Globale Datenschutz Richtlinien


Geltende Richtlinien, Standards wie ISO/IEC, wonach zertifizierte Dienstleister gemessen werden können, Datenschutz Personenbezoger Daten in diesem Beitrag

Internationale Konferenz der Datenschutzbeauftragten / Internationale Datenschutzkonferenz

Abkommen und Erklärungen vergangener Jahre: privacyconference2013.org

An der 31. Internationalen Datenschutzkonferenz in Madrid wurden weniger neue Grundsätze verabschiedet als zu deren Umsetzung gemahnt.

Das Madrider Abkommen (2009) ist ein weiterer Meilenstein auf dem Weg zu Globalen Datenschutz Standards. Organisationen von über 50 Nationen haben zum Schluss der Konferenz das Madrider Abkommen verabschiedet (Internationale Standards zum Schutz der Privatsphäre und personenbezogener Daten .pdf).

MadridPrivacyDeclaration-thumb-199x193-261

Erklärung:
Das Abkommen bekräftigt, dass die Privatsphäre ein Grundrecht ist und warnt, dass die Gesetze zum Datenschutz und Datenschutz-Institutionen noch nicht in vollem Umfang den neuen Überwachungspraktiken Rechnung tragen.

Die Erklärung fordert die Errichtung eines neuen internationalen Rahmens für den Schutz der Privatsphäre, mit der vollen Beteiligung der Zivilgesellschaft.

Aus der Erklärung:

die EU-Mitgliedsstaaten gemahnend an ihre Verpflichtung zur Umsetzung der Datenschutz-Richtlinie 1995 sowie der Richtlinie zur elektronischen Kommunikation 2002;

die übrigen OECD Mitgliedsstaaten gemahnend an ihre Verpflichtung, die in der OECD Datenschutz-Richtlinie von 1980 festgeschriebenen Prinzipien zu wahren;

die Aussetzung von Entwicklung und Einsatz neuer Massenüberwachungssysteme, deren vollständige und transparenten Evaluation durch unabhängige Behörden sowie eine demokratische Debatte darüber zu fordern. Dies umfasst insbesondere Gesichtserkennung, Ganzkörperaufnahmen, biometrische Merkmale und eingebettete RFID’s.

InternationKonferenzPrivacy2013

35. Internationale Konferenz der Beauftragten für Datenschutz und Privatsphäre

im Warschauer abkommen zum internationalen Recht ruft die Konferenz die Regierungen dazu auf, durch die Verabschiedung eines internationalen Abkommens globale Standards zum Schutz personenbezogener Daten zu schaffen, die auf den im Jahr 2009 von der Internationalen Datenschutzkonferenz in Madrid verabschiedeten Standards („Madrid Declaration“) aufbauen könnten. Konkret schlagen die Datenschützer ein Zusatzprotokoll zu Artikel 17 des Internationalen Paktes über bürgerliche und politische Rechte vor. Diese Vorschrift verbietet willkürliche oder rechtswidrige Eingriffe in Privatleben, Familie, Wohnung und Schriftverkehr und schreibt das Recht des Einzelnen auf Schutz vor solchen Eingriffen fest.

Globale Standards zum Schutz personenbezogener Daten könnten auch auf anderen existierenden Frameworks aufbauen:

Internationalen Paktes über bürgerliche und politische Rechte (1966) Text.pdf

Der Internationale Pakt über bürgerliche und politische Rechte (ICCPR-International Covenant on Civil and Political Rights), kurz UN-Zivilpakt oder IPbpR, in der Schweiz auch UNO-Pakt II genannt, ist ein völkerrechtlicher Vertrag.

Der Pakt über bürgerliche und politische Rechte garantiert die klassischen Menschenrechte und Grundfreiheiten.

Details:

UN-Zivilpakt; Schweiz: UNO-Pakt II; (engl.): International Covenant on Civil and Political Rights Abkürzung: ICCPR oder IPbpR vom 16. Dez. 1966 Inkrafgetreten: 1976

167 Vertragsstaaten (Stand: 10. Mai 2013; aktueller Stand);

Deutschland: Ratifikation 17. Dez. 1973

Liechtenstein: Ratifikation 10. Dez. 1998

Österreich: Ratifikation 10. Sep. 1978

Schweiz: Ratifikation 18. Jun. 1992

Der 17. Artikel der (gemäss dem Warschauer Abkommen zum internationalen Recht s.o.) ergänz werden könnte lautet:

Art. 17

(1) Niemand darf willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder rechtswidrigen Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden.

