1.
Nutzung sozialer Netzwerke in Österreich ^
Ein soziales Netzwerk bzw. Social Network im Internet ist eine lose Verbindung von Menschen in einer Netzgemeinschaft. Handelt es sich um Netzwerke, bei denen die Benutzer gemeinsam eigene Inhalte erstellen, bezeichnet man diese auch als soziale Medien.1 Das weltweit größte soziale Netzwerk mit über einer Milliarde aktiver Nutzer ist Facebook.2 Bei der Entwicklung und Nutzung von Sozialen Netzwerken handelt es sich um ein relativ neues Phänomen, wobei die Zahl der Nutzer dieser Websites ständig exponentiell zunimmt.
Obwohl 34% der Österreicher und Österreicherinnen soziale Netzwerke nutzen,5 spielen diese im «täglichen Leben» der österreichischen Datenschutzkommission keine zentrale Rolle. Dies liegt vor allem daran, dass die Regelung des § 3 DSG 2000 (in Umsetzung des Art. 4 der Datenschutzrichtlinie 95/46/EG6) eine Regelung enthält, wonach dann, wenn ein ausländischer Auftraggeber des privaten Bereichs einen Sitz in einem anderen Mitgliedstaat der Europäischen Union hat und personenbezogene Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist, das Recht des Sitzstaates des Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden ist. 7
Nachdem der größte Anbieter Sozialer Netzwerke «Facebook» jedenfalls eine Niederlassung in Dublin (Irland) hat,8 ist für Beschwerden gegen Facebook, soweit die Datenverarbeitung für Zwecke dieser Niederlassung erfolgt, die irische Datenschutzbehörde zuständig. Diese hat ihre Zuständigkeit bereits in mehreren Fällen anerkannt. Berühmt geworden ist vor allem die von österreichischen Studenten gegründete Initiative «Europe versus Facebook»9: eine Gruppe österreichischer Studenten, als deren Sprecher Max Schrems auftrat, brachten bei der irischen Datenschutzbehörde 22 Beschwerdepunkte gegen Facebook ein. Die irische Behörde leitete ein Verfahren gegen Facebook ein und erteilte Empfehlungen an Facebook, denen teilweise Folge geleistet wurde. 10
Dennoch kann man nicht von einem gänzlichen Ausschluss der Anwendbarkeit österreichischen Rechts ausgehen, zumal auch die Nutzer selbst als Auftraggeber tätig werden können.11
2.
Datenschutzrechtliche Überlegungen auf europäischer Ebene ^
Auch die «Entschließung zum Datenschutz in sozialen Netzwerkdiensten» (angenommen von der 30. Internationalen Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre in Straßburg am 17. Oktober 2008), stellt auf die mit diesen Diensten einhergehenden Herausforderungen ab.14
2.1.
Definition und Geschäftsmodell der «sozialen Netzwerkdienste» ^
- die Nutzer werden aufgefordert, personenbezogene Daten zur Erstellung einer Beschreibung von sich selbst bzw. eines selbst generierten persönlichen ‹Profils› anzugeben;
- soziale Netzwerkdienste bieten auch Funktionen an, mit denen die Nutzer ihr eigenes Material (selbst generierte Inhalte wie z. B. Bilder oder Tagebucheinträge, Musik- und Videoclips oder Links zu anderen Websites) dort veröffentlichen können;
- die Nutzung der sozialen Netzwerke erfolgt über die jedem Nutzer bereitgestellten Funktionen samt Kontaktliste bzw. Adressbuch, mittels derer die Verweise auf die anderen Mitglieder der Netzgemeinschaft verwaltet und zu Interaktionen mit diesen genutzt werden können.
2.2.
Anwendbares Recht ^
- eine Niederlassung für die Beziehungen zu den Benutzern des Anbieters in einem bestimmten gerichtlichen Zuständigkeitsbereich verantwortlich ist;
- ein Anbieter ein Büro in einem Mitgliedstaat (EWR) einrichtet, das am Verkauf zielgruppenspezifischer Werbeanzeigen an die Einwohner dieses Staates beteiligt ist;
- die Niederlassung eines Anbieters in Bezug auf Benutzerdaten richterlichen Anordnungen und/oder Ersuchen der zuständigen Behörden eines Mitgliedstaats zur Strafverfolgung nachkommt.
