– 29 –
3.2.2
Die Umsetzung der Datenschutzrichtlinie 95/46/EG in den Mitgliedstaaten der Europäischen Union
3.2.2.1 Bericht der Europäischen Kommission
Der Bericht der EU-Kommission zur Umsetzung der EGDatenschutzrichtlinie gibt derzeit keinen Grund zur Änderung der Richtlinie.
Der dem Europäischen Parlament vorgelegte Kommissionsbericht vom 15. Mai 2003 über die Durchführung
der Datenschutzrichtlinie (EG 95/46, KOM(2003) 265 endgültig) war längst überfällig, hätte er doch bereits drei
Jahre nach Verabschiedung der Richtlinie erstellt werden
müssen. Mitschuld an der Verspätung hatten einzelne
Mitgliedstaaten, die die Richtlinie nur zögerlich und zum
Teil erst im Jahre 2004 vollständig umsetzten.
Die Richtlinie verfolgt zwei Ziele, zum einen die Vollendung des Binnenmarktes und zum anderen die Gewährleistung des Schutzes von Grundrechten und Grundfreiheiten des Einzelnen in allen Mitgliedstaaten. Mit
Befriedigung stellte die Kommission fest, dass es gelungen sei, in allen Mitgliedstaaten ein hohes Datenschutzniveau zu erreichen. Dem freien Verkehr von personenbezogenen Daten in der EU stünden keine Schranken mehr
im Wege. Bei der Umsetzung der Richtlinie hätten die
Mitgliedstaaten einen großen Freiraum gehabt, der es erlaubte, gewachsene Datenschutztraditionen zu berücksichtigen. Die daraus resultierenden Unterschiede bei der
Umsetzung der Richtlinie hätten sich als beträchtlich erwiesen. Die Kommission stellte insbesondere fest, dass
sich die Industrie über zu große Divergenzen innerhalb
der EU beklagt; sie könne deshalb keine gesamteuropäische Datenschutzstrategie entwickeln.
Unterschiedliche Interpretationen der Richtlinie sind z. B.
bei den Begriffsbestimmungen, bei der Interpretation so
genannter sensibler Daten, bei der Information der Betroffenen und bei der Übermittlung von Daten in Drittländer festgestellt worden. Zwar stellen diese Abweichungen
nicht notwendigerweise Verletzungen des Gemeinschaftsrechts dar; gleichwohl stören sie die Harmonisierung und
erfordern daher Abhilfe.
Einige der festgestellten Mängel beruhen auf unzureichenden finanziellen und personellen Ressourcen für die
Durchsetzung der Richtlinie, andere liegen in der lückenhaften Befolgung der Vorschriften durch die für die Verarbeitung Verantwortlichen; diese müssten vielfach kaum
fürchten, für ihr Verhalten geahndet zu werden. Nicht zuletzt wurde auch ein sehr geringer Kenntnisstand bei den
Betroffenen hinsichtlich ihrer Rechte festgestellt.
Die Bestimmungen der Richtlinie zum Auskunftsrecht
der Betroffenen werden in den einzelnen Ländern unterschiedlich ausgelegt. Um dem abzuhelfen, hat die Art. 29Gruppe eine Stellungnahme verabschiedet, die die offenen Fragen durch Muster-Informationstexte klärt (vgl. Anlage 12, WP 100).
Weitere Unterschiede bestehen in der Behandlung von
Text-, Ton- und Bilddaten in den Mitgliedstaaten. Auch
hier hat die Art. 29-Gruppe ein Grundsatzpapier verabschiedet, das diesem Mangel abhelfen soll (vgl. Anlage 12, WP 89).
Große Abweichungen in den einzelnen Staaten offenbarten sich nach dem Kommissionsbericht auch bei der Praxis des Datentransfers in Drittstaaten. So ist z. B. die in
einigen Ländern praktizierte Regelung, alle Übermittlungen in Drittstaaten von der Genehmigung der zuständigen
Aufsichtsbehörde abhängig zu machen, unvereinbar mit
der Richtlinie. Zwar können die Behörden die Meldungen
solcher Übermittlungen verlangen, diese aber nicht in DeFacto-Genehmigungen umwandeln. Vereinfachungen bei
der Genehmigung von Drittstaatentransfers sind in der
Tat dringend erforderlich. Wünschenswert wäre auch der
verbreitete Gebrauch von Gruppengenehmigungen auf
der Basis von konzerninternen verbindlichen Unternehmensregelungen, um so den Datentransfer in Länder zu
erleichtern, die kein angemessenes Datenschutzniveau
garantieren. Hier sieht die Kommission ein wichtiges Betätigungsfeld für die nationalen Datenschutzbehörden.
Auch die Art. 29-Gruppe arbeitet daher an der Erleichterung der Verfahren zur Genehmigung solcher konzerninterner Regelungen.
Um den aufgezeigten Mängeln abzuhelfen, hat die Kommission ein weit gefächertes Aktionsprogramm beschlossen, das z. B. Erörterungen mit den einzelnen Mitgliedstaaten und bessere Informationen auf der Internetseite
der Kommission vorsieht. Weiterhin setzt sie sich für die
Förderung von Technologien zur Verbesserung des Datenschutzes, sog. Privacy Enhancing Technologies, ein
(vgl. Anlage 12, WP 86; Anlage 9). Zudem fordert sie die
Mitgliedstaaten auf, die Öffentlichkeit stärker für die Belange des Datenschutzes zu sensibilisieren. Insbesondere
setzt die Kommission aber auf die Art. 29-Gruppe. Mit
ihrer Hilfe soll die Harmonisierung auf der praktischen
Ebene vorangetrieben werden. Die Erwartungen an die
Datenschutzbehörden der Mitgliedstaaten sind dabei erheblich; vielfach sollen sie Einigkeit dort herstellen, wo
dies dem europäischen Gesetzgeber bei der Abfassung
der Richtlinie nicht oder nur in Form von Formelkompromissen gelungen ist. Das Festhalten an überlieferten nationalen Rechtsfiguren und gewachsenen Verwaltungspraktiken ist in vielen Mitgliedstaaten aber nach wie vor
stark. Dennoch hat die Art. 29-Gruppe das Aktionsprogramm der Kommission als Zielvorstellung akzeptiert
und arbeitet intensiv an seiner Umsetzung. Allen Beteiligten ist klar, dass ohne Harmonisierungsfortschritte auf
der praktischen Ebene eine Änderung der Richtlinie nicht
zu vermeiden wäre.
3.2.2.2 Bedeutende Entscheidungen des
Europäischen Gerichtshofs
Der Gerichtshof der Europäischen Gemeinschaft (EuGH)
hat festgestellt, dass die EG-Datenschutzrichtlinie auch
auf Sachverhalte ohne Binnenmarktbezug anzuwenden
ist.
BfD
20. Tätigkeitsbericht
2003–2004