Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2012, Allgemeines - EU Bund |
Empfehlung 2012/73/EU der Kommission vom 6. Februar 2012 zu Datenschutzleitlinien für das Frühwarn- und Reaktionssystem
- EWRS -
(Bekanntgegeben unter Aktenzeichen K(2012) 568)
(Text von Bedeutung für den EWR)
(ABl. Nr. L 36 vom 09.02.2012 S. 31)
Die Europäische Kommission -
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 292,
nach Anhörung des Europäischen Datenschutzbeauftragten, in Erwägung nachstehender Gründe:
(1) Mit der Entscheidung Nr. 2119/98/EG des Europäischen Parlaments und des Rates vom 24. September 1998 über die Schaffung eines Netzes für die epidemiologische Überwachung und die Kontrolle übertragbarer Krankheiten in der Gemeinschaft 1 wurde ein Netz für die epidemiologische Überwachung und die Kontrolle übertragbarer Krankheiten in der Gemeinschaft sowie ein Frühwarn- und Reaktionssystem für die Überwachung und die Kontrolle dieser Krankheiten (nachstehend "EWRS") geschaffen.
(2) Mit der Entscheidung 2000/57/EG der Kommission vom 22. Dezember 1999 über ein Frühwarn- und Reaktionssystem für die Überwachung und die Kontrolle übertragbarer Krankheiten gemäß der Entscheidung Nr. 2119/98/EG des Europäischen Parlaments und des Rates 2 wurden Durchführungsbestimmungen für das EWRS erlassen, deren Ziel darin besteht, mit Hilfe geeigneter Mittel eine strukturierte und ständige Kommunikation zwischen der Kommission und den für öffentliche Gesundheit zuständigen Behörden der Mitgliedstaaten des Europäischen Wirtschaftsraums herzustellen, deren Aufgabe es ist, die Maßnahmen zu treffen, die für den Schutz der öffentlichen Gesundheit und für die Verhütung und Eindämmung übertragbarer Krankheiten erforderlich sein können 3.
(3) Das Recht auf den Schutz personenbezogener Daten wird in der Charta der Grundrechte der Europäischen Union, insbesondere in Artikel 8, anerkannt.
(4) Ferner muss der Austausch von Informationen in elektronischer Form zwischen den Mitgliedstaaten sowie zwischen den Mitgliedstaaten und der Kommission den Vorschriften über den Schutz personenbezogener Daten gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 4 sowie der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr 5 entsprechen.
(5) Durch die Entscheidung 2009/547/EG der Kommission vom 10. Juli 2009 zur Änderung der Entscheidung 2000/57/EG über ein Frühwarn- und Reaktionssystem für die Überwachung und die Kontrolle übertragbarer Krankheiten gemäß der Entscheidung Nr. 2119/98/EG des Europäischen Parlaments und des Rates 6 wurden spezifische Sicherheitsgarantien für den Austausch personenbezogener Daten zwischen den Mitgliedstaaten im Rahmen des Verfahrens zur Ermittlung von Kontaktpersonen eingeführt, das bei Auftreten eines Ereignisses im Zusammenhang mit übertragbaren Krankheiten von EU- weiter Tragweite durchgeführt wird, um infizierte und möglicherweise gefährdete Personen aufzufinden.
(6) Am 26. April 2010 hat der Europäische Datenschutzbeauftragte (nachstehend "EDSB") eine Stellungnahme zur Vorabkontrolle 7 abgegeben, in der er die Notwendigkeit betonte, die Verantwortlichkeiten der verschiedenen am EWRS beteiligten Akteure zu klären und die Risiken für die Grundrechte, die eine eventuelle, groß angelegte Datenverarbeitung zur Ermittlung von Kontaktpersonen im Fall einer künftigen größeren pandemischen Gesundheitsgefährdung bergen könnte, zu beseitigen.
(7) Die Kommission hat unter Berücksichtigung der in der Stellungnahme des EDSB formulierten Empfehlungen eine Reihe von Datenschutzleitlinien für das EWRS ausgearbeitet, die helfen sollen, die Rollen, Aufgaben und Pflichten der verschiedenen Beteiligten des Systems klarzustellen und so zu gewährleisten, dass die oben aufgeführten Datenschutzvorschriften eingehalten werden und klare Informationen sowie leicht zugängliche Mechanismen für die von der Datenverarbeitung Betroffenen zur Verfügung stehen, damit diese ihre Rechte geltend machen können
- hat folgende Empfehlung abgegeben:
Brüssel, den 6. Februar 2012
2) ABl. Nr. L 21 vom 26.01.2000 S. 32.
3) Das EWRS ist den für öffentliche Gesundheit zuständigen Behörden der Mitgliedstaaten für die Meldung spezifischer Gefahren für die öffentliche Gesundheit ("Ereignisse") gemäß der Definition im Anhang I der Entscheidung 2000/57/EG vorbehalten.
4) ABl. Nr. L 281 vom 23.11.1995 S. 31.
5) ABl. Nr. L 8 vom 12.01.2001 S. 1.
6) ABl. Nr. L 181 vom 14.07.2009 S. 57.
7) Stellungnahme des Europäischen Datenschutzbeauftragten vom 26. April 2010 zu einer am 18. Februar 2009 von der Europäischen Kommission erhaltenen Meldung für die Vorabkontrolle in Bezug auf das Frühwarn- und Reaktionssystem (2009-0137). Die Stellungnahme ist auf der Website des EDSB unter folgender Adresse veröffentlicht: http://www.EDPS.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Priorchecks/Opinions/2010/10-04-2 6_EWRS_DE.pdf.
Datenschutzleitlinien für das Frühwarn- und Reaktionssystem (EWRS) | Anhang |
1. Einleitung
Das EWRS ist eine webgestützte Anwendung, die von der Europäischen Kommission in Zusammenarbeit mit den Mitgliedstaaten entwickelt wurde, um eine strukturierte und ständige Kommunikation zwischen der Kommission und den für öffentliche Gesundheit zuständigen Behörden der EWR-Mitgliedstaaten herzustellen, deren Aufgabe es ist, die Maßnahmen zu treffen, die für den Schutz der öffentlichen Gesundheit erforderlich sein können. Das Europäische Zentrum für die Prävention und die Kontrolle von Krankheiten (nachstehend "ECDC"), eine Agentur der Europäischen Union, ist seit 2005 ebenfalls mit dem EWRS verbunden 1.
Die Zusammenarbeit zwischen den nationalen Gesundheitsbehörden ist von entscheidender Bedeutung für die Stärkung der Kapazität der Mitgliedstaaten zur Verhütung einer möglichen Ausbreitung übertragbarer Krankheiten innerhalb der EU und ihrer Bereitschaft für eine abgestimmte rechtzeitige Reaktion auf Ereignisse, die durch übertragbare Krankheiten verursacht werden und eine Bedrohung der öffentlichen Gesundheit darstellen oder dazu werden können.
