Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten
ARBEITSUNTERLAGE:
|
|||||||||||||||||||
Ziel diese Arbeitsunterlage ist es, die bislang geleistete Arbeit der nach Artikel 29 der Datenschutzrichtlinie eingesetzten Arbeitsgruppe von EU- Datenschutzbeauftragten
In Artikel 25 Absatz 1 ist der Grundsatz aufgeführt, daß die Mitgliedstaaten die Übermittlung in ein Drittland nur gestatten, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet. In Absatz 2 wird darauf verwiesen, daß "die Angemessenheit ... unter Berücksichtigung aller Umstände beurteilt" wird. Nach Absatz 6 kann die Kommission feststellen, daß bestimmte Länder ein angemessenes Schutzniveau gewährleisten. Kapitel 1 dieses Papiers ist dieser zentralen Frage des angemessenen Schutzniveaus gewidmet. Zunächst wird erklärt, was unter "angemessen" zu verstehen ist, und danach ein Rahmen für die Frage vorgestellt, wie die Angemessenheit des Schutzes im konkreten Fall beurteilt werden kann. In Kapitel 2 und 3 wird dieser Ansatz weiterverfolgt. Kapitel 2 beschäftigt sich mit Übermittlungen in Länder, die das Übereinkommen Nr.108 des Europarates ratifiziert haben, während Kapitel 3 Fragen im Zusammenhang mit Übermittlungen behandelt, bei denen der Schutz personenbezogener Daten hauptsächlich oder vollständig über Mechanismen der freiwilligen Selbstkontrolle und nicht auf gesetzlichem Wege erfolgt. Fehlt das angemessene Schutzniveau im Sinne von Artikel 25 Absatz 2, so ist in Artikel 26 Absatz 2 der Richtlinie die Möglichkeit von Ad-hoc-Maßnahmen vorgesehen, die insbesondere vertraglicher Art sein und zur Festlegung angemessener Garantien führen können, auf deren Basis die betreffende Übermittlung erfolgen kann. In Kapitel 4 des vorliegenden Beitrags werden die Umstände geprüft, unter denen vertragliche Lösungen geeignet erscheinen, und Empfehlungen zur möglichen Form und zum Inhalt dieser Lösungen gegeben. Kapitel 5 beschäftigt sich mit der dritten und letzten Situation, die in der Richtlinie vorgesehen ist, d.h. bestimmten Fällen nach Artikel 26 Absatz 1, in denen vom Erfordernis des "angemessenen Schutzniveaus" praktisch abgewichen werden kann. Der genaue Umfang dieser Ausnahmen wird unter Zuhilfenahme von Beispielen von Fällen geprüft, in denen diese Möglichkeit genutzt werden kann bzw. dies nicht möglich erscheint. Im abschließenden Kapitel 6 finden sich Bemerkungen zu Verfahrensfragen, die sich in Verbindung mit der Beurteilung der Angemessenheit (bzw. des Mangels an Angemessenheit) des Schutzniveaus und der Erzielung eines gemeinschaftsweit einheitlichen Ansatzes zu diesen Fragen ergeben. Als Anhang sind mehrere anschauliche Fallstudien beigefügt, mit denen demonstriert werden soll, wie der im vorliegenden Dokument beschriebene Ansatz in der Praxis umgesetzt werden könnte.
Was ist ein "angemessenes Schutzniveau"? Sinn und Zweck des Datenschutzes ist es, Personen, deren Daten verarbeitet werden, Schutz zu gewährleisten. Erreicht wird dies durch eine Kombination von dem Betroffenen eingeräumten Rechten und bestimmten Pflichten für die Stellen, bei denen die Daten verarbeitet werden oder in deren Zuständigkeit die Verarbeitung der Daten fällt. Die in der Richtlinie 95/46/EG verankerten Pflichten und Rechte orientieren sich an den Festlegungen des Übereinkommens Nr.108 des Europarates, die sich wiederum kaum von den diesbezüglichen Leitlinien der OECD (1980) oder der UNO (1990) unterscheiden. Dementsprechend kann davon ausgegangen werden, daß zum Inhalt von Datenschutzvorschriften weitgehend Einigkeit besteht, die weit über die fünfzehn Mitgliedstaaten der Gemeinschaft hinausgeht. Mit Datenschutzvorschriften werden die Rechte des Einzelnen aber nur dann geschützt, wenn sie auch in die Praxis umgesetzt werden. Daher ist nicht nur der Inhalt der für die Übermittlung personenbezogener Daten in Drittländer geltenden Vorschriften, sondern auch das System zu betrachten, mit dem die Durchsetzung der Regeln gesichert werden soll. In Europa ist es bislang so, daß die Datenschutzvorschriften gesetzlich festgeschrieben werden und bei Nichteinhaltung Strafen auferlegt werden können bzw. dem einzelnen das Recht auf Wiedergutmachung eingeräumt wird. Darüber hinaus sind in derartigen Gesetzen zusätzliche verfahrensrechtliche Mechanismen wie die Einrichtung von Kontrollstellen vorgesehen, denen Überwachungsaufgaben und die Verfolgung von Beschwerden obliegen. Die Verfahrensaspekte spiegeln sich auch in der Richtlinie 95/46/EG wider, die Bestimmungen über Haftung, Sanktionen, Rechtsbehelfe, Kontrollstellen und Meldung bei der Kontrollstelle enthält. Außerhalb der Gemeinschaft sind derartige verfahrensrechtliche Mittel zur Sicherung der Einhaltung der Datenschutzvorschriften weniger üblich. Die Parteien des Übereinkommens Nr.108 sind zur gesetzlichen Verankerung der Grundsätze des Datenschutzes verpflichtet, doch sind zusätzliche Mechanismen wie eine Kontrollstelle nicht vorgesehen. In den OECDLeitlinien wird lediglich "ihre Berücksichtigung" in der Landesgesetzgebung angemahnt, und es fehlen verfahrensrechtliche Mittel, mit denen gesichert würde, daß die Leitlinien tatsächlich zu einem wirksamen Schutz des Einzelnen führen. In den später verabschiedeten Leitlinien der UNO sind andererseits Bestimmungen über Kontrolle und Sanktionen enthalten, was zeigt, daß sich weltweit die Erkenntnis durchsetzt, daß auf die ordnungsgemäße Umsetzung von Datenschutzvorschriften nicht verzichtet werden kann. Vor diesem Hintergrund wird deutlich, daß die Analyse des angemessenen Schutzniveaus ohne die Einbeziehung der beiden folgenden Grundelemente sinnlos ist: Inhalt der geltenden Vorschriften und Mittel zur Sicherung ihrer wirksamen Anwendung. Geht man von der Richtlinie 95/46/EG aus und berücksichtigt dabei die Bestimmungen weiterer internationaler Dokumente zum Datenschutz, so sollte es möglich sein, für den Datenschutz einen "Kern" von "inhaltlichen" Grundsätzen und "verfahrensrechtlichen" bzw. mit der "Durchsetzung im Zusammenhang stehenden" Erfordernissen herauszuarbeiten, deren Einhaltung als Mindestanforderung an eine Situation gilt, in der von einem angemessenen Schutzniveau gesprochen werden kann. Dabei sollte nicht starr auf bestimmte Mindestanforderungen gepocht werden, denn während die Liste in einem Fall erweitert werden muß, reicht im anderen möglicherweise ein vermindertes Anforderungsspektrum. Bei der Bestimmung der genauen Anforderungen an einen konkreten Fall ist das Ausmaß der Gefahren, die für den Betroffenen der Datenübermittlung entstehen, ein wichtiger Faktor. Doch ungeachtet dieser Einschränkungen ist eine grundlegende Aufstellung von Mindestanforderungen in jedem Fall ein nützlicher Ausgangspunkt für eine Analyse.
