Richtlinie (EU) 2016/680

Richtlinie der Europäischen Union, die Grundsätze für die Verarbeitung personenbezogener Daten in den Bereichen Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung regelt

Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist eine Richtlinie der Europäischen Union, die die Grundsätze der Datenschutz-Grundverordnung auch auf den Bereich der Verarbeitung personenbezogener Daten im Bereich innere Sicherheit, Polizei, Staatsanwaltschaften und Gerichte anwendbar macht.[1] Den Mitgliedstaaten wird in der Richtlinie aufgegeben, für die entsprechenden Bereiche die dafür notwendigen Datenschutzgesetze zu erlassen.

Flagge der Europäischen Union

Richtlinie (EU) 2016/680

Titel: Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates
Bezeichnung:
(nicht amtlich)
JI-Richtlinie, JI-Datenschutzrichtlinie
Geltungsbereich: EWR
Rechtsmaterie: Datenschutzrecht
Grundlage: AEUV, insbesondere Artikel 16 Absatz 2
Verfahrensübersicht: Europäische Kommission
Europäisches Parlament
IPEX Wiki
Inkrafttreten: 5. Mai 2016
Anzuwenden ab: 6. Mai 2018; Übergangsvorschrift für „Altsysteme“ bis 6. Mai 2023
Fundstelle: ABl. L 119 vom 4. Mai 2016, S. 89
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Die Richtlinie ersetzt den aus 2008 stammenden Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden.

Zusammen mit der Datenschutz-Grundverordnung bildet die Richtlinie (EU) 2016/680 seit Mai 2018 den gemeinsamen Datenschutzrahmen der Europäischen Union. Im Gegensatz zur Datenschutz-Grundverordnung wurde die Richtlinie nicht in das EWR-Abkommen übernommen. Sie ist in den Mitgliedstaaten der EU – nicht aber in Norwegen und Island anwendbar. Da Dänemark eine Sonderrolle im Raum der Freiheit, der Sicherheit und des Rechts[2] war die Zustimmung des Folketings für die Anwendbarkeit in Dänemark notwendig. Diese folgte am 25. Oktober 2016.[3] Aufgrund von Artikel 6a des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 war die Richtlinie in den meisten Fällen auch ohne deren gesonderte Zustimmung für das Vereinigte Königreich und Irland verbindlich.[4]

Zu diesem Datenschutzrahmen trat im November 2018 die auch für die Organe und Stellen der Europäischen Union verbindliche Verordnung (EU) 2018/1725.

Hintergrund und Entstehung

Bearbeiten

Die EU-Vorschriften zum Schutz personenbezogener Daten basierten auf der Richtlinie 95/46/EG aus dem Jahr 1995, die sich zum einen auf den Schutz des Grundrechts auf Datenschutz und zum anderen auf die Garantie des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten konzentrierte. Die Richtlinie wurde durch spezifische Datenschutzbestimmungen im Bereich der polizeilichen und justiziellen Zusammenarbeit ergänzt („dritte Säule“) unter anderem durch den Rahmenbeschluss 2008/977/JI. Deshalb ersuchte Europäische Rat die Kommission, die bestehenden Rechtsinstrumente zum Datenschutz zu bewerten und gegebenenfalls weitere Initiativen vorzulegen.[5] Das Europäische Parlament begrüßte diesen Vorschlag.[6]

In der Umsetzung des Stockholmer Programms stellte die Kommission fest, dass die EU ein umfassenderes und kohärenteres Konzept für den Datenschutz benötigte:[7] Insbesondere da der Rahmenbeschluss auf die grenzübergreifende Datenverarbeitung beschränkt war und die Verarbeitung durch Polizei- und Justizbehörden auf nationaler Ebene nicht einschloss. Dies konnte zu Problemen bei der polizeilichen und justiziellen Zusammenarbeit führen. Außerdem ließ der Rahmenbeschluss zu viele Ausnahmen vom Zweckbindungsprinzip zu. Darüber hinaus wurden in den Bestimmungen Datenkategorien nicht nach ihrer sachlichen Richtigkeit und Zuverlässigkeit unterschieden. Auch sollten auf Fakten beruhende Daten anders behandelt werden als Daten, denen Meinungen und persönliche Einschätzungen zugrunde lagen, und es sollte zwischen verschiedenen Gruppen der von der Verarbeitung Betroffenen (Straftäter, Verdächtigte, Opfer, Zeugen usw.) unterschieden werden, wobei für die Gruppe der Nichtverdächtigten besondere Garantien gelten mussten.

Rechtsgrundlage

Bearbeiten

Die EU verfügt erst seit dem Vertrag von Lissabon über eine spezielle Rechtsgrundlage für den Erlass von Datenschutzvorschriften, die auch für die polizeiliche und justizielle Zusammenarbeit in Strafsachen gilt. Artikel 16 AEUV operationalisiert den Grundsatz, dass jede Person das Recht auf Schutz ihrer personenbezogenen Daten hat aus der Charta der Grundrechte der Europäischen Union. Die Mitgliedstaaten erkannten darüber hinaus an, „dass es sich aufgrund des spezifischen Charakters der Bereiche justizielle Zusammenarbeit in Strafsachen und polizeiliche Zusammenarbeit als erforderlich erweisen könnte, in diesen Bereichen spezifische, auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Datenverkehr zu erlassen.“[8]

Umsetzung

Bearbeiten

Deutschland

Bearbeiten

In Deutschland wurde die Richtlinie für die Zuständigkeit des Bundes mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU,[9] dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU sowie dem Gesetz zur Umsetzung der Richtlinie (EU) 2016/680[10] im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679[11] umgesetzt. Hierdurch wurde Teil 3 des Bundesdatenschutzgesetzes (BDSG) neu gefasst. Soweit öffentliche Stellen der Länder im Anwendungsbereich der Strafprozessordnung personenbezogene Daten verarbeiten, ist Teil 3 des BDSG entsprechend anzuwenden (§ 500 Abs. 1 StPO).

