RSS
Alphabetischer Index
Diese Seite steht in 23 Sprachen zur Verfügung
Neue Sprachen:  BG - CS - ET - GA - LV - LT - HU - MT - PL - RO - SK - SL

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Schutz von personenbezogenen Daten

Auf europäischer Ebene ist die Richtlinie 95/46/EG der Bezugstext im Zusammenhang mit dem Schutz personenbezogener Daten. Mit dieser Richtlinie wird ein Regelungsrahmen eingeführt, der darauf abzielt, ein Gleichgewicht zwischen einem hohen Schutz der Privatsphäre und dem freien Verkehr personenbezogener Daten innerhalb der Europäischen Union (EU) zu schaffen. Zu diesem Zweck sieht die Richtlinie strenge Beschränkungen für die Erhebung und Verwertung personenbezogener Daten vor und fordert, in den einzelnen Mitgliedstaaten eine unabhängige nationale Stelle einzurichten, deren Aufgabe der Schutz dieser Daten ist.

RECHTSAKT

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [Amtsblatt L 281 vom 23.11.1995] [Vgl. ändernde Rechtsakte].

ZUSAMMENFASSUNG

Diese Richtlinie findet auf automatisch verarbeitete Daten (beispielsweise in einer Kundendatenbank) sowie auf Daten Anwendung, die in einer nicht automatisierten Datei enthalten sind oder für eine solche Datei bestimmt sind (herkömmliche papiergestützte Dateien).

Die Richtlinie findet keine Anwendung auf die Verarbeitung von Daten,

  • die von einer natürlichen Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird,
  • die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, wie die öffentliche Sicherheit, die Landesverteidigung oder die Staatssicherheit.

Die Richtlinie zielt darauf ab, die Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten durch die Festlegung von Grundprinzipien für die Rechtmäßigkeit dieser Verarbeitungen zu schützen. Diese Grundsätze betreffen:

  • die Qualität der Daten: Personenbezogene Daten müssen insbesondere nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden und für festgelegte eindeutige und rechtmäßige Zwecke erhoben werden. Sie müssen ferner sachlich richtig und gegebenenfalls auf den neuesten Stand gebracht sein;
  • die Zulässigkeit der Verarbeitung von Daten: Die Verarbeitung personenbezogener Daten darf lediglich erfolgen, wenn die betreffende Person ohne jeden Zweifel ihre Zustimmung gegeben hat oder wenn die Verarbeitung aus einem der folgenden Gründe erforderlich ist:
    1. Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
    2. Erfüllung einer rechtlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt,
    3. Wahrung lebenswichtiger Interessen der betroffenen Person,
    4. Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt,
    5. Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird;
  • die besonderen Kategorien der Verarbeitung: Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben, ist zu untersagen. Für diese Bestimmung gelten Einschränkungen, wenn beispielsweise die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist oder aus Gründen der Gesundheitsvorsorge und der medizinischen Diagnostik;
  • die Information der von der Datenverarbeitung betroffenen Personen: Der für die Verarbeitung Verantwortliche muss der Person, bei der die sie betreffenden Daten erhoben werden, bestimmte Angaben machen (Identität des für die Verarbeitung Verantwortlichen, Zweckbestimmungen der Verarbeitung, Empfänger der Daten usw.);
  • das Zugangsrecht dieser Personen zu den Daten: Jede betroffene Person muss das Recht haben, vom für die Verarbeitung Verantwortlichen Folgendes zu erhalten:
    1. die Bestätigung, dass es Verarbeitungen sie betreffender Daten gibt oder nicht gibt und die Mitteilung über die Daten, die Gegenstand der Verarbeitung sind,
    2. die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind, sowie die Benachrichtigung von Dritten, denen diese Daten übermittelt wurden, über die vorgenommenen Änderungen;
  • die Ausnahmen und Einschränkungen: Für die Bestimmungen bezüglich der Qualität der Daten, der Information der betroffenen Person, des Zugangsrechts und der Veröffentlichung der verarbeiteten Daten können Beschränkungen auferlegt werden, wenn dies unter anderem notwendig ist für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, die Verfolgung von Straftaten, ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union oder den Schutz der betroffenen Person;
  • das Widerspruchsrecht gegen die Verarbeitung von Daten: Die betroffene Person muss das Recht haben, aus berechtigten Gründen Widerspruch gegen eine Verarbeitung der sie betreffenden Daten einzulegen. Sie muss ferner auf Antrag kostenfrei gegen eine beabsichtigte Verarbeitung sie betreffender Daten für Zwecke der Direktwerbung Widerspruch einlegen können. Sie muss schließlich vor der Weitergabe von Daten an Dritte zu Zwecken der Direktwerbung informiert werden und auf das Recht hingewiesen werden, gegen eine solche Weitergabe Widerspruch einlegen zu können;
  • die Vertraulichkeit und Sicherheit der Verarbeitung: Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Der für die Verarbeitung Verantwortliche muss darüber hinaus die für den Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang geeigneten Maßnahmen ergreifen;
  • die Meldepflicht der Verarbeitungen bei einer Kontrollstelle: Der für die Verarbeitung Verantwortliche hat vor der Durchführung der Verarbeitung bei der nationalen Kontrollstelle eine entsprechende Meldung zu machen. Nach Eingang der Meldung prüft die Kontrollstelle vorab, ob Risiken für die Rechte und Freiheiten der betroffenen Personen bestehen. Die Öffentlichkeit der Verarbeitungen muss sichergestellt sein, und die Kontrollstellen sind zur Führung eines Verzeichnisses der gemeldeten Verarbeitungen verpflichtet.