(2) Jedermann hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.

in der Resolution 217 A (III) der UNO Generalversammlung vom 10. Dezember 1948 ist es der Artikel 12

Allgemeine Erklärung der Menschenrechte

Artikel 12

Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.

Der UNO-Menschenrechtsrat geniesst hohes Politisches Gewicht und die Bekanntmachungen (Snowden) über die Aktivitäten des NSA  hat während der letzten UNO-Session zu einer von mehreren Ländern (Schweiz, Deutschland, Österreich, Liechtenstein, Norwegen, Brasilien, Mexiko) organisierten informellen Veranstaltung geführt, wo über die Problematik diskutiert wurde. Würde zu diesem Thema eine Sondersession einberufen würde dies die USA und Grossbritannien ziemlich unter Druck setzen.

Update 08.11.2013

Das im September in Genf vorbereitete Projekt von Deutschland und Brasilien initiiert wird konkreter. Am letzten Freitag haben die beiden Staaten den Entwurf für eine UNO Resolution eingereicht (UN Draft on Privacy). Möglicherweise wird auf diesem Weg ein eventuelles Veto seitens der USA vermieden. Alleine schon eine Abstimmung darüber hätte grosse Signalwirkung in Richtung USA u.a.

Grenzüberschreitender Datenverkehr verlangt  nach vereinheitlichten Regeln.

Bereits 1980 hat die OECD dazu Richtlinien geschaffen. Diese Richtlinien gelten für personenbezogene Daten sowohl im öffentlichen als auch im privaten Sektor. Die OECD-Richtlinien über Datenschutz und grenzüberschreitende Ströme personenbezogener Daten hatten signifikanten Einfluss auf das Privacy Framework der Asia-Pacific Economic Cooperation (APEC) 2004

OECD-Richtlinien

OECD_member_states_map_svg

Bild: Wikipedia
Grundsatz der begrenzten Datenerhebung

Bei der Erhebung personenbezogener Daten sind Grenzen zu setzen; die Erhebung solcher Daten darf nur mit rechtmäßigen, lauteren Mitteln und gegebenenfalls mit Wissen bzw. Einwilligung des Datensubjekts erfolgen.

Grundsatz der Datenqualität

Personenbezogene Daten müssen ihrer Zweckbestimmung entsprechen und in dem für diesen Zweck nötigen Ausmaß genau, vollständig und aktuell sein.

Grundsatz der Zweckbestimmung

Der Zweck, für den die Personenbezogenen Daten erhoben werden, ist spätestens zum Zeitpunkt der Datenerhebung festzulegen; die spätere Nutzung ist auf die Erfüllung dieses Zwecks zu beschränken oder dazu nicht inkompatible Zwecke. Jede Änderung des Zwecks muss angegeben werden.

Grundsatz der Nutzungsbegrenzung

Personenbezogene Daten dürfen nicht offengelegt, bereit gestellt oder für andere Zwecke als in “ Grundsatz der Zweckbestimmung “ angegeben genutzt werden, ausgenommen:

a. mit Einwilligung des Datensubjekts

b. oder von Gesetzes wegen.

Grundsatz der Datensicherheit

Personenbezogene Daten sind durch angemessene Sicherheitsvorkehrungen gegen Risiken wie Verlust sowie Zugang, Zerstörung, Nutzung, Veränderung oder Offenlegung der Daten durch Unbefugte zu sichern.

Grundsatz der Offenheit

Bezüglich Entwicklungen, Vorgehensweisen und Maßnahmen im Hinblick auf personenbezogene Daten ist generell eine Politik der Offenheit zu üben. Es ist dafür zu sorgen, dass das Vorhandensein und die Art personenbezogener Daten, ihre Hauptverwendungszwecke sowie die Identität und das Domizil des Datenhauptverantwortlichen einfach festzustellen sind.

Grundsatz des Mitspracherechts

Jede Person hat Anspruch:

a. auf Erlangung einer Bestätigung durch den Datenhauptverantwortlichen oder auf andere Weise bezüglich Vorhandensein oder Nichtvorhandensein von sie betreffenden Daten;

b. auf Übermittlung der sie betreffenden Daten

− innerhalb einer angemessenen Frist

− zu angemessenen Gebühren, wenn überhaupt

− in einer angemessenen Art und Weise

− in einer leicht verständlichen Form

c. auf eine Begründung bei Ablehnung eines Antrag gemäss Unterabsatz a) und b) und auf Einlegung von Rechtsmitteln gegen diese Ablehnung; und

d. auf Anfechtung der ihn betreffenden Daten und bei erfolgreicher Anfechtung auf Löschung, Berichtigung, Vervollständigung oder Änderung der Daten.

