|
28.5.2008 |
DE |
Amtsblatt der Europäischen Union |
L 138/21 |
ENTSCHEIDUNG DER KOMMISSION
vom 8. Mai 2008
gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Jersey
(Bekannt gegeben unter Aktenzeichen K(2008) 1746)
(Text von Bedeutung für den EWR)
(2008/393/EG)
DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —
gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,
gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1), insbesondere auf Artikel 25 Absatz 6,
nach Anhörung der Datenschutzgruppe (2),
in Erwägung nachstehender Gründe:
|
(1) |
Gemäß der Richtlinie 95/46/EG haben die Mitgliedstaaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und die einzelstaatlichen Rechtsvorschriften zur Umsetzung anderer Bestimmungen der Richtlinie beachtet werden. |
|
(2) |
Die Kommission kann feststellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind. |
|
(3) |
Nach der Richtlinie 95/46/EG sind bei der Bewertung des Datenschutzniveaus alle Umstände zu berücksichtigen, die bei der Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen, ferner eine Reihe sonstiger bei der Datenübermittlung wichtiger und in Artikel 25 Absatz 2 der Richtlinie aufgeführter Merkmale. |
|
(4) |
Angesichts der unterschiedlichen Ansätze von Drittländern im Bereich des Datenschutzes sollte die Beurteilung der Angemessenheit bzw. die Durchsetzung jeglicher Entscheidung gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG in einer Form erfolgen, die gegen Drittländer bzw. unter Drittländern, in denen gleiche Bedingungen vorherrschen, nicht willkürlich oder ungerechtfertigt diskriminierend wirkt und unter Berücksichtigung der bestehenden internationalen Verpflichtungen der Gemeinschaft kein verstecktes Handelshemmnis darstellt. |
|
(5) |
Die Vogtei Jersey untersteht der britischen Krone unmittelbar (weder zählt sie zum Vereinigten Königreich noch handelt es sich um eine Kolonie) und genießt völlige Unabhängigkeit. Nur die Verantwortung für die internationalen Beziehungen und die Verteidigungspolitik liegt beim Vereinigten Königreich. Deswegen ist sie im Sinne der Richtlinie 95/46/EG als Drittland zu betrachten. |
|
(6) |
Die Ratifizierung der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und des Übereinkommens des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten durch das Vereinigte Königreich wurden 1951 bzw. 1987 auf die Vogtei Jersey ausgeweitet. |
|
(7) |
Die Vogtei Jersey hat ein eigenes Datenschutzgesetz (Data Protection (Jersey) Law 1987), das am 11. November 1987 in Kraft trat, sowie zwei Zusatzgesetze (Data Protection (Amendment) (Jersey) Law 2005, und Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005) erlassen, deren Rechtsnormen größtenteils der Richtlinie 95/46/EG entsprechen. |
|
(8) |
Ferner hat Jersey auf der Grundlage des Datenschutzgesetzes von 2005 Durchführungsvorschriften mit besonderen Regeln für den Zugang betroffener Personen, die Verarbeitung sensibler Daten oder die Meldung an die Datenschutzbehörde erlassen (3). |
|
(9) |
Die in Jersey geltenden Rechtsnormen enthalten sämtliche Grundsätze, deren Einhaltung für einen angemessenen Schutz natürlicher Personen erforderlich ist. Um die Anwendung dieser Vorschriften zu garantieren, stehen Rechtsbehelfe zur Verfügung, und der mit Untersuchungs- und Eingriffskompetenzen ausgestattete Datenschutzbeauftragte gewährleistet eine unabhängige Überwachung. |
|
(10) |
Daher ist festzustellen, dass Jersey ein angemessenes Schutzniveau für personenbezogene Daten im Sinne der Richtlinie 95/46/EG gewährleistet. |
|
(11) |
Im Interesse der Transparenz und um sicherzustellen, dass die zuständigen Behörden der Mitgliedstaaten in der Lage sind, den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, sind — unbeschadet der Anerkennung eines angemessenen Schutzniveaus — die besonderen Umstände zu nennen, unter denen die Aussetzung bestimmter Datenströme gerechtfertigt ist. |
|
(12) |
Die in dieser Entscheidung vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzten Ausschusses — |
HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:
Artikel 1
Gemäß Artikel 25 Absatz 2 der Richtlinie 95/46/EG wird die Vogtei Jersey als ein Land angesehen, das ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der Gemeinschaft bietet.
