Schutz personenbezogener Daten

Der Schutz personenbezogener Daten und die Achtung der Privatsphäre sind wichtige Grundrechte. Das Europäische Parlament betont seit jeher, dass ein ausgewogenes Verhältnis zwischen der Stärkung der Sicherheit und der Wahrung der Menschenrechte hergestellt werden muss, was auch den Datenschutz und den Schutz der Privatsphäre umfasst. Im Mai 2018 traten neue Datenschutzregelungen der EU in Kraft, durch die die Rechte der Bürger gestärkt und die Vorschriften für Unternehmen im digitalen Zeitalter vereinfacht wurden.

Rechtsgrundlage

Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV);

Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union.

Ziele

Die Union muss für die konsequente Anwendung des in der Charta der Grundrechte der EU verankerten Grundrechts auf Datenschutz sorgen. Die Position der EU zum Schutz personenbezogener Daten muss bei allen EU-Maßnahmen, einschließlich jener in den Bereichen Strafverfolgung und Verbrechensvorbeugung, sowie in den internationalen Beziehungen gestärkt werden, insbesondere in einer globalen Gesellschaft, die von raschem technologischem Wandel geprägt ist.

Ergebnisse

A. Institutioneller Rahmen

1. Vertrag von Lissabon

Vor dem Inkrafttreten des Vertrags von Lissabon waren die Rechtsvorschriften zum Datenschutz im Raum der Freiheit, der Sicherheit und des Rechts (RFSR) zwischen der ersten Säule (Datenschutz für private und gewerbliche Zwecke, unter Anwendung der Gemeinschaftsmethode) und der dritten Säule (Datenschutz für Strafverfolgungszwecke, auf zwischenstaatlicher Ebene) aufgeteilt. Daraus ergab sich, dass sich der Beschlussfassungsprozess in den beiden Bereichen an zwei verschiedenen Regelwerken ausrichtete. Durch den Vertrag von Lissabon wurde die Säulenstruktur aufgelöst und so eine bessere Grundlage für die Entwicklung eines eindeutigeren und effektiveren Datenschutzsystems geschaffen. Gleichzeitig sah er neue Befugnisse des Europäischen Parlaments vor und machte es zum Mitgesetzgeber. Gemäß Artikel 16 AEUV erlassen das Europäische Parlament und der Rat Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen.

2. Strategische Leitlinien für den Raum der Freiheit, der Sicherheit und des Rechts

Nach dem Programm von Tampere (Oktober 1999) und dem Haager Programm (November 2004) billigte der Europäische Rat im Dezember 2009 das mehrjährige Programm zum Raum der Freiheit, der Sicherheit und des Rechts für den Zeitraum 2010-2014, das sogenannte Stockholmer Programm. In seinen Schlussfolgerungen vom Juni 2014 legte der Europäische Rat gemäß Artikel 68 AEUV die strategischen Leitlinien für die legislative und operative Planung im RFSR in den nächsten Jahren fest. Eines der vorrangigen Ziele ist ein besserer Schutz personenbezogener Daten in der EU.

B. Wichtigste Rechtsakte zum Datenschutz

1. Charta der Grundrechte der Europäischen Union

In Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union werden die Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten als eng verbundene, aber dennoch eigenständige Grundrechte anerkannt.

2. Europarat

a. Übereinkommen Nr. 108 von 1981

Das Übereinkommen Nr. 108 des Europarates vom 28. Januar 1981 über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten war das erste internationale verbindliche Rechtsinstrument im Bereich Datenschutz. Zweck des Übereinkommens ist es, „für jedermann […] sicherzustellen, dass seine Rechte und Grundfreiheiten, insbesondere sein Recht auf einen Persönlichkeitsbereich, bei der automatischen Verarbeitung personenbezogener Daten geschützt werden“. Das Protokoll zur Änderung des Übereinkommens zielt darauf ab, seinen Geltungsbereich zu erweitern, den Datenschutz zu erhöhen und seine Wirksamkeit zu verbessern.

b. Europäische Menschenrechtskonvention (EMRK)

In Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten vom 4. November 1950 ist das Recht auf Achtung des Privat- und Familienlebens verankert: „Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz“.