Die Ausbrüche von SARS, der Influenzapandemie A(H1N1) und anderen übertragbaren Krankheiten in der Vergangenheit haben deutlich gezeigt, wie bislang unbekannte Krankheiten sich rasch ausbreiten und zu hoher Sterblichkeit und Morbidität führen können. Die Übertragung dieser Krankheiten, die sich durch Grenzen nicht aufhalten lassen, wird vom Flugreiseverkehr und weltweiten Handel begünstigt. Frühzeitiges Erkennen und eine wirksame Kommunikation und Koordinierung auf europäischer und internationaler Ebene sind von grundlegender Bedeutung, um derartige Gefahren einzudämmen und Entwicklungen zu vermeiden, die schwerwiegenden Schaden anrichten könnten.
Das EWR ist als zentralisierter Mechanismus konzipiert, der den Mitgliedstaaten ermöglichen soll, Warnungen zu übermitteln, Informationen auszutauschen und ihre Reaktionen auf Ereignisse, die eine Gesundheitsbedrohung für die EU darstellen können, rechtzeitig und auf sichere Weise abzustimmen.
2. Anwendungsbereich und Ziele der Leitlinien
Die Verwaltung und Nutzung des EWRS kann in spezifischen Fällen, sofern die einschlägigen Rechtsinstrumente dies vorsehen, den Austausch von personenbezogenen Daten beinhalten (siehe Abschnitt 4 über die rechtlichen Gründe für den Austausch personenbezogener Angaben im Rahmen des EWRS).
Der Austausch personenbezogener Angaben zwischen den zuständigen Gesundheitsbehörden in den Mitgliedstaaten muss den Bestimmungen über den Schutz personenbezogener Daten gemäß den einzelstaatlichen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr entsprechen.
Da aber nicht alle Nutzer des EWRS Datenschutzexperten sind und möglicherweise mit den gesetzlichen Anforderungen im Bereich des Datenschutzes nicht vertraut sind, ist es ratsam, den Nutzern dieses Systems Leitlinien an die Hand zu geben, die in einer benutzerfreundlichen und verständlichen Weise erklären, wie das EWRS unter dem Gesichtspunkt des Datenschutzes funktioniert. Die Leitlinien zielen ferner darauf ab, auf die Bedeutung der Einhaltung der Datenschutzvorschriften hinzuweisen und in diesem Bereich den Austausch bewährter Verfahren und eine kohärente und einheitliche Vorgehensweise unter den Nutzern des EWRS zu fördern.
Es ist jedoch zu beachten, dass diese Leitlinien keine umfassende Darstellung aller Datenschutzaspekte im Zusammenhang mit dem EWRS sein sollen. Für weitere Anleitungen und Unterstützung zu diesen Fragen stehen die Datenschutzbehörden in den Mitgliedstaaten zur Verfügung. Den Nutzern des EWRS wird nachdrücklich empfohlen, sich im Hinblick auf die bestmögliche Umsetzung dieser Leitlinien auf nationaler Ebene an ihre Datenschutzbehörde zu wenden, um sicherzustellen, dass den in ihrem Land geltenden Datenschutzanforderungen in vollem Umfang entsprochen wird. Ein Verzeichnis der Datenschutzbehörden und ihre Kontaktangaben sind unter folgender Internetadresse zu finden:
http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm
Schließlich sei darauf hingewiesen, dass diese Leitlinien keine Auslegung der EU-Rechtsvorschriften zum Datenschutz im strengen Sinn darstellen, denn im Rahmen des institutionellen Systems der Union ist allein der Gerichtshof befugt, das EU-Recht auszulegen.
3. Anwendbares Recht und Aufsicht
Die Bestimmung des anwendbaren Rechts hängt davon ab, wer der Nutzer des EWRS ist. Für die Verarbeitung personenbezogener Daten durch die Kommission und das ECDC im Rahmen der Verwaltung und des Betriebs des Systems (in dem in den nachstehenden Abschnitten dargestellten Umfang) gelten die Bestimmungen der Verordnung (EG) Nr. 45/2001.
Für die Verarbeitung personenbezogener Daten durch die nationalen, für das EWRS zuständigen Behörden gelten die einschlägigen einzelstaatlichen Datenschutzvorschriften zur Umsetzung der Richtlinie 95/46/EG. Es ist zu beachten, dass diese Richtlinie den Mitgliedstaaten einen gewissen Spielraum bei der Umsetzung in einzelstaatliches Recht lässt. Insbesondere wird den Mitgliedstaaten die Möglichkeit gewährt, in spezifischen Fällen von einigen Bestimmungen der Richtlinie abzuweichen oder Ausnahmen vorzusehen. Gleichzeitig können die für den Nutzer des EWR geltenden einzelstaatlichen Datenschutzvorschriften auch strengere Anforderungen für den Datenschutz vorsehen oder Bestimmungen enthalten, die in den Gesetzen anderer Mitgliedstaaten nicht vorgesehen sind.
Angesichts dieser besonderen Umstände sollten die Nutzer des EWRS die vorliegenden Leitlinien mit ihren Datenschutzbehörden erörtern, um sicherzustellen, dass alle Anforderungen der geltenden einzelstaatlichen Rechtsvorschriften erfüllt werden. Zum Beispiel kann es in den einzelnen Mitgliedstaaten sehr unterschiedliche Auflagen hinsichtlich der Informationen geben, die bei der Datenerhebung den betroffenen Personen mitzuteilen sind, aber auch unterschiedliche Vorschriften für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) natürlicher Personen.
Ein wichtiges Element des EU-Rechtsrahmens für den Datenschutz, der durch die Verordnung (EG) Nr. 45/2001 und die Richtlinie 95/46/EG gebildet wird, besteht darin, dass die Einhaltung dieser Vorschriften durch unabhängige öffentliche Datenschutzbehörden überwacht wird. Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der EU wird durch den Europäischen Datenschutzbeauftragten (nachstehend "EDSB") 2 überwacht; für die Überwachung der Verarbeitungstätigkeiten durch natürliche oder rechtliche Personen, nationale öffentliche Behörden, Agenturen oder Einrichtungen in den Mitgliedstaaten sind die jeweiligen Datenschutzbehörden verantwortlich. In allen Mitgliedstaaten sind Kontrollstellen beauftragt worden, Beschwerden von Bürgern in Bezug auf die Verletzung ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten entgegenzunehmen. Die Nutzer des EWRS sollten Abschnitt 9 über das Auskunftsrecht und anderer Rechte der betroffenen Personen in Bezug auf personenbezogene Daten lesen, der ausführlichere Informationen zur Behandlung von Anfragen oder Beschwerden von betroffenen Personen enthält.
4. Rechtliche Gründe für den Austausch personenbezogener Angaben im Rahmen des EWRS
Zweck der Entscheidung Nr. 2119/98/EG war es, ein gemeinschaftsweites Netz (nachstehend "Netz") zur Förderung der Zusammenarbeit und Abstimmung zwischen den Mitgliedstaaten mit Unterstützung der Kommission zu schaffen, um die Verhütung und die Kontrolle übertragbarer Krankheiten in der Gemeinschaft zu verbessern 3. Das EWRS wurde in diesem Rahmen als eine der Säulen des Netzes geschaffen, um bei Auftreten von Ereignissen im Zusammenhang mit übertragbaren Krankheiten, die eine mögliche Gefahr für die öffentliche Gesundheit auf dem Gebiet der EU darstellen, den Austausch von Informationen sowie die Konsultation und Abstimmung auf europäischer Ebene zu ermöglichen.
