Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten

Einführung

Nach Artikel 25 Absatz 2 der Datenschutzrichtlinie (95/46/EG) ist das von einem Drittland gebotene Niveau des Datenschutzes unter Berücksichtigung aller Umstände zu beurteilen, die bei einer Datenübermittlung oder einer Reihe derartiger Übermittlungen eine Rolle spielen. Insbesondere wird nicht nur auf Rechtsvorschriften Bezug genommen, sondern auch auf "Standesregeln und Sicherheitsmaßnahmen, die in diesem Land gelten."

Dem Wortlaut der Richtlinie zufolge sind in dem betreffenden Drittland möglicherweise geltende außergesetzliche Regeln zu berücksichtigen, vorausgesetzt, daß diese Regeln erfüllt werden. In diesem Rahmen ist die Rolle der Selbstkontrolle der Wirtschaft zu betrachten.

Was ist Selbstkontrolle?

Der Begriff "Selbstkontrolle" kann für verschiedene Personen unterschiedliche Bedeutung haben. Für die Zwecke dieser Unterlage beinhaltet der selbstregulierende Kodex (oder jedes andere Instrument) jedes Set von Datenschutzbestimmungen, die auf eine Vielzahl von für die Verarbeitung Verantwortlichen in einer Berufsgruppe oder einem Wirtschaftsbereich Anwendung finden und deren Inhalt ursprünglich von Angehörigen des betreffenden Wirtschaftszweiges oder der betreffenden Berufsgruppe festgelegt wurde.

Diese breite Definition würde sowohl den freiwilligen Datenschutzkodex am einen Ende der Skala umfassen, der von einem kleinen Wirtschaftsverband mit nur wenigen Mitgliedern entwickelt wurde, als auch den detaillierten Kodex der Standesregeln am anderen Ende, die für ganze Berufsgruppen wie Ärzte und Bankiers gelten und die oft fast gerichtliche Kraft haben.

Ist das für den Kodex verantwortliche Gremium repräsentativ für den Sektor?

Wie aus dieser Arbeitsunterlage hervorgeht, ist ein wichtiges Kriterium für die Beurteilung des Wertes eines Kodexes das Ausmaß, in dem seine Regeln durchgesetzt werden können. In diesem Zusammenhang ist die Frage, ob der für den Kodex zuständige Verband oder das zuständige Gremium alle Wirtschaftsteilnehmer in einem Sektor repräsentieren oder nur einen kleinen Prozentsatz von ihnen, wahrscheinlich von geringerer Bedeutung als die Stärke des Verbands im Hinblick auf seine Fähigkeit, beispielsweise seinen Mitgliedern wegen Nichterfüllung des Kodexes Sanktionen aufzuerlegen. Daneben gibt es allerdings einige Gründe, die industrie- oder berufsweite Kodexe mit klar abgegrenztem Geltungsbereich zu sehr viel nützlicheren Schutzinstrumenten machen als die, die von kleinen Unternehmensgruppierungen innerhalb von Wirtschaftssektoren entwickelt werden. Zunächst ist es eine Tatsache, daß aus der Sicht des Verbrauchers eine aufgespaltene und durch einige rivalisierende Verbände, mit jeweils eigenem Datenschutzkodex, gekennzeichnete Wirtschaft verwirrend ist. Die Koexistenz einiger unterschiedlicher Kodexe schafft ein allgemeines Bild, dem es für die betroffene Person an Transparenz fehlt. Außerdem können sich insbesondere in Wirtschaftsbereichen wie dem Direktmarketing, in denen regelmäßig personenbezogene Daten zwischen verschiedenen Unternehmen des selben Sektors ausgetauscht werden,- Situationen ergeben, in denen das Unternehmen, das die personenbezogenen Daten bekannt gibt, nicht dem selben Datenschutzkodex unterliegt wie das Unternehmen, das die Daten erhält. Dies ist eine Quelle beträchtlicher Ambiguität im Hinblick auf die Art der anzuwendenden Regeln und dürfte auch die Prüfung und Bearbeitung von Beschwerden einzelner betroffener Personen außerordentlich erschweren.

Beurteilung der Selbstkontrolle - der Ansatz

Wegen der Vielfalt der Instrumente, die unter den Begriff der Selbstkontrolle fallen, ist klar, daß zwischen den verschiedenen Formen der Selbstkontrolle je nach ihrer tatsächlichen Auswirkung auf das Niveau des Datenschutzes bei der Übermittlung personenbezogener Daten in ein Drittland zu differenzieren ist.

Ausgangspunkt für die Bewertung jedes spezifischen Pakets von Datenschutzregeln (unabhängig davon, ob sie als Selbstkontrolle oder Regelung eingestuft sind) muß der in der Diskussionsgrundlage "Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer- mögliche Ansätze für eine Bewertung der Angemessenheit" dargelegte allgemeine Ansatz sein. Grundstein dieses Ansatzes ist eine Prüfung nicht nur des Inhalts des Instruments (es sollte eine Reihe wesentlicher Grundsätze enthalten), sondern auch seine Effizienz im Hinblick auf:

• eine gute allgemeine Befolgungsrate
• Unterstützung und Hilfe für einzelne betroffene Personen
• Angemessene Entschädigung (einschließlich ggf. Ausgleich).

Beurteilung des Inhalts eines Instruments der Selbstkontrolle

Dies ist eine relativ leichte Aufgabe. Es geht darum, sicherzustellen, daß die erforderlichen, in den "ersten Leitlinien" dargelegten inhaltlichen Grundsätze erfüllt sind (siehe beigefügte Auszüge). Das ist eine objektive Beurteilung. Die Frage ist, was der Kodex enthält, und nicht, wie er erstellt wurde. Die Tatsache, daß ein Wirtschaftszweig oder eine Berufsgruppe selbst die wichtigste Rolle bei der Ausarbeitung des Inhalts des Kodexes gespielt haben, ist an sich nicht relevant, obwohl es natürlich wahrscheinlicher ist, daß der Kodex die erforderlichen wesentlichen Grundsätze des Datenschutzes

genauer wiedergibt, wenn die Meinungen der betroffenen Personen und der Verbraucherorganisationen bei seiner Ausarbeitung berücksichtigt wurden.

Die Transparenz des Kodexes ist ein Schlüsselelement; insbesondere sollte der Kodex in allgemein verständlicher Sprache abgefaßt sein und konkrete Beispiele enthalten, die seine Bestimmungen veranschaulichen. Darüber hinaus sollte der Kodex die Offenlegung von Daten nicht angeschlossener Unternehmen verbieten, die nicht unter den Kodex fallen, wenn keine anderen angemessenen Schutzmaßnahmen vorgesehen sind.

Beurteilung der Effizienz eines Instruments der Selbstkontrolle

Die Bewertung der Effizienz eines einzelnen Selbstkontrollekodexes oder- instruments ist ein schwierigeres Unterfangen, das die Kenntnis der Mittel und Wege voraussetzt, durch die sichergestellt wird, daß man sich dem Kodex verpflichtet, und mit denen Probleme der Nichtbefolgung behandelt werden. Alle drei funktionellen Kriterien für die Beurteilung der Effizienz des Schutzes müssen erfüllt sein, wenn ein Kodex der Selbstkontrolle bei der Bewertung der Angemessenheit des Schutzes berücksichtigt werden soll.

Gutes Befolgungsniveau

Ein Wirtschafts- oder Standeskodex wird normalerweise von einem repräsentativen Gremium des betreffenden Wirtschaftszweigs oder der betreffenden Berufsgruppe erstellt und gilt dann für die Mitglieder dieses speziellen repräsentativen Gremiums. Das Niveau der Einhaltung des Kodexes wird wahrscheinlich vom Bewußtseinsgrad seiner Existenz und seines Inhaltes unter den Mitgliedern, den zur Sicherstellung der Transparenz des Kodexes für die Verbraucher ergriffenen Schritten, mit denen ermöglicht werden soll, daß die Marktkräfte einen wirksamen Beitrag leisten, der Existenz eines Systems der externen Überprüfung (wie dem Erfordernis einer Überprüfung in regelmäßigen Abständen) und ,was vielleicht am wichtigsten ist, der Art und Durchsetzung von Sanktionen im Fall der Nichtbefolgung abhängen.

Wichtige Fragen sind deshalb:

• welche Bemühungen des repräsentativen Gremiums sind erforderlich, um sicherzustellen, daß seine Mitglieder den Kodex kennen?
• fordert das repräsentative Gremium von seinen Mitgliedern Nachweise darüber, daß sie die Bestimmungen des Kodexes umgesetzt haben? Wie oft?
• ist ein solcher Nachweis von den angeschlossenen Unternehmen selbst vorgesehen oder kommt er von außen (bspw. von einem akkreditierten Wirtschaftsprüfer)?
• untersucht das repräsentative Gremium mutmaßliche oder vermutete Verstöße gegen den Kodex?
• ist die Einhaltung des Kodexes eine Voraussetzung für die Mitgliedschaft des repräsentativen Gremiums oder ist sie rein "freiwillig"?
• welche Formen disziplinarischer Maßnahmen stehen dem repräsentativen Gremium zur Verfügung (Ausschluß o.a.), wenn ein Mitglied nachweislich gegen den Kodex verstoßen hat?
• kann eine Person oder ein Unternehmen in der betreffenden Berufsgruppe oder dem betreffenden Wirtschaftszweig auch nach Ausschluß aus dem repräsentativen Gremium weiter arbeiten?
• ist die Erfüllung des Kodexes mit anderen Mitteln durchsetzbar, beispielsweise auf gerichtlichem Wege oder durch ein spezielles Gericht? Standesrechtliche Kodexe haben in einigen Ländern Gesetzeskraft.Unter bestimmten Umständen kann es auch möglich sein, allgemeine Gesetze im Zusammenhang mit fairen Handelspraktiken oder lauterem Wettbewerb für die Durchsetzung der Wirtschaftskodexe einzusetzen.

Bei der Prüfung der vorhandenen Sanktionsarten ist es wichtig, zwischen einer "heilenden'" Sanktion zu unterscheiden, die im Fall der Nichterfüllung von einem für die Verarbeitung Verantwortlichen lediglich fordert, seine Praktiken dahingehend zu ändern, daß sie dem Kodex entsprechen, und einer Sanktion, die weitergeht und den für die Verarbeitung Verantwortlichen für die Nichterfüllung tatsächlich bestraft. Nur diese zweite Kategorie der "Straf'maßnahme, wirkt sich tatsächlich auf das künftige Verhalten der für die Verarbeitung Verantwortlichen aus, indem sie einen Anreiz für die Erfüllung des Kodex bietet. Das Fehlen wirklich abschreckender Strafmaßnahmen ist deshalb eine größere Schwäche eines Kodexes. Ohne derartige Sanktionen ist schwer zu sehen, wie ein gutes Niveau allgemeiner Erfüllung erreicht werden kann, ohne ein striktes System externer Überprüfung (wie eine öffentliche oder private Behörde, die für die Intervention im Fall der Nichterfüllung des Kodexes zuständig ist, oder eine zwingende Vorschrift für eine regelmäßige externe Prüfung).

Unterstützung und Hilfe für einzelne betroffene Personen

Ein wichtiges Erfordernis eines angemessenen. wirksamen Datenschutzsystems ist, daß ein Einzelner angesichts eines Problems im Hinblick auf seine/ ihre personenbezogenen Daten nicht allein gelassen wird, sondern institutionelle Hilfe erhält, um die Schwierigkeiten zu beheben. Diese institutionelle Unterstützung sollte idealerweise neutral, unabhängig und mit den erforderlichen Befugnissen für die Prüfung jeder Beschwerde einer betroffenen Person ausgestattet sein. Relevante Fragen für eine Selbstkontrolle in diesem Zusammenhang sind:

• existiert ein System, das die Prüfung von Beschwerden einzelner betroffener Personen ermöglicht?
• wie erhalten betroffene Personen Kenntnis von diesem System und den Entscheidungen in Einzelfällen?
• entstehen irgendwelche Kosten für die betroffene Person?
• wer führt die Prüfung durch? Sind die Prüfer mit den erforderlichen Befugnissen ausgestattet?
• wer entscheidet über eine mutmaßliche Verletzung des Kodexes? Sind diese Personen unabhängig und neutral?

