Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Datenschutz Im Europäıschen Recht

Avrupa Hukukunda Kişisel Verilerin Korunması

Uwe BERLIT

Datenschutz ist (auch) im europäischen Recht ein junges Rechtsgebiet: Die Datenschutzkonvention des Europarates stammt aus dem Jahre 1981, die Datenschutzrichtlinie der Europäischen Union aus dem Jahre 1995. Beide Regelungen reagieren auf Gefährdungen der Persönlichkeitsentwicklung und -entfaltung vor allem durch die elektronische Datenverarbeitung. Die Digitalisierung von Informationen jeglicher Art, der rasante technische Fortschritt in den letzten Jahrzehnten bei der Datenerfassung, -verarbeitung und -auswertung sowie die Internationalisierung von Datenverarbeitung haben die Bedeutung des Datenschutzes für den Persönlichkeitsschutz exponentiell steigen lassen. Diese Entwicklung hat zugleich zugleich die Möglichkeiten beschränkt, durch nationales Recht effektiven Persönlichkeitsschutz zu gewährleisten, und erfordert zumindest supranationale, europäische Regulierung.

Der Beitrag stellt in Grundzügen Entwicklung und Inhalt des derzeit geltenden europäischen Datenschutzrechts dar. Nur exemplarisch behandelt werden kann dessen Fortentwicklung durch eine Datenschutz-Grundverordnung, die frühestens im Jahre 2018 in Kraft treten wird. Der Schwerpunkt liegt dabei auf dem Recht der Europäischen Union. Es setzt die durch den Europarat angestoßene Rechtsentwicklung fort. Art. 8 GR-Charta gewährleistet jeder Person „das Recht auf Schutz der sie betreffenden personenbezogenen Daten“ und hebt damit den Datenschutz aus der inhaltgleich in Art. 8 Abs. 1 EMRK und Art. 7 GR-Charta angeordneten Achtung des Privat- und Familienlebens hervor. Diese primärrechtliche Grundrechtsgarantie wird im Sekundärrecht vor allem durch die Datenschutz-Richtlinie konkretisiert und ausgeformt. Ihre wesentlichen Strukturprinzipien (Verbot mit Erlaubnisvorbehalt; Datenverarbeitungsgrundsätze; erhöhter Schutz besonders sensibler Daten; Ausformung von Betroffenenrechte; unabhängige Kontrollstellen; Datenübermittlung in Drittstaaten) werden skizziert. Nur benannt werden können die vielfältigen bereichsspezifischen Sonderregelungen zum Datenschutz u.a. im Bereich der elektronischen Kommunikation, zur Vorratsdatenspeicherung, im Bereich des E-Commerce, die Datenschutzregelungen für die Organ der EU selbst und – auch dies nur exemplarisch – datenschutzrelevante Regelungen aus dem Bereich der europäischen Verwaltungszusammenarbeit, die wesentlich auch Informationsaustausch bedeutet.

Ein weiterer Abschnitt stellt anhand ausgewählter Entscheidungen die Entwicklung der datenschutzrelevanten Rechtsprechung des EuGH dar, soweit sie nicht Gegenstand gesonderter Symposiumsbeiträge sind. Gezeigt wird, dass das Datenschutzgrundrecht der Charta sich als ein Bereich herauskristallisiert, in dem der EuGH als „Grundrechtsgericht“ der Europäischen Union – auch im Verhältnis zu nationalen Verfassungsgerichten und dem EGMR – Akzente setzen möchte und Impulse für die Rechtsentwicklung gibt.

Datenschutz ist ein dynamisches Rechtsgebiet, das die Persönlichkeitsgefährdungen durch die rasante technologische Entwicklung nicht steuern und allenfalls begrenzt bewältigen kann. Mit der Internationalisierung der Datenverarbeitung, den vielfältigen Problemen rund um „Big Data“, den Schwierigkeiten einer adäquaten Zuweisung datenschutzrechtlicher Verantwortlichkeit in arbeitsteiligen Datenverarbeitungsstrukturen und den Regulierungsproblemen, die sich aus dem „Internet der Dinge“ ergeben, werden abschließend einige der Herausforderungen benannt, die Persönlichkeitsschutz durch Datenschutz auch nach Inkrafttreten der Datenschutz-Grundverordnung zu bewältigen haben wird.

