Agentur der Europäischen Union für Grundrechte (FRA) MEMO / 7. Mai 2010 Datenschutz in der Europäischen Union: Die Rolle der nationalen Datenschutzbehörden Stärkung des Grundrechtesystems in der Europäischen Union II 72 % der EU-Bürger wissen nicht, dass es in ihrem Land eine nationale Datenschutzbehörde gibt. 1 Die Menschen in der Europäischen Union sind in zunehmendem Maße besorgt um den Schutz ihrer Daten. Es muss sich einiges verbessern in Bezug auf die Unabhängigkeit, Wirksamkeit, Ressourcen und Befugnisse der Datenschutzbehörden. Das Datenschutzsystem hängt von dem Vertrauen der Öffentlichkeit ab, und dazu gehört natürlich das Wissen, dass es diese Behörden gibt. Morten Kjaerum, Direktor der FRA Nationale Datenschutzbehörden Die Europäische Union nimmt beim Schutz personenbezogener Daten eine Vorreiterrolle ein. Die Charta der Grundrechte der Europäischen Union nennt das Recht auf den Schutz personenbezogener Daten als eigenständiges Grundrecht. In den meisten anderen internationalen Abkommen und Erklärungen zu den Menschenrechten wird das Recht auf Datenschutz lediglich als Erweiterung des Rechts auf Schutz der Privatsphäre verstanden. Trotz der fundamentalen Bedeutung und zentralen Rolle des Rechts auf Datenschutz in der EU weist das Datenschutzsystem zahlreiche Mängel auf. Die vorliegende Studie über den Datenschutz befasst sich mit diesen Mängeln in den Mitgliedstaaten. Die Datenschutzstudie bietet einen vergleichenden Überblick und eine Analyse der nationalen Datenschutzbehörden. Der vergleichende Bericht wurde auf der Grundlage der 27 nationalen Studien entwickelt, die von den Rechtsexperten des Forschungsnetzwerks FRALEX durchgeführt wurden. In dem Abschnitt über das Bewusstsein für die Rechte werden Ergebnisse aus dem Eurobarometer und anderen Studien/Erhebungen der Mitgliedstaaten dargestellt, um einen Überblick über das Bewusstsein der Öffentlichkeit für die Rechte im Zusammenhang mit dem Datenschutz zu geben. 1
DIE WICHTIGSTEN ERGEBNISSE Bewusstsein für die Rechte Die Datenschutzrichtlinie regelt die Verarbeitung personenbezogener Daten innerhalb der Europäischen Union. Artikel 8 der Charta der Grundrechte der Europäischen Union erkennt das Grundrecht auf den Schutz personenbezogener Daten ausdrücklich an. Datenschutzbehörden spielen eine wesentliche Rolle dabei, den Menschen in der Europäischen Union die Wahrnehmung ihres Rechts auf Schutz der personenbezogenen Daten zu ermöglichen. Bei einer kürzlich durchgeführten Eurobarometerumfrage 1 wussten sieben von zehn Befragten nicht, dass es in ihrem Land eine Datenschutzbehörde gibt. Die Beteiligung der Datenschutzbehörden an der Öffentlichkeitsarbeit für das Recht auf Datenschutz wirkte sich allgemein positiv aus. In Estland und Rumänien waren die Datenschutzbehörden jedoch an der Öffentlichkeitsarbeit für das Recht auf Datenschutz weniger beteiligt. In Litauen, Bulgarien und der Slowakei haben die Datenschutzbehörden noch keine benutzerfreundlichen und/oder umfassenden und aktuellen Websites eingerichtet, auf denen Bürger auf Informationen in Zusammenhang mit dem Datenschutz zugreifen können. Eingeschränkte Befugnisse Datenschutzbehörden haben oft keine umfassenden Untersuchungs- und Einwirkungsbefugnisse und nicht genügend Kapazität für die Rechtsberatung oder Klageerhebung. In Österreich, Ungarn und Polen haben die Datenschutzbehörden keine Möglichkeit, ihre Entscheidungen durchzusetzen und die Auftragsverarbeiter bzw. die für die Verarbeitung Verantwortlichen zur Beendung ihres rechtswidrigen Verhaltens zu verpflichten. In