Zunächst sei darauf hingewiesen, dass nicht alle im Rahmen des EWRS ausgetauschten Informationen personenbezogen sind. Im Allgemeinen werden in diesem Rahmen eigentlich keine gesundheitsbezogenen oder anderen personenbezogenen Daten von bestimmten oder bestimmbaren natürlichen Personen ausgetauscht.
Was sind "personenbezogene Daten"?
Im Sinne der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind 4.
Meist teilen die zuständigen Gesundheitsbehörden in den EWR-Mitgliedstaaten über das EWRS dem Netz unter anderem Informationen über das Auftreten oder Wiederauftreten von Fällen übertragbarer Krankheiten, zusammen mit Informationen über die angewandten Kontrollmaßnahmen, oder Informationen über ungewöhnliche epidemische Erscheinungen oder neue übertragbare Krankheiten unbekannter Herkunft mit 5, wenn rechtzeitige koordinierte Maßnahmen der Mitgliedstaaten erforderlich sind, um deren Ausbreitung innerhalb der EU zu verhindern 6. Die Mitgliedstaaten konsultieren einander im Benehmen mit der Kommission anhand der über das Netz erhältlichen Informationen, um ihre Bemühungen zur Verhütung und Kontrolle übertragbarer Krankheiten, einschließlich der Maßnahmen, die sie auf nationaler Ebene erlassen oder geplant haben, aufeinander abzustimmen 7.
In manchen Fällen betreffen die im Rahmen des Systems ausgetauschten Informationen allerdings tatsächlich individuelle Personen und sind als personenbezogene Daten zu betrachten.
Erstens ist zu beachten, dass die Verarbeitung einer begrenzten Menge von personenbezogenen Daten durch befugte Nutzer des EWRS ein immanentes Merkmal der Verwaltung und des Betriebs des EWRS darstellt. Die Verarbeitung der Kontaktangaben der Nutzer (Name, Organisation, E-Mail-Adresse, Telefonnummer usw.) ist für die Einrichtung und den Betrieb des Systems von entscheidender Bedeutung. Diese personenbezogenen Daten werden von den Mitgliedstaaten erhoben und unter der Verantwortung der Kommission lediglich zum Zweck der wirksamen Zusammenarbeit bei der Verwaltung des EWRS und des ihm zugrunde liegenden Netzes weiterverarbeitet.
Wichtiger ist, dass wenn ein Ereignis im Zusammenhang mit übertragbaren Krankheiten auftritt, das von EU-weiter Tragweite ist und die Durchführung besonderer Eindämmungsmaßnahmen, so genannter Maßnahmen zur "Ermittlung von Kontaktpersonen" erfordert, die betroffenen Mitgliedstaaten im Rahmen des EWRS zusammenarbeiten, um infizierte und möglicherweise gefährdete Personen aufzufinden und so die Übertragung schwerwiegender übertragbarer Krankheiten zu verhindern. Eine solche Zusammenarbeit kann den Austausch, im Rahmen des EWRS, von personenbezogenen Daten einschließlich sensibler gesundheitlicher Daten über bestätigte menschliche Erkrankungen oder Verdachtsfälle zwischen den am Verfahren zur Ermittlung von Kontaktpersonen beteiligten Mitgliedstaaten erfordern 8.
Was bedeutet "Verarbeitung personenbezogener Daten"?
Im Sinne der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 bezeichnet der Ausdruck "Verarbeitung personenbezogener Daten" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten 9.
In den oben genannten Fällen muss es für die Verarbeitung personenbezogener Daten im Rahmen des EWRS spezifische rechtliche Gründen geben. In diesem Zusammenhang legen Artikel 7 der Richtlinie 95/46/EG und die entsprechenden Bestimmungen des Artikels 5 der Verordnung (EG) Nr. 45/2001 die Kriterien für die Rechtmäßigkeit der Datenverarbeitung dar.
Die Verarbeitung der Kontaktangaben der Nutzer des EWRS ist zulässig, wenn die folgenden Voraussetzungen erfüllt sind:
Die Kriterien gemäß Artikel 7 Buchstaben c, d und e der Richtlinie 95/46/EG sind besonders relevant für die Ermittlung von Kontaktpersonen, die den Austausch von Daten zu einzelnen Personen (etwa Kontaktangaben der infizierten Person sowie Angaben zu Transport, Reiseroute und Aufenthaltsorten der Person, Informationen über besuchte Personen und Personen, die der Gefahr einer Ansteckung ausgesetzt sind) im Rahmen des EWRS umfasst 11:
Dieselben Gründe des öffentlichen Interesses können die Verarbeitung von sensiblen Gesundheitsdaten durch die Mitgliedstaaten im Rahmen des EWRS rechtfertigen (dazu gehören beispielsweise Informationen über das Ereignis, das eine Gefahr für die Gesundheit darstellt, Daten zum Gesundheitszustand der infizierten Personen und der Personen, die möglicherweise der Gefahr einer Ansteckung ausgesetzt sind). Nach Artikel 8 Absatz 1 der Richtlinie 95/46/EG ist die Verarbeitung von gesundheitsbezogenen Daten im Prinzip verboten, aber für die Verarbeitung dieser besonderen Kategorie von Daten im Rahmen des EWRS gilt Artikel 8 Absatz 3 derselben Richtlinie, der eine Ausnahme von diesem Verbot vorsieht, "wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen".
Die Mitgliedstaaten können weitere Ausnahmen vom Verbot der Verarbeitung personenbezogener Gesundheitsdaten aus Gründen eines wichtigen öffentlichen Interesses und vorbehaltlich angemessener Garantien entweder im Wege nationaler Rechtsvorschriften oder im Wege einer Entscheidung der nationalen Datenschutzbehörden vorsehen 14.
5. Wer macht was im EWRS? Die Frage der gemeinsamen Verantwortung für die Verarbeitung
Das EWRS ist als System mit mehreren Nutzern konzipiert, das mit Hilfe geeigneter technischer Mittel, darunter auch verschiedene strukturierte Kommunikationskanäle, die zu diesem Zweck benannten Mitarbeiter der für öffentliche Gesundheit zuständigen Behörden der EWR-Mitgliedstaaten (nachstehend "nationale EWRS-Kontaktstellen"), die Kommission, das ECDC und in begrenztem Umfang auch die WHO miteinander verbindet.
Jeder dieser am EWRS beteiligten Akteure stellt einen getrennten Nutzer des Systems dar, zur Modulierung des Zugangs zu den ausgetauschten Informationen wurden aber verschiedene Nutzerprofile und Kanäle für "selektive Benachrichtigung" geschaffen, die angemessene Sicherheitsgarantien für die Einhaltung der geltenden Datenschutzvorschriften bieten.
Das System umfasst zwei wesentliche Kommunikationskanäle. Über den ersten, den so genannten "Kanal für allgemeine Benachrichtigung" übermittelt die zuständige Gesundheitsbehörde eines Mitgliedstaats allen nationalen EWRS-Kontaktstellen, der Kommission, dem ECDC und der WHO Informationen über Ereignisse im Zusammenhang mit übertragbaren Krankheiten, die von EU-weiter Tragweite sind und der Meldepflicht gemäß Entscheidung Nr. 2119/98/EG 15 unterliegen.