Artikel 2
Diese Entscheidung betrifft ausschließlich die Angemessenheit des Schutzes, den Jersey bietet, um den Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG zu genügen; andere Bestimmungen zur Umsetzung sonstiger Vorschriften der Richtlinie und Einschränkungen hinsichtlich der Verarbeitung personenbezogener Daten in den Mitgliedstaaten bleiben davon unberührt.
Artikel 3
(1) Unbeschadet ihrer Handlungsbefugnis zum Zwecke der Einhaltung einzelstaatlicher Vorschriften, die gemäß anderen Bestimmungen als denen des Artikels 25 der Richtlinie 95/46/EG angenommen wurden, können die zuständigen Behörden in den Mitgliedstaaten von ihrem Recht Gebrauch machen, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an einen Empfänger in Jersey auszusetzen, wenn
|
a) |
eine zuständige Behörde von Jersey feststellt, dass der Datenempfänger die geltenden Datenschutzvorschriften nicht einhält, oder |
|
b) |
wenn eine hohe Wahrscheinlichkeit besteht, dass die festgelegten Schutzvorschriften verletzt werden, Grund zur Annahme besteht, dass die zuständige Behörde von Jersey nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den betreffenden Fall zu lösen, die Fortsetzung der Datenübermittlung den betroffenen Personen einen unmittelbar bevorstehenden schweren Schaden zuzufügen droht und die zuständigen Behörden in den Mitgliedstaaten sich unter den gegebenen Umständen in angemessener Weise bemüht haben, die für die Datenverarbeitung verantwortliche Stelle in Jersey zu benachrichtigen, und ihr Gelegenheit zur Stellungnahme gegeben haben. |
(2) Die Aussetzung ist zu beenden, sobald sichergestellt ist, dass die Vorschriften befolgt werden und die zuständige Behörde in dem (den) jeweiligen Mitgliedstaat(en) davon in Kenntnis gesetzt ist (sind).
Artikel 4
(1) Die Mitgliedstaaten unterrichten die Kommission unverzüglich, wenn Maßnahmen gemäß Artikel 3 ergriffen wurden.
(2) Die Mitgliedstaaten und die Kommission unterrichten einander über Fälle, in denen die Maßnahmen der verantwortlichen Einrichtungen für die Einhaltung der Vorschriften in Jersey nicht ausreichen, um ein angemessenes Schutzniveau zu gewährleisten.
(3) Ergeben die nach Artikel 3 und nach Absatz 1 und 2 gewonnenen Erkenntnisse, dass eine für die Einhaltung der Vorschriften in Jersey verantwortliche Einrichtung ihre Aufgabe nicht wirksam erfüllt, so benachrichtigt die Kommission die zuständige Behörde in Jersey und schlägt erforderlichenfalls Maßnahmen gemäß dem in Artikel 31 Absatz 2 der Richtlinie 95/46/EG genannten Verfahren vor, die auf eine Aufhebung oder Aussetzung dieser Entscheidung oder eine Beschränkung ihres Geltungsbereichs gerichtet sind.
Artikel 5
Die Kommission überwacht die Durchführung dieser Entscheidung und unterrichtet den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über relevante Erkenntnisse; dazu zählen auch Erkenntnisse, die sich auf die Beurteilung in Artikel 1 dieser Entscheidung auswirken könnten, wonach Jersey ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie 95/46/EG bietet, ferner Erkenntnisse, die darauf hindeuten, dass diese Entscheidung in diskriminierender Weise angewandt wird.
Artikel 6
Die Mitgliedstaaten ergreifen binnen vier Monaten nach der Bekanntgabe der Entscheidung alle für ihre Umsetzung erforderlichen Maßnahmen.
Artikel 7
Diese Entscheidung ist an die Mitgliedstaaten gerichtet.
Brüssel, den 8. Mai 2008
Für die Kommission
Jacques BARROT
Vizepräsident
(1) ABl. L 281 vom 23.11.1995, S. 31. Richtlinie geändert durch die Verordnung (EG) Nr. 1882/2003 (ABl. L 284 vom 31.10.2003, S. 1).
(2) Stellungnahme 8/2007 zum Umfang des Schutzes personenbezogener Daten in Jersey, von der Datenschutzgruppe am 9. Oktober 2007 angenommen, einsehbar unter http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm
(3) U. a. die Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005, die Data Protection (Credit Reference Agency) (Jersey) Regulations 2005, die Data Protection (Fair Processing) (Jersey) Regulations 2005, die Data Protection (International Co-operation) (Jersey) Regulations 2005, die Data Protection (Notification) (Jersey) Regulations 2005, die Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005, die Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005, die Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005, die Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005, die Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005, die Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005, und die Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.