Angemessene Entschädigung

Wenn nachweislich gegen den Selbstkontrollkodex verstoßen wurde, sollte die betroffene Person eine Entschädigung erhalten. Diese Entschädigung muß das Problem richtigstellen (beispielsweise alle nicht zutreffenden Daten löschen, sicherstellen, daß die Verarbeitung für unvereinbarte Zweckbestimmungen aufhört) und, wenn der betroffenen Person Schaden entstanden ist, die Zahlung einer angemessenen Entschädigung vorsehen. Dabei ist zu berücksichtigen, daß "Schaden" im Sinne der Datenschutzrichtlinie nicht nur materiellen Schaden und finanziellen Verlust einschließt, sondern darunter auch jeglicher psychischer und moralischer Schaden fällt (im UK- und US- Recht als "distress" bekannt).

Viele der Fragen im Hinblick auf die oben im Abschnitt "gute Befolgungsrate" aufgelisteten Sanktionen sind hier von Bedeutung. Wie vorher dargelegt wurde, haben Sanktionen eine doppelte Funktion: den Täter zu bestrafen (und somit die Einhaltung der Regeln durch den Täter und andere zu fördern) und einen Verstoß gegen die Bestimmungen abzustellen. Hier geht es hauptsächlich um die zweite Funktion. Zusätzliche Fragen wären deshalb:

• läßt sich überprüfen, ob ein Mitglied, das nachweislich gegen den Kodex verstoßen hat, seine Praktiken geändert und das Problem beseitigt hat?
• können Personen nach dem Kodex einen Ausgleich erhalten, und wie?
• ist der Verstoß gegen den Kodex einem Vertragsverstoß gleichzusetzen oder auf dem Wege des öffentlichen Rechts geltend zu machen ( beispielsweise Verbraucherschutz, unlauterer Wettbewerb),und kann das zuständige Gericht auf dieser Grundlage zu Leistung von Schadenersatz verurteilen?

Schlußfolgerungen

• Selbstkontrolle sollte unter Verwendung des objektiven, funktionellen Ansatzes beurteilt werden, der in dem Dokument "Erste Leitlinien" dargelegt wurde.
• Ein Instrument der Selbstkontrolle, das als wirksamer Bestandteil eines "angemessenen Schutzes" anzusehen ist, muß für alle Mitglieder bindend sein, deren personenbezogene Daten übermittelt werden, und angemessenen Schutz vorsehen, wenn die Daten an Nichtmitglieder weitergeleitet werden.
• Das Instrument muß transparent sein und den grundlegenden Inhalt der Datenschutzgrundsätze enthalten.
• Das Instrument muß über Mechanismen verfügen, die ein gutes allgemeines Befolgungsniveau wirksam gewährleisten. Ein System abschreckender Strafmaßnahmen ist eine Möglichkeit, dies zu erreichen. Zwingende externe Prüfungen sind ein weiteres Mittel.
• Das Instrument muß Unterstützung und Hilfe für einzelne betroffene Personen bieten, die ein Problem im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten haben. Ein leicht zugängliches, neutrales und unabhängiges Gremium zur Anhörung von Beschwerden betroffener Personen und zur Schlichtung bei Verstößen gegen den Kodex muß deshalb eingerichtet werden.
• Das Instrument muß eine angemessene Entschädigung im Fall der Nichtbefolgung gewährleisten. Eine betroffene Person muß eine Beseitigung ihres Problems erreichen und ggf. einen Ausgleich erhalten können.