Grundsatz der Rechenschaftspflicht

Der Datenhauptverantwortliche muss bezüglich der Einhaltung der Maßnahmen, die den oben genannten Grundsätzen Gültigkeit verleihen, zur Rechenschaft gezogen werden können.

APEC-Framwork

320px-APEC_members_180E_svg

Bild: Wikipedia
Grundsatz Schadens-Prävention

Anerkennung der berechtigten Erwartung einer Person auf Datenschutz

Datenschutzmassnahmen sollen den Missbrauch von Personeninformationen verhindern

Zudem wird anerkannt das ein solcher Missbrauch zu Schäden führen kann, das Schadensrisiko soll mit gezielte Massnahmen verhindern werden

Gegenmaßnahmen sollten im Verhältnis zu der Wahrscheinlichkeit und Schwere der Schäden, die durch die Erfassung, Verwendung und Weitergabe von persönlichen Daten entstehen könnten, getroffen werden.

Grundsatz der Bekanntmachung

Datenhauptverantwortliche sollen klare und leicht zugängliche Erklärungen zu ihren Praktiken und Massnahmen mit Personeninformationen abgeben, die beinhalten:

a) die Tatsache das Personeninformationen erfasst werden

b) den Grund wofür die Personeninformationen gesammelt werden

c) Arte der Personen oder Organisationen an welche Daten weitergegeben würden

d) Die Identität und den Sitz der Datenhauptverantwortlichen und Kontakt Daten um über ihre Praktiken und Massnahmen mit Personeninformationen nach zu fragen

e) Welche Wahlmöglichkeiten und Mittel der Datenhauptverantwortliche Personen bereitstellt zur Limitierung der Benutzung und Weitergabe von, und  für den Zugang und Korrekturmöglichkeit, ihrer  die Personeninformationen.

Grundsatz der begrenzten Datenerhebung

Die Erhebung personenbezogener Daten soll sich auf Zweckmässig relevante Informationen  beschränken. die Erhebung solcher Daten darf nur mit rechtmäßigen, lauteren Mitteln und gegebenenfalls mit Wissen bzw. Einwilligung der betreffenden Person erfolgen.

Grundsatz Benutzung Personenbezogener Daten

Erfasste Personendaten dürfen nur zu dem Zweck der zur Erfassung veranlasste oder zu dazu passende sowie zusammengehörige Zwecke  verwendet werden, ausser:
a) mit der Einwilligung der betroffenen Person.

b) bei Bedarf, zur Bereitstellung einer abgeforderten Dienstleistung oder eines angeforderten Produkts durch die Person, oder

c) von Gesetzes wegen

Grundsatz der notwendigen Zusage

Die Wahlmöglichkeit betreffend Erfassung, Verwendung und Weitergabe persönlichen Daten  soll deutlich sichtbar und leicht verständlich, durch zugängliche und erschwingliche Mechanismen bereitgestellt werden. Für den Datenhauptverantwortliche eignet es sich möglicherweise nicht beim sammeln öffentlich zugänglicher Informationen

diese Mechanismen bereit zu stellen.

Grundsatz der Datenqualität / Integrität

Personenbezogene Daten müssen ihrer Zweckbestimmung entsprechen und in dem für diesen Zweck nötigen Ausmaß genau, vollständig und aktuell sein.

Grundsatz der Datensicherheit

Personenbezogene Daten sind durch angemessene Sicherheitsvorkehrungen gegen Risiken wie Verlust sowie Zugang, Zerstörung, Nutzung, Veränderung oder Offenlegung der Daten durch Unbefugte zu sichern. Die Sicherheitsvorkehrungen sollen der möglichen Bedrohung un der der zu sichernden Daten angemessen sein, sind periodisch zu überprüfen und neu zu beurteilen.

