26. Februar 2009 - Der DSB und die EG-Datenschutzrichtlinie

EG-Datenschutzrichtlinie: Kein Buch mit sieben Siegeln!

Wer neu als DSB antritt, hört sehr schnell von ihr: die EG-Datenschutzrichtlinie. Wichtig soll sie sein, aber in welcher Hinsicht, das bleibt zunächst oft unklar. Dabei lohnt es sich in vielen Fällen, auf den Internetseiten der EU zu stöbern, beispielsweise wenn Sie Details zur Datenübermittlung an Drittstaaten benötigen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Der Text der EG-Datenschutzrichtlinie ist leicht zu finden, z.B. unter http://eur-lex.europa.eu/

Was heißt das aber für die Praxis?

Der Leser steht allerdings vor den 34 Paragrafen und fragt sich, was sie denn für die Praxis des DSB bedeuten.

Er findet sehr unterschiedliche Bereiche: von „Grundsätzen in Bezug auf die Qualität von Daten“ bis hin zu „Übermittlung personenbezogener Daten in Drittländer“.

Die Richtlinie regelt nur einzelne wichtige Punkte

Die Funktion einer EG-Richtlinie besteht v.a. darin, den nationalen Gesetzgebern in den Mitgliedstaaten Vorgaben für einzelne wichtige Aspekte zu machen.

Daraus folgt, dass sie normalerweise nur bestimmte zentrale Punkte herausgreift. Deshalb wirkt sie auf den ersten Blick lückenhafter als ein Gesetz. Ein Gesetz soll einen Bereich, etwa den Datenschutz, möglichst umfassend regeln.

Eine EG-Richtlinie soll dagegen „nur“ sicherstellen, dass die nationalen Gesetze nicht zu weit voneinander abweichen.

Ausnahmen bestätigen die Regel

Nur ausnahmsweise trifft die Richtlinie auch Regelungen, die keiner Umsetzung durch nationale Gesetze bedürfen.

Das ist v.a. der Fall, wenn sie

  • bestimmte EG-Gremien schafft, etwa die noch zu besprechende Gruppe nach Art. 29 der Richtlinie, oder
  • Verfahrensabläufe auf EG-Ebene festlegt, z.B. die Feststellung eines gleichwertigen Datenschutzes in Drittstatten.

Die Einrichtung „Datenschutzbeauftragter“ hat keinen eigenen Artikel

Nur einige Mitgliedstaaten der EG kennen die Institution des Datenschutzbeauftragten in Unternehmen als eine Einrichtung der Selbstkontrolle.

Das ist der Grund dafür, warum das Thema „DSB“ nicht in einem eigenen Artikel geregelt ist.

DSB oder Meldepflicht!

Es taucht an einer zunächst etwas unerwarteten Stelle auf:

Art. 18 der Richtlinie regelt die Pflicht, die Verarbeitung personenbezogener Daten bei einer staatlichen Stelle zu melden. Prinzipiell ist es also so, dass die Mitgliedstaaten in ihren Datenschutzgesetzen eine solche Pflicht einführen müssen.

Darauf können sie allerdings verzichten, wenn sie per Gesetz festlegen, dass ein Datenschutzbeauftragter zu bestellen ist. Deutschland hat dies für Privatunternehmen in § 4d Abs. 2 BDSG getan.

Ein DSB kann, muss aber nicht sein

Mit dieser Konstruktion wurde erreicht, dass Mitgliedstaaten Datenschutzbeauftragte vorsehen können, aber nicht müssen. Die Alternative wäre die Einführung einer gesetzlichen Meldepflicht. Dies kennen etwa Frankreich oder Großbritannien.

Allerdings gibt es immer mehr Mitgliedstaaten, die DSBs einführen. Frankreich, Luxemburg oder die Niederlande zählen dazu.

Im Detail weichen sie in vielen Punkten vom deutschen Modell ab. Ein Überblick findet sich unter http://ec.europa.eu/.

Die „Gruppe nach Art. 29“ prägt wichtige Entwicklungen

„Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt (…) Die Gruppe ist unabhängig und hat beratende Funktion“.

So lautet Art. 29 Abs. 1 der Richtlinie. Damit wurde eine neue Institution auf europäischer Ebene geschaffen, deren Bedeutung wesentlich größer ist als, es auf den ersten Blick erscheint.

