GD XVD/5047/98 endg.WP 14
Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten
ZWEITER JAHRESBERICHT
Von der Arbeitsgruppe am 30. November 1998 angenommen
INHALT
1. EINLEITUNG
2. ENTWICKLUNGEN IN DER EUROPÄISCHEN UNION
2.1. Die Richtlinie
2.1.1. Datenschutzarbeitsgruppe
2.1.2. Umsetzung in nationale Rechtsvorschriften der Mitgliedstaaten
2.1.3. Einhaltung der Richtlinie auf der Ebene der europäischen Institutionen
2.2. Entwicklungen im Bereich Datenschutz. Tätigkeiten der Datenschutzbehörden
2.3. Entwicklung der Datenschutzpolitik der Europäischen Union
2.3.1. Sektorielle Initiativen
Datenschutz und Informationsgesellschaft
2.3.2. Datenschutz im Rahmen anderer Gemeinschaftsinstrumente
2.3.3. Datenschutz im Rahmen von Nicht-Gemeinschaftsinstrumenten
2.4. Schengen
2.5. Dialog mit Drittländern über Fragen des Datenschutzes
3. DER EUROPARAT
4. WICHTIGE ENTWICKLUNGEN IN DRITTLÄNDERN
4.1. Europäischer Wirtschaftsraum
4.2. Mittel- und osteuropäische Länder
4.3. Andere Drittländer
5. SONSTIGE ENTWICKLUNGEN AUF INTERNATIONALER EBENE
5.1. Organisation für wirtschaftliche Zusammenarbeit und Entwicklung OECD
6. ANHÄNGE
Die durch die Richtlinie 95/46/EG des Europäischen Parlamentes und des Europäischen Rates vom 24. Oktober 19951 eingesetzte
ARBEITSGRUPPE FÜR DEN SCHUTZ VON PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN hat,
unter Berücksichtigung der Artikel 29 und 30 Absatz 6,
unter Berücksichtigung ihrer Geschäftsordnung und insbesondere der Artikel 12, 13 und 15 den vorliegenden Jahresbericht angenommen.
1. EINLEITUNG
Am 24. Oktober 1995 haben das Europäische Parlament und der Rat die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachstehend "die Richtlinie") erlassen2.
Artikel 29 der Richtlinie hat die Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt. Diese hat jährlich einen Bericht über den Stand des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und in Drittländern zu erstellen, den sie der Kommission, dem Europäischen Parlament und dem Rat übermittelt. Dieser Bericht soll veröffentlicht werden3.
Der erste Bericht wurde am 25. Juni 1997 angenommen und enthielt die wichtigsten neuen Fakten, die 1996 im Bereich des Datenschutzes zu beobachten waren. Dieser zweite Bericht bezieht sich auf das Jahr 1997 und richtet sich im wesentlichen nach der Gliederung des ersten Berichts, um die Analyse von Entwicklungen zu erleichtern; Abschnitt 2 beschäftigt sich daher mit den Entwicklungen in der Europäischen Union, und zwar sowohl in den Mitgliedstaaten als auch auf Gemeinschaftsebene. Abschnitt 3 bezieht sich auf die Arbeit des Europarats. Abschnitt 4 geht auf die wichtigsten Entwicklungen in Drittländern ein, und Abschnitt 5 berichtet über weitere Entwicklungen auf internationaler Ebene.
Auf Gemeinschaftsebene war das Jahr 1997 durch verschiedene wichtige Entwicklungen gekennzeichnet:
* Unterzeichnung des Amsterdamer Vertrages, der eine besondere Bestimmung zum Schutz personenbezogener Daten enthält (siehe Abschnitt 2.1.3);
* die Verabschiedung der Richtlinie 97/66 über den Schutz personenbezogener Daten im Telekommunikationssektor (siehe Abschnitt 2.3.1);
* die Annahme der ersten Dokumente der durch die Richtlinie 95/46 eingesetzten Arbeitsgruppe, die rasch ihren normalen Betrieb aufnahm und deren Tätigkeiten zunehmendes Interesse in damit in Zusammenhang stehenden Bereichen finden (siehe Abschnitt 2.1.1).
Darüber hinaus ist der Prozeß der Umsetzung der Richtlinie 95/46/EG in die entscheidende Phase gelangt, und dem Übereinkommen 108 des Europarates sind zwei neue Länder beigetreten (Schweiz und Ungarn).
