Datenschutz in der EU
Die ersten umfassenden Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und zum freien Datenverkehr wurden auf Ebene der Europäischen Union Mitte der 1990er Jahre in der Richtlinie 95/46/EG erlassen. Ab dem Jahr 2012 wurde eine umfassende Reform der unionsrechtlichen Datenschutzvorschriften eingeleitet.
Heute ist das Recht auf Schutz personenbezogener Daten sowohl im „EU-Primärrecht“ (vergleichbar mit dem nationalen Verfassungsrecht) als auch im „EU-Sekundärrecht“ (vergleichbar mit nationalen Gesetzen) verankert:
- „EU-Primärrecht“:
Vertrag über die Arbeitsweise der Europäischen Union (vgl. Art. 16 AEUV) »
Grundrechtecharta der Europäischen Union (vgl. Art. 8 EU-GRC) » - „EU-Sekundärrecht“:
Datenschutz-Grundverordnung (DSGVO) »
Richtlinie (EU) 2016/680 »
Verordnung (EU) 2018/1725 »
Die Europäische Kommission stellt auf ihrer Website weitere Informationen über die Aktivitäten der EU auf dem Gebiet des Datenschutzes zur Verfügung
Relevante Links:
Informationen der Europäischen Kommission zum Datenschutz in der EU »
Die DSGVO regelt den Umgang mit personenbezogenen Daten natürlicher Personen. Auf die Verarbeitung von personenbezogenen Daten juristischer Personen (bspw. einer GmbH) findet sie dagegen keine Anwendung. Ferner enthält die DSGVO nähere Vorgaben über die Einrichtung der unabhängigen Aufsichtsbehörden.
Sie ist in allen EU-Mitgliedstaaten und in den EFTA-Ländern Island, Liechtenstein und Norwegen unmittelbar anwendbar und bedarf grundsätzlich keiner weiteren innerstattlichen Umsetzungsakte. Da die DSGVO den Mitgliedstaaten an zahlreichen Stellen die Möglichkeit gibt, bestimmte Angelegenheiten selbst näher zu regeln, gibt es in Österreich auch weiterhin ein nationales Datenschutzgesetz.
Alle Sprachfassungen der DSGVO »
Deutschsprachiger Text der DSGVO »
Leitfaden der Datenschutzbehörde zur DSGVO »
Die Verarbeitung personenbezogener Daten durch zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung ist vom Anwendungsbereich der DSGVO ausdrücklich ausgenommen und wird in der Richtlinie (EU) 2016/680 eigens geregelt.
Die innerstaatliche Umsetzung der Richtlinie (EU) 2016/680 erfolgt in Österreich im Wesentlichen im 3. Hauptstück des Datenschutzgesetzes.
Die Bestimmungen der Richtlinie (EU) 2016/680 sind an die DSGVO angelehnt, enthalten jedoch bereichsspezifische Abweichungen und Ausnahmen für die behördliche Datenverarbeitung zu Strafverfolgungs- und Strafvollstreckungszwecken.
Alle Sprachfassungen der Richtline »
Deutschsprachiger Text der Richtlinie »
Die Verarbeitung personenbezogener Daten durch Organe, Einrichtungen und sonstigen Stellen der Union unterliegt ebenfalls nicht der DSGVO, sondern wird in der Verordnung (EU) 2018/1725 eigens geregelt, deren Bestimmungen im Wesentlichen der DSGVO entsprechen.
Die Aufsicht über Datenverarbeitungen von Unionsorganen und Unionseinrichtungen obliegt nicht den Aufsichtsbehörden der Mitgliedstaaten, sondern einer eigenen Aufsichtsbehörde, dem Europäischen Datenschutzbeauftragten.
Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG.
Verordnung (EU) 2018/1725 »
Website des Europäischen Datenschutzbeauftragten »
Weitere Rechtsquellen
Die EMRK stellt – im Unterschied zur Grundrechtecharta der Europäischen Union und zur DSGVO – kein Unionsrecht, sondern einen völkerrechtlichen Vertrag mit aktuell 46 Mitgliedstaaten dar. Österreich ist seit dem Jahr 1958 Vertragspartei und die EMRK steht in Österreich im Verfassungsrang.
Die Auslegung der EMRK erfolgt nicht durch den Europäischen Gerichtshof in Luxemburg, sondern durch den Europäischen Gerichtshof für Menschenrechte in Straßburg, welcher aus dem Recht auf Achtung des Privat- und Familienlebens nach Art. 8 EMRK ein Recht auf Schutz personenbezogener Daten ableitet.
Aus diesem Grund ist die EMRK in datenschutzrechtlicher Hinsicht für die Auslegung des unionalen Rechts auf Schutz personenbezogener Daten relevant.
Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) »
Website des Europäischen Gerichtshofs für Menschenrechte »
Die Datenschutzkonvention 108 des Europarates bildet das bis heute einzige völkerrechtlich verbindliches Instrument im Bereich der automatischen Verarbeitung personenbezogener Daten. Sein Zusatzprotokoll sieht unter anderem die Errichtung unabhängiger Kontrollstellen vor.
Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Datenschutzkonvention 108) Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten betreffend Kontrollstellen und grenzüberschreitenden Datenverkehr:
Datenschutzkonvention 108 »
Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten betreffend Kontrollstellen und grenzüberschreitenden Datenverkehr:
Datenschutzkonvention 108 – Zusatzprotokoll »
Protokoll zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Datenschutzkonvention 108+):
Datenschutzkonvention 108+ - Änderungsprotokoll »
Durch ein Änderungsprotokoll wird die Modernisierung und Verbesserung der Datenschutzkonvention 108 angestrebt („Datenschutzkonvention 108+“), Österreich hat die Datenschutzkonvention 108+ im Jahr 2022 ratifiziert.