Das Ziel der Datenschutzrichtlinie aus dem Jahr 1995, nämlich ein wirksamer Datenschutz und parallel dazu die Erleichterung des Austausches personenbezogener Daten in der gesamten EU, ist im Großen und Ganzen erreicht worden. Zu diesem Schluss kommt ein heute vorgelegter Bericht der Kommission. Verspätungen bei der Umsetzung der Richtlinie durch die Mitgliedstaaten und Unterschiede bei ihrer Anwendung auf nationaler Ebene haben jedoch bisher verhindert, dass die europäische Wirtschaft alle damit verbundenen Vorteile nutzen kann. In dem Bericht wird ein Arbeitsprogramm vorgeschlagen, das helfen soll, diese Unterschiede im Wege der Zusammenarbeit zwischen Mitgliedstaaten und zwischen Mitgliedstaaten und Kommission abzubauen. Im Jahr 2005 soll eine Überprüfung folgen und ermittelt werden, ob die Richtlinie geändert werden muss. Der freie Verkehr personenbezogener Daten in der gesamten EU ist bei fast allen unionsweit ausgelegten Wirtschaftstätigkeiten für einen effizienten Geschäftsbetrieb unerlässlich. Der Bericht stützt sich auf eine breitangelegte Konsultation, die auch eine internationale Konferenz umfasste sowie eine Online-Umfrage, auf die über 10 000 Antworten eingingen. „Die Bürger Europas haben ein Recht auf den Schutz ihrer Privatsphäre," so Binnenmarktkommissar Frits Bolkestein, „und dieser Bericht zeigt, dass die Datenschutzrichtlinie dazu beigetragen hat, dass sie auch tatsächlich in den Genuss dieses Rechtes kommen. Gleichzeitig kann aber die europäische Wirtschaft nicht reibungslos funktionieren, wenn nicht der freie Datenverkehr über Grenzen hinweg gewährleistet ist. Es freut mich, dass offenbar die meisten Unternehmen es zu schätzen wissen, dass die Richtlinie den Datenaustausch erleichtert hat, und einsehen, dass die Aufrechterhaltung des freien Datenverkehrs davon abhängt, dass sie ihren Datenschutzverpflichtungen nachkommen. EU-Recht kann indessen nur funktionieren, wenn die Mitgliedstaaten es rechtzeitig umsetzen, es ist deshalb bedauerlich, dass viele EU-Länder dies erst mit großer Verspätung getan haben. Frankreich hat die Richtlinie noch immer nicht umgesetzt. Das muss dringend korrigiert werden."
Binnenmarktziele weitgehend erreicht
Das Fazit des Berichtes lautet, dass die Ergebnisse beim freien Verkehr personenbezogener Daten im Großen und Ganzen zufrieden stellend sind. Das Ziel der Richtlinie, die Beseitigung rechtlicher Hindernisse für den freien Datenverkehr, die sich aus unterschiedlichen nationalen Rechtsvorschriften ergaben und daraus, dass zwei Mitgliedstaaten (Italien und Griechenland) überhaupt keine Datenschutzgesetze hatten, ist erreicht worden.
Der freie Verkehr personenbezogener Daten ist bei fast allen europaweit ausgelegten Wirtschaftstätigkeiten unerlässlich für einen effizienten Geschäftsbetrieb.
So hatten Unternehmen vor Verabschiedung der Richtlinie beispielsweise häufig Schwierigkeiten, wenn sie Beschäftigtendaten in einen anderen Mitgliedstaat übermitteln wollten, was aber notwendig ist, wenn ein Unternehmen unionsweit tätig ist, jedoch eine zentrale Personalabteilung in einem Mitgliedstaat hat. Arbeitnehmer, die in mehreren Mitgliedstaaten Rentenansprüche erworben hatten, stießen auf Probleme, wenn personenbezogene Daten für die tatsächliche Kumulierung dieser Ansprüche ausgetauscht werden mussten. Europaweite klinische Versuche für die medizinische Forschung waren auf Grund der sehr unterschiedlichen Datenschutzstandards problematisch.
Verspätete Umsetzung in mehreren Mitgliedstaaten
Nur vier Mitgliedstaaten erließen Gesetze zur Umsetzung der Richtlinie innerhalb der Frist, die die Mitgliedstaaten selbst bei der Verabschiedung der Richtlinie im Rat vereinbart hatten, nämlich bis Oktober 1998.
Im Dezember 1999 beschloss die Kommission, Frankreich, Deutschland, Irland, Luxemburg und die Niederlande wegen Nichtumsetzung der Richtlinie vor dem Gerichtshof der Gemeinschaften zu verklagen.
Deutschland und die Niederlande sowie Belgien setzten die Richtlinie daraufhin im Jahr 2001 um und Luxemburg, nach einer Verurteilung durch den Gerichtshof, im Jahr 2002. Über sieben Jahre nach Verabschiedung der Richtlinie und mehr als vier Jahre nach Ende der Umsetzungsfrist (Oktober 1998) hat Frankreich noch immer nicht die Gesetze erlassen, die erforderlich wären, um sein altes Datenschutzgesetz aus dem Jahr 1978 voll und ganz mit der Richtlinie in Einklang zu bringen. Irland hat vor kurzem entsprechende Rechtsvorschriften erlassen, sie jedoch noch nicht an die Kommission gemeldet.
