden unterschiedlich und teils nur lückenhaft geschützt. Dies war „nicht mit dem Engagement der Gemeinschaft für die Wahrung der Grundrechte vereinbar, auf das in der gemeinsamen Erklärung […] zu den Grundrechten vom 5. April 1977[16] und in Absatz 3 der Präambel der Einheitlichen Europäischen Akte hingewiesen wurde“.
  2. Die Übermittlung von Daten schien – unter Berücksichtigung der Rechte der Betroffenen – notwendig:
    1. Datenverarbeitung ist in vielen Bereichen des Wirtschaftslebens unerlässlich und die Grundfreiheiten machen es notwendig, dass Daten grenzüberschreitend übermittelt werden.
    2. Die Europäische Integration macht es im Zusammenhang der Mobilität der Bürger erforderlich, dass nationale Verwaltungen zusammenarbeiten um so beispielsweise Steuer- oder Sozialdaten im Interesse der Bürger ausgetauscht werden.
  3. Der Wettbewerb wird verzerrt, wenn Unternehmen in ihrem Land unterschiedlich strengen Vorschriften unterliegen.

Inhalt

Die Richtlinie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen. Ausgenommen von der Anwendung sind lediglich die ausdrücklich in Art. 3 Abs. 2 der Richtlinie genannten Bereiche betreffend die zweite und dritte Säule der Europäischen Union, also der gemeinsamen Außen- und Sicherheitspolitik (GASP) und der polizeilichen und justiziellen Zusammenarbeit in Strafsachen (PJZS).

Die Richtlinie verbietet in der Regel die Verarbeitung sensibler personenbezogener Daten. Es sind jedoch Ausnahmen von diesem Verbot vorgesehen, etwa wenn die betroffene Person ausdrücklich in die Verarbeitung der genannten Daten eingewilligt hat oder die Verarbeitung erforderlich ist, „um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen“. Zudem sieht die Richtlinie vor, dass die Mitgliedstaaten vorbehaltlich angemessener Garantien, aus Gründen eines wichtigen öffentlichen Interesses, Ausnahmen vorsehen können.

Umsetzung

Im Telekommunikationsbereich wird die Datenschutzrichtlinie durch die im Jahr 2002 erlassene Datenschutzrichtlinie für elektronische Kommunikation ergänzt.

In Deutschland ist die Europäische Datenschutzrichtlinie erst durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 umgesetzt worden, das am 23. Mai 2001 in Kraft trat. Vorausgegangen war ein von der EU-Kommission eingeleitetes Vertragsverletzungsverfahren, weil die Richtlinie nicht innerhalb der vereinbarten Drei-Jahres-Frist in deutsches Recht transformiert worden war.

Klageschrift der Kommission gegen Deutschland wegen der Unabhängigkeit der Datenschutzbeauftragten

Im Juli 2005 rügte die EU-Kommission eine unzureichende inhaltliche Umsetzung der Datenschutzrichtlinie in Deutschland. Sie kritisiert, dass den Stellen, die mit der Datenschutzaufsicht der Länder betraut sind, die erforderliche Unabhängigkeit von staatlicher Einflussnahme fehle. Die Kommission leitete daher ein weiteres Vertragsverletzungsverfahren ein.[17][18] Im März 2010 urteilte der Europäische Gerichtshof (EuGH),[19] dass die Bundesrepublik die Vorgabe falsch umgesetzt hat.[20]