Grundsatz des Mitspracherechts

Jede Person hat Anspruch:

a. auf Erlangung einer Bestätigung durch den Datenhauptverantwortlichen oder auf andere Weise bezüglich Vorhandensein oder Nichtvorhandensein von sie betreffenden Daten;

b. auf Übermittlung der sie betreffenden Daten

− innerhalb einer angemessenen Frist

− zu angemessenen Gebühren, wenn überhaupt

− in einer angemessenen Art und Weise

− in einer leicht verständlichen Form

c. auf Anfechtung der ihn betreffenden Daten und bei erfolgreicher Anfechtung auf Löschung, Berichtigung, Vervollständigung oder Änderung der Daten.

d. Die Möglichkeit zur Anfechtung und Korrektur sollte vorhanden sein, ausser wenn:

(i) der Aufwand oder die Kosten unverhältnismässig wären oder in keinem Verhältnis zu den Risiken für die Privatsphäre des Einzelnen stehen.

(ii) Informationen von Gesetzes wegen oder aus Sicherheitsrelevanten Gründen nicht bekannt gegeben werden dürfen oder zum Schutz vertraulicher Wirtschaftsinformationen, oder

(iii) die Privatsphäre anderer Personen in Mitleidenschaft gezogen würde

Grundsatz der Rechenschaftspflicht

Der Datenhauptverantwortliche muss bezüglich der Einhaltung der Maßnahmen, die den oben genannten Grundsätzen Gültigkeit verleihen, zur Rechenschaft gezogen werden können.

 

Unter dem Einfluss der OECD-Richtlinien sind einige nationale Gesetzgebungen entstanden:

The Australian Privacy Act (1988)

The New Zealand Privacy Act (1993)

Japans Act on the Protection of Personal Information (2003)

Mexiko und Türkei (2010)

Kanda

In Kanada ist seit 2009 ein Datenschutz Gesetz in Kraft, welches auf den „OECD Guidlines“ aufbaut und International Beachtung verdient, „The Personal Information Protection and Electronic Documents Act (PIPEDA)“ . Wie in der Amerikanischen Rechtspraxis unterscheidet man in Kanada zwischen den öffentlichen und Privaten Belangen im Datenschutz.

Wir erleben in unserer Zeit ein wachsendes elektronische Datenaufkommen das in beinahe Lichtgeschwindigkeit um die Welt geschickt wird. Die Komplexität der Technik, verglichen zur Briefpost, birgt in sich ein sehr hoher Anspruch an die Kenntnisse bezüglich der verwendeten Anwendungen, wenn wir den Datenschutz regeln wollen. Transparenz über die verwendeten Techniken, Zertifizierung von Systemen und Prozessen hinsichtlich des Datenschutz sind dabei hilfreich. Die unterschiedlichen Gesetzgebungen der verschiedenen Nationen und Länder machen es noch zusätzlich schwierig die notwendigen Globalen Richtlinien ein zu führen, zu kontrollieren und zu sanktionieren.

Die meisten Nationen besitzen spätestens seit den Terror Attacken weltweit der Letzten Jahre Bestimmungen die Telekom Unternehmen dazu zwingen die Identität der Kunden und deren Aktivitäten für einen bestimmte Zeit zu speichern und den Behörden bei Bedarf aus zu händigen. Die Sicherheit dieser Daten muss wohl von den Telekom-Firmen gewährleistet werden. Die Überwachung und Durchführung ist auf Nationaler Ebene regulierbar und vielleicht noch überschaubar, wir aber International ungleich schwieriger.

 

USA

Der Schutz von persönlichen Daten in den USA wird jeweils separat bezüglich eines Problemkreises geregelt (existierende Datenschutz Gesetze). Es findet eine Trennung bezüglich Datenschutz seitens der Regierung und Privaten Unternehmen statt.

In den USA kann die Privatsphäre Missbrauch durch viele verschiedene staatliche und private Stellen geregelt werden (z.B. die „Federal Trade Commission“ auf Bundesebene, Generalstaatsanwälte in den Staaten oder private Prozessparteien).

Der Datenschutz, dem US-Unternehmen sich unterwerfen müssen, basiert weitgehend auf selbstauferlegten Pflichtenheften (Nutzungsbedingungen). Bei deren Verletzung würde die „FTC“ eingreifen.

Der „Freedom of Information and Protection of Privacy Act“ (FIPPA) und der „Municipal Freedom of Information and Protection of Privacy Act“ (MFIPPA) schützt personenbezogene Daten bei den Provinz- und lokalen Regierungs-Organisationen. Der „Personal Health Information Protection Act“ (PHIPA) schützt persönliche Gesundheitsinformationen welche erfasst und gespeichert wurden.