Gemäß Erwägungsgrund 102 der Richtlinie 2016/680 stellt diese eine Weiterentwicklung des Schengen-Acquis dar. In diesem Zusammenhang existiert ein Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der schweizerischen Eidgenossenschaft über die Assoziierung der Schweiz bei der Umsetzung, Anwendung und Entwicklung des Schengen-Acquis. In der Folge tritt in der Schweiz am 1. März 2019 das Schengen-Datenschutzgesetz (SDSG) in Kraft.[12] Unter anderem verpflichtet das SDSG in Artikel 15 schweizerische Bundesorgane zur Meldung von Verletzungen der Datensicherheit. Im Gegensatz zu Artikel 33 der Datenschutz-Grundverordnung der EU müssen solche Meldungen dann erfolgen, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führt.

Literatur

Bearbeiten
  • Matthias Stief: Die Richtlinie (EU) 2016/680 zum Datenschutz in der Strafjustiz und die Zukunft der datenschutzrechtlichen Einwilligung im Strafverfahren. StV 2017, S. 470 ff.

Einzelnachweise

Bearbeiten
  1. Hans Hermann Schild: Syst. E. Datenschutz bei Gerichten und Staatsanwaltschaften. In: Heinrich Amadeus Wolff, Stefan Brink (Hrsg.): BeckOK DatenschutzR. 42. Edition Auflage. C. H. Beck, 1. November 2022, Rn. 5ff (beck.de [abgerufen am 21. Dezember 2022]).
  2. Artikel 2a des Protokoll (Nr. 22) über die Position Dänemarks. 7. Juni 2016, abgerufen am 21. Dezember 2022.
  3. Folketing: Folketingsbeslutning om Danmarks tilslutning på mellemstatsligt grundlag til EU's direktiv om databeskyttelse på retshåndhævelsesområdet. In: retsinformation.dk. 25. Oktober 2016, abgerufen am 15. Dezember 2022 (dänisch).
  4. Protokoll (Nr. 21) über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts. 6. Juli 2016, abgerufen am 21. Dezember 2022: „Die auf der Grundlage des Artikels 16 des Vertrags über die Arbeitsweise der Europäischen Union festgelegten Vorschriften über die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 und 5 des genannten Vertrags fallen, werden für das Vereinigte Königreich und Irland nicht bindend sein, wenn das Vereinigte Königreich und Irland nicht durch Unionsvorschriften gebunden sind, die Formen der justiziellen Zusammenarbeit in Strafsachen oder der polizeilichen Zusammenarbeit regeln, in deren Rahmen die auf der Grundlage des Artikels 16 festgelegten Vorschriften eingehalten werden müssen.“
  5. Europäischer Rat: Das Stockholmer Programm — Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger. In: Amtsblatt der Europäischen Union. Band 2010, C 115, 4. Mai 2010, S. 11 f., Abschnitt 2.5 – Schutz der Rechte der Bürger in der Informationsgesellschaft, Erster Spiegelstrich, doi:10.3000/17252407.C_2010.115.deu (EUR-Lex [abgerufen am 15. Dezember 2022]): „Der Europäische Rat ersucht die Kommission […] die Funktionsweise der verschiedenen Rechtsinstrumente über Datenschutz zu bewerten und erforderlichenfalls weitere Initiativen legislativer und nicht-legislativer Art vorzulegen, damit die vorgenannten Prinzipien weiterhin wirksam angewendet werden können […].“
  6. Europäisches Parlament: Entschließung des Europäischen Parlaments vom 25. November 2009 zu der Mitteilung der Kommission an das Europäische Parlament und den Rat – Ein Raum der Freiheit, der Sicherheit und des Rechts im Dienste der Bürger – Stockholm-Programm. In: europarl.europa.eu. 25. November 2009, abgerufen am 15. Dezember 2022: „Das Europäische Parlament, […] 90. begrüßt den Vorschlag, eine umfassende Regelung für den Schutz personenbezogener Daten innerhalb der Europäischen Union sowie für den Austausch mit Drittstaaten zu schaffen; fordert eine gründliche Evaluierung aller einschlägigen Rechtsvorschriften (betreffend u. a. Terrorismusbekämpfung, polizeiliche und justizielle Zusammenarbeit, Einwanderung, transatlantische Abkommen) im Bereich des Schutzes der Privatsphäre und des Datenschutzes […].“
  7. Europäische Kommission: Gesamtkonzept für den Datenschutz in der Europäischen Union /* KOM/2010/0609 endg. */ , abgerufen am 15. Dezember 2022
  8. 21. Erklärung zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit. 7. Juni 2016, abgerufen am 15. Dezember 2022.
  9. Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU), auf buzer.de
  10. Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU), auf buzer.de
  11. Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 (StV-DSAnpUG-EU), auf buzer.de
  12. Bundesgesetz über den Datenschutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen | (Schengen-Datenschutzgesetz, SDSG), auf fedlex.admin.ch