2. ENTWICKLUNGEN IN DER EUROPÄISCHEN UNION
2.1. Die Richtlinie
Der Prozeß der Durchführung der Richtlinie lief 1996 in allen Mitgliedstaaten und auf europäischer Ebene an. Abschnitt 2.1.1 stellt die Aufgaben der Arbeitsgruppe und ihre Tätigkeiten im Jahre 1997 dar, Abschnitt 2.1.2 beschreibt die Verfahren für die Umsetzung der Richtlinie auf nationaler Ebene, und Abschnitt 2.1.3 hebt die Maßnahmen hervor, die die Organe der Europäischen Gemeinschaften getroffen haben, um den Vorschriften der Richtlinie zu entsprechen.
2.1.1. Datenschutzarbeitsgruppe
Die Arbeitsgruppe setzt sich aus Vertretern der unabhängigen nationalen Datenschutzbehörden4 sowie einem Vertreter der Kommission zusammen und wird einen Vertreter der innerhalb der europäischen Institutionen mit Datenschutzfragen beauftragten Stellen umfassen, sobald diese geschaffen sind (siehe Abschnitt 2.1.3).
Durch das Zusammentragen der Erfahrungen der nationalen Behörden fördert die Arbeitsgruppe eine kohärente Strategie zur Umsetzung der allgemeinen Grundsätze der Richtlinie und berät die Kommission in Fragen des Datenschutzes. Sie hat insbesondere die Aufgabe, ihre Stellungnahme zum Niveau des Schutzes in der Union und in Drittländern abzugeben; außerdem kann sie Empfehlungen zu allen Fragen aussprechen, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten betreffen.
Die erste Sitzung der Arbeitsgruppe fand am 17. Januar 1996 statt. Dieser rasche Beginn der Arbeiten der Arbeitsgruppe entsprach der Forderung der nationalen Datenschutzbehörden. Vorsitzender der Arbeitsgruppe ist Peter J. HUSTINX, der Präsident der niederländischen Datenschutzbehörde (Registratiekamer). Da die griechischen und italienischen Rechtsvorschriften über den Schutz von personenbezogenen Daten inzwischen in Kraft traten, sind in der Arbeitsgruppe jetzt die Datenschutzbehörden aller Mitgliedstaaten vertreten.
Die Arbeitsgruppe trat 1997 viermal zusammen und beschäftigte sich mit einer zunehmenden Anzahl von Themen. Die 1997 begonnenen Aussprachen erlaubten es insbesondere, die folgenden Dokumente anzunehmen:
(1) Empfehlung 1/97 über den Datenschutz und die Medien, die sich mit dem Gleichgewicht zwischen dem Schutz der Privatsphäre und anderen Grundsätzen verfassungsrechtlicher Art wie beispielsweise der Pressefreiheit beschäftigt; hierin wird eine gegenseitige Stärkung dieser keineswegs widersprüchlichen Grundsätze hervorgehoben (Dokument WP1 - 5012/97);
(2) Stellungnahme 1/97 zur kanadischen Initiative bezüglich einer Vereinheitlichung des Schutzes der Privatsphäre (WP 2 - 5023/97);
(3) der erste Jahresbericht (WP 3 - 5025/97);
(4) die ersten Leitlinien der Arbeitsgruppe zur Übermittlung von Daten an Drittländer (WP 4 - 5020/97);
(5) Empfehlung 2/97 zum Bericht und zu den Leitlinien der internationalen Arbeitsgruppe für den Datenschutz in der Telekommunikation (WP 5 - 5060/97);
(6) Empfehlung 3/97 zur Anonymität im Internet (WP 6 - 5022/97);
(7) das Arbeitspapier zur Bewertung des Selbstregulierungskodex bezüglich der Übermittlung von Daten in Drittländer (WP 7 - 5057/97);
(8) das Arbeitspapier über Meldungen (WP 8 - 5027/97).
Darauf hinzuweisen ist, daß alle Dokumente, die von der Arbeitsgruppe angenommen wurden, auf der "Europa"-Site der Europäischen Kommission im Internet unter folgender Adresse abgerufen werden können:
http://europa.eu.int/comm/dg15/index.htm
2.1.2. Umsetzung in nationale Rechtsvorschriften der Mitgliedstaaten
In diesem Teil soll eine Übersicht über den 1997 erreichten Stand der Umsetzung der Richtlinie in die nationalen Rechtsvorschriften gegeben werden, wobei die Entwicklungen bis zum 30. Juni 1998 berücksichtigt sind.
In Belgien wurde der Gesetzesentwurf zur Umsetzung der Richtlinie, der nach der Stellungnahme des Staatsrates geändert worden war, dem Parlament im April 1998 zur Abstimmung vorgelegt.