Belgien und Deutschland können die Datenschutzbehörden nicht die Sperrung, Löschung oder Vernichtung von Daten anordnen, und sie können kein vorläufiges oder endgültiges Verbot einer Verarbeitung verhängen. Im Vereinigten Königreich können die Datenschutzbehörden nicht direkt Klage erheben und/oder selbst eine Entscheidung über die Berechtigung eines Anspruchs treffen. Die Datenschutzbehörden können lediglich eine gütliche Einigung mit denjenigen aushandeln, die gegen Datenschutzbestimmungen verstoßen, sie 1 Data Protection in the European Union: Citizen s Perceptions, Analytical Report. Flash Eurobarometer Nr. 225 (Februar 2008), S. 34. 2
können jedoch kein Gerichtsverfahren einleiten, aufgrund dessen dann eine Strafe oder Entschädigung festgesetzt wird. Gute Beispiele aus der Praxis Slowenien: Die Datenschutzbehörde kann die Verfassungsmäßigkeit von Rechtsvorschriften vom Verfassungsgericht prüfen lassen. Damit wird sie in ihrer Unabhängigkeit und Bedeutung gestärkt. Irland: Die irischen Rechtsvorschriften geben der nationalen Datenschutzbehörde die Befugnis, branchenspezifische Verhaltensregeln vorzuschlagen und auszuarbeiten, die, wenn sie von der Legislative angenommen werden, verbindlichen Charakter haben. Ungarn: Die Bediensteten der nationalen Datenschutzbehörde prüften 2004 in Zusammenarbeit mit der ungarischen Bürgerrechtsorganisation TASZ mehrere Gesundheitsämter, um sicherzustellen, dass HIV-Tests tatsächlich, wie angekündigt, anonym und kostenfrei durchgeführt wurden. Abb. 1: Befugnisse zur Anhörung von Ansprüchen und Klageerhebung Mitgliedstaat Anhörung und Prüfung von Ansprüchen oder Beschwerden Weiterleitung an die Polizei oder Justizbehörde Direkte Klageerhebung bei der Justizbehörde Bulgarien X X X X Direkte Entscheidung über den Anspruch Weiterleitung an nationale Parlamente Belgien X X X X X Tschechische Republik X X X X Dänemark X X X Deutschland X X X 2 X 3 X Estland X X X Griechenland X X X X Spanien X X X Frankreich X X X X Irland X X Italien X X X X Zypern X X X Lettland X X X 2 3 Dies gilt nicht für den deutschen Bundesbeauftragten für den Datenschutz, sondern für die Datenschutzbehörden in den einzelnen Bundesländern. Dies gilt nicht für den deutschen Bundesbeauftragten für den Datenschutz, sondern für die Datenschutzbehörden in den einzelnen Bundesländern. 3
Litauen X X X X Luxemburg X X X X Ungarn X X X Malta X X X X X Niederlande X X X Österreich X X X Polen X X X Portugal X X X Rumänien X X X X Slowenien X X X X Slowakei X X X X Finnland X X X X X Schweden X X X Vereinigtes Königreich X X Mangelnde Einhaltung der Rechtsvorschriften In vielen Mitgliedstaaten wird die grundlegende Pflicht, sich vor Beginn von Datenverarbeitungen bei der Datenschutzbehörde anzumelden, weithin ignoriert. In Österreich, Bulgarien, Frankreich, Litauen, der Tschechischen Republik und Schweden sind in der Praxis die meisten Überwachungskameras nicht angemeldet und unterliegen somit nicht der Überwachung und Kontrolle durch Datenschutzbehörden. Mangelnde Unabhängigkeit Die mangelnde Unabhängigkeit einiger Datenschutzbehörden in der EU von der Regierung ist ein großes Problem in Bezug auf ihre Glaubwürdigkeit. In Litauen, Lettland, Estland, Irland und dem Vereinigten Königreich wurden Bedenken geäußert, ob die Bediensteten der Datenschutzbehörden ihre Aufgaben autonom wahrnehmen können. Häufig wurde dies mit dem Nominierungs-/ Ernennungsverfahren in Zusammenhang gebracht. In Irland kann die Regierung die Datenschutzbeauftragten unmittelbar ihres Amtes entheben. Durch eine Gesetzesreform zur Änderung des Nominierungs-/ Ernennungsverfahrens für Datenschutzbedienstete könnte dieses Problem der mangelnden Unabhängigkeit behoben werden. 4