Jede Person muss bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen können. Außerdem muss jede Person, der wegen einer rechtswidrigen Verarbeitung ihrer personenbezogenen Daten ein Schaden entsteht, das Recht auf Schadenersatz haben.

Die Übermittlungen personenbezogener Daten aus einem Mitgliedstaat in ein Drittland mit einem angemessenen Schutzniveau sind zulässig. In ein Drittland, das nicht über ein derartiges Schutzniveau verfügt, dürfen sie allerdings - außer in aufgelisteten Ausnahmen - nicht erfolgen.

Die Richtlinie soll die Ausarbeitung einzelstaatlicher und gemeinschaftlicher Verhaltensregeln fördern, die einen Beitrag zur ordnungsgemäßen Durchführung der einzelstaatlichen und gemeinschaftlichen Bestimmungen leisten sollen.

Jeder Mitgliedstaat sieht eine oder mehrere unabhängige Behörden vor, die beauftragt sind, die Durchführung der von den Mitgliedstaaten in Anwendung dieser Richtlinie erlassenen Bestimmungen in seinem Hoheitsgebiet zu überwachen.

Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt, die sich aus Vertretern der einzelstaatlichen Kontrollstellen, Vertretern der Kontrollstellen der Institutionen und Organe der Gemeinschaft und einem Vertreter der Kommission zusammensetzt.

BEZUG

RechtsaktDatum des InkrafttretensTermin für die Umsetzung in den MitgliedstaatenAmtsblatt
Richtlinie 95/46/EG

13.12.1995

24.10.1998

ABl. L 281 vom 23.11.1995

Ändernde(r) Rechtsakt(e)Datum des InkrafttretensTermin für die Umsetzung in den MitgliedstaatenAmtsblatt
Verordnung (EG) Nr.1882/2003

20.11.2003

-

Abl. L 284 vom 31.10.2003

Die im Nachhinein vorgenommen Änderungen und Berichtigungen der Richtlinie 95/46/EG wurden in den Grundlagentext eingefügt. Diese konsolidierte Fassung  hat ausschließlich dokumentarischen Charakter.