In Dänemark wurde der Gesetzesentwurf am 30. April 1998 vorgelegt, und das Parlament beendete seine erste Lesung im Juni.
In Spanien wurde der vorläufige Gesetzesentwurf zur Änderung der bestehenden Rechtsvorschriften in Sachen Datenschutz (Grundgesetz 5/1992) dem Staatsrat zur Stellungnahme vorgelegt, er soll vom Parlament im Sommer 1998 erörtert werden; allerdings wurden die meisten Bestimmungen bereits durch das "Ley Organica" 5/1992 vom 29. Oktober 1992 über die automatische Verarbeitung von personenbezogenen Daten umgesetzt.
In Deutschland ist der Bundesgesetzgeber primär für die Umsetzung der Richtlinie verantwortlich. Diese Zuständigkeit - aufgrund seiner legislativen Befugnisse nach Artikel 74 des Grundgesetzes - erstreckt sich nicht nur auf den staatlichen Bereich des Bundes, sondern auch auf den nichtstaatlichen Bereich, in dem die meisten Änderungen zu erwarten sind. Allerdings müssen - hauptsächlich im öffentlichen Bereich - auch die Datenschutzgesetze der Länder mit den Bestimmungen der Richtlinie in Einklang gebracht werden. Neben den allgemeinen Datenschutzgesetzen müssen viele Vorschriften von Bund und Ländern in spezifischen Bereichen des Datenschutzrechts überprüft werden. Der Bundesdatenschutzbeauftragte, die Datenschutzbeauftragten der Länder und die Kontrollbehörden für den nichtöffentlichen Sektor haben die bevorstehende Änderung des deutschen Datenschutzgesetzes im Rahmen ihrer jeweiligen Zuständigkeiten behandelt. Das Bundesministerium des Inneren, das für das Gesetzgebungsverfahren zuständig ist, hat am 1. Dezember 1997 einen Gesetzesentwurf vorgelegt, zu dem der Bundesdatenschutzbeauftragte am 30. Januar 1998 Stellung genommen hat. Eine neue Vorlage vom 8. April 1998 wurde wegen der Bundestagswahl am 27. September 1998 nicht weiter behandelt. Aufgrund des verfassungsrechtlichen Grundsatzes, daß Gesetzesvorlagen nicht legislaturperiodenübergreifend gelten, muß dem Parlament in der neuen Legislaturperiode ein neuer Entwurf vorgelegt werden.
Das griechische Datenschutzgesetz (Gesetz 2472/97 über den Schutz von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten) wurde vom griechischen Parlament am 26.03.1997 ratifiziert und am 10.04.1997 verkündet. In Übereinstimmung mit den Bestimmungen des Gesetzes wurde der Präsident der Datenschutzbehörde (ex officio ein Richter am Obersten Gerichtshof) von der Regierung ernannt, und die sechs Mitglieder wurden vom Parlament bestellt. Diese Bestellungen erfolgten 1997, und die Behörde ist jetzt arbeitsfähig.
In Frankreich wurde dem Premierminister im März 1998 ein Bericht vorgelegt, an den sich ein neuer Bericht über Telematiknetze anschließen soll. Die französische Datenschutzbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) soll zu dem vorläufigen Gesetzesentwurf angehört werden, der allerdings zum Zeitpunkt der Erstellung dieses Berichts noch nicht vorlag.
In Irland ist der Justizminister für die Gesetzgebung in Sachen Datenschutz zuständig. Die Rechtsvorschriften, die zur Anwendung der Richtlinie notwendig sind und Änderungen am Datenschutzgesetz aus dem Jahre 1988 erfordern, werden zur Zeit erarbeitet.
In Italien wurde das Gesetz zum Schutz personenbezogener Daten am 31. Dezember 19965 angenommen; es trat am 8. Mai 19976 in Kraft. Das Parlament ermächtigte die Regierung7, gesetzgeberisch tätig zu werden, um das Gesetz für die Umsetzung der Richtlinie zu ändern und zu ergänzen.
In Luxemburg ist das Justizministerium für die Umsetzung der Richtlinie in die innerstaatlichen Rechtsvorschriften zuständig. Ein Gesetzesentwurf wurde 1997 zwar vorgelegt, später aber wieder zurückgezogen. Eine neue Vorlage soll vom Parlament im September 1998 geprüft werden.
Die niederländische Regierung hat die Absicht bekundet, das seit dem 1. Juli 1989 geltende Datenschutzgesetz durch ein vollständig neues Datenschutzgesetz zu ersetzen, das der Richtlinie entspricht. Am 16. Februar 1998 wurde dem Parlament zu diesem Zweck ein Gesetzesentwurf vorgelegt. Der zuständige parlamentarische Unterausschuß gab im Juni 1998 seine Stellungnahme ab, und die Aussprache in der Plenarsitzung soll noch vor Ende dieses Jahres stattfinden.
