publié le 12 mars 2002
Arrêté royal établissant la traduction officielle en langue allemande de l'arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel
21 DECEMBRE 2001. - Arrêté royal établissant la traduction officielle en langue allemande de l'arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel
ALBERT II, Roi des Belges, A tous, présents et à venir, Salut.
Vu la loi du 31 décembre 1983Documents pertinents retrouvés type loi prom. 31/12/1983 pub. 11/12/2007 numac 2007000934 source service public federal interieur Loi de réformes institutionnelles pour la Communauté germanophone. - Coordination officieuse en langue allemande fermer de réformes institutionnelles pour la Communauté germanophone, notamment l'article 76, § 1er, 1°, et § 3, remplacé par la loi du 18 juillet 1990;
Vu le projet de traduction officielle en langue allemande de l'arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, établi par le Service central de traduction allemande du Commissariat d'arrondissement adjoint à Malmedy;
Sur la proposition de Notre Ministre de l'Intérieur, Nous avons arrêté et arrêtons :
Article 1er.Le texte annexé au présent arrêté constitue la traduction officielle en langue allemande de l'arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
Art. 2.Notre Ministre de l'Intérieur est chargé de l'exécution du présent arrêté.
Donné à Bruxelles, le 21 décembre 2001.
ALBERT Par le Roi : Le Ministre de l'Intérieur, A. DUQUESNE
Annexe MINISTERIUM DER JUSTIZ 13. FEBRUAR 2001 - Königlicher Erlass zur Ausführung des Gesetzes vom 8.Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten BERICHT AN DEN KÖNIG 1. Einleitung Durch das Gesetz vom 11.Dezember 1998 ist das Gesetz vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten an die Bestimmungen der Europäischen Richtlinie 95/46/EG vom 24. Oktober 1995 angepasst worden.
Durch die Umsetzung dieser Richtlinie ist das Gesetz vom 8. Dezember 1992 grundlegend geändert worden, so dass sich ein neuer Ausführungserlass als notwendig erwiesen hat. Laut Artikel 32 der Europäischen Richtlinie werden die Bestimmungen dieser Richtlinie von den Mitgliedstaaten erst in nationale Rechtsvorschriften umgesetzt, nachdem die erforderlichen Rechts- und Verwaltungsvorschriften in Kraft getreten sind. Die Frist für die Umsetzung ist am 24. Oktober 1998 ausgelaufen.
Vor der Umsetzung der Europäischen Richtlinie durch das Gesetz vom 11.
Dezember 1998 sind circa fünfzehn Königliche Erlasse zur Ausführung des Gesetzes vom 8. Dezember 1992 erlassen worden. Diese grosse Anzahl Ausführungserlasse hat die Transparenz der Vorschriften in diesem Bereich nicht begünstigt. Ein wichtiges Ziel des Erlasses, der Ihnen jetzt vorgelegt wird, besteht dann auch darin, dass er so gut wie alle Königlichen Erlasse, die zuvor aufgrund des Gesetzes vom 8. Dezember 1992 erlassen worden sind, aufhebt und soweit wie möglich durch einen einzigen allgemeinen Erlass ersetzt.
Es muss darauf hingewiesen werden, dass die Richtlinie 95/46/EG gemäss ihrem Artikel 33 ab Juni 2001 unter Berücksichtigung der Entwicklung der Informationstechnologie und der Arbeiten über die Informationsgesellschaft beurteilt wird.
Der Aufgabenkomplex, der dem König durch das Gesetz vom 8. Dezember 1992 nach seiner Abänderung durch das Gesetz vom 11. Dezember 1998 aufgetragen wird, ist breitgefächert. Nicht weniger als fünfunddreissig Bestimmungen des Gesetzes müssen beziehungsweise können vom König ausgeführt werden. 1) Art.3 § 6: Ermächtigung für das Europäische Zentrum für vermisste und sexuell ausgebeutete Kinder, von einigen Bestimmungen des Gesetzes abzuweichen, einschliesslich der Dauer und der Bedingungen der Ermächtigung und des Statuts des Datenschutzbeauftragten. 2) Art.4 § 1 Nr. 2: Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken. 3) Art.4 § 1 Nr. 5: Aufbewahrung personenbezogener Daten zu wissenschaftlichen Zwecken. 4) Art.5 Buchstabe f): Zulässigkeit einer Verarbeitung personenbezogener Daten aufgrund einer Interessenabwägung; der König kann die Fälle bestimmen, in denen dieser Rechtfertigungsgrund nicht angeführt werden darf. 5) Art.6 § 2 Buchstabe a): Abweichung vom Prinzip der Zulässigkeit der Verarbeitung besonders schützenswerter Daten aufgrund der schriftlichen Einwilligung der betroffenen Person. 6) Art.6 § 2 Buchstabe g): Bedingungen für die Verarbeitung besonders schützenswerter Daten zu wissenschaftlichen Zwecken. 7) Art.6 § 2 Buchstabe k): Individuelle Ermächtigung für die Verarbeitung besonders schützenswerter Daten seitens Vereinigungen mit Rechtspersönlichkeit oder gemeinnütziger Einrichtungen, deren Hauptzweck die Verteidigung der Menschenrechte und Grundfreiheiten ist. 8) Art.6 § 3: Individuelle Ermächtigung für die Verarbeitung personenbezogener Daten über das Sexualleben seitens einer Vereinigung mit Rechtspersönlichkeit oder einer gemeinnützigen Einrichtung, deren Hauptzweck die Beurteilung, Betreuung und Behandlung von Personen, deren Sexualverhalten als Straftat qualifiziert werden kann, ist und die zur Verwirklichung dieses Zwecks von der zuständigen Behörde zugelassen und bezuschusst wird. 9) Art.6 § 4: Sonderbedingungen für die Verarbeitung besonders schützenswerter Daten. 10) Art.7 § 2 Buchstabe a): Möglichkeit für den König zu bestimmen, in welchen Fällen das Verbot, Daten über die Gesundheit zu verarbeiten, nicht durch eine schriftliche Einwilligung der betroffenen Person aufgehoben werden kann. 11) Art.7 § 2 Buchstabe k): Bedingungen für die Verarbeitung von Daten über die Gesundheit für die Erfordernisse der wissenschaftlichen Forschung. 12) Art.7 § 3: Sonderbedingungen für die Verarbeitung von Daten über die Gesundheit. 13) Art.7 § 4 Absatz 2: Möglichkeit für den König zu bestimmen, welche Kategorien von Personen im Sinne des Gesetzes als Fachkräfte der Gesundheitspflege gelten. 14) Art.8 § 2 Buchstabe e): Bedingungen für die Verarbeitung gerichtlicher personenbezogener Daten zu wissenschaftlichen Zwecken. 15) Art.8 § 4: Sonderbedingungen für die Verarbeitung gerichtlicher personenbezogener Daten. 16) Art.9 § 1 Buchstabe e): Zusätzliche Informationen, die der Verantwortliche je nach spezifischer Art der Verarbeitung zu dem Zeitpunkt erteilen muss, an dem er die Daten von der betroffenen Person erhält. 17) Art 9 § 2 Buchstabe e): Zusätzliche Informationen, die der Verantwortliche je nach spezifischer Art der Verarbeitung zu dem Zeitpunkt erteilen muss, an dem er die Daten auf eine andere Weise als bei der betroffenen Person selber sammelt.18) Art.9 § 2 Absatz 3: Bedingungen für die Befreiung von der durch Artikel 9 § 2 des Gesetzes auferlegten Informationspflicht. 19) Art.10 § 1 Absatz 2: Bestimmung der Personen, bei denen das Auskunftsrecht ausgeübt werden kann. 20) Art.10 § 1 Absatz 4: Möglichkeit für den König, die Modalitäten für die Ausübung des Rechts auf Einsichtnahme zu bestimmen. 21) Art.12 § 2: Bestimmung der Personen, bei denen das Berichtigungsrecht und das Widersetzungsrecht ausgeübt werden muss. 22) Art.13 Absatz 2: Modalitäten, gemäss denen das indirekte Recht auf Einsichtnahme über den Ausschuss ausgeübt werden kann. 23) Art.13 Absatz 4: Informationen, die der Ausschuss Betroffenen bei einer Verarbeitung durch Polizeidienste im Hinblick auf Identitätskontrollen mitteilen darf. 24) Art.16 § 4 Absatz 3: Festlegung angepasster Normen für die Sicherheit der Datenverarbeitung bei der Verarbeitung personenbezogener Daten. 25) Art.17 § 8: Befreiung von der Erklärungspflicht für bestimmte Kategorien von Verarbeitungen personenbezogener Daten. 26) Art.17 § 9: Festlegung des Beitrags, den der Verantwortliche bei der Erklärung entrichten muss. 27) Art.17bis: Bestimmung seitens des Königs der Verarbeitungskategorien, die besondere Gefahren für die Rechte und Freiheiten der betroffenen Personen darstellen, und der für diese Verarbeitungen einzuhaltenden Sonderbedingungen, damit die Rechte und Freiheiten der betroffenen Personen gewährleistet sind. 28) Art.18 Absatz 3: Modalitäten für die Einsichtnahme des öffentlichen Registers der automatisierten Verarbeitungen. 29) Art.21 § 2: Bestimmung seitens des Königs der Kategorien von Verarbeitungen personenbezogener Daten, für die die Übermittlung personenbezogener Daten in Länder ausserhalb der Europäischen Gemeinschaft nicht erlaubt ist, und der Umstände, unter denen dies nicht erlaubt ist. 30) Art.22 § 2: Möglichkeit für den König, eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Land ausserhalb der Europäischen Gemeinschaft, das kein angemessenes Schutzniveau gewährleistet, zu erlauben, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien bietet. 31) Art.32bis § 1: Möglichkeit für den König, im Hinblick auf die Anwendung internationaler Abkommen den Ausschuss für den Schutz des Privatlebens zu bestimmen, um aufgrund dieser Abkommen Aufträge auszuführen, die mit den dem Ausschuss durch das Gesetz zuerkannten Aufträgen identisch sind. 32) Art.32bis § 2: Bestimmung seitens des Königs der Modalitäten der Vertretung des Ausschusses durch bestimmte seiner Mitglieder oder Personalmitglieder bei internationalen Behörden. 33) Art.44: Möglichkeit für den König, die Anwendung der Bestimmungen des Gesetzes im Hinblick auf die Berücksichtigung der Spezifität der verschiedenen Sektoren zu präzisieren. 34) Art.45: Möglichkeit für den König, die Behörden zu bestimmen, die in Kriegszeiten oder in Zeiten, die gemäss Artikel 7 des Gesetzes vom 12. Mai 1927 über die militärischen Requirierungen damit gleichgesetzt sind, und während der Besetzung des belgischen Staatsgebiets durch den Feind den Befehl zur Zerstörung der Datenverarbeitungen geben oder mit der Zerstörung dieser Daten beauftragt sind.Ebenfalls Möglichkeit für den König, die Höhe der Entschädigungen für die vorerwähnten Zerstörungen festzulegen. 35) Art.52: Festlegung der Daten des In-Kraft-Tretens der Artikel des Gesetzes und der Fristen, innerhalb deren die Verantwortlichen den Bestimmungen des Gesetzes nachkommen müssen.
Im Erlass, der Ihnen heute vorgelegt wird, werden folgende Bestimmungen (noch) nicht zur Ausführung gebracht: 1) Art.3 § 6, 2) Art.5 Buchstabe f), 3) Art.6 § 2 Buchstabe k), 4) Art.6 § 3, 5) Art.7 § 4 Absatz 2, 6) Art.16 § 4 Absatz 3, 7) Art.17bis, 8) Art.21 § 2, 9) Art.22 § 2, 10) Art.32bis § 1, 11) Art.32bis § 2, 12) Art.44, 13) Art.45.
Sieben der noch nicht ausgeführten Bestimmungen des Gesetzes geben dem König die Möglichkeit, Massnahmen zu erlassen ("der König kann ...").
Drei andere betreffen individuelle Ermächtigungen, ob auf Antrag der betreffenden Organisation oder nicht (Child Focus, Amnesty International, CRASC,...), vom Gesetz abzuweichen. Abgesehen von diesen individuellen Ermächtigungserlassen, die sowieso nicht in einen allgemeinen Ausführungserlass gehören, und den "fakultativen" Aufgaben, die dem König durch das Gesetz anvertraut sind, werden nur drei Gesetzesbestimmungen noch nicht durch vorliegenden Erlass ausgeführt, nämlich Art. 17bis, Art. 21 § 2 und Art. 22 § 2.
Artikel 17bis Absatz 1 bestimmt, dass der König die Verarbeitungskategorien bestimmt, die besondere Gefahren darstellen, um anschliessend für diese Verarbeitungen Sonderbedingungen festzulegen. Diese Bestimmung wird in besonderen Erlassen über die Verarbeitung personenbezogener Daten ausgeführt, zum Beispiel in spezifischen Bereichen.
Aufgrund von Artikel 17bis Absatz 2 kann der König bestimmen, dass der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten bestellt, dem die unabhängige Überwachung der Anwendung des Gesetzes und seiner Ausführungsmassnahmen obliegt.
Der Staatsrat unterstreicht in seinem Gutachten 30.495/2, Seite 5, dass es den Autoren des Entwurfs obliegt zu untersuchen, ob es nicht sinnvoll wäre, bereits jetzt Artikel 17bis des Gesetzes zur Ausführung zu bringen, was die in den Artikeln 6 bis 8 des Gesetzes erwähnten Daten betrifft. Da die möglichen Verarbeitungen besonders schützenswerter Daten - insbesondere der in den Artikeln 6 und 8 erwähnten Daten - zu den Verarbeitungskategorien gehören, die erhöhte Gefahren für die Rechte und Freiheiten der betroffenen Personen darstellen, müssten nämlich kurzfristig besondere Garantien vorgesehen werden, wie zum Beispiel die Verpflichtung, einen Datenschutzbeauftragten zu bestimmen.
Im vorliegenden Königlichen Erlass wird diesbezüglich nichts vorgesehen. Es ist vorgezogen worden, andere Garantien für die Verarbeitung besonders schützenswerter Daten festzulegen.
De jure verpflichtet das Gesetz den König diesbezüglich nicht, sondern bietet Ihm die Möglichkeit (der König kann).
De facto hat der Vorschlag einen Datenschutzbeauftragten einzusetzen - eine Idee, die aus der Richtlinie 95/46/EG und insbesondere aus der deutschen Praxis hervorgeht - in Belgien eigentlich nie viel Zuspruch gefunden.
Sollte sich dies irgendwann jedoch als erforderlich erweisen, würde diese Angelegenheit durch einen besonderen Königlichen Erlass geregelt werden.
Artikel 21 § 2 betrifft die so genannte schwarze Liste der Länder ausserhalb der Europäischen Gemeinschaft, in die die Übermittlung personenbezogener Daten nicht erlaubt ist.
Artikel 21 § 1 des Gesetzes bestimmt, dass personenbezogene Daten, die Gegenstand einer Verarbeitung sind oder bestimmt sind, verarbeitet zu werden, in ein Land ausserhalb der Europäischen Gemeinschaft nur übermittelt werden dürfen, wenn dieses Land ein angemessenes Schutzniveau gewährleistet. Aufgrund von Artikel 21 § 2 muss der König bestimmen, für welche Kategorien von Verarbeitungen personenbezogener Daten und unter welchen Umständen die Übermittlung personenbezogener Daten in Länder ausserhalb der Europäischen Gemeinschaft nicht erlaubt ist. Dieser Königliche Erlass kann erst erlassen werden, wenn die diesbezüglichen Beratungen zwischen den Mitgliedstaaten und der Europäischen Kommission weiter fortgeschritten sind.
Mit diesem Verfahren beschäftigt sich derzeit ein Ausschuss, der aufgrund von Artikel 31 der Europäischen Richtlinie 95/46/EG unter dem Vorsitz der Europäischen Kommission eingesetzt worden ist und sich aus Vertretern aller Mitgliedsstaaten zusammensetzt.
In Erwartung genauerer Vorschriften in diesem Bereich muss sich der für die Verarbeitung Verantwortliche, der personenbezogene Daten in ein Land ausserhalb der Europäischen Gemeinschaft übermitteln möchte, vergewissern, dass das Land ein angemessenes Schutzniveau gewährleistet. In Artikel 21 § 1 Absatz 2 des Gesetzes sind einige Kriterien angeführt, die ihn in dieser Frage leiten können.
Besteht die Gefahr, dass die Übermittlung aufgrund von Artikel 21 § 1 des Gesetzes beanstandet werden könnte, weil das Bestimmungsland kein angemessenes Schutzniveau gewährleistet, muss der Verantwortliche überprüfen, ob die Übermittlung nicht unter eine der in Artikel 22 § 1 des Gesetzes erwähnten Ausnahmen fällt. Er kann zum Beispiel die ausdrückliche Zustimmung der betroffenen Person zur Übermittlung der Daten erhalten haben, die Übermittlung kann für die Ausführung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person oder für das Eingehen oder Ausführen einer Vereinbarung im Interesse der betroffenen Person erforderlich sein.
Artikel 22 § 2 bestimmt die Garantien, die die für die Verarbeitung Verantwortlichen bieten müssen, wenn sie Daten in Länder ausserhalb der Europäischen Union übermitteln möchten, die kein angemessenes Schutzniveau gewährleisten, und die Übermittlung nicht unter die in Artikel 22 § 1 des Gesetzes bestimmten Ausnahmen fällt.
Diese Garantien, die sich unter anderem aus einem Vertrag ergeben können, müssen ein Schutzniveau bieten, das dem angemessenen Schutzniveau entspricht, nicht mehr und nicht weniger, damit keine Diskriminierung im Datenverkehr verursacht wird. Diese Garantien müssen dieselben Bestandteile umfassen.
Die Bestandteile des angemessenen Schutzniveaus werden im Rahmen von Verhandlungen festgelegt, die die Europäische Union derzeit mit verschiedenen Drittstaaten führt.
Daher muss auch in diesem Fall das Resultat der laufenden Verhandlungen abgewartet werden, bevor die Garantien bestimmt werden, die die für die Verarbeitung Verantwortlichen bieten müssen, wenn sie Daten in Länder ausserhalb der Europäischen Union, die kein angemessenes Schutzniveau gewährleisten, übermitteln.
Dieser Entwurf eines Königlichen Erlasses kann auf der Internetseite des Ministeriums der Justiz eingesehen werden, damit die Beteiligten der verschiedenen politischen, wirtschaftlichen und sozialen Sektoren die Möglichkeit haben, auf spezifische Probleme, die der Datenschutz in ihren jeweiligen Sektoren aufwirft, aufmerksam zu machen.
Eine "Zwischenorganisation" im Sinne von Nummer 6 ist die natürliche oder juristische Person, nichtrechtsfähige Vereinigung oder öffentliche Verwaltung, die nicht der Verantwortliche für die Verarbeitung der nicht verschlüsselten Daten ist und mit der Verschlüsselung der Daten beauftragt ist, das heisst mit der Umwandlung nicht verschlüsselter personenbezogener Daten in verschlüsselte personenbezogene Daten.
Je nach Fall wird die Zwischenorganisation angesehen als: - Auftragsverarbeiter des für die Verarbeitung Verantwortlichen, der personenbezogene Daten verschlüsseln möchte (s.u. Artikel 8 und 9), - oder als Dritter im Verhältnis zu dem für die Verarbeitung Verantwortlichen, der die Daten verschlüsseln möchte (s.u. Art. 10).
KAPITEL II - Weiterverarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken In Artikel 4 § 1 Nr. 2 des Gesetzes, durch den Artikel 6 Buchstabe a) [sic, zu lesen ist: Buchstabe b)] der Richtlinie 95/46/EG umgesetzt wird, wird bestimmt, dass personenbezogene Daten für festgelegte eindeutige und rechtmässige Zwecke erhoben werden müssen und nicht in einer Weise weiterverarbeit werden dürfen, die unter Berücksichtigung aller relevanten Faktoren, insbesondere der annehmbaren Erwartungen der betroffenen Person und der anzuwendenden Gesetzes- und Verordnungsbestimmungen, unvereinbar mit diesen Zweckbestimmungen ist.
Weiter wird bestimmt, dass die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken nicht als unvereinbar anzusehen ist, wenn sie gemäss den Bedingungen erfolgt, die vom König nach Stellungnahme des Ausschusses für den Schutz des Privatlebens festgelegt worden sind.
In Artikel 4 § 1 Nr. 5 des Gesetzes, durch den Artikel 6 Buchstabe e) der Richtlinie 95/46/EG umgesetzt wird, wird bestimmt, dass personenbezogene Daten nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden dürfen, die die Identifizierung der betroffenen Personen ermöglicht, und dass der König nach Stellungnahme des Ausschusses für den Schutz des Privatlebens geeignete Garantien für personenbezogene Daten vorsieht, die über die vorerwähnte Dauer hinaus zu historischen, statistischen oder wissenschaftlichen Zwecken aufbewahrt werden.
Weder im Gesetz vom 8. Dezember 1992 noch in den diesbezüglichen parlamentarischen Arbeiten werden die angemessenen Garantien näher beschrieben.
In der Erwägung 29 der Richtlinie 95/46/EG wird dagegen bestimmt, dass diese Garantien insbesondere ausschliessen müssen, dass die Daten für Massnahmen oder Entscheidungen gegenüber einzelnen Betroffenen verwendet werden.
In Kapitel II werden die Garantien bestimmt, die aufgrund von Artikel 4 § 1 Nr. 2 und 5 des Gesetzes erforderlich sind.
Abschnitt I - Allgemeine Grundsätze Artikel 2 Kapitel II ist anwendbar auf Verarbeitungen personenbezogener Daten, die für festgelegte eindeutige und rechtmässige Zwecke erhoben und zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet werden.
In Artikel 2 werden zwei verschiedene Begriffe gehandhabt, nämlich "historische, statistische oder wissenschaftliche Zwecke" und "Weiterverarbeitung".
Der Begriff historische, statistische oder wissenschaftliche Zwecke Was den Begriff "historische, statistische oder wissenschaftliche Zwecke" betrifft, unterstreicht der Ausschuss für den Schutz des Privatlebens in seiner Stellungnahme 25/99, dass dieser Begriff im Zweifelsfall aufgrund der Bedeutung, die dieser Begriff in der Richtlinie hat, ausgelegt werden muss.
Weder im Text noch in den Erwägungen der Richtlinie 95/46/EG werden diese Begriffe jedoch näher bestimmt. Im Gesetz sind sie auch nicht definiert worden.
In der Empfehlung R (97) 18 vom 30. September 1997 des Ministerkomitees des Europarates an die Mitgliedstaaten über den Schutz personenbezogener Daten, die zu statistischen Zwecken erfasst und verarbeitet werden, wird der Begriff Verarbeitung zu statistischen Zwecken jedoch als Verrichtung im Hinblick auf die Sammlung und Verarbeitung personenbezogener Daten, die für statistische Erhebungen oder für die Vorlage statistischer Ergebnisse erforderlich ist, angesehen.
Mit "statistischem Ergebnis" ist eine Information gemeint, die man durch Verarbeitung personenbezogener Daten erhält, um ein kollektives Phänomen bei einer bestimmten Bevölkerungsschicht zu umschreiben.
In Nr. 2 der Begründung der Empfehlung R (97) 18 wird erklärt, dass die Statistik sich mit der Analyse von Massenphänomen befasst. Die Statistik ermöglicht anhand eines Kondensierungsverfahrens eine allgemeine Behauptung aus einer Reihe systematischer individueller Beobachtungen abzuleiten. Die Ergebnisse dieses Verfahrens werden meist in Form von Zahlenmaterial über das betreffende Phänomen oder die betreffende Bevölkerungsschicht präsentiert. Obwohl die Statistik auf individuellen Beobachtungen beruht, zielt sie nicht darauf ab, Kenntnisse über Einzelpersonen zu erlangen, sondern zusammenfassende und repräsentative Informationen über den Zustand einer Bevölkerungsschicht oder über ein Massenphänomen zu erhalten. Die statistische Tätigkeit unterscheidet sich daher von anderen Tätigkeiten, weil sie nicht darauf abzielt, individuelle Beschlüsse oder Massnahmen zu ergreifen, sondern viel eher Kenntnisse über grosse Einheiten zu erwerben wie zum Beispiel Konjunkturen, Lebensbedingungen einer gesellschaftlichen Gruppe oder Struktur eines Marktes, und Phänomene zu analysieren wie zum Beispiel Epidemien, Meinungstendenzen, Fruchtbarkeit oder Konsumverhalten der Haushalte und daher Urteile oder Beschlüsse kollektiver Tragweite zu erhalten.
Wie in der Begründung der Empfehlung R (97) 18 (Nr. 11) hervorgehoben, haben Verarbeitungen zu statistischen Zwecken im Allgemeinen folgende Ziele: * allgemeine Erteilung von Informationen: die statistischen Kenntnisse werden der Öffentlichkeit zur Verfügung gestellt, ohne im voraus zu beurteilen, welchen Nutzen oder welches Interesse die verschiedenen Personen daran haben, * Hilfe bei Planung und Beschlussfassung: es gilt, einem öffentlichen oder privaten Entscheidungsträger Informationen über sein Umfeld oder seinen Tätigkeitsbereich zu erteilen, anhand deren er eine Strategie ausarbeiten kann oder einen Beschluss optimieren kann. Diesem Entscheidungsträger oder einer Drittperson soll ermöglicht werden, die Wirksamkeit des getroffenen Beschlusses zu beurteilen, * der Wissenschaft dienen: der Forschung sollen Informationen zur Verfügung gestellt werden, die dazu beitragen, Phänomene in den verschiedensten Bereichen wie zum Beispiel Epidemiologie, Psychologie, Wirtschaft, Soziologie, Linguistik, politische Wissenschaft, Ökologie usw. zu verstehen.
Wie in der Begründung der Empfehlung R (97) 18 (Nr. 11) hervorgehoben, könnte man schlussfolgern, dass Verarbeitungen zu statistischen Zwecken keine Daten beinhalten, die geschützt werden müssen. Eine solche Schlussfolgerung wäre jedoch übereilt und würde den Werdegang und die Verbreitung statistischer Informationen nicht berücksichtigen, die grösstenteils auf der Möglichkeit beruhen, personenbezogene Daten zu erhalten und zu verarbeiten. Die Gefahr, dass die betreffenden Daten zu einem anderen Zweck verwendet werden als zu dem Zweck, zu dem sie gesammelt worden sind, und zu persönlichen Zwecken verwendet werden, kann daher nicht ausgeschlossen werden.