Datenschutzrecht, Datenschutzrecht der Europäischen Union, Datenschutzrichtlinie, EuGH-Rechtsprechung zum Datenschutzrecht, Datenschutz-Grundverordnung.

Kişisel verilerin korunması Avrupa Hukukunda da yeni bir hukuk alanıdır: Avrupa Konseyinin kişisel veriler konvansiyonu 1981 yılındandır, AB’nin veri koruma yönergesi 1995 tarihlidir. İki düzenlemede elektronik veri işlemenin kişilik gelişimine ve kişilik açılımına yarattığı tehlikelere cevap vermektedir. Her türlü bilginin dijital hale getirilmesi, veri toplamaya, işlemeye ve analize ilişkin son yıllarda hızlı teknolojik ilerleme ve veri işleminin uluslararası hale getirilmesi, kişiliğin korunması için veri korunmasının anlamı önemini katlanarak arttırdı. Bu gelişme aynı zamanda ulusal hukuk tarafından etkili bir şekilde kişiliğin korumasının sağlanması için olanakları sınırlayıp, en azından uluslar üstü, Avrupa düzenlemeleri gerektirmiştir.

Makalede, geçerli Avrupa veri koruma hukuku gelişiminin ve içeriğinin temel özelliklerini açıklar. Sadece örneklendirerek, en erken 2018 yılında yürürlüğe girebileceği tahmin edilen Genel Veri Koruma Yönetmeliğine değinerek, gelecekteki gelişime değinilmiştir. Buradaki ağırlık Avrupa Birliği Hukuku üzerine. Avrupa konseyi tarafından başlatılan hukuk gelişimini devam ettirmekte. AB Temel Haklar Şartı Md. 8 ‘herkesin, kendisini ilgilendiren kişisel verilerin korunması hakkına sahip olduğunu’ sağlar ve böylelikle kişisel verilerin korunmasının önemini, AIHM md. 8/1 ve AB Temel Haklar Şartı Md. 7 özel hayata ve aile hayatına saygı’dan ayrı sayarak, vurgular. Bu birincil hukuk temel hak garantisi ikincil hukukta özellikle Veri Koruma Direktifi ile somutlaştırılıp şekillendirilir. Yapısal ilkeleri (veri işleme ilkeleri; özellikle hassas verilerin korunması; ilgili kişilerin haklarının oluşturulması; bağımsız denetim organları; üçüncü ülkelere veri aktarımı) özetlenmiştir. Verilerin korunmasına ilişkin sadece çeşitli sektörlere özgü özel düzenlemeler adlandırılabilir, örneğin elektronik iletişim alanı, veri saklama alanı, e-ticaret alanı, AB nin kendi organlarına yönelik veri koruma kuralları ve - bu sadece bir örnek olarak - Avrupa idari işbirliği alanında veri koruma düzenlemeleri, ki bunlar gerekli bilgi alışverişi anlamına gelir. Makalenin başka bir bölümünde – bunlar sempozyuma ait başka makale konusu olmadıkça - seçilmiş bazı kararlarla ABAD’ın veri korumaya ilişkin içtihadı ele alınacaktır. Veri korumaya ilişkin Temel Haklar Şartı öyle bir alan ki, ABAD AB’nin “temel haklar mahkemesi” olarak – ulusal mahkemelerle ve AIHM ilişkisinde - önemli vurgular yapar ve hukukun gelişimine yönelik ivme verir.

