23.8.2012   

DE

Amtsblatt der Europäischen Union

L 227/11

(1)

Gemäß der Richtlinie 95/46/EG haben die Mitgliedstaaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und die einzelstaatlichen Rechtsvorschriften zur Umsetzung anderer Bestimmungen der Richtlinie beachtet werden.

(2)

Die Kommission kann feststellen, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind.

(3)

Gemäß der Richtlinie 95/46/EG sind bei der Beurteilung des Datenschutzniveaus alle Umstände zu berücksichtigen, die bei einer Datenübermittlung oder einer Reihe von Datenübermittlungen eine Rolle spielen, insbesondere die für die Datenübermittlung relevanten, in Artikel 25 der Richtlinie aufgeführten Aspekte.

(4)

Wegen der unterschiedlichen Handhabung des Datenschutzes in Drittländern sollte die Beurteilung der Angemessenheit des Schutzniveaus sowie jeder Beschluss gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG und dessen Durchführung in einer Weise erfolgen, die gegenüber Drittländern bzw. unter Drittländern, in denen gleiche Bedingungen vorherrschen, keine willkürliche oder ungerechtfertigte Diskriminierung bewirkt und unter Berücksichtigung der bestehenden internationalen Verpflichtungen der Europäischen Union kein verstecktes Handelshemmnis darstellt.

(5)

In der im Jahr 1967 verabschiedeten politischen Verfassung der Republik Östlich des Uruguay sind das Recht auf Privatsphäre und das Recht auf den Schutz personenbezogener Daten nicht ausdrücklich verankert. Allerdings stellt der Katalog der Grundrechte keine erschöpfende Liste dar, da gemäß Artikel 72 der Verfassung neben den in der Verfassung aufgeführten Rechten, Pflichten und Garantien weitere zum Tragen kommen können, die mit der menschlichen Persönlichkeit verbunden sind oder sich aus der republikanischen Staatsform ergeben. Artikel 1 des Gesetzes Nr. 18.331 über den Schutz personenbezogener Daten und den „Habeas-data“-Rechtsbehelf (LPDP) (Ley No 18.331 de Protección de Datos Personales y de Acción de „Habeas Data“) vom 11. August 2008 sieht ausdrücklich vor, dass „der Mensch ein Recht auf den Schutz personenbezogener Daten hat und demnach dieses Recht in Artikel 72 der Verfassung der Republik enthalten ist“. In Artikel 332 der Verfassung heißt es, dass die Bestimmungen dieser Verfassung, in denen die Rechte natürlicher Personen anerkannt werden, sowie die Bestimmungen, nach denen öffentlichen Behörden Rechte zuerkannt und Pflichten auferlegt werden, auch ohne einschlägige Durchführungsverordnungen zur Anwendung kommen sollten. In diesem Fall werden Grundsätze, die sich aus ähnlichen Gesetzen ergeben, sowie die allgemeinen Rechtsgrundsätze und die allgemein anerkannte Rechtsdogmatik herangezogen.

(6)

Die Rechtsnormen zum Schutz personenbezogener Daten in der Republik Östlich des Uruguay stützen sich weitgehend auf die in der Richtlinie 95/46/EG vorgegebenen Normen und sind im Gesetz Nr. 18.331 über den Schutz personenbezogener Daten und den „Habeas-data“-Rechtsbehelf (LPDP) (Ley No 18.331 de Protección de Datos Personales y de Acción de „Habeas Data“) vom 11. August 2008 niedergelegt. Sie gelten für natürliche und juristische Personen.

(7)

In Ergänzung dieses Gesetzes wurde am 31. August 2009 die Verordnung Nr. 414/009 erlassen, um verschiedene Aspekte des Gesetzes zu erläutern und ausführliche Vorschriften zu der Organisation, den Befugnissen und der Arbeitsweise der Datenschutzaufsichtsbehörde niederzulegen. In der Präambel dieser Verordnung heißt es, dass es angebracht ist, das nationale Rechtssystem auf diesem Gebiet an das vergleichbare Rechtssystem anzupassen, das von den meisten Ländern anerkannt wird, im Wesentlichen an das System, das die europäischen Länder mit der Richtlinie 95/46/EG eingeführt haben.