Dies könnte der Fall sein, wenn Statistiken bei Verwaltungen und der Polizei verwendet werden; hier könnte die Gefahr bestehen, dass Daten, die zu statistischen Zwecken erfasst worden sind, im Rahmen von Urteilen und Entscheidungen gegenüber bestimmten Personen verwendet werden.
Darüber hinaus ist es möglich, dass statistische Daten trotz ihres anonymen und kompakten Charakters analysiert und kombiniert werden, so dass Personen, auf die die Ausgangsdaten zutreffen, identifiziert werden können.
Schliesslich kann nicht geleugnet werden, dass manchmal bedeutende Geschäftsinteressen auf dem Spiel stehen und dass personenbezogene Daten, die zu statistischen Zwecken erfasst worden sind, einfach als Handelsware angesehen werden und der Schutz des Privatlebens ausser Acht gelassen wird.
In der Begründung der Empfehlung R (97) 18 (Nr. 14) wird bestimmt, dass die wissenschaftliche Forschung darauf abzielt, Gesetzmässigkeiten, Verhaltensregeln oder Kausalzusammenhänge festzulegen, die alle Personen, auf die sie sich beziehen, übersteigen. Sie möchte globale Phänomene charakterisieren.
In diesem Zusammenhang schliesst der Begriff wissenschaftliche Forschung Reihenuntersuchungen ein, die im Hinblick auf den Schutz und die Verbesserung der Volksgesundheit geführt werden.
Der Begriff historisch wird weder in der Empfehlung des Europarates noch in einem internationalen Text definiert. Der Begriff verweist auf Verarbeitungen personenbezogener Daten, die vorgenommen werden, um Ereignisse aus der Vergangenheit zu analysieren oder um diese Analyse zu ermöglichen. Eine Verarbeitung zu historischen Zwecken kann eine Verarbeitung zu wissenschaftlichen Zwecken sein, kann aber ebenfalls eine Verarbeitung sein, die den wissenschaftlichen Kriterien nicht entspricht. Ein Genealoge darf sich daher auf die durch das Gesetz erlaubten Abweichungen berufen.
Die blosse Archivierung seitens eines für die Verarbeitung Verantwortlichen der eigenen Dateien gilt jedoch nicht als Aufbewahrung zu historischen Zwecken und fällt daher nicht in den Anwendungsbereich von Kapitel II. Die Gefahren des vorerwähnten zweckwidrigen Gebrauchs von Verarbeitungen zu statistischen Zwecken gilt ebenfalls für Verarbeitungen zu wissenschaftlichen und historischen Zwecken.
Der Begriff Weiterverarbeitung Neben dem Begriff "zu historischen, statistischen oder wissenschaftlichen Zwecken" wird in Artikel 2 ebenfalls der Begriff "Weiterverarbeitung" verwendet.
Dieser Begriff stammt aus Artikel 4 § 1 Nr. 2 des Gesetzes und aus Artikel 6 Absatz 1 Buchstabe b) der Richtlinie 95/46/EG. Es wird jedoch nicht beschrieben, was unter Weiterverarbeitung zu verstehen ist.
Dieser Begriff verweist auf den Fall, in dem der für die Verarbeitung Verantwortliche, der im Rahmen seiner gewöhnlichen und rechtmässigen Tätigkeiten personenbezogene Daten verarbeitet, diese Daten selber wiederverwenden oder einem Dritten mitteilen möchte im Hinblick auf eine wissenschaftliche, historische oder statistische Untersuchung.
In der Begründung der Empfehlung R (97) 18 (Nr. 15) wird jedenfalls erklärt, dass es in der Statistik zwei Arten der Sammlung gibt, die primäre und die sekundäre Sammlung.
Primäre Sammlungen erfolgen direkt bei den Personen anhand von Fragebögen in gedruckter oder digitaler Form oder anhand von Telefoninterviews.
Sekundäre Sammlungen erfolgen bei öffentlichen oder privaten Einrichtungen, die über bestehende Unterlagen oder Dateien verfügen, die verwendet werden können, um Statistiken zu erstellen.
In Artikel 5.4 der Empfehlung R (97) 18 werden sekundäre Sammlungen als Verarbeitungen oder Übermittlungen personenbezogener Daten zu statistischen Zwecken umschrieben, wobei die Daten zu anderen Zwecken als zu statistischen Zwecken erfasst worden sind.
Sekundäre Sammlungen können aufgrund von Verarbeitungen von Daten erfolgen, die ein Dritter besitzt, aber auch aufgrund von Verarbeitungen von Daten, die zu anderen Zwecken als zu statistischen Zwecken von dem Verantwortlichen für die Verarbeitung zu statistischen Zwecken verwaltet werden.
Sekundäre Sammlungen sind eine weitverbreitete Praktik im Rahmen der Verwaltung von Gesellschaften und Unternehmen. So können Statistiken im Hinblick auf die Personalverwaltung, die Verwaltung von Produktivitätsprämien und im Rahmen der Handelsbeziehungen, zum Beispiel Statistiken über das Kaufverhalten der Kunden, angeführt werden.
Der Begriff Weiterverarbeitung umfasst auch den Begriff sekundäre Sammlung.
Der Anwendungsbereich von Kapitel II umfasst jedoch nicht primäre Sammlungen von Daten, das heisst Datenverarbeitungen, die ursprünglich zu historischen, statistischen oder wissenschaftlichen Zielen erfolgt sind, sondern nur sekundäre Sammlungen, das heisst Weiterverarbeitungen.
In der Stellungnahme 8/99 des Ausschusses für den Schutz des Privatlebens wird übrigens hervorgehoben, dass Kapitel II ebenfalls nicht anwendbar ist auf Verarbeitungen personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken, die den Zwecken, für die die verarbeiteten personenbezogenen Daten erfasst worden sind, entsprechen beziehungsweise mit ihnen vereinbar sind.
In der Stellungnahme 8/99 des Ausschusses für den Schutz des Privatlebens wird jedoch nicht definiert, was unter "mit den Zweckbestimmungen vereinbar" zu verstehen ist.
In Artikel 4 § 1 des Gesetzes wird eine Definition a contrario dieses Begriffs gegeben, wenn bestimmt wird, dass personenbezogene Daten nicht in einer Weise weiterverarbeit werden dürfen, die unter Berücksichtigung aller relevanten Faktoren, insbesondere der annehmbaren Erwartungen der betroffenen Person und der geltenden Gesetzes- und Verordnungsbestimmungen, unvereinbar mit diesen Zweckbestimmungen ist.
Eine zu vereinbarende Zweckbestimmung ist daher eine Zweckbestimmung, die die betroffene Person vorhersehen kann oder die aufgrund einer Gesetzesbestimmung als vereinbar angesehen werden wird.
Es gibt also drei Fälle, was Verarbeitungen zu historischen, statistischen oder wissenschaftlichen Zwecken betrifft: * Entweder werden die personenbezogenen Daten ursprünglich zu historischen, statistischen oder wissenschaftlichen Zwecken erfasst.
In diesem Fall geht es nicht um eine Weiterverarbeitung und Kapitel II des vorliegenden Erlasses ist nicht anwendbar; solche Datenverarbeitungen unterliegen der gewöhnlichen Regelung für die Verarbeitung personenbezogener Daten. * Oder die personenbezogenen Daten werden ursprünglich zu einem anderen Zweck als zu historischen, statistischen oder wissenschaftlichen Zwecken erfasst, später jedoch zu historischen, statistischen oder wissenschaftlichen Zwecken, die mit der ursprünglichen Zweckbestimmung vereinbar sind, weiterverarbeitet. In diesem Fall ist Kapitel II nicht anwendbar. * Oder die personenbezogenen Daten werden ursprünglich zu einem anderen Zweck als zu historischen, statistischen oder wissenschaftlichen Zwecken erfasst und später zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet, die nur mit der ursprünglichen Zweckbestimmung vereinbar sind, wenn die in Kapitel II bestimmten Bedingungen eingehalten werden.
Werden personenbezogene Daten ursprünglich zu historischen, statistischen oder wissenschaftlichen Zwecken erfasst oder ist die Weiterverarbeitung dieser Daten nicht unvereinbar mit der ursprünglichen Zweckbestimmung, unabhängig vom Bestehen ausreichender Garantien, ist die gewöhnliche Regelung für die Verarbeitung personenbezogener Daten anwendbar, das heisst: * Personenbezogene Daten müssen nach Treu und Glauben und auf rechtmässige Weise verarbeitet werden (Art. 4 des Gesetzes). * Die Erfassung muss mit der Einwilligung der betroffenen Person erfolgen oder ist für die Ausführung einer Aufgabe öffentlichen Interesses erforderlich; wenn nicht, müssen die Interessen des Forschers und die Grundrechte und Grundfreiheiten der betroffenen Personen abgewägt werden (Art. 5 des Gesetzes). * Bezieht sich die Untersuchung auf besonders schützenswerte Daten, muss sie auf einem wichtigen öffentlichen Interesse beruhen (Art. 8 des Gesetzes). * Werden die für die Untersuchung notwendigen Daten bei der betroffenen Person selber gesammelt, muss diese ordnungsgemäss von der Identität des Verantwortlichen, der Zweckbestimmung der Verarbeitung, der Frist für die Aufbewahrung, der Bestimmung der Daten und ihren Rechten in Bezug auf die Mitteilung der Daten in Kenntnis gesetzt werden (Art. 9 § 1 des Gesetzes). * Die Daten müssen der betroffenen Person auf Antrag in verständlicher Form mitgeteilt werden (Art. 10 des Gesetzes). * Die betroffene Person hat ein Berichtigungsrecht und, wenn sie triftige Gründe anführt, das Recht sich der Verarbeitung zu wiedersetzen (Art. 11 [sic, zu lesen ist: Art. 12] des Gesetzes). * Wenn die betroffene Person nachweist, dass sie aufgrund einer Verarbeitung personenbezogener Daten, die sie betreffen, einen Schaden erlitten hat, der auf die Nichteinhaltung des Gesetzes zurückzuführen ist, haftet der für die Verarbeitung Verantwortliche, es sei denn, er kann nachweisen, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann (Art. 15bis des Gesetzes: Umkehr der Beweislast). * Greift der für die Verarbeitung Verantwortliche auf einen Auftragsverarbeiter zurück, muss ein schriftlicher Vertrag geschlossen werden, der ausreichende Garantien bietet (Art. 16 § 1 des Gesetzes). * Der für die Verarbeitung Verantwortliche muss den Zugriff auf Daten schützen, differenzierte Zugriffsebenen für Personen, die unter seiner Verantwortung handeln, vorsehen und diese Personen ausreichend über die Regeln informieren, die im Hinblick auf den Schutz des Privatlebens der betroffenen Personen eingehalten werden müssen (Art. 16 § 2 des Gesetzes). * Der für die Verarbeitung Verantwortliche muss einen angemessenen Schutz der Daten gewährleisten unter Berücksichtigung der Art der Daten, der möglichen Risiken und des Standes der Technik im Bereich Datenschutz (Art. 16 § 4 des Gesetzes). * Der Verantwortliche für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken muss darüber eine Erklärung beim Ausschuss für den Schutz des Privatlebens abgegeben (Art. 17 des Gesetzes). * Personenbezogene Daten dürfen nicht in ein Land ausserhalb der Europäischen Union übermittelt werden, wenn das betreffende Land keinen angemessenen Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten gewährleistet (Art. 21 des Gesetzes).
Artikel 3 Der Königliche Erlass sieht für die Verarbeitung anonymer Daten, verschlüsselter Daten beziehungsweise nicht verschlüsselter Daten eine Regelung in drei Phasen vor.
Prinzipiell müssen Forscher mit anonymen Daten arbeiten.
Auf diese Weise folgt der Königliche Erlass der vorerwähnten Empfehlung R (97) 18. In Artikel 8 der Empfehlung wird nämlich bestimmt, dass personenbezogene Daten, die zu statistischen Zwecken erfasst werden, anonym sein müssen, sobald Erfassung, Kontrolle und Angleichung beendet sind.
Anonyme Daten sind per Definition keine personenbezogenen Daten und ihre Verarbeitung erfordert daher keine besonderen Garantien.
Artikel 4 Es ist nicht immer möglich, mit anonymen Daten zu arbeiten, insbesondere in folgenden Fällen: * Die Untersuchung erfordert eine Verbindung zwischen Daten, die dieselbe Person betreffen, jedoch aus verschiedenen Dateien stammen ("record linkage"). * Bei der Untersuchung werden Aussagen derselben Person, die jedoch zu verschiedenen Zeitpunkten gemacht worden sind, miteinander verglichen ("panel"). * Daten über dieselbe Person werden während eines bestimmten Zeitraums zu verschiedenen Zeitpunkten untersucht ("longitudinal research"). * Die Untersuchung gilt vorrangig spezifischen identifizierten Personen; dies geschieht vor allem bei historischen Untersuchungen.
Wenn es unmöglich erscheint, die Untersuchung mit anonymen Daten fortzusetzen, obliegt es dem Forscher zu untersuchen, ob es möglich ist, dies anhand verschlüsselter Daten zu tun.
In diesem Fall wird in Abschnitt 2 des vorliegenden Kapitels bestimmt, dass die Daten verschlüsselt werden, bevor sie dem Forscher übermittelt werden.
Mit dem im Königlichen Erlass vorgesehenen Verfahren wird eine Übereinstimmung mit der vorerwähnten Empfehlung R (97) 18 angestrebt.
In Artikel 8 der Empfehlung wird nämlich bestimmt, dass personenbezogene Daten, die zu statistischen Zwecken erfasst werden, anonym sein müssen, sobald Erfassung, Kontrolle und Angleichung beendet sind, ausser wenn Identifizierungsdaten für statistische Zwecke erforderlich bleiben und die in Artikel 10.1 vorgesehenen Massnahmen ergriffen worden sind.
In Artikel 10.1 der Empfehlung wird bestimmt, dass Identifizierungsdaten, die zu statistischen Zwecken erfasst und verarbeitet werden, von den anderen personenbezogenen Daten getrennt werden müssen und auch getrennt aufbewahrt werden müssen.
Artikel 5 Erweist es sich als unmöglich, die Untersuchung mit verschlüsselten Daten fortzusetzen, kann der Forscher mit nicht verschlüsselten Daten arbeiten.
In diesem Fall sieht Abschnitt 3 des vorliegenden Kapitels striktere Garantien vor.
Wie der Ausschuss für den Schutz des Privatlebens in seinen Stellungnahmen 8/99 und 25/99 unterstreicht, obliegt es dem Verantwortlichen für die Verarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken, vor den zuständigen Instanzen den Nachweis zu erbringen, dass er die Ziele unmöglich anhand der Verarbeitung anonymer Daten und/oder verschlüsselter Daten verwirklichen kann.
Gemäss den Stellungnahmen des Ausschusses wird in den Artikeln 4 und 5 des Königlichen Erlasses bestimmt, dass der Verantwortliche für die Verarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken in der Verarbeitungserklärung, die er aufgrund von Artikel 17 des Gesetzes dem Ausschuss für den Schutz des Privatlebens abgeben muss, die Gründe für diese Unmöglichkeit angeben muss.
Aufgrund von Artikel 17 § 3 des Gesetzes muss der Verantwortliche für die Weiterverarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken darüber hinaus die Zweckbestimmung der Verarbeitung, das heisst die Zweckbestimmung der Untersuchung, und die Herkunft der Daten, das heisst die Identität des für die ursprüngliche Verarbeitung Verantwortlichen oder der Zwischenorganisation, die die Daten mitgeteilt hat, angeben.
Ziel ist es nicht, dass für jeden Untersuchungsentwurf eine Erklärung abgegeben wird. Die Erklärung betrifft hauptsächlich eine Reihe gleichartiger Projekte. Daher steht die Erklärung nicht im Widerspruch zu der eventuell erforderlichen Diskretion in Bezug auf konkrete Untersuchungspläne.
Artikel 6 Forscher dürfen selbstverständlich nicht versuchen, die Anonymität der Daten aufzuheben. Auf Vorschlag des Ausschusses sieht derselbe Artikel ebenfalls das Verbot vor, verschlüsselte personenbezogene Daten in nicht verschlüsselte Daten umzuwandeln. Der Forscher darf nichts unternehmen, um den Code zu "entschlüsseln"; sonst setzt er sich den aufgrund von Artikel 39 des Gesetzes vorgesehenen Strafen aus.
Aufgrund von Artikel 39 des Gesetzes wird der für die Verarbeitung Verantwortliche mit Strafmassnahmen belegt, wenn er unter Verstoss gegen Artikel 4 § 1 des Gesetzes Daten verarbeitet. Diese Massnahme gilt für die Bestimmungen des vorliegenden Erlasses zur Ausführung von Artikel 4 § 1.
Abschnitt II - Verarbeitung verschlüsselter personenbezogener Daten Zunächst wird in Artikel 7 der allgemeine Grundsatz festgelegt, nach dem die Daten verschlüsselt werden müssen, bevor sie zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet werden. In Abschnitt 2 werden des weiteren drei Fälle ausführlich dargelegt: - Entweder möchte der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, diese Daten selber zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeiten. - Oder der Verantwortliche für die Verarbeitung von Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, teilt diese Daten einem Dritten mit, der diese Daten zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet. - Oder mehrere Verantwortliche für die Verarbeitung von Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, teilen diese Daten einem oder mehreren Dritten mit, die diese Daten zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeiten.
Diese drei Fälle werfen andere Probleme des Datenschutzes auf und erfordern daher andere Regelungen, die in den Artikeln 8, 9 beziehungsweise 10 festgelegt sind.
Artikel 7 Erbringt ein Forscher den Nachweis, dass die Untersuchung unmöglich anhand anonymer Daten durchgeführt werden kann, darf er mit verschlüsselten Daten arbeiten.
Wie in Artikel 1 Nr. 3 definiert, werden die personenbezogenen Daten bei der Codierung von allen Elementen befreit, anhand deren es möglich ist, die betroffene Person zu identifizieren. Diese Elemente werden durch einen Code ersetzt. Die Verbindung zwischen dem Code und der Identifizierung der betroffenen Person - mit anderen Worten der "Schlüssel" - wird dem Empfänger der personenbezogenen Daten nicht mitgeteilt. Die Codierung der Daten muss dazu führen, dass der Empfänger die betroffene Person anhand der mitgeteilten personenbezogenen Daten vernünftigerweise nicht identifizieren kann.
Die Daten müssen verschlüsselt werden, bevor sie zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet werden.
Im Gutachten 30.495/2 vom 8. November 2000, Seite 7 (französischer Text) beziehungsweise Seite 57 (niederländischer Text), schlägt der Staatsrat folgenden Wortlaut für Artikel 7 vor: Nicht verschlüsselte personenbezogene Daten werden verschlüsselt, bevor sie zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet werden, damit sie nur anhand eines Codes mit einer identifizierten oder identifizierbaren Person in Verbindung gebracht werden können.
Der heutige Wortlaut stimmt nicht mit dem Vorschlag des Staatsrates überein.
Da in Artikel 1 Nr. 3 verschlüsselte personenbezogene Daten als personenbezogene Daten definiert werden, die nur anhand eines Codes mit einer identifizierten oder identifizierbaren Person in Verbindung gebracht werden können, ist es überflüssig, diesen Begriff in Artikel 7 erneut zu umschreiben.
Artikel 8 Artikel 8 betrifft den Fall, in dem der für die Verarbeitung Verantwortliche im Rahmen seiner gewöhnlichen Tätigkeiten Daten erfasst und diese selber zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeiten möchte oder diese Weiterverarbeitung einem Auftragsverarbeiter anvertrauen möchte.
Der Ausschuss für den Schutz des Privatlebens wirft in seiner Stellungnahme 8/99, Seite 3, die Frage auf, ob keine geeigneten Garantien festgelegt werden müssen, aufgrund deren ein für die Verarbeitung Verantwortlicher von bestimmten Grundsätzen abweichen kann, wenn er personenbezogene Daten, über die er verfügt, zu historischen, statistischen oder wissenschaftlichen Zwecken verarbeiten möchte in einer Weise, die unvereinbar mit den Zweckbestimmungen ist, zu denen die betreffenden personenbezogenen Daten erfasst worden sind.
Der Ausschuss für den Schutz des Privatlebens gibt jedoch keine Hinweise, was unter diesen geeigneten Garantien zu verstehen sein könnte.
Im Königlichen Erlass wird bestimmt, dass der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter oder die Zwischenorganisation die Daten verschlüsseln muss.
Die erste Möglichkeit, bei der der Verantwortliche für die Verarbeitung von Daten, die zu anderen Zwecken als zu historischen, statistischen oder wissenschaftlichen Zwecken erfasst worden sind, selber die Daten verschlüsselt, bezieht sich zum Beispiel auf eine öffentliche Verwaltung, die personenbezogene Daten einem Studiendienst im Hinblick auf eine Verarbeitung zu wissenschaftlichen Zwecken übermittelt, oder auf ein Universitätskrankenhaus, das personenbezogene Daten an die Forscher der medizinischen Fakultät dieser Universität übermittelt. In diesem Fall muss das Krankenhaus nicht unbedingt eine externe Zwischenorganisation hinzuziehen. Die Verschlüsselung der personenbezogenen Daten und die Verwaltung der Identifizierungsschlüssel kann vom Krankenhaus selber vorgenommen werden.
Nichtsdestotrotz muss der für die Verarbeitung Verantwortliche aufgrund von Artikel 12 technische und organisatorische Massnahmen ergreifen, um zu verhindern, dass die Forscher Zugriff auf den Codeschlüssel erhalten.
Die zweite Möglichkeit betrifft den Fall, in dem der für die Verarbeitung Verantwortliche einem Auftragsverarbeiter die Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken anvertraut, zum Beispiel wenn eine Handelsgesellschaft einem spezialisierten Unternehmen eine statistische Untersuchung über ihre Kundendateien anvertraut.
In diesem Fall verschlüsselt der Auftragsverarbeiter die Daten, bevor sie zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet werden.
Wenn der Auftragsverarbeiter eigene oder anderweitig erfasste Dateien zu der ihm anvertrauten Kundendatei hinzufügt, um ein gezielteres statistisches Ergebnis zu erhalten oder aus irgendeinem anderen Grund, wird er nicht länger als Auftragsverarbeiter sondern als Verantwortlicher für eine neue Verarbeitung angesehen.
Die dritte Möglichkeit betrifft den Fall, in dem der für die Verarbeitung Verantwortliche die Verschlüsselung der Daten einer Zwischenorganisation anvertraut, um diese Daten im nachhinein selber zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeiten zu können. In diesem Fall tritt die Zwischenorganisation als Auftragsverarbeiter auf.
Der Ausschuss für den Schutz des Privatlebens ist in seiner Stellungnahme 8/99, Seite 2, nämlich der Meinung, dass, wenn eine Zwischenorganisation nur die Daten eines einzigen Datenübermittlers verschlüsselt (das heisst des Verantwortlichen für die Verarbeitung von Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erhoben werden), es besser wäre, dass die Zwischenorganisation immer als Auftragsverarbeiter personenbezogener Daten im Auftrag des Datenübermittlers auftritt, so dass sie nicht als separater Verantwortlicher für eine Verarbeitung personenbezogener Daten angesehen wird und gemäss Artikel 16 des Gesetzes der Kontrolle des Datenübermittlers unterliegt.
In diesem Fall wird aufgrund von Artikel 16 des Gesetzes ein Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter geschlossen.
In diesem Vertrag wird bestimmt, dass der Auftragsverarbeiter nur im Auftrag des für die Verarbeitung Verantwortlichen handelt.
Die Zwischenorganisation muss hinsichtlich der technischen Sicherheitsmassnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bieten und der von dieser Zwischenorganisation bestimmte Verantwortliche für die Verarbeitung muss für die Einhaltung dieser Massnahmen sorgen.
Artikel 9 Artikel 9 betrifft den Fall, in dem der Verantwortliche für die Verarbeitung von Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, diese Daten im Hinblick auf eine Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken einem Dritten übermittelt.
Im Vorentwurf des Königlichen Erlasses wird bestimmt, dass die Daten von dem für die Verarbeitung Verantwortlichen oder von der Zwischenorganisation verschlüsselt werden müssen.
Aus den Gründen, die bereits im vorhergehenden Artikel erwähnt sind, tritt die Zwischenorganisation als Auftragsverarbeiter auf.
Artikel 10 Artikel 10 betrifft den Fall, in dem mehrere Verantwortliche für die Verarbeitung von Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, diese Daten im Hinblick auf eine Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken einem oder mehreren Dritten übermitteln.
Der Ausschuss für den Schutz des Privatlebens ist in seinen Stellungnahmen 8/99, Seite 3, und 25/99, Seite 2, der Meinung, dass der Datenschutz insbesondere durch die Tatsache gefährdet wird, dass personenbezogene Daten verschiedener Datenübermittler zusammengebracht werden, bevor sie verschlüsselt werden.
Der Ausschuss ist in seinen Stellungnahmen 8/99, Seite 3, und 25/99, Seite 2, dann auch der Meinung, dass solche Zwischenorganisationen angemessene Garantien bieten müssen und dass es wünschenswert ist, dass sie durch oder aufgrund des Gesetzes ermächtigt werden, diese Aufgabe auszuführen.
In seiner Stellungnahme 25/99 unterstreicht er darüber hinaus, dass die Zwischenorganisation in diesem Fall eine eigene Verantwortlichkeit hat und daher nicht als Auftragsverarbeiter, der im Auftrag mehrerer Datenübermittler auftritt, angesehen werden kann.
Der Ausschuss schlägt in seinen Stellungnahmen 8/99, Seite 7, und 25/99, Seite 5, ebenfalls vor, dass, insofern sein Vorschlag, eine Zwischenorganisation, die Daten verschiedener Datenübermittler erfasst oder verschlüsselt, als separaten Verantwortlichen für die Verarbeitung anzusehen, angenommen wird, die Befreiung von der Informationspflicht auf Zwischenorganisationen, die personenbezogene Daten nur mit dem Ziel sie zu verschlüsseln verarbeiten, ausgedehnt werden sollte. Andernfalls wäre die Gefahr gross, dass nur wenige Instanzen bereit sein würden, als Zwischenorganisation aufzutreten.
Im Königlichen Erlass wird daher bestimmt, dass die Zwischenorganisation, die Daten mehrerer für die Verarbeitung Verantwortlicher verschlüsselt, als Verantwortlicher für eine neue Verarbeitung angesehen wird, der den allgemeinen Verpflichtungen des für die Verarbeitung Verantwortlichen nachkommen muss, wobei er insbesondere: - prüfen muss, ob die verarbeiteten Daten sachdienlich sind, - die betroffene Person in Kenntnis setzen muss, - eine Verarbeitungserklärung beim Ausschuss für den Schutz des Privatlebens abgeben muss; in dieser Erklärung müssen insbesondere folgende Informationen angegeben werden: Kategorien der verarbeiteten Daten, Kategorien der Empfänger, denen die Daten mitgeteilt werden, Sicherheiten, die mit der Mitteilung an Dritte verbunden sein müssen, und Beschreibung der Sicherheitsmassnahmen, nämlich die Weise, wie die Daten verschlüsselt werden und die technischen und organisatorischen Massnahmen, die den Verantwortlichen für die Verarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken daran hindern, Zugriff auf den Codeschlüssel zu erhalten.