Fakten zur „Gruppe nach Art. 29“
Folgende Stichworte zu dieser Gruppe sollte man kennen:

  • Sie besteht aus Vertretern der Datenschutzaufsichtsbehörden in den Mitgliedstaaten. Für Deutschland nimmt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Vertretung wahr.
  • Die Beratung, von der Art. 29 Abs. 1 spricht, erfolgt gegenüber der Europäischen Kommission.
  • Die Gruppe hat keine Anordnungsbefugnisse. Sie ist auch nicht dazu da, bei einzelnen Beschwerden zu beraten oder gar zu entscheiden.
  • Die Gruppe nimmt ihre Aufgabe v.a. dadurch wahr, dass sie auf Anfrage der Europäischen Kommission Stellung nimmt. Häufiger klärt sie Fragen aber aus eigenem Antrieb.
    Resultierende Dokumente wie Stellungnahmen, Arbeitspapiere usw. sind öffentlich zugänglich.
  • Seit 1997 wurden über 150 Dokumente veröffentlicht.
  • Jeder DSB sollte sie mehrfach im Jahr darauf durchsehen, ob sie seine Branche betreffen. Denn Papiere der Gruppe haben teils erheblichen Einfluss darauf, welche Themen die Europäische Kommission auf dem Gebiet des Datenschutzes aufgreift.

Die Richtlinie regelt den Datenexport in Drittstaaten

Vor allem wenn ein Unternehmen einem Konzern angehört, ist es mittlerweile alltäglich, dass Daten auch in „Drittstatten“ übermittelt werden. Dies sind Staaten, die nicht der Europäischen Union angehören.

Typisch ist etwa der Fall, dass ein Unternehmen in Indien Daten für Unternehmen in Deutschland verarbeitet.

Solche Abläufe sind hinsichtlich des Datenschutzes durchaus heikel. Die EG-Datenschutzrichtlinie bietet v.a. zwei Regelungsinstrumente, die hierbei hilfreich sein können:

1. Feststellung der Gleichwertigkeit des Datenschutzes im Empfängerland

Die Europäische Kommission kann in einem besonderen Verfahren feststellen, dass der Datenschutz in einem bestimmten Staat dem Datenschutz in der Europäischen Union gleichwertig ist.

Dann dürfen Daten dorthin unter denselben Voraussetzungen übermittelt werden, wie sie bei einer Übermittlung innerhalb der EU gelten. Rechtsgrundlage hierfür ist Art. 25 Abs. 6 der Richtlinie.

Zu diesen Staaten gehört z.B. die Schweiz, die ja nach wie vor kein Mitglied der EU ist.

2. Standardvertragsklauseln

Art. 26 Abs. 4 erlaubt es der Kommission, in einem besonderen Verfahren „Standardvertragsklauseln“ (Vertragsmuster) festzulegen.

Werden sie bei der Übermittlung von Daten in Drittländern verwendet, die an sich kein ausreichendes Datenschutzniveau bieten, gilt ein ausreichendes Datenschutzniveau als gewährleistet.

Musterverträge in allen Amtssprachen

Bevor Sie also komplizierte Überlegungen anstellen, unter welchen Voraussetzungen eine Datenübermittlung in ein Drittland möglich sein könnte, lohnt ein Blick ins Internet.

Hier sehen Sie, ob die Kommission vielleicht längst festgestellt hat, dass dort ein gleichwertiger Datenschutz herrscht. Falls das nicht zutrifft, erkennen Sie, ob die Verwendung eines Vertragsmusters weiterhelfen kann.

Die Texte der Musterverträge finden Sie hier. Die Texte sind in allen Amtssprachen verfasst.

Binding Corporate Rules werden derzeit diskutiert, …

Auch die Einführung „verbindlicher unternehmensinterner Datenschutzregelungen“ (Binding Corporate Rules – BCR) kann eine Rechtsgrundlage dafür bieten, dass Daten in Drittländer übermittelt werden dürfen.

Und zwar auch, wenn diese an sich kein ausreichendes Datenschutzniveau aufweisen. So sieht es Art. 26 Abs. 2 der Richtlinie vor.

Das setzt dann allerdings eine besondere Genehmigung der Datenschutzaufsichtsbehörde voraus.

… haben aber noch keine große Bedeutung

In der Praxis hat dieser Weg bisher noch keine große Bedeutung erlangt. Die Gruppe nach Art. 29 versucht jedoch, ihn sehr zu fördern. Daraus ist eine ganze Reihe von Dokumenten entstanden.

Das neueste Dokument stammt aus dem Dezember 2008 und ist bisher nur auf Englisch verfügbar.

Auf der Webseite der EU stöbern!

Der Text der Richtlinie allein zeigt nicht, wie viel die EU auf dem Gebiet des Datenschutzes bewegt.

Jeder DSB sollte deshalb auch ohne besonderen Anlass immer wieder auf der Webseite der EU zum Thema Datenschutz stöbern: http://ec.europa.eu/justice/data-protection/index_de.htm.

Dr. Eugen Ehmann
Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken. Er befasst sich seit über 20 Jahren intensiv mit Fragen des Datenschutzes.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln