Kapitel II: Allgemeine Bedingungen für die
Rechtmäßigkeit der Verarbeitung personenbezogener Daten
Abschnitt I: Grundsätze in Bezug auf die
Qualität der Daten
Artikel 6
DAS EUROPÄISCHE PARLAMENT
UND DER RAT DER EUROPÄISCHEN UNION –
gestützt auf den Vertrag
zur Gründung der Europäischen Gemeinschaft, insbesondere auf
Artikel 100a,
auf Vorschlag der Kommission
,
nach Stellungnahme des
Wirtschafts- und Sozialausschusses
,
gemäß dem Verfahren
des Artikels 189b des Vertrags
,
in Erwägung nachstehender
Gründe:
(1) Die Ziele der
Gemeinschaft, wie sie in dem durch den Vertrag über die Europäische
Union geänderten Vertrag festgelegt sind, bestehen darin, einen immer
engeren Zusammenschluss der europäischen Völker zu schaffen, engere
Beziehungen zwischen den in der Gemeinschaft zusammengeschlossenen Staaten
herzustellen, durch gemeinsames Handeln den wirtschaftlichen und sozialen
Fortschritt zu sichern, indem die Europa trennenden Schranken beseitigt werden,
die ständige Besserung der Lebensbedingungen ihrer Völker zu
fördern, Frieden und Freiheit zu wahren und zu festigen und für die
Demokratie einzutreten und sich dabei auf die in den Verfassungen und Gesetzen
der Mitgliedstaaten sowie in der Europäischen Konvention zum Schutze der
Menschenrechte und Grundfreiheiten anerkannten Grundrechte zu
stützen.
(2) Die
Datenverarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet
der Staatsangehörigkeit oder des Wohnorts der natürlichen Personen,
deren Grundrechte und -freiheiten und insbesondere deren Privatsphäre zu
achten und zum wirtschaftlichen und sozialen Fortschritt, zur Entwicklung des
Handels sowie zum Wohlergehen der Menschen beizutragen.
(3) Für die
Errichtung und das Funktionieren des Binnenmarktes, der gemäß
Artikel 7a des Vertrags den freien Verkehr von Waren, Personen,
Dienstleistungen und Kapital gewährleisten soll, ist es nicht nur
erforderlich, dass personenbezogene Daten von einem Mitgliedstaat in einen
anderen Mitgliedstaat übermittelt werden können, sondern auch, dass
die Grundrechte der Personen gewahrt werden.
(4) Immer häufiger
werden personenbezogene Daten in der Gemeinschaft in den verschiedenen
Bereichen wirtschaftlicher und sozialer Tätigkeiten verarbeitet. Die
Fortschritte der Informationstechnik erleichtern die Verarbeitung und den
Austausch dieser Daten beträchtlich.
(5) Die wirtschaftliche
und soziale Integration, die sich aus der Errichtung und dem Funktionieren des
Binnenmarktes im Sinne von Artikel 7a des Vertrags ergibt, wird
notwendigerweise zu einer spürbaren Zunahme der grenzüberschreitenden
Ströme personenbezogener Daten zwischen allen am wirtschaftlichen und
sozialen Leben der Mitgliedstaaten Beteiligten im öffentlichen wie im
privaten Bereich führen. Der Austausch personenbezogener Daten zwischen in
verschiedenen Mitgliedstaaten niedergelassenen Unternehmen wird zunehmen. Die
Verwaltungen der Mitgliedstaaten sind aufgrund des Gemeinschaftsrechts
gehalten, zusammenzuarbeiten und untereinander personenbezogene Daten
auszutauschen, um im Rahmen des Raums ohne Grenzen, wie er durch den
Binnenmarkt hergestellt wird, ihren Auftrag erfüllen oder Aufgaben
anstelle der Behörden eines anderen Mitgliedstaats durchführen zu
können.
(6) Die verstärkte
wissenschaftliche und technische Zusammenarbeit sowie die koordinierte
Einführung neuer Telekommunikationsnetze in der Gemeinschaft erfordern und
erleichtern den grenzüberschreitenden Verkehr personenbezogener
Daten.
(7) Das unterschiedliche
Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der
Privatsphäre, bei der Verarbeitung personenbezogener Daten in den
Mitgliedstaaten kann die Übermittlung dieser Daten aus dem Gebiet eines
Mitgliedstaats in das Gebiet eines anderen Mitgliedstaats verhindern. Dieses
unterschiedliche Schutzniveau kann somit ein Hemmnis für die Ausübung
einer Reihe von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen,
den Wettbewerb verfälschen und die Erfüllung des Auftrags der im
Anwendungsbereich des Gemeinschaftsrechts tätigen Behörden
verhindern. Dieses unterschiedliche Schutzniveau ergibt sich aus der
Verschiedenartigkeit der einzelstaatlichen Rechts- und
Verwaltungsvorschriften.
(8) Zur Beseitigung der
Hemmnisse für den Verkehr personenbezogener Daten ist ein gleichwertiges
Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der
Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich.
Insbesondere unter Berücksichtigung der großen Unterschiede, die
gegenwärtig zwischen den einschlägigen einzelstaatlichen
Rechtsvorschriften bestehen, und der Notwendigkeit, die Rechtsvorschriften der
Mitgliedstaaten zu koordinieren, damit der grenzüberschreitende Fluss
personenbezogener Daten kohärent und in Übereinstimmung mit dem Ziel
des Binnenmarktes im Sinne des Artikels 7a des Vertrags geregelt wird,
lässt sich dieses für den Binnenmarkt grundlegende Ziel nicht allein
durch das Vorgehen der Mitgliedstaaten verwirklichen. Deshalb ist eine
Maßnahme der Gemeinschaft zur Angleichung der Rechtsvorschriften
erforderlich.
(9) Die Mitgliedstaaten
dürfen aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung
der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr
personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern,
die den Schutz der Rechte und Freiheiten natürlicher Personen und
insbesondere das Recht auf die Privatsphäre betreffen. Die Mitgliedstaaten
besitzen einen Spielraum, der im Rahmen der Durchführung der Richtlinie
von den Wirtschafts- und Sozialpartnern genutzt werden kann. Sie können
somit in ihrem einzelstaatlichen Recht allgemeine Bedingungen für die
Rechtmäßigkeit der Verarbeitung festlegen. Hierbei streben sie eine
Verbesserung des gegenwärtig durch ihre Rechtsvorschriften gewährten
Schutzes an. Innerhalb dieses Spielraums können unter Beachtung des
Gemeinschaftsrechts Unterschiede bei der Durchführung der Richtlinie
auftreten, was Auswirkungen für den Datenverkehr sowohl innerhalb eines
Mitgliedstaats als auch in der Gemeinschaft haben kann.
(10) Gegenstand der
einzelstaatlichen Rechtsvorschriften über die Verarbeitung
personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte
und -freiheiten, insbesondere des auch in Artikel 8 der Europäischen
Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den
allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die
Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht
zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes
führen, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein
hohes Schutzniveau sicherzustellen.
(11) Die in dieser
Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten der
Personen, insbesondere der Achtung der Privatsphäre, konkretisieren und
erweitern die in dem Übereinkommen des Europarats vom 28. Januar 1981
zum Schutze der Personen bei der automatischen Verarbeitung personenbezogener
Daten enthaltenen Grundsätze.
(12) Die Schutzprinzipien
müssen für alle Verarbeitungen personenbezogener Daten gelten, sobald
die Tätigkeiten des für die Verarbeitung Verantwortlichen in den
Anwendungsbereich des Gemeinschaftsrechts fallen. Auszunehmen ist die
Datenverarbeitung, die von einer natürlichen Person in Ausübung
ausschließlich persönlicher oder familiärer Tätigkeiten
– wie zum Beispiel Schriftverkehr oder Führung von
Anschriftenverzeichnissen – vorgenommen wird.
(13) Die in den Titeln V
und VI des Vertrags über die Europäische Union genannten
Tätigkeiten, die die öffentliche Sicherheit, die Landesverteidigung,
die Sicherheit des Staates oder die Tätigkeiten des Staates im Bereich des
Strafrechts betreffen, fallen unbeschadet der Verpflichtungen der
Mitgliedstaaten gemäß Artikel 56 Absatz 2 sowie
gemäß den Artikeln 57 und 100a des Vertrags zur Gründung
der Europäischen Gemeinschaft nicht in den Anwendungsbereich des
Gemeinschaftsrechts. Die Verarbeitung personenbezogener Daten, die zum Schutz
des wirtschaftlichen Wohls des Staates erforderlich ist, fällt nicht unter
diese Richtlinie, wenn sie mit Fragen der Sicherheit des Staates
zusammenhängt.
(14) In Anbetracht der
Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit der
Informationsgesellschaft bezüglich Techniken der Erfassung,
Übermittlung, Veränderung, Speicherung, Aufbewahrung oder Weitergabe
von personenbezogenen Ton- und Bilddaten muss diese Richtlinie auch auf die
Verarbeitung dieser Daten Anwendung finden.
(15) Die Verarbeitung
solcher Daten wird von dieser Richtlinie nur erfasst, wenn sie automatisiert
erfolgt oder wenn die Daten, auf die sich die Verarbeitung bezieht, in Dateien
enthalten oder für solche bestimmt sind, die nach bestimmten
personenbezogenen Kriterien strukturiert sind, um einen leichten Zugriff auf
die Daten zu ermöglichen.
(16) Die Verarbeitung von
Ton- und Bilddaten, wie bei der Videoüberwachung, fällt nicht unter
diese Richtlinie, wenn sie für Zwecke der öffentlichen Sicherheit,
der Landesverteidigung, der Sicherheit des Staates oder der Tätigkeiten
des Staates im Bereich des Strafrechts oder anderen Tätigkeiten erfolgt,
die nicht unter das Gemeinschaftsrecht fallen.
(17) Bezüglich der
Verarbeitung von Ton- und Bilddaten für journalistische, literarische oder
künstlerische Zwecke, insbesondere im audiovisuellen Bereich, finden die
Grundsätze dieser Richtlinie gemäß Artikel 9
eingeschränkt Anwendung.
(18) Um zu vermeiden, dass
einer Person der gemäß dieser Richtlinie gewährleistete Schutz
vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte
Verarbeitung personenbezogener Daten die Rechtsvorschriften eines
Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die
von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die
Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die
Rechtsvorschriften dieses Staates anzuwenden.
(19) Eine Niederlassung im
Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche
Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die
Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle
sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn der
Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist,
insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen
sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen
einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das
auf ihre jeweiligen Tätigkeiten anwendbar ist.
(20) Die Niederlassung des
für die Verarbeitung Verantwortlichen in einem Drittland darf dem Schutz
der Personen gemäß dieser Richtlinie nicht entgegenstehen. In diesem
Fall sind die Verarbeitungen dem Recht des Mitgliedstaats zu unterwerfen, in
dem sich die für die betreffenden Verarbeitungen verwendeten Mittel
befinden, und Vorkehrungen zu treffen, um sicherzustellen, dass die in dieser
Richtlinie vorgesehenen Rechte und Pflichten tatsächlich eingehalten
werden.
(21) Diese Richtlinie
berührt nicht die im Strafrecht geltenden
Territorialitätsregeln.
(22) Die Mitgliedstaaten
können in ihren Rechtsvorschriften oder bei der Durchführung der
Vorschriften zur Umsetzung dieser Richtlinie die allgemeinen Bedingungen
präzisieren, unter denen die Verarbeitungen rechtmäßig sind.
Insbesondere nach Artikel 5 in Verbindung mit den Artikeln 7 und 8
können die Mitgliedstaaten neben den allgemeinen Regeln besondere
Bedingungen für die Datenverarbeitung in spezifischen Bereichen und
für die verschiedenen Datenkategorien gemäß Artikel 8
vorsehen.
(23) Die Mitgliedstaaten
können den Schutz von Personen sowohl durch ein allgemeines Gesetz zum
Schutz von Personen bei der Verarbeitung personenbezogener Daten als auch durch
gesetzliche Regelungen für bestimmte Bereiche, wie zum Beispiel die
statistischen Ämter, sicherstellen.
(24) Diese Richtlinie
berührt nicht die Rechtsvorschriften zum Schutz juristischer Personen bei
der Verarbeitung von Daten, die sich auf sie beziehen.
(25) Die Schutzprinzipien
finden zum einen ihren Niederschlag in den Pflichten, die den Personen,
Behörden, Unternehmen, Geschäftsstellen oder anderen für die
Verarbeitung verantwortlichen Stellen obliegen; diese Pflichten betreffen
insbesondere die Datenqualität, die technische Sicherheit, die Meldung bei
der Kontrollstelle und die Voraussetzungen, unter denen eine Verarbeitung
vorgenommen werden kann. Zum anderen kommen sie zum Ausdruck in den Rechten der
Personen, deren Daten Gegenstand von Verarbeitungen sind, über diese
informiert zu werden, Zugang zu den Daten zu erhalten, ihre Berichtigung
verlangen bzw. unter gewissen Voraussetzungen Widerspruch gegen die
Verarbeitung einlegen zu können.
(26) Die Schutzprinzipien
müssen für alle Informationen über eine bestimmte oder
bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist,
sollten alle Mittel berücksichtigt werden, die vernünftigerweise
entweder von dem Verantwortlichen für die Verarbeitung oder von einem
Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.
Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert
sind, dass die betroffene Person nicht mehr identifizierbar ist. Die
Verhaltensregeln im Sinne des Artikels 27 können ein nützliches
Instrument sein, mit dem angegeben wird, wie sich die Daten in einer Form
anonymisieren und aufbewahren lassen, die die Identifizierung der betroffenen
Person unmöglich macht.
(27) Datenschutz muss
sowohl für automatisierte als auch für nicht automatisierte
Verarbeitungen gelten. In der Tat darf der Schutz nicht von den verwendeten
Techniken abhängen, da andernfalls ernsthafte Risiken der Umgehung
entstehen würden. Bei manuellen Verarbeitungen erfasst diese Richtlinie
lediglich Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muss der
Inhalt einer Datei nach bestimmten personenbezogenen Kriterien strukturiert
sein, die einen leichten Zugriff auf die Daten ermöglichen. Nach der
Definition in Artikel 2 Buchstabe c) können die Mitgliedstaaten
die Kriterien zur Bestimmung der Elemente einer strukturierten Sammlung
personenbezogener Daten sowie die verschiedenen Kriterien zur Regelung des
Zugriffs zu einer solchen Sammlung festlegen. Akten und Aktensammlungen sowie
ihre Deckblätter, die nicht nach bestimmten Kriterien strukturiert sind,
fallen unter keinen Umständen in den Anwendungsbereich dieser
Richtlinie.
(28) Die Verarbeitung
personenbezogener Daten muss gegenüber den betroffenen Personen nach Treu
und Glauben erfolgen. Sie hat den angestrebten Zweck zu entsprechen, dafür
erheblich zu sein und nicht darüber hinauszugehen. Die Zwecke müssen
eindeutig und rechtmäßig sein und bei der Datenerhebung festgelegt
werden. Die Zweckbestimmungen der Weiterverarbeitung nach der Erhebung
dürfen nicht mit den ursprünglich festgelegten Zwecken unvereinbar
sein.
(29) Die
Weiterverarbeitung personenbezogener Daten für historische, statistische
oder wissenschaftliche Zwecke ist im Allgemeinen nicht als unvereinbar mit den
Zwecken der vorausgegangenen Datenerhebung anzusehen, wenn der Mitgliedstaat
geeignete Garantien vorsieht. Diese Garantien müssen insbesondere
ausschließen, dass die Daten für Maßnahmen oder Entscheidungen
gegenüber einzelnen Betroffenen verwendet werden.
(30) Die Verarbeitung
personenbezogener Daten ist nur dann rechtmäßig, wenn sie auf der
Einwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf
den Abschluss oder die Erfüllung eines für die betroffene Person
bindenden Vertrags, zur Erfüllung einer gesetzlichen Verpflichtung, zur
Wahrnehmung einer Aufgabe im öffentlichen Interesse, in Ausübung
hoheitlicher Gewalt oder wenn sie im Interesse einer anderen Person
erforderlich ist, vorausgesetzt, dass die Interessen oder die Rechte und
Freiheiten der betroffenen Person nicht überwiegen. Um den Ausgleich der
in Frage stehenden Interessen unter Gewährleistung eines effektiven
Wettbewerbs sicherzustellen, können die Mitgliedstaaten insbesondere die
Bedingungen näher bestimmen, unter denen personenbezogene Daten bei
rechtmäßigen Tätigkeiten im Rahmen laufender Geschäfte von
Unternehmen und anderen Einrichtungen an Dritte weitergegeben werden
können. Ebenso können sie die Bedingungen festlegen, unter denen
personenbezogene Daten an Dritte zum Zweck der kommerziellen Werbung oder der
Werbung von Wohltätigkeitsverbänden oder anderen Vereinigungen oder
Stiftungen, z. B. mit politischer Ausrichtung, weitergegeben werden
können, und zwar unter Berücksichtigung der Bestimmungen dieser
Richtlinie, nach denen betroffene Personen ohne Angabe von Gründen und
ohne Kosten Widerspruch gegen die Verarbeitung von Daten, die sie betreffen,
erheben können.
(31) Die Verarbeitung
personenbezogener Daten ist ebenfalls als rechtmäßig anzusehen, wenn
sie erfolgt, um ein für das Leben der betroffenen Person wesentliches
Interesse zu schützen.
(32) Es ist nach
einzelstaatlichem Recht festzulegen, ob es sich bei dem für die
Verarbeitung Verantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut
wurde, die im öffentlichen Interesse liegt oder in Ausübung
hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das
öffentliche Recht oder das Privatrecht fallende Person, wie beispielsweise
eine Berufsvereinigung, handeln soll.
(33) Daten, die aufgrund
ihrer Art geeignet sind, die Grundfreiheiten oder die Privatsphäre zu
beeinträchtigen, dürfen nicht ohne ausdrückliche Einwilligung
der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot
müssen ausdrücklich vorgesehen werden bei spezifischen
Notwendigkeiten, insbesondere wenn die Verarbeitung dieser Daten für
gewisse auf das Gesundheitswesen bezogene Zwecke von Personen vorgenommen wird,
die nach dem einzelstaatlichen Recht dem Berufsgeheimnis unterliegen, oder wenn
die Verarbeitung für berechtigte Tätigkeiten bestimmter Vereinigungen
oder Stiftungen vorgenommen wird, deren Ziel es ist, die Ausübung von
Grundfreiheiten zu ermöglichen.
(34) Die Mitgliedstaaten
können, wenn dies durch ein wichtiges öffentliches Interesse
gerechtfertigt ist, Ausnahmen vom Verbot der Verarbeitung sensibler
Datenkategorien vorsehen in Bereichen wie dem öffentlichen
Gesundheitswesen und der sozialen Sicherheit – insbesondere
hinsichtlich der Sicherung von Qualität und Wirtschaftlichkeit der
Verfahren zur Abrechnung von Leistungen in den sozialen
Krankenversicherungssystemen –, der wissenschaftlichen Forschung und
der öffentlichen Statistik. Die Mitgliedstaaten müssen jedoch
geeignete besondere Garantien zum Schutz der Grundrechte und der
Privatsphäre von Personen vorsehen.
(35) Die Verarbeitung
personenbezogener Daten durch staatliche Stellen für verfassungsrechtlich
oder im Völkerrecht niedergelegte Zwecke von staatlich anerkannten
Religionsgesellschaften erfolgt ebenfalls im Hinblick auf ein wichtiges
öffentliches Interesse.
(36) Wenn es in bestimmten
Mitgliedstaaten zum Funktionieren des demokratischen Systems gehört, dass
die politischen Parteien im Zusammenhang mit Wahlen Daten über die
politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger
Daten aus Gründen eines wichtigen öffentlichen Interesses zugelassen
werden, sofern angemessene Garantien vorgesehen werden.
(37) Für die
Verarbeitung personenbezogener Daten zu journalistischen, literarischen oder
künstlerischen Zwecken, insbesondere im audiovisuellen Bereich, sind
Ausnahmen von bestimmten Vorschriften dieser Richtlinie vorzusehen, soweit sie
erforderlich sind, um die Grundrechte der Person mit der Freiheit der
Meinungsäußerung und insbesondere der Freiheit, Informationen zu
erhalten oder weiterzugeben, die insbesondere in Artikel 10 der
Europäischen Konvention zum Schutze der Menschenrechte und der
Grundfreiheiten garantiert ist, in Einklang zu bringen. Es obliegt deshalb den
Mitgliedstaaten, unter Abwägung der Grundrechte Ausnahmen und
Einschränkungen festzulegen, die bei den allgemeinen Maßnahmen zur
Rechtmäßigkeit der Verarbeitung von Daten, bei den Maßnahmen
zur Übermittlung der Daten in Drittländer sowie hinsichtlich der
Zuständigkeiten der Kontrollstellen erforderlich sind, ohne dass jedoch
Ausnahmen bei den Maßnahmen zur Gewährleistung der Sicherheit der
Verarbeitung vorzusehen sind. Ferner sollte mindestens die in diesem Bereich
zuständige Kontrollstelle bestimmte nachträgliche
Zuständigkeiten erhalten, beispielsweise zur regelmäßigen
Veröffentlichung eines Berichts oder zur Befassung der
Justizbehörden.
(38) Datenverarbeitung
nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage
sind, das Vorhandensein einer Verarbeitung zu erfahren und
ordnungsgemäß und umfassend über die Bedingungen der Erhebung
informiert zu werden, wenn Daten bei ihnen erhoben werden.
(39) Bestimmte
Verarbeitungen betreffen Daten, die der Verantwortliche nicht unmittelbar bei
der betroffenen Person erhoben hat. Des Weiteren können Daten
rechtmäßig an Dritte weitergegeben werden, auch wenn die Weitergabe
bei der Erhebung der Daten bei der betroffenen Person nicht vorgesehen war. In
diesen Fällen muss die betroffene Person zum Zeitpunkt der Speicherung der
Daten oder spätestens bei der erstmaligen Weitergabe der Daten an Dritte
unterrichtet werden.
(40) Diese Verpflichtung
erübrigt sich jedoch, wenn die betroffene Person bereits unterrichtet ist.
Sie besteht auch nicht, wenn die Speicherung oder Weitergabe durch Gesetz
ausdrücklich vorgesehen ist oder wenn die Unterrichtung der betroffenen
Person unmöglich ist oder unverhältnismäßigen Aufwand
erfordert, was bei Verarbeitungen für historische, statistische oder
wissenschaftliche Zwecke der Fall sein kann. Diesbezüglich können die
Zahl der betroffenen Personen, das Alter der Daten und etwaige
Ausgleichsmaßnahmen in Betracht gezogen werden.
(41) Jede Person muss ein
Auskunftsrecht hinsichtlich der sie betreffenden Daten, die Gegenstand einer
Verarbeitung sind, haben, damit sie sich insbesondere von der Richtigkeit
dieser Daten und der Zulässigkeit ihrer Verarbeitung überzeugen kann.
Aus denselben Gründen muss jede Person außerdem das Recht auf
Auskunft über den logischen Aufbau der automatisierten Verarbeitung der
sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im
Sinne des Artikels 15 Absatz 1, besitzen. Dieses Recht darf weder das
Geschäftsgeheimnis noch das Recht an geistigem Eigentum, insbesondere das
Urheberrecht zum Schutz von Software, berühren. Dies darf allerdings nicht
dazu führen, dass der betroffenen Person jegliche Auskunft verweigert
wird.
(42) Die Mitgliedstaaten
können die Auskunfts- und Informationsrechte im Interesse der betroffenen
Person oder zum Schutz der Rechte und Freiheiten Dritter einschränken. Zum
Beispiel können sie vorsehen, dass Auskunft über medizinische Daten
nur über ärztliches Personal erhalten werden kann.