Das Übereinkommen Nr.108 ist neben der Richtlinie das einzige internationale Instrument, das auf dem Gebiet des Datenschutzes bindend ist. Die Mehrzahl der Parteien des Übereinkommens sind auch Mitgliedstaaten der Europäischen Union (die Ratifizierung ist inzwischen durch alle 15 Staaten erfolgt) bzw. Länder wie Norwegen und Island, für die die Richtlinie aufgrund des Abkommens über den Europäischen Wirtschaftsraum ohnehin gilt. Doch auch von Slowenien, Ungarn und der Schweiz ist das Übereinkommen ratifiziert worden, und insbesondere angesichts der Tatsache, daß das Übereinkommen auch Ländern offensteht, die dem Europarat nicht angehören, dürften weitere Drittländer in der Zukunft folgen. Aus diesem Grund ist die Prüfung, ob die Länder, die das Übereinkommen ratifiziert haben, ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie bieten, nicht nur von rein akademischem Interesse. Als Ausgangspunkt ist es zunächst günstig, den Wortlaut des Übereinkommens unter dem Aspekt der theoretischen Annahme eines "angemessenen Schutzniveaus", wie es in Kapitel 1 dieses Dokuments beschrieben ist, zu beleuchten. Was den Inhalt der Grundprinzipien betrifft, so enthält das Übereinkommen praktisch die ersten fünf der sechs "Mindestanforderungen" [Hinsichtlich des Grundsatzes der Transparenz mögen gewisse Zweifel bestehen. Artikel 8 Absatz a) des Übereinkommens kann mit der aktiven Pflicht zur Bereitstellung von Informationen, die den Kern von Artikel 10 und 11 der Richtlinie darstellt, kaum gleichgesetzt werden. Im übrigen sind im Übereinkommen keine konkreten Rechte zur Verwehrung der Verwendung der Daten vorgesehen, wenn diese für Zwecke des Direktmarketings eingesetzt werden sollen. Es fehlen auch Bestimmungen für automatisierte Einzelentscheidungen (Profilerstellung).]. Auch das Erfordernis geeigneter Sicherungsmaßnahmen für sensible Daten ist vorgesehen, die als Angemessenheitskriterium für Fälle, in denen derartige Daten vorkommen, angesehen werden können. Ein Mangel des Inhalts der wesentlichen Vorschriften des Übereinkommens besteht darin, daß für die Übermittlung an Länder, die nicht Vertragsparteien des Übereinkommens sind, Beschränkungen nicht vorgesehen sind. Dies birgt die Gefahr, daß ein dem Übereinkommen Nr.108 beigetretenes Land bei der Übermittlung von Daten aus der Gemeinschaft in ein weiteres Drittland mit völlig unangemessenem Schutzniveau als "Zwischenstation" benutzt wird. Der zweite Aspekt des "angemessenen Schutzniveaus" betrifft die bestehenden verfahrensrechtlichen Mechanismen, mit denen den Grundprinzipien Geltung verschafft werden soll. Dem Übereinkommen zufolge sind ihre Grundsätze in das innerstaatliche Recht aufzunehmen und geeignete Sanktionen und Rechtsmittel für den Fall der Verletzung festzulegen. Dies müßte für die Gewährleistung eines angemessenen Niveaus der Einhaltung der Vorschriften und der angemessenen Entschädigung für die betroffenen Personen im Falle der Nichteinhaltung der Vorschriften ausreichen (Ziel 1 und 3 eines Systems zur Einhaltung des Datenschutzes). Allerdings verpflichtet das Übereinkommen die Vertragsparteien nicht, institutionelle Mechanismen zur unabhängigen Untersuchung von Beschwerden festzulegen, obwohl die Länder, von denen die Ratifizierung vorgenommen wurde, dies in der Regel getan haben. Dies ist ein Nachteil, da angemessene Unterstützung und Hilfe für die einzelnen betroffenen Personen bei der Wahrnehmung ihrer Rechte (Ziel 2) ohne diese institutionellen Mechanismen möglicherweise nicht garantiert sind.
Diese kurze Analyse läßt den Schluß zu, daß von den meisten Übermittlungen personenbezogener
Daten in Länder, von denen das Übereinkommen Nr.108 ratifiziert worden ist, angenommen werden kann, daß
sie gemäß Artikel 25 (1) der Richtlinie unter der Bedingung statthaft sind, daß
Dies ist natürlich eine recht vereinfachte und oberflächliche Prüfung des Übereinkommens. Im Zusammenhang mit konkreten Fällen der Übermittlung von Daten in Länder, die dem Übereinkommen beigetreten sind, dürften neue, an dieser Stelle nicht in Betracht gezogene Probleme auftreten.
Einführung Entsprechend Artikel 25 Absatz 2 der Datenschutzrichtlinie (95/ 46/ EG) ist die Angemessenheit des Schutzniveaus, das ein Drittland bietet, unter Berücksichtigung aller Umstände zu beurteilen, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen. Nicht nur auf Rechtsvorschriften, sondern insbesondere auf "die dort geltenden Standesregeln und Sicherheitsmaßnahmen" wird Bezug genommen. Im Text der Richtlinie ist daher festgelegt, daß in dem betreffenden Drittland möglicherweise geltende außergerichtliche Vorschriften berücksichtigt werden, sofern diese Regeln auch eingehalten werden. In diesem Zusammenhang ist auch die Rolle zu betrachten, die die Selbstkontrolle spielt. Was ist Selbstkontrolle ? Der Begriff "Selbstkontrolle" mag nicht für jeden dieselbe Bedeutung haben. Im Sinne dieser Unterlage beinhaltet ein Selbstkontrollkodex (oder jedes andere Instrument) alle Datenschutzbestimmungen, die auf eine Vielzahl von für die Verarbeitung Verantwortlichen in einer Berufsgruppe oder einem Wirtschaftsbereich Anwendung finden und deren Inhalt ursprünglich von Angehörigen des betreffenden Wirtschaftszweiges oder der betreffenden Berufsgruppe festgelegt wurde. Diese weit gefaßte Definition würde sowohl einen freiwilligen Datenschutzkodex am einen Ende der Skala einschließen, der von einem kleinen Wirtschaftsverband mit nur wenigen Mitgliedern entwickelt wurde, als auch den detaillierten Kodex von Standesregeln am anderen Ende, die für ganze Berufsgruppen wie Ärzte und Bankiers gelten und oft quasigerichtliche Kraft haben. Ist das für den Kodex verantwortliche Gremium repräsentativ für den Sektor? Wie aus diesem Kapitel hervorgeht, ist ein wichtiges Kriterium für die Beurteilung des Wertes eines Kodexes das Ausmaß, in dem seine Regeln durchgesetzt werden können. In diesem Zusammenhang ist die Frage, ob der für den Kodex zuständige Verband oder das zuständige Gremium alle Wirtschaftsteilnehmer in einem Sektor repräsentiert oder nur einen kleinen Prozentsatz von ihnen, wahrscheinlich von geringerer Bedeutung als die Stärke des Verbands im Hinblick auf seine Fähigkeit, beispielsweise seinen Mitgliedern wegen Nichterfüllung des Kodexes Sanktionen aufzuerlegen. Daneben gibt es allerdings einige Gründe, die branchen- oder berufsweite Kodizes mit klar abgegrenztem Geltungsbereich zu sehr viel nützlicheren Schutzinstrumenten machen als die, die von kleinen Unternehmensgruppierungen innerhalb von Wirtschaftssektoren entwickelt werden. Zunächst ist es eine Tatsache, daß aus der Sicht des Verbrauchers eine aufgespaltene und durch einige rivalisierende Verbände - mit jeweils eigenem Datenschutzkodex - gekennzeichnete Wirtschaft verwirrend ist. Das Nebeneinanderbestehen unterschiedlicher Kodizes schafft ein allgemeines Bild, dem es für die betroffene Person an Transparenz fehlt. Außerdem können sich insbesondere in Bereichen wie dem Direktmarketing, in denen regelmäßig personenbezogene Daten zwischen verschiedenen Unternehmen desselben Sektors ausgetauscht werden, Situationen ergeben, in denen das Unternehmen, das die personenbezogenen Daten weitergibt, nicht demselben Datenschutzkodex unterliegt wie das Unternehmen, das die Daten erhält. Dies führt hinsichtlich der anwendbaren Regeln zu einem beträchtlichen Maß an Unsicherheit und dürfte auch die Untersuchung und Bearbeitung von Beschwerden einzelner betroffener Personen außerordentlich erschweren. Beurteilung der Selbstkontrolle - der Ansatz Angesichts der Vielfalt der Instrumente, die unter den Begriff der Selbstkontrolle fallen, ist klar, daß zwischen den verschiedenen Formen der Selbstkontrolle je nach ihrer tatsächlichen Auswirkung auf das Niveau des Datenschutzes bei der Übermittlung personenbezogener Daten in ein Drittland zu differenzieren ist.
Grundlage für die Bewertung bestehender Datenschutzregeln muß (unabhängig davon, ob sie aufgrund
von freiwilliger Selbstkontrolle oder von Vorschriften bestehen) der in Kapitel 1 vorgestellte generelle Ansatz sein.
Ein Eckpunkt dieses Ansatzes ist die Prüfung nicht nur des Inhalts des Instruments (es sollte eine Reihe wesentlicher
Grundsätze enthalten), sondern auch seine Effizienz im Hinblick auf: Beurteilung des Inhalts eines Instruments der Selbstkontrolle Dies ist eine relativ leichte Aufgabe. Es geht darum, sicherzustellen, daß die erforderlichen, in Kapitel 1 dargelegten inhaltlichen Grundsätze erfüllt sind. Das ist eine objektive Beurteilung. Die Frage ist, was der Kodex enthält, und nicht, wie er erstellt wurde. Die Tatsache, daß ein Wirtschaftszweig oder eine Berufsgruppe selbst die wichtigste Rolle bei der Ausarbeitung des Inhalts des Kodexes gespielt haben, ist an sich nicht relevant, obwohl es natürlich wahrscheinlicher ist, daß der Kodex die erforderlichen wesentlichen Grundsätze des Datenschutzes genauer wiedergibt, wenn die Meinungen der betroffenen Personen und der Verbraucherorganisationen bei seiner Ausarbeitung berücksichtigt wurden. Die Transparenz des Kodexes ist ein Schlüsselelement; insbesondere sollte der Kodex in allgemein verständlicher Sprache abgefaßt sein und konkrete Beispiele enthalten, die seine Bestimmungen veranschaulichen. Darüber hinaus sollte der Kodex die Offenlegung von Daten nicht angeschlossener Unternehmen verbieten, die nicht unter den Kodex fallen, wenn keine anderen angemessenen Schutzmaßnahmen vorgesehen sind. Beurteilung der Effizienz eines Instruments der Selbstkontrolle Die Bewertung der Effizienz eines bestimmten Selbstkontrollkodexes oder -instruments ist ein schwierigeres Unterfangen, das die Kenntnis der Mittel und Wege voraussetzt, durch die sichergestellt wird, daß man sich dem Kodex verpflichtet, und mit denen Probleme der Nichtbefolgung behandelt werden. Alle drei funktionellen Kriterien für die Beurteilung der Effizienz des Schutzes müssen erfüllt sein, wenn ein Selbstkontrollkodex bei der Bewertung der Angemessenheit des Schutzes berücksichtigt werden soll. Gute Befolgungsrate Ein Wirtschafts- oder Standeskodex wird normalerweise von einem repräsentativen Gremium des betreffenden Wirtschaftszweigs oder der betreffenden Berufsgruppe erstellt und gilt dann für die Mitglieder dieses speziellen repräsentativen Gremiums. Das Niveau der Einhaltung des Kodexes wird wahrscheinlich von der Bekanntheit seiner Existenz und seines Inhaltes unter den Mitgliedern, den zur Sicherstellung der Transparenz des Kodexes für die Verbraucher ergriffenen Schritten, mit denen ermöglicht werden soll, daß die Marktkräfte einen wirksamen Beitrag leisten, der Existenz eines Systems der externen Überprüfung (wie dem Erfordernis einer Überprüfung der Einhaltung in regelmäßigen Abständen) und, was vielleicht am wichtigsten ist, der Art und Durchsetzung von Sanktionen im Fall der Nichtbefolgung abhängen.
Wichtige Fragen sind deshalb: Bei der Prüfung der vorhandenen Sanktionsarten ist es wichtig, zwischen der "die Situation abstellenden" Sanktion, die im Fall der Nichterfüllung von einem für die Verarbeitung Verantwortlichen lediglich fordert, seine Praktiken dahingehend zu ändern, daß sie dem Kodex entsprechen, und einer Sanktion, die weitergeht und den für die Verarbeitung Verantwortlichen für die Nichterfüllung tatsächlich bestraft, zu unterscheiden. Nur diese zweite Kategorie der „Strafsanktion" wirkt sich tatsächlich auf das künftige Verhalten der für die Verarbeitung Verantwortlichen aus, indem sie einen gewissen Anreiz für die Erfüllung des Kodex bietet. Fehlen in einem Kodex tatsächlich abschreckende Strafmaßnahmen, so ist dies ein gravierender Nachteil. Ohne derartige Sanktionen ist schwer zu sehen, wie ohne ein striktes System externer Überprüfung (beispielsweise eine öffentliche oder private Stelle, die für die Intervention im Fall der Nichteinhaltung des Kodexes zuständig ist, oder eine zwingende Vorschrift für eine regelmäßige externe Prüfung) ein hohes Niveau allgemeiner Erfüllung erreicht werden kann. Unterstützung und Hilfe für einzelne betroffene Personen
Von einem angemessenen und wirksamen Datenschutzsystem ist zu fordern, daß der Einzelne bei einem Problem
im Zusammenhang mit den eigenen personenbezogenen Daten nicht allein gelassen wird, sondern institutionelle Hilfe erhält,
um die Schwierigkeiten zu beheben. Diese institutionelle Unterstützung sollte idealerweise neutral, unabhängig und
mit den erforderlichen Befugnissen für die Prüfung jeder Beschwerde einer betroffenen Person ausgestattet sein.
Im Hinblick auf die Selbstkontrolle ergeben sich in diesem Zusammenhang folgende Fragen: Die Neutralität des Schiedsmanns oder Schiedsrichters bei mutmaßlichen Verletzungen des Kodexes ist ein Schlüsselelement. Eine solche Person oder ein solches Gremium darf zum Verantwortlichen der Verarbeitung in keinem Abhängigkeitsverhältnis stehen. Allerdings reicht dies allein noch nicht aus, um die Neutralität zu gewährleisten. Im Idealfall sollte der Schiedsrichter nicht der betroffenen Berufsgruppe oder dem betroffenen Wirtschaftszweig angehören, weil zwischen dem Verantwortlichen der Verarbeitung, der gegen den Kodex verstoßen haben soll, und den der gleichen Berufsgruppe oder dem gleichen Wirtschaftszweig angehörenden Mitgliedern eindeutig eine Interessengemeinschaft besteht. Die Neutralität des Schiedsgremiums könnte durch die Einbeziehung von Vertretern der Verbraucher neben den Vertretern der Wirtschaft (in gleicher Zahl) gewährleistet werden. Angemessene Entschädigung Wenn nachweislich gegen den Selbstkontrollkodex verstoßen wurde, sollten der betroffenen Person Rechtsmittel offenstehen, mit deren Hilfe das Problem behoben werden muß (Berichtigung oder Löschen aller fehlerhaften Daten; Gewährleistung, daß die Verarbeitung für unvereinbare Zweckbestimmungen eingestellt wird); wenn der betroffenen Person Schaden entstanden ist, muß die Zahlung einer angemessenen Entschädigung vorgesehen sein. Dabei ist zu berücksichtigen, daß "Schaden" im Sinne der Datenschutzrichtlinie nicht nur materiellen Schaden und finanziellen Verlust einschließt, sondern darunter auch jeglicher psychischer und moralischer Schaden fällt (im Recht des Vereinigten Königreichs und der USA als "distress" bezeichnet).
