32000D0518

2000/518/EG: Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz (Bekannt gegeben unter Aktenzeichen K(2000) 2304) (Text von Bedeutung für den EWR.)

Amtsblatt Nr. L 215 vom 25/08/2000 S. 0001 - 0003


Entscheidung der Kommission

vom 26. Juli 2000

gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzes personenbezogener Daten in der Schweiz

(Bekannt gegeben unter Aktenzeichen K(2000) 2304)

(Text von Bedeutung für den EWR)

(2000/518/EG)

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(1), insbesondere auf Artikel 25 Absatz 6,

in Erwägung nachstehender Gründe:

(1) Gemäß der Richtlinie 95/46/EG haben die Mitgliedstaaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland vor der Übermittlung ein angemessenes Schutzniveau gewährleistet und die einzelstaatlichen Rechtsvorschriften zur Umsetzung anderer Bestimmungen der Richtlinie beachtet werden.

(2) Die Kommission kann feststellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind.

(3) Gemäß der Richtlinie 95/46/EG sollte die Angemessenheit des Schutzniveaus unter Berücksichtigung aller Umstände, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen, und im Hinblick auf die gegebenen Bedingungen beurteilt werden. Die durch die Richtlinie eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten hat Leitlinien für solche Bewertungen erstellt(2).

(4) Angesichts der verschiedenen Ansätze von Drittländern im Bereich Datenschutz sollte die Beurteilung der Angemessenheit bzw. die Durchsetzung jeder Entscheidung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG in einer Form erfolgen, die gegen Drittländer bzw. unter Drittländern, in denen gleiche Bedingungen vorherrschen, nicht willkürlich oder ungerechtfertigt diskriminierend wirkt und unter Berücksichtigung der bestehenden Verpflichtungen der Gemeinschaft kein verstecktes Handelshemmnis darstellt.

(5) Die Schweizerische Eidgenossenschaft verfügt auf Bundes- wie auch auf kantonaler Ebene über verbindliche Rechtsnormen zum Schutz personenbezogener Daten.

(6) Gemäß der am 18. April 1999 durch Volksabstimmung geänderten Bundesverfassung, die am 1. Januar 2000 in Kraft getreten ist, hat jede Person Anspruch auf die Achtung ihrer Privatsphäre und insbesondere auf den Schutz vor Missbrauch der sie betreffenden Daten. Das Bundesgericht hat in seiner Rechtsprechung bereits auf Basis der früheren Verfassung, die keine derartige Bestimmung enthielt, allgemeine Grundsätze für die Verarbeitung personenbezogener Daten entwickelt. Diese beziehen sich vor allem auf die Qualität der verarbeiteten Daten, das Auskunftsrecht der betroffenen Personen und das Recht, die Berichtigung oder Vernichtung der Daten zu verlangen. Diese Grundsätze sind sowohl für den Bund als auch für die Kantone bindend.

(7) Das schweizerische Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 ist am 1. Juli 1993 in Kraft getreten. Durchführungsvorschriften zu einigen Bestimmungen dieses Gesetzes, insbesondere über das Auskunftsrecht der betroffenen Personen, die Anmeldung der Datensammlungen bei einer unabhängigen Kontrollinstanz oder die Übermittlung der Daten ins Ausland, wurden in Verordnungen des Bundesrates geregelt. Das Gesetz gilt für die Bearbeitung personenbezogener Daten durch Bundesorgane, durch den gesamten privaten Sektor sowie durch kantonale Stellen in Erfuellung des Bundesrechts, sofern die Kantone auf diese Datenbearbeitung nicht kantonale Datenschutzbestimmungen anwenden.