Dieser Punkt war bereits im Arbeitspapier WP 56 erörtert worden: «Wie bereits gesagt, kann der PC eines Nutzers als ein Mittel im Sinne von Artikel 4 Absatz 1 Buchstabe c der Richtlinie 95/46/EG angesehen werden. Er befindet sich im Gebiet eines Mitgliedstaats. Der für die Verarbeitung Verantwortliche hat beschlossen, dieses Mittel zum Zwecke der Verarbeitung personenbezogener Daten zu nutzen. Wie bereits in den vorstehenden Absätzen erläutert, laufen jetzt einige technische Operationen ab, die nicht unter der Kontrolle der betroffenen Person stehen. Der für die Verarbeitung Verantwortliche verfügt damit über die Mittel des Nutzers und diese Mittel werden nicht nur zum Zwecke der Durchfuhr durch das Gebiet der Gemeinschaft verwendet.» 26
2.3.1.
Anbieter sozialer Netzwerkdienste ^
2.3.2.
Anbieter von Anwendungs-/Softwaredienstleistungen ^
2.3.3.
Nutzer ^
2.4.1.
Zustimmung der Betroffenen ^
2.4.2.
Erheblichkeit der Daten ^
2.5.2.
Informationspflichten des sozialen Netzwerkdienstes ^
2.6.1.
Betroffenenrechte ^
- einwandfreie und rechtmäßige Verarbeitung personenbezogener Daten im Hinblick auf Minderjährige, wie z. B. keinerlei Abfragen von sensiblen Daten in den Anmeldeformularen, keine speziell auf Minderjährige ausgerichtete Direktwerbung,
- Erfordernis der vorherigen Einwilligung der Eltern vor jeder Registrierung, geeignete Grade für die abgestufte Trennung zwischen den Datensätzen der Kinder- und der Erwachsenencommunity;
- Einführung von Technologien zur Stärkung des Schutzes der Privatsphäre (PETs) – z. B. datenschutzfreundliche Standardeinstellungen, Einblendung von Warnsignalen bei sicherheitsrelevanten Schritten, Software zur Altersüberprüfung);
- Selbstkontrolle und –regulierung durch die Anbieter von sozialen Netzwerkdiensten, Förderung der Annahme von praktischen Verhaltenskodexen mit wirksamen Zwangsmaßnahmen und disziplinierenden Wirkungen;
- gegebenenfalls Ad-hoc-Gesetzgebungsmaßnahmen zur Verhinderung unfairer und/oder irreführender Praktiken im Zusammenhang mit sozialen Netzwerkdiensten.
3.
Ausgewählte Rechtsprobleme – insbesondere im Hinblick auf den Entwurf einer Datenschutz-Grundverordnung ^
3.1.
Vorschläge neuer EU-Rechtsinstrumente im Datenschutz ^
3.2.
Einwilligung ^
- «Beispiel: Privatsphäre-Voreinstellungen
- Die Voreinstellungen in privaten Netzwerken, auf die Nutzer nicht unbedingt Zugriff nehmen müssen, um das Netzwerk zu nutzen, ermöglichen die gesamte ‹Friend of a Friend› Kategorie, bei der die personenbezogenen Daten jedes Nutzers allen ‹Friends of a Friend› sichtbar gemacht werden. Nutzer, die nicht möchten, dass ihre personenbezogenen Daten von ‹Friends of a Friend› gesehen werden, müssen eine Schaltfläche anklicken. Wenn sie passiv bleiben oder die Schaltfläche nicht anklicken, geht der für die Datenverarbeitung Verantwortliche davon aus, dass sie eingewilligt haben, dass ihre Daten sichtbar sind. Es ist jedoch sehr fraglich, ob das Nicht- Anklicken einer Schaltfläche bedeutet, dass die Nutzer im Allgemeinen einwilligen, ihre Informationen allen ‹Friends of a Friend› sichtbar zu machen. Aufgrund der Unsicherheit, ob das Ausbleiben einer Handlung wirklich als Einwilligung gemeint ist, kann das Nicht-Anklicken nicht als Einwilligung ohne Zweifel gelten.»48
3.3.
Stärkung der Betroffenenrechte ^
3.4.1.
Sachlicher Anwendungsbereich – Ausnahme für Privathaushalte ^
3.4.2.
Räumlicher Anwendungsbereich und Zuständigkeit der Datenschutz-Aufsichtsbehörden ^
- Die Beschwerde kann bei jeder Datenschutzbehörde eingebracht werden.