Was den Vorschlag des Ausschusses betrifft, die Zwischenorganisationen von der Informationspflicht zu befreien, folgt der Entwurf des Königlichen Erlasses der Richtlinie 95/46/EG: Aufgrund von Artikel 11 Absatz 2 gilt die vorerwähnte Befreiung nur, wenn die Information der betroffenen Person unmöglich ist, unverhältnismässigen Aufwand erfordert oder die Speicherung oder Weitergabe ausdrücklich durch Gesetz vorgesehen ist. Dieses Problem wird durch die Artikel 15, 20 und 29 des vorliegenden Erlasses geregelt.
Der Vorschlag des Ausschusses, Zwischenorganisationen durch oder aufgrund des Gesetzes zu ermächtigen, ist im Vorentwurf des Königlichen Erlasses jedoch nicht übernommen worden, denn dies hätte zur Folge, dass die Rolle der Zwischenorganisation öffentlichen oder halböffentlichen Einrichtungen vorbehalten wäre und Privatunternehmen ausgeschlossen würden.
Der Begriff Verarbeitung zu statistischen oder wissenschaftlichen Zwecken bezieht sich jedoch auf statistische Verarbeitungen, die Unternehmen anhand ihrer eigenen Verarbeitungen vornehmen (Verarbeitungen in Bezug auf Kunden, Waren, personelle Ressourcen, ...).
Artikel 11 Die Zwischenorganisation muss unabhängig von dem Verantwortlichen für die Weiterverarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken sein.
Diese Unabhängigkeit muss es der Zwischenorganisation in jedem Fall ermöglichen, dem Empfänger der Daten den Codeschlüssel zu verweigern.
Artikel 12 Der Ausschuss für den Schutz des Privatlebens erachtet es in seiner Stellungnahme 8/99, Seite 4, als wünschenswert, dass der Datenübermittler oder die Zwischenorganisation verpflichtet wird, besondere Sicherheitsmassnahmen in Bezug auf die Schlüssel zur Umwandlung verschlüsselter Daten in identifizierende Daten vorzunehmen. Diese Sicherheitsmassnahmen sind in der Tat unerlässlich um zu verhindern, dass verschlüsselte Daten wieder in nicht verschlüsselte personenbezogene Daten umgewandelt werden.
Artikel 12 berücksichtigt diese Bemerkung.
Technische Massnahmen müssen unter anderem dazu führen, dass durch den Code keine Personen erkennbar werden, auf die sich diese personenbezogenen Daten beziehen. Der Zugriff auf eine Umwandlungstabelle, anhand deren die Umwandlung verschlüsselter personenbezogener Daten in nicht verschlüsselte personenbezogene Daten vorgenommen werden kann, muss auf angemessene Weise geschützt werden.
Wenn der Ausschuss von "Datenübermittler" redet, meint er jedoch offensichtlich nur die Fälle, in denen der für die Verarbeitung Verantwortliche die Daten im Hinblick auf eine Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken einem Dritten übermittelt.
Aufgrund von Artikel 12 muss der Verantwortliche für die Verarbeitung von Daten zu anderen Zwecken als zu statistischen Zwecken ebenfalls Garantien bieten, wenn er Daten verschlüsselt, um sie selber zu historischen, statistischen oder wissenschaftlichen Zwecken weiterzuverarbeiten. Er muss Massnahmen ergreifen, damit Personen, die die Weiterverarbeitung der Daten zu historischen, statistischen oder wissenschaftlichen Zwecken vornehmen, keinen Zugriff auf den Codeschlüssel erhalten. Die Untersuchungseinrichtung muss Mitarbeiter, die die Daten erfassen, von Mitarbeitern, die anhand dieser Daten bestimmte Untersuchungen vornehmen, trennen.
Es muss daran erinnert werden, dass der für die Verarbeitung Verantwortliche, sein Angestellter oder Beauftragter, der personenbezogene Daten unter Verstoss gegen die in Artikel 4 § 1 festgelegten Bedingungen verarbeitet, gemäss Artikel 39 des Gesetzes mit einer Geldstrafe belegt wird.
Artikel 13 Der Verantwortliche für die Verarbeitung von Daten und die Zwischenorganisation dürfen Daten im Hinblick auf deren Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken nur übermitteln, wenn der Verantwortliche für die Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken die Empfangsbestätigung vorlegt, die der Ausschuss gemäss Artikel 17 § 2 des Gesetzes binnen drei Werktagen nach Empfang der Verarbeitungserklärung ausstellt.
Forscher, die bei einer Zwischenorganisation oder bei einem Verantwortlichen für die Verarbeitung von personenbezogenen Daten zu anderen Zwecken als zu historischen, statistischen oder wissenschaftlichen Zwecken verschlüsselte personenbezogene Daten beantragen, müssen nachweisen, dass sie die Erklärung abgegeben haben.
Andernfalls dürfen die verschlüsselten personenbezogenen Daten nicht übermittelt werden. Diese Regel gilt ebenfalls, wenn der Verantwortliche für die Verarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken keine Drittperson ist im Verhältnis zu dem Verantwortlichen für die Verarbeitung von Daten, die zu ursprünglichen Zwecken erfasst worden sind (z.B. wenn ein Krankenhaus seinen Ärzten Gesundheitsdaten im Hinblick auf eine wissenschaftliche Weiterverarbeitung übermittelt).
Diese Bestimmung muss in Zusammenhang mit Artikel 4 des vorliegenden Erlasses gesehen werden, aufgrund dessen der Verantwortliche für die Verarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken in seiner Erklärung angeben muss, warum für die Untersuchung verschlüsselte Daten erforderlich sind.
Der Staatsrat hat in seinem Gutachten 30.495/2 vorgeschlagen, im ursprünglichen Wortlaut des Artikels die Wörter "einer Empfangsbestätigung, die auf der Grundlage von Artikel 17 § 2 des Gesetzes vom Ausschuss ausgestellt worden ist" durch die Wörter "einer Bestätigung über den Empfang einer vollständigen Erklärung, die gemäss Artikel 17 § 2 des Gesetzes vom Ausschuss ausgestellt worden ist" zu ersetzen.
Der Wortlaut des Artikels ist dementsprechend abgeändert worden.
Artikel 14 In diesem Artikel werden zusätzliche Garantien bestimmt für besonders schützenswerte Daten in den Bereichen Justiz und Gesundheit, die zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet werden.
Ursprünglich war im Vorentwurf des Königlichen Erlasses vorgesehen, dass solche Verarbeitungen vorab Gegenstand einer positiven Stellungnahme eines vom Ausschuss für den Schutz des Privatlebens eingesetzten Ethikausschusses sein mussten.
Der Ausschuss ist in seiner Stellungnahme 8/99 jedoch der Meinung, dass es weder ihm noch einem von ihm bestimmten Ethikausschuss zusteht, im Hinblick auf den Schutz des Privatlebens eine Stellungnahme über historische, statistische oder wissenschaftliche Zwecke einer Verarbeitung abzugeben. Dies könnte nämlich als Möglichkeit einer inhaltlichen Zensur gewertet werden. Der Ausschuss schlägt daher vor, diesen Artikel zu streichen. Wenn die Autoren des Entwurfs der Meinung sind, dass bei bestimmten Formen historischer, statistischer oder wissenschaftlicher Untersuchungen Ethikausschüsse eine Rolle spielen sollen, muss dies auf der Grundlage einer gesellschaftlichen Diskussion getrennt geregelt werden.
Der Königliche Erlass sieht daher als Garantie vor, dass der Verantwortliche für die Verarbeitung von Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, oder die Zwischenorganisation die betroffene Person vor Verschlüsselung der Daten von den historischen, statistischen oder wissenschaftlichen Zwecken, von der Herkunft der Daten und von ihrem Zugangs-, Berichtigungs- und Widersetzungsrecht in Kenntnis setzen muss. Die betroffene Person verfügt über ein Widersetzungsrecht.
In der Inkenntnissetzung der betroffenen Person wird unter anderem die Herkunft der Daten vermerkt, damit ihr verdeutlicht wird, dass die Codierer die Daten verknüpfen.
Zur Erinnerung: Aufgrund von Artikel 3 § 5 des Gesetzes ist die Informations- und Auskunftspflicht nicht anwendbar auf Verarbeitungen von Daten, die von öffentlichen Behörden zu gerichtspolizeilichen, verwaltungspolizeilichen oder nachrichtendienstlichen Zwecken verwaltet werden.
Diese Informationspflicht obliegt der Person, die die Daten verschlüsselt, das heisst entweder dem Verantwortlichen für die Daten, die zu einem ursprünglichen Zweck erfasst worden sind, oder der Zwischenorganisation: Insofern der Verantwortliche für die Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken nur verschlüsselte Daten verarbeitet, kann er die betroffene Person unmöglich in Kenntnis setzen.
Artikel 15 In Artikel 11 Absatz 2 der Richtlinie 95/46/EG wird bestimmt, dass die Informationspflicht insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung keine Anwendung findet, wenn die Information der betroffenen Person unmöglich ist, unverhältnismässigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist.
In diesen Fällen sehen die Mitgliedstaaten geeignete Garantien vor.
Auf diese Weise werden in Artikel 11 Absatz 2 zwei Kategorien von Ausnahmen von der Informationspflicht vorgesehen: Die erste bezieht sich auf den Fall, in dem der vorerwähnten Informationspflicht de facto nicht nachgekommen werden kann, und die zweite bezieht sich auf den Fall, in dem die Informationspflicht de jure nicht auferlegt werden kann, weil die Registrierung und Übermittlung der Daten durch das Gesetz geregelt ist.
In Artikel 15 werden beide Kategorien von Ausnahmen, die in Artikel 11 Absatz 2 der Richtlinie vorgesehen sind, übernommen.
Artikel 15 Absatz 1 sieht vor, dass der für die Verarbeitung Verantwortliche, ob der Verantwortliche für die Verarbeitung ursprünglicher Daten oder die Zwischenorganisation, die gemäss Artikel 10 des Königlichen Erlasses als für die Verarbeitung Verantwortlicher auftritt, beim Ausschuss für den Schutz des Privatlebens die Befreiung von dieser Verpflichtung beantragen kann, wenn er der Meinung ist, dass die in Artikel 14 erwähnte Informationspflicht unmöglich ist oder unverhältnismässigen Aufwand erfordert.
Wenn er seinen Antrag stellt, muss er in diesem Fall dem Ausschuss die Nachweise vorlegen, aus denen hervorgeht, dass es unmöglich ist, der Informationspflicht nachzukommen.
Auf der Grundlage der Untersuchung dieser Elemente gibt der Ausschuss eine Empfehlung an den für die Verarbeitung Verantwortlichen ab. Wie in Artikel 16 näher bestimmt, werden in dieser Empfehlung gegebenenfalls zusätzliche Garantien vermerkt, die der für die Verarbeitung Verantwortliche einhalten muss.
Der ursprüngliche Text des Artikels gab dem Ausschuss diesbezüglich Entscheidungsbefugnis.
Der Staatsrat bemerkte in seinem Gutachten 30.495/2, Seite 11 (französischer Text) beziehungsweise Seite 39 (niederländischer Text), dass das Gesetz vom 8. Dezember 1992 dem Ausschuss nicht die Befugnis erteilt, eine Befreiung von der Informationspflicht zu gewähren, und den König nicht ermächtigt, dem Ausschuss diese Befugnis zu erteilen.
Daher darf in Absatz 1 des vorliegenden Artikels des Entwurfs kein vom Ausschuss gefasster Beschluss zur Befreiung, sondern höchstens ein Empfehlungsverfahren erwähnt werden.
Der heutige Text folgt dem Gutachten des Staatsrates.
Die Empfehlungen des Ausschusses sind nicht verbindlich. Wie der Ausschuss in seinem Tätigkeitsbericht 1992-93, Seite 12, selber bemerkt hat, bieten die Empfehlungen dem Ausschuss lediglich die Möglichkeit seinen Standpunkt darzulegen.
Diese Empfehlungen gelten aber auch als Beurteilungselemente, wenn eine betroffene Person beim Ausschuss oder bei Gerichtshöfen und Gerichten Klage einreicht oder wenn der Ausschuss dem Prokurator des Königs einen Verstoss mitteilt oder einem Gericht Erster Instanz einen Streitfall übermittelt.
Artikel 15 Absatz 2 setzt die zweite Kategorie der Ausnahmen, die in Artikel 11 Absatz 2 der Richtlinie erwähnt sind, in belgisches Recht um, nämlich die Befreiung von der Informationspflicht, wenn die Weitergabe und die Speicherung der Daten durch das Gesetz vorgesehen sind.
In dem Artikel wird bestimmt, dass wenn der Verantwortliche für eine Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, oder die Zwischenorganisation eine Verwaltungsbehörde ist, die durch oder aufgrund des Gesetzes ausdrücklich beauftragt ist, personenbezogene Daten zu sammeln und zu verschlüsseln im Hinblick auf deren Übermittlung an einen Verantwortlichen für die Verarbeitung zu historischen und wissenschaftlichen Zwecken, er beziehungsweise sie von der Verpflichtung die betroffene Person in Kenntnis zu setzen befreit wird.
Der Königliche Erlass entspricht daher den Stellungnahmen des Ausschusses für den Schutz des Privatlebens, in denen einerseits unterstrichen wird, dass Zwischenorganisationen geeignete Garantien (Stellungnahmen 8/99, Seite 3, und 25/99, Seite 2) bieten müssen, und andererseits vorgeschlagen wird, Zwischenorganisationen, die Daten verarbeiten mit dem einzigen Ziel, diese zu verschlüsseln, von der Informationspflicht befreit werden (Stellungnahmen 8/99, Seite 7, und 25/99, Seite 5).
Artikel 16 Artikel 16 bestimmt, dass der für die Verarbeitung Verantwortliche in der in Artikel 17 des Gesetzes vorgesehenen Verarbeitungserklärung dem Ausschuss eine Reihe zusätzlicher Informationen erteilt, die dem Ausschuss ermöglichen müssen, in Kenntnis der Sachlage über den Eingriff in das Privatleben durch die Verarbeitung und über die Gründe, warum die Informationen nicht mitgeteilt werden können, oder die Unverhältnismässigkeit des notwendigen Aufwands, um diese Informationen mitzuteilen, entscheiden zu können.
Aufgrund dieser Angaben gibt der Ausschuss seine Empfehlung ab. Die Empfehlung enthält gegebenenfalls zusätzliche Bedingungen, die bei der Weiterverarbeitung personenbezogener Daten einzuhalten sind.
Der Ausschuss übermittelt dem für die Verarbeitung Verantwortlichen innerhalb einer Frist von fünfundvierzig Werktagen ab Empfang der Erklärung seine mit Gründen versehene Empfehlung. Die Frist kann einmal um fünfundvierzig Werktage verlängert werden.
Hat der Ausschuss bei Ablauf dieser Frist keine Empfehlung übermittelt, gilt der Antrag als bedingungslos angenommen.
Der Ausschuss für den Schutz des Privatlebens weist in seiner Stellungnahme 8/99, Seite 5, darauf hin, dass er diesen Absatz nicht gutheissen kann. Da die Befreiung von der Informationspflicht und der Notwendigkeit, die ausdrückliche Einwilligung der betroffenen Person einzuholen, die Ausnahme ist, darf das Ausbleiben eines Beschlusses der Ausschusses innerhalb der vorgesehenen Fristen keinesfalls als eine vom Ausschuss bewilligte Abweichung angesehen werden. Daher schlägt der Ausschuss vor, das Ausbleiben eines Beschlusses innerhalb der vorgesehenen Fristen als eine Ablehnung der Abweichung anzusehen.
Der Königliche Erlass folgt der Stellungnahme des Ausschusses diesbezüglich nicht und zwar aus zwei Gründen: einerseits, weil das Gesetz, wie der Staatsrat betont hat, dem Ausschuss diesbezüglich keinerlei Entscheidungsbefugnis zuerkennt. Andererseits, selbst wenn de jure davon ausgegangen wird, dass der Ausschuss diesbezüglich nur die Befugnis hat, Empfehlungen auszusprechen, bedeutet die Tatsache, dass die Durchführung einer Verarbeitung der Empfehlung des Ausschusses unterliegt, dass dem Ausschuss de facto eine Entscheidungsbefugnis zuerkannt wird.
Darüber hinaus unterstreicht der Staatsrat in seinem Gutachten 30.495/2, Seite 13 (französischer Text) beziehungsweise Seite 41 (niederländischer Text), dass es notwendig ist, diese Empfehlungen im öffentlichen Register der Verarbeitungen zu veröffentlichen, um zu vermeiden, dass zu viel Zeit verstreicht zwischen dem Zeitpunkt, an dem die Erklärung beim Ausschuss abgegeben wird, und dem Zeitpunkt, an dem der Ausschuss seine Empfehlungen veröffentlicht.
Der Königliche Erlass folgt diesbezüglich dem Gutachten des Staatsrates. Aus diesem Grund wurde Absatz 5 in den vorliegenden Artikel eingefügt.
Darüber hinaus werden im Königlichen Erlass alle im Gutachten 30.495/2, Seite 14 (französischer Text) beziehungsweise Seite 42 (niederländischer Text), des Staatsrates angeführten Vorschläge befolgt.
Artikel 17 In Artikel 17 wird bestimmt, dass der für die Verarbeitung Verantwortliche den Ausschuss von jeder Änderung der zuvor übermittelten Informationen in Kenntnis setzt.
Der Staatsrat schlägt in seinem Gutachten 30.495/2 vor, dass der für die Verarbeitung Verantwortliche die Änderungen erst vornimmt, nachdem der Ausschuss ihm eine neue Empfehlung übermittelt hat.
Dieser Vorschlag ist nicht befolgt worden: Die Durchführung von Änderungen in der Verarbeitung von einer neuen Empfehlung des Ausschusses abhängig zu machen, würde bedeuten, dass dem Ausschuss de facto eine Entscheidungsbefugnis zuerkannt wird, was der Staatsrat dem Ausschuss de jure verweigert.
Abschnitt III - Verarbeitung nicht verschlüsselter personenbezogener Daten Die Weiterverarbeitung nicht verschlüsselter personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken unterliegt strikten Regeln.
Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken, mit anderen Worten die sekundäre Sammlung von Daten, bietet dem Verantwortlichen für die Verarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken eine bestimmte Anzahl Vorteile im Vergleich zur primären Sammlung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken: Da ein Teil der Sammlung bereits erfolgt ist, kann der Verantwortliche schneller arbeiten; ausserdem sind vom ersten Verantwortlichen für die Verarbeitung bereits Kontrollen durchgeführt worden, was die Zuverlässigkeit der Daten erhöht.
Für die betroffene Person birgt dies jedoch mehr Risiken als die primäre Sammlung von Daten.
Die primäre Sammlung von Daten bietet der betroffenen Person eine bestimmte Kontrolle über die Sammlung der Daten, da die betroffene Person sich weigern kann, bestimmte Informationen bekanntzumachen.
Bei der sekundären Sammlung von Daten oder mit anderen Worten bei der Weiterverarbeitung von Daten verliert die betroffene Person diese Kontrolle. Daten, die zu sehr unterschiedlichen Zwecken gesammelt worden sind, werden verknüpft, sodass neue Daten über die betroffene Person entstehen, ohne dass sie diesen Vorgang kontrollieren kann.
Aus diesem Grund unterliegt die Weiterverarbeitung nicht verschlüsselter Daten strengeren Bedingungen als die ursprüngliche Datenverarbeitung.
In der in Kapitel II Abschnitt III beschriebenen Regelung wird bestimmt, dass der betroffenen Person detaillierte Informationen übermittelt werden müssen und dass die betroffene Person ihre ausdrückliche Einwilligung zu dieser Verarbeitung geben muss.
Befreiungen von der Informationspflicht und vom Einholen der Einwilligung sind jedoch trotzdem möglich.
Artikel 18 In diesem Artikel werden die Informationen bestimmt, die der betroffenen Person vorab mitgeteilt werden müssen. So ist unter anderem eine präzise Beschreibung der historischen, statistischen oder wissenschaftlichen Zwecke erforderlich. Damit ist eine kurze Beschreibung des konkreten Untersuchungsprojekts gemeint.
Die Informationen müssen der betroffenen Person von dem Verantwortlichen für die Verarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken übermittelt werden. Die Inkenntnissetzung erfolgt im Allgemeinen - obwohl dies nicht ausdrücklich verlangt wird - anhand einer Unterlage, mit der gleichzeitig die Einwilligung der betroffenen Person erbeten wird.
Artikel 19 Die betroffene Person muss ihre ausdrückliche Einwilligung geben.
Eine stillschweigende Einwilligung, zum Beispiel "schweigen heisst zustimmen", genügt in diesem Fall nicht. Kann die ausdrückliche Einwilligung aus praktischen Gründen nicht eingeholt werden, muss überprüft werden, ob Artikel 20 angewandt werden kann.
Bei Streitfällen muss der für die Verarbeitung Verantwortliche nachweisen, dass die Einwilligung der betroffenen Person eingeholt worden ist, bevor mit der Verarbeitung zu historischen, statistischen oder wissenschaftlichen Gründen begonnen worden ist.
Der Staatsrat bemerkt in seinem Gutachten 30.495/2, Seite 14 (französischer Text) beziehungsweise Seite 42 (niederländischer Text), dass es für den Nachweis, dass die Einwilligung gegeben worden ist, besser wäre, dass die betroffene Person eine schriftliche Einwilligung statt einer ausdrücklichen Einwilligung geben muss.
Im Königlichen Erlass wird das Gutachten des Staatsrates diesbezüglich nicht berücksichtigt: Weder im Gesetz noch in der Richtlinie 95/46/EG wird de jure die schriftliche Einwilligung verlangt, wohl aber geeignete Garantien. Eine schriftliche Zustimmung zu verlangen, hiesse de facto, dass der für die Verarbeitung Verantwortliche der betroffenen Person einen Brief schicken müsste und anschliessend warten müsste, bis die betroffene Person einen Brief zurückschickt.
Die Person würde wahrscheinlich nie antworten, weil sie kein Interesse daran hat.
Artikel 20 Von der Verpflichtung, die Einwilligung der betroffenen Person in Kenntnis der Sachlage einzuholen, kann in zwei Fällen abgewichen werden.
Die erste Abweichung betrifft Untersuchungen mit nicht verschlüsselten personenbezogenen Daten, die "publik" sind. Diese Ausnahme ist unter anderem wichtig für historische Untersuchungen anhand von Archivmaterial.
Der Begriff "personenbezogene Daten, die von der betroffenen Person offensichtlich bekanntgemacht worden sind oder die in engem Zusammenhang mit dem öffentlichen Charakter der betroffenen Person oder des Ereignisses, an dem diese Person beteiligt ist oder war, stehen" stammt aus Artikel 3 § 3 Buchstabe a) des Gesetzes.
In der Begründung (Parlamentsdokument, Kammer, 1566/1-97/98, Seite 21 ff.) wird dieser Begriff ausführlicher erklärt.
Die zweite Abweichung stützt sich auf Artikel 11 Absatz 2 der Richtlinie 95/46/EG, der bestimmt, dass die Informationspflicht insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung keine Anwendung findet, wenn die Information der betroffenen Person unmöglich ist oder unverhältnismässigen Aufwand erfordert.
Dies betrifft Verarbeitungen grosser Mengen nicht verschlüsselter personenbezogener Daten in einem nicht automatisierten Umfeld. Hier ist die Verschlüsselung der personenbezogenen Daten tatsächlich nicht möglich.
Laut Artikel 11 Absatz 2 der Richtlinie müssen die Mitgliedstaaten in diesen Fällen geeignete Garantien vorsehen.
Im Königlichen Erlass wird daher bestimmt, dass der für die Verarbeitung Verantwortliche beim Ausschuss für den Schutz des Privatlebens eine diesbezügliche Empfehlung beantragen kann.
In den folgenden Artikeln wird das Verfahren bestimmt, dass für den Erhalt dieser Empfehlung notwendig ist.
Im ursprünglichen Text des Königlichen Erlasses war die Rede von einem Beschluss des Ausschusses, aber der Staatsrat hat in seinem Gutachten 30.495/2, Seite 14 (französischer Text) beziehungsweise Seite 42 (niederländischer Text), daran erinnert, dass das Gesetz dem Ausschuss diesbezüglich keine Entscheidungsbefugnis zuerkennt.
Der ursprüngliche Text des Entwurfs des Königlichen Erlasses sah übrigens eine weitere Ausnahme von den in den Artikeln 14 und 15 des vorliegenden Erlasses vorgesehenen Verpflichtungen für Stichproben vor.
Um Stichproben vorzunehmen, müssen die betreffenden Forschungsinstitute der Datenbank der öffentlichen Einrichtung eine Anzahl Kriterien übermitteln, aufgrund deren die Einrichtung die Stichproben selber vornimmt. Den Forschungsinstituten wird anschliessend das Ergebnis dieser Stichproben mitgeteilt.
Das Ergebnis, das den Forschungsinstituten mitgeteilt wird, bezieht sich auf ein Vielfaches der Anzahl Personen, die letztendlich Gegenstand der Untersuchung sind.
Der Ausschuss für den Schutz des Privatlebens ist in seiner Stellungnahme 8/99, Seite 5, der Meinung, dass diese Abweichung nicht gerechtfertigt ist und daher gestrichen werden muss. Bei einer Stichprobe benötigt der für die Verarbeitung Verantwortliche nämlich nur die Daten der Personen, die in der Stichprobe einbegriffen sind.
Daher ist es auch nicht gerechtfertigt, dem für die Verarbeitung Verantwortlichen für die Durchführung einer Stichprobe nicht verschlüsselte personenbezogene Daten über die gesamte Bevölkerung zu übermitteln. Es ist durchaus möglich, aufgrund der von dem für die Verarbeitung Verantwortlichen übermittelten Kriterien eine Stichprobe vom Datenübermittler oder von der Zwischenorganisation durchführen zu lassen.
Der Königliche Erlass folgt der Stellungnahme des Ausschusses.
Bei einer Stichprobe übermittelt der Datenübermittler, das heisst der Verantwortliche für die Verarbeitung zu festgelegten eindeutigen und rechtmässigen Zwecken, dem Verantwortlichen für die Verarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken ausschliesslich die Daten der Stichprobe.