(43) Die Mitgliedstaaten
können Beschränkungen des Auskunfts- und Informationsrechts sowie
bestimmter Pflichten des für die Verarbeitung Verantwortlichen vorsehen,
soweit dies beispielsweise für die Sicherheit des Staates, die
Landesverteidigung, die öffentliche Sicherheit, für zwingende
wirtschaftliche oder finanzielle Interessen eines Mitgliedstaats oder der Union
oder für die Ermittlung und Verfolgung von Straftaten oder von
Verstößen gegen Standesregeln bei reglementierten Berufen
erforderlich ist. Als Ausnahmen und Beschränkungen sind Kontroll-,
Überwachungs- und Ordnungsfunktionen zu nennen, die in den drei
letztgenannten Bereichen in Bezug auf öffentliche Sicherheit,
wirtschaftliches oder finanzielles Interesse und Strafverfolgung erforderlich
sind. Die Erwähnung der Aufgaben in diesen drei Bereichen lässt die
Zulässigkeit von Ausnahmen und Einschränkungen aus Gründen der
Sicherheit des Staates und der Landesverteidigung unberührt.
(44) Die Mitgliedstaaten
können aufgrund gemeinschaftlicher Vorschriften gehalten sein, von den das
Auskunftsrecht, die Information der Personen und die Qualität der Daten
betreffenden Bestimmungen dieser Richtlinie abzuweichen, um bestimmte der
obengenannten Zweckbestimmungen zu schützen.
(45) Auch wenn die Daten
Gegenstand einer rechtmäßigen Verarbeitung aufgrund eines
öffentlichen Interesses, der Ausübung hoheitlicher Gewalt oder der
Interessen eines einzelnen sein können, sollte doch jede betroffene Person
das Recht besitzen, aus überwiegenden, schutzwürdigen, sich aus ihrer
besonderen Situation ergebenden Gründen Widerspruch dagegen einzulegen,
dass die sie betreffenden Daten verarbeitet werden. Die Mitgliedstaaten
können allerdings innerstaatliche Bestimmungen vorsehen, die dem
entgegenstehen.
(46) Für den Schutz
der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung
personenbezogener Daten müssen geeignete technische und organisatorische
Maßnahmen getroffen werden, und zwar sowohl zum Zeitpunkt der Planung des
Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, um
insbesondere deren Sicherheit zu gewährleisten und somit jede
unrechtmäßige Verarbeitung zu verhindern. Die Mitgliedstaaten haben
dafür Sorge zu tragen, dass der für die Verarbeitung Verantwortliche
diese Maßnahmen einhält. Diese Maßnahmen müssen unter
Berücksichtigung des Standes der Technik und der bei ihrer
Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das
den von der Verarbeitung ausgehenden Risiken und der Art der zu
schützenden Daten angemessen ist.
(47) Wird eine Nachricht,
die personenbezogene Daten enthält, über Telekommunikationsdienste
oder durch elektronische Post übermittelt, deren einziger Zweck darin
besteht, Nachrichten dieser Art zu übermitteln, so gilt in der Regel die
Person, von der die Nachricht stammt, und nicht die Person, die den
Übermittlungsdienst anbietet, als Verantwortlicher für die
Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten. Jedoch
gelten die Personen, die diese Dienste anbieten, in der Regel als
Verantwortliche für die Verarbeitung der personenbezogenen Daten, die
zusätzlich für den Betrieb des Dienstes erforderlich sind.
(48) Die Meldeverfahren
dienen der Offenlegung der Zweckbestimmungen der Verarbeitungen sowie ihrer
wichtigsten Merkmale mit dem Zweck der Überprüfung ihrer
Vereinbarkeit mit den einzelstaatlichen Vorschriften zur Umsetzung dieser
Richtlinie.
(49) Um unangemessene
Verwaltungsformalitäten zu vermeiden, können die Mitgliedstaaten bei
Verarbeitungen, bei denen eine Beeinträchtigung der Rechte und Freiheiten
der Betroffenen nicht zu erwarten ist, von der Meldepflicht absehen oder sie
vereinfachen, vorausgesetzt, dass diese Verarbeitungen den Bestimmungen
entsprechen, mit denen der Mitgliedstaat die Grenzen solcher Verarbeitungen
festgelegt hat. Eine Befreiung oder eine Vereinfachung kann ebenso vorgesehen
werden, wenn ein vom für die Verarbeitung Verantwortlichen benannter
Datenschutzbeauftragter sicherstellt, dass eine Beeinträchtigung der
Rechte und Freiheiten der Betroffenen durch die Verarbeitung nicht zu erwarten
ist. Ein solcher Beauftragter, ob Angestellter des für die Verarbeitung
Verantwortlichen oder externer Beauftragter, muss seine Aufgaben in
vollständiger Unabhängigkeit ausüben können.
(50) Die Befreiung oder
Vereinfachung kann vorgesehen werden für Verarbeitungen, deren einziger
Zweck das Führen eines Registers ist, das gemäß
einzelstaatlichem Recht zur Information der Öffentlichkeit bestimmt ist
und entweder der gesamten Öffentlichkeit oder allen Personen, die ein
berechtigtes Interesse nachweisen können, zur Einsichtnahme
offensteht.