EU

Die Bestrebungen in der EU zielen darauf ab den Datenschutz von oben durch zu regulieren, in den USA setzt man auf den Unternehmens-Kodex und Rechtsetzung durch Präzedenzfälle / Gewohnheitsrecht.

Richtlinie 95/46/EG

Des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

Auszug ab Kapitel 2 die 9 Grundsätze allgemeine Bedingungen für die Rechtmässigkeit der Verarbeitung personenbezogener Daten

I GRUNDSÄTZE IN BEZUG AUF DIE QUALITÄT DER DATEN

Artikel 6

(1) Die Mitgliedstaaten sehen vor, daß personenbezogene Daten

a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen;

c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;

d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden;

e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Daten vor, die über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden.

(2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.

II GRUNDSÄTZE IN BEZUG AUF DIE ZULÄSSIGKEIT DER VERARBEITUNG VON DATEN

Artikel 7

Die Mitgliedstaaten sehen vor, daß die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfuellt ist:

a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;

b) die Verarbeitung ist erforderlich für die Erfuellung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;

c) die Verarbeitung ist für die Erfuellung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;

e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;

f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiesen.

III BESONDERE KATEGORIEN DER VERARBEITUNG

Artikel 8

Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.

(2) Absatz 1 findet in folgenden Fällen keine Anwendung:

a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;

oder

b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist;

oder

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben;

oder

d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden;

oder

e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.

(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.

(4) Die Mitgliedstaaten können vorbehaltlich angemessener Garantien aus Gründen eines wichtigen öffentlichen Interesses entweder im Wege einer nationalen Rechtsvorschrift oder im Wege einer Entscheidung der Kontrollstelle andere als die in Absatz 2 genannten Ausnahmen vorsehen.

(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur unter behördlicher Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen, festlegen kann. Ein vollständiges Register der strafrechtlichen Verurteilungen darf allerdings nur unter behördlicher Aufsicht geführt werden.

Die Mitgliedstaaten können vorsehen, daß Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen, ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen.

(6) Die in den Absätzen 4 und 5 vorgesehenen Abweichungen von Absatz 1 sind der Kommission mitzuteilen.

(7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen.

Artikel 9

Verarbeitung personenbezogener Daten und Meinungsfreiheit

Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen.

IV INFORMATION DER BETROFFENEN PERSON

Artikel 10

Information bei der Erhebung personenbezogener Daten bei der betroffenen Person

Die Mitgliedstaaten sehen vor, daß die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,

b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,

c) weitere Informationen, beispielsweise betreffend

– die Empfänger oder Kategorien der Empfänger der Daten,

– die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,

– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Artikel 11

Informationen für den Fall, daß die Daten nicht bei der betroffenen Person erhoben wurden

(1) Für den Fall, daß die Daten nicht bei der betroffenen Person erhoben wurden, sehen die Mitgliedstaaten vor, daß die betroffene Person bei Beginn der Speicherung der Daten bzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,

b) Zweckbestimmungen der Verarbeitung,

c) weitere Informationen, beispielsweise betreffend

– die Datenkategorien, die verarbeitet werden,

– die Empfänger oder Kategorien der Empfänger der Daten,

– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2) Absatz 1 findet – insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung – keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist. In diesen Fällen sehen die Mitgliedstaaten geeignete Garantien vor.

V AUSKUNFTSRECHT DER BETROFFENEN PERSON

Artikel 12

Auskunftsrecht

Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen folgendes zu erhalten:

a) frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten

– die Bestätigung, daß es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden;

– eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;

– Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1;

b) je nach Fall die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind;

c) die Gewähr, daß jede Berichtigung, Löschung oder Sperrung, die entsprechend Buchstabe b) durchgeführt wurde, den Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmöglich erweist oder kein unverhältnismäßiger Aufwand damit verbunden ist.

VI AUSNAHMEN UND EINSCHRÄNKUNGEN

Artikel 13

Ausnahmen und Einschränkungen

(1) Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für

a) die Sicherheit des Staates;

b) die Landesverteidigung;

c) die öffentliche Sicherheit;

d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;

e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;

f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;

g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.