(8) Die meisten Kantone haben datenschutzrechtliche Vorschriften für ihren Zuständigkeitsbereich erlassen, die insbesondere öffentliche Krankenhäuser, den Bildungssektor, direkte Steuern der Kantone und die Polizei betreffen. In den übrigen Kantonen wird der Schutz durch Ordnungsvorschriften gewährleistet oder es gelten die in der kantonalen Rechtsprechung festgelegten Grundsätze. Ungeachtet von Herkunft und Inhalt der kantonalen Bestimmungen, aber auch wenn keine derartigen Bestimmungen vorliegen, sind die Grundsätze der Verfassung einzuhalten. In ihrem Zuständigkeitsbereich können die Kantonalbehörden veranlasst werden, personenbezogene Daten an Behörden von Nachbarländern zu übermitteln, hauptsächlich zur Wahrung wichtiger öffentlicher Interessen oder, im Fall öffentlicher Krankenhäuser, zur Wahrung lebenswichtiger Interessen der betroffenen Personen.

(9) Die Schweiz hat am 2. Oktober 1997 das Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)(3) ratifiziert, mit dem der Schutz personenbezogener Daten gestärkt und der freie Verkehr zwischen den Vertragsparteien, vorbehaltlich der Ausnahmen, die diese vorsehen können, sichergestellt werden soll. Das Übereinkommen ist zwar nicht direkt anwendbar, enthält jedoch internationale Verpflichtungen für den Bund und die Kantone. Diese Verpflichtungen betreffen sowohl die Grundsätze des Datenschutzes, die jede Vertragspartei in ihrem innerstaatlichen Recht zu verwirklichen hat, als auch Vorkehrungen zur Zusammenarbeit zwischen den Vertragsparteien. Insbesondere müssen die schweizerischen Behörden den Behörden der übrigen Vertragsparteien auf Ersuchen Auskünfte über Recht und Verwaltungspraxis im Bereich des Datenschutzes sowie Sachauskünfte über eine bestimmte automatische Verarbeitung erteilen. Zudem haben sie jede im Ausland wohnende Person bei der Ausübung der ihr zustehenden Rechte zu unterstützen, wenn diese Auskünfte darüber verlangt, ob personenbezogene Daten über sie verarbeitet werden, sich diese Daten mitteilen lassen und sie gegebenenfalls berichtigen oder löschen lassen will und wenn sie einen Rechtsbehelf einlegen will.

(10) Die in der Schweiz geltenden Rechtsvorschriften berücksichtigen alle Grundsätze, die notwendig sind, damit ein ausreichender Schutz für natürliche Personen gegeben ist, obwohl sie auch Ausnahmen und Einschränkungen zur Wahrung wichtiger öffentlicher Interessen vorsehen. Um die Anwendung dieser Vorschriften zu garantieren, stehen Rechtsbehelfe zur Verfügung, und unabhängige Stellen, wie der mit Untersuchungs- und Eingriffskompetenzen ausgestattete eidgenössische Datenschutzbeauftragte, stellen die Überwachung sicher. Im Übrigen sind die Bestimmungen des schweizerischen Rechts über die zivilrechtliche Haftung anzuwenden, wenn durch die unerlaubte Verarbeitung ein Schaden verursacht wurde.

(11) Im Interesse der Transparenz und der Gewährleistung der Fähigkeit der zuständigen einzelstaatlichen Behörden, den Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, ist es ungeachtet der Feststellung eines angemessenen Schutzniveaus notwendig, in dieser Entscheidung die besonderen Umstände zu nennen, unter denen die Aussetzung bestimmter Datenströme gerechtfertigt ist.

(12) Die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten hat zu dem von dem schweizerischen Recht gewährten Schutzniveau Stellungnahmen abgegeben, die bei der Ausarbeitung der vorliegenden Entscheidung berücksichtigt wurden(4).

(13) Die in dieser Entscheidung vorgesehenen Maßnahmen entsprechen der Stellungnahme des durch Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschusses -

HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:

Artikel 1

Es wird festgestellt, dass die Schweiz für sämtliche unter die Richtlinie 95/46/EG fallenden Tätigkeiten ein im Sinne des Artikels 25 Absatz 2 der genannten Richtlinie angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die aus der Gemeinschaft übermittelt werden.

Artikel 2

Die vorliegende Entscheidung betrifft nur die Angemessenheit des Schutzes, der in der Schweiz gewährt wird, um die Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG zu erfuellen und lässt die Anwendung anderer Bestimmungen der Richtlinie, die sich auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten beziehen, unberührt.