Der Verantwortliche für die Weiterverarbeitung zu wissenschaftlichen Zwecken muss daher aufgrund von Artikel 15 nur die Personen in Kenntnis setzen, deren Daten er erhalten und verarbeitet hat, das heisst die Personen der Stichprobe und nicht die gesamte Bevölkerungsgruppe, aus der die Stichprobe genommen worden ist.
Artikel 21 In diesem Artikel wird das Verfahren näher bestimmt, dass eingehalten werden muss, wenn ein Verantwortlicher für die Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken eine Empfehlung des Ausschusses erhalten möchte. Das Verfahren erscheint auf den ersten Blick schwerfällig, doch muss berücksichtigt werden, dass hier von einem wichtigen Grundsatz des Gesetzes abgewichen wird, nämlich dass personenbezogene Daten nicht verarbeitet werden dürfen, ohne die betroffene Person davon in Kenntnis zu setzen.
In der Praxis muss die Empfehlung beim Ausschuss bei Abgabe der Verarbeitungserklärung beantragt werden.
Der Ausschuss übermittelt dem für die Verarbeitung Verantwortlichen innerhalb einer Frist von fünfundvierzig Werktagen ab Empfang der Erklärung seine mit Gründen versehene Empfehlung. Die Frist kann einmal um fünfundvierzig Werktage verlängert werden.
Hat der Ausschuss bei Ablauf dieser Frist keine Empfehlung übermittelt, gilt der Antrag als angenommen.
Der Ausschuss für den Schutz des Privatlebens weist in seiner Stellungnahme 8/99, Seite 5, darauf hin, dass er diesen Absatz nicht gutheissen kann. Da die Befreiung von der Informationspflicht und der Notwendigkeit, die ausdrückliche Einwilligung der betroffenen Person einzuholen, die Ausnahme ist, darf das Ausbleiben eines Beschlusses der Ausschusses innerhalb der vorgesehenen Fristen keinesfalls als eine vom Ausschuss bewilligte Abweichung angesehen werden. Daher schlägt der Ausschuss vor, das Ausbleiben einer Entscheidung innerhalb der vorgesehenen Fristen als eine Ablehnung der Abweichung anzusehen.
Der Vorentwurf des Königlichen Erlasses folgt der Stellungnahme des Ausschusses diesbezüglich nicht: Die Durchführung einer Verarbeitung einer Empfehlung des Ausschusses zu unterwerfen, würde bedeuten, dass dem Ausschuss für den Schutz des Privatlebens de facto eine Entscheidungsbefugnis zuerkannt wird, wohingegen selbst der Staatsrat de jure bemerkt, dass das Gesetz dem Ausschuss diesbezüglich keine Entscheidungsbefugnis zuerkennt.
Darüber hinaus müssen eventuelle nachteilige wirtschaftliche Folgen, die sich aus dem Ausbleiben einer Empfehlung des Ausschusses ergeben könnten, berücksichtigt werden.
Artikel 22 Es wird auf den Kommentar zu Artikel 17 verwiesen.
Abschnitt IV - Veröffentlichung der Ergebnisse einer Verarbeitung Artikel 23 In diesem Artikel werden die Massnahmen bestimmt, die für den Schutz des Privatlebens bei der Veröffentlichung von Ergebnissen einer Verarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken notwendig sind.
Ergebnisse einer Verarbeitung dürfen nicht in einer Form veröffentlicht werden, die eine Identifizierung ermöglicht, ausser wenn die betroffene Person ihre Einwilligung gegeben hat oder wenn es sich um "öffentliche" Daten handelt. Für zusätzliche Erläuterungen zu diesem Begriff wird auf den Kommentar zu der Begründung in Bezug auf Artikel 3 § 3 Buchstabe a) des Gesetzes verwiesen.
Durch diese Bestimmung wird der Königliche Erlass mit der vorerwähnten Empfehlung R (97) 18 des Europarates in Übereinstimmung gebracht.
In Artikel 14.1 der Empfehlung wird bestimmt, dass die statistischen Ergebnisse nur veröffentlicht oder Dritten zugänglich gemacht werden dürfen, wenn Massnahmen ergriffen worden sind, um zu gewährleisten, dass Personen aufgrund dieses Ergebnisses nicht mehr identifiziert werden können, es sei denn, die Verbreitung oder die Veröffentlichung stellt offensichtlich keinen Eingriff in das Privatleben der Personen dar.
Der Staatsrat schlägt in seinem Gutachten 30.495/2, Seite 16 (französischer Text) beziehungsweise Seite 44 (niederländischer Text), vor, folgende Bestimmung hinzuzufügen: Der für die Verarbeitung Verantwortliche sorgt dafür, dass durch die Veröffentlichung der Ergebnisse das Privatleben bestimmter Kategorien von Bürgern nicht übermässig beeinträchtigt wird.
Er unterstreicht, dass, wenn man davon ausgeht, dass Personendaten, ein Begriff, der definiert wird als Daten, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen (im Gegensatz zu personenbezogenen oder nominativen Daten), trotzdem unter das Recht auf Wahrung des Privatlebens fallen, das durch Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten gewährleistet wird, auf diesem Gebiet ebenfalls Schutzmassnahmen notwendig sind.
Die Erfahrung zeigt, dass die Anonymität gesammelter Daten nicht verhindert, dass diejenigen, die die Ergebnisse der Verarbeitung einsehen können, diese auch hinsichtlich der Kategorien von Personen gebrauchen werden, die aufgrund ihres Profils untersucht worden sind.
Darüber hinaus besteht bei einer Verarbeitung über eine beschränkte Gruppe oder eine sehr charakteristische Zielgruppe die Gefahr, dass die erforderliche Anonymität de facto nicht eingehalten wird, wobei keine Sicherheit besteht, dass durch das in Artikel 20 des Erlasses erwähnte Verbot verhindert wird, dass diese Ergebnisse veröffentlicht werden (das Verbot bezieht sich nur auf die "Form" der Veröffentlichung).
Auch wenn die Überlegung des Staatsrates inhaltlich relevant ist, ist die Rechtsgrundlage des vom Staatsrat vorgeschlagenen Artikels jedoch nicht deutlich: Das gesamte Kapitel II des vorliegenden Erlasses hat seine Rechtsgrundlage in Artikel 4 § 1 Nr. 2 des Gesetzes vom 8.
Dezember 1992, abgeändert durch das Gesetz vom 11. Dezember 1998.
Dieses Gesetz betrifft nur personenbezogene Daten und keine Personendaten, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Aus diesem Grund wird das Gutachten des Staatsrates diesbezüglich nicht eingehalten.
Abschnitt V - Ausnahme Gemäss Artikel 21 Absatz 1 des Grundlagengesetzes vom 30. November 1998 über die Nachrichten- und Sicherheitsdienste werden personenbezogene Daten, die im Rahmen der Anwendung des vorerwähnten Gesetzes verarbeitet werden, nicht länger aufbewahrt, als es die Zwecke, derentwegen sie registriert wurden, erfordern, mit Ausnahme von Daten, die einen vom Staatsarchiv anerkannten historischen Charakter aufweisen.
In Artikel 21 des vorerwähnten Gesetzes vom 30. November 1998 wird daher ausdrücklich vorgesehen, dass die Nachrichtendienste Daten zu historischen Zwecken aufbewahren können.
Daher müssten sie verpflichtet werden, die in Kapitel II des Königlichen Erlasses zur Ausführung des Gesetzes vom 8. Dezember 1992 festgelegten Bedingungen einzuhalten.
Die in diesem Kapitel auferlegten Bedingungen können jedoch nur schwer auf diese Dienste angewendet werden.
Im Prinzip muss die Weiterverarbeitung personenbezogener Daten zu historischen Zwecken einschliesslich ihrer Aufbewahrung anhand anonymer Daten erfolgen, was jedoch nicht realisierbar ist.
Was verschlüsselte Daten betrifft, muss der für die Verarbeitung Verantwortliche aufgrund von Artikel 14 des vorliegenden Erlasses die betroffene Person vorab von der Verschlüsselung der in den Artikeln 6 bis 8 des Gesetzes vom 8. Dezember 1992 erwähnten besonders schützenswerten Daten in Kenntnis setzen.
Was die historische Aufbewahrung personenbezogener Daten anhand nicht verschlüsselter Daten betrifft, ist der Gebrauch dieser Art Daten mit demselben Problem verbunden, da die Artikel 18 und 19 den für die Verarbeitung Verantwortlichen ebenfalls verpflichten, die betroffene Person in Kenntnis zu setzen.
Die in den Artikeln 14, 18 und 19 erwähnten Bedingungen sind unvereinbar mit dem Anwendungsbereich des Gesetzes vom 8. Dezember 1992, das die in Artikel 3 § 4 erwähnten Dienste und Behörden von der Verpflichtung befreit, die betroffene Person in Kenntnis zu setzen.
Im Übrigen verweisen andere Bestimmungen, wie zum Beispiel die Artikel 16 und 21, aufgrund deren der Ausschuss für den Schutz des Privatlebens gegebenenfalls Befreiungen für die Verarbeitung nicht verschlüsselter Daten gewährt, auf Artikel 17 des Gesetzes vom 8.
Dezember 1992, der sich auf die Verarbeitungserklärung beim Ausschuss für den Schutz des Privatlebens bezieht und nicht auf die in Artikel 3 § 4 des Gesetzes erwähnten Dienste und Behörden anwendbar ist.
Die anderen in Artikel 3 § 4 des Gesetzes vom 8. Dezember 1992 erwähnten Behörden, wie zum Beispiel der Ständige Ausschuss für die Kontrolle über die Nachrichtendienste und sein Enquetendienst, können mit denselben Schwierigkeiten konfrontiert werden.
Obwohl das Gesetz dem König diesbezüglich keine ausdrückliche Ermächtigung erteilt, werden in Kapitel II Abschnitt 5 die in Artikel 3 § 4 des Gesetzes vom 8. Dezember 1992 erwähnten Behörden und Dienste daher vom Anwendungsbereich von Kapitel II des vorliegenden Erlasses ausgeschlossen.
KAPITEL III - Bedingungen für die Verarbeitung der in den Artikeln 6 bis 8 des Gesetzes erwähnten personenbezogenen Daten Artikel 25 und 26 Diese Artikel des vorliegenden Erlasses sind abgeleitet aus Artikel 8 des Königlichen Erlasses Nr. 7 vom 7. Februar 1995 zur Festlegung der Zwecke, Kriterien und Bedingungen der erlaubten Verarbeitungen der in Artikel 6 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten erwähnten Daten (Belgisches Staatsblatt vom 28. Februar 1995, Seite 4430). Der Königliche Erlass weicht jedoch in mehreren Punkten von dieser Bestimmung ab.
Zunächst müssen die Personen, die ermächtigt sind die Daten zu verarbeiten, nicht mehr namentlich bestimmt werden; es genügt, wenn dem Ausschuss für den Schutz des Privatlebens Listen mit Kategorien von ermächtigten Personen zur Verfügung gestellt werden.
Der Ausschuss hat diese Lösung selber vorgeschlagen. In seiner Stellungnahme 8/99, Seite 7, bemerkt der Ausschuss, dass es vor allem wichtig ist zu wissen, wer Zugriff auf die Daten hat. Dies bedeutet nicht, dass diese Personen namentlich bestimmt werden müssen. Da eine namentliche Bestimmung auch Risiken beinhalten kann, zum Beispiel, wenn die bestimmten Personen ihre Funktion ändern, hält der Ausschuss es für wünschenswert, den Verantwortlichen zu verpflichten, einerseits eine Liste der Zugriffsprofile (zum Beispiel mit Bestimmung der Funktionen, die Zugriff haben) und andererseits eine Liste der Personen, denen diese Profile zuerkannt werden, zu erstellen.
Der Staatsrat gibt in seinem Gutachten 30.495/2, Seite 18 (französischer Text) beziehungsweise Seite 47 (niederländischer Text), eine genauere Erläuterung der Stellungnahme 8/99 des Ausschusses für den Schutz des Privatlebens. In diesem Zusammenhang genüge es nicht, wie im Entwurf und Erlass geschehen, vorzuschreiben, dass angegeben werden muss, welche Kategorien von Personen die Daten verarbeiten dürfen, und dass die Liste dieser Kategorien dem Ausschuss zur Verfügung gestellt werden muss. Darüber hinaus müsste vorgesehen werden, dass die Personen namentlich bestimmt werden müssen und dass die Liste dieser Personen dem Ausschuss übermittelt werden muss. Dem für die Verarbeitung Verantwortlichen würde zwar eine grosse administrative Last auferlegt, doch scheine diese nicht unverhältnismässig zu sein im Vergleich zum Vorteil für den Schutz des Privatlebens, der auf eine individuell abgestimmte Anwendung allgemeiner und abstrakter Regeln zurückzuführen ist. Was die in Artikel 6 des Gesetzes erwähnten besonders schützenswerten Daten betrifft, wäre es denn wohl auch unannehmbar die Anwendung dieser Regeln zu unterlassen: Wenn der Person, die Zugriff auf die Daten haben möchte, die konkrete Einschätzung der Zugehörigkeit zu einer Kategorie ermächtigter Personen, die diese Daten verarbeiten dürfen, überlassen wird, seien Fehler oder sogar Missbräuche bei weitem nicht auszuschliessen.
Ungeachtet des Gutachtens des Staatsrates und der Stellungnahme des Ausschusses für den Schutz des Privatlebens scheint es praktisch so gut wie unmöglich zu sein, von dem für die Verarbeitung Verantwortlichen zu verlangen, Namenlisten der Personen zu erstellen, wenn der Dienst des für die Verarbeitung Verantwortlichen aus mehreren tausend Personen besteht, zum Beispiel bei internationalen Unternehmen, Krankenhäusern usw.
Aus diesem Grund beschränkt sich der Königliche Erlass auf die Forderung, eine Liste der Kategorien von Personen zu erstellen, die Zugriff auf die Daten haben.
Der vorliegende Erlass weicht noch in einem anderen Punkt von Artikel 8 des vorerwähnten Königlichen Erlasses Nr. 7 vom 7. Februar 1995 ab: Er sieht die Geheimhaltungspflicht aufgrund einer gesetzlichen oder statutarischen Bestimmung vor, wohingegen sich der Königliche Erlass Nr. 7 darauf beschränkte, die Geheimhaltungspflicht aufgrund einer deontologischen oder vertraglichen Bestimmung zu verlangen.
Der Ausschuss weist in seiner Stellungnahme 8/99, Seite 7, darauf hin, dass eine allgemeine Vertragsbestimmung nicht ausreicht; die aufgrund dieser Vertragsbestimmung geschaffene Geheimhaltungspflicht muss der gesetzlichen oder statutarischen Geheimhaltungspflicht entsprechen.
Weiterhin ist der Ausschuss der Meinung, dass der Hinweis auf Berufs- beziehungsweise Standespflichten in diesem Zusammenhang nicht relevant ist und daher gestrichen werden kann.
Ein dritter Unterschied zwischen dem vorliegenden Königlichen Erlass und dem vorerwähnten Königlichen Erlass Nr. 7 besteht darin, dass laut vorliegendem Erlass die gesetzliche oder verordnungsrechtliche Grundlage nicht mehr präzise umschrieben werden muss; der Ausschuss schreibt in seiner Stellungnahme 8/99, Seite 7, dass der Begriff "präzise" zu ungewollten und unnötigen Streitfällen führen kann.
Artikel 27 In Artikel 6 § 2 Buchstabe a) des Gesetzes wird bestimmt, dass die Verarbeitung der so genannten besonders schützenswerten Daten erlaubt ist, wenn die betroffene Person schriftlich in eine solche Verarbeitung eingewilligt hat, unter der Voraussetzung, dass diese Einwilligung jederzeit von der betroffenen Person zurückgezogen werden kann. Der König kann nach Stellungnahme des Ausschusses für den Schutz des Privatlebens durch einen im Ministerrat beratenen Erlass bestimmen, in welchen Fällen das Verbot, die im vorliegenden Artikel erwähnten Daten zu verarbeiten, nicht durch die Einwilligung der betroffenen Person aufgehoben werden kann.
Durch die Befugnis, die dem König aufgrund dieses Artikels übertragen wird, sollen Situationen geregelt werden, in denen die schriftliche Einwilligung der betroffenen Person aufgrund des ungleichen Kräfteverhältnisses zwischen den Parteien nicht als tatsächliche Einwilligung angesehen werden kann.
Hier wird meistens an die Situation gedacht, in der sich ein Bewerber oder Arbeitnehmer gegenüber seinem Arbeitgeber befindet. Unter Berücksichtigung dieser Situation wird im vorliegenden Artikel bestimmt, dass der Arbeitgeber besonders schützenswerte personenbezogene Daten nicht auf der Grundlage der schriftlichen Einwilligung der betroffenen Person verarbeiten darf, es sei denn, durch die Verarbeitung wird der betroffenen Person ein Vorteil bewilligt, wie zum Beispiel die Auszahlung von Gewerkschaftszulagen oder wenn der Arbeitgeber einer bestimmten Kategorie seiner Arbeitnehmer, die eine bestimmte Religion praktizieren, in diesem Zusammenhang spezifische Erleichterungen einräumen möchte.
Es ist klar, dass der Arbeitgeber die schriftliche Zustimmung der betroffenen Person meistens nicht nötig hat, um besonders schützenswerte personenbezogene Daten zu verarbeiten. In Artikel 6 § 2 Buchstabe b) des Gesetzes wird nämlich bestimmt, dass er diese Daten auch verarbeiten darf, wenn die Verarbeitung erforderlich ist, um seine spezifischen Rechte und Pflichten auf dem Gebiet des Arbeitsrechts auszuüben beziehungsweise zu erfüllen. Vorliegender Artikel des Erlasses ist nicht anwendbar, wenn die Verarbeitung auf diesem Grund beruht und wenn der Arbeitgeber sich auf einen der anderen Gründe beruft, die in Artikel 6 § 2 des Gesetzes erwähnt sind, so die Anwendung der Rechtsvorschriften im Bereich der sozialen Sicherheit, der Präventivmedizin oder lebenswichtiger Interessen der betroffenen Person.
Der Ausschuss für den Schutz des Privatlebens ist in seiner Stellungnahme 8/99, Seite 6, der Meinung, dass die vorerwähnte Bestimmung dem Selbstbestimmungsrecht der Personen nicht genügend Rechnung trägt. Das absolute Verbot der Verarbeitung dieser Daten trotz der schriftlichen Einwilligung der betroffenen Person scheine übertrieben. Der Ausschuss ist der Meinung, dass die Interessen von Personen, die der Gewalt einer anderen Person unterstehen, auch auf eine andere Weise geschützt werden können. Es könne in diesen Fällen insbesondere verlangt werden, dass eine besondere schriftliche Einwilligung erteilt werden muss, wobei die betroffene Person vorab von den Gründen für die Verarbeitung der besonders schützenswerten Daten in Kenntnis gesetzt werden muss. Laut Ausschuss ermöglicht die Einwilligung in Kenntnis der Sachlage einen ausreichenden Schutz des Rechts auf Schutz des Privatlebens der betroffenen Person.
Der Ausschuss wiederholt seine Bemerkungen in seiner Stellungnahme 25/99, Seite 5, und schlägt vor, den Artikel aufzuheben.
Seine Bemerkungen scheinen im Widerspruch zu stehen mit Artikel 2 Buchstabe h) der Richtlinie 95/46/EG, in dem die Einwilligung der betroffenen Person als jede Willensbekundung, die ohne Zwang erfolgt, definiert wird.
Diese freie Willensbekundung ist bei der Beziehung zwischen Arbeitgeber und Arbeitnehmer oft nicht vorhanden.
KAPITEL IV - Bedingungen für die Befreiung von der in Artikel 9 § 2 des Gesetzes erwähnten Informationspflicht Artikel 28 Dieser Artikel muss in Zusammenhang mit Kapitel II des vorliegenden Erlasses gesehen werden, da ausschliesslich die Verarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken betroffen ist. Wenn zu diesen Zwecken personenbezogene Daten auf eine andere Weise gesammelt werden als bei den Betroffenen selber, muss normalerweise Artikel 9 § 2 des Gesetzes angewendet werden, aufgrund dessen die betroffene Person in Kenntnis gesetzt werden muss. Dieser Artikel des Erlasses sieht in Bezug auf diese Informationspflicht eine Ausnahme für den Verantwortlichen für die Verarbeitung verschlüsselter personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken vor. Diese Befreiung gilt nur, wenn die verschlüsselten personenbezogenen Daten gemäss den in Kapitel II Abschnitt 2 des vorliegenden Erlasses festgelegten Bedingungen verarbeitet werden.
Sie gilt insbesondere in dem in Artikel 8 vorgesehenen Fall, bei dem der Verantwortliche für die Verarbeitung personenbezogener Daten zu ursprünglichen Zwecken und der Verantwortliche für die Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken dieselbe Person sind. Wenn aufgrund dieses Artikels der Verantwortliche für eine Verarbeitung personenbezogener Daten, die zu anderen Zwecken als zu historischen, statistischen oder wissenschaftlichen Zwecken erfasst worden sind, diese Daten zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet, muss er die betroffene Person nicht davon in Kenntnis setzen, ausser in dem in Artikel 14 vorgesehenen Fall, nämlich der Verarbeitung besonders schützenswerter Daten.
Artikel 29 In Artikel 11 Absatz 2 der Richtlinie 95/46/EG wird bestimmt, dass die Informationspflicht keine Anwendung findet, wenn die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist. In diesen Fällen müssen die Mitgliedstaaten geeignete Garantien vorsehen.
Der Ausschuss für den Schutz des Privatlebens schlägt in seinen Stellungnahmen 8/99, Seite 7, und 25/99, Seite 5, darüber hinaus vor, die Befreiung von der Informationspflicht auf die Zwischenorganisationen auszudehnen, die personenbezogene Daten nur mit dem Ziel, sie zu verschlüsseln, verarbeiten.
Indem diese beiden Grundsätze kombiniert werden, werden Verwaltungsbehörden, die durch oder aufgrund des Gesetzes beauftragt sind die Daten zu übermitteln und dabei als Zwischenorganisation auftreten, aufgrund von Artikel 29 von der Informationspflicht befreit.
Artikel 30 In Artikel 9 § 2 Absatz 2 Buchstabe a) des Gesetzes wird bestimmt, dass, wenn die Daten nicht bei der betroffenen Person erhoben worden sind, der für die Verarbeitung Verantwortliche von der Information der betroffenen Person befreit wird, wenn insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung die Information der betroffenen Person unmöglich ist oder unverhältnismässigen Aufwand erfordert. Solch eine Unmöglichkeit oder solch ein unverhältnismässiger Aufwand sind gegeben, wenn sich die Verarbeitung personenbezogener Daten auf eine grosse Anzahl betroffener Personen bezieht, mit denen der für die Verarbeitung Verantwortliche im Prinzip nie in Kontakt tritt.
Dies ist zum Beispiel der Fall bei Betrieben, die auf die Übermittlung von Adressen für Direktwerbung spezialisiert sind. Wer bei diesen Betrieben Adressen erhält im Hinblick auf Serienbriefsendungen, verarbeitet natürlich personenbezogene Daten, die nicht bei der betroffenen Person selber erhoben worden sind. Wenn diese Daten registriert werden, muss die betroffene Person gemäss Artikel 9 § 2 Absatz 1 des Gesetzes davon in Kenntnis gesetzt werden.
Im vorliegenden Artikel wird bestimmt, dass der für die Verarbeitung Verantwortliche in diesem Fall der betroffenen Person die Information bei der ersten Kontaktaufnahme mitteilen muss. Bei Adressenbüros werden personenbezogene Daten nicht von dem Adressenbüro registriert, sondern unmittelbar vom Datenübermittler an den Benutzer, der die Serienbriefsendung vornehmen möchte, übermittelt. Der Benutzer muss der betroffenen Person daher die Information bei der ersten Kontaktaufnahme mitteilen.
Der Ausschuss ist in seiner Stellungnahme 25/99, Seite 5, der Meinung, dass diese Bestimmung nur angewendet werden kann, wenn nicht verschlüsselte personenbezogene Daten für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung oder bei Krankheitsfrüherkennung verarbeitet werden und wenn die Information der betroffenen Person unmöglich ist oder unverhältnismässigen Aufwand erfordert.
Die im Königlichen Erlass angeführten Beispiele in Bezug auf Direktwerbung würden nicht in den Bereich der aufgrund von Artikel 9 § 2 Absatz 2 des Gesetzes vorgesehenen Befreiungen fallen und erweckten den Eindruck, dass der König diesem Artikel eine allgemeinere Tragweite geben möchte, was jedoch nicht möglich sei. Was Direktwerbung oder Adressenbüros betreffen würde, könnte auf der Grundlage eines Königlichen Erlasses keine Befreiung von der Informationspflicht gewährt werden.
Der vorliegende Königliche Erlass folgt der Stellungnahme des Ausschusses diesbezüglich nicht. Da in Artikel 9 § 2 des Gesetzes bestimmt ist, dass eine Befreiung von der Informationspflicht insbesondere für Verarbeitungen zu historischen, statistischen oder wissenschaftlichen Zwecken gewährt werden kann, ist die Befreiung nicht auf solche Verarbeitungen beschränkt.
Artikel 31 Dieser Artikel betrifft den Fall, in dem der Verantwortliche für die Verarbeitung personenbezogener Daten die betroffene Person nicht informieren kann, weil diese Inkenntnissetzung sich als unmöglich erweist oder unverhältnismässigen Aufwand erfordert. In diesem Fall rechtfertigt er diese Unmöglichkeit ausdrücklich in der Verarbeitungserklärung, die er aufgrund von Artikel 17 des Gesetzes abgeben muss.
Dieses Verfahren erlaubt eine gewisse Transparenz, da jeder die Möglichkeit hat, in dem vom Ausschuss geführten öffentlichen Register der Verarbeitungen zu überprüfen, wer die Verantwortlichen für die Verarbeitung personenbezogener Daten sind, selbst wenn die Verantwortlichen die betroffene Person niemals in Kenntnis gesetzt haben.
In diesem Artikel wird der Wortlaut übernommen, den der Staatsrat in seinem Gutachten 30.495/2, Seite 20 (französischer Text) beziehungsweise Seite 49 (niederländischer Text), vorgeschlagen hat.
KAPITEL V - Ausübung der in den Artikeln 10 und 12 des Gesetzes erwähnten Rechte Artikel 32 In diesem Artikel wird Artikel 1 des Königlichen Erlasses Nr. 3 vom 7.