(2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird, daß die Daten für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden, können die Mitgliedstaaten in Fällen, in denen offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre der betroffenen Person besteht, die in Artikel 12 vorgesehenen Rechte gesetzlich einschränken, wenn die Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet werden oder personenbezogen nicht länger als erforderlich lediglich zur Erstellung von Statistiken aufbewahrt werden.

VII WIDERSPRUCHSRECHT DER BETROFFENEN PERSON

Artikel 14

Widerspruchsrecht der betroffenen Person

Die Mitgliedstaaten erkennen das Recht der betroffenen Person an,

a) zumindest in den Fällen von Artikel 7 Buchstaben e) und f) jederzeit aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widerspruch einlegen zu können, daß sie betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen entgegenstehenden Bestimmung. Im Fall eines berechtigten Widerspruchs kann sich die vom für die Verarbeitung Verantwortlichen vorgenommene Verarbeitung nicht mehr auf diese Daten beziehen;

b) auf Antrag kostenfrei gegen eine vom für die Verarbeitung Verantwortlichen beabsichtigte Verarbeitung sie betreffender Daten für Zwecke der Direktwerbung Widerspruch einzulegen oder vor der ersten Weitergabe personenbezogener Daten an Dritte oder vor deren erstmaliger Nutzung im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrücklich auf das Recht hingewiesen zu werden, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegen zu können.

Die Mitgliedstaaten ergreifen die erforderlichen Maßnahmen, um sicherzustellen, daß die betroffenen Personen vom Bestehen des unter Buchstabe b) Unterabsatz 1 vorgesehenen Rechts Kenntnis haben.

Artikel 15

Automatisierte Einzelentscheidungen

(1) Die Mitgliedstaaten räumen jeder Person das Recht ein, keiner für sie rechtliche Folgen nach sich ziehenden und keiner sie erheblich beeinträchtigenden Entscheidung unterworfen zu werden, die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens.

(2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen dieser Richtlinie vor, daß eine Person einer Entscheidung nach Absatz 1 unterworfen werden kann, sofern diese

a) im Rahmen des Abschlusses oder der Erfuellung eines Vertrags ergeht und dem Ersuchen der betroffenen Person auf Abschluß oder Erfuellung des Vertrags stattgegeben wurde oder die Wahrung ihrer berechtigten Interessen durch geeignete Maßnahmen – beispielsweise die Möglichkeit, ihren Standpunkt geltend zu machen – garantiert wird oder

b) durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.

VIII VERTRAULICHKEIT UND SICHERHEIT DER VERARBEITUNG

Artikel 16

Vertraulichkeit der Verarbeitung

Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen gesetzliche Verpflichtungen.

Artikel 17

Sicherheit der Verarbeitung

(1) Die Mitgliedstaaten sehen vor, daß der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muß, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

(2) Die Mitgliedstaaten sehen vor, daß der für die Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet; der für die Verarbeitung Verantwortliche überzeugt sich von der Einhaltung dieser Maßnahmen.

(3) Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere folgendes vorgesehen ist:

– Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;

– die in Absatz 1 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter, und zwar nach Maßgabe der Rechtsvorschriften des Mitgliedstaats, in dem er seinen Sitz hat.

(4) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in bezug auf Maßnahmen nach Absatz 1 schriftlich oder in einer anderen Form zu dokumentieren.

IX MELDUNG

Artikel 18

Pflicht zur Meldung bei der Kontrollstelle

(1) Die Mitgliedstaaten sehen eine Meldung durch den für die Verarbeitung Verantwortlichen oder gegebenenfalls seinen Vertreter bei der in Artikel 28 genannten Kontrollstelle vor, bevor eine vollständig oder teilweise automatisierte Verarbeitung oder eine Mehrzahl von Verarbeitungen zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen durchgeführt wird.

(2) Die Mitgliedstaaten können eine Vereinfachung der Meldung oder eine Ausnahme von der Meldepflicht nur in den folgenden Fällen und unter folgenden Bedingungen vorsehen:

– Sie legen für Verarbeitungskategorien, bei denen unter Berücksichtigung der zu verarbeitenden Daten eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist, die Zweckbestimmungen der Verarbeitung, die Daten oder Kategorien der verarbeiteten Daten, die Kategorie(n) der betroffenen Personen, die Empfänger oder Kategorien der Empfänger, denen die Daten weitergegeben werden, und die Dauer der Aufbewahrung fest, und/oder

– der für die Verarbeitung Verantwortliche bestellt entsprechend dem einzelstaatlichen Recht, dem er unterliegt, einen Datenschutzbeauftragten, dem insbesondere folgendes obliegt:

– die unabhängige Überwachung der Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Bestimmungen,

– die Führung eines Verzeichnisses mit den in Artikel 21 Absatz 2 vorgesehenen Informationen über die durch den für die Verarbeitung Verantwortlichen vorgenommene Verarbeitung,

um auf diese Weise sicherzustellen, daß die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden.