- Es besteht eine obligatorische Zusammenarbeit mit anderen Datenschutzbehörden (Gemeinsame Maßnahmen der Aufsichtsbehörden); jede Aufsichtsbehörde, in deren Sitzstaat sich Betroffene befinden, hat das Recht, an den Audits teilzunehmen;
- Es besteht eine obligatorische Befassung des Europäischen Datenschutzausschusses (das ist das Nachfolgegremium der Art. 29 Datenschutzgruppe);
- Eine einheitliche Anwendung und Interpretation der Verordnung ist notwendig – Differenzen würden im Europäischen Datenschutzausschuss ausdiskutiert werden; in bestimmten Fällen besteht sogar eine Interventionsmöglichkeit der Europäischen Kommission;
- Die Datenschutz-Aufsichtsbehörde hat die Möglichkeit der Verhängung von Strafen im Falle von «Non-Compliance».
3.5.
Durchsetzbarkeit ^
Naturgemäß kann eine EU-weite Verordnung nicht die Durchsetzbarkeit aller Betroffenenrechte gegenüber «mit der Verarbeitung Verantwortlichen», die sich im Ausland befinden, gewährleisten. Solange diese eine Niederlassung in der EU haben, scheint das Problem teilweise entschärft. Grundsätzlich stellt sich aber nach wie vor die Frage nach einem weltweiten Datenschutzinstrument. Als Ansätze sind etwa die «Madrid-Standards»68 zu nennen, die 2009 auf der Internationalen Datenschutzkonferenz in Madrid von den unabhängigen Datenschutzbehörden angenommen wurden. Diese stellen allerdings nicht einklagbares «soft law» dar.
4.
Zusammenfassung ^
5.
Literatur ^
Stellungnahme der Berliner «International Working Group on Data Protection in Telecommunications» (Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation) dem so genannten «Rom-Memorandum», http://www.datenschutz.fu-berlin.de/dahlem/ressourcen/675_36_13-ROM-Memorandum.pdf
Stellungnahme 5/2009 der Art. 29 Datenschutzgruppe zur Nutzung sozialer Online-Netze, WP163, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf
Leissler Günter, Soziale Netzwerke und Datenschutzrecht, in: Jahrbuch Datenschutzrecht 11, Jahnel (Hrsg.), Wien 2011, 103ff.
«Security Issues and Recommendations for Online Social Networks» (Sicherheitsfragen und Empfehlungen für Soziale Online-Netzwerke), http://www.enisa.europa.eu/publications/archive/soc-net
Entschließung zum Datenschutz in sozialen Netzwerkdiensten, http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/IntDSK/2008SozialeNetzwerke.html?nn=409246
Stellungnahme 1/2008 der Art. 29 Datenschutzgruppe zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, angenommen am 4. April 2008 (WP148), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_de.pdf
Initiative «Europe versus Facebook», http://www.europe-v-facebook.org/DE/de.html
Arbeitspapier der Art. 29 Datenschutzgruppe über die Frage der internationalen Anwendbarkeit des EU-Datenschutzrechts bei der Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU (WP 56), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp56_de.pdf
Stellungnahme 15/2011 der Art. 29 Datenschutzgruppe zur Definition von Einwilligung (WP 187), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_de.pdf
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, KOM(2012) 11 endgültig, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF
Souhrada-Kirchmayer, Eva, Das Gesamtkonzept der EU für den Datenschutz, in: Jahrbuch Datenschutzrecht 2011, Jahnel (Hrsg.), Wien 2011, 33ff.
Dohr/Pollirer/Weiss/Knyrim, DSG2, Kommentar zum Datenschutzgesetz 2000.
Zscherpe, Kerstin A., Anforderungen an die datenschutzrechtliche Einsichtsfähigkeit im Internet, Multimedia und Recht (MMR), München 2004, 723ff.
Kastelitz, Markus/Neugebauer, Carina, Aspekte der datenschutzrechtlichen Zustimmung(sfähigkeit) Minderjähriger, in: Jahrbuch Datenschutzrecht 2011, Jahnel (Hrsg.). Wien 2011, 71 ff.
Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Europäischen Kommission zum «Gesamtkonzept für den Datenschutz in der Europäischen Union», ABl. vom 22. Juni 2011, C 181/1ff.
Entwurf eines Berichts über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), Jan Philipp Albrecht, 2012/0011(COD), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+COMPARL+PE-501.927+04+DOC+PDF+V0//DE, Änderungsantrag 142 und 154
International Standards on the Protection of Personal Data and Privacy, The Madrid Resolution, International Conference of Data Protection and Privacy Commissioners, http://www.privacyconference2009.org/dpas_space/space_reserved/documentos_adoptados/common/2009_Madrid/estandares_resolucion_madrid_en.pdf
Eva Souhrada-Kirchmayer, Geschäftsführendes Mitglied und Leiterin der Geschäftsstelle der Datenschutzkommission, Wien, Österreich.