(51) Die Vereinfachung
oder Befreiung von der Meldepflicht entbindet jedoch den für die
Verarbeitung Verantwortlichen von keiner der anderen sich aus dieser Richtlinie
ergebenen Verpflichtungen.
(52) In diesem
Zusammenhang ist die nachträgliche Kontrolle durch die zuständigen
Stellen im Allgemeinen als ausreichende Maßnahme anzusehen.
(53) Bestimmte
Verarbeitungen können jedoch aufgrund ihrer Art, ihrer Tragweite oder
ihrer Zweckbestimmung – wie beispielsweise derjenigen, betroffene
Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines
Vertrags auszuschließen – oder aufgrund der besonderen
Verwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte
und Freiheiten der betroffenen Personen aufweisen. Es obliegt den
Mitgliedstaaten, derartige Risiken in ihren Rechtsvorschriften
aufzuführen, wenn sie dies wünschen.
(54) Bei allen in der
Gesellschaft durchgeführten Verarbeitungen sollte die Zahl der
Verarbeitungen mit solchen besonderen Risiken sehr beschränkt sein. Die
Mitgliedstaaten müssen für diese Verarbeitungen vorsehen, dass vor
ihrer Durchführung eine Vorabprüfung durch die Kontrollstelle oder in
Zusammenarbeit mit ihr durch den Datenschutzbeauftragten vorgenommen wird. Als
Ergebnis dieser Vorabprüfung kann die Kontrollstelle gemäß
einzelstaatlichem Recht eine Stellungnahme abgeben oder die Verarbeitung
genehmigen. Diese Prüfung kann auch bei der Ausarbeitung einer
gesetzgeberischen Maßnahme des nationalen Parlaments oder einer auf eine
solche gesetzgeberische Maßnahme gestützten Maßnahme erfolgen,
die die Art der Verarbeitung und geeignete Garantien festlegt.
(55) Für den Fall der
Missachtung der Rechte der betroffenen Personen durch den für die
Verarbeitung Verantwortlichen ist im nationalen Recht eine gerichtliche
Überprüfungsmöglichkeit vorzusehen. Mögliche Schäden,
die den Personen aufgrund einer unzulässigen Verarbeitung entstehen, sind
von dem für die Verarbeitung Verantwortlichen zu ersetzen, der von seiner
Haftung befreit werden kann, wenn er nachweist, dass der Schaden ihm nicht
angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen
Person oder ein Fall höherer Gewalt vorliegt. Unabhängig davon, ob es
sich um eine Person des Privatrechts oder des öffentlichen Rechts handelt,
müssen Sanktionen jede Person treffen, die die einzelstaatlichen
Vorschriften zur Umsetzung dieser Richtlinie nicht einhält.
(56) Grenzüberschreitender Verkehr von
personenbezogenen Daten ist für die Entwicklung des internationalen
Handels notwendig. Der in der Gemeinschaft durch diese Richtlinie gewährte
Schutz von Personen steht der Übermittlung personenbezogener Daten in
Drittländer, die ein angemessenes Schutzniveau aufweisen, nicht entgegen.
Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, ist unter
Berücksichtigung aller Umstände im Hinblick auf eine
Übermittlung oder eine Kategorie von Übermittlungen zu
beurteilen.
(57) Bietet hingegen ein
Drittland kein angemessenes Schutzniveau, so ist die Übermittlung
personenbezogener Daten in dieses Land zu untersagen.
(58) Ausnahmen von diesem
Verbot sind unter bestimmten Voraussetzungen vorzusehen, wenn die betroffene
Person ihre Einwilligung erteilt hat oder die Übermittlung im Rahmen eines
Vertrags oder Gerichtsverfahrens oder zur Wahrung eines wichtigen
öffentlichen Interesses erforderlich ist, wie zum Beispiel bei
internationalem Datenaustausch zwischen Steuer- oder Zollverwaltungen oder
zwischen Diensten, die für Angelegenheiten der sozialen Sicherheit
zuständig sind. Ebenso kann eine Übermittlung aus einem gesetzlich
vorgesehenen Register erfolgen, das der öffentlichen Einsichtnahme oder
der Einsichtnahme durch Personen mit berechtigtem Interesse dient. In diesem
Fall sollte eine solche Übermittlung nicht die Gesamtheit oder ganze
Kategorien der im Register enthaltenen Daten umfassen. Ist ein Register zur
Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, so sollte die
Übermittlung nur auf Antrag dieser Person oder nur dann erfolgen, wenn
diese Person die Adressaten der Übermittlung sind.
(59) Besondere
Maßnahmen können getroffen werden, um das unzureichende Schutzniveau
in einem Drittland auszugleichen, wenn der für die Verarbeitung
Verantwortliche geeignete Sicherheiten nachweist. Außerdem sind Verfahren
für die Verhandlungen zwischen der Gemeinschaft und den betreffenden
Drittländern vorzusehen.
(60) Übermittlungen
in Drittstaaten dürfen auf jeden Fall nur unter voller Einhaltung der
Rechtsvorschriften erfolgen, die die Mitgliedstaaten gemäß dieser
Richtlinie, insbesondere gemäß Artikel 8, erlassen
haben.