3. Derzeitige EU-Rechtsakte zum Datenschutz

a. Datenschutz-Grundverordnung (DSGVO)

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) trat im Mai 2018 in Kraft. Die Vorschriften dienen dazu, alle EU-Bürger in einer zunehmend datengestützten Welt vor Verletzungen der Privatsphäre und Datenschutzverstößen zu schützen und gleichzeitig einen klareren und kohärenteren Rahmen für Unternehmen zu schaffen. Zu den Rechten der Bürger gehören eine eindeutige und ausdrückliche Zustimmung zur Verarbeitung ihrer Daten und das Recht, klare und verständliche Informationen darüber zu erhalten, das Recht auf Vergessenwerden – Bürger können darum ersuchen, dass ihre Daten gelöscht werden –, das Recht auf Übertragung von Daten an einen anderen Dienstleistungsanbieter (z. B. bei einem Wechsel von einem sozialen Netz zu einem anderen) und das Recht, informiert zu werden, wenn sich jemand unberechtigten Zugang zu ihren Daten verschafft hat. Die neuen Vorschriften gelten für alle Unternehmen, die in der EU tätig sind, auch wenn sie ihren Sitz außerhalb der EU haben. Außerdem wird es möglich sein, Abhilfemaßnahmen wie Warnungen, Anordnungen oder Geldbußen gegen Unternehmen zu verhängen, die gegen die Vorschriften verstoßen.

b. Richtlinie zum Datenschutz bei der Strafverfolgung

Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates trat im Mai 2018 in Kraft. Durch die Richtlinie wird das Grundrecht der Bürger auf Datenschutz bei der Verwendung personenbezogener Daten durch die Strafverfolgungsbehörden gewahrt. Dadurch wird sichergestellt, dass personenbezogene Daten von Opfern, Zeugen und Verdächtigen ordnungsgemäß geschützt werden, und die grenzüberschreitende Zusammenarbeit bei der Verbrechens- und Terrorismusbekämpfung wird erleichtert.

c. Datenschutzrichtlinie für elektronische Kommunikation

Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) wurde durch die Richtlinie 2009/136/EG vom 25. November 2009 geändert.

Der neue Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) wird derzeit geprüft.

d. Verordnung über die Verarbeitung personenbezogener Daten durch Organe und Einrichtungen der Europäischen Union

Die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG trat am 11. Dezember 2018 in Kraft.

e. Artikel zum Datenschutz in sektorspezifischen Rechtsakten

Zusätzlich zu den oben genannten wichtigsten Rechtsakten zum Datenschutz gibt es auch eine Reihe von speziellen Datenschutzbestimmungen in sektorspezifischen Rechtsakten, z. B.:

  • Artikel 13 (Schutz personenbezogener Daten) der Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität;
  • Kapitel VI (Datenschutzgarantien) der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol);
  • Kapitel VIII (Datenschutz) der Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA).

4. Wichtigste internationale Vereinbarungen der EU über Datenübermittlungen

a. Übermittlung von Geschäftsdaten: Angemessenheitsbeschlüsse

Gemäß Artikel 45 der DSGVO ist die Kommission befugt, zu beschließen, ob ein Land außerhalb der EU ein angemessenes Schutzniveau bietet, entweder auf der Grundlage seiner innerstaatlichen Rechtsvorschriften oder der internationalen Verpflichtungen, die es eingegangen ist.

Das Parlament hat mehrere Entschließungen angenommen, in denen Bedenken bezüglich transatlantischer Datenübermittlungen zum Ausdruck gebracht wurden.

b. Rahmenabkommen EU-USA

Im Rahmen des Zustimmungsverfahrens war das Parlament an der Billigung des Abkommens zwischen den USA und der EU über den Schutz personenbezogener Daten im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, auch bekannt als „Rahmenabkommen“, beteiligt. Ziel dieses Abkommens ist ein hohes Niveau des Schutzes von personenbezogenen Daten, die im Zuge der transatlantischen Zusammenarbeit bei der Bekämpfung des Terrorismus und der organisierten Kriminalität übermittelt werden.

c. Abkommen über Fluggastdatensätze (Passenger Name Records – PNR) zwischen der EU und den USA, der EU und Australien sowie der EU und Kanada