Viele der Fragen im Hinblick auf die oben im Abschnitt "Gute Befolgungsrate" aufgelisteten Sanktionen sind hier
von Bedeutung. Wie bereits dargelegt wurde, haben Sanktionen eine doppelte Funktion: den Täter zu bestrafen
(und somit die Einhaltung der Regeln durch den Täter und andere zu fördern) und einen Verstoß
gegen die Bestimmungen abzustellen. Hier geht es hauptsächlich um die zweite Funktion. Zusätzliche Fragen wären
deshalb: Schlußfolgerungen
1. Einführung Nach Artikel 25 Absatz 1 der Datenschutzrichtlinie (95/ 46/ EG) gilt der Grundsatz, daß die Übermittlung personenbezogener Daten lediglich erfolgen darf, wenn das Drittland ein angemessenes Schutzniveau gewährleistet. In diesem Kapitel soll die Möglichkeit einer Ausnahme von dem Grundsatz des angemessenen Schutzniveaus nach Artikel 25 geprüft werden, die aufgrund von Artikel 26 Absatz 2 möglich ist. Diese Bestimmung erlaubt einem Mitgliedstaat eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland ohne angemessenes Schutzniveau, „wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet". Weiter wird ausgeführt, daß "diese Garantien sich insbesondere aus entsprechenden Vertragsklauseln ergeben können". Wenn die Kommission nach dem Verfahren des Artikels 31 tätig wird, so befugt Artikel 26 Absatz 4 sie ferner zu beschließen, daß bestimmte Standardvertragsklauseln ausreichende Garantien gemäß Artikel 26 Absatz 2 bieten. Die Idee der Verwendung von Verträgen als Mittel der Regelung internationaler Übermittlungen personenbezogener Daten ist natürlich nicht erst durch die Richtlinie entstanden. Bereits 1992 waren der Europarat, die Internationale Handelskammer und die Europäische Kommission gemeinsam für eine Studie zu diesem Thema verantwortlich ["Model Contract to Ensure Equivalent Data Protection in the Context of Transborder Data Flow, with Explanatory Memorandum", gemeinsame Studie des Europarates, der Kommission der Europäischen Gemeinschaften und der Internationalen Handelskammer, Straßburg, 2. November 1992 ]. In jüngerer Zeit haben sich immer mehr Sachverständige und Kommentatoren in Studien und Artikeln zur Verwendung vertraglicher Bestimmungen geäußert - vielleicht, weil sie die ausdrückliche Bezugnahme in der Richtlinie festgestellt haben. Auch in der Praxis werden Verträge weiterhin als ein Mittel zur Behandlung von Datenschutzproblemen eingesetzt, die sich aus der Ausfuhr personenbezogener Daten aus bestimmten EU- Mitgliedstaaten ergeben. Seit Ende der 80er Jahre werden sie in Frankreich häufig verwendet, und in Deutschland fand jüngst das Beispiel der "BahnCard" große Beachtung, da ein Teil des Angebots auf der Einbeziehung der Citibank beruht [Vgl. Darstellung dieses Falls durch Alexander Dix auf der Internationalen Konferenz der Datenschutzbeauftragten, September 1996 in Ottawa]. 2. Die Verwendung von Verträgen als Grundlage für innergemeinschaftliche Datenflüsse Vor der Prüfung der Anforderungen an vertragliche Bestimmungen im Rahmen von Datenströmen in Drittländer ist es wichtig, den Unterschied zwischen der Drittlandsituation und der Situation deutlich zu machen, bei der die Daten in der Gemeinschaft bleiben. Im letztgenannten Fall ist der Vertrag der Mechanismus, der verwendet wird, um die Aufteilung der Zuständigkeiten für den Datenschutz zu definieren und zu regeln, wenn mehr als eine Stelle an der fraglichen Datenverarbeitung beteiligt ist. Nach der Richtlinie trägt eine einzige Einheit, d.h. der "für die Verarbeitung Verantwortliche" die Hauptverantwortung für die Erfüllung der wesentlichen Grundsätze des Datenschutzes. Die zweite Einheit, der "Auftragsverarbeiter", ist lediglich für die Datensicherheit zuständig. Von einem "für die Verarbeitung Verantwortlichen" wird gesprochen, wenn eine Person die Entscheidungsbefugnis über die Zweckbestimmung und die Mittel der Datenverarbeitung besitzt, während der "Auftragsverarbeiter" lediglich die Stelle ist, die den Datenverarbeitungsdienst physisch erbringt. Die Beziehung zwischen den beiden wird durch Artikel 17 Absatz 3 der Richtlinie geregelt, der folgendes festlegt: Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere folgendes vorgesehen ist: Dies baut auf dem allgemeinen Grundsatz nach Artikel 16 auf, demzufolge Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind, sowie der Auftragsverarbeiter selbst personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten dürfen (es sei denn, es bestehen hierzu gesetzliche Verpflichtungen). Bei der Übermittlung personenbezogener Daten in Drittländer wird normalerweise auch mehr als eine Partei beteiligt sein. Hier ist die betreffende Beziehung eine Beziehung zwischen der die Daten übermittelnden Stelle (dem "Übermittler") und der Stelle, die die Daten im Drittland entgegennimmt (dem "Empfänger"). Daher sollte der Zweck des Vertrags unter anderem darin bestehen, die Verteilung der Zuständigkeit für die Einhaltung des Datenschutzes auf die beiden Vertragsparteien festzulegen. Der Vertrag muß jedoch noch weiteren Anforderungen entsprechen: Er muß zusätzliche Sicherheiten für die betroffene Person bieten, die dadurch erforderlich werden, daß der Empfänger im Drittland keinem durchsetzbaren Regelwerk von Datenschutzbestimmungen unterliegt, das ein angemessenes Schutzniveau vorsieht. 3. Das Ziel einer vertraglichen Lösung Im Rahmen der Drittlandübermittlungen ist deshalb der Vertrag ein Mittel, um angemessene Garantien durch den für die Verarbeitung Verantwortlichen vorzusehen, wenn Daten aus der Gemeinschaft (und somit außerhalb des durch die Richtlinie und natürlich durch das allgemeine Regelwerk des Gemeinschaftsrechts vorgesehenen Schutzes [Die Wahrnehmung der Datenschutzrechte der Personen wird innerhalb der Gemeinschaft durch das allgemeine Regelwerk erleichtert, beispielsweise das Europäische Übereinkommen über die Übermittlung von Rechtshilfeersuchen (Straßburg 1977)]) in ein Drittland übermittelt werden, in dem kein angemessenes allgemeines Schutzniveau vorhanden ist. Eine Vertragsbestimmung, die diese Funktion erfüllen soll, muß einen befriedigenden Ausgleich für das Fehlen eines allgemein angemessenen Schutzniveaus bieten, indem sie die wesentlichen Elemente des Schutzes enthält, die in einer bestimmten Situation nicht vorhanden sind. 4. Die spezifischen Erfordernisse einer vertraglichen Lösung Ausgangspunkt für die Bewertung der Bedeutung der "ausreichenden Garantien" gemäß Artikel 26 Absatz 2 ist der Begriff des "angemessenen Schutzes", auf den in Kapitel 1 bereits recht ausführlich eingegangen worden ist. Er umfaßt eine Reihe von Grundsätzen des Datenschutzes und drei weitere Voraussetzungen, ohne die diese wirkungslos blieben.
5. Das Problem des vorrangigen Rechts Eine besondere Schwierigkeit beim vertraglichen Ansatz ist die Möglichkeit, daß die allgemeinen Rechtsvorschriften des Drittlands den Empfänger einer Datenübermittlung verpflichten, unter bestimmten Umständen personenbezogene Daten gegenüber dem Staat offenzulegen (Polizei, Gerichte oder Steuerbehörden), und daß derartige gesetzliche Erfordernisse meist Vorrang vor Verträgen haben, bei denen der Verarbeiter Vertragspartei ist [Das Ausmaß der staatlichen Befugnis zur Forderung der Offenlegung von Informationen ist ebenfalls ein Punkt, der bei der allgemeinen Beurteilung der Angemessenheit des Schutzniveaus in einem Drittland zu berücksichtigen ist.]. Für Verarbeiter in der Gemeinschaft ist diese Möglichkeit in Artikel 16 der Richtlinie angesprochen, dem zufolge Auftragsverarbeiter personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten dürfen, es sei denn, es bestehen gesetzliche Verpflichtungen. Nach der Richtlinie müssen sich allerdings derartige Offenlegungen (die naturgemäß für Zweckbestimmungen erfolgen, die mit denen unvereinbar sind, für die die Daten erfaßt wurden) auf solche beschränken, die in demokratischen Gesellschaften aus einem der Gründe der öffentlichen Sicherheit nach Artikel 13 Absatz 1 der Richtlinie erforderlich sind. Artikel 6 des Vertrags von Amsterdam garantiert die Einhaltung der in der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten enthaltenen Grundrechte. In Drittländern mag es ähnliche Beschränkungen der Möglichkeiten des Staates, die Bereitstellung personenbezogener Daten von Unternehmen und anderen in ihrem Hoheitsgebiet tätigen Organisationen zu fordern, nicht immer geben. Es gibt keine einfache Möglichkeit, diese Schwierigkeit zu überwinden. Damit wird lediglich illustriert, welche Grenzen der vertragliche Ansatz hat. In einigen Fällen ist ein Vertrag ein zu schwaches Instrument, um angemessene Garantien für den Datenschutz zu bieten, und Übermittlungen in bestimmte Länder sollten nicht genehmigt werden. 6. Praktische Erwägungen zur Verwendung von Verträgen Aus der vorstehenden Analyse geht hervor, daß für jeden einzelnen Fall der Datenübermittlung eine detaillierte, den jeweiligen Erfordernissen angepaßte Lösung gefunden werden muß. Diese Notwendigkeit der Festlegung von Einzelheiten im Hinblick auf die genauen Zweckbestimmungen und die Voraussetzungen, unter denen die übermittelten Daten verarbeitet werden, schließt die Möglichkeit der Erstellung eines Mustervertrags nicht aus, macht es aber erforderlich, jeden auf diesen Mustervertrag aufbauenden Vertrag entsprechend den besonderen Umständen des Einzelfalls zu ergänzen. Die Analyse hat zudem ergeben, daß besondere praktische Probleme bei der Untersuchung der Nichterfüllung eines Vertrags bestehen, wenn die Verarbeitung außerhalb der Europäischen Union erfolgt und von dem betreffenden Drittland keine Kontrollstelle vorgesehen ist. Diese beiden Erwägungen laufen darauf hinaus, daß es Situationen geben wird, in denen eine vertragliche Lösung geeignet ist, und andere, in denen ein Vertrag die erforderlichen "angemessenen Sicherheiten" in keiner Weise garantieren kann. Die notwendige detaillierte Anpassung von Verträgen an die Besonderheiten der jeweiligen Übermittlung impliziert, daß ein Vertrag besonders für Situationen geeignet ist, in denen ähnliche Datenübermittlungen wiederholt vorgenommen werden. Die Schwierigkeiten bei der Überwachung bedeuten, daß eine vertragliche Lösung dann äußerst effizient sein kann, wenn es sich bei den Vertragsparteien um bedeutende Wirtschaftsteilnehmer handelt, die bereits öffentlicher Prüfung und Regelung unterworfen sind [Im Fall von Citybank und "BahnCard" arbeitete der Berliner Datenschutzbeauftragte mit den amerikanischen Bankaufsichtsbehörden zusammen]. Große internationale Netze, wie sie für Kreditkartengeschäfte und Flugbuchungen bestehen, weisen diese beiden Merkmale auf und stellen somit Situationen dar, für die Verträge sehr gut geeignet erscheinen. Unter diesen Umständen könnten sie sogar noch durch multilaterale Vereinbarungen ergänzt werden, von denen eine größere Rechtssicherheit ausgeht. Auch wenn die an der Übermittlung Beteiligten ein und derselben Unternehmensgruppe angehören oder Tochtergesellschaften sind, dürfte aufgrund der engen Bindungen zwischen dem Empfänger im Drittland und der Einheit mit Sitz in der Gemeinschaft eine weitaus größere Möglichkeit zur Untersuchung der Nichterfüllung des Vertrags bestehen. Unternehmensinterne Übermittlungen sind deshalb ein weiterer Bereich, in dem es ein deutliches Potential für die Entwicklung effizienter vertraglicher Lösungen gibt. Wichtige Schlußfolgerungen und Empfehlungen
In Artikel 26 Absatz 1 der Richtlinie ist eine begrenzte Zahl von Fällen aufgeführt, in denen Ausnahmen vom Erfordernis der Angemessenheit für Übermittlungen in Drittländer zulässig sind. Diese enggefaßten Ausnahmen betreffen überwiegend Fälle, in denen die Risiken für die betroffene Person relativ gering sind oder in denen andere Interessen (Wahrung eines wichtigen öffentlichen Interesses oder des Interesses der betroffenen Person selbst) Vorrang vor dem Recht der betroffenen Person auf den Schutz der Privatsphäre genießen. Als Ausnahmen von der allgemeinen Regel müssen sie restriktiv ausgelegt werden. Zudem können die Mitgliedstaaten im innerstaatlichen Recht festlegen, daß die Ausnahmen in bestimmten Fällen nicht gelten. Dies trifft beispielsweise zu, wenn besonders schutzbedürftige Gruppen wie Arbeitnehmer oder Patienten zu schützen sind. Bei der ersten Ausnahme muß die betroffene Person ihre Einwilligung ohne jeden Zweifel gegeben haben Es sei darauf verwiesen, daß entsprechend der Definition in Artikel 2 Buchstabe h) der Richtlinie die Einwilligung ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage gegeben worden sein muß. Das Erfordernis der Kenntnis der Sachlage ist insofern besonders wichtig, als damit verlangt wird, daß die betroffene Person über das konkrete Risiko der Übermittlung der Daten in ein Land ohne angemessenes Schutzniveau ordnungsgemäß in Kenntnis gesetzt werden muß. Geschieht dies nicht, so darf die Ausnahme nicht angewandt werden. Da die Einwilligung ohne jeden Zweifel erfolgen muß, führt jeglicher Zweifel daran, ob die Einwilligung tatsächlich gegeben worden ist, ebenfalls dazu, daß die Ausnahmeregelung nicht gilt. Damit würde auch in einer Vielzahl von Fällen, in denen die Einwilligung unterstellt wird (weil die betreffende Person beispielsweise auf die Übermittlung aufmerksam gemacht wurde und keinen Einwand dagegen erhoben hat), die Ausnahmeregelung nicht greifen. Von Nutzen dürfte die Regelung dann sein, wenn der Übermittler in direktem Kontakt mit der betroffenen Person steht, die erforderlichen Informationen problemlos mitgeteilt werden können und die Einwilligung ohne jeden Zweifel erlangt wird. Dies ist z.B. bei Übermittlungen im Rahmen eines Versicherungsschutzes häufig der Fall. Die zweite und die dritte Ausnahme beziehen sich auf Übermittlungen, die erforderlich sind für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen (oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person) oder zum Abschluß oder zur Erfüllung eines Vertrags, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll. Diese Ausnahmen erscheinen zunächst recht weitgefaßt, doch wie die im folgenden erörterte vierte und fünfte Ausnahme wird ihre Anwendung in der Praxis durch das Kriterium der Erforderlichkeit eingeschränkt: Die übermittelten Daten müssen ausnahmslos für die Erfüllung des Vertrages erforderlich sein. Werden also zusätzliche, nicht zu den wesentlichen Angaben zählende Daten übermittelt oder dient die Übermittlung nicht der Erfüllung des Vertrages, sondern einer anderen Zweckbestimmung (z.B. Nachfaßmarketing), gilt die Ausnahme nicht. Was die vorvertraglichen Maßnahmen betrifft, so können dies nur von der betroffenen Person initiierte Situationen sein (wie die Anforderung von Informationen zu einem speziellen Dienst) und nicht solche, die sich aus den Marketingkonzepten der für die Verarbeitung Verantwortlichen herleiten. Ungeachtet dieser Vorbehalte werden die zweite und die dritte Ausnahme nicht ohne Wirkung bleiben. So dürften sie etwa bei Übermittlungen für die Buchung eines Flugtickets für einen Passagier oder bei Übermittlungen personenbezogener Daten im Zusammenhang mit dem grenzüberschreitenden Zahlungsverkehr oder der Zahlung per Kreditkarte häufig angewandt werden. Die Ausnahmeregelung für Verträge "im Interesse der betroffenen Person" (Artikel 26 Absatz 1 Buchstabe c) deckt speziell auch die Übermittlung von Daten an den Empfänger von Bankzahlungen ab, der, obwohl betroffene Person, meist keine Vertragspartei des Verantwortlichen ist, der die Übermittlung vornimmt. Zur vierten Ausnahme gehören zwei Komponenten, von denen sich die erste auf Übermittlungen bezieht, die für die Wahrung eines wichtigen öffentlichen Interesses erforderlich oder gesetzlich vorgeschrieben sind. Hierzu mögen bestimmte begrenzte Übermittlungen zwischen öffentlichen Verwaltungen zählen, obwohl Vorsicht geboten ist, damit diese Bestimmung nicht zu weit ausgelegt wird. Dabei reicht ein einfaches öffentliches Interesse nicht aus, sondern es muß sich um ein wichtiges öffentliches Interesse handeln. Aus Punkt 58 geht hervor, daß die Datenübermittlung zwischen Steueroder Zollverwaltungen oder zwischen Diensten, die für Angelegenheiten der sozialen Sicherheit zuständig sind, generell abgedeckt ist. Auch Übermittlungen zwischen den Kontrollstellen im Finanzdienstleistungssektor können unter diese Ausnahmeregelung fallen. Die zweite Komponente betrifft Übermittlungen, die im Rahmen internationaler Rechtsstreitigkeiten oder Gerichtsverfahren vorgenommen werden, und speziell Übermittlungen, die für die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich sind. Die fünfte Ausnahme bezieht sich auf Übermittlungen im Interesse der Wahrung lebenswichtiger Interessen der betroffenen Person. Ein einleuchtendes Beispiel wäre hier die dringende Übermittlung von medizinischen Unterlagen in ein Drittland, in dem ein zuvor in der EU behandelter Tourist in einen Unfall verwickelt ist oder sich eine gefährliche Erkrankung zugezogen hat. Allerdings wird in Punkt 31 der Richtlinie das "lebenswichtige Interesse" recht eng als "für das Leben der betroffenen Person wesentliches Interesse" ausgelegt. Ein Interesse aus finanziellen, eigentumsbezogenen oder familiären Gründen wäre im Normalfall ausgeschlossen. Die sechste und letzte Ausnahme betrifft die Übermittlung aus einem Register, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind. Hinter dieser Ausnahme steht die Absicht, daß in Fällen, in denen ein Register in einem Mitgliedstaat zur Einsichtnahme durch die Öffentlichkeit oder Personen, die ein berechtigtes Interesse nachweisen können, offensteht, die Tatsache, daß die zur Einsichtnahme berechtigte Person in einem Drittland ansässig ist und der Vorgang der Einsichtnahme ohne Datenübermittlung unmöglich ist, die Übermittlung der Informationen nicht verhindert. Entsprechend Punkt 58 ist die Übermittlung der Gesamtheit oder ganzer Kategorien der im Register enthaltenen Daten nicht gestattet. Aufgrund dieser Einschränkungen darf diese Ausnahmebestimmung nicht als allgemeine Ausnahme für die Übermittlung der Daten aus öffentlichen Registern angesehen werden. So kann beispielsweise kein Zweifel darüber bestehen, daß die massenhafte Übermittlung von Daten aus öffentlichen Registern für kommerzielle Zwecke oder die Erfassung ganzer Bestände öffentlich zugänglicher Daten zum Zwecke der Erarbeitung von Profilen bestimmter Personen von den Ausnahmebestimmungen nicht abgedeckt sind.