September 1993 zur Bestimmung der Personen, bei denen der aufgrund von Artikel 10 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten gestellte Antrag auf Mitteilung personenbezogener Daten eingereicht werden muss (Belgisches Staatsblatt vom 25. September 1993) übernommen. Das Verfahren wird jedoch vereinfacht, unter anderem indem auf die Forderung verzichtet wird, wonach die betroffene Person ihren Antrag per Einschreibebrief einreichen muss, und durch die Einführung der Möglichkeit, den Antrag anhand eines Telekommunikationsmittels zu stellen. Dabei wird natürlich vor allem an elektronische Post gedacht.
Der Ausschuss für den Schutz des Privatlebens begnügt sich in seiner Stellungnahme 8/99, Seite 8, mit der Feststellung, dass die Forderung in Bezug auf die Unterzeichnung des Antrags zur Folge hat, dass der Antrag nicht über ein Telekommunikationsmittel eingereicht werden kann, solange keine juristisch gültige elektronische Unterschrift besteht.
Der Staatsrat macht in seinem Gutachten 30.495/2, Seite 20 (französischer Text) beziehungsweise Seite 49 (niederländischer Text), dieselbe Bemerkung.
Eine diesbezügliche Bestimmung wird jedoch durch das Gesetz vom 20.
Oktober 2000 zur Einführung des Gebrauchs von Telekommunikationsmitteln und der elektronischen Unterschrift bei gerichtlichen und aussergerichtlichen Verfahren (Belgisches Staatsblatt vom 22. Dezember 2000, Seite 42.698) vorgesehen, wobei Artikel 2 des Gesetzes Artikel 1322 des Zivilgesetzbuches durch einen Absatz ergänzt, der besagt, dass für die Anwendung dieses Artikels ein elektronischer Datensatz, der einer bestimmten Person zugeordnet werden kann und der die Wahrung der Integrität des Akts nachweist, der Anforderung in Bezug auf eine Unterschrift genügen kann.
Artikel 33 In diesem Artikel wird mutatis mutandis Artikel 1 des Königlichen Erlasses Nr. 5 vom 7. September 1993 zur Bestimmung der Personen, bei denen der aufgrund von Artikel 12 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten gestellte Antrag auf Berichtigung, Löschung oder Verbot der Verwendung personenbezogener Daten eingereicht werden muss (Belgisches Staatsblatt vom 25. September 1993), übernommen.
Artikel 34 In den folgenden Artikeln werden die Modalitäten für die Ausübung des Widersetzungsrechts festgelegt.
Die Rechtsgrundlage dieser Bestimmung ist jedoch nicht alleine in Artikel 12 § 2, sondern auch in Artikel 9 § 1 Buchstabe e) und § 2 Buchstabe e) des Gesetzes zu finden. Das hierbei verfolgte Ziel ist eine Verbesserung der Effektivität der neuen Gesetzesbestimmungen, aufgrund deren der betroffenen Person das Recht gewährt wird, sich einer Verarbeitung von sie betreffenden personenbezogenen Daten zu Zwecken der Direktwerbung zu widersetzen. Das Gesetz sieht derzeit in Artikel 9 vor, dass der für die Verarbeitung Verantwortliche die betroffene Person vom Bestehen des Rechts, sich auf Antrag und kostenlos einer Verarbeitung von sie betreffenden personenbezogenen Daten zu widersetzen, in Kenntnis setzen muss, wenn die Verarbeitung zu Zwecken der Direktwerbung erfolgt, und dies unabhängig davon, ob die personenbezogenen Daten bei der betroffenen Person selber oder bei Dritten eingeholt worden sind.
Durch diese einfache Information weiss die betroffene Person natürlich nicht, gemäss welchen Modalitäten sie ihr Widersetzungsrecht ausüben kann. In Artikel 34 des vorliegenden Erlasses werden drei Situationen unterschieden.
Der erste Fall betrifft personenbezogene Daten, die schriftlich bei der betroffenen Person eingeholt worden sind, entweder anhand eines in einer Zeitung oder Zeitschrift veröffentlichten Antwortscheins oder anhand eines Formulars, das bei einer Bestellung oder einem Abonnementabschluss oder über Internet ausgefüllt wird. In den vorerwähnten Fällen muss die betroffene Person ihr Widersetzungsrecht auf der Unterlage ausüben können, anhand deren sie die sie betreffenden personenbezogenen Daten mitteilt. Die einfachste Art ist, auf dem Formular, auf dem die betroffene Person personenbezogene Daten mitteilen soll, folgenden Text erscheinen zu lassen: "Widersetzen Sie sich der Verwendung dieser personenbezogenen Daten zu Zwecken der Direktwerbung? Ja/Nein (Unzutreffendes streichen)". Zahlreiche andere Varianten sind natürlich möglich (zum Beispiel ein Kästchen ankreuzen, eine positive oder negative Frage stellen,...).
Der zweite Fall betrifft personenbezogene Daten, die anders als schriftlich bei der betroffenen Person eingeholt werden. Die betroffene Person kann telefonisch ein Angebot erhalten und in diesem Zusammenhang personenbezogene Daten mitteilen, die im Nachhinein verwendet werden, um in Kontakt zu bleiben oder eine Bestellung zu liefern. Die betroffene Person kann ebenfalls personenbezogene Daten anhand einer Magnet- oder Chipkarte übermitteln, auf der bestimmte personenbezogene Daten gespeichert sind. Wenn der Verantwortliche die personenbezogenen Daten zu Zwecken der Direktwerbung weiterverarbeitet, muss er mit der betroffenen Person binnen zwei Monaten ab Erhalt der personenbezogenen Daten schriftlich Kontakt aufnehmen. Es genügt, wenn der Verantwortliche der betroffenen Person eine Unterlage übermittelt, auf der die betroffene Person sich bequem einer Weiterverarbeitung zu Zwecken der Direktwerbung widersetzen kann, bevor sie sie dem Verantwortlichen zurücksendet.
Artikel 35 Die dritte Möglichkeit, die in Artikel 35 vorgesehen ist, betrifft den Fall, in dem die personenbezogenen Daten nicht bei der betroffenen Person eingeholt werden. In diesem Fall nimmt der für die Verarbeitung Verantwortliche mit der betroffenen Person Kontakt auf, um ihr die aufgrund von Artikel 9 § 2 des Gesetzes erforderlichen Informationen mitzuteilen. Bei dieser Kontaktaufnahme wird die betroffene Person gemäss Artikel 9 § 2 von ihrem Recht in Kenntnis gesetzt, sich der Verarbeitung von sie betreffenden personenbezogenen Daten zu Zwecken der Direktwerbung zu widersetzen. Die betroffene Person muss ihre Widersetzung auf derselben Unterlage mitteilen können; dazu muss der für die Verarbeitung Verantwortliche ihr auf dieser Unterlage eine eindeutige, leicht zu beantwortende Frage stellen.
Der Verantwortliche, der aufgrund von Artikel 9 § 2 des Gesetzes von der Information befreit ist, ist natürlich ebenfalls von dieser Verpflichtung befreit.
KAPITEL VI - Ausübung des in Artikel 13 des Gesetzes erwähnten Rechts Artikel 36 Kapitel VI des Erlasses regelt den Zugang der betroffenen Personen zu Daten, die in Verarbeitungen personenbezogener Daten gespeichert sind, die von öffentlichen Behörden zu gerichtspolizeilichen, verwaltungspolizeilichen oder nachrichtendienstlichen Zwecken verwaltet werden.
Die in Artikel 13 des Gesetzes erwähnte Angelegenheit wird im Völkerrecht durch zwei Texte des Europarates, nämlich das Übereinkommen Nr. 108 und die Empfehlung R (87) 15, und durch das Übereinkommen zur Durchführung des Übereinkommens von Schengen geregelt.
Aufgrund von Artikel 8 des Übereinkommens Nr. 108 des Europarates vom 28. Januar 1981 über den Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten muss jeder in annehmbaren Abständen und ohne übermässige Verzögerungen oder Kosten Auskunft erhalten können über die Frage, ob personenbezogene Daten über ihn in den Dateien gespeichert sind oder nicht;diese Daten müssen ihm in verständlicher Form mitgeteilt werden und er muss diese Daten gegebenenfalls berichtigen lassen können.
Aufgrund von Artikel 9 des Übereinkommens Nr. 108 kann von diesen Bestimmungen abgewichen werden, wenn das Gesetz der Vertragsparteien eine solche Abweichung vorsieht und die Abweichung eine Massnahme betrifft, die in einer demokratischen Gesellschaftsordnung für den Schutz der Staatssicherheit, der öffentlichen Sicherheit, der finanziellen Interessen des Staates oder für die Bekämpfung strafrechtlicher Verstösse notwendig ist.
In Artikel 6 der Empfehlung R (87) 15 des Ministerausschusses des Europarates vom 17. September 1987 über die Nutzung personenbezogener Daten im Polizeibereich werden die Bedingungen für diese Abweichung näher bestimmt: Die Ausübung des Rechts auf Zugang, Berichtigung und Entfernung darf nur eingeschränkt werden, insofern die Einschränkung für die Ausführung einer gesetzlichen Aufgabe der Polizei unerlässlich ist (Artikel 6.4).
Und eine Verweigerung oder Einschränkung dieser Rechte muss schriftlich begründet werden. Die Übermittlung der Begründung kann nur verweigert werden, insofern dies für die Ausführung einer gesetzlichen Aufgabe der Polizei unerlässlich ist (Artikel 6.5).
Weiter wird in Artikel 109 des Übereinkommen vom 19. Juni 1990 zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 Folgendes bestimmt: « Das Recht jeder Person, über die zu ihrer Person im Schengener Informationssystem gespeicherten Daten Auskunft zu erhalten, richtet sich nach dem nationalen Recht der Vertragspartei, in deren Hoheitsgebiet das Auskunftsrecht beansprucht wird. Soweit das nationale Recht dies vorsieht, entscheidet die in Artikel 114 Absatz 1 vorgesehene nationale Kontrollinstanz, ob und in welcher Weise Auskunft erteilt wird. Eine Vertragspartei, die selber die Ausschreibung nicht vorgenommen hat, darf Auskunft zu diesen Daten nur erteilen, wenn sie vorher der ausschreibenden Vertragspartei Gelegenheit zur Stellungnahme gegeben hat. » In Artikel 114 Absatz 2 desselben Übereinkommens wird Folgendes bestimmt: « Jeder hat das Recht, die Kontrollinstanzen zu ersuchen, die zu seiner Person im Schengener Informationssystem gespeicherten Daten sowie deren Nutzung zu überprüfen. Dieses Recht wird nach Massgabe des nationalen Rechts der Vertragspartei, an die das Ersuchen gerichtet wird, ausgeübt. Wurden die Daten durch eine andere Vertragspartei eingegeben, so erfolgt die Kontrolle in enger Abstimmung mit der Kontrollinstanz dieser Vertragspartei. » Gemäss diesen verschiedenen Bestimmungen des Völkerrechts wird aufgrund von Artikel 3 § 5 des Gesetzes Personen, über die Daten in der Datei gespeichert sind, das Recht auf direkten Zugang und auf Berichtigung für bestimmte Verarbeitungen von Daten verweigert.
Betroffen sind Verarbeitungen personenbezogener Daten: - die von der Staatssicherheit, dem Allgemeinen Nachrichten- und Sicherheitsdienst der Streitkräfte, der Sicherheitsbehörde, den Sicherheitsoffizieren und dem Ständigen Ausschuss für die Kontrolle über die Nachrichtendienste und seinem Enquetendienst vorgenommen werden, wenn diese Verarbeitungen für die Ausführung ihrer Aufträge notwendig sind, - die von öffentlichen Behörden im Hinblick auf die Ausführung ihrer gerichtspolizeilichen Aufträge verwaltet werden, - die von den in Artikel 3 des Gesetzes vom 18. Juli 1991 zur Regelung der Kontrolle über die Polizei- und Nachrichtendienste erwähnten Polizeidiensten im Hinblick auf die Ausführung ihrer verwaltungspolizeilichen Aufträge verwaltet werden, - die von anderen öffentlichen Behörden, die nach Stellungnahme des Ausschusses für den Schutz des Privatlebens durch einen im Ministerrat beratenen Königlichen Erlass bestimmt worden sind, im Hinblick auf die Ausführung ihrer verwaltungspolizeilichen Aufträge verwaltet werden, - die infolge der Anwendung des Gesetzes vom 11. Januar 1993 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche notwendig geworden sind, - die vom Ständigen Ausschuss für die Kontrolle über die Polizeidienste und von seinem Enquetendienst im Hinblick auf die Ausführung ihrer gesetzlichen Aufträge verwaltet werden.
Die in Artikel 3 des Gesetzes vom 18. Juli 1991 erwähnten Polizeidienste sind neben der Gemeindepolizei, der Gerichtspolizei bei der Staatsanwaltschaft und der Gendarmerie die Dienste, die öffentlichen Behörden und Einrichtungen öffentlichen Interesses unterstehen und deren Mitglieder den Dienstgrad eines Gerichtspolizeioffiziers oder eines Gerichtspolizeibediensteten innehaben.
Der Königliche Erlass vom 12. August 1993 zur Ausführung von Artikel 11 Nr. 4 des Gesetzes vom 8. Dezember 1992 betrifft die Sozialinspektoren (diese Bestimmung ist durch das Gesetz vom 11.
Dezember 1998 in Artikel 3 § 5 Nr. 3 des Gesetzes übertragen worden).
In der Begründung des Gesetzes vom 8. Dezember 1992 wird erklärt, dass es infolge der besonderen Aufgaben dieser Dienste völlig ausgeschlossen ist, jedem direkten Zugang zu registrierten Daten zu gewähren, die ihn betreffen. Um ein vernünftiges Gleichgewicht zu schaffen zwischen den legitimen Rechten jeder Person und der nicht weniger legitimen Notwendigkeit der Ermittlung und Verfolgung von Verstössen und der Prävention von Vergehen gegen die Sicherheit des Staates, wird in Artikel 13 des Gesetzes vom 8. Dezember 1992 vorgesehen, dass für diese Verarbeitungen die Ausübung des Zugangs- und Berichtigungsrechts der betroffenen Person über den Ausschuss für den Schutz des Privatlebens erfolgt (Parlamentsdokument, Kammer, 1610/1-90/91, Seite 19).
In Artikel 13 wird Folgendes bestimmt: « Jede Person, die ihre Identität nachweist, hat das Recht, sich kostenlos an den Ausschuss für den Schutz des Privatlebens zu wenden, um die in den Artikeln 10 und 12 erwähnten Rechte in Bezug auf die in Artikel 3 §§ 4, 5 und 6 erwähnten Verarbeitungen personenbezogener Daten auszuüben.
Der König bestimmt nach Stellungnahme des Ausschusses für den Schutz des Privatlebens durch einen im Ministerrat beratenen Erlass die Modalitäten für die Ausübung dieser Rechte.
Der Ausschuss für den Schutz des Privatlebens teilt ausschliesslich dem Betreffenden mit, dass die notwendigen Überprüfungen vorgenommen wurden.
Der König bestimmt jedoch nach Stellungnahme des Ausschusses für den Schutz des Privatlebens durch einen im Ministerrat beratenen Erlass, welche Information der Ausschuss der betroffenen Person mitteilen darf, wenn der Antrag der betroffenen Person eine Verarbeitung personenbezogener Daten betrifft, die von Polizeidiensten im Hinblick auf Identitätskontrollen verwaltet wird. » Kapitel VI des Erlasses betrifft die Ausführung von Artikel 13 Absatz 2 und 4.
Der Ausschuss für den Schutz des Privatlebens ist in seiner Stellungnahme 11/95 über Artikel 13, die er am 9. Mai 1995 aus eigener Initiative abgegeben hat, der Meinung, dass sich der zu verabschiedende Königliche Erlass auf das Festlegen von Modalitäten der indirekten Kontrolle in Bezug auf den Bürger beschränken muss.
Im Zusammenhang mit dem Verfahren, das der Ausschuss in Bezug auf die betroffenen Dienste einhalten muss, wird in der Stellungnahme 11/95 des Ausschusses bestimmt, dass die Weise, wie die Kontrolle des Ausschusses bei den verschiedenen Instanzen erfolgt, Gegenstand von Beratungen zwischen den betroffenen Parteien sein sollte. Die Dienste könnten jedenfalls auf Unterschiede zwischen den verschiedenen Diensten hinsichtlich der technischen Modalitäten, der Erfordernisse des Dienstes und der organisatorischen Aspekte hinweisen.
Der Ausschuss ist in seiner Stellungnahme 8/99, Seite 8, ebenfalls der Meinung, dass es vorzuziehen ist, das Verfahren für die Ausübung des in Artikel 13 des Gesetzes erwähnten Rechts in der Geschäftsordnung des Ausschusses und nicht im Ausführungserlass festzulegen. So könnte der Ausschuss das Verfahren wenn nötig den Bedürfnissen anpassen. Der Ausschuss besteht dann auch darauf, dass die Artikel 23 und 25 bis 30 durch eine Bestimmung ersetzt werden, die vorsieht, dass das Verfahren in der Geschäftsordnung des Ausschusses festgelegt wird, die im Belgischen Staatsblatt veröffentlicht werden muss. So würde verhindert, dass der Ausschuss mit administrativen Schikanen überhäuft wird. Darüber hinaus würden dadurch keineswegs die Rechte der betroffenen Personen beeinträchtigt.
Der Ausschuss vertritt in seiner Stellungnahme 25/99, Seite 6, jedoch einen anderen Standpunkt und erklärt, dass es zweifellos wünschenswert wäre, die grundlegenden Elemente des Verfahrens in den Königlichen Erlass aufzunehmen, so zum Beispiel die Tatsache, dass die betroffene Person sich schriftlich an den Ausschuss richten kann, um ihr in Artikel 13 des Gesetzes erwähntes Recht auszuüben; die Tatsache, dass der Antrag alle sachdienlichen Elemente, über die die betroffene Person verfügt, enthalten muss; die Tatsache, dass der Antrag der betroffenen Person nur zulässig ist, wenn er nach Ablauf einer Frist von sechs Monaten ab dem Datum der Absendung der vorherigen Antwort des Ausschusses in Bezug auf dieselben Daten und Dienste eingereicht wird; die Tatsache, dass die betroffene Person beantragen kann, vom Ausschuss angehört zu werden; und die Tatsache, dass die Kontrolle vom Präsidenten des Ausschusses oder von einem beziehungsweise mehreren Mitgliedern, die er bestimmt, ausgeübt wird.
In der Erwägung, dass die Ausübung des in Artikel 13 des Gesetzes erwähnten Rechts ein Grundrecht des Bürgers ist, das besser nicht durch eine Geschäftsordnung geregelt wird, folgt der Königliche Erlass daher der Stellungnahme 25/99 des Ausschusses für den Schutz des Privatlebens.
Artikel 37 In diesem Artikel wird bestimmt, dass die betroffene Person den Antrag anhand eines datierten und unterzeichneten Antrags beim Ausschuss einreicht.
In der vorherigen Lesung dieses Artikels wurde bestimmt, dass der Antrag alle sachdienlichen Angaben über die beanstandeten Daten, wie Art, Umstände oder Anlass der Kenntnisnahme der beanstandeten Daten, enthalten muss.
Der Ausschuss ist in seiner Stellungnahme 8/99, Seite 9 (französischer Text) beziehungsweise Seite 10 (niederländischer Text), der Meinung, dass der betroffenen Person durch diese Bestimmung eine allzu schwere Informationspflicht auferlegt wird. Er schlägt daher vor zu bestimmen, dass der Antrag nur die sachdienlichen Angaben enthalten muss, über die die betroffene Person verfügt.
Der Königliche Erlass folgt der Stellungnahme des Ausschusses.
Die vorherige Lesung dieses Artikels umfasste ebenfalls Regeln in Bezug auf Anträge, die von Vertretern Handlungsunfähiger eingereicht werden.
Der Ausschuss ist in seiner Stellungnahme 8/99 der Meinung, dass es nicht notwendig ist, eine Bestimmung über die Vertretung vorzusehen.
Der Königliche Erlass folgt diesbezüglich der Stellungnahme des Ausschusses.
Artikel 38 In diesem Artikel wird bestimmt, dass der Ausschuss von der betroffenen Person zusätzliche Auskünfte verlangen kann, wenn er dies für zweckmässig erachtet.
Artikel 39 In diesem Artikel wird bestimmt, dass, wenn die in den vorhergehenden Artikeln erwähnten Informationen nicht erteilt werden, der Antrag für unzulässig angesehen werden kann.
In der vorherigen Lesung dieses Artikels wurde bestimmt, dass, wenn sich die betroffene Person weigert, zusätzliche Auskünfte zu erteilen, und wenn aufgrund der bereits erteilten Auskünfte eine Identifizierung der Datenverarbeitung nicht möglich ist, der Ausschuss den Antrag für unzulässig erklären kann.
Der Ausschuss ist in seiner Stellungnahme 8/99, Seite 9 (französischer Text) beziehungsweise Seite 10 (niederländischer Text), der Meinung, dass die Wörter "wenn sich die betroffene Person weigert" durch die Wörter "wenn die betroffene Person es versäumt" ersetzt werden sollten.
Schliesslich ist für den Vorentwurf des Königlichen Erlasses ein neutraler Wortlaut gewählt worden.
In einem nunmehr im Königlichen Erlass nicht aufgenommenen Artikel wurde bestimmt, dass der Ausschuss binnen dreissig Tagen nach Erhalt des Antrags über dessen Zulässigkeit befindet.
Der Ausschuss ist in seiner Stellungnahme 8/99, Seite 10, der Meinung, dass das im Vorentwurf des Erlasses beschriebene Verfahren unnötig kompliziert ist. Der Ausschuss hält es dann auch für wünschenswert, dass das Verfahren in seiner Geschäftsordnung festgelegt wird, damit unnötige administrative Schikanen bei der Bearbeitung der Anträge vermieden werden.
In diesem Artikel wird daher lediglich bestimmt, dass der Ausschuss bestimmte Anträge für unzulässig erklären kann.
Im Königlichen Erlass wird jedoch an anderer Stelle bestimmt, dass die betroffene Person in diesem Fall auf ihren Antrag hin angehört werden kann, wobei sie ich gegebenenfalls von ihrem Beistand beistehen lassen kann.
Artikel 40 In diesem Artikel wird bestimmt, dass der Antrag unzulässig ist, wenn er innerhalb einer Frist von weniger als einem Jahr nach dem Datum der Absendung der vorherigen Antwort des Ausschusses in Bezug auf dieselben Daten und Dienste eingereicht wird, ausser wenn die betroffene Person in ihrem Antrag Gründe zur Rechtfertigung einer Abweichung anführt.
Artikel 41 Gemäss der vorherigen Lesung dieses Artikels konnte der Ausschuss nur beschliessen, dass ein Antrag unzulässig ist, nachdem die betroffene Person oder ihr Beistand angehört worden waren.
Der Ausschuss unterstreicht in seiner Stellungnahme 8/99, Seite 10, dass der Ausschuss aufgrund dieser Bestimmung verpflichtet ist, die betroffene Person anzuhören (das heisst, bevor der Antrag für unzulässig erklärt wird). Der Ausschuss ist der Meinung, dass es genügt zu bestimmen, dass die betroffene Person beantragen kann, vom Ausschuss angehört zu werden.
Der Königliche Erlass folgt nur teilweise der Stellungnahme des Ausschusses: Er bestimmt, dass die betroffene Person angehört werden muss, wenn sie dies beantragt. Die Anhörung ist nicht Pflicht, wenn die betroffene Person keinen dahingehenden Wunsch äussert; der Beschluss, den Antrag ohne Anhörung für unzulässig zu erklären, ist in diesem Fall keineswegs unrechtmässig.
Der vom Ausschuss vorgeschlagene Wortlaut ist nicht übernommen worden, weil er den Eindruck erwecken könnte, dass der Ausschuss willkürlich beschliesst, ob er die betroffene Person anhört oder nicht.
Artikel 42 Gemäss der vorherigen Lesung dieses Artikels wurde bestimmt, dass die Kontrolle des betreffenden Dienstes von einem Magistraten vorgenommen werden muss.
Der Ausschuss ist in seiner Stellungnahme 8/99, Seite 10 (französischer Text) beziehungsweise Seite 11 (niederländischer Text), der Meinung, dass es nicht notwendig ist, dass die Kontrollen immer von einem Magistraten vorgenommen werden. Die Kontrollen sind in der Vergangenheit bereits problemlos von anderen Mitgliedern des Ausschusses durchgeführt worden. Darüber hinaus würde hierdurch den Magistraten, die Mitglieder des Ausschusses sind, eine allzu grosse Arbeitslast auferlegt.
Da der Ausschuss jedoch auf Vorschlag der ausführenden Gewalt von der gesetzgebenden Gewalt ernannt wird, kann die vom Ausschuss vorgenommene Kontrolle dem Prinzip der Gewaltentrennung schaden.
Gemäss Artikel 13 des Gesetzes, der in diesem Zusammenhang auf Artikel 3 § 5 Nr. 1 des Gesetzes verweist, kann der Ausschuss Verarbeitungen personenbezogener Daten kontrollieren, die von öffentlichen Behörden im Hinblick auf die Ausführung ihrer gerichtspolizeilichen Aufträge verwaltet werden, nämlich Verarbeitungen personenbezogener Daten, die von der Gerichtspolizei, der Staatsanwaltschaft oder dem Untersuchungsrichter verwaltet werden.
In Bezug auf die Verarbeitungen der in Artikel 3 § 5 Nr. 1 des Gesetzes erwähnten personenbezogenen Daten ist es daher wünschenswert, dass die Kontrolle des Ausschusses ausschliesslich von Magistraten vorgenommen wird, die der Ausschuss unter seinen Mitgliedern bestimmt.
In der Begründung des Gesetzes wird unterstrichen, dass zwei der drei belgischen Polizeidienste sowohl mit verwaltungspolizeilichen Aufträgen als auch mit gerichtspolizeilichen Aufträgen beauftragt sind, dass aber alle Daten in dieselbe Datei aufgenommen werden.
Infolge dieser Vorgehensweise ist es praktisch unmöglich, einen Unterschied zwischen gerichtspolizeilichen und verwaltungspolizeilichen Daten zu machen. (Parlamentsdokument, Kammer, 413/12-9-92, 2. Juli 1992, Seite 50).
Im Zweifelsfall wird die Kontrolle daher am besten durch einen Magistraten vorgenommen.
Um dennoch eine Lösung für die eventuell begrenzte Anzahl Magistraten im Ausschuss zu finden, wird in Absatz 3 des Artikels vorgesehen, dass der Präsident und die Mitglieder, die die Kontrolle vornehmen, sich von einem oder mehreren Mitgliedern des Sekretariats des Ausschusses beistehen oder vertreten lassen können.