VERBUNDENE RECHTSAKTE

DURCHFÜHRUNGSBERICHT

Mitteilung der Kommission an das Europäische Parlament und an den Rat vom 7. März 2007: „Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie" [KOM(2007) 87 endg. - Nicht im Amtsblatt veröffentlicht]
Die vorliegende Mitteilung untersucht die Arbeiten im Rahmen des im ersten Bericht über die Durchführung der Richtlinie 95/46/EG enthaltenen Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie. Die Kommission stellt fest, dass sich die Durchführung verbessert hat, da alle Mitgliedstaaten die Richtlinie jetzt umgesetzt haben. Nach ihrer Ansicht muss die Richtlinie derzeit nicht geändert werden.

Sie fügt hinzu, dass sie:

  • ihre Arbeiten mit den Mitgliedstaaten fortsetzen wird und gegebenenfalls das förmliche Vertragsverletzungsverfahren einleiten wird,
  • eine Auslegungsmitteilung zu einigen Bestimmungen der Richtlinie ausarbeiten wird,
  • die Durchführung des Arbeitsprogramms fortsetzen wird,
  • im Falle einer bedeutenden technologischen Entwicklung in einem bestimmten Bereich bereichsspezifische EU-Vorschriften vorschlagen wird,
  • ihre Zusammenarbeit mit externen Partnern wie insbesondere den USA fortsetzen wird.

Bericht der Kommission vom 15. Mai 2003: Erster Bericht über die Durchführung der Datenschutzrichtlinie [KOM(2003) 265 endg. - Nicht im Amtsblatt veröffentlicht]
In dem Bericht sind insbesondere die Ergebnisse einer breit angelegten Konsultation der Kommission über die Bewertung der Richtlinie 95/46/EG von Regierungen, Institutionen, Unternehmens- und Verbraucherverbänden und Bürgern enthalten. Aus den Ergebnissen der Konsultation geht hervor, dass sich nur wenige Befragte für eine Überarbeitung der Richtlinie ausgesprochen haben. Außerdem hat die Kommission nach der Konsultation der Mitgliedstaaten festgestellt, dass eine Mehrheit der Mitgliedstaaten und auch der nationalen Datenschutzbehörden eine Änderung der Richtlinie in diesem Stadium nicht für notwendig erachtet.

Trotz der Verzögerungen und der Mängel bei der Umsetzung wurde das Hauptziel der Richtlinie erreicht, namentlich der Abbau von Hindernissen, die dem freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten im Wege stehen. Die Kommission ist im Übrigen der Meinung, dass das Ziel, ein hohes Schutzniveau in der Gemeinschaft zu gewährleisten, erreicht wurde, da mit der Richtlinie bestimmte Datenschutzstandards festgeschrieben wurden, die zu den höchsten weltweit gehören.

Bei anderen Zielen der Binnenmarktpolitik hingegen fällt die Bilanz schlechter aus. Die Rechtsvorschriften für den Datenschutz weisen von Mitgliedstaat zu Mitgliedstaat nach wie vor deutliche Unterschiede auf. Diese Unterschiede hindern multinationale Einrichtungen daran, gesamteuropäische Datenschutzstrategien zu entwickeln. Die Kommission wird auch alles tun, was notwendig ist, um Verbesserungen dieser Situation herbeizuführen, nach Möglichkeit jedoch ohne den offiziellen Weg zu beschreiten.

Generell kann in Bezug auf die Einhaltung der Rechtsvorschriften über den Datenschutz in der EU auf drei Problembereiche hingewiesen werden:

  • Bereitstellung unzureichender Ressourcen für die Durchführung,
  • sehr uneinheitliche Einhaltung durch die für die Datenverarbeitung Verantwortlichen,
  • ein offenbar niedriger Kenntnisstand der betroffenen Personen über ihre Rechte, was Ursache des vorhergehenden Problemfelds sein könnte.