Veri koruması hızlı teknolojik gelişmelerden kaynaklan kişiliğe yönelik tehlikeleri kontrol edemeyen ve bunlarla sınırlı olarak baş edebilen dinamik bir hukuk alanıdır. Veri işlemenin ulusallaşmasıyla birlikte, “Big Data”ya ilişkin birçok sorunlar, “şeylerin internetinden” kaynaklanan iş paylaşımı işlem altyapılarında veri koruma sorumluluğunun yeterli şekilde tahsis edebilme zorlukları ve düzenleme sorunları gibi bazı zorluklardan bahsedilecektir. Veri Koruma Yönetmeliğinin yürürlüğe girmesinden sonra da kişiliğin korunması veri korunması ile uğraşmak zorunda kalacaktır.

Kişisel Verilerin Korunması Hukuku, Avrupa Birliği‘nin Kişisel Verilerin Korunması Hukuku, Veri Koruma Yönergesi, Kişisel Verilerin Korunması Hukukuna İlişkin ABAD İçtihatı, Veri Koruma Yönetmeliği.

Datenschutz als Persönlichkeitsschutz ist in der Europäischen Union1 erst seit ca. 20 Jahren Regulierungsgegenstand, im Konventionsrecht 10 Jahre länger.2 Die zentrale unionsrechtliche Regelung, die sog. EG-Datenschutz-Richtlinie (RL 95/46/EG),3 stammt vom 24.10.1995. Ein Jahr zuvor hatte der EuGH das in Art. 8 EMRK verankerte Recht auf Achtung des Privatlebens als „ein von der Gemeinschaftsrechtsordnung geschütztes Grundrecht“ bezeichnet und damit die auch sonst von den Charta-Grundrechten gezogene Linie zu der Rechtsprechung des EGMR zum Persönlichkeits- und Privatsphärenschutz gezogen.4 Die Datenschutzkonvention des Europarates aus dem Jahre 1981,5 die ihrerseits Entschließungen des Ministerkomitees zur Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich6 und im öffentlichen Bereich7 aus Mitte der 1970er Jahre und die nicht primär menschenrechtlich gegründeten OECD-Empfehlungen zum grenzüberschreitenden Datenverkehr8 zusammenführt, bildete ein wichtiges Fundament9 für die Fortschreibung auf unionsrechtlicher Ebene.

Datenschutzrecht ist zunehmend auch Technik- und Regulierungsrecht und teilt damit dessen Probleme bei der Regulierung sowohl technischer als auch gesellschaftlicher Prozesse. Es reagiert vorverlagert im Sinne eines Vorsorgeprinzips aber auf Gefährdungen der Persönlichkeitsentwicklung und -entfaltung durch Datenverarbeitung generell10 und ist nicht auf elektronische Datenverarbeitung beschränkt. Die Digitalisierung von Informationen jeglicher Art und der rasante technische Fortschritt haben indes die Möglichkeiten der Erfassung, Verarbeitung, Verknüpfung und Auswertung personenbezogener Daten in einem bislang ungeahnten Maße gesteigert; die Entörtlichung von Datenverarbeitung durch Digitalisierung begrenzt die Wirksamkeit nationalen oder regionalen Rechts. Ein Ende der Entwicklung ist nicht abzusehen.

Dass derzeit die Probleme von Morgen mit dem Recht von (Vor-)Gestern zu bewältigen sind, gilt es bei der nachfolgenden Darstellung des geltenden Datenschutzrechts der EU und seiner konzeptionellen Besonderheiten (II.) im Kopf zu behalten. Der Gerichtshof der Europäischen Union hat den Datenschutz erst deutlich später entdeckt, dann aber mit Vehemenz (III.). Mit der neuen Datenschutzgrundverordnung (DS-GVO), die sich im Vortragszeitpunkt noch im Trialogverfahren befand,11 strebt die EU eine „Runderneuerung“ der unionsrechtlichen Vorgaben für den Datenschutz an. Aus Zeitgründen können die vielfältigen Neuerungen und Akzentverschiebungen nicht dargestellt werden; es kann nur kurz auf die konzeptionellen Schwerpunkte und Schwachstellen des Entwurfes eingegangen werden (IV.). Auch die DS-GVO lässt absehbare Probleme der Persönlichkeitsgefährdung durch Datenverarbeitung ungelöst; einige davon sind abschließend zu benennen (V.).