Das österreichische Bundeskanzleramt hat einen Entwurf für die Umsetzung der Richtlinie in innerstaatliche Rechtsvorschriften erarbeitet, der vom Datenschutzrat geprüft wurde; eine überarbeitete Fassung soll dem Parlament im Herbst 1998 vorgelegt werden.
In Portugal wurde die Verfassung durch das Verfassungsgesetz Nr. 1/97 vom 20. September 1997 geändert, damit die Richtlinie umgesetzt werden kann. Die portugiesische Verfassung enthält nämlich Bestimmungen zum Datenschutz, die in einigen Fällen restriktiver sind als die Bestimmungen der Richtlinie8. Die portugiesische Datenschutzbehörde hat in der Arbeitsgruppe, die vom Justizminister zur Erarbeitung eines Vorentwurfs zur Umsetzung der Richtlinie eingesetzt wurde, eine wichtige Rolle gespielt. Dieser Vorentwurf wurde zur Anhörung verteilt und auf der Internet Site des Justizministeriums veröffentlicht. Der Gesetzesentwurf wurde dem Parlament am 2. April 1998 vorgelegt; er soll bis zum 24. Oktober 1998 angenommen werden.
In Finnland hat ein Ad-hoc-Ausschuß für die Umsetzung der Richtlinie (Henkilötietotoimikunta) seine Arbeit 1997 abgeschlossen. Der Gesetzesentwurf wurde dem Parlament im Juli 1998 vorgelegt.
In Schweden wurde das neue Datenschutzgesetz am 16. April 1998 vom Parlament angenommen. Verschiedene weitere Maßnahmen sollen im September 1998 im Rahmen von Verordnungen verabschiedet werden.
Im Vereinigten Königreich wurde der Gesetzesentwurf zum Datenschutz dem Parlament am 14. Januar 1998 vorgelegt und im Juli 1998 angenommen (die königliche Zustimmung wurde am 16. Juli 1998 erteilt). Bis zum 30. September sind die abgeleiteten Rechtsvorschriften Gegenstand einer öffentlichen Anhörung. Mit einem Inkrafttreten des Gesetzes vor Anfang 1998 wird nicht gerechnet.
2.1.3. Einhaltung der Richtlinie auf der Ebene der europäischen Institutionen
Die europäischen Institutionen, und insbesondere die Kommission, verarbeiten laufend personenbezogene Daten im Rahmen ihrer Tätigkeiten. Die Kommission tauscht personenbezogene Daten mit den Mitgliedstaaten im Rahmen der gemeinsamen Agrarpolitik, bei der Verwaltung des Zollsystems, der Verwaltung der Strukturfonds, usw. aus. Um beim Schutz in Europa keine Lücken entstehen zu lassen, erklärte die Kommission, als sie die Richtlinie 1990 vorschlug, daß sie die Grundsätze der Richtlinie ebenfalls einhalten werde.
Bei Erlaß der Richtlinie verpflichteten sich die Kommission und der Rat in einer öffentlichen Erklärung, die Richtlinie einzuhalten, und sie forderten die anderen Organe und Einrichtungen der Gemeinschaft auf, ihrem Beispiel zu folgen9.
Während der Regierungskonferenz über die Überprüfung der Verträge wurde die Frage der Anwendung der Datenschutzbestimmungen in den europäischen Institutionen von der niederländischen und griechischen Regierung gestellt. Am Ende der Verhandlungen führte der in Amsterdam unterzeichnete Vertrag dazu eine spezielle Bestimmung ein. In der endgültigen Numerierung handelt es sich hierbei um Artikel 286, der wie folgt lautet:
(1) Ab 1. Januar 1999 finden die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten auf die durch diesen Vertrag oder auf der Grundlage dieses Vertrags errichteten Organe und Einrichtungen der Gemeinschaft Anwendung.
