Datenschutz: Datenschutzrecht in Europa

In Europa ist durch den europäischen Gesetzgeber in der Richtlinie EG-DSRl (Richtlinie 95/46/EG) der europäische Schutz personenbezogener Daten geregelt worden.

Die EG-DSRl waren so konzipiert, dass diese als einheitlicher Umsatzmaßstab (auf hohem Niveau) dienen sollte. Ausdrücklich sollte durch die Umsetzung dieser Richtlinie in den einzelnen Ländern keine Reduzierung des Schutzniveaus der personenbezogenen Daten stattfinden.

Daneben sind die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) und die Richtlinie über die Vorratsdatenspeicherung (Richtlinie 2006/24/EG) erlassen worden. Letztere sorgt aktuell wieder für sehr viel Gesprächsstoff, da das europäische Parlament Deutschland zu einer entsprechenden Umsetzung bzw. bereits auch jetzt zur Vorratsdatenspeicherung auffordert.

Als ein wesentlicher Unterschied zwischen der EG-DSRl und dem BDSG ist unter anderem die fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nicht-öffentliche Stellen zu nennen. Dies steht jedoch nicht der Umsetzung bzw. der heutigen Regelung im BDSG und der dort vorgenommenen Differenzierung zwischen öffentlichen und privaten Stellen entgegen. Auch erfasst die EG-DSRl gleichermaßen die automatisierte und auch die nicht-automatisierte Verarbeitung. Schließlich liegt der EG-DSRl ein umfassender Begriff der Datenverarbeitung zugrunde, der auch die Datenerhebung und die Nutzung umfasst, was nun auch in § 3 Abs. 3 und Abs. 5 BDSG aufgenommen worden ist.

Die Umsetzung der EG-DSRl erfolgte (trotz Frist bis zum 24.10.1998) erst im Jahre 2001, nachdem bereits gegen Deutschland ein Vertragsverletzungsverfahren durch die Europäische Kommission eingeleitet worden war. Prägend war bereits dort die Aufnahme der Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), sowie des Datenschutzes durch Technik oder eines Datenschutzaudits (§§ 9, 9a BDSG).

Hier lag oder liegt ein großes Problem von Europa! Durch die Richtlinienkompetenz, galten diese Normen nicht unmittelbar und zwingend in den einzelnen EU-Ländern, sondern mussten erst jeweils umgesetzt werden. Allein dies sorgte natürlich für unterschiedliche Schutzniveaus.

Durch den Vertrag von Lissabon (in Kraft getreten am 01.12.2009) gab es noch einmal neue Impulse in Bezug auf das europäische Datenschutzrecht. Zum einen sind die drei Säulen der Europäischen Union, nämlich die Europäische Gemeinschaft (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitestgehend vereinigt worden. Zum anderen regelt Art. 16 Absatz 2 AEUV (Konsolidierte Fassung des Vertrages über die Arbeitsweise der Europäischen Union) nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass sowohl vom Parlament als auch vom Rat Datenschutzvorschriften im ordentlichen Gesetzgebungsverfahren erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und somit dessen Kompetenzen erheblich vergrößert.

Inhaltlich ist eine Erweiterung durch den Vertrag von Lissabon insoweit eingetreten, als dass die EU nun auch Regelungen aufstellen kann, die nicht nur für die Verarbeitung personenbezogener Daten für die europäischen Organe und Einrichtungen gelten, sondern auch für die Mitgliedstaaten. Zudem ist mit dem Vertrag von Lissabon die Europäische Grundrechte-Charta für alle Staaten (bis auf Großbritannien und Polen) rechtsverbindlich geworden, die in Art. 8 das Grundrecht des Schutzes personenbezogener Daten enthält.

 

Durch den Vertrag von Lissabon ist es Europa möglich geworden, selbst Datenschutzverordnungen zu erlassen, die sodann unmittelbar und zwingend in allen europäischen Ländern gelten.

Dies wird aktuell durch eine neue EU Datenschutzverordnung geplant. Ein erster Entwurf / Vorschlag ist am 25.1.2012 vorgelegt worden. 

Weitere Hinweise zur EU-Datenschutzverordnung finden Sie hier.