In Artikel 25 ist ein auf dem Einzelfall beruhendes Konzept vorgesehen, bei dem die Beurteilung der Angemessenheit sich auf die einzelne Datenübermittlung oder eine Kategorie von Datenübermittlungen bezieht. Dennoch ist natürlich klar, daß angesichts der enormen Anzahl der täglich aus der Gemeinschaft übermittelten personenbezogenen Daten und der zahllosen Akteure, die an den Übermittlungen beteiligt sind, kein Mitgliedstaat imstande ist, jeden einzelnen Fall im Detail zu prüfen, welches System er für die Umsetzung von Artikel 25 auch wählt [Von den Mitgliedstaaten können zur Erfüllung der Pflichten gemäß Artikel 25 unterschiedliche Verwaltungsverfahren festgelegt werden. Dazu gehört die direkte Verpflichtung des für die Verarbeitung Verantwortlichen ebenso wie die Einrichtung von Systemen zur vorherigen Genehmigung oder zur ExPost- Prüfung der Fakten durch die Kontrollstelle.]. Dies heißt natürlich nicht, daß überhaupt keine Fälle einer gründlichen Kontrolle unterzogen werden, sondern daß Mechanismen zu entwickeln sind, mit denen der Entscheidungsprozeß für eine große Anzahl von Fällen gestrafft wird, so daß die Entscheidung oder zumindest eine vorläufige Entscheidung ohne unnötige Verzögerung oder übermäßigen Aufwand getroffen werden kann. Eine solche Rationalisierung ist unabhängig davon notwendig, wer die Entscheidung trifft - der für die Verarbeitung Verantwortliche, die Kontrollstelle oder eine sonstige vom Mitgliedstaat festgelegte Stelle.
Einführung
Im Hauptteil dieser Arbeitsunterlage wird ein allgemeiner Ansatz für die Problematik der Datenübermittlung in
Drittländer dargelegt und dabei auf folgendes eingegangen: Es werden drei Fälle vorgestellt, bei denen im ersten Schritt jeweils zu bewerten ist, ob das Schutzniveau im Bestimmungsland aufgrund der geltenden Gesetze oder der bestehenden freiwilligen Selbstkontrolle im Privatsektor als angemessen gelten kann. Ist dies nicht der Fall, so besteht der zweite Schritt darin, unter den in Artikel 26 Absatz 1 (Ausnahmen) und 2 (vertragliche Lösung) angebotenen Möglichkeiten eine Lösung für das Problem zu ermitteln. Der dritte Schritt, die Verhinderung der Übermittlung, darf nur dann getan werden, wenn keine der Lösungen geeignet ist.
FALL (1) : Ein Bürger der Gemeinschaft möchte in Land A außerhalb der EG ein Ferienhaus kaufen und stellt bei einem Kreditinstitut in jenem Land einen Kreditantrag. Vom Kreditinstitut wird daraufhin eine Auskunftei mit einer entsprechenden Recherche beauftragt. Der Auskunftei liegt zu der betreffenden Person keine Akte vor, doch läßt sie sich alle Angaben über die bisherige Kreditaufnahme dieser Person von ihrer "Schwesterauskunftei" im Vereinigten Königreich übermitteln. Bei Land A handelt es sich um ein fortgeschrittenes Industrieland mit seit langem bestehenden und stabilen demokratischen Institutionen. Das Justizsystem ist voll ausgebaut und arbeitet effektiv. Es handelt sich um einen föderal verfaßten Staat.
ERSTER SCHRITT:
Der für die Verarbeitung Verantwortliche unterliegt einem Bundesgesetz, das Vorschriften zu personenbezogenen Informationen zum Zwecke der Einschätzung von Kreditvergaberisiken enthält. Der für die Verarbeitung Verantwortliche behauptet zudem, eigene, öffentlich bekanntgemachte Datenschutznormen zu befolgen. Es ist keines der Gesetze der Teilstaaten anwendbar, und ein branchenweiter Selbstkontrollkodex besteht nicht. Bewertung des Inhalts der anwendbaren Vorschriften Zunächst sei vermerkt, daß die Mitteilung der im Vereinigten Königreich ansässigen Auskunftei wie jede andere Mitteilung an einen für die Verarbeitung Verantwortlichen im Vereinigten Königreich oder einem anderen Mitgliedstaat den normalen Anforderungen des Rechts des Vereinigten Königreichs unterworfen wäre, mit denen alle Artikel der Richtlinie mit Ausnahme der Artikel 25 und 26 umgesetzt werden. Dies ist deshalb so wichtig, weil sich dadurch die Prüfung der Rechtmäßigkeit der Mitteilung selbst erübrigt. Im Mittelpunkt der Aufmerksamkeit steht daher der Schutz der in das Land A übermittelten Daten. Bei der Bewertung des Inhalts der Vorschriften sollte logischerweise mit der Bundesgesetzgebung begonnen werden. Werden hier Lücken festgestellt, so sind zunächst die "weniger strengen" Datenschutznormen des Unternehmens zu betrachten, um herauszufinden, ob die Lücken damit ausgefüllt werden. Danach wird eine Aufstellung zu den als notwendig erachteten inhaltlichen Punkten erarbeitet, und es wird beurteilt, ob die erforderlichen inhaltlichen Punkte im Gesetz oder in den Datenschutznormen des Unternehmens enthalten sind. Der Grundsatz der Beschränkung der Zweckbestimmung kann in diesem Zusammenhang nur die Anforderung betreffen, daß die Sekundärnutzung und -offenlegung der übermittelten Daten mit der Zweckbestimmung, für die die Übermittlung erfolgte, nicht unvereinbar sein dürfen. Die Aufnahme der Daten in eine auf dem freien Markt zu verkaufende oder zu vermietende Versandliste dürfte ebenso als unvereinbar eingestuft werden wie die Offenlegung der Daten gegenüber potentiellen Arbeitgebern oder an der Solvenz der betroffenen Person interessierten Geschäftspartnern. Offenlegung der Daten gegenüber Kreditgebern (Banken, Kreditkartenunternehmen) könnte hingegen als vereinbar angesehen werden. Im hier geschilderten Fall ist im Bundesgesetz tatsächlich eine begrenzte Anzahl von Zweckbestimmungen festgelegt, bei denen die personenbezogenen Kreditinformationen legal offengelegt werden können. Zu den Zweckbestimmungen gehören "Beschäftigung" und "rechtmäßige geschäftliche Erfordernisse im Zusammenhang mit einer geschäftlichen Transaktion, an der die betroffene Person beteiligt ist." Im letztgenannten Fall umfaßt dies bestimmte Nutzungen der Daten für Marketingzwecke, die auch das Marketing von Waren oder anderen Leistungen als Kredite durch Dritte einschließen. Daraus ergibt sich, daß die Zweckbestimmung durch das Bundesgesetz nicht ausreichend begrenzt wird und das Schutzniveau in diesem Punkt nicht ausreicht. Auch die zum Schutz der Privatsphäre vom Unternehmen für sich festgelegten Datenschutznormen tragen nicht zur Verbesserung der Lage bei. Nach dem Grundsatz der Transparenz müßten der betroffenen Person die Identität der Auskunftei in Land A und mögliche neue Zweckbestimmungen, für die die Daten verarbeitet werden sollen, mitgeteilt werden. Die Art und Weise, in der dies geschieht, sollte der Vorgehensweise in Artikel 11 der Richtlinie vergleichbar sein. Im vorliegenden Fall kennt das Bundesgesetz keine speziellen Transparenzvorschriften, die unmittelbar die Auskunftei betreffen würden. Allerdings muß der Kreditgeber in Land A die betroffene Person davon in Kenntnis setzen, daß er sich zwecks Kreditinformationen an eine Auskunftei wenden wird, deren Namen und Anschrift er jedoch nicht zu nennen braucht. Für die betroffene Person ist also rechtlich nicht garantiert, daß sie darüber informiert wird, daß ihre Daten durch die betreffende Auskunftei verarbeitet werden. Da die Auskunftei mit der betroffenen