(2) Vor dem in Absatz 1 genannten Zeitpunkt beschließt der Rat gemäß dem Verfahren des Artikels 251 die Errichtung einer unabhängigen Kontrollinstanz, die für die Überwachung der Anwendung solcher Rechtsakte der Gemeinschaft auf die Organe und Einrichtungen der Gemeinschaft verantwortlich ist, und erläßt erforderlichenfalls andere einschlägige Bestimmungen"
Artikel 286 besagt also, daß die Einrichtungen und Organe der Gemeinschaft die gemeinschaftlichen Vorschriften über den Schutz von personenbezogenen Daten, die in der Richtlinie 95/46/EG festgelegt sind, ab dem 1. Januar 1999 anwenden. Des weiteren wird hierin festgelegt, daß das Europäische Parlament und der Rat bis zu diesem Termin einem Vorschlag der Kommission entsprechend eine unabhängige Kontrollinstanz schaffen sollen, die dafür Sorge zu tragen hat, daß die obengenannten Vorschriften von den Institutionen der Gemeinschaft ordnungsgemäß angewendet und alle erforderlichen Maßnahmen getroffen werden.
Vor der Ratifizierung des Vertrages erarbeiteten die Dienststellen der Kommission einen vorläufigen Verordnungsentwurf, die zuständige Arbeitsgruppe wurde am 16. März 1998 zur Stellungnahme konsultiert.
2.2. Entwicklungen im Bereich Datenschutz. Tätigkeiten der Datenschutzbehörden
Dieser Abschnitt hebt die wichtigsten Entwicklungen im Bereich Datenschutz hervor und beschäftigt sich insbesondere mit der Arbeit der nationalen Datenschutzbehörden. Weitere Informationen sind bei den Datenschutzbehörden erhältlich, die detaillierte Jahresberichte veröffentlichen.
Österreich
Das österreichische Bundeskanzleramt hat einen Entwurf für ein neues Datenschutzgesetz erarbeitet, das die Richtlinie in innerstaatliche Rechtsvorschriften umsetzen soll. Daneben geht dieser Entwurf auf eine Reihe anderer Probleme ein, beispielsweise die Verantwortung für Datenbanken, die von verschiedenen für Daten Verantwortlichen erstellt werden.
Der österreichische Datenschutzausschuß hat 1997 mehr als 30 von einzelnen Bürgern eingelegte Beschwerden, 90 Fälle im Zusammenhang mit Lizenzen zum Export von Daten in Drittländer und etwa 80 Registrierungsfälle bearbeitet.
Die Mitarbeiter in der Geschäftsstelle des Datenschutzausschusses waren - genau wie in den letzten Jahren - sehr stark damit beschäftigt, Bürger in vielen Fällen schriftlich oder telefonisch juristisch zu beraten. Seit der Liberalisierung des Telekommunikationssektors in Österreich hat die Geschäftsstelle einen starken Anstieg von Ersuchen um Auskünfte zu Fragen der Privatsphäre bei Telefonabrechnungssystemen zusammen mit vielen anderen Anfragen zu Themen wie Datenschutz und Direktmarketing, soziale Sicherheit und Beschäftigung zu verzeichnen.
Die Beschwerden, die vor den Ausschuß gebracht wurden, betrafen beispielsweise das Recht eines ausländischen Arbeitnehmers, seinen Arbeitgeber nicht mehr über seinen Rechtsstatus in Österreich wissen zu lassen, als in seiner offiziellen Aufenthaltsgenehmigung angegeben ist. Der Ausschuß entschied des weiteren, daß ein (öffentlicher) Telekommunikationsbetreiber kein Recht habe, eine geheime Telefonnummer auf die Monatsrechnungen an eine Bank aufzudrucken, auch wenn dem Kreditinstitut die Nummer zu einem früheren Zeitpunkt von dem Betreffenden mitgeteilt worden war.
Erwähnenswert erscheint der Hinweis, daß der Ausschuß einen wachsenden Trend hin zu einem grenzüberschreitendem Datenstrom für Zwecke der medizinischen Beratung sowie der Personalverwaltung und DV-Systemwartung durch multinationale Unternehmen festgestellt hat. Insbesondere die Fernwartung über Landesgrenzen hinweg scheint eines der wichtigeren Themen für die unmittelbarere Zukunft zu sein.
Belgien
Die belgische Datenschutzbehörde gab 1997 etwa vierzig Stellungnahmen ab, und zwar in der Hauptsache auf Anfrage von Behörden, aber auch auf ihre eigene Initiative hin. Diese Stellungnahmen bezogen sich auf die Anwendung der Grundsätze des Schutzes der Privatsphäre bei der Verarbeitung von personenbezogenen Daten. Nahezu 45 % dieser Stellungnahmen im Jahre 1997 betrafen das nationale Personenregister.
Die belgische Datenschutzbehörde ist für die Prüfung von ihr vorgelegten Beschwerden zuständig. Bei der Mehrzahl der Schreiben zu Beschwerden von Privatpersonen handelte es sich eigentlich um Auskunftsersuchen. Die Behörde bearbeitete 1997 tatsächlich etwa fünfzig Anfragen.