Der Staatsrat ist in seinem Gutachten 30.495/2, Seite 21 (französischer Text) beziehungsweise Seite 50 (niederländischer Text), der Meinung, dass der König für Angelegenheiten in Bezug auf Arbeitsweise und Organisation, die durch die geplante Bestimmung geregelt werden, nicht zuständig ist. Sie werden gegebenenfalls durch die Geschäftsordnung geregelt, die der Ausschuss erstellen muss, bevor sie gemäss Artikel 28 des Gesetzes den Gesetzgebenden Kammern übermittelt wird.
Die Bemerkung des Staatsrates scheint nicht korrekt zu sein: In Artikel 13 Absatz 2 des Gesetzes vom 8. Dezember 1992 wird festgelegt, dass der König nach Stellungnahme des Ausschusses für den Schutz des Privatlebens durch einen im Ministerrat beratenen Erlass die Modalitäten für die Ausübung der indirekten Zugangsrechte bestimmt. Es ist nicht deutlich, inwiefern die Modalitäten in Bezug auf die Vertretung der Mitglieder des Ausschusses für den Schutz des Privatlebens nicht doch Modalitäten der Ausübung des indirekten Zugangsrechtes darstellen.
Umgekehrt wäre zu befürchten, dass die betroffenen Polizeidienste davon ausgehen, dass die Geschäftsordnung des Ausschusses keine ausreichende Verordnungsgrundlage darstellt, um den Mitgliedern des Sekretariats des Ausschusses zu erlauben, Mitglieder zu vertreten.
Artikel 43 In diesem Artikel werden die Befugnisse des Ausschusses festgelegt.
Das Gesetz erteilt dem Ausschuss für den Schutz des Privatlebens je nach Diensten, die er kontrolliert, verschiedene Aufträge.
Aufgrund von Artikel 13 des Gesetzes ist er beauftragt, das Recht auf indirekten Zugang sowohl in Bezug auf die Nachrichtendienste als auch in Bezug auf die Polizeidienste auszuüben.
Aufgrund von Artikel 31 § 1 des Gesetzes untersucht der Ausschuss darüber hinaus die Beschwerden, die ihm zugesandt werden, und er kann im Rahmen des Beschwerdeverfahrens Beschlüsse fassen.
Aufgrund von Artikel 3 § 4 des Gesetzes ist Artikel 31 §§ 1 bis 3 jedoch nicht anwendbar auf Nachrichtendienste, obwohl dieser Artikel gemäss Artikel 3 § 5 des Gesetzes nicht anwendbar auf Polizeidienste ist.
Das Gesetz erteilt dem Ausschuss daher weder die Befugnis, Beschwerden gegen Nachrichtendienste zu untersuchen, noch die Befugnis, in Bezug auf diese Dienste Beschlüsse zu fassen.
Aus diesem Grund werden in Artikel 43 des Königlichen Erlasses zwei unterschiedliche Regelungen vorgesehen: Artikel 43 Absatz 2 betrifft die Polizeidienste, während Artikel 43 Absatz 3 die Nachrichtendienste betrifft.
Im Rahmen von Artikel 43 Absatz 2 kann der Ausschuss dem betreffenden Polizeidienst Befehle erteilen, zum Beispiel um Daten berichtigen oder löschen zu lassen, wohingegen er im Rahmen von Artikel 43 Absatz 3 den Nachrichtendiensten nur Massnahmen empfehlen kann.
Der Ausschuss unterstreicht in seiner Stellungnahme 8/99, Seite 11, dass die Möglichkeit für den Antragsteller, sich aufgrund von Artikel 12 des Gesetzes der Verarbeitung von Daten zu widersetzen, erneut nicht berücksichtigt worden ist. Daher müsste in Artikel 43 ebenfalls auf diese Möglichkeit verwiesen werden.
In Artikel 12 § 1 Absatz 2 des Gesetzes wird bestimmt, dass jede Person das Recht hat, sich aus schwerwiegenden und berechtigten Gründen einer Verarbeitung der sie betreffenden Daten zu widersetzen; dies gilt nicht, wenn die Rechtmässigkeit der Verarbeitung auf einen Vertrag oder auf die Einhaltung einer gesetzlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt, gestützt ist.
Praktisch gesehen hat das Widersetzungsrecht zur Folge, dass der Ausschuss von dem betreffenden Dienst verlangen kann, dass er die Daten löscht.
Aus diesem Grund wird das Widersetzungsrecht als solches im Königlichen Erlass nicht erwähnt.
Artikel 44 In diesem Artikel wird bestimmt, dass der betreffende Dienst im Anschluss an die Überprüfungen den Ausschuss schriftlich vom weiteren Verlauf in Kenntnis setzt.
In der vorherigen Lesung dieses Artikels wurde bestimmt, dass diese Notifizierung per Einschreiben erfolgen musste.
Der Ausschuss ist in der Stellungnahme 8/99 der Meinung, dass die Notifizierung per Einschreiben nicht notwendig ist und dass eine schriftliche Mitteilung des betreffenden Dienstes an den Ausschuss genügt.
Der Königliche Erlass folgt diesbezüglich der Stellungnahme des Ausschusses.
Artikel 45 In diesem Artikel wird bestimmt, dass der Ausschuss innerhalb einer Frist von drei Monaten ab der Notifizierung seitens des betreffenden Dienstes per Brief auf den Antrag der betroffenen Person antwortet.
Gemäss Artikel 13 Absatz 3 des Gesetzes teilt der Ausschuss dem Betreffenden lediglich mit, dass die notwendigen Überprüfungen vorgenommen wurden.
Die vom Ausschuss vorgenommene Kontrolle bei Anträgen auf Zugang oder Berichtigung muss auf jeden Fall den Grundsatz der Vertraulichkeit der Untersuchung wahren. Wie in der Begründung erwähnt, wäre es paradox, Tätern, Mittätern und Komplizen von Straftaten zu ermöglichen, sich vor der Anklage über das von den Behörden gegen sie gesammelte Beweismaterial zu informieren (Parlamentsdokument, Kammer, 1610/1-90/91, Seite 17).
Artikel 46 In Artikel 13 Absatz 4 des Gesetzes wird bestimmt, dass der König nach Stellungnahme des Ausschusses für den Schutz des Privatlebens durch einen im Ministerrat beratenen Erlass bestimmt, welche Information der Ausschuss der betroffenen Person mitteilen darf, wenn der Antrag der betroffenen Person eine Verarbeitung personenbezogener Daten betrifft, die von Polizeidiensten im Hinblick auf Identitätskontrollen verwaltet wird.
Der Ausschuss muss der betroffenen Person daher manchmal ausführlichere Informationen erteilen können, insofern dadurch nicht die Geheimhaltung bestimmter Verarbeitungen seitens der erwähnten Behörden gefährdet wird. So ist es zum Beispiel möglich, dass jemand bei einer Kontrolle am Flughafen oder auf der Strasse feststellt, dass die ihn betreffenden Daten irrtümlich von einem Polizeidienst registriert wurden und dass dieser Fehler nach Eingreifen des Ausschusses berichtigt worden ist. In diesem Fall ist es schwer hinzunehmen, dass die Information, die der betroffenen Person übermittelt wird, auf die Mitteilung, dass die notwendigen Überprüfungen vorgenommen wurden, beschränkt bleiben muss.
Als Lösung für dieses Problem wird eine flexiblere Möglichkeit der Information vorgesehen für Verarbeitungen personenbezogener Daten seitens der Polizeidienste im Hinblick auf Identitätskontrollen.
Gerade in diesen Fällen wird die betroffene Person mit Fehlern in den sie betreffenden Daten konfrontiert. Sie könnte daher von der Tatsache in Kenntnis gesetzt werden, dass die Daten berichtigt worden sind, ohne dass ihr diese Daten jedoch bei dieser Gelegenheit übermittelt werden.
In der vorherigen Lesung dieses Artikels wurde daher auch bestimmt, dass wenn der Antrag der betroffenen Person eine Verarbeitung personenbezogener Daten betrifft, die von Polizeidiensten im Hinblick auf Identitätskontrollen vorgenommen wird, der Ausschuss der betroffenen Person je nach Fall mitteilt: - dass die personenbezogenen Daten in Bezug auf die betroffene Person vom Polizeidienst dem Gesetz entsprechend und korrekt verarbeitet worden sind, - dass der Polizeidienst die personenbezogenen Daten in Bezug auf die betroffene Person nicht registriert hat, - dass der Polizeidienst die personenbezogenen Daten in Bezug auf die betroffene Person zu Unrecht oder falsch verarbeitet hat und dass der Ausschuss eine Berichtigung beantragt hat.
Der Ausschuss schlägt in seinen Stellungnahmen 8/99, Seite 11 (französischer Text beziehungsweise Seite 12 (niederländischer Text), und 25/99, Seite 6 (französischer Text) beziehungsweise Seite 7 (niederländischer Text), vor, dass in diesem Artikel lediglich bestimmt wird, dass der Ausschuss in Absprache mit dem betreffenden Dienst festlegt, welche Informationen der betroffenen Person mitgeteilt werden.
Der Königliche Erlass folgt diesbezüglich der Stellungnahme des Ausschusses.
KAPITEL VII - Erklärung der automatisierten Verarbeitung personenbezogener Daten Abschnitt I - Beiträge, die dem Ausschuss bei der Erklärung zu entrichten sind In diesen Artikeln werden die Beiträge festgelegt, die dem Ausschuss bei der in Artikel 17 des Gesetzes erwähnten Erklärung zu entrichten sind. Der Verantwortliche entrichtet einen einzigen Betrag für alle Informationen, die er zum selben Zeitpunkt beim Ausschuss abgibt. Die Anzahl Zwecke oder zusammenhängender Zwecke und die Anzahl Formulare, auf denen die Erklärung verteilt ist, spielen daher keine Rolle.
Gemäss der Stellungnahme 8/99, Seite 13, des Ausschusses für den Schutz des Privatlebens wird in Artikel 47 bestimmt, dass der für die Verarbeitung Verantwortliche die Überweisungsformulare verwenden muss, die ihm vom Ausschuss zur Verfügung gestellt werden.
Abschnitt II - Von der Erklärungspflicht befreite Verarbeitungskategorien In Artikel 17 § 8 des Gesetzes wird bestimmt, dass der König bestimmte Kategorien von der Erklärung befreien kann, wenn unter Berücksichtigung der verarbeiteten Daten offensichtlich keine Gefahr einer Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen besteht und die Zweckbestimmungen der Verarbeitung, die Kategorien der verarbeiteten Daten, die Kategorien der betroffenen Personen, die Kategorien der Empfänger und die Dauer der Aufbewahrung der Daten festgelegt werden.
Das Gesetz übernimmt somit die in Artikel 18.2 erster Gedankenstrich der Richtlinie 95/46/EG festgelegten Bedingungen.
In den nachfolgenden Artikel werden die Verarbeitungen bestimmt, die aufgrund von Artikel 17 § 8 des Gesetzes von der Erklärungspflicht befreit sind.
Diese Artikel umfassen bis auf einige kleine Änderungen die Bestimmungen des Königlichen Erlasses Nr. 13 vom 12. März 1996 zur Gewährung einer bedingten Befreiung von der Erklärungspflicht für bestimmte Kategorien von automatisierten Verarbeitungen personenbezogener Daten, die offensichtlich keine Gefahr eines Eingriffs in das Privatleben darstellen. Daher kann auf den Bericht an den König verwiesen werden, der gleichzeitig mit dem Königlichen Erlass vom 12. März 1996 (Belgisches Staatsblatt vom 15. März 1996, Seite 5802) veröffentlicht worden ist.
In der nachfolgenden Tabelle werden die Bestimmungen des Erlasses vom 12. März 1996 mit denen des neuen Ausführungserlasses verglichen. Übersichtstabelle Pour la consultation du tableau, voir image Aus der Übersichtstabelle geht hervor, dass die in Artikel 12 des Königlichen Erlasses vom 12. März 1996 erwähnte Befreiung nicht übernommen worden ist. Diese Befreiung betraf Verarbeitungen, deren einziger Zweck das Führen eines Registers war, das aufgrund von Gesetzes- oder Verordnungsbestimmungen zur Information der Öffentlichkeit bestimmt ist und das allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht. Die Befreiung ist im neuen Ausführungserlass nicht aufgenommen worden, weil sie bereits im Gesetz aufgenommen worden ist (Art. 17 § 1 Absatz 2).
Auf Stellungnahme des Ausschusses werden für jede Befreiung die in Artikel 17 § 8 des Gesetzes erwähnten fünf Punkte genauer beschrieben: 1) Zweckbestimmungen der Verarbeitung, 2) Kategorien der verarbeiteten Daten, 3) Kategorien der betroffenen Personen, 4) Kategorien der Empfänger und 5) Dauer der Aufbewahrung der Daten.Laut Ausschuss müssen diese näheren Angaben für jede Befreiung getrennt aufgeführt werden. Die Beschreibung bestimmter Punkte muss selbstverständlich oft sehr allgemein ausgedrückt werden, wie zum Beispiel "dürfen nur berechtigten Empfängern mitgeteilt werden" oder "dürfen nicht länger als für die Zwecke der Verarbeitung erforderlich aufbewahrt werden".
Es ist in der Tat sehr schwierig, für jede Befreiung eine genaue Beschreibung aller Zweckbestimmungen, aller Kategorien von Daten, aller Kategorien von betroffenen Personen, aller Kategorien von Empfängern und einen genauen Aufbewahrungszeitraum zu geben.
Arbeitgebern oder Sozialsekretariaten könnte zum Beispiel die Verpflichtung auferlegt werden, personenbezogene Daten in Bezug auf die Lohnbuchhaltung zu vernichten, wenn die betroffene Person nicht mehr beschäftigt wird. Der eigentliche Benachteiligte einer solchen Bestimmung wäre jedoch die betroffene Person selber. Nicht selten beantragt eine betroffene Person noch Jahre später, zum Beispiel anlässlich ihrer Pensionierung, bei Arbeitgebern und Lohnsekretariaten bestimmte Lohndaten. Diese Bemerkung gilt ebenfalls für andere Verarbeitungen, wie zum Beispiel Buchhaltung, Verwaltung von Aktionären und Gesellschaftern, Verwaltung von Daten in Bezug auf Kunden und Lieferanten oder Schüler und Studenten. Trotzdem ist dem Wunsch des Ausschusses diesbezüglich so weit wie möglich entsprochen worden.
Artikel 51 In Bezug auf Artikel 51 ist der Staatsrat in seinem Gutachten 30.495/2, Seite 21 (französischer Text) beziehungsweise Seite 50 (niederländischer Text), der Meinung, dass die Wörter "die bei dem für die Verarbeitung Verantwortlichen angestellt sind oder für ihn arbeiten" nicht deutlich sind. Wenn der Autor des Entwurfs damit die Personen meine, die für den für die Verarbeitung Verantwortlichen aufgrund eines Arbeitsvertrags oder eines Werkvertrags arbeiten, müsste die Bestimmung diesbezüglich angepasst werden.
Der Bericht an den König des Königlichen Erlasses Nr. 13 vom 12. März 1996 zur Gewährung einer bedingten Befreiung von der Erklärungspflicht für bestimmte Kategorien von automatisierten Verarbeitungen personenbezogener Daten, die offensichtlich keine Gefahr eines Eingriffs in das Privatleben darstellen (Belgisches Staatsblatt vom 15. März 1996, Seite 5805) unterstreicht, dass diesbezüglich jeder betroffen ist, der Leistungen für den für die Verarbeitung Verantwortlichen erbringt, ungeachtet des Statuts des Betreffenden (Lohnempfänger, Selbständiger, Aushilfskraft, Lehrling, Schüler usw.).
Offensichtlich kann keine allgemeinere Begriffsbestimmung als die des vorgeschlagenen Textes gefunden werden. Der Staatsrat schlägt übrigens auch keinen genaueren Wortlaut vor.
Artikel 54 und 59 In Bezug auf die Artikel 54 und 59 schlägt der Staatsrat in seinem Gutachten 30.495/2, Seite 22 (französischer Text) beziehungsweise Seite 51 und Seite 52 (niederländischer Text), vor, im letzten Satz des französischen Textes das Wort "utile" durch das Wort "nécessaire" und im niederländischen Text das Wort "dienstige" durch das Wort "noodzakelijke" zu ersetzten.
Der heutige Text folgt diesem Vorschlag.
Artikel 60 In Bezug auf Artikel 60 wirft der Staatsrat in seinem Gutachten 30.495/2 die Frage auf, ob die Gesetze, auf die in diesem Artikel verwiesen wird, nämlich das Gesetz vom 19. Juli 1991 über die Bevölkerungsregister und die Personalausweise, das Wahlgesetz und die Gesetze zur Einführung der Personenstandsregister, allen Anforderungen entsprechen, die in Artikel 17 § 8 Absatz 1 des Gesetzes vom 8.
Dezember 1992 enthalten sind, insbesondere was den Zeitraum betrifft, während dessen die Daten aufbewahrt werden.
Im vorerwähnten Bericht an den König des Königlichen Erlasses Nr. 13 vom 22. März 1996 (Belgisches Staatsblatt vom 15. März 1996, Seite 5805) wird erklärt, dass es keinen Sinn hat alle belgischen Gemeinden zu verpflichten, ihre Bevölkerungsregister anzugeben, da diese Verarbeitung bereits strengen Vorschriften unterliegt.Darüber hinaus müssen andere Verarbeitungen, die auf kommunaler Ebene unerlässlich sind, wie zum Beispiel die Personenstandsregister oder die Wählerlisten, ebenfalls nicht angegeben werden.
Was die Personenstandsregister betrifft, werden in Artikel 12 des Königlichen Erlasses vom 16. Juli 1992 (Belgisches Staatsblatt vom 15.
Juli 1992) eindeutig die Bedingungen festgelegt, gemäss denen die Daten gelöscht werden: Streichung von Amts wegen, Streichung aufgrund eines Totenscheins oder einer Bescheinigung über die Eintragung in der Gemeinde des neuen Wohnortes usw.; aufgrund dieser Bestimmung legt das Gesetz vom 19. Juli 1991 die Dauer für die Aufbewahrung der Daten fest.
Artikel 61 In Bezug auf Artikel 61 ist der Staatsrat in seinem Gutachten 30.495/2, Seite 23 (französischer Text) beziehungsweise Seite 52 (niederländischer Text), der Meinung, dass durch den allgemein gehaltenen Wortlaut dieser Befreiung nicht garantiert werden kann, dass alle Bedingungen für eine Befreiung, die in Artikel 17 § 8 Absatz 1 des Gesetzes vom 8. Dezember 1992 aufgezählt sind, erfüllt sind.
Im Sinne des Gesetzes sollten alle Rechtsvorschriften konkret aufgrund der in vorerwähntem Artikel 17 gestellten Anforderungen untersucht werden.
Obwohl die Bemerkung des Staatsrates nicht unbegründet ist, ist sie praktisch nicht durchführbar: Im vorliegenden Erlass kann keine Liste zukünftiger Gesetze erstellt werden und auch nicht geprüft werden, inwiefern sie den in Artikel 17 § 8 festgelegten Bedingungen entsprechen werden.
In Artikel 61 wird hingegen näher bestimmt, dass die Befreiung von der Erklärungspflicht nur für Verarbeitungen gilt, die besonderen Vorschriften in Bezug auf die Zweckbestimmung der Verarbeitung, die Sammlung der Daten und die Modalitäten der Verarbeitung unterliegen.
Diese Verarbeitungen unterliegen übrigens weiterhin den Bestimmungen des Gesetzes vom 8. Dezember 1992 und insbesondere des Artikels 4, in dem unter anderem bestimmt wird, dass die Daten den Zwecken entsprechen müssen, für die sie erhoben werden, dafür erheblich sein müssen und nicht darüber hinausgehen dürfen.
Artikel 62 Artikel 62 sieht eine allgemeine Befreiung für Verarbeitungen vor, die von den Einrichtungen für soziale Sicherheit, die in den Artikeln 1 und 2 des Gesetzes vom 15. Januar 1990 über die Errichtung und Organisation einer Zentralen Datenbank der sozialen Sicherheit erwähnt sind, verwaltet werden.
In Artikel 46 Absatz 1 Nr. 6 des Gesetzes vom 15. Januar 1990, abgeändert durch Artikel 62 des Gesetzes vom 2. Januar 2001 zur Festlegung von sozialen, Haushalts- und sonstigen Bestimmungen (Belgisches Staatsblatt vom 13. Januar 2001, 2. Ausgabe, Seite 966), wird bestimmt, dass der Kontrollausschuss eine Liste fortschreiben muss, die einerseits für jede automatisierte Verarbeitung personenbezogener Daten, die von einer Einrichtung für soziale Sicherheit im Hinblick auf die Anwendung der sozialen Sicherheit vorgenommen wird, mindestens die in Artikel 17 § 3 des Gesetzes vom 8.
Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten erwähnten Daten enthält, so wie diese von der betreffenden Einrichtung für soziale Sicherheit übermittelt oder für gültig erklärt werden, und andererseits die aufgrund von Artikel 15 erlaubten Mitteilungen und die Mitteilung, die dem Kontrollausschuss gemäss demselben Artikel 15 notifiziert werden muss, umfasst. Der König bestimmt, gemäss welchen Modalitäten jede betroffene Person diese Liste bei der Zentralen Datenbank einsehen kann.
Jede Einrichtung für soziale Sicherheit ist demnach verpflichtet, beim Kontrollausschuss der Zentralen Datenbank eine Erklärung über ihre Verarbeitungen abzugeben.
In Artikel 62 Absatz 2 wird darüber hinaus bestimmt, dass der Kontrollausschuss die Liste dieser Erklärungen dem Ausschuss für den Schutz des Privatlebens zur Verfügung stellt.
KAPITEL VIII - Öffentliches Register der automatisierten Verarbeitungen personenbezogener Daten In Kapitel VIII werden die Modalitäten festgelegt, gemäss denen das durch Artikel 18 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten geschaffene öffentliche Register der automatisierten Verarbeitungen personenbezogener Daten eingesehen werden kann. In Absatz 3 dieses Artikels wird bestimmt, dass das Register der Öffentlichkeit gemäss vom König zu bestimmenden Modalitäten zugänglich ist.
In der Begründung des Gesetzes vom 8. Dezember 1992 wird bestimmt, dass das öffentliche Register vor allem für die betroffenen Personen bestimmt ist, damit sie alle für die Ausübung ihrer Rechte notwendigen Angaben finden können. Allgemeiner soll es der Öffentlichkeit ermöglichen (über die Kontrolle durch die Presse zum Beispiel), eine Übersicht über den Gebrauch der personenbezogenen Daten in Belgien zu erhalten (Parlamentsdokument, Kammer, 1610/1-90/91).
Um diese Übersicht zu ermöglichen, wird in Artikel 18 Absatz 2 des Gesetzes vom 8. Dezember 1992 festgelegt, dass im Öffentlichen Register für jede automatisierte Verarbeitung folgende Informationen angegeben sein müssen: 1. Datum der Erklärung und gegebenenfalls Gesetz, Dekret, Ordonnanz oder Verordnungsakt mit dem Beschluss zur Erstellung der automatisierten Verarbeitung, 2.Name, Vornamen und vollständige Adresse oder Bezeichnung und Sitz des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters in Belgien, 3. [aufgehoben], 4.Bezeichnung der automatisierten Verarbeitung, 5. Zweckbestimmung oder Gesamtheit von verbundenen Zweckbestimmungen der automatisierten Verarbeitung, 6.Kategorien der verarbeiteten personenbezogenen Daten mit besonderer Beschreibung der in den Artikeln 6 bis 8 erwähnten Daten, 7. Kategorien der Empfänger, denen die Daten mitgeteilt werden können, 8.Sicherheiten, die mit der Mitteilung der Daten an Dritte verbunden sein müssen, 9. Art und Weise, wie die von den Daten betroffenen Personen darüber informiert werden, Dienst, bei dem das Zugangsrecht ausgeübt wird, und Massnahmen zur Erleichterung der Ausübung dieses Rechts, 10.Zeitraum, über den hinaus Daten gegebenenfalls nicht mehr aufbewahrt, verwendet oder weitergegeben werden dürfen, 11. allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Massnahmen nach Artikel 16 des Gesetzes zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind, 12.Gründe, auf die der für die Verarbeitung Verantwortliche gegebenenfalls die Anwendung von Artikel 3 § 3 des Gesetzes stützt.
Sind die verarbeiteten Daten, wenn auch nur gelegentlich, für die Übermittlung ins Ausland bestimmt, müssen unabhängig vom verwendeten Datenträger in der Erklärung ausserdem folgende Angaben stehen: * weitergegebene Datenkategorien, * für jede Datenkategorie das Bestimmungsland.
Es muss daran erinnert werden, dass gemäss der Stellungnahme 10/92 des Ausschusses für den Schutz des Privatlebens vom 20. August 1992 der Begriff Zweckbestimmung im Rahmen des öffentlichen Registers eine allgemeine Zweckbestimmung sein kann, die eine Reihe von Anwendungen umfasst (Parlamentsdokument, Kammer, 413/12-90/91, Seite 80).
Der Ausschuss für den Schutz des Privatlebens hat in seiner Stellungnahme 15/94 vom 9. Mai 1994 einige Grundprinzipien für den Zugang zum öffentlichen Register festgelegt.
Im Allgemeinen wünscht der Ausschuss, dass die Öffentlichkeit weitestgehend Zugang zu dem Register hat.
Im Besonderen gibt der Ausschuss zunächst an, dass derjenige, der das öffentliche Register einsehen möchte, nicht notwendigerweise seine Identität mitteilen muss, aber dass der Ausschuss überprüfen können muss, ob die Einsichtnahme tatsächlich mit der Zweckbestimmung, für die das Register angelegt worden ist, übereinstimmt. Praktisch gesehen wird es sehr schwierig sein, diesen letzten Punkt a priori zu kontrollieren. Wenn jemand die Daten aus dem öffentlichen Register missbraucht und sie zum Beispiel zu Marketingzwecken verwendet, ist nur eine nachträgliche Sanktion möglich.
Der Ausschuss gibt in seiner Stellungnahme 15/94 weiter an, dass Personen, die das Register einsehen möchten, nicht nachweisen müssen, dass die Daten, die sie einsehen möchten, sie betreffen. Schliesslich ist der Ausschuss der Meinung, dass das Register beliebig oft eingesehen werden kann.
Artikel 63 bis 65 Unter Berücksichtigung dieser Grundprinzipien werden im Königlichen Erlass drei mögliche Formen des Zugangs zum öffentlichen Register vorgeschlagen.