(8)

Datenschutzbestimmungen finden sich überdies in einer Reihe besonderer Gesetze zur Einrichtung und Regulierung von Datenbanken, durch die insbesondere bestimmte öffentliche Register geregelt werden (amtliche Beurkundungen, gewerbliches Eigentum und Marken, persönliche Urkunden, Immobilien, Bergbau, Kreditauskünfte usw.). Gemäß Artikel 332 der Verfassung findet zusätzlich das Gesetz Nr. 18.331 Anwendung auf die Fragen, die nicht durch diese besonderen Gesetze geregelt sind.

(9)

Die in der Republik Östlich des Uruguay für den Datenschutz geltenden Rechtsnormen enthalten sämtliche Grundsätze, deren Einhaltung für einen angemessenen Schutz natürlicher Personen erforderlich ist; außerdem sehen sie zur Wahrung wichtiger öffentlicher Interessen Ausnahmen und Einschränkungen vor. Diese für den Datenschutz geltenden Rechtsnormen sowie die Ausnahmen tragen den in der Richtlinie 95/46/EG niedergelegten Grundsätzen Rechnung.

(10)

Die Anwendung der Datenschutznormen wird gewährleistet mittels administrativer und gerichtlicher Rechtsbehelfe — insbesondere durch den „Habeas-data“-Rechtsbehelf, durch den eine betroffene Person den für die Verarbeitung Verantwortlichen vor Gericht bringen kann, um ihr Recht auf Zugang, Berichtigung und Löschung einzuklagen — sowie einer unabhängigen Aufsicht durch die Stelle für die Regulierung und Kontrolle personenbezogener Daten (Unidad Reguladora y de Control de Datos Personales (URCDP)), die gemäß Artikel 28 der Richtlinie 95/46/EG mit Untersuchungs-, Eingriffs- und Sanktionskompetenzen ausgestattet ist und in völliger Unabhängigkeit handelt. Zudem kann jede betroffene Partei zur Wiedergutmachung von Schäden, die ihr infolge einer gesetzeswidrigen Verarbeitung ihrer personenbezogenen Daten entstanden sind, einen gerichtlichen Rechtsbehelf einlegen.

(11)

Die uruguayische Datenschutzbehörde hat Erläuterungen und Garantien zur Auslegung des uruguayischen Rechts abgegeben und darüber hinaus zugesichert, dass die uruguayischen Datenschutzvorschriften gemäß dieser Auslegung umgesetzt werden. Insbesondere hat die uruguayische Datenschutzbehörde erklärt, dass gemäß Artikel 332 der Verfassung das Gesetz Nr. 18.331 zusätzlich zu besonderen Gesetzen zur Einrichtung und Regulierung spezifischer Datenbanken auf die in diesen Gesetzen nicht geregelten Fragen Anwendung findet. Die Behörden haben auch dargelegt, dass in Bezug auf die in Artikel 9 Buchstabe C des Gesetzes Nr. 18.331 genannten Verzeichnisse, die nicht der Zustimmung des Betroffenen zur Verarbeitung bedürfen, das Gesetz — insbesondere die Grundsätze der Verhältnismäßigkeit und Zweckgebundenheit — auch auf die Rechte der Betroffenen Anwendung findet und die Einhaltung dieser Rechte von der Datenschutzbehörde überwacht wird. Im Hinblick auf den Grundsatz der Transparenz hat die uruguayische Datenschutzbehörde mitgeteilt, dass die Verpflichtung, Betroffenen die erforderlichen Informationen bereitzustellen, in allen Fällen gilt. In Bezug auf das Zugangsrecht hat die Behörde klargestellt, dass es genügt, wenn der Betroffene bei der Antragstellung seine Identität nachweist. Zudem hat sie erläutert, dass die in Artikel 23 Absatz 1 des Gesetzes Nr. 18.331 niedergelegten Ausnahmen zum Grundsatz der Übermittlung von Daten in ein Drittland nicht so auszulegen sind, dass sie einen breiteren Anwendungsbereich als Artikel 26 Absatz 1 der Richtlinie 95/46/EG haben.