Artikel 3

(1) Ungeachtet ihrer Befugnisse, tätig zu werden, um die Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als den des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, zu gewährleisten, können die zuständigen Behörden in den Mitgliedstaaten ihre bestehenden Befugnisse ausüben, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an einen Empfänger in der Schweiz auszusetzen, wenn

a) eine zuständige Schweizer Behörde feststellt, dass der Datenempfänger die geltenden Datenschutzvorschriften nicht einhält oder

b) eine hohe Wahrscheinlichkeit besteht, dass die Schutzvorschriften verletzt werden; wenn Grund zur Annahme besteht, dass die zuständige Schweizer Behörde nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortgesetzte Datenübermittlung den betroffenen Personen einen nicht wieder gutzumachenden Schaden zufügen würde, und wenn die zuständigen Behörden in den Mitgliedstaaten ihre Mitteilungspflichten gegenüber der für die Verarbeitung in der Schweiz zuständigen Stelle unter den gegebenen Umständen in angemessener Weise erfuellt und dieser Gelegenheit zur Stellungnahme gegeben haben.

Die Aussetzung ist zu beenden, sobald sichergestellt ist, dass die Vorschriften befolgt werden und die zuständige Behörde in der Gemeinschaft davon in Kenntnis gesetzt ist.

(2) Die Mitgliedstaaten informieren die Kommission unverzüglich, wenn Maßnahmen gemäß Absatz 1 ergriffen wurden.

(3) Die Mitgliedstaaten und die Kommission informieren einander auch über Fälle, bei denen die Maßnahmen der für die Einhaltung der Vorschriften in der Schweiz verantwortlichen Einrichtungen nicht ausreichen, um die Einhaltung zu gewährleisten.

(4) Ergeben die Informationen nach den Absätzen 1, 2 und 3, dass eine der für die Einhaltung der Vorschriften in der Schweiz verantwortlichen Einrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so informiert die Kommission die zuständige Schweizer Behörde und schlägt, wenn nötig, gemäß dem Verfahren von Artikel 31 der Richtlinie 95/46/EG im Hinblick auf eine Aufhebung oder Aussetzung dieser Entscheidung entsprechende Maßnahmen vor.

Artikel 4

(1) Diese Entscheidung kann jederzeit im Licht der Erfahrungen mit ihrer Anwendung oder aufgrund von Änderungen der Schweizer Rechtsvorschriften angepasst werden.

Die Kommission nimmt drei Jahre, nachdem sie die Mitgliedstaaten von dieser Entscheidung in Kenntnis gesetzt hat, anhand der verfügbaren Informationen eine Bewertung ihrer Anwendung vor und unterrichtet den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über ihre Feststellungen, einschließlich sämtlicher Erkenntnisse, die die Beurteilung in Artikel 1 dieser Entscheidung, wonach die Schweiz ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie 95/46/EG bietet, berühren könnten, sowie etwaiger Belege dafür, dass die Entscheidung in diskriminierender Weise angewandt wird.

(2) Die Kommission legt erforderlichenfalls gemäß dem Verfahren von Artikel 31 der Richtlinie 95/46/EG Vorschläge für Maßnahmen vor.

Artikel 5

Die Mitgliedstaaten ergreifen binnen 90 Tagen, nachdem sie von der Veröffentlichung der Entscheidung in Kenntnis gesetzt worden sind, alle für ihre Umsetzung erforderlichen Maßnahmen.

Artikel 6

Diese Entscheidung ist an alle Mitgliedstaaten gerichtet.

Brüssel, den 26. Juli 2000

Für die Kommission

Frederik Bolkestein

Mitglied der Kommission

(1) ABl. L 281 vom 23.11.1995, S. 31.

(2) Stellungnahme 12/98 der Datenschutzgruppe vom 24. Juli 1998: Übermittlungen personenbezogener Daten an Drittländer. Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU (GD MARKT D/5025/98), verfügbar auf der Website http://europa. eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Verfügbar auf der Website http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Stellungnahme 5/99 der Datenschutzgruppe vom 7. Juni 1999 (GD MARKT 5054/99), verfügbar auf der in Fußnote 2 genannten Website.