– 30 –
Der EuGH hatte erstmals Gelegenheit, auf Fragen von
nationalen Gerichten aus Österreich und Schweden zur
Auslegung und zum Anwendungsbereich der Richtlinie
Stellung zu nehmen. Im österreichischen Fall (Urteil „Österreichischer Rundfunk“ vom 20. Mai 2003 C-465/00)
ging es um die Zulässigkeit der nach nationalem Recht
vorgeschriebenen Weitergabe der Besoldungshöhe bestimmter, bei öffentlichen Stellen beschäftigter Personen
an den Rechnungshof, der diese Daten personenbezogen
in einem Bericht an das Parlament übermitteln wollte. Im
schwedischen Fall (Urteil „Lindqvist“ vom 6. November 2003 C 101-01) spielte die Veröffentlichung von Namen und weiteren personenbezogenen Informationen aus
der kirchlichen Gemeindearbeit im Internet durch eine
Einzelperson eine Rolle.
Die Annahme einer sog. Mindestharmonisierung hält der
EuGH für nicht mit der in der Richtlinie enthaltenen vollständigen Harmonisierung vereinbar. Deren Zielsetzung,
die Unterschiede in den nationalen Regelungen und damit
die vor der Harmonisierung bestehenden Hindernisse für
den Binnenmarkt abzubauen, habe die zwingende Folge,
dass die Mitgliedstaaten nach erfolgter Harmonisierung
nicht mehr von dem gemeinsam beschlossenen Rahmen
abweichen können. Der Gerichtshof macht deutlich, dass
die Anwendung der Richtlinie die Regel ist, während ihre
Nichtanwendung die Ausnahme bildet, die nach den allgemeinen Grundsätzen des Gemeinschaftsrechts eng auszulegen ist. Ausgenommen sind daher allein die ausdrücklich in Artikel 3 Abs. 2 der Richtlinie genannten
Bereiche der Gemeinsamen Außen- und Sicherheitspolitik sowie der polizeilichen und justiziellen Zusammenarbeit in Strafsachen. Die verbreitete Auffassung, dass nur
Sachverhalte mit Binnenmarktbezug unter die Richtlinie
fallen, wies der EuGH zurück.
3.2.3
Bestellung des Europäischen
Datenschutzbeauftragten erfolgt
Die Berufung eines Europäischen Datenschutzbeauftragten bringt den Datenschutz in der Europäischen Union
voran.
Der Vorsitzende der Niederländischen Datenschutzkommission Peter J. Hustinx wurde am 22. Dezember 2003
vom Europäischen Parlament und dem Rat der Europäischen Union für eine Amtszeit von fünf Jahren zum ersten Europäischen Datenschutzbeauftragten gewählt und
hat sein neues Amt im Januar 2004 angetreten. Zu seinem
Stellvertreter ebenfalls mit einer Amtszeit von fünf Jahren wurde der Spanier Joaquín Bayo Delgado ernannt.
Der Europäische Datenschutzbeauftragte arbeitet als
gleichberechtigtes Mitglied in der Art. 29-Gruppe mit. Er
– wie auch sein Stellvertreter – übt sein Amt in völliger
Unabhängigkeit aus und nimmt keine Weisungen entgegen. Sein Dienstsitz ist Brüssel. Er hat dem Europäischen
Parlament, dem Rat und der Kommission jährlich einen
Tätigkeitsbericht vorzulegen. Für die Bediensteten seiner
Dienststelle gilt das Statut der Beamten und anderer
BfD
20. Tätigkeitsbericht
2003–2004
Bedienstete der Europäischen Gemeinschaften. Er ist im
Internet unter www.edps.eu.int. präsent.
K a s t e n zu Nr. 3.2.3
Zu den wichtigsten Aufgaben des europäischen Datenschutzbeauftragten gehört die Kontrolle der Verarbeitung personenbezogener Daten durch die Organe und
Einrichtungen der Gemeinschaft. Ferner berät er diese
Organe und Einrichtungen in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen. Er hat
zudem relevante Entwicklungen, sofern sie sich auf den
Schutz personenbezogener Daten auswirken, insbesondere bei der Entwicklung- und Kommunikationstechnologie zu überwachen. Zudem ist er sowohl für Beschwerden von Angehörigen der EU-Institutionen als
auch von Bürgern der Europäischen Union, die sich
durch die Behandlung ihrer persönlichen Daten durch
die Organe und Einrichtungen der EU in ihren Rechten
beeinträchtigt fühlen, zuständig. Es bleibt jedoch den
nationalen Aufsichtsbehörden vorbehalten, Beschwerden von Bürgern der EU über die Verarbeitung ihrer Daten in den Mitgliedstaaten nachzugehen.
Die genaue Tätigkeitsbeschreibung des Europäischen
Datenschutzbeauftragten wurde im Amtsblatt der Europäischen Gemeinschaft (ABL C 224 A vom 20. September 2004) veröffentlicht.
3.2.4
Safe-Harbor-Review
Die Europäische Kommission stellte Mängel bei der
Durchführung des Safe-Harbor-Arrangements fest. Eine
Überprüfung der Auswirkungen der in der Folge der Ereignisse des 11. September 2001 in den USA erlassenen
Gesetze auf Safe Harbor steht noch aus.
Die von den Vereinigten Staaten von Amerika (zu den
USA vgl. Nr. 27.2) initiierte Sondervereinbarung mit der
Europäischen Union zur Sicherstellung eines angemessenen Schutzniveaus für Datenübermittlungen aus der EU
in die USA („Safe Harbor“) war nach der Entscheidung
der Europäischen Kommission vom 26. Juli 2000 zum
1. November desselben Jahres in Kraft getreten (vgl.
18. TB Nr. 2.2.2, zur Funktionsweise von Safe Harbor vgl.
Kasten zu Nr. 3.2.4). Zuvor hatte das Europäische Parlament (EP) mit seiner Entschließung vom 5. Juli 2000 die
Mitgliedstaaten und die Kommission aufgefordert, eine
zu treffende Entscheidung „im Lichte der Erfahrungen
und möglicher künftiger rechtlicher Entwicklungen unverzüglich zu überprüfen“, weshalb in die Kommissionsentscheidung – zur Genugtuung der Art. 29-Gruppe
(vgl. Nr. 3.2.1) – mit Artikel 4 Abs. 1 eine entsprechende
Überprüfungsklausel eingefügt worden war. Eine erste
bewertende Bestandsaufnahme des Safe-Harbor-Arrangements durch die Kommission Anfang 2002 hatte vor allem Resonanzprobleme innerhalb der amerikanischen
Wirtschaft und verbreitete Defizite bei der Transparenz
festgestellt (vgl. 19. TB Nr. 3.7).