Mit dem Ziel, eine bessere Durchführung der Datenschutzrichtlinie sicherzustellen, hat die Kommission ein Arbeitsprogramm angenommen, das einige Maßnahmen beinhaltet, die zwischen der Annahme des vorliegenden Berichts und Ende 2004 durchgeführt werden sollten. Hierzu gehören die folgenden Initiativen:

  • Erörterungen mit den Mitgliedstaaten und den Datenschutzbehörden von Änderungen der jeweiligen nationalen Rechtsvorschriften, um die nationalen Rechtsvorschriften voll mit den Anforderungen der Richtlinie in Einklang zu bringen;
  • Einbeziehung der Beitrittsländer in die Bemühungen um eine bessere und einheitlichere Durchführung der Richtlinie;
  • Verbesserung der Mitteilung aller Rechtsvorschriften zur Umsetzung der Richtlinie;
  • Vereinfachung der Anforderungen für internationale Übermittlungen;
  • Förderung von Technologien zur Verbesserung des Datenschutzes;
  • Förderung von Selbstregulierung und von europäischen Verhaltenskodizes.

DATENSCHUTZRICHTLINIE FÜR ELEKTRONISCHE KOMMUNIKATION

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation („Datenschutzrichtlinie für elektronische Kommunikation") [Amtsblatt L 201 vom 31. Juli 2002]
Diese Richtlinie wurde im Jahre 2002 zusammen mit einem neuen Rechtsinstrument verabschiedet, das die Rahmenbedingungen für den Bereich der elektronischen Kommunikation festlegen sollte. Sie enthält Bestimmungen zu einigen mehr oder weniger sensiblen Aspekten, unter anderem die Aufbewahrung von Verbindungsdaten durch die Mitgliedstaaten zum Zwecke der Strafverfolgung (Speicherung der Daten), die elektronische Übermittlung unerbetener Nachrichten, die Platzierung so genannter Cookies und die Aufnahme personenbezogener Daten in öffentliche Verzeichnisse.

STANDARDKLAUSELN FÜR DIE ÜBERMITTLUNG VON DATEN AN DRITTLÄNDER

Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer [Amtsblatt L 385 vom 29.12.2004]
Die Europäische Kommission hat einen neuen Standardvertrag genehmigt, der es Unternehmen ermöglicht, ein angemessenes Datenschutzniveau zu gewährleisten, wenn sie personenbezogene Daten aus der EU in Nicht-EU-Länder übermitteln. Der neue Standardvertrag kommt zu dem Standardvertrag hinzu, der mit der Kommissionsentscheidung vom Juni 2001 eingeführt wurde (siehe unten).

Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG [Amtsblatt L 181 vom 4.7. 2001]
Mit dieser Entscheidung werden Standardvertragsklauseln festgelegt, die angemessene Garantien für die Übermittlung personenbezogener Daten aus der EU in Drittländer gewährleisten. Aufgrund dieser Entscheidung müssen die Mitgliedstaaten anerkennen, dass Unternehmen oder Organisationen, die solche Standardklauseln in Verträgen über die Übermittlung personenbezogener Daten in Drittländer anwenden, einen „angemessenen Schutz" der Daten gewährleisten.

SCHUTZ PERSONENBEZOGENER DATEN DURCH DIE ORGANE UND EINRICHTUNGEN DER GEMEINSCHAFT

Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr [Amtsblatt L 8 vom 12.1.2001]
Mit der Verordnung soll der Schutz personenbezogener Daten in den Einrichtungen und Organen der Europäischen Union gewährleistet werden. Die Verordnung:

  • enthält Bestimmungen, die ein hohes Schutzniveau für personenbezogene Daten sicherstellen sollen, welche von den Gemeinschaftseinrichtungen und -organen verarbeitet werden;
  • sieht die Einrichtung einer unabhängigen Kontrollinstanz vor, die die Anwendung dieser Vorschriften überwacht.
Letzte Änderung: 01.02.2011
Rechtlicher Hinweis | Über diese Website | Suche | Kontakt | Seitenanfang