(12)

Der vorliegende Beschluss trägt diesen Erläuterungen und Zusicherungen Rechnung und stützt sich darauf.

(13)

Die Republik Östlich des Uruguay ist auch Vertragspartei der Amerikanischen Menschenrechtskonvention (AMRK) vom 22. November 1969, die am 18. Juli 1978 in Kraft getreten ist (3). In Artikel 11 dieser Konvention ist das Recht auf Privatsphäre niedergelegt, während laut Artikel 30 Einschränkungen, die nach Maßgabe dieser Konvention für die Geltendmachung oder Ausübung der von der Konvention anerkannten Rechte oder Freiheiten festgelegt werden können, nur im Einklang mit aus Gründen des allgemeinen Interesses verabschiedeten Gesetzen und nur im Einklang mit dem Zweck der Einschränkungen Anwendung finden. Außerdem hat die Republik Östlich des Uruguay die Gerichtsbarkeit des Interamerikanischen Gerichtshofs für Menschenrechte akzeptiert. Darüber hinaus haben die Ministerstellvertreter im Europarat auf ihrer 1118. Sitzung vom 6. Juli 2011 die Republik Östlich des Uruguay aufgefordert, dem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (ETS Nr. 108) und dessen Zusatzprotokoll (ETS Nr. 118) nach einer befürwortenden Stellungnahme des betreffenden Beratenden Ausschusses beizutreten (4).

(14)

Daher ist die Republik Östlich des Uruguay als Land anzusehen, das ein angemessenes Schutzniveau für personenbezogene Daten gemäß der Richtlinie 95/46/EG bietet.

(15)

Dieser Beschluss sollte die Angemessenheit des Schutzes, den die Republik Östlich des Uruguay im Hinblick auf die Anforderungen des Artikels 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet, betreffen. Andere Bedingungen oder Einschränkungen zur Umsetzung sonstiger Bestimmungen der Richtlinie hinsichtlich der Verarbeitung personenbezogener Daten in den Mitgliedstaaten sollten davon unberührt bleiben.

(16)

Im Interesse der Transparenz und um sicherzustellen, dass die zuständigen Behörden der Mitgliedstaaten in der Lage sind, den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, sind — unbeschadet der Feststellung eines angemessenen Schutzniveaus — die besonderen Umstände zu nennen, unter denen die Aussetzung bestimmter Datenströme gerechtfertigt ist.

(17)

Die Kommission sollte die Durchführung dieses Beschlusses überwachen und den nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuss über relevante Erkenntnisse unterrichten. Die Überwachung sollte sich unter anderem auf Regelungen der Republik Östlich des Uruguay erstrecken, die auf Übermittlungen im Rahmen internationaler Verträge anwendbar sind.

(18)

Die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat eine befürwortende Stellungnahme zur Angemessenheit des Schutzes personenbezogener Daten abgegeben; diese Stellungnahme wurde bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt (5).

(19)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des durch Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzten Ausschusses —

a)

eine zuständige uruguayische Behörde feststellt, dass der Datenempfänger die geltenden Datenschutzvorschriften nicht einhält, oder

b)

eine hohe Wahrscheinlichkeit besteht, dass die Datenschutzvorschriften verletzt werden, Grund zur Annahme besteht, dass die zuständige uruguayische Behörde nicht rechtzeitig angemessene Maßnahmen ergreift, um das Problem zu lösen, die Fortsetzung der Datenübermittlung den betroffenen Personen einen unmittelbar bevorstehenden schweren Schaden zuzufügen droht und die zuständigen Behörden in den Mitgliedstaaten sich unter den gegebenen Umständen in angemessener Weise bemüht haben, die für die Datenverarbeitung verantwortliche Stelle in der Republik Östlich des Uruguay zu benachrichtigen, und ihr Gelegenheit zur Stellungnahme gegeben haben.