(3) Die Mitgliedstaaten können vorsehen, daß Absatz 1 keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Führen eines Register ist, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht.

(4) Die Mitgliedstaaten können die in Artikel 8 Absatz 2 Buchstabe d) genannten Verarbeitungen von der Meldepflicht ausnehmen oder die Meldung vereinfachen.

(5) Die Mitgliedstaaten können die Meldepflicht für nicht automatisierte Verarbeitungen von personenbezogenen Daten generell oder in Einzelfällen vorsehen oder sie einer vereinfachten Meldung unterwerfen.

Artikel 19

Inhalt der Meldung

(1) Die Mitgliedstaaten legen fest, welche Angaben die Meldung zu enthalten hat. Hierzu gehört zumindest folgendes:

a) Name und Anschrift des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters;

b) die Zweckbestimmung(en) der Verarbeitung;

c) eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien;

d) die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können;

e) eine geplante Datenübermittlung in Drittländer;

f) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach Artikel 17 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

(2) Die Mitgliedstaaten legen die Verfahren fest, nach denen Änderungen der in Absatz 1 genannten Angaben der Kontrollstelle zu melden sind.

Artikel 20

Vorabkontrolle

(1) Die Mitgliedstaaten legen fest, welche Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können, und tragen dafür Sorge, daß diese Verarbeitungen vor ihrem Beginn geprüft werden.

(2) Solche Vorabprüfungen nimmt die Kontrollstelle nach Empfang der Meldung des für die Verarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muß.

(3) Die Mitgliedstaaten können eine solche Prüfung auch im Zuge der Ausarbeitung einer Maßnahme ihres Parlaments oder einer auf eine solche gesetzgeberische Maßnahme gestützten Maßnahme durchführen, die die Art der Verarbeitung festlegt und geeignete Garantien vorsieht.

Artikel 21

Öffentlichkeit der Verarbeitungen

(1) Die Mitgliedstaaten erlassen Maßnahmen, mit denen die Öffentlichkeit der Verarbeitungen sichergestellt wird.

(2) Die Mitgliedstaaten sehen vor, daß die Kontrollstelle ein Register der gemäß Artikel 18 gemeldeten Verarbeitungen führt.

Das Register enthält mindestens die Angaben nach Artikel 19 Absatz 1 Buchstaben a) bis e).

Das Register kann von jedermann eingesehen werden.

(3) Die Mitgliedstaaten sehen vor, daß für Verarbeitungen, die von der Meldung ausgenommen sind, der für die Verarbeitung Verantwortliche oder eine andere von den Mitgliedstaaten benannte Stelle zumindest die in Artikel 19 Absatz 1 Buchstaben a) bis e) vorgesehenen Angaben auf Antrag jedermann in geeigneter Weise verfügbar macht.

Die Mitgliedstaaten können vorsehen, daß diese Bestimmungen keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Führen von Registern ist, die gemäß den Rechts- und Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt sind und die entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offenstehen.

 

Richtlinien 2002/58/EG

2002 wurden die Direktiven von 1995 durch die Richtlinien 2002/58/EG Ergänzt.

Die Richtlinien  2002/58/EG wurden Zwecks Harmonisierung und Detaillierung der Vorschriften der Einzelnen Mitgliedsstaaten in Bezug auf die Verarbeitung personenbezogener verfasst.

 

Datenschutz in der Schweiz  basiert auf dem Art. 13 der Bundesverfassung, er legt fest dass jede Person Anspruch auf Achtung ihres Privat- und Familienlebens etc. sowie vor Missbrauch ihrer persönlichen Daten hat. Dazu wurde das Bundesgesetz über den Datenschutz (DSG) seit dem 1. Juli 1993 in Kraft gesetzt. Entsprechende Verordnungen (VDSG) regeln Detailfragen. Zudem kommt bei Fragen zum Schutz der Persönlichkeit Artikel 28-28l des Zivilgesetzbuches ZGB zum Zug.