Im Hinblick auf Verbraucherkredite lag die Zahl der Beschwerden nach wie vor unverändert bei etwa 500.
Bei Anfragen nach indirekter Einsicht in Akten des Informationsministeriums und der Polizei hatte die Behörde 34 Vorgänge zu bearbeiten.
Zu den Aufgaben der Behörde gehört auch die Information der Öffentlichkeit. Sie erhielt 1997 nahezu 700 Bitten um schriftliche Auskünfte und beantwortete zahllose Fragen am Telefon.
Mehr als 7.000 Datenverarbeitungsfälle wurden 1997 an die Behörde verwiesen, davon bezogen sich 30 % auf den Bereich des Gesundheitswesens. Die Anzahl von Anfragen zu Informationen in dem von der Behörde geführten öffentlichen Register, einschließlich dieser Meldungen, nahm deutlich zu.
Die belgische Datenschutzbehörde nahm außerdem an verschiedenen wissenschaftlichen und Informationsveranstaltungen auf nationaler und internationaler Ebene teil und organisierte die 19. internationale Konferenz der Datenschutzbeauftragten, die vom 17. bis 19. September in Brüssel stattfand.
Dänemark
Der Datenschutzbeauftragte beschäftigte sich 1997 mit mehr als 2.000 neuen Fällen im öffentlichen und privaten Bereich. Im gleichen Zeitraum führte der Beauftragte mehr als 70 Kontrollen bei Behörden und Privatunternehmen durch.
Der Datenschutzbeauftragte gab eine Stellungnahme zu einem Vorschlag für ein Gesetz über digitale Signaturen für das Forschungsministerium ab. Er befürwortet im allgemeinen den Entwurf, weil Gesetzesvorschriften in diesem Bereich zum Ausbau der digitalen Kommunikation und zur Verbesserung der Sicherheit von Kommunikation in diesem Bereich beitragen könnten.
Der Beauftrage erklärte, daß bei der Übertragung von sensiblen Patientendaten zwischen Gesundheitsbehörden über das Internet diese Informationen verschlüsselt sein müßten und daß dies zu dem erforderlichen hohen Schutzniveau führen solle. Im Zusammenhang mit diesem Fall gab der Beauftragte an, daß seiner Ansicht nach sensible personenbezogene Daten nicht auf Rechnern gespeichert bleiben sollen, die an das Internet angebunden werden können, wenn die notwendigen Sicherheitsmaßnahmen gegen einen unbefugten Zugriff nicht eingerichtet seien.
In einem anderen Fall meldete der Beauftragte Besorgnis in bezug auf die Einrichtung einer Datenbank in einem Krankenhaus an, auf die Ärzte über das Internet zugreifen können sollten, um personenbezogene Daten zu übermitteln oder abzurufen. Nach Ansicht des Datenschutzbeauftragten sollte der Zugriff auf derartige Datenbanken über geschlossene Netze erfolgen.
Hinsichtlich der Frage der Verschlüsselung von Daten im Internet gab der Datenschutzbeauftragte seine Stellungnahme zum Entwurf einer Mitteilung der Europäischen Kommission zum Thema elektronische Signaturen und Verschlüsselung ab. Er betonte insbesondere die vorrangige Bedeutung der Wahrung des Rechts auf Privatsphäre und der Vertraulichkeit der Kommunikation und ging davon aus, daß Beschränkungen der Verschlüsselungstechnik diese Grundsätze verletzten.
Der Datenschutzbeauftragte mußte sich des weiteren mit der Frage der sogenannten "Cookies" im Internet beschäftigen. Seiner Ansicht nach könne die Verwendung von Cookies zwar unter Umständen eine Bedrohung für die Privatsphäre darstellen, dies sei jedoch nicht notwendigerweise der Fall. Die wichtigste Frage sei, ob die Internet-Benutzer dieses Phänomen kennen würden, damit sie entsprechende Gegenmaßnahmen ergreifen könnten.
Darüber hinaus trat am 1. Januar 1997 eine kleine Änderung an den Gesetzesvorschriften über Datenbestände in Kraft, die von Behörden geführt werden; hierdurch wurde das Recht der Behörden, Daten über ihre Schuldner privaten Finanz-Rating-Organisationen mitzuteilen, ausgeweitet.