In der Regel werden über den Kanal für allgemeine Benachrichtigung keine gesundheitsrelevanten oder anderen personenbezogenen Daten bestimmter oder bestimmbarer natürlicher Personen ausgetauscht. Um die unrechtmäßige Verarbeitung von über diesen Kanal mitgeteilten Daten zu vermeiden, sind spezifische Sicherheitsmechanismen eingebaut worden (siehe Abschnitt 7).
Tritt ein Ereignis im Zusammenhang mit übertragbaren Krankheiten auf, das von EU-weiter Tragweite ist, kann dies jedoch die Ermittlung von Kontaktpersonen erfordern, bei der die Mitgliedstaaten zusammenarbeiten, um infizierte und möglicherweise gefährdete Personen aufzufinden und so die Ausbreitung schwerer Krankheiten zu verhindern.
Im Hinblick auf die Einhaltung der Datenschutzvorschriften wurden angemessene Sicherheitsmaßnahmen getroffen, die den Austausch personen- und gesundheitsbezogener Daten zum Zweck der Ermittlung von Kontaktpersonen auf die Mitgliedstaaten beschränken, die unmittelbar an dem betreffenden Verfahren zur Ermittlung von Kontaktpersonen beteiligt sind, und den Zugriff der anderen Mitgliedstaaten des Netzes sowie der Kommission und des ECDC zu diesen Daten ausschließen 16.
Zu diesem Zweck wurde ein besonderer Kommunikationskanal, der so genannte "Kanal für selektive Benachrichtigung" in das EWRS eingebaut, der ausschließlich den Mitgliedstaaten, die an einem bestimmten Verfahren zur Ermittlung von Kontaktpersonen beteiligt sind, vorbehalten ist.
Bei dem Austausch personenbezogener Angaben über den "Kanal für selektive Benachrichtigung" fungieren die zuständigen Behörden als "für die Verarbeitung Verantwortliche" in Bezug auf die Verarbeitung dieser personenbezogenen Daten und sind somit für die Rechtmäßigkeit ihrer Verarbeitungstätigkeiten und für die Einhaltung der Datenschutzanforderungen gemäß den einzelstaatlichen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG verantwortlich.
Wer ist der "für die Verarbeitung Verantwortliche"?
Im Sinne der Richtlinie 95/46/EG bezeichnet der Ausdruck "für die Verarbeitung Verantwortlicher" "die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" 17.
Im Prinzip haben Nutzer der Kommission und des ECDC keinen Zugriff auf personenbezogene Daten, die über den "Kanal für selektive Benachrichtigung" ausgetauscht werden 18. Aus technischen Gründen trägt jedoch die Kommission, in ihrer Eigenschaft als Systemadministrator und -koordinator, letztendlich die Verantwortung für die zentrale Speicherung der Daten im EWRS. In dieser Eigenschaft ist die Kommission auch für die Registrierung, Speicherung und Weiterverarbeitung der für den Betrieb des Systems erforderlichen personenbezogenen Daten der befugten Nutzer des EWRS verantwortlich.
Das EWRS ist folglich ein klares Beispiel für ein System mit gemeinsamer Verantwortung für die Datenverarbeitung, bei dem die Verantwortung für die Einhaltung der Datenschutzvorschriften auf verschiedenen Ebenen zwischen der Kommission und den Mitgliedstaaten aufgeteilt ist. Seit 2005 haben die Kommission und die Mitgliedstaaten in ihrer Eigenschaft als "für die Verarbeitung Mitverantwortliche" beschlossen, den laufenden Betrieb der EWRS-Anwendung dem ECDC zu übertragen, das diese Aufgabe im Namen der Kommission wahrnimmt. Darüber hinaus ist die Agentur als "Auftragsverarbeiter" dafür zuständig, die Vertraulichkeit und die Sicherheit der Datenverarbeitungstätigkeiten im Rahmen des Systems gemäß den Anforderungen der Artikel 21 und 22 der Verordnung (EG) Nr. 45/2001 zu gewährleisten.
Wer ist der "Auftragsverarbeiter" und welche Pflichten hat er?
Im Sinne der Verordnung (EG) Nr. 45/2001 bezeichnet der Ausdruck "Auftragsverarbeiter" "die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet" 19.
Die Verordnung sieht Folgendes vor: Wird die Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen vorgenommen, so hat dieser einen Auftragsverarbeiter auszuwählen, der hinsichtlich der für die Verarbeitung zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen ausreichende Gewähr bietet. Der für die Verarbeitung Verantwortliche ist letztendlich dafür verantwortlich, dass diese Maßnahmen eingehalten werden. Die in den Artikeln 21 und 22 der Verordnung genannten Verpflichtungen in Bezug auf Vertraulichkeit und Sicherheit der Verarbeitung gelten jedoch auch für den Auftragsverarbeiter 20.
6. Anwendbare Datenschutzgrundsätze
Die Verarbeitung personenbezogener Daten im Rahmen des EWRS muss eine Reihe von Datenschutzgrundsätzen erfüllen, die in der Verordnung (EG) Nr. 45/2001 und in der Richtlinie 95/46/EG dargelegt sind.
In ihrer Eigenschaft als für die Verarbeitung Verantwortliche sind die Kommission und die zuständigen Behörden in den Mitgliedstaaten dafür verantwortlich, die Einhaltung dieser Grundsätze bei jeder Verarbeitung personenbezogener Daten im Rahmen des EWRS zu gewährleisten. Nachstehend ist eine Auswahl wichtiger Datenschutzgrundsätze aufgeführt. Diese gelten unbeschadet anderer anwendbarer Datenschutzbestimmungen in den einschlägigen Rechtsinstrumenten, die in den verschiedenen Abschnitten dieser Leitlinien erläutert werden. Den Nutzern des EWRS wird insbesondere nahe gelegt, Abschnitt 8 über die Information der betroffenen Person sowie Abschnitt 9 über das Auskunftsrecht und andere Rechte der betroffenen Person aufmerksam zu lesen.
6.1. Grundsätze in Bezug auf die Rechtmäßigkeit und Zweckbeschränkung der Verarbeitung
Der für die Verarbeitung Verantwortliche hat sicherzustellen, dass personenbezogene Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden. Dieser Grundsatz beinhaltet erstens, dass es für die Erhebung und Weiterverarbeitung personenbezogener Daten berechtigter, gesetzlich vorgesehener Gründe bedarf 21. Zweitens dürfen personenbezogene Daten nur für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden 22.
6.2. Grundsätze in Bezug auf die Qualität der Daten
Der für die Verarbeitung Verantwortliche hat sicherzustellen, dass personenbezogene Daten den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen. Die Daten müssen außerdem sachlich richtig sein und auf den neuesten Stand gebracht werden 23.
6.3. Grundsätze in Bezug auf die Aufbewahrung der Daten
Der für die Verarbeitung Verantwortliche hat sicherzustellen, dass personenbezogene Daten nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht 24.