Literatur

Einzelnachweise

  1. a b Europarat: Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. In: Sammlung der Europäischen Verträge. 28. Januar 1981, abgerufen am 14. Mai 2018 (englisch, französisch, deutsch, italienisch, russisch).
  2. Europäisches Parlament: Entschließung über den Schutz der Rechte des Einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der automatischen Datenverarbeitung. In: ABl. C. Nr. 60, 13. März 1975, S. 48 (eur-lex.europa.eu (PDF) [abgerufen am 15. Mai 2018]).
  3. Europäisches Parlament: Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der automatischen Datenverarbeitung. In: ABl. C. Nr. 100, 3. Mai 1976, S. 27 (eur-lex.europa.eu (PDF) [abgerufen am 15. Mai 2018]).
  4. Europäisches Parlament: Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung. In: ABl. C. Nr. 140, 5. Juni 1979, S. 34–37 (eur-lex.europa.eu (PDF) [abgerufen am 15. Mai 2018]).
  5. Europäisches Parlament: Entschließung zum Schutz der Rechte des einzelnen angesichts der fortschreitenden technischen Entwicklung auf dem Gebiet der Datenverarbeitung. In: ABl. C. Nr. 87, 5. April 1982, S. 39 (eur-lex.europa.eu (PDF) [abgerufen am 15. Mai 2018]).
  6. a b Kommission der Europäischen Gemeinschaften: 81/679/EWG: Empfehlung der Kommission vom 29. Juli 1981 betreffend ein Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. In: ABl. L. Nr. 246, 29. August 1981, S. 31 (eur-lex.europa.eu [abgerufen am 15. Mai 2018]).
  7. Ulrich Dammann, Spiros Simitis: EG-Datenschutzrichtlinie. Kommentar. Nomos, Baden-Baden 1997, ISBN 978-3-7890-4517-2, S. 61, Rn. 1.
  8. Europäische Kommission: Towards a Dynamic European Economy. Green Paper on the Development of the Common Market for Telecommunications Services and Equipment [COM(87) 290 final]. Brüssel 30. Juni 1987 (englisch, eur-lex.europa.eu (PDF) [abgerufen am 15. Mai 2018]).
  9. Bundesregierung: Grünbuch über die Entwicklung des Gemeinsamen Marktes für Telekommunikationsdienstleistungen und Telekommunikationsgeräte – KOM(87) 290 endg. Unterrichtung durch die Bundesregierung. In: Bt-Drs. Nr. 11/930, 7. September 1987 (BT-Drs. 11/930 [abgerufen am 15. Mai 2018]).
  10. Kommission der Europäischen Gemeinschaften: Vorschlag für eine Entschliessung des Rates über die Stärkung der weiteren Koordinierung der Einführung des diensteintegrierenden digitalen Fernmeldenetzes (ISDN) in der Gemeinschaft bis 1992 /* KOM/88/0695 endg. */ (PDF), abgerufen am 15. Mai 2018. 16. Dezember 1988.
  11. Kommission der Europäischen Gemeinschaften: Mitteilung der Kommission an den Rat und das Europäische Parlament betreffend „Normung und die globale Informationsgesellschaft: Der Europäische Ansatz“ /* KOM/96/0359 endg. */. In: Amt für Veröffentlichungen der Europäischen Union (Hrsg.): EUR-Lex. 24. Juli 1996 (eur-lex.europa.eu [abgerufen am 15. Mai 2018]).
  12. a b Kommission der Europäischen Gemeinschaften: Mitteilung der Kommission zum Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und zur Sicherheit der Informationssysteme. Hrsg.: Amt für Veröffentlichungen der Europäischen Union. 13. September 1990 (eur-lex.europa.eu [abgerufen am 13. Mai 2018]).
  13. Kommission der Europäischen Gemeinschaften: Vorschlag für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten. In: ABl. C. Nr. 277, 5. November 1990, S. 3 (eur-lex.europa.eu [abgerufen am 15. Mai 2018]).
  14. Kommission der Europäischen Gemeinschaften: Geänderter Vorschlag für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten. In: ABl. C. Nr. 311, 27. November 1992, S. 30 (eur-lex.europa.eu [abgerufen am 15. Mai 2018]).
  15. OECD (Hrsg.): OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. 12. Februar 2002, doi:10.1787/9789264196391-en (englisch, [1] [abgerufen am 14. Mai 2018]).
  16. Europäisches Parlament, Rat der Europäischen Gemeinschaften, Europäische Kommission: Gemeinsame Erklärung des Europäischen Parlaments, des Rates und der Kommission betreffend die Achtung der Grundrechte sowie der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten. In: ABl. C. Nr. 103, 27. April 1977, S. 1 (eur-lex.europa.eu [abgerufen am 15. Mai 2018]).
  17. Rechtssache C-518/07: Klage, eingereicht am 22. November 2007 – Kommission der Europäischen Gemeinschaften gegen Bundesrepublik Deutschland. In: ABl. C, Nr. 37, 9. Februar 2008, S. 8–9.
  18. Europäische Kommission: Klage der Kommission der Europäischen Gemeinschaften gegen die Bundesrepublik Deutschland. (PDF) JURM (2007) 6047. 22. November 2007, abgerufen am 12. Juni 2018.
  19. EuGH: Urteil des Gerichtshofes (Große Kammer) vom 9. März 2010. Europäische Kommission gegen Bundesrepublik Deutschland. Vertragsverletzung eines Mitgliedstaats – Richtlinie 95/46/EG – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr – Art. 28 Abs. 1 – Nationale Kontrollstellen – Unabhängigkeit – Behördliche Aufsicht über diese Stellen. Rechtssache C-518/07. Sammlung der Rechtsprechung 2010 I-01885 / ECLI-Identifikator: ECLI:EU:C:2010:125.
  20. Europa befreit Datenschützer von politischem Druck. Spiegel Online, 9. März 2010.