Die erste Form ist eine direkte Ferneinsichtnahme anhand von Telekommunikationsmitteln. Der Ausschuss stellt dafür auf seinem Server eine Kopie des öffentlichen Registers zur Verfügung, die bei In-Kraft-Treten des vorliegenden Erlasses über Internet zugänglich sein wird. Auf diesem Server werden neben dem Register viele andere nützliche Informationen für das Publikum über den Datenschutz (zum Beispiel Gesetzestexte, Stellungnahmen) angeboten werden. In Zukunft können auch andere Formen der Ferneinsichtnahme anhand von Telekommunikationsmitteln angeboten werden, die nicht auf das Internet, sondern auf andere Netze zurückgreifen. Das Internet ermöglicht in breitem Umfang einen dezentralisierten Zugang zum öffentlichen Register.
Die zweite Form ist eine direkte Einsichtnahme vor Ort in den vom Ausschuss für den Schutz des Privatlebens zu diesem Zweck bestimmten Räumlichkeiten. Während der gewöhnlichen Öffnungszeiten kann jeder vorstellig werden, um das öffentliche Register einzusehen. Der Ausschuss stellt zu diesem Zweck die notwendigen Räumlichkeiten und einen Computer mit entsprechender Software zur Verfügung.
Schliesslich besteht noch die Möglichkeit, beim Ausschuss einen Antrag auf Erhalt eines Auszugs aus dem öffentlichen Register einzureichen.
Dies kann mündlich erfolgen, indem die betroffene Person beim Ausschuss vorstellig wird, oder schriftlich, indem die betroffene Person dem Ausschuss einen Antrag per Post oder per Fax zukommen lässt. Telefonische Anträge sind im Prinzip nicht zulässig. Ein Antrag auf Erhalt eines Auszugs muss selbstverständlich genügend Auskünfte enthalten, damit der Ausschuss die beantragten Daten sofort im öffentlichen Register ausfindig machen und ausdrucken kann. Daher wird im Erlass bestimmt, dass der Antrag mindestens eine wesentliche Angabe enthalten muss.
Artikel 66 Für den Zugang zum öffentlichen Register muss eine Mindestanzahl Zugangsschlüssel verfügbar sein. Was die für die Verarbeitung Verantwortlichen betrifft, müssen Suchen anhand der Erkennungsnummer, der vollständigen oder abgekürzten Bezeichnung, der Mehrwertsteuernummer, der Postleitzahl, der Gemeinde oder der Telefonnummer möglich sein. Was die eigentlichen Verarbeitungen betrifft, muss es möglich sein, das öffentliche Register durch Angabe der Kennnummer, der Bezeichnung, der Zweckbestimmung oder der Kategorien verarbeiteter Daten einzusehen. Diese Schlüssel müssen auch kombiniert werden können, um die Suche zu verfeinern. Die Einsichtnahme muss einfach und benutzerfreundlich sein. Der Ausschuss muss zu diesem Zweck ein entsprechendes Peripheriegerät zur Verfügung stellen und Erläuterungsbildschirme vorsehen.
Artikel 67 Der Ausschuss muss selbstverständlich gegen übertriebene und unrechtmässige Anträge geschützt werden. Daher kann ein vollständiger Auszug nur beantragt werden, wenn der Auszug höchstens zehn Verarbeitungen desselben Verantwortlichen betrifft. Betrifft der Auszug mehr als zehn Verarbeitungen und mehrere Verantwortliche oder mehr als hundert Verarbeitungen desselben Verantwortlichen, kann der Ausschuss einen vereinfachten Auszug ausstellen, in dem für jede Verarbeitung eine Mindestanzahl Daten angegeben wird.
KAPITEL IX - Schlussbestimmungen Artikel 70 und 73 Gemäss den Artikeln 70 und 73 des Erlasses verfügen die für die Verarbeitung Verantwortlichen noch über sechs Monate ab der Veröffentlichung des Erlasses, um sich der neuen Regelung, die durch das Gesetz vom 11. Dezember 1998 eingeführt worden ist, anzupassen.
Diese Frist muss unter anderem dem Ausschuss ermöglichen, die im vorliegenden Erlass erwähnten spezifischen Formulare auszuarbeiten und das öffentliche Register anzupassen.
Auch die für die Verarbeitung Verantwortlichen benötigen eine Übergangsperiode, um bestimmte Vermerke auf Formularen, vorgedruckten Briefen oder Antwortscheinen zu ändern.
Diese Anpassungen sind ebenfalls notwendig für die Anwendung des Widersetzungsrechts.
Der Staatsrat widersetzt sich in seinem Gutachten 30.495/2, Seite 24 (französischer Text) beziehungsweise Seite 53 (niederländischer Text), dieser Übergangsperiode und erinnert daran, dass die Frist für die Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr am 24. Oktober 1998 verstrichen ist. Obwohl die Bemerkung des Staatsrates rechtlich begründet ist, muss jedoch darauf hingewiesen werden, dass zum Zeitpunkt der Abfassung des vorliegenden Erlasses mehr als die Hälfte der Mitgliedstaaten der Europäischen Union noch nicht mit der Umsetzung der vorerwähnten Richtlinie begonnen hatte, was auf die praktischen und juristischen Schwierigkeiten bei der Umsetzung hindeutet.
Eine Frist von sechs Monaten scheint daher nicht überflüssig zu sein, um den für die Verarbeitung Verantwortlichen zu ermöglichen, ihre Arbeitsweise den Anforderungen dieser Richtlinie und der Massnahmen zur Umsetzung dieser Richtlinie in belgisches Recht anzupassen.
Artikel 71 Die in Artikel 17 des Gesetzes erwähnten Erklärungen, die vor In-Kraft-Treten des Gesetzes vom 11. Dezember 1998 abgegeben worden sind, müssen nicht gemäss den Bestimmungen dieses Gesetzes wiederholt werden. Für sie wird davon ausgegangen, dass sie den neuen Bestimmungen genügen.
Ich habe die Ehre, Sire, der getreue und ehrerbietige Diener Eurer Majestät zu sein.
Der Minister der Justiz M. VERWILGHEN
13. FEBRUAR 2001 - Königlicher Erlass zur Ausführung des Gesetzes vom 8.Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten ALBERT II., König der Belgier, Allen Gegenwärtigen und Zukünftigen, Unser Gruss! Aufgrund des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten, abgeändert durch das Gesetz vom 11. Dezember 1998 zur Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.
Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, und insbesondere der Artikel 4 § 1 Nr. 2 und 5, 6 § 2 Absatz 1 Buchstaben a) und g), 6 § 4, 7 § 2 Buchstaben a) und k), 7 § 3, 8 § 4 Buchstabe e), 8 § 4, 9 § 1 Buchstabe e), 9 § 2 Absatz 1 Buchstabe e), 9 § 2 Absatz 3, 10 § 1 Absatz 2 und 4, 12 § 2, 13 Absatz 2 und 4, 17 §§ 8 und 9 und 18 Absatz 3;
Aufgrund des Artikels 52 des Gesetzes vom 11. Dezember 1998;
Aufgrund der Stellungnahmen des Ausschusses für den Schutz des Privatlebens Nr. 08/99 vom 8. März 1999 und Nr. 25/99 vom 23. Juni 1999;
Aufgrund der Stellungnahme des Finanzinspektors vom 9. April 1999;
Aufgrund des Einverständnisses des Ministers des Haushalts vom 28. Mai 1999;
Aufgrund des Beschlusses des Ministerrates;
Aufgrund der Gutachten des Staatsrates vom 21. Juni 1999 und 8.
November 2000;
Auf Vorschlag Unseres Ministers der Justiz und aufgrund der Stellungnahme Unserer Minister, die im Rat darüber beraten haben, Haben Wir beschlossen und erlassen Wir: KAPITEL I - Begriffsbestimmungen Artikel 1. Für die Anwendung des vorliegenden Erlasses ist beziehungsweise sind zu verstehen unter: 1. "Gesetz": das Gesetz vom 8.Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten, 2. "Ausschuss": der Ausschuss für den Schutz des Privatlebens, 3."verschlüsselten personenbezogenen Daten": personenbezogene Daten, die nur anhand eines Codes mit einer identifizierten oder identifizierbaren Person in Verbindung gebracht werden können, 4. "nicht verschlüsselten personenbezogenen Daten": personenbezogene Daten, die nicht verschlüsselt sind, 5."anonymen Daten": Daten, die nicht mit einer identifizierten oder identifizierbaren Person in Verbindung gebracht werden können und daher keine personenbezogenen Daten sind, 6. "Zwischenorganisation": die natürliche oder juristische Person, nichtrechtsfähige Vereinigung oder öffentliche Verwaltung, die nicht der Verantwortliche für die Verarbeitung der nicht verschlüsselten Daten ist und die vorerwähnten Daten verschlüsselt. KAPITEL II - Weiterverarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken Abschnitt I - Allgemeine Grundsätze Artikel 1 - Für Weiterverarbeitungen personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken wird davon ausgegangen, dass sie mit Artikel 4 § 1 Nr. 2 zweiter Satz des Gesetzes vereinbar sind, wenn sie unter den im vorliegenden Kapitel festgelegten Bedingungen erfolgen.
In Artikel 4 § 1 Nr. 5 zweiter Satz des Gesetzes erwähnte Aufbewahrungen personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken sind unter den im vorliegenden Kapitel festgelegten Bedingungen erlaubt.
Art. 2 - Weiterverarbeitungen personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken erfolgt anhand anonymer Daten.
Art. 3 - Ermöglicht eine Weiterverarbeitung anonymer Daten die Verwirklichung historischer, statistischer oder wissenschaftlicher Zwecke nicht, darf der Verantwortliche für die Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken gemäss den Bestimmungen von Abschnitt 2 des vorliegenden Kapitels verschlüsselte personenbezogene Daten verarbeiten.
In diesem Fall vermerkt er in der Verarbeitungserklärung, die er gemäss Artikel 17 des Gesetzes abgibt, aus welchen Gründen die Weiterverarbeitung anonymer Daten die Verwirklichung historischer, statistischer oder wissenschaftlicher Zwecke nicht ermöglicht.
Art. 4 - Ermöglicht eine Weiterverarbeitung verschlüsselter Daten die Verwirklichung historischer, statistischer oder wissenschaftlicher Zwecke nicht, darf der Verantwortliche für die Weiterverarbeitung gemäss den Bestimmungen von Abschnitt 3 des vorliegenden Kapitels nicht verschlüsselte personenbezogene Daten verarbeiten.
In diesem Fall vermerkt er in der Verarbeitungserklärung, die er gemäss Artikel 17 des Gesetzes abgibt, aus welchen Gründen die Weiterverarbeitung verschlüsselter Daten die Verwirklichung historischer, statistischer oder wissenschaftlicher Zwecke nicht ermöglicht.
Art. 5 - Der Verantwortliche für die Weiterverarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken darf keine Handlungen vornehmen, um anonyme Daten in personenbezogene Daten oder verschlüsselte personenbezogene Daten in nicht verschlüsselte personenbezogene Daten umzuwandeln.
Abschnitt II - Verarbeitung verschlüsselter personenbezogener Daten Art. 6 - Personenbezogene Daten werden verschlüsselt, bevor sie zu historischen, statistischen oder wissenschaftlichen Zwecken verarbeitet werden.
Art. 7 - Wenn der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, diese personenbezogenen Daten zu historischen, statistischen oder wissenschaftlichen Zwecken weiterverarbeitet oder diese Weiterverarbeitung einem Auftragsverarbeiter anvertraut, werden diese personenbezogenen Daten vor der Weiterverarbeitung entweder von dem für die Verarbeitung Verantwortlichen, vom Auftragsverarbeiter oder von einer Zwischenorganisation verschlüsselt.
Im letzten Fall wird die Zwischenorganisation als Auftragsverarbeiter im Sinne von Artikel 1 § 5 des Gesetzes angesehen.
Art. 8 - Wenn der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, diese personenbezogenen Daten im Hinblick auf eine Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken einem Dritten übermittelt, werden diese personenbezogenen Daten vor ihrer Übermittlung von dem für die Verarbeitung Verantwortlichen oder einer Zwischenorganisation verschlüsselt.
Im letzten Fall wird die Zwischenorganisation als Auftragsverarbeiter im Sinne von Artikel 1 § 5 des Gesetzes angesehen.
Art. 9 - Wenn mehrere Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, personenbezogene Daten im Hinblick auf deren Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken demselben beziehungsweise denselben Dritten übermitteln, werden diese personenbezogenen Daten vor ihrer Übermittlung von einer Zwischenorganisation verschlüsselt.
In diesem Fall wird die Zwischenorganisation als für die Verarbeitung Verantwortlicher im Sinne von Artikel 1 § 4 des Gesetzes angesehen.
Art. 10 - Die Zwischenorganisation ist unabhängig von dem Verantwortlichen für die Weiterverarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken.
Art. 11 - Der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, und die Zwischenorganisation, die Daten im Hinblick auf eine Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken verschlüsseln, ergreifen angemessene technische und organisatorische Massnahmen, um zu verhindern, dass verschlüsselte Daten in nicht verschlüsselte Daten umgewandelt werden.
Art. 12 - Der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, und die Zwischenorganisation dürfen verschlüsselte Daten im Hinblick auf deren Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken nur gegen Vorlage seitens des für die Weiterverarbeitung Verantwortlichen einer Bestätigung über den Empfang einer vollständigen Erklärung übermitteln, die gemäss Artikel 17 § 2 des Gesetzes vom Ausschuss ausgestellt worden ist.
Art. 13 - Der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, und die Zwischenorganisation müssen vor Verschlüsselung der in den Artikeln 6 bis 8 des Gesetzes erwähnten Daten der betroffenen Person folgende Informationen mitteilen: - Identität des für die Verarbeitung Verantwortlichen, - Kategorien personenbezogener Daten, die verarbeitet werden, - Herkunft der Daten, - präzise Beschreibung der historischen, statistischen oder wissenschaftlichen Zwecke der Verarbeitung, - Empfänger oder Kategorien der Empfänger der personenbezogenen Daten, - Bestehen von Auskunfts- und Berichtigungsrechten in Bezug auf die sie betreffenden personenbezogenen Daten, - Bestehen eines Widersetzungsrechts für die betroffene Person.
Art. 14 - Der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, und die Zwischenorganisation müssen der aufgrund von Artikel 14 des vorliegenden Erlasses auferlegten Verpflichtung nicht nachkommen, wenn diese Verpflichtung sich als unmöglich erweist oder unverhältnismässigen Aufwand erfordert und sie das in Artikel 16 des vorliegenden Erlasses festgelegte Verfahren eingehalten haben.
Der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, und die Zwischenorganisation müssen der aufgrund von Artikel 14 des vorliegenden Erlasses auferlegten Verpflichtung nicht nachkommen, wenn die Zwischenorganisation eine Verwaltungsbehörde ist, die durch oder aufgrund des Gesetzes ausdrücklich beauftragt ist, personenbezogene Daten zu sammeln und zu verschlüsseln und hierbei spezifischen Massnahmen zum Schutz des Privatlebens unterliegt, die durch oder aufgrund des Gesetzes festgelegt sind.
Art. 15 - Der Verantwortliche für die Verarbeitung personenbezogener Daten, die zu festgelegten eindeutigen und rechtmässigen Zwecken erfasst worden sind, und die Zwischenorganisation, die die in den Artikeln 6 bis 8 des Gesetzes erwähnten Daten verschlüsseln möchten, ohne die betroffene Person vorab in Kenntnis zu setzen, geben die aufgrund von Artikel 17 des Gesetzes erforderliche Erklärung ab, die folgende Informationen enthält: 1. präzise Beschreibung der historischen, statistischen oder wissenschaftlichen Zwecke der Verarbeitung, 2.Gründe zur Rechtfertigung der Verarbeitung der in den Artikeln 6 bis 8 des Gesetzes erwähnten personenbezogenen Daten, 3. Gründe, warum der betroffenen Person die in Artikel 14 erwähnten Informationen nicht mitgeteilt werden können, oder Gründe zur Rechtfertigung der Unverhältnismässigkeit des notwendigen Aufwands, um diese Informationen mitzuteilen, 4.Kategorien von Personen, für die personenbezogene Daten, die in den Artikeln 6 bis 8 des Gesetzes erwähnt sind, verarbeitet werden, 5. Personen oder Kategorien von Personen, die Zugang zu den personenbezogenen Daten haben, 6.Herkunft der Daten.
Der Ausschuss übermittelt dem für die Verarbeitung Verantwortlichen oder der Zwischenorganisation innerhalb einer Frist von fünfundvierzig Werktagen ab Empfang der Erklärung eine Empfehlung, die gegebenenfalls zusätzliche Bedingungen enthält, die bei der Weiterverarbeitung der in den Artikeln 6 bis 8 des Gesetzes erwähnten verschlüsselten personenbezogenen Daten zu historischen, statistischen oder wissenschaftlichen Zwecken einzuhalten sind.
Die in Absatz 2 vorgesehene Frist kann einmal um fünfundvierzig Werktage verlängert werden. Der Ausschuss teilt dem für die Verarbeitung Verantwortlichen vor Ablauf der ersten Frist mit, dass diese verlängert wird.
Hat der Ausschuss bei Ablauf der im vorliegenden Artikel vorgesehenen Fristen keine Empfehlung übermittelt, gilt der Antrag als angenommen.
Der Ausschuss veröffentlicht seine Empfehlung in dem in Artikel 18 des Gesetzes erwähnten Register.
Art. 16 - Der für die Verarbeitung Verantwortliche muss den Ausschuss von jeder Änderung der Informationen, die er dem Ausschuss gemäss Artikel 16 des vorliegenden Erlasses übermittelt hat, in Kenntnis setzen.
Abschnitt III - Verarbeitung nicht verschlüsselter personenbezogener Daten Art. 17 - Vor der Weiterverarbeitung nicht verschlüsselter personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken teilt der für die Weiterverarbeitung Verantwortliche der betroffenen Person folgende Informationen mit: 1. Identität des für die Verarbeitung Verantwortlichen, 2.Kategorien personenbezogener Daten, die verarbeitet werden, 3. Herkunft der Daten, 4.präzise Beschreibung der historischen, statistischen oder wissenschaftlichen Zwecke der Verarbeitung, 5. Empfänger oder Kategorien der Empfänger der personenbezogenen Daten, 6.Bestehen von Auskunfts- und Berichtigungsrechten in Bezug auf die sie betreffenden personenbezogenen Daten, 7. Bestehen der Verpflichtung, vorab die Einwilligung der betroffenen Person zur Verarbeitung nicht verschlüsselter personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken einzuholen. Art. 18 - Die betroffene Person muss vor der Weiterverarbeitung der sie betreffenden nicht verschlüsselten personenbezogenen Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ihre ausdrückliche Einwilligung zu dieser Verarbeitung geben.
Art. 19 - Der Verantwortliche für die Weiterverarbeitung nicht verschlüsselter personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken muss den aufgrund der Artikel 18 und 19 des vorliegenden Erlasses auferlegten Verpflichtungen nicht nachkommen: 1. wenn die Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken auf nicht verschlüsselte personenbezogene Daten beschränkt ist, die von der betroffenen Person offensichtlich bekanntgemacht worden sind oder die in engem Zusammenhang mit dem öffentlichen Charakter der betroffenen Person oder des Ereignisses, an dem diese Person beteiligt ist oder war, stehen oder 2.wenn die Einhaltung dieser Verpflichtungen sich als unmöglich erweist oder unverhältnismässigen Aufwand erfordert und er das in Artikel 21 des vorliegenden Erlasses festgelegte Verfahren eingehalten hat.
Art. 20 - Der Verantwortliche für die Weiterverarbeitung nicht verschlüsselter personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken, der diese Daten verarbeiten möchte, ohne die betroffene Person vorab in Kenntnis zu setzen und ohne deren Einwilligung, gibt die aufgrund von Artikel 17 des Gesetzes erforderliche Erklärung ab, die folgende Informationen enthält: 1. präzise Beschreibung der historischen, statistischen oder wissenschaftlichen Zwecke der Verarbeitung, 2.Gründe, die die Verarbeitung nicht verschlüsselter personenbezogener Daten notwendig machen, 3. Gründe, warum die Einwilligung in Kenntnis der Sachlage seitens der betroffenen Person nicht eingeholt werden kann, oder Gründe zur Rechtfertigung der Unverhältnismässigkeit des notwendigen Aufwands, um diese Einwilligung zu erhalten, 4.Kategorien von Personen, für die nicht verschlüsselte personenbezogene Daten verarbeitet werden, 5. Personen oder Kategorien von Personen, die Zugang zu den nicht verschlüsselten personenbezogenen Daten haben, 6.Herkunft der Daten.
Der Ausschuss übermittelt dem für die Weiterverarbeitung Verantwortlichen innerhalb einer Frist von fünfundvierzig Werktagen ab Empfang der Erklärung eine Empfehlung, die gegebenenfalls zusätzliche Bedingungen enthält, die bei der Weiterverarbeitung der nicht verschlüsselten personenbezogenen Daten zu historischen, statistischen oder wissenschaftlichen Zwecken einzuhalten sind.
Die in Absatz 2 vorgesehene Frist kann einmal um fünfundvierzig Werktage verlängert werden. Der Ausschuss teilt dem für die Weiterverarbeitung Verantwortlichen vor Ablauf der ersten Frist mit, dass diese verlängert wird.
Hat der Ausschuss bei Ablauf der im vorliegenden Artikel vorgesehenen Fristen keine Empfehlung übermittelt, gilt der Antrag als angenommen.
Der Ausschuss veröffentlicht seine Empfehlung in dem in Artikel 18 des Gesetzes erwähnten Register.
Art. 21 - Der für die Verarbeitung Verantwortliche muss den Ausschuss vorab von jeder Änderung der Informationen, die er dem Ausschuss gemäss Artikel 21 des vorliegenden Erlasses übermittelt hat, in Kenntnis setzen.
Abschnitt IV - Veröffentlichung der Ergebnisse einer Verarbeitung Art. 22 - Ergebnisse einer Verarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken dürfen nicht in einer Form veröffentlicht werden, die die Identifizierung der betroffenen Person ermöglicht, ausser wenn: 1. die betroffene Person ihre Einwilligung gegeben hat und das Privatleben Dritter nicht beeinträchtigt wird oder 2.die Veröffentlichung nicht verschlüsselter personenbezogener Daten auf Daten beschränkt ist, die von der betroffenen Person offensichtlich bekanntgemacht worden sind oder die in engem Zusammenhang mit dem öffentlichen Charakter der betroffenen Person oder des Ereignisses, an dem diese Person beteiligt ist oder war, stehen.
Abschnitt V - Ausnahme Art. 23 - Kapitel II des vorliegenden Erlasses ist auf die in Artikel 3 § 4 des Gesetzes erwähnten Dienste und Behörden, die eine Weiterverarbeitung zu historischen, statistischen oder wissenschaftlichen Zwecken vornehmen, nicht anwendbar.
KAPITEL III - Bedingungen für die Verarbeitung der in den Artikeln 6 bis 8 des Gesetzes erwähnten personenbezogenen Daten Art. 24 - Bei der Verarbeitung der in den Artikeln 6 bis 8 des Gesetzes erwähnten personenbezogenen Daten muss der für die Verarbeitung Verantwortliche darüber hinaus folgende Massnahmen ergreifen: 1. Er oder gegebenenfalls der Auftragsverarbeiter muss die Kategorien von Personen bestimmen, die Zugriff auf die personenbezogenen Daten haben, wobei ihre Funktion in Bezug auf die Verarbeitung der betreffenden Daten genau beschrieben werden muss.2. Er oder gegebenenfalls der Auftragsverarbeiter muss die Liste der somit bestimmten Kategorien von Personen zur Verfügung des Ausschusses halten.3. Er muss dafür sorgen, dass die bestimmten Personen durch eine gesetzliche oder statutarische Vorschrift oder eine gleichwertige Vertragsbestimmung verpflichtet sind, den vertraulichen Charakter der betreffenden Daten zu wahren.4. Er muss in der Information, die aufgrund von Artikel 9 des Gesetzes der betroffenen Person übermittelt werden muss, oder in der in Artikel 17 § 1 des Gesetzes erwähnten Erklärung die Gesetzes- oder Verordnungsgrundlage vermerken, aufgrund deren die Verarbeitung der in den Artikeln 6 bis 8 des Gesetzes erwähnten personenbezogenen Daten erlaubt ist. Art. 25 - Ist die Verarbeitung der in den Artikeln 6 und 7 des Gesetzes erwähnten personenbezogenen Daten ausschliesslich aufgrund der schriftlichen Einwilligung der betroffenen Person erlaubt, muss der für die Verarbeitung Verantwortliche der betroffenen Person neben den Informationen, die aufgrund von Artikel 9 des Gesetzes erteilt werden müssen, vorab die Gründe für die Verarbeitung dieser Daten und die Liste der Kategorien von Personen, die Zugang zu diesen personenbezogenen Daten haben, mitteilen.
Art. 26 - Ist die Verarbeitung der in den Artikeln 6 und 7 des Gesetzes erwähnten personenbezogenen Daten ausschliesslich aufgrund der schriftlichen Einwilligung der betroffenen Person erlaubt, ist diese Verarbeitung trotzdem verboten, wenn der für die Verarbeitung Verantwortliche der jetzige oder potentielle Arbeitgeber der betroffenen Person ist oder wenn die betroffene Person sich dem für die Verarbeitung Verantwortlichen gegenüber in einem Abhängigkeitsverhältnis befindet, das sie hindert, ihre Einwilligung aus freien Stücken zu verwehren.
Dieses Verbot wird aufgehoben, wenn die Verarbeitung bezweckt, der betroffenen Person einen Vorteil zu gewähren.
KAPITEL IV - Bedingungen für die Befreiung von der in Artikel 9 § 2 des Gesetzes erwähnten Informationspflicht Art. 27 - Der Verantwortliche für die Weiterverarbeitung personenbezogener Daten zu historischen, statistischen oder wissenschaftlichen Zwecken, der ausschliesslich verschlüsselte personenbezogene Daten verarbeitet, wird von der in Artikel 9 § 2 des Gesetzes erwähnten Informationspflicht befreit, vorausgesetzt, dass die Bestimmungen von Kapitel II Abschnitt II des vorliegenden Erlasses eingehalten werden.
Art. 28 - Eine Verwaltungsbehörde, die durch oder aufgrund des Gesetzes ausdrücklich beauftragt ist, personenbezogene Daten zu sammeln und zu verschlüsseln und hierbei spezifischen Massnahmen zum Schutz des Privatlebens unterliegt, die durch oder aufgrund des Gesetzes festgelegt sind, ist von der in Artikel 9 § 2 des Gesetzes erwähnten Informationspflicht befreit, wenn sie als Zwischenorganisation auftritt.