Unterschiede zwischen den Mitgliedstaaten erfordern differenzierte Lösungen
Der Bericht bestätigt, dass die Art und Weise, in der die Richtlinie umgesetzt wurde, zu erheblichen Abweichungen zwischen den Rechtsvorschriften der einzelnen Mitgliedstaaten und der Form ihrer praktischen Anwendung geführt hat. Weil diese Abweichungen unterschiedliche Ursachen und Folgen haben, erfordern sie auch eine Reihe differenzierter Lösungen. In einigen Fällen sind sie auf eine fehlerhafte Umsetzung der Richtlinie zurückzuführen und müssen durch eine Änderung des betreffenden nationalen Gesetzes beseitigt werden. Andere Unterschiede können das legitime Ergebnis einer korrekten Umsetzung durch einen Mitgliedstaat sein, der innerhalb des Spielraums, den die Richtlinie lässt, eine bestimmte Richtung eingeschlagen hat; aber auch das kann den Wirtschaftsteilnehmern den Betrieb europaweiter Datenverarbeitungssysteme erschweren und sie daran hindern, die Vorteile des Binnenmarktes auszuschöpfen.
Defizite beim Informationsstand und bei der Befolgung und Durchsetzung der Vorschriften
Fast 10 000 Antworten, die die Kommission auf ihre Online-Umfrage erhielt, sowie Informationen aus anderen Quellen geben Anlass zur im Bericht ausgedrückten Besorgnis über einen mangelhaften Informationsstand in Sachen Datenschutz und Defizite bei der Vorschriftenbefolgung und der Durchsetzung, wo es zuweilen an Entschiedenheit mangelt und nicht die erforderlichen Mittel bereitgestellt werden.
Auf eine bessere Durchführung der Richtlinie hinarbeiten
Aufgrund der Verzögerungen bei der Umsetzung in innerstaatliches Recht sind die Erfahrungen mit der Durchführung der Richtlinie noch sehr begrenzt. Der Bericht ist nur ein erster Schritt, wenn es darum geht zu untersuchen, ob die Richtlinie ihren Zweck erfüllt. Es wäre verfrüht, in diesem Stadium Richtlinienänderungen vorzuschlagen.
Der Bericht enthält indessen ein Arbeitsprogramm, das helfen soll, die Unterschiede zwischen den Mitgliedstaaten bei den Rechtsvorschriften - falls erforderlich durch Änderung dieser Vorschriften - und bei der praktischen Anwendung abzubauen.
Grundlage des Arbeitsprogramms - das bis Ende 2004 abgeschlossen sein soll - soll der Dialog zwischen Kommission und Mitgliedstaaten und die Zusammenarbeit der nationalen Datenschutzbehörden (insbesondere im Rahmen der Datenschutzgruppe nach Art. 29 der Richtlinie) sein. Hauptziel ist eine bessere Umsetzung der Richtlinie in den Mitgliedstaaten und eine einheitlichere Anwendung und Auslegung. Wenn es einfacher wird, die Richtlinie zu befolgen, wird sie auch besser befolgt werden.
Im Jahr 2005 wird die Kommission das Ergebnis des Arbeitsprogramms prüfen und entscheiden, ob Vorschläge zur Richtlinienänderung erforderlich sind.
Hintergrund
Artikel 33 der Richtlinie verpflichtet die Kommission, regelmäßig über die Durchführung der Richtlinie in den Mitgliedstaaten Bericht zu erstatten. Dieser erste Bericht wurde auf Grund der Verzögerungen bei der Umsetzung der Richtlinie bis jetzt verschoben.
Er stützt sich auf eine breitangelegte Konsultation aus dem Jahr 2002, die dem „partizipatorischen" Ansatz der Kommission für die europäische Politikgestaltung entspricht. Alle Betroffenen - Regierungen, Institutionen, Unternehmen und Verbraucherverbände, einzelne Firmen und Bürger - hatten die Möglichkeit, ihre Meinung zu äußern.
Eine Online-Konsultation und eine internationale Konferenz waren die Höhepunkte einer öffentlichen Diskussion, die wertvolle Informationen und Einsichten für den Bericht geliefert hat. Es wurden zwei Online-Fragebogen ins Netz gestellt, die sich an von der Datenverarbeitung Betroffene bzw. an für die Datenverarbeitung Verantwortliche richteten und auf die insgesamt über 10 000 Antworten eingingen. 441 Konferenzteilnehmer füllten zwei Tage lang den größten Konferenzsaal der Kommission, und weitere 200 Interessenten mussten abgewiesen werden.
Darüber hinaus erhielt die Kommission über 70 sehr anspruchsvolle schriftliche Stellungnahmen, hauptsächlich von Unternehmen, die dazu beigetragen haben, dass bei der Überprüfung praktische Belange berücksichtigt wurden. Sowohl die Online-Konsultation als auch die schriftlichen Beiträge zeigten einen Meinungsumschwung bei den Unternehmen an, von strikter Ablehnung des Datenschutzrechtes hin zu konstruktiven Bemühungen um ein unternehmensfreundlicheres, mit weniger Aufwand verbundenes Regelwerk - ein Ziel, das die Kommission teilt.
Weitere Informationen
Der vollständige Bericht, eine technische Analyse der Durchführung der Richtlinie in den Mitgliedstaaten, ein ausführlicher Bericht über die internationale Konferenz und die Ergebnisse der Online-Umfrage finden Sie unter: http://europa.eu.int/comm/internal_market/privacy/lawreport_en.htm
Allgemeinere Informationen über den Datenschutz in der EU enthält die Datenschutz-Website der Kommission: http://europa.eu.int/comm/privacy
Quelle: Pressemitteilung der EU