6.4. Grundsätze in Bezug auf die Vertraulichkeit und Sicherheit der Daten
Der für die Verarbeitung Verantwortliche hat sicherzustellen, dass Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten 25. Ferner muss der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind 26.
Im Hinblick auf eine korrekte und wirksame Anwendung der vorstehend genannten Grundsätze bei der Nutzung des Systems wird den Nutzern des EWRS insbesondere Folgendes empfohlen:
Um sicherzustellen, dass die Verarbeitung eine Rechtsgrundlage hat und dass die Daten für rechtmäßige und festgelegte eindeutige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden, sollten die Nutzer des EWRS jedes Mal, wenn sie im Rahmen des Systems personenbezogene Daten erheben oder verarbeiten,
Die Nutzer des EWRS sollten besonders sorgfältig vorgehen, wenn sie über den Kanal für selektive Benachrichtigung sensible Daten bezüglich des Gesundheitszustands einer bestimmten oder bestimmbaren Person austauschen, zum Beispiel wenn Kontaktangaben oder andere personenbezogene Informationen für infizierte oder gefährdete Personen gleichzeitig über das EWRS mitgeteilt werden, die eine direkte oder Bestimmung der betreffenden Person ermöglichen könnten. In diesem Fall gelten alle vorstehenden Empfehlungen; die Nutzer des EWRS müssen auch beachten, dass der Austausch sensibler Daten nach Maßgabe der Richtlinie 95/46/EG nur unter sehr beschränkten Bedingungen zulässig ist, insbesondere wenn folgende Voraussetzungen 27 erfüllt sind:
Um die Qualität der von ihnen ausgetauschten personenbezogenen Daten zu gewährleisten, sollten die Nutzer des EWRS, vor der Versendung einer Nachricht über den Kanal für selektive Benachrichtigung, Folgendes überprüfen:
Weiterverarbeitung und Speicherung personenbezogener Daten außerhalb des EWRS:
Es ist wichtig zu beachten, dass die einzelstaatlichen Datenschutzvorschriften zur Umsetzung der Richtlinie 95/46/EG auch für die Speicherung und die Weiterverarbeitung der im Rahmen des Systems erhobenen Daten außerhalb des EWRS gelten. Dies ist beispielsweise der Fall, wenn im System zentral gespeicherte personenbezogene Daten anschließend in den lokalen PC der Nutzer oder in nationalen Datenbanken gespeichert werden, oder wenn diese Daten von der Behörde, die im Rahmen des EWRS für ihre Verarbeitung zuständig ist, an andere Behörden oder Dritte weitergegeben werden. In diesen Fällen sollten die Nutzer des EWRS Folgendes beachten:
7. Ein datenschutzfreundliches Umfeld
Das EWRS verfügt bereits über mehrere Funktionen, um die Einhaltung der in Abschnitt 6 beschriebenen Datenschutzgrundsätze zu verbessern und die Nutzer des EWRS dazu zu bringen, bei jeder Benutzung des Systems verschiedene Datenschutzaspekte zu prüfen. Dazu gehören beispielsweise folgende Funktionen:
Außerdem ist mittelfristig geplant, in das bereits vorhandene EWRS-Trainingsmodul umfassende Hinweise zu datenschutzrelevanten Aspekten des Systems für die Nutzer zu integrieren. Die verschiedenen Funktionen, die eine bessere Einhaltung der Datenschutzvorschriften gewährleisten sollen, werden durch praktische Beispiele veranschaulicht.
Die Kommission beabsichtigt, mit den Mitgliedstaaten zusammenzuarbeiten, um sicherzustellen, dass diese und andere künftige Entwicklungen des EWRS sich von Anfang an auf das Konzept des eingebauten Datenschutzes 30 stützen, und dass die Grundsätze der Erforderlichkeit, Verhältnismäßigkeit, Zweckbeschränkung und Datenminimierung gebührend berücksichtigt werden, wenn entschieden wird, welche Informationen im Rahmen des EWRS ausgetauscht werden können, mit wem und unter welchen Bedingungen.
8. Information der betroffenen Person
Eine der wesentlichen Anforderungen der EU-Rechtsvorschriften für den Datenschutz betrifft die Pflicht des für die Verarbeitung Verantwortlichen, die betroffene Person über die von ihm beabsichtigte Verarbeitung ihrer personenbezogenen Daten zu unterrichten.
Gemäß ihrer koordinierenden Funktion innerhalb des EWRS und zur Erfüllung der oben genannten Pflicht 31 hat die Kommission auf ihrer EWRS-Webseite klare und umfassende Datenschutzhinweise veröffentlicht, sowohl zu den unter der Verantwortung der Kommission durchgeführten Datenverarbeitungstätigkeiten als auch zu den Verarbeitungstätigkeiten, die von den zuständigen Behörden insbesondere im Rahmen der Ermittlung von Kontaktpersonen durchgeführt werden.
Allerdings sind auch die zuständigen nationalen Behörden in den Mitgliedstaaten in ihrer Eigenschaft als für die Verarbeitung Verantwortliche dazu verpflichtet, die betroffenen Personen in Bezug auf die von ihnen durchgeführten Datenverarbeitungstätigkeiten im Rahmen des EWRS zu unterrichten.
Welche Informationen müssen die für das EWRS zuständigen nationalen Behörden der betroffenen Person übermitteln?
Bei der Erhebung von Daten bei der betroffenen Person sieht Artikel 10 der Richtlinie 95/46/EG vor, dass der für die Verarbeitung Verantwortliche oder sein Vertreter dafür sorgen muss, dass eine Person, bei der sie betreffende Daten erhoben werden, zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
Artikel 11 der Richtlinie 95/46/EG führt die Mindestangaben auf, die vom für die Verarbeitung Verantwortlichen übermittelt werden müssen, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Diese Angaben müssen bei Beginn der Speicherung der Daten bzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung der Daten mitgeteilt werden 32.
Gemäß den vorstehenden Bestimmungen müssen die zuständigen nationalen Behörden zum Zeitpunkt der Erhebung personenbezogener Daten einzelner Personen (oder spätestens zum Zeitpunkt ihrer ersten Weitergabe über das EWRS) für den Erlass von Maßnahmen, die notwendig sind, um die öffentliche Gesundheit bei gemäß der Entscheidung Nr. 2119/98/EG und ihren Durchführungsbestimmungen zu meldenden Ereignissen zu schützen, der betroffenen Person einen rechtlichen Hinweis mit den Bestimmungen der Artikel 10 und 11 der Richtlinie 95/46/EG übermitteln. Dieser Hinweis sollte auch einen kurzen Verweis auf das EWRS sowie einen Link zu den einschlägigen Dokumenten und Datenschutzerklärungen auf den nationalen Websites der zuständigen Behörden sowie zu der EWRS-Webseite der Kommission enthalten.
Welche Informationen im Einzelnen in dem rechtlichen Hinweis zu geben sind, kann von einem Mitgliedstaat zum anderen variieren. In manchen Mitgliedstaaten können die Gesetze umfassendere Informationspflichten für den für die Verarbeitung Verantwortlichen vorsehen und die Übermittlung zusätzlicher Angaben vorschreiben, etwa Informationen über den Entschädigungsanspruch der betroffenen Person, über die Fristen für die Speicherung und Aufbewahrung der Daten, über Maßnahmen zur Gewährleistung der Datensicherheit usw.