Der vorliegende Beitrag stellt eine erweiterte Fassung eines Vortrages dar, den die Autorin anlässlich einer Veranstaltung zum Europäischen Datenschutztag 2013 im Bundeskanzleramt gehalten hat.
Meine ersten Kontakte mit Friedrich «Friedl» Lachmayer hatte ich bereits zu jener Zeit, als ich noch im Bundesministerium für Wissenschaft und Forschung arbeitete (1983 bis 1991). Als ich 1991 in den BKA-VD eintrat, verstärkte sich die Zusammenarbeit mit dem Jubilar. Schließlich wurden wir zu «Abteilungsleiter-Kollegen», die stets ein freundschaftliches Verhältnis verband. Auch in seinem «Unruhe-Stand» treffe ich immer wieder mit dem Jubilar zusammen – sei es bei Rechtsinformatik-Tagungen oder bei gesellschaftlichen Ereignissen – wobei mir die humorvollen, manchmal philosophischen Bemerkungen Dr. Lachmayers und die Art, wie er manche Dinge direkt, aber nie verletzend auf den Punkt bringt, immer wieder neue Denkanstöße geben.
- 1 Wikipedia, http://de.wikipedia.org/wiki/Soziales_Netzwerk_%28Internet%29 (die Zitate der Internetlinks beziehen sich auf den Stichtag 12. April 2013).
- 2 Facebooks offizielle Statistik, https://newsroom.fb.com/content/default.aspx?NewsAreaId=22.
- 3 Die Ausführungen in diesem Absatz stammen aus der Stellungnahme der Berliner «International Working Group on Data Protection in Telecommunications» (Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation) dem so genannten «Rom-Memorandum», http://www.datenschutz.fu-berlin.de/dahlem/ressourcen/675_36_13-ROM-Memorandum.pdf.
- 4 Stellungnahme 5/2009 der Art. 29 Datenschutzgruppe zur Nutzung sozialer Online-Netze (WP 163), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf, 4.
- 5 http://derstandard.at/1345165045996/Nutzung-von-Internet-und-sozialen-Netzwerken-stagniert.
- 6 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 281/31 vom 23.11.1995 (im Folgenden: «DSRL»).
- 7 §3 Abs. 2 DSG 2000. § 3 DSG 2000 lautet: Räumlicher Anwendungsbereich § 3. (1) Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses Bundesgesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4) geschieht. (2) Abweichend von Abs. 1 ist das Recht des Sitzstaates des Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn ein Auftraggeber des privaten Bereichs (§ 5 Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union personenbezogene Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist. (3) Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit personenbezogene Daten durch das Inland nur durchgeführt werden. (4) Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in Angelegenheiten zulässig, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
- 8 Ein weiterer Sitz Facebooks befindet sich in Deutschland (Facebook Germany); in einem Rechtsstreit zwischen Facebook und dem Landeszentrum für Datenschutz Schleswig-Holstein bekam Facebook mit zwei Beschlüssen vom 14. Februar 2013 des Verwaltungsgerichts Schleswig (Az. 8 B 60/12, 8 B 61/12) jedoch Recht «Das Datenschutzzentrum habe seine Anordnung zu Unrecht auf das deutsche Datenschutzrecht gestützt. Dieses sei jedoch nicht anwendbar. Nach der DSRL und dem Bundesdatenschutzgesetz finde das deutsche Recht keine Anwendung, sofern die Erhebung und Verarbeitung von personenbezogenen Daten durch eine Niederlassung in einem anderen Mitgliedstaat der Europäischen Union stattfinde. Dies sei hier der Fall: Die Facebook Ltd. Ireland erfülle mit dem dort vorhandenen Personal und den dortigen Einrichtungen alle Voraussetzungen einer Niederlassung in diesem Sinne mit der Folge, dass ausschließlich irisches Datenschutzrecht Anwendung finde. Die Facebook Germany GmbH hingegen sei ausschließlich im Bereich der Anzeigenaquise und des Marketing tätig. Daher sei sowohl die Anordnung der Entsperrung als auch die Zwangsgeldandrohung rechtswidrig.», siehe http://www.schleswig-holstein.de/OVG/DE/Service/Presse/Pressemitteilungen/15022013VG_facebook_anonym.html, Verwaltungsgericht gibt Eilanträgen von Facebook statt.