(61) Die Mitgliedstaaten
und die Kommission müssen in ihren jeweiligen Zuständigkeitsbereichen
die betroffenen Wirtschaftskreise ermutigen, Verhaltensregeln auszuarbeiten, um
unter Berücksichtigung der Besonderheiten der Verarbeitung in bestimmten
Bereichen die Durchführung dieser Richtlinie im Einklang mit den
hierfür vorgesehenen einzelstaatlichen Bestimmungen zu
fördern.
(62) Die Einrichtung
unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches
Element des Schutzes der Personen bei der Verarbeitung personenbezogener
Daten.
(63) Diese Stellen sind
mit den notwendigen Mitteln für die Erfüllung dieser Aufgabe
auszustatten, d. h. Untersuchungs- und Einwirkungsbefugnissen,
insbesondere bei Beschwerden, sowie Klagerecht. Die Kontrollstellen haben zur
Transparenz der Verarbeitungen in dem Mitgliedstaat beizutragen, dem sie
unterstehen.
(64) Die Behörden der
verschiedenen Mitgliedstaaten werden einander bei der Wahrnehmung ihrer
Aufgaben unterstützen müssen, um sicherzustellen, dass die
Schutzregeln in der ganzen Europäischen Union beachtet werden.
(65) Auf
Gemeinschaftsebene ist eine Arbeitsgruppe für den Schutz der Rechte von
Personen bei der Verarbeitung personenbezogener Daten einzusetzen, die ihre
Aufgaben in völliger Unabhängigkeit wahrzunehmen hat. Unter
Berücksichtigung dieses besonderen Charakters hat sie die Kommission zu
beraten und insbesondere zur einheitlichen Anwendung der zur Umsetzung dieser
Richtlinie erlassenen einzelstaatlichen Vorschriften beizutragen.
(66) Für die
Übermittlung von Daten in Drittländern ist es zur Anwendung dieser
Richtlinie erforderlich, der Kommission Durchführungsbefugnisse zu
übertragen und ein Verfahren gemäß den Bestimmungen des
Beschlusses 87/373/EWG des Rates
festzulegen.
(67) Am 20. Dezember
1994 wurde zwischen dem Europäischen Parlament, dem Rat und der Kommission
ein Modus vivendi betreffend die Maßnahmen zur Durchführung der nach
dem Verfahren des Artikels 189b des EG-Vertrag erlassenen Rechtsakte
vereinbart.
(68) Die in dieser
Richtlinie enthaltenen Grundsätze des Schutzes der Rechte und Freiheiten
der Personen und insbesondere der Achtung der Privatsphäre bei der
Verarbeitung personenbezogener Daten können – besonders
für bestimmte Bereiche – durch spezifische Regeln ergänzt
oder präzisiert werden, die mit diesen Grundsätzen in Einklang
stehen.
(69) Den Mitgliedstaaten
sollte eine Frist von längstens drei Jahren ab Inkrafttreten ihrer
Vorschriften zur Umsetzung dieser Richtlinie eingeräumt werden, damit sie
die neuen einzelstaatlichen Vorschriften fortschreitend auf alle bereits
laufenden Verarbeitungen anwenden können. Um eine kosteneffiziente
Durchführung dieser Vorschriften zu erleichtern, wird den Mitgliedstaaten
eine weitere Frist von zwölf Jahren nach Annahme dieser Richtlinie
eingeräumt, um die Anpassung bestehender manueller Dateien an bestimmte
Vorschriften dieser Richtlinie sicherzustellen. Werden in solchen Dateien
enthaltene Daten während dieser erweiterten Umsetzungsfrist manuell
verarbeitet, so sollten die Dateien zum Zeitpunkt der Verarbeitung mit diesen
Vorschriften in Einklang gebracht werden.
(70) Die betroffene Person
braucht nicht erneut ihre Einwilligung zu geben, damit der Verantwortliche nach
Inkrafttreten der einzelstaatlichen Vorschriften zur Umsetzung dieser
Richtlinie eine Verarbeitung sensibler Daten fortführen kann, die für
die Erfüllung eines in freier Willenserklärung geschlossenen Vertrags
erforderlich ist und vor Inkrafttreten der genannten Vorschriften mitgeteilt
wurde.
(71) Diese Richtlinie
steht den gesetzlichen Regelungen eines Mitgliedstaats im Bereich der
geschäftsmäßigen Werbung gegenüber in seinem Hoheitsgebiet
ansässigen Verbrauchern nicht entgegen, sofern sich diese gesetzlichen
Regelungen nicht auf den Schutz der Person bei der Verarbeitung
personenbezogener Daten beziehen.
(72) Diese Richtlinie
erlaubt bei der Umsetzung der mit ihr festgelegten Grundsätze die
Berücksichtigung des Grundsatzes des öffentlichen Zugangs zu
amtlichen Dokumenten –