Um in gesundheitlichen Notsituationen rechtzeitig eingreifen zu können, kann es bei der Verarbeitung von Daten, die nicht bei der betroffenen Person erhoben wurden, zuweilen unmöglich sein, die betroffene Person über die Zwecke der Verarbeitung ihrer personenbezogenen Daten zu informieren. Für diesen Fall sieht Artikel 11 Absatz 2 der Richtlinie 95/46/EG vor, dass das Recht der betroffenen Person auf Unterrichtung eingeschränkt werden kann, "wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist. In diesen Fällen sehen die Mitgliedstaaten geeignete Garantien vor."
Generell ist zu beachten, dass die einzelstaatlichen Datenschutzvorschriften zur Umsetzung der Richtlinie 95/46/EG spezifische Einschränkungen oder Begrenzungen des Auskunftsrechts der betroffenen Person vorsehen können 33. Etwaige länderspezifische Einschränkungen oder Begrenzungen sollten eindeutig in der Datenschutzmitteilung an die betroffene Person oder in den Datenschutzerklärungen auf den nationalen Websites der zuständigen Behörden erwähnt werden.
Die Entscheidung, in welcher Form und wie diese Informationen der betroffenen Person mitgeteilt werden, liegt bei den zuständigen nationalen Behörden in den Mitgliedstaaten. Da die meisten von ihnen auch Daten verarbeiten, die nicht im Rahmen des EWRS ausgetauscht werden, können sie die betroffene Person gegebenenfalls auf die gleiche Art und Weise informieren wie bei anderen Datenverarbeitungstätigkeiten, die sie nach ihren einzelstaatlichen Rechtsvorschriften durchführen. Es wird ferner empfohlen, dass die zuständigen Behörden ihrer Datenschutzregelung oder -erklärung - sofern sie eine solche auf ihrer Website bereits veröffentlicht haben - einen Hinweis auf den Austausch personenbezogener Daten im Rahmen des EWRS hinzufügen.
Aus den vorstehend genannten Gründen ist es von größter Bedeutung, dass sich die zuständigen Behörden in den Mitgliedstaaten bei der Ausarbeitung von standardmäßigen rechtlichen Hinweisen und Datenschutzerklärungen im Einklang mit den Artikeln 10 und 11 der Richtlinie 95/46/EG mit ihren jeweiligen nationalen Datenschutzbehörden beraten.
9. Auskunftsrecht und andere Rechte der betroffenen Person
Die im vorstehenden Abschnitt 8 dargelegten Datenschutzanforderungen in Bezug auf die Information der betroffenen Person zielen letztendlich darauf ab, die Transparenz der Verarbeitung personenbezogener Daten zu gewährleisten. Um Transparenz geht es auch bei den Bestimmungen über das Auskunftsrecht der betroffenen Person in den EU-Rechtsvorschriften zum Datenschutz 34.
Was beinhaltet das "Auskunftsrecht" der betroffenen Person?
Der für die Verarbeitung Verantwortliche garantiert jeder betroffenen Person das Recht, ohne unzumutbare Verzögerung oder übermäßige Kosten die Bestätigung zu erhalten, dass sie betreffende Daten verarbeitet werden oder nicht, sowie Informationen über die Zweckbestimmungen dieser Verarbeitungstätigkeiten und die Empfänger, an die die Daten übermittelt werden.
Der für die Verarbeitung der Daten Verantwortliche garantiert der betroffenen Person auch das Recht, die Berichtigung, Löschung oder Sperrung von Daten zu erhalten, deren Verarbeitung nicht den Bestimmungen der geltenden Datenschutzvorschriften entspricht, etwa wenn diese Daten unvollständig oder unrichtig sind.
Schließlich teilt der für die Verarbeitung der Daten Verantwortliche jede Berichtigung, Löschung oder Sperrung, die auf Antrag der betroffenen Person durchgeführt wurde, den Dritten, denen die Daten übermittelt wurden, mit, sofern sich dies nicht als unmöglich erweist oder kein unverhältnismäßiger Aufwand damit verbunden ist.
In ihrer Eigenschaft als für die Verarbeitung Verantwortliche teilen die Kommission und die Mitgliedstaaten die Verantwortung für die Gewährung der Rechte auf Auskunftserteilung, Berichtigung, Sperrung und Löschung personenbezogener Daten, die im Rahmen des EWRS verarbeitet werden, in der nachstehend aufgeführten Weise.
Die Kommission ist dafür verantwortlich, Auskunft zu den personenbezogenen Daten zu geben, die von den nationalen EWRS-Kontaktstellen verarbeitet werden, sowie für die damit verbundenen Anträge auf Berichtigung, Sperrung und Löschung. Die nationalen Kontaktstellen sollten die spezifische Klausel in der ausführlichen Datenschutzerklärung auf der EWRS-Webseite der Kommission 35 lesen, die detaillierte Informationen dazu liefert, wie sie ihre Rechte als betroffene Personen ausüben können.
Die Nutzer des EWRS werden auch darauf hingewiesen, dass das System eine Funktion beinhaltet, die ihnen ermöglicht, ihre personenbezogenen Daten selbst zu ändern. Die Datenfelder, die der Identifizierung des EWRS-Kontos dienen (zugelassene E-Mail-Adresse und Art des Kontos des Nutzers usw.) können jedoch nicht von den Nutzern geändert werden, um zu vermeiden, dass unbefugte Nutzer Zugang zum System erlangen. Eine Änderung dieser Datenfelder ist daher beim für die Verarbeitung Verantwortlichen bei der Kommission zu beantragen, entsprechend den Hinweisen in der ausführlichen Datenschutzerklärung auf der EWRS-Webseite der Kommission.
Für die Behandlung von Anfragen betroffener Personen im Zusammenhang mit der Ermittlung von Kontaktpersonen sowie gesundheits- und anderen personenbezogenen Daten, die über das EWRS zwischen Mitgliedstaaten ausgetauscht werden, sind die an dem betreffenden selektiven Informationsaustausch beteiligten zuständigen Behörden verantwortlich. Dabei unterliegen sie den einschlägigen einzelstaatlichen Datenschutzvorschriften zur Umsetzung der Richtlinie 95/46/EG.
Es ist allerdings zu beachten, dass die einzelstaatlichen Datenschutzvorschriften zur Umsetzung der Richtlinie 95/46/EG spezifische Einschränkungen oder Begrenzungen des Auskunftsrechts der betroffenen Person vorsehen können 36. Etwaige länderspezifische Einschränkungen oder Begrenzungen sollten eindeutig in der Datenschutzmitteilung an die betroffene Person oder in den Datenschutzerklärungen auf den nationalen Websites der zuständigen Behörden erwähnt werden. Die Kontaktstellen des EWRS sollten sich daher an ihre nationalen Datenschutzbehörden wenden, um weitere Informationen zu dieser Frage zu erhalten.