Person nicht in direktem Kontakt steht, erschiene die Pflicht der Auskunftei zur Kontaktaufnahme mit der betroffenen Person mit dem speziellen Ziel ihrer Unterrichtung als "unverhältnismäßiger Aufwand" im Sinne von Artikel 11 der Richtlinie. Das Schutzniveau in bezug auf Transparenz ist also offensichtlich ausreichend. Der Grundsatz der Datenqualität und -verhältnismäßigkeit umfaßt mehrere unterschiedliche Elemente. Im Bundesgesetz ist keine Einschränkung für die Sammlung und Verarbeitung unnötiger Daten vorgesehen. Zur Dauer der Datenspeicherung bestehen Vorschriften, mit denen die Verbreitung veralteter Informationen (mehr als zehn Jahre zurückliegende Urteile in Konkursverfahren) verhindert wird, was praktisch zur Löschung dieser Informationen führt. Zwar besteht rechtlich keine Auflage zur Führung korrekter Daten, doch stellt eine betroffene Person, die auf Antrag Zugang zu der sie betreffenden Kreditauskunft bekommen hat, einen Teil der Informationen in Frage, so sind als nichtzutreffend nachweisbare Daten zu löschen. Erneut scheint das Schutzniveau nicht in vollem Umfang angemessen, und auch die Datenschutznormen des Unternehmens gehen über die Regelungen im Bundesgesetz nicht hinaus. Der Grundsatz der Sicherheit spiegelt sich im Bundesgesetz in dem Erfordernis wider, geeignete Maßnahmen gegen die unrechtmäßige Datenoffenlegung zu ergreifen. Aus den Datenschutznormen des Unternehmens geht hervor, daß zur Verhinderung des unberechtigten Zugriffs auf die Kreditinformationen und ihrer Manipulation ein strenges Kontrollsystem besteht. Hierzu werden sowohl technische Mittel (Paßwörter usw.) eingesetzt als auch die Mitarbeiter entsprechend unterwiesen, wobei eine Verletzung dieser Pflicht zu disziplinarischen Maßnahmen führen kann. Damit wäre ein angemessenes Sicherheitsniveau gewährleistet. Das Recht auf Zugriff und Berichtigung ist bundesrechtlich geregelt und mit dem Recht, wie es diesbezüglich in der Richtlinie besteht, vergleichbar. Wurde einer betroffenen Person der Kredit verwehrt, so ist die Einsichtnahme in die Auskunft kostenlos. Es besteht kein Recht auf Widerspruch, doch kann ein Betroffener Beschwerde bei der zuständigen Bundesbehörde einreichen oder Klage vor Gericht (siehe unten) erheben, wenn seine nach dem Bundesgesetz bestehenden Rechte verletzt wurden. Sensible Daten zum Gesundheitszustand der betroffenen Person sind Teil der übermittelten Daten. Im Bundesgesetz sind strengere Vorschriften für die Verarbeitung von Informationen im Zusammenhang mit strafrechtlichen Verurteilungen sowie zu Geschlecht, Rasse, ethnischer Herkunft, Alter und Familienstand enthalten, nicht jedoch zu Informationen über den Gesundheitszustand. In den Datenschutznormen der Auskunftei ist jedoch festgelegt, daß bei Kreditauskünften keine Gesundheitsdaten weitergegeben werden, sondern nur bei Überprüfungen im Zusammenhang mit einer beabsichtigten Einstellung oder dem Abschluß einer Versicherung. In diesen beiden Fällen wird die Verwendung dieser Daten durch die betroffene Person auf den dazu erforderlichen Vordrucken genehmigt. Hier bestünde also für die in diesem Beispiel vorkommenden Gesundheitsdaten ein in der Sache verstärkter Schutz, auch wenn dieser Schutz vom Gesetz nicht vorgesehen ist. Die Verwendung der Daten für Zwecke des Direktmarketing durch die Auskunftei (und die Offenlegung der Daten gegenüber anderen zu diesem Zweck) ist in diesem Zusammenhang ein wichtiger Punkt. Einer solchen Verwendung steht rechtlich nichts wirklich im Wege, und es gibt kein rechtliches Erfordernis, aus dem heraus dies verwehrt werden kann. Damit ist das Schutzniveau in diesem Punkt eindeutig unangemessen, da insbesondere in diesem Fall die Daten nicht nur durch die Auskunftei (zum Versand von Mailings an Kreditinstitute) verwendet werden, sondern auch gegenüber Dritten für das Vermarkten sowohl von finanztechnischen Produkten als auch branchenfremden Produkten wie Rasenmähern und Urlaubsangeboten offengelegt werden. Wie es scheint, kann angesichts der Zweckbestimmung der Übermittlung eine automatisierte Entscheidung darüber getroffen werden, ob der betroffenen Person ein Kredit gewährt werden soll. Für die betroffene Person müssen daher zusätzliche Garantien bestehen. Im Bundesgesetz gibt es Bestimmungen, mit denen die betroffene Person in der Auskunft enthaltene Informationen anfechten und der Auskunft erforderlichenfalls Erklärungen beifügen kann, aber es sind keine Regelungen vorgesehen, nach denen eine auf falschen oder unvollständigen Informationen beruhende Entscheidung angefochten, überprüft und, sollten sich die Einwände als berechtigt erweisen, geändert werden kann. Mit diesem Mechanismus können an einer Auskunft zwar Änderungen vorgenommen werden, um Probleme in der Zukunft zu vermeiden, doch wird das Problem einer bereits getroffenen Kreditentscheidung damit nicht unbedingt angesprochen. Dieser rückwirkende Rechtsschutz ist nicht ausreichend, da nicht vorhanden. Beschränkungen der Weiterübermittlung der Daten an ein weiteres Drittland oder an Organisationen in anderen, den Vorschriften im Bundesgesetz nicht unterstellten Sektoren in Land A. Weder im Bundesgesetz noch in den Datenschutznormen des Unternehmens ist derartiges vorgesehen. Anwendungsbereich des Bundesgesetzes und der Datenschutznormen des Unternehmens In einem weiteren Kontrollgang ist sicherzustellen, daß sowohl das Bundesgesetz als auch die Datenschutznormen des Unternehmens für die Daten aller betroffenen Personen und nicht nur für die Daten der Staatsangehörigen oder Bürger des Landes A gelten. Im vorliegenden Fall besteht eine solche Beschränkung des Anwendungsbereichs nicht. Bewertung der Wirksamkeit des Schutzes Das betreffende Bundesgesetz ist geltendes Recht, und nach seinen Bestimmungen ist auch eine öffentliche Stelle mit bestimmten externen Überwachungsbefugnissen eingerichtet worden. Zur Durchsetzung ihrer Rechte können die betroffenen Personen den Rechtsweg einschlagen. Allerdings ist die öffentliche Stelle nicht eindeutig dazu verpflichtet, sämtlichen Beschwerden von betroffenen Personen nachzugehen, und einigen Kommentatoren zufolge hat sie sich bei der Durchsetzung des Rechts auch nicht immer durch besondere Aktivität ausgezeichnet. Klagen vor Gericht zur Wiedergutmachung sind für die betroffenen Personen kostspielig und häufig auch zeitaufwendig - dies besonders dann, wenn die betroffene Person in einem anderen Land wohnt als in dem, wo das Gerichtsverfahren stattfindet. Die Datenschutznormen des Unternehmens enthalten keinen eigenständigen Mechanismus, mit dem Betroffene ihre Rechte durchsetzen können, doch sind disziplinarische Strafen für Mitarbeiter vorgesehen, die die Grundsätze verletzen. Mehrere Beschäftigte sind bereits wegen entsprechender Vergehen disziplinarisch zur Verantwortung gezogen worden.
Die Kombination von gesetzlichen Regelungen und unternehmensinternen Datenschutznormen muß
anhand der für die verfahrensrechtlichen Mechanismen festgelegten "Ziele" bewertet werden.