- 9 http://www.europe-v-facebook.org/DE/de.html.
- 10 Europe-v-Facebook veröffentlichte unter http://www.europe-v-facebook.org/report.pdf einen Gegenbericht zum Bericht der irischen Datenschutzbehörde, da nach Meinung der Beschwerdeführer noch einige Empfehlungen nicht befolgt wurden und Beschwerdepunkte offen geblieben waren.
- 11 Siehe dazu auch die Ausführungen von Leissler, Soziale Netzwerke und Datenschutzrecht, in: Jahrbuch Datenschutzrecht 11, Jahnel (Hg), Wien 2011, 111f. Insofern ist eine gewisse Diskrepanz zwischen der Interpretation der Art. 29 Datenschutzgruppe (siehe die Ausführungen unter Punkt 2.2. zum anwendbaren Recht und Punkt 2.3. zur datenschutzrechtlichen Rollenverteilung), wonach ein Nutzer im persönlich-familiären Bereich gar nicht als «für die Verarbeitung Verantwortlicher» zu sehen ist, und der österreichischen Rechtslage, wonach auch Nutzer prinzipiell unter die Regelungen des DSG 2000 fallen und – sofern sie Daten über Dritte verarbeiten – als Auftraggeber gelten., deren Tätigkeit allerdings unter Umständen unter die Bestimmung des § 45 DSG 2000 fällt und daher z. B. von der Meldepflicht an die Datenschutzkommission befreit ist.
- 12 http://www.enisa.europa.eu/publications/archive/soc-net.
- 13 ROM-Memorandum, aaO.
- 14 http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/IntDSK/2008Soziale Netzwerke.html?nn=409246.
- 15 Die folgenden Ausführungen in Kapitel 2 basieren im Wesentlichen auf den Ausführungen der Art. 29 Datenschutzgruppe.
- 16 WP 163, aaO, 5.
- 17 WP 163, aaO, 5.
- 18 ROM-Memorandum, aaO, 3.
- 19 WP 163, aaO, 5.
- 20 «Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen», angenommen am 4. April 2008 (WP148), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_de.pdf.
- 21 WP 148, aaO, 10.
- 22 Ausführungen zur «Niederlassung» finden sich bereits im Arbeitspapier über die Frage der internationalen Anwendbarkeit des EU-Datenschutzrechts bei der Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU (WP 56), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp56_de.pdf, 8f.
- 23 WP 148, aaO, 11.
- 24 WP 148, aaO, 12.
- 25 WP 148, aaO, 12.
- 26 WP 56, aaO, 12.
- 27 Das folgende Kapitel gibt die Ausführungen der Art. 29-Datenschutzgruppe wieder, siehe WP 163, aaO, 6ff.
- 28 Der im österreichischen DSG 2000 definierte «Auftraggeber» entspricht dem in der DSRL verwendeten Begriff des «für die Verarbeitung Verantwortlichen».
- 29 WP 163, aaO, 6.
- 30 WP 163, aaO, 6.
- 31 WP 163, aaO, 7.
- 32 Hier wird allerdings nicht gesagt, aufgrund welcher datenschutzrechtlicher Rechtsgrundlage eine Achtung der Rechte Dritter geboten ist, da ja nach dem Verständnis der Gruppe die Anwendbarkeit der Ausnahme für Privathaushalte gar keine Auftraggebereigenschaft begriündet.
- 33 WP 163, aaO, 7.
- 34 Sinngemäß Leissler, Soziale Netzwerke und Datenschutzrecht, aaO, 14f.
- 35 WP 163, aaO, 13.
- 36 Siehe dazu WP 163, aaO, 8ff.
- 37 WP 163, aaO, 8 und ROM-Memorandum, aaO, 7f.
- 38 ROM-Memorandum, aaO, 5.
- 39 WP 163, aaO, 8.
- 40 WP 163, aaO, 13.
- 41 http://www.spiegel.de/netzwelt/web/facebook-kritiker-mein-gesicht-ist-nicht-deren-geschaeftsgeheimnis-a-789124.html.
- 42 Siehe WP 163, aaO, 14.
- 43 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, KOM(2012) 11 endgültig, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF.
- 44 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, KOM(2012) 10 endgültig, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:DE:PDF.
- 45 Rahmenbeschluss 2008/977/JI vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, ABl L 350. 60ff..
- 46 Stand am Stichtag 12. April 2013.
- 47 Stellungnahme15/2011 zur Definition von Einwilligung (WP 187), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_de.pdf.