Angesichts der Komplexität des EWRS, das gemeinsame Verarbeitungsprozesse mit mehreren Nutzern umfasst, ist hinsichtlich des Auskunftsrechts der betroffenen Person ein klarer und einfacher Ansatz erforderlich, da sie nicht mit der Arbeitsweise des Systems vertraut ist und sie in die Lage versetzt werden sollte, ihre Rechte auszuüben.
Es wäre empfehlenswert, einer betroffenen Person, die der Meinung ist, dass ihre personenbezogenen Daten innerhalb des EWRS verarbeitet werden und die Auskunft über diese Daten oder deren Berichtigung oder Löschung wünscht, die Möglichkeit zu geben, ihr diesbezügliches Ersuchen an jede der zuständigen nationalen Behörden zu richten, mit denen sie in Kontakt war und/oder die ihre Daten im Zusammenhang mit einem Ereignis, das eine Gefahr für die öffentliche Gesundheit darstellt, erhoben haben (z.B. sowohl die Behörde des Landes, dessen Staatsangehörigkeit die betroffene Person besitzt, als auch die Behörde des Aufenthaltslandes der Person zum Zeitpunkt des Ereignisses), sowie an jede andere Behörde, die an einem gegebenen Informationsaustausch im Zusammenhang mit der Ermittlung von Kontaktpersonen beteiligt ist.
Keine der zuständigen Behörden, die an dem betreffenden Informationsaustausch beteiligt sind, sollte die Auskunft, Berichtigung oder Löschung mit der Begründung verweigern, die Daten seien nicht von ihr in das EWRS hochgeladen worden, oder die betroffene Person müsse sich an eine andere zuständige Behörde wenden. Reicht die betroffene Person die Anfrage bei einer anderen zuständigen Behörde ein als bei der, die die ursprünglichen Informationen über den Kanal für selektive Benachrichtigung eingegeben hat, so sollte die Behörde, die die Anfrage erhält, diese über den spezifischen in Abschnitt 7 erwähnten Mechanismus an die zuständige Behörde weiterleiten, die die Nachricht ursprünglich versendet hatte, um über die Anfrage zu entscheiden.
Gegebenenfalls kann die zuständige Behörde, die die Informationen in das System hochgeladen hat, vor ihrer Entscheidung andere an dem Informationsaustausch beteiligte oder anderweitig von der Anfrage betroffene zuständige Behörden über den spezifischen in Abschnitt 7 erwähnten Mechanismus kontaktieren.
Die betroffene Person sollte auch informiert werden, dass sie sich an eine andere an dem Informationssaustausch beteiligte zuständige Behörde wenden kann, falls sie mit der Antwort auf ihre Anfrage nicht zufrieden ist. In jedem Fall hat die betroffene Person das Recht, eine Beschwerde bei der nationalen Datenschutzbehörde einer zuständigen Behörde ihrer Wahl einzureichen. Falls es erforderlich und angemessen ist, sollten die nationalen Datenschutzbehörden bei der Behandlung der Anfrage untereinander zusammenarbeiten (Artikel 28 der Richtlinie 95/46/EG).
Schließlich hat die Kommission entsprechend der diesbezüglichen Empfehlung in der Stellungnahme des EDSB eine neue Funktion in das EWRS eingeführt, die es ermöglicht, selektive Benachrichtigungen mit personenbezogenen Daten, die unrichtig, nicht mehr aktuell, nicht länger benötigt werden oder aus anderen Gründen nicht den Datenschutzanforderungen entsprechen, zur Einhaltung der Datenschutzvorschriften online zu berichtigen und zu löschen.
10. Datensicherheit
Der Zugang zum System ist auf befugte Nutzer der Kommission und des ECDC sowie die förmlich benannten nationalen Kontaktstellen des EWRS beschränkt. Der Zugang ist durch ein persönliches Benutzerkonto und Kennwort geschützt.
Die Verfahren für die Verarbeitung personenbezogener Angaben im Rahmen des EWRS müssen den Anforderungen gemäß Artikel 21 und 22 der Verordnung (EG) Nr. 45/2001 entsprechen.
11. Aufbewahrung der Daten
Im Einklang mit den Datenschutzanforderungen nach Artikel 4 Absatz 1 Buchstabe e der Verordnung (EG) Nr. 45/2001 und Artikel 6 Absatz 1 Buchstabe e der Richtlinie 95/46/EG löscht das System alle selektiven Nachrichten mit personenbezogenen Daten automatisch zwölf Monate nach dem Zeitpunkt ihrer Absendung.
Diese Sicherheitsmaßnahme ist zwar in das System eingebaut, aber entbindet die Nutzer des EWRS, die allein und individuell für ihre eigenen Datenverarbeitungstätigkeiten im Rahmen der selektiven Benachrichtigung verantwortlich sind, nicht davon, personenbezogene Daten, die nicht länger benötigt werden, schon vor Ablauf der Standardfrist von einem Jahr zu löschen.
Zu diesem Zweck hat die Kommission eine neue Funktion in das EWRS aufgenommen, die es den Nutzern ermöglicht, direkt und jederzeit selektive Nachrichten mit personenbezogenen Angaben zu löschen, wenn diese nicht länger benötigt werden.
Schließlich ist zu beachten, dass die zuständigen nationalen Behörden für die Einhaltung ihrer eigenen Datenschutzbestimmungen über die Aufbewahrung personenbezogener Daten gemäß den einschlägigen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG verantwortlich sind. Die im System gespeicherten personenbezogenen Daten werden zwar nach einem Jahr automatisch gelöscht, können aber von den Nutzern für eine andere Dauer (z.B. länger) außerhalb des EWRS gespeichert werden, sofern dies im Einklang mit den Verpflichtungen im Rahmen ihrer nationalen Datenschutzgesetze erfolgt und die dort vorgesehenen Fristen den Anforderungen gemäß Artikel 6 Absatz 1 Buchstabe e der Richtlinie 95/46/EG entsprechen.
12. Zusammenarbeit mit den nationalen Datenschutzbehörden
Den zuständigen Behörden wird nahegelegt, den Rat ihrer jeweiligen nationalen Datenschutzbehörde einzuholen, insbesondere wenn sie mit Datenschutzfragen konfrontiert sind, die nicht in diesen Leitlinien behandelt werden.
Die zuständigen Behörden sollten auch wissen, dass sie nach ihren nationalen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG unter Umständen ihre Datenschutzbehörde über ihre Verarbeitungstätigkeiten im Rahmen des EWRS unterrichten müssen. In manchen Mitgliedstaaten ist unter Umständen sogar eine vorherige Genehmigung der Datenschutzbehörde erforderlich.
_____________________
1) Das Zentrum unterstützt ferner die Kommission und hilft ihr beim Betrieb des EWRS. Diese Aufgabe wurde dem ECDC durch die Verordnung (EG) Nr. 851/2004 des Europäischen Parlaments und des Rates vom 21. April 2004 zur Errichtung eines Europäischen Zentrums für die Prävention und die Kontrolle von Krankheiten, insbesondere Artikel 8, zugewiesen (ABl. Nr. L 142 vom 30.04.2004 S. 1).
2) http://www.edps.europa.eu/EDPSWEB/edps/EDPS.