Mangelnde Ausstattung mit finanziellen Mitteln und Personal In Österreich, Bulgarien, Rumänien, Zypern, Frankreich, Griechenland, Italien, Lettland, den Niederlanden, Portugal und der Slowakei können die Datenschutzbehörden ihre Aufgaben nicht in vollem Umfang wahrnehmen, weil ihnen nur beschränkte finanzielle Mittel und Personal zur Verfügung stehen. Es müssen mehr finanzielle Mittel und mehr Personal für die Datenschutzbehörden bereitgestellt werden. Mangelnde Sanktionen und Entschädigung In Deutschland, Lettland, den Niederlanden, Polen, dem Vereinigten Königreich, Österreich, Frankreich und Ungarn sind die Möglichkeiten der Verfolgung und Bestrafung von Verstößen gegen Datenschutzbestimmungen beschränkt. Die Entschädigung durch privatrechtliche Organisationen bei Verstößen gegen den Datenschutz ist in Finnland, Irland, den Niederlanden, dem Vereinigten Königreich, Zypern, Malta, Polen, Lettland, Estland und Schweden zwar in der Theorie vorgesehen, in der Praxis jedoch nicht vorhanden. Faktoren wie z. B. die Beweislast beim Beschwerdeführer, Schwierigkeiten bei der Quantifizierung des Schadens und die fehlende Unterstützung durch die Datenschutzbehörden machen es sehr schwer, bei Verstößen gegen den Datenschutz eine Entschädigung zu fordern. Es ist eine Gesetzesreform notwendig, um den Datenschutzbehörden eine aktive Rolle in Verfahren zu geben, die zu Sanktionen und Entschädigungen führen. Wenn die Datenschutzbehörden die entsprechenden Befugnisse haben, brauchen sie Ressourcen, um diese Befugnisse wirksam ausüben zu können. Das Entschädigungssystem muss ebenfalls vereinfacht werden, um die Beilegung von Rechtsstreitigkeiten zu vereinfachen, beispielsweise durch Festlegung von Pauschalbeträgen für Entschädigungen (wobei eine Prozesspartei die Art und das Ausmaß des Schadens nicht beweisen muss, sondern nur den Verstoß gegen das geltende Recht). 5
Anmerkungen für die Redaktion Schlüsselbegriffe Datenschutzbehörde: Behörde, die dafür zuständig ist, die Anwendung der nationalen Rechtsvorschriften zur Umsetzung der europäischen Datenschutzrichtlinie 95/46/EG zu überwachen. Für die Verarbeitung Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Datenverarbeiter: Die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Dieser Bericht ist Teil einer Berichtsreihe der Agentur für Grundrechte mit dem Titel Stärkung des Grundrechtesystems in der Europäischen Union. Diese fortlaufende Reihe befasst sich mit den Verfahren, die zur Bekämpfung von Verstößen gegen die Grundrechte in der EU verfügbar sind, stellt gute Beispiele aus der Praxis vor und gibt Empfehlungen zu Bereichen, in denen Verbesserungen stattfinden sollten. Weitere Berichte dieser Reihe: Nationale Menschenrechtsinstitutionen in den EU-Mitgliedstaaten - Stärkung des Grundrechtesystems in der Europäischen Union I Dritter EU-MIDIS-Bericht der Reihe Daten kurz gefasst Rechtsbewusstsein und Gleichbehandlungsstellen Stärkung des Grundrechtesystems in der Europäischen Union III Die Auswirkungen der Richtlinie zur Gleichbehandlung ohne Unterschied der Rasse: Ansichten von Gewerkschaften und Arbeitgebern in der Europäischen Union - Stärkung des Grundrechtesystems in der Europäischen Union IV Weitere Informationen erhalten Sie beim FRA-Medienteam: E-Mail: media@fra.europa.eu Tel.: +43 1 58030-671 Mobil: +43 664 8858 1511 (Blanca Tapia) Alle Berichte der FRA sind auf der Website www.fra.europa.eu verfügbar. 6