Die Richtlinie der Europäischen Gemeinschaft zum Datenschutz von 2001 trat am 01.04.2002 in Irland in Kraft. Diese Regelung stellt den ersten Schritt Irlands zur Implementierung der EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr von 1995, 95/46/EG, dar.

Die neu eingeführten Regelungen führten zu einigen Änderungen am Data Protection Act, 1988.

• Nach dem Data Protection Act, 1988 waren Personen, die Umgang mit Daten hatten in der Pflicht, mit allen Mitteln sicherzustellen, dass niemand ohne Berechtigung Zugriff auf Daten erhalten bzw. diese ändern, löschen oder zerstören konnte. Dies sicherzustellen wurde immer schwieriger, da immer mehr Daten durch elektronische Medien übertragen wurden. Die neue Regelung erlaubt, die Kosten für Sicherheitsmaßnahmen und die verfügbare Technik gegen die Art und den Wert der betreffenden Daten und den Schaden, der durch Missbrauch entstehen könnte, abzuwägen. Dies hebt die Ver-pflichtung, riesige Summen für den Schutz geringwertiger Daten auszugeben, auf.
  
  
• Es ist jetzt schwieriger, den Transfer von Daten in Länder außerhalb der der europäischen Handelszone zu verbieten. Wenn das Land, in das Daten versandt werden sollen, einen angemessenen Level von Datenschutz gemäß den Richtlinien der europäischen Union bietet, kann die zuständige Daten-schutzbehörde den Transfer nicht verbieten. Darüber hinaus werden US-Gesellschaften, die die US Save Harbour Richtlinien erfüllen, so behandelt, als hätten sie einen ausreichenden Datenschutzlevel. Wenn die Datenschutz-behörde einen Datentransfer verbieten will, muss sie den Schaden, der durch den Transfer entstehen kann gegen den Nutzen, den die Vereinfachung des internationalen Datentransfers hat, abwägen. Sie kann hierfür auch andere Faktoren mit einbeziehen, wie die Art oder den Empfänger der Daten.
  
  
• Es findet keine Einschränkung des Datentransfers in Länder außerhalb der europäischen Handelszone statt, wenn die Person, die die Daten betreffen, ihre Einwilligung gegeben hat oder der Transfer notwendig für die Durchführung oder den Abschluss eines Vertrages zwischen den Parteien ist.
  
  
• Wenn ein Datenbeauftragter den Auftrag erhält, eine Dienstleistung im Zu-sammenhang mit der Datenverarbeitung im Namen eines Vertreters oder eines anderen Datenverarbeiters durchzuführen, muss zwischen diesen ein Vertrag in schriftlicher oder einer entsprechenden Form vorliegen, der in angemessener Weise Fragen der Sicherheit, Geheimhaltung und anderen Datenschutzaspekten behandelt.

Diese Regelungen beachten die Änderungen, die sich in der Weltwirtschaft und dem Fortschritt der Technologie ergeben haben, seit der Data Protection Act, 1988 eingeführt wurde. Es wird erwartet, dass der Rest der Richtlinie durch die Data Protection (Amendment) Bill, 2002 eingeführt wird.

April 2002

Duncan Grehan & Partners