3) Die von diesem Netzwerk erfassten Kategorien übertragbarer Krankheiten beschränken sich auf die im Anhang der Entscheidung 2119/98/EG aufgeführten Krankheiten.
4) Artikel 2 Buchstabe a der Richtlinie 95/46/EG und Artikel 2 Buchstabe a der Verordnung (EG) Nr. 45/2001.
5) Artikel 4 der Entscheidung Nr. 2119/98/EG.
6) Anhang I der Entscheidung 2000/57/EG zur Definition der im Rahmen des EWRS zu meldenden "Ereignisse".
7) Artikel 6 der Entscheidung Nr. 2119/98/EG.
8) Durch die Entscheidung 2009/547/EG der Kommission zur Änderung der Entscheidung 2000/57/EG der Kommission wurden die rechtmäßigen Zwecke der Verarbeitung personenbezogener Daten im Rahmen des EWRS auf die "Ermittlung von Kontaktpersonen" ausgedehnt.
9) Artikel 2 Buchstabe b der Richtlinie 95/46/EG und Artikel 2 Buchstabe b der Verordnung (EG) Nr. 45/2001.
10) In Bezug auf die Definition des "für die Verarbeitung Verantwortlichen" siehe Abschnitt 5 unten.
11) Eine als Hinweis dienende Liste personenbezogener Daten, die zum Zweck der Ermittlung von Kontaktpersonen ausgetauscht werden dürfen, ist der Entscheidung 2009/547/EG beigefügt.
12) Artikel 1 und Anhang I der Entscheidung 2000/57/EG zur Definition der im Rahmen des EWRS zu meldenden "Ereignisse".
13) Artikel 2 Buchstabe a der Entscheidung 2000/57/EG, eingeführt durch die Entscheidung 2009/547/EG.
14) Gemäß Artikel 8 Absatz 4 der Richtlinie 95/46/EG.
15) Vgl. insbesondere die Artikel 4, 5 und 6 dieser Entscheidung.
16) Artikel 2 Buchstabe a der Entscheidung 2000/57/EG, eingeführt durch die Entscheidung 2009/547/EG.
17) Begriffsbestimmung nach Artikel 2 Buchstabe d der Richtlinie 95/46/EG.
18) Unter außergewöhnlichen Umständen kann die Kommission am Austausch personenbezogener Daten über den Kanal für selektive Benachrichtigung im Rahmen des EWRS beteiligt werden, sofern dies unbedingt notwendig ist, um die rechtzeitige und wirksame Durchführung von Gesundheitsmaßnahmen, die gemäß der Entscheidung Nr. 2119/98/EG und ihrer Durchführungsbestimmungen erforderlich sind, zu koordinieren oder zu ermöglichen. In diesen Fällen stellt die Kommission sicher, dass die Verarbeitung rechtmäßig ist und gemäß den Bestimmungen der Verordnung (EG) Nr. 45/2001 durchgeführt wird.
19) Begriffsbestimmung nach Artikel 2 Buchstabe e der Verordnung (EG) Nr. 45/2001.
20) Diese Grundsätze sind in Artikel 23 Absatz 1 der Verordnung (EG) Nr. 45/2001 über die Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen festgelegt.
21) Der Grundsatz der Rechtmäßigkeit der Verarbeitung ergibt sich aus den Bestimmungen von Artikel 6 Absatz 1 Buchstabe a zusammen mit Artikel 7 und 8 der Richtlinie 95/46/EG. Siehe auch die entsprechenden Bestimmungen der Verordnung (EG) Nr. 45/2001.
22) Der Grundsatz der Zweckbeschränkung wird in Artikel 6 Absatz 1 Buchstabe b der Richtlinie 95/46/EG und in der entsprechenden Bestimmung des Artikels 4 Absatz 1 Buchstabe b der Verordnung (EG) Nr. 45/2001 genannt.
23) Artikel 6 Absatz 1 Buchstaben c und d der Richtlinie 95/46/EG und Artikel 4 Absatz 1 Buchstaben c und d der Verordnung (EG) Nr. 45/2001.
24) Artikel 6 Absatz 1 Buchstabe e der Richtlinie 95/46/EG und Artikel 4 Absatz 1 Buchstabe e der Verordnung (EG) Nr. 45/2001.
25) Der Grundsatz der Vertraulichkeit ist in Artikel 16 der Richtlinie 95/46/EG und der entsprechenden Bestimmung des Artikels 21 der Verordnung (EG) Nr. 45/2001 festgelegt.
26) Der Grundsatz der Datensicherheit wird in Artikel 17 der Richtlinie 95/46/EG und in der entsprechenden Bestimmung des Artikels 22 der Verordnung (EG) Nr. 45/2001 genannt.
27) Für die vollständige Liste der Ausnahmen vom Verbot der Verarbeitung bestimmter Kategorien von Daten einschließlich Gesundheitsdaten siehe Artikel 8 Absätze 2, 3, 4 und 5 der Richtlinie 95/46/EG.
28) Artikel 8 Absatz 4 der Richtlinie 95/46/EG.
29) Die Nutzer des EWRS haben jedoch auch die Möglichkeit, diesen Kanal für den selektiven Austausch von Informationen zu technischen Fragen zu benutzen, bei dem keine personenbezogenen Daten übermittelt werden. Wenn statt der Standardoption diese Option gewählt wird, kann die Behörde, die die Nachricht übersendet, die Kommission und das ECDC als Empfänger angeben. Diese Funktion ist in das System eingeführt worden, um der institutionellen Rolle der Kommission bei der Koordinierung der Fragen im Zusammenhang mit der Bewältigung von Risiken und Ereignissen sowie den Aufgaben des ECDC im Rahmen der Risikobewertung Rechnung zu tragen.
30) Der Grundsatz des "eingebauten Datenschutzes" besagt, dass bei der Gestaltung und Entwicklung von Informations- und Kommunikationstechnologien (IKT) von Anfang und in allen Entwicklungsphasen Datenschutzanforderungen berücksichtigt werden müssen.
31) Die Informationspflicht der Kommission beruht auf den Artikeln 11 und 12 der Verordnung (EG) Nr. 45/2001.
32) Die Informationen, die in diesem Fall übermittelt werden müssen, umfassen zusätzlich zu den in Artikel 10 genannten Angaben die betreffenden Datenkategorien. Es ist klar, dass diese Information im Fall der Erhebung der Daten bei der betroffenen Person nicht erforderlich ist, da die betroffene Person bei der Erhebung der Daten über die betreffenden Datenkategorien unterrichtet wird.
33) Artikel 13 Absatz 1 der Richtlinie 95/46/EG über Ausnahmen und Einschränkungen sieht Folgendes vor: "Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für a) die Sicherheit des Staates; b) die Landesverteidigung; c) die öffentliche Sicherheit; d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen; e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten; f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind; g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen."
34) Artikel 12 der Richtlinie 95/46/EG und Artikel 13 bis 18 der Verordnung (EG) Nr. 45/2001
35) Die Datenschutzerklärung steht allen Nutzern des EWRS im geschützten Bereich der EWRS-Anwendung zur Verfügung.
36) Artikel 13 Absatz 1 der Richtlinie 95/46/EG.
weiter. |