Finnland
Gesetzgeberische Entwicklungen
In Finnland legte die vom Justizministerium zur Reform des Gesetzes über Verzeichnisse mit personenbezogenen Daten eingesetzte Datenschutzbehörde am 16. Mai 1997 ihren Bericht vor. Um Stellungnahme zu dem Bericht wurde gebeten; anschließend wurde die Erarbeitung des neuen "Gesetzes über personenbezogene Daten" im Justizministerium fortgesetzt. Ziel ist, die Bestimmungen der Richtlinie 95/46/EG bis zum 24. Oktober 1998 umzusetzen. Eine weitere wichtige Reform wird gegenwärtig vom Justizministerium vorbereitet, und zwar der Vorschlag für ein neues Gesetz ("Act on Open Government"), das unter anderem Bestimmungen über von Behörden betriebene Systeme zur Archivierung von personenbezogenen Daten und die Definition einer vorbildlichen Verhaltensweise bei der Verwaltung von Informationen enthält.
Das Europol-Übereinkommen und die entsprechenden Änderungen der Rechtsvorschriften wurden vom Parlament Ende 1997 angenommen. Der für den Datenschutz zuständige Ombudsmann wurde als innerstaatliche Datenschutzbehörde bestellt. Die Bestimmungen der Richtlinie 97/66/EG über den Datenschutz im Bereich der Telekommunikation sollen durch ein neues Gesetz über den Schutz der Privatsphäre und die Datensicherheit in der Telekommunikation umgesetzt werden, das zur Zeit vom Ministerium für Transport und Telekommunikation erarbeitet wird. In verschiedenen anderen Sektoren wurden Gesetzesvorhaben in die Wege geleitet, die unter anderem die Forderungen der Richtlinie 95/46/EG beinhalten.
Eine vom Justizministerium 1997 eingesetzte Arbeitsgruppe hat sich mit den gesetzgeberischen Notwendigkeiten im Zusammenhang mit digitalen Signaturen und Zertifizierungsstellen beschäftigt. Eine vom Ministerium für Gesundheit und Wohlfahrt 1997 ins Leben gerufene Arbeitsgruppe untersucht den Einsatz von Technologien im Gesundheitswesen und die Notwendigkeit einer Berücksichtigung von Datenschutzfragen. Im Zusammenhang damit sollen das Erfordernis und die Möglichkeiten einer Patientenkarte untersucht werden. Eine vom Arbeitsministerium 1997 einberufene Arbeitsgruppe schließlich hat sich um Fragen der Privatsphäre von Arbeitnehmern bei der Personalauswahl und Einstellungstests gekümmert.
Rechtsprechung
In Finnland sind Staatsanwälte verpflichtet, den Ombudsmann für den Datenschutz anzuhören, bevor sie wegen Delikten oder Verstößen im Zusammenhang mit Dateien Klage erheben. Dementsprechend muß das Gericht dem Ombudsman Gelegenheit geben, gehört zu werden. Die Anfragen nach Stellungnahmen nehmen ständig zu, ebenso die Gerichtsverfahren (1997 gab es 12 derartige Anfragen). In den meisten Fällen handelt es sich um die unrechtmäßige Verwendung von personenbezogenen Daten, die in einem DV-System gespeichert sind: Eine Person in den Diensten der Registerstelle nutzte die Daten zur Erlangung von persönlichen Vorteilen.
Tätigkeit der Datenschutzbehörde
Im Rahmen der zur Verfügung stehenden Mittel hat sich die Geschäftsstelle des Ombudsmanns für den Datenschutz in besonderer Weise bemüht, ihre Informationsdienste zu verbessern. Wichtigstes Medium zur Information ist das Datenschutz-Mitteilungsblatt. Das Amt eröffnete 1997 seine eigenen Home Pages im WWW. Gleichzeitig wurde ein Informationspaket über die Rechte der Bürger und deren Geltendmachung erstellt. In praktischer Hinsicht konzentrierten sich die Arbeiten der Geschäftsstelle auf die Bereiche Gesundheitswesen und Beschäftigung. Mehr und mehr Mittel wurden für Datenschutzfragen aufgewendet, die sich aus dem wachsenden Einsatz von DV-Technologie und Netzwerken (einschließlich Internet) ergeben.
Datenübermittlungen in Drittländer
In Finnland ist die Genehmigung der Datenschutzkommission für Datenübermittlungen in Drittländer erforderlich, wenn personenbezogene Daten im Rahmen einer Massenlieferung oder als sensible Stichprobe in ein Land übermittelt werden, dessen Gesetzesvorschriften bezüglich des Datenschutzniveaus nicht den finnischen Standards entsprechen. Andere Übermittlungen von personenbezogenen Daten in großem Umfang sind dem Ombudsmann für den Datenschutz zu melden.