Art. 29 - Der für die Verarbeitung Verantwortliche, der - ausser in den in den Artikeln 28 und 29 des vorliegenden Erlasses erwähnten Fällen - eine Befreiung von der in Artikel 9 § 2 des Gesetzes erwähnten Informationspflicht geltend macht, weil diese Inkenntnissetzung sich als unmöglich erweist oder unverhältnismässigen Aufwand erfordert, teilt der betroffenen Person die vorerwähnte Information bei der ersten Kontaktaufnahme mit. Übermittelt der in Absatz 1 erwähnte für die Verarbeitung Verantwortliche personenbezogene Daten einem Dritten, teilt dieser der betroffenen Person bei der ersten Kontaktaufnahme die in Artikel 9 § 2 erwähnte Information mit.
Art. 30 - Der für die Verarbeitung Verantwortliche, der die betroffene Person nicht informieren kann, weil diese Inkenntnissetzung sich als unmöglich erweist oder unverhältnismässigen Aufwand erfordert, rechtfertigt dies in der Erklärung, die er aufgrund von Artikel 17 des Gesetzes dem Ausschuss abgibt.
Der Ausschuss veröffentlicht in dem in Artikel 18 des Gesetzes erwähnten Öffentlichen Register die Liste der für die Verarbeitung Verantwortlichen und vermerkt die Gründe, die die Befreiung rechtfertigen.
KAPITEL V - Ausübung der in den Artikeln 10 und 12 des Gesetzes erwähnten Rechte Art. 31 - Jeder, der seine Identität nachweist, hat das Recht, unter den im Gesetz vorgesehenen Bedingungen die Mitteilung der in Artikel 10 des Gesetzes erwähnten Information zu erhalten, indem er einen unterzeichneten und datierten Antrag vor Ort übergibt oder per Post oder anhand jedes anderen Telekommunikationsmittels an folgende Personen richtet: - entweder den für die Verarbeitung Verantwortlichen oder seinen Vertreter in Belgien oder einen seiner Bevollmächtigten oder Beauftragten, - oder den Auftragsverarbeiter der personenbezogenen Daten, der den Antrag gegebenenfalls an eine der vorerwähnten Personen weiterleitet.
Wird der Antrag vor Ort übergeben, stellt die Person, die den Antrag entgegennimmt, dem Antragsteller sofort eine datierte und unterzeichnete Empfangsbestätigung aus.
Art. 32 - Ersuchen auf Berichtigung, Löschung oder Verbot der Verwendung personenbezogener Daten und Widersetzung aufgrund von Artikel 12 des Gesetzes werden gemäss dem Verfahren und bei den Personen eingereicht, die in Artikel 32 des vorliegenden Erlasses erwähnt sind.
Art. 33 - Werden personenbezogene Daten schriftlich bei der betroffenen Person eingeholt, fragt der für die Verarbeitung Verantwortliche diese Person auf der Unterlage, anhand deren er seine Daten sammelt, ob sie das in Artikel 12 § 1 Absatz 3 des Gesetzes vorgesehene Widersetzungsrecht ausüben möchte.
Werden personenbezogene Daten anders als schriftlich bei der betroffenen Person eingeholt, fragt der für die Verarbeitung Verantwortliche diese Person, ob sie das in Artikel 12 § 1 Absatz 3 des Gesetzes vorgesehene Widerspruchsrecht ausüben möchte, und zwar entweder anhand einer Unterlage, die der für die Verarbeitung Verantwortliche ihr spätestens zwei Monate nach der Sammlung der personenbezogenen Daten übermittelt, oder anhand jedes anderen technischen Mittels, aufgrund dessen nachgewiesen werden kann, dass die betroffene Person die Möglichkeit hatte, das vorerwähnte Recht auszuüben.
Art. 34 - Werden personenbezogene Daten nicht bei der betroffenen Person eingeholt, fragt der für die Verarbeitung Verantwortliche, der Artikel 9 § 2 Buchstabe c) des Gesetzes unterliegt, die betroffene Person schriftlich, ob sie das in Artikel 12 § 1 Absatz 3 des Gesetzes vorgesehene Widersetzungsrecht ausüben möchte.
KAPITEL VI - Ausübung des in Artikel 13 des Gesetzes erwähnten Rechts Art. 35 - Vorliegendes Kapitel legt das Verfahren in Bezug auf Anträge fest, die aufgrund von Artikel 13 des Gesetzes eingereicht werden.
Art. 36 - Die betroffene Person reicht den Antrag anhand eines datierten und unterzeichneten Antrags beim Ausschuss ein. Der Antrag umfasst: Name, Vorname, Geburtsdatum und Staatsangehörigkeit der betroffenen Person, eine Fotokopie des Personalausweises, des Passes oder des damit gleichgesetzten Dokuments.
Der Antrag enthält darüber hinaus folgende Informationen, insofern der Antragsteller darüber verfügt: - Name der betreffenden Behörde oder des betreffenden Dienstes, - alle sachdienlichen Angaben über die beanstandeten Daten, wie Art, Umstände oder Anlass der Kenntnisnahme der beanstandeten Daten, und gegebenenfalls gewünschte Berichtigungen.
Art. 37 - Der Ausschuss kann von der betroffenen Person zusätzliche Auskünfte verlangen, wenn er dies für zweckmässig erachtet.
Art. 38 - Werden die in den Artikeln 37 und 38 des vorliegenden Erlasses erwähnten Informationen nicht erteilt, kann der Antrag für unzulässig angesehen werden.
Art. 39 - Der Antrag ist unzulässig, wenn er innerhalb einer Frist von weniger als einem Jahr nach dem Datum der Absendung der vorherigen Antwort des Ausschusses in Bezug auf dieselben Daten und Dienste eingereicht wird.
Von dieser Frist kann abgewichen werden, wenn die betroffene Person in ihrem Antrag Gründe zur Rechtfertigung dieser Abweichung anführt.
Art. 40 - Wird der Antrag für unzulässig angesehen, wird die betroffene Person per Brief darüber in Kenntnis gesetzt.
In diesem Brief wird vermerkt, dass die betroffene Person auf ihren Antrag hin angehört wird, wobei sie sich gegebenenfalls von ihrem Beistand beistehen lassen kann.
Art. 41 - Die Kontrolle bei dem betreffenden Dienst wird vom Präsidenten des Ausschusses oder von einem beziehungsweise mehreren von ihm bestimmten Mitgliedern vorgenommen.
Die Kontrolle der in Artikel 3 § 5 Nr. 1 des Gesetzes erwähnten Verarbeitungen personenbezogener Daten wird von Magistraten vorgenommen, die der Ausschuss aus seiner Mitte bestimmt.
Der Präsident und die Mitglieder, die die Kontrolle vornehmen, können sich von einem oder mehreren Mitgliedern des Sekretariats des Ausschusses beistehen oder vertreten lassen.
Art. 42 - Im Rahmen der Kontrolle bei dem betreffenden Dienst nimmt der Ausschuss jede Überprüfung vor oder ordnet jede Überprüfung an, die er für zweckmässig erachtet.
Im Rahmen der Kontrolle bei einem Dienst, der in Artikel 3 § 5 des Gesetzes erwähnt ist, kann der Ausschuss Daten berichtigen oder löschen lassen oder Daten einfügen lassen, die sich von den Daten unterscheiden, die der betreffende Dienst verarbeitet. Er kann die Übermittlung von Daten verbieten.
Im Rahmen der Kontrolle bei einem Dienst, der in Artikel 3 § 4 des Gesetzes erwähnt ist, empfiehlt der Ausschuss Massnahmen, die er für zweckmässig erachtet. Er versieht seine Empfehlungen mit Gründen.
Art. 43 - Im Anschluss an diese Überprüfungen setzt der betreffende Dienst den Ausschuss schriftlich vom weiteren Verlauf in Kenntnis.
Art. 44 - Der Ausschuss antwortet innerhalb einer Frist von drei Monaten ab der in Artikel 44 des vorliegenden Erlasses erwähnten Notifizierung per Brief auf den Antrag der betroffenen Person.
Art. 45 - Bezieht sich der Antrag der betroffenen Person auf eine Verarbeitung personenbezogener Daten, die von einem Polizeidienst im Hinblick auf Identitätskontrollen verwaltet wird, teilt der Ausschuss der betroffenen Person mit, dass die notwendigen Überprüfungen vorgenommen worden sind.
Gegebenenfalls erteilt der Ausschuss der betroffenen Person nach Stellungnahme des betreffenden Dienstes alle anderen Informationen, die er für angemessen erachtet.
KAPITEL VII - Erklärung der automatisierten Verarbeitung personenbezogener Daten Abschnitt I - Beiträge, die dem Ausschuss bei der Erklärung zu entrichten sind Art. 46 - Erfolgt die in Artikel 17 des Gesetzes erwähnte Erklärung anhand des Formulars auf Papier, das zu diesem Zweck vom Ausschuss zur Verfügung gestellt wird, wird die Höhe des Beitrags, den der für die Verarbeitung Verantwortliche dem Ausschuss entrichten muss, auf 125 Euro oder 5042 Franken festgelegt für die Erklärung aller Informationen, die der für die Verarbeitung Verantwortliche zum selben Zeitpunkt beim Ausschuss angibt.
Art. 47 - Erfolgt die Erklärung anhand des Magnetträgers, der zu diesem Zweck vom Ausschuss zur Verfügung gestellt wird, wird die Höhe des Beitrags, den der für die Verarbeitung Verantwortliche dem Ausschuss entrichten muss, auf 25 Euro oder 1008 Franken festgelegt für die Erklärung aller Informationen, die der für die Verarbeitung Verantwortliche zum selben Zeitpunkt beim Ausschuss angibt.
Art. 48 - Die Höhe des Beitrags, der dem Ausschuss entrichtet werden muss, wenn derselbe Verantwortliche zum selben Zeitpunkt eine oder mehrere Änderungen der Angaben seiner ursprünglichen Erklärung angibt, wird auf 20 Euro oder 807 Franken festgelegt.
Art. 49 - Der für die Verarbeitung Verantwortliche zahlt die im vorliegenden Abschnitt erwähnten Beiträge anhand der vom Ausschuss zur Verfügung gestellten Unterlagen.
Abschnitt II - Von der Erklärungspflicht befreite Verarbeitungskategorien Art. 50 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die ausschliesslich personenbezogene Daten betreffen, die für die Verwaltung der Löhne der Personen notwendig sind, die bei dem für die Verarbeitung Verantwortlichen angestellt sind oder für ihn arbeiten, insofern diese Daten ausschliesslich für die erwähnte Lohnbuchhaltung verwendet werden, nur berechtigten Empfängern mitgeteilt werden und nicht länger als für die Zwecke der Verarbeitung erforderlich aufbewahrt werden.
Art. 51 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die ausschliesslich die Verwaltung des Personals betreffen, das bei dem für die Verarbeitung Verantwortlichen angestellt ist oder für ihn arbeitet.
Die Verarbeitung darf weder Daten in Bezug auf die Gesundheit der betroffenen Person noch besonders schützenswerte oder gerichtliche Daten im Sinne der Artikel 6 und 8 des Gesetzes noch Daten, die eine Bewertung der betroffenen Person ermöglichen, betreffen.
Die verarbeiteten personenbezogenen Daten dürfen nicht länger als für die Personalverwaltung erforderlich aufbewahrt werden und dürfen Dritten nicht mitgeteilt werden, es sei denn im Rahmen der Anwendung einer Gesetzes- oder Verordnungsbestimmung oder wenn es für die Verwirklichung der Zwecke der Verarbeitung unerlässlich ist.
Art. 52 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die ausschliesslich die Buchhaltung des für die Verarbeitung Verantwortlichen betreffen, insofern diese Daten ausschliesslich für diese Buchhaltung verwendet werden, die Verarbeitung nur Personen betrifft, deren Daten für die Buchhaltung erforderlich sind, und die personenbezogenen Daten nicht länger als für den Zweck der Verarbeitung erforderlich aufbewahrt werden.
Die verarbeiteten personenbezogenen Daten dürfen Dritten nicht mitgeteilt werden, es sei denn im Rahmen der Anwendung einer Gesetzes- oder Verordnungsbestimmung oder wenn die Mitteilung für die Buchhaltung unerlässlich ist.
Art. 53 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die ausschliesslich die Verwaltung von Aktionären und Gesellschaftern betreffen, insofern die Verarbeitung ausschliesslich Daten betrifft, die für diese Verwaltung erforderlich sind, die Daten nur Personen betreffen, deren Daten für diese Verwaltung erforderlich sind, die Daten Dritten nicht mitgeteilt werden, es sei denn im Rahmen der Anwendung einer Gesetzes- oder Verordnungsbestimmung, und die personenbezogenen Daten nicht länger als für die Zwecke der Verarbeitung erforderlich aufbewahrt werden.
Art. 54 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die ausschliesslich die Verwaltung von Kunden oder Lieferanten des für die Verarbeitung Verantwortlichen betreffen.
Die Verarbeitung darf nur potentielle, bestehende oder ehemalige Kunden oder Lieferanten des für die Verarbeitung Verantwortlichen betreffen.
Die Verarbeitung darf weder personenbezogene Daten in Bezug auf die Gesundheit der betroffenen Person noch besonders schützenswerte oder gerichtliche Daten im Sinne der Artikel 6 und 8 des Gesetzes betreffen.
Im Rahmen der Kundenverwaltung darf niemand aufgrund von Informationen Dritter in einer Verarbeitung registriert werden.
Die Daten dürfen nicht länger als für die normale Geschäftsführung des für die Verarbeitung Verantwortlichen erforderlich aufbewahrt werden und dürfen Dritten nicht mitgeteilt werden, es sei denn im Rahmen der Anwendung einer Gesetzes- oder Verordnungsbestimmung oder für die normale Geschäftsführung.
Art. 55 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die von Stiftungen, Vereinigungen oder anderen Einrichtungen ohne Gewinnerzielungsabsicht im Rahmen ihrer gewöhnlichen Tätigkeiten verrichtet werden.
Die Verarbeitung darf nur personenbezogene Daten in Bezug auf eigene Mitglieder, auf Personen, mit denen der für die Verarbeitung Verantwortliche in regelmässigem Kontakt steht, oder auf Gönner der Stiftung, Vereinigung oder Einrichtung betreffen.
Im Rahmen der Verarbeitung darf niemand aufgrund von Informationen Dritter registriert werden. Die verarbeiteten personenbezogenen Daten dürfen nicht länger als für die Verwaltung der Mitglieder, Kontaktpersonen und Gönner erforderlich aufbewahrt werden und dürfen Dritten nicht mitgeteilt werden, es sei denn im Rahmen der Anwendung einer Gesetzes- oder Verordnungsbestimmung.
Art. 56 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen von Identifizierungsdaten, die für die Übermittlung unerlässlich sind und nur verarbeitet werden, um mit der betroffenen Person in Kontakt zu treten, insofern diese Daten Dritten nicht mitgeteilt werden und nicht länger als für den Zweck der Verarbeitung erforderlich aufbewahrt werden.
Absatz 1 des vorliegenden Artikels ist nur anwendbar auf Verarbeitungen personenbezogener Daten, die noch nicht in einer anderen Bestimmung des vorliegenden Erlasses erwähnt sind.
Art. 57 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die ausschliesslich die im Rahmen einer Zugangskontrolle erfolgte Registrierung von Besuchern betreffen, insofern sich die verarbeiteten Daten auf Name und Berufsadresse des Besuchers, Identifizierung seines Arbeitgebers, Identifizierung seines Fahrzeugs, Name, Abteilung und Funktion der besuchten Person und Tag und Uhrzeit des Besuchs beschränken.
Die verarbeiteten personenbezogenen Daten dürfen nur für die Zugangskontrolle verwendet werden und dürfen nicht länger als für diesen Zweck erforderlich aufbewahrt werden.
Art. 58 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die von Unterrichtsanstalten vorgenommen werden, um ihre Beziehungen zu ihren Schülern oder Studenten zu regeln.
Die Verarbeitung betrifft ausschliesslich personenbezogene Daten potentieller, jetziger oder ehemaliger Schüler oder Studenten der betreffenden Unterrichtsanstalt.
Im Rahmen der Verarbeitung darf niemand aufgrund von Informationen Dritter registriert werden. Die verarbeiteten personenbezogenen Daten dürfen Dritten nicht mitgeteilt werden, es sei denn im Rahmen der Anwendung einer Gesetzes- oder Verordnungsbestimmung, und dürfen nicht länger als für die Regelung der Beziehungen zu den Schülern oder Studenten erforderlich aufbewahrt werden.
Art. 59 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen, die von den Gemeinden gemäss dem Gesetz vom 19. Juli 1991 über die Bevölkerungsregister und die Personalausweise und zur Abänderung des Gesetzes vom 8. August 1983 zur Organisation eines Nationalregisters der natürlichen Personen, gemäss den Wahlvorschriften und gemäss den Gesetzesbestimmungen über die Personenstandsregister vorgenommen werden.
Art. 60 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die von Verwaltungsbehörden vorgenommen werden, wenn die Verarbeitung besonderen Vorschriften unterliegt, die durch oder aufgrund des Gesetzes angenommen worden sind und die Einsichtnahme, Gebrauch und Erhalt der verarbeiteten Daten regeln.
Art. 61 - Mit Ausnahme der Paragraphen 4 und 8 sind die Bestimmungen von Artikel 17 des Gesetzes nicht anwendbar auf Verarbeitungen personenbezogener Daten, die von den in den Artikeln 1 und 2 Absatz 1 Nr. 2 des Gesetzes vom 15. Januar 1990 über die Errichtung und Organisation einer Zentralen Datenbank der sozialen Sicherheit erwähnten Einrichtungen für soziale Sicherheit verwaltet werden und die die Anwendung der sozialen Sicherheit zum Ziel haben, vorausgesetzt dass diese Einrichtungen für diese Verarbeitungen die Bestimmungen des vorerwähnten Gesetzes und seiner Ausführungserlasse einhalten.
Die in Artikel 46 Absatz 1 Nr. 6bis des Gesetzes vom 15. Januar 1990 über die Errichtung und Organisation einer Zentralen Datenbank der sozialen Sicherheit erwähnte Liste wird dem Ausschuss für den Schutz des Privatlebens von der Zentralen Datenbank zur Verfügung gestellt gemäss Modalitäten, die in gegenseitigem Einvernehmen von den beiden Gremien festgelegt werden.
Der Ausschuss für den Schutz des Privatlebens schreibt auf der Grundlage dieser Liste das in Artikel 18 des Gesetzes erwähnte öffentliche Register der automatisierten Verarbeitungen personenbezogener Daten fort.
KAPITEL VIII - Öffentliches Register der automatisierten Verarbeitungen personenbezogener Daten Art. 62 - Das in Artikel 18 des Gesetzes erwähnte öffentliche Register der automatisierten Verarbeitungen personenbezogener Daten, nachstehend öffentliches Register genannt, ist der Öffentlichkeit gemäss folgenden Modalitäten zugänglich: a) direkte Ferneinsichtnahme anhand von Telekommunikationsmitteln, b) direkte Einsichtnahme vor Ort in den vom Ausschuss zu diesem Zweck bestimmten Räumlichkeiten, c) indirekte Einsichtnahme durch einen an den Ausschuss gerichteten Antrag auf Erhalt eines Auszugs. Art. 63 - Für direkte Ferneinsichtnahmen stellt der Ausschuss eine Kopie des öffentlichen Registers auf einem über das Internet zugänglichen Server zur Verfügung.
Neben der in Absatz 1 beschriebenen Zugangsform kann der Ausschuss andere Möglichkeiten der Einsichtnahme vorschlagen.
Art. 64 - Für direkte Einsichtnahmen vor Ort stellt der Ausschuss während der gewöhnlichen Öffnungszeiten die notwendigen Räumlichkeiten und einen Computer mit entsprechender Software zur Verfügung der Personen, die vorstellig werden, um das öffentliche Register einzusehen.
Art. 65 - Jeder kann beim Ausschuss vorstellig werden oder diesem einen schriftlichen Antrag zukommen lassen, um einen Auszug aus dem öffentlichen Register zu erhalten.
Der schriftliche oder mündliche Antrag auf Erhalt eines Auszugs muss mindestens eine der folgenden Auskünfte enthalten: 1. Kennnummer oder Bezeichnung der Verarbeitung beziehungsweise der Verarbeitungen, auf die sich dieser Auszug bezieht, 2.vollständiger oder abgekürzter Name des beziehungsweise der für die Verarbeitung Verantwortlichen, die in dem beantragten Auszug vermerkt werden müssen, 3. bei schriftlichen Anträgen, die per Post zugeschickt werden, die Adresse, an die der Auszug gesendet werden muss. Art. 66 - Betrifft der beantragte Auszug aus dem öffentlichen Register mehr als zehn Verarbeitungen und mehrere für die Verarbeitung Verantwortliche oder mehr als hundert Verarbeitungen desselben für die Verarbeitung Verantwortlichen, kann der Ausschuss einen vereinfachten Auszug ausstellen, in dem Kennnummer, Bezeichnung und Gegenstand jeder Verarbeitung und Kennnummer, Name und Gemeinde mit Postleitzahl jedes für die Verarbeitung Verantwortlichen vermerkt sind.
In dem in Absatz 1 erwähnten Fall setzt der Ausschuss den Antragsteller von dessen Recht, das öffentliche Register direkt einzusehen, und von den Modalitäten in Kenntnis, gemäss denen dieses Recht ausgeübt werden kann.
Art. 67 - Das Einsehen des öffentlichen Registers ist kostenlos.
Art. 68 - Niemand kann verpflichtet werden, dem Ausschuss die Gründe für die Einsichtnahme mitzuteilen, ungeachtet ob es sich um eine direkte oder indirekte Einsichtnahme handelt.
KAPITEL IX - Schlussbestimmungen Art. 69 - Alle Bestimmungen des Gesetzes vom 11. Dezember 1998 treten am ersten Tag des sechsten Monats nach dem Monat der Veröffentlichung des vorliegenden Erlasses im Belgischen Staatsblatt in Kraft.
Ab demselben Tag müssen die für die Verarbeitung Verantwortlichen für alle bestehenden und künftigen Verarbeitungen personenbezogener Daten die Bestimmungen des Gesetzes vom 11. Dezember 1998 einhalten.
Art. 70 - Für die in Artikel 17 § 7 des Gesetzes erwähnten Erklärungen, die vor dem Datum des In-Kraft-Tretens des vorliegenden Erlasses abgegeben werden, wird davon ausgegangen, dass sie den Bestimmungen des Gesetzes und des vorliegenden Erlasses entsprechen. Ändern Informationen der in Absatz 1 erwähnten Erklärung, gibt gemäss den Bestimmungen des Gesetzes und des vorliegenden Erlasses der für die Verarbeitung Verantwortliche eine Erklärung im Sinne von Artikel 17 § 7 des Gesetzes ab.
Art. 71 - Folgende Königliche Erlasse werden aufgehoben: 1. Königlicher Erlass Nr.1 vom 28. Februar 1993 zur Festlegung des Datums des In-Kraft-Tretens der Bestimmungen des Gesetzes vom 8.
Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten, 2. Königlicher Erlass Nr.2 vom 28. Februar 1993 zur Festlegung der Frist, innerhalb deren der Dateiverwalter den Bestimmungen des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten für Verarbeitungen nachkommen muss, die am Datum des In-Kraft-Tretens dieser Bestimmungen bestehen, 3. Königlicher Erlass vom 12.August 1993 zur Ausführung von Artikel 11 Nr. 4 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten, 4. Königlicher Erlass Nr.3 vom 7. September 1993 zur Bestimmung der Personen, bei denen der aufgrund von Artikel 10 des Gesetzes vom 8.
Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten gestellte Antrag auf Mitteilung personenbezogener Daten eingereicht werden muss, 5. Königlicher Erlass Nr.4 vom 7. September 1993 zur Festlegung der Höhe, der Bedingungen und der Modalitäten der Zahlung der vorab an den Dateiverwalter zu entrichtenden Gebühr bei der Ausübung des Rechts auf Mitteilung personenbezogener Daten gemäss Artikel 10 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten, 6.Königlicher Erlass Nr. 5 vom 7. September 1993 zur Bestimmung der Personen, bei denen der aufgrund von Artikel 12 des Gesetzes vom 8.
Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten gestellte Antrag auf Berichtigung, Löschung oder Verbot der Verwendung personenbezogener Daten eingereicht werden muss, 7. Königlicher Erlass Nr.8 vom 7. Februar 1995 zur Festlegung der Zwecke, Kriterien und Bedingungen der erlaubten Verarbeitungen der in Artikel 8 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten erwähnten Daten, abgeändert durch den Königlichen Erlass Nr. 17 vom 21. November 1996, 8.Königlicher Erlass Nr. 9 vom 7. Februar 1995 zur Gewährung von Befreiungen von der Anwendung von Artikel 9 des Gesetzes vom 8.
Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten und zur Festlegung eines Verfahrens zur kollektiven Information der von bestimmten Verarbeitungen betroffenen Personen, abgeändert durch den Königlichen Erlass Nr. 15 vom 12. März 1996, 9. Königlicher Erlass Nr.12 vom 7. März 1995 zur Festlegung des Beitrags, der dem Ausschuss für den Schutz des Privatlebens bei der Erklärung der Verarbeitungen personenbezogener Daten entrichtet werden muss, abgeändert durch den Königlichen Erlass Nr. 12bis vom 12. März 1996, 10. Königlicher Erlass Nr.13 vom 12. März 1996 zur Gewährung einer bedingten Befreiung von der Erklärungspflicht für bestimmte Kategorien automatisierter Verarbeitungen personenbezogener Daten, die offensichtlich keine Gefahr eines Eingriffs in das Privatleben darstellen, abgeändert durch den Königlichen Erlass vom 18. April 1996, 11. Königlicher Erlass Nr.14 vom 22. Mai 1996 zur Festlegung der Zwecke, Kriterien und Bedingungen der erlaubten Verarbeitungen der in Artikel 6 des Gesetzes vom 8. Dezember 1992 über den Schutz des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten erwähnten Daten.
Art. 72 - Vorliegender Erlass tritt am ersten Tag des sechsten Monats nach dem Monat seiner Veröffentlichung im Belgischen Staatsblatt in Kraft.
Art. 73 - Unser Minister der Justiz ist mit der Ausführung des vorliegenden Erlasses beauftragt.
Gegeben zu Brüssel, den 13. Februar 2001 ALBERT Von Königs wegen: Der Minister der Justiz M. VERWILGHEN Vu pour être annexé à Notre arrêté du 21 décembre 2001.
ALBERT Par le Roi : Le Ministre de l'Intérieur, A. DUQUESNE