Im vorliegenden Fall könnten folgende Schlüsselfragen geprüft werden:
Der Urteilsspruch Schlußfolgerung Das Schutzniveau ist unangemessen, da das Gesetz zu wenige der "Kerngrundsätze" beinhaltet, und die unternehmensinternen Datenschutznormen sind für sich allein genommen kein wirksames Mittel zur Gewährleistung von Schutz. Der Urteilsspruch könnte auf Angemessenheit lauten, wenn das Gesetz in Richtung solcher Grundsätze wie Transparenz und Schutz von Daten zum Gesundheitszustand ausgebaut oder die unternehmensinternen Datenschutznormen mit Hilfe einer der vorgeschlagenen Methoden wirksamer gestaltet werden (d.h. Einhaltung als Voraussetzung für die Mitgliedschaft im Fachverband oder Bevollmächtigung einer staatlichen Stelle zur strafrechtlichen Verfolgung des Unternehmens wegen irreführender und betrügerischer Geschäftspraktiken im Falle der Verletzung der eigenen Datenschutznormen).
ZWEITER SCHRITT:
Mit der Einwilligung durch die betroffene Person würde für das Problem jedoch eine relativ unkomplizierte Lösung gefunden. Die Einwilligung könnte entweder direkt durch die im Vereinigten Königreich ansässige Auskunftei oder in ihrem Auftrag durch das Kreditinstitut in Land A erlangt werden, das hierzu die betroffene Person auf dem Kreditantragsformular um Einwilligung ersuchen könnte. Unabhängig vom gewählten Verfahren sollte die betroffene Person von den konkreten Gefahren in Kenntnis gesetzt werden, die mit der Übermittlung der Daten in ein Land ohne angemessenes Schutzniveau verbunden sind. Solange Übermittlungen dieser Art noch relativ selten sind, besteht die zweckmäßigste Methode wahrscheinlich darin, die Einwilligung jeweils einzeln einzuholen. Kommt es jedoch zu einem systematischeren weltweiten Datenaustausch mit Auskunfteien, so können andere Vorkehrungen, wie vertragliche Lösungen oder ein internationaler Verhaltenskodex, getroffen werden.
FALL (2) : Ein portugiesischer Bürger bucht in einem Lissabonner Reisebüro einen Flug an Bord einer Maschine einer in Land B ansässigen Luftfahrtgesellschaft. Dabei wird u.a. erfaßt, daß der Bürger behindert ist und einen Rollstuhl benutzt. Die Daten werden in ein internationales Computerreservierungssystem eingegeben und von dort durch die Fluggesellschaft in ihre Passagierdatenbank in Land B heruntergeladen, in der sie auf unbegrenzte Zeit gespeichert werden. Von der Fluggesellschaft werden die Daten abgesehen von internen Planungszwecken dazu verwendet, die Dienstleistung für den Passagier bei künftigen Flügen mit dieser Fluggesellschaft zu verbessern [Dieser Fall weist gewisse Ähnlichkeiten mit einem tatsächlich geschehenen Fall auf, der schwedischem Recht unterliegt und in den amerikanische Fluggesellschaften und die Lufthansa verwickelt sind. Gegenwärtig läuft das Berufungsverfahren].
ERSTER SCHRITT: Die geltenden Vorschriften In bezug auf die Daten in der Datenbank der Fluggesellschaft in Land B bestehen keine Datenschutzbestimmungen, obwohl es für Daten in Computerreservierungssystemen einen internationalen Verhaltenskodex gibt.
Bewertung des Inhalts der anwendbaren Vorschriften
Bewertung der Wirksamkeit des Schutzes
Der Urteilsspruch
ZWEITER SCHRITT: Die Übermittlung der Daten an das Computerreservierungssystem und ihre Verwendung durch die Fluggesellschaft zum Zwecke der Erbringung der entsprechenden Dienstleistung für den behinderten Passagier im Zusammenhang mit dem betreffenden Flug stellt eine Übermittlung dar, die für die Erfüllung des Vertrags zwischen dem Passagier und der Fluggesellschaft (Artikel 26 Absatz 1 Buchstabe b)) erforderlich ist. Für den weiteren Verbleib der Daten (einschließlich sensibler Daten zum Gesundheitszustand der betroffenen Person) in der Datenbank der Fluggesellschaft ist dies jedoch kein Grund. Folglich muß die Übermittlung der Daten an die Fluggesellschaft von einer anderen Ausnahmeregelung abgedeckt sein. Wie in Fall (1) wäre die Einwilligung der betroffenen Person die beste Lösung. Sie könnte vom Reisebüro in Lissabon im Namen der Fluggesellschaft eingeholt werden. Dabei sollten der betroffenen Person die mit der Speicherung der Daten in Land B verbundenen Risiken ebenso mitgeteilt werden wie die Tatsache, daß die Übermittlung und die Speicherung der Daten in der Datenbank der Fluggesellschaft aus Gründen, die mit dem gebuchten Flug in Verbindung stehen, nicht erforderlich sind.
FALL (3) : Ein Unternehmen in den Niederlanden ist auf die Erstellung von Versandlisten spezialisiert. Unter Verwendung der Vielzahl unterschiedlicher Quellen, die es in den Niederlanden für öffentliche Informationen gibt, sowie von Kundenverzeichnissen von anderen niederländischen Unternehmen entstehen Listen, in denen Personen aufgeführt sind, die einem bestimmten sozio- ökonomischen Profil entsprechen. Verkauft werden diese Listen an die Kunden dieser Firma nicht nur in den Niederlanden und der EU, sondern auch in zahlreichen Drittländern. Die Empfängerunternehmen nutzen die Listen (in denen die Postanschrift, die Telefonnummer und häufig auch die E- Mail- Adresse angegeben sind), um mit den in den Listen aufgeführten Personen in Kontakt zu treten und ihnen die unterschiedlichsten Erzeugnisse und Dienstleistungen zu verkaufen. Sehr viele der auf den Listen genannten Personen haben bei der niederländischen Datenschutzbehörde Beschwerde gegen die Marketingangebote eingelegt. Die geltenden Vorschriften Einige der Unternehmen, die die Versandlisten der niederländischen Firma kaufen, sind in Ländern ansässig, in denen allgemeine gesetzliche Datenschutzvorschriften gelten, die das Recht der betroffenen Personen beinhalten, die Entgegennahme von Marketingangeboten zu verwehren. Andere befinden sich in Ländern ohne derartige gesetzliche Regelungen, sind jedoch Mitglied von Selbstkontrollvereinigungen, von denen Datenschutzkodizes erarbeitet worden sind. Weitere Firmen unterliegen überhaupt keinen Datenschutzvorschriften. Bewertung des Inhalts der anwendbaren Vorschriften In diesem Fall müßten zahllose Gesetze und Kodizes bewertet werden. Bleibt die in den Niederlanden ansässige Firma ihrem Grundsatz treu, ihre Listen an Unternehmen in jedem beliebigen Land der Welt zu verkaufen bzw. zu vermieten, so kommt es zwangsläufig zu Situationen, in denen das Schutzniveau nicht angemessen ist.
ZWEITER SCHRITT: Im vorliegenden Beispiel wäre es für die niederländische Firma kaum möglich, die Einwilligung jeder einzelnen Person zur Aufnahme in die Versandlisten zu erlangen, da die Daten aus öffentlichen Quellen stammen und ohne direkten Kontakt mit der betroffenen Person erfaßt wurden. Es ist daher nicht wahrscheinlich, daß hier eine der Ausnahme von Artikel 26 Absatz 1 greift. Der niederländischen Firma stehen zwei Möglichkeiten offen, die sie alternativ oder im Verbund nutzen kann. Zum einen könnte sie den Handel mit den Versandlisten auf Unternehmen in Ländern begrenzen, in denen aufgrund von gesetzlichen Regelungen bzw. entsprechenden Instrumenten der freiwilligen Selbstkontrolle eindeutig feststeht, daß ein angemessenes Schutzniveau gewährleistet ist. Bei der Entscheidung könnte sich die Firma an möglicherweise bestehenden "weißen Listen" orientieren. Als zweite Möglichkeit könnten von allen Kunden (oder zumindest von den Kunden in Ländern mit quot;unangemessenem" Schutzniveau) vertragliche Verpflichtungen hinsichtlich der übermittelten Daten gefordert werden. Bei den vertraglichen Regelungen sollten die in Kapitel 4 des Haupttextes gegebenen Hinweise befolgt werden. Insbesondere sollte dabei gesichert werden, daß die niederländische Firma gemäß niederländischem Recht für alle Verletzungen der Datenschutzgrundsätze seitens der Empfängerunternehmen der übermittelten Versandlisten haftbar bleibt. Mit einer solchen vertraglichen Lösung würde bei ordnungsgemäßer Umsetzung ein Beitrag zur Überwindung des Handelshemmnisses geleistet, das das Fehlen eines angemessenen Schutzniveaus in bestimmten Drittländern darstellt. Geschehen zu Brüssel, 24. Juli 1998 Für die Arbeitsgruppe
Der Vorsitzende
| |||||||||||||||||||
Letzte Änderung: am 30.10.1998 | |||||||||||||||||||