Am 24. Oktober 1995 haben das Europäische Parlament und der EU-Rat die "Europäische Datenschutzrichtlinie" erlassen. Die Bürger wollte man damit vor dem Missbrauch sensibler personenbezogener Daten schützen - wichtig gerade angesichts immer weiter fortschreitender Technologisierung. Ziel war es aber auch, die Gesetzgebung der EU-Staaten zu harmonisieren und die durch unterschiedliche Datenschutzniveaus entstehenden Wettbewerbsverzerrungen im EU-Binnenmarkt künftig zu vermeiden.
Die Richtlinie gab nun Mindeststandards vor, die in den EU-Mitgliedstaaten durch nationale Gesetze jeweils innerhalb von drei Jahren umgesetzt werden sollten. In Deutschland war das erst im Jahr 2001 der Fall. Wegen der zeitlichen Verzögerung hatte die EU-Kommission, wie auch gegen Frankreich, Luxemburg, die Niederlande und Irland, ein Vertragsverletzungsverfahren eingeleitet. Mittlerweile wurde die Richtlinie in allen 25 EU-Ländern umgesetzt. Deren Datenschutzbehörden müssen nun dafür sorgen, dass die Richtlinie mit all ihren Erweiterungen Eingang in die nationale Gesetzgebung findet. In Deutschland ist dafür der Bundesgesetzgeber verantwortlich, gemeinsam mit dem Bundesdatenschutzbeauftragten und den Datenschutzbeauftragten der Länder.
2002 wurde die Datenschutzrichtlinie im Telekommunikationsbereich durch eine weitere Richtlinie für elektronische Kommunikation ergänzt. Sie verpflichtete die EU-Mitgliedstaaten, für diesen Bereich spezifische Regelungen zu erlassen, beispielsweise das Mithören von Telefongesprächen und das Abfangen von E-Mails zu verbieten. Deutschland setzte die ergänzende Richtlinie erst Mitte 2004 im Rahmen der Novellierung des bundesdeutschen Telekommunikationsgesetzes um.
Um die Implementierung in den einzelnen EU-Staaten kümmert sich eine Datenschutzarbeitsgruppe. Die so genannte Artikel 29-Datenschutzgruppe setzt sich aus Vertretern der unabhängigen nationalen Datenschutzbehörden sowie einem Vertreter der Kommission zusammen. Die Arbeitsgruppe erstellt regelmäßig Berichte über den Stand des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und in Drittländern und übermittelt sie der Kommission, dem Europäischen Parlament und dem EU-Rat. Vorsitzender ist noch bis 2008 der Bundesdatenschutzbeauftragte Peter Schaar.
Mit der Terrorismusbekämpfung veränderte sich die Auslegung der Europäischen Datenschutzrichtlinie. Die USA erließen beispielsweise eine Reihe von Gesetzen und Verordnungen, die Fluggesellschaften bei Flügen in ihr Hoheitsgebiet dazu verpflichteten, den US-Behörden personenbezogene Daten über Fluggäste und Besatzungsmitglieder zu übermitteln. Die EU-Richtlinie sieht dagegen vor, die Weitergabe von Daten in Drittländer zu schützen. Der Transfer dieser Informationen dürfe nur erlaubt werden, wenn ein angemessenes Schutzniveau für den Bürger sichergestellt ist. Der Europäische Gerichtshof kam daher jüngst zu dem Ergebnis, dass das Abkommen zur Übermittlung von Flugpassagierdaten rechtswidrig ist.
Auch im Bereich der Vorratsdatenspeicherung, die vordergründig dem Schutz vor Kriminalität und der Terrorismusbekämpfung dienen soll, fordern die europäischen Datenschützer, entsprechende Gesetze nachzubessern und dabei auch die neuen technischen Entwicklungen zu berücksichtigen.
Hinzu kommt, dass die in der Europäischen Richtlinie verankerten Datenschutzbestimmungen nicht die gemeinsame Außen- und Sicherheitspolitik (GASP) sowie die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS) betreffen. Das bedeutet, dass elektronische Erfassungssysteme wie Eurodac oder das der Europäischen Polizei (Europol), die unter anderem Daten zur strafrechtlichen Erfassung sammeln, von der Datenschutzrichtlinie ausgenommen sind. Damit aber das Grundrecht auf Datenschutz auch dort gewährleistet ist, forderten die Europäischen Datenschutzbeauftragten in jüngster Zeit verstärkt ein hohes harmonisiertes Datenschutzniveau bei Polizei- und Justizbehörden der EU. Derzeit wird darüber in der Europäischen Kommission beraten.
Seit ihrem ersten Bericht im Jahr 2003 hatte sich die Datenschutzgruppe immer wieder für eine Harmonisierung des Datenschutzrechts in der EU eingesetzt und branchenspezifische Untersuchungen auf EU-Ebene gefordert. Seit März 2006 wird dies mit einer Untersuchung über die Verarbeitung und Weitergabe personenbezogener Daten im besonders sensiblen Bereich des Krankenversicherungssektors in die Praxis umgesetzt. Es ist eine erste gemeinsame Untersuchung aller nationaler Datenschutzbehörden der EU. Weitere sollen folgen.
Der nächste Schritt war zudem die Schaffung einer neuen Institution: der des Europäischen Datenschutzbeauftragten im Februar 2004. Noch bis 2009 hat dieses Amt der Niederländer Peter Hustinx inne. Sein Stellvertreter ist der Spanier Joaquin Bayo Delgado. Die unabhängige Kontrollbehörde mit Sitz in Brüssel hat die Aufgabe, die Organe und Institutionen in Fragen des Datenschutzes zu beraten. Außerdem wacht sie darüber, dass bei der Verarbeitung von personenbezogenen Daten durch EU-Organe die in den Datenschutzrichtlinien garantierten Grundrechte und Grundfreiheiten gewahrt bleiben. Der Datenschutzbeauftragte ist darüber hinaus Mitglied in der Artikel-29-Datenschutzgruppe, wo er sich mit den Mitgliedstaaten regelmäßig berät. Allerdings: Weisungsberechtigt gegenüber nationalen Datenschutzbeauftragten ist er nicht. Seine Befugnisse beschränken sind ausschließlich auf die Organe der Europäischen Union.
Die Autorin arbeitet als freie Journalistin in Köln.