Die EU hat bilaterale Abkommen über Fluggastdatensätze (PNR) mit den Vereinigten Staaten, Australien und Kanada unterzeichnet. PNR-Daten umfassen Informationen, die von Fluggästen bei der Buchung von Flügen oder beim Check-in zur Verfügung gestellt werden, und Daten, die die Fluggesellschaften für ihre eigenen gewerblichen Zwecke sammeln. PNR-Daten können von Strafverfolgungsbehörden zur Bekämpfung von schwerer Kriminalität und Terrorismus verwendet werden.

d. Abkommen zwischen der EU und den USA über ein Programm zur Fahndung nach Finanzquellen des Terrorismus (TFTP)

Die EU hat ein bilaterales Abkommen mit den USA über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der EU an die USA für die Zwecke des Programms zur Fahndung nach Finanzquellen des Terrorismus unterzeichnet.

5. Berücksichtigung von Datenschutzaspekten in sektorspezifischen Entschließungen

In diversen Entschließungen des Parlaments zu verschiedenen Politikbereichen wird auch auf den Schutz personenbezogener Daten eingegangen, um für Kohärenz mit den allgemeinen Datenschutzvorschriften der EU und den Schutz der Privatsphäre in diesen spezifischen Sektoren zu sorgen.

6. EU-Datenschutzaufsichtsbehörden

Der Europäische Datenschutzbeauftragte (EDSB) ist eine unabhängige Aufsichtsbehörde, die die Einhaltung der Datenschutzverpflichtungen durch die Organe und Einrichtungen der EU sicherstellt. Die wichtigsten Aufgaben des EDSB sind Überwachung, Beratung und Zusammenarbeit.

Der Europäische Datenschutzausschuss, die ehemalige Artikel-29-Datenschutzgruppe, hat den Status einer Einrichtung der EU mit Rechtspersönlichkeit und verfügt über ein unabhängiges Sekretariat. Der Europäische Datenschutzausschuss bringt die nationalen Datenschutzbehörden der EU, den EDSB und die Kommission zusammen. Der Europäische Datenschutzausschuss verfügt über weitreichende Befugnisse, um bei Streitigkeiten zwischen den nationalen Aufsichtsbehörden zu entscheiden und zu zentralen Konzepten der Datenschutz-Grundverordnung und der Richtlinie zum Datenschutz bei der Strafverfolgung zu beraten und zu unterstützen.

Rolle des Europäischen Parlaments

Das Parlament hat bei der Gestaltung der EU-Rechtsvorschriften im Bereich des Schutzes personenbezogener Daten eine Schlüsselrolle gespielt, indem es den Schutz der Privatsphäre zu einer politischen Priorität erklärt hat. Darüber hinaus hat es im Rahmen des ordentlichen Gesetzgebungsverfahrens gleichberechtigt mit dem Rat an der Datenschutzreform gearbeitet. Außerdem hat es seine Arbeit an dem letzten wichtigen Bestandteil des Gesamtkonzepts, der neuen Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation, abgeschlossen und wartet darauf, dass der Rat seine Arbeit endlich abschließt, sodass die Verhandlungen aufgenommen werden können.

Das Parlament hat die internationalen Vereinbarungen über die Datenübermittlung genau überwacht. Ob im Rahmen des Zustimmungsverfahrens oder durch Initiativberichte – das Parlament hat dafür gesorgt, sich Gehör zu verschaffen. Darüber hinaus hat es vor der Abstimmung über das PNR-Abkommen zwischen der EU und Kanada in einer Entschließung vom 25. November 2014 beschlossen, gemäß Artikel 218 Absatz 1 AEUV ein Gutachten des Gerichtshofs einzuholen. In dem daraus resultierenden Gutachten vom 26. Juli 2017 stellte der Gerichtshof fest, dass das PNR-Abkommen in seiner derzeitigen Form nicht geschlossen werden durfte, weil mehrere Bestimmungen des Abkommens mit dem Grundrecht auf Schutz personenbezogener Daten unvereinbar waren.

Nachdem es sichergestellt hat, dass in der EU angemessene Datenschutzvorschriften eingeführt wurden, wird sich das Parlament nun höchstwahrscheinlich darauf konzentrieren, die Umsetzung der Rechtsvorschriften zu überwachen.

 

Kristiina Milt