- 48 WP 187, aaO, 22.
- 49 DieStärkung der Rechte des Einzelnen war bereits im Strategiepapier der Europäischen Kommission im Jahre 2010 enthalten; siehe Mitteilung der Kommission über ein Gesamtkonzept für den Datenschutz in der Europäischen Union an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 4. November 2010, KOM(2010) 609 endgültig, 5ff; . siehe dazu auch Souhrada-Kirchmayer, Das Gesamtkonzept der EU für den Datenschutz, Jahrbuch Datenschutzrecht 2011, Jahnel (Hg), Wien 2011, 33 ff.
- 50 Art. 4 Abs. 8 Datenschutz-Grundverordnung.
- 51 Dohr/Pollirer/Weiss/Knyrim, DSG2, Anmerkung zu § 4 Z 14.
- 52 Z. B. Zscherpe, Anforderungen an die datenschutzrechtliche Einsichtsfähigkeit im Internet, MMR 2004, München, 724.
- 53 Siehe dazu auch die Überlegungen von Kastelitz/Neugebauer, Aspekte der datenschutzrechtlichen Zustimmung(sfähigkeit) Minderjähriger, in: Jahrbuch Datenschutzrecht 2011, Jahnel (Hg), Wien 2011, 71ff.
- 54 Siehe Stellungnahme des Europäischen Datenschutzbeauftragten zur Mitteilung der Europäischen Kommission zum «Gesamtkonzept für den Datenschutz in der Europäischen Union», ABl vom 22. Juni 2011, C 181, Rz. 88, in der eine Art «Verfallsdatum» für Daten nach Ablauf einer gewissen Frist angedacht wird.
- 55 Art. 17 Datenschutz-Grundverordnung, aaO.
- 56 Dieser lautet: «Werden personenbezogene Daten elektronisch in einem strukturierten gängigen elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen.»
- 57 Entwurf eines Berichts über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 2012/0011(COD), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-501.927%2b04%2bDOC%2bPDF%2bV0%2f%2fDE, Änderungsantrag 142 und 154.
- 58 Art. 20 des Vorschlags für eine Datenschutz-Grundverordnung, aaO.
- 59 Art. 23 des Vorschlags für eine Datenschutz-Grundverordnung, aaO.
- 60 Art. 31 und 32 des Vorschlags für eine Datenschutz-Grundverordnung, aaO.
- 61 Art. 2 Abs. 2 lit. d des Vorschlags zur Datenschutz-Grundverordnung, aaO.
- 62 2012/0011 (COD), aaO, Änderungsvorschlag 79.
- 63 Art. 28 Abs. 6 DSRL, aaO.
- 64 Art. 3 der Entwurfes einer Datenschutz-Grundverordnung lautet: Räumlicher Anwendungsbereich 1. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt. 2. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen, wenn die Datenverarbeitung a) dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten, oder b) der Beobachtung ihres Verhaltens dient. 3. Die Verordnung findet Anwendung auf jede Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen an einem Ort, der nach internationalem Recht dem Recht eines Mitgliedstaats unterliegt.
- 65 Art. 4 (13) des Vorschlages zur Datenschutz-Grundverordnung «Hauptniederlassung» im Falle des für die Verarbeitung Verantwortlichen der Ort seiner Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden; wird über die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten nicht in der Union entschieden, ist die Hauptniederlassung der Ort, an dem die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen in der Union hauptsächlich stattfinden. Im Falle des Auftragsverarbeiters bezeichnet «Hauptniederlassung» den Ort, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat.
- 66 Kapitel VII «Zusammenarbeit und Kohärenz» Datenschutz-Grundverordnung, aaO.
- 67 Art. 74 Abs. 4 Datenschutz-Grundverordnung, aaO.
- 68 International Standards on the Protection of Personal Data and Privacy, The Madrid Resolution, International Conference of Data Protection and Privacy Commissioners, http://www.privacyconference2009.org/dpas_space/space_reserved/documentos_adoptados/ common/2009_Madrid/estandares_resolucion_madrid_en.pdf.
- 69 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, ETS 108.
- 70 Bei Redaktionsschluss hatte bereits der beratende Ausschuss nach der Konvention 108 (so genanntes «T-PD») eine Neuregelung angenommen, die aber noch weitere Gremien des Europarates durchlaufen muss.
- 71 http://www.humanrightseurope.org/2013/04/uruguays-accession-to-convention-108-signals-boost-for-global-data-protection/.