Im wesentlichen gab es zweierlei Meldungen von Datenübermittlungen in Drittländer:
Zum einen wurden in die Vereinigten Staaten Namen und Anschriften zum Drucken und Versenden von Direktwerbematerialien übermittelt. Der Empfänger in den USA verpflichtete sich, die Daten zu sichern und nicht für andere Zwecke zu benutzen. Danach wurden die Daten zurück nach Finnland geschickt.
Zum zweiten haben finnische Tochtergesellschaften von ausländischen Unternehmen Übermittlungen von personenbezogenen Daten an das zentrale Personalverwaltungssystem der Arbeitsgruppe oder des Unternehmens gemeldet. Diese Daten sollen nur zur Personalverwaltung und Laufbahnplanung verwendet werden; sie stehen den Unternehmen der Arbeitsgruppe zur Verfügung, die in verschiedenen Ländern tätig ist. Der Ombudsmann für den Datenschutz hat die Anweisung gegeben, daß die Mitarbeiter über die Datenübermittlung informiert und angemessene Maßnahmen zur Datensicherung ergriffen werden.
Frankreich
Im Jahre 1997 wurden 4.452 Fälle an die Commission Nationale de l'Informatique et des Libertés (CNIL) verwiesen, darunter 821 Bitten um Beratung und 2.348 Beschwerden. Eingegangen sind außerdem 2.724 Anfragen zu Stellungnahmen zur Verarbeitung von personenbezogenen Daten im öffentlichen Sektor von insgesamt 67.136 Fällen zur Verarbeitung von Daten im öffentlichen und privaten Sektor. Die wichtigsten Bereiche des Jahres 1997 sind im folgenden aufgeführt.
Die Reform der Sozialversicherung und das Ziel einer besseren Kontrolle der Ausgaben im Gesundheitswesen führten dazu, daß Frankreich das größte Intranet errichtete, in dem besonders sensible gesundheitsbezogene Daten verkehren können. Jedes Mitglied der Sozialversicherung und jeder, der Dienstleistungen im Gesundheitswesen erbringt, erhält bis zum Jahr 2000 eine Chipkarte, die die Übertragung von Daten ermöglicht, die für die Erstattung von Leistungen im Gesundheitswesen durch Sozialversicherungsträger erforderlich sind; nach diesem Datum sollen in diesem Bereich keine Dokumente in Papierform mehr zum Einsatz kommen. Die DV-Anbindung der Dienstleister im Gesundheitswesen, die Einführung dieses Netzwerkes, die Ausgabe von Chipkarten an die Sozialversicherungsmitglieder und die Dienstleister im Gesundheitswesen, die Erstellung von landesweiten Verzeichnissen über die Dienstleister und die Sozialversicherungsmitglieder (und zwar nicht nur die Eltern, sondern auch deren Kinder von Geburt an) und der Einsatz einer neuen Verschlüsselung für alle möglichen Krankheiten haben die nationale Datenschutzbehörde auf den Plan gerufen, die in enger Zusammenarbeit mit repräsentativen Organisationen der Dienstleister im Gesundheitswesen und der Patienten tätig war. Die Datenschutzbehörde hat ihre Vorbehalte zu Themen deutlich gemacht, zu denen sie von der französischen Regierung angesprochen wurde; meistenteils wurde diesen Vorbehalten Rechnung getragen. Im Februar 1997 wollte die Behörde, daß eine allgemeine Empfehlung zu Netzwerken im Gesundheitswesen angenommen wird, die besonders begrüßt wurde (Amtsblatt vom 12. April 1997).
Das Aufkommen von riesigen Datenbanken mit Angaben über das Verhalten von Personen, die mit Hilfe von Fragebögen erstellt wurden, die nahezu zweihundert Fragen enthielten und von verschiedenen Privatunternehmen ausgegeben wurden, führte zu zahlreichen Beschwerden bei der CNIL. In diesem Zusammenhang hat der Unterausschuß eine Empfehlung verabschiedet, die die Bedingungen, unter denen Privatpersonen eindeutig und ehrlich über die kommerzielle Nutzung von erfaßten Daten und über ihre Rechte informiert werden müssen, klären soll. Tatsächlich verwendeten die betreffenden Unternehmen mehrdeutige Ausdrücke, bei denen man meinen konnte, es handelte sich um ausschließlich statistische Erhebungen, die für den Staat durchgeführt würden. Die Behörde verwarnte außerdem eines dieser Unternehmen, das auf seinen Fragebögen das Feld vergessen hatte, das von den Personen, die nicht wollen, daß ihre Daten an Dritte weitergegeben werden, anzukreuzen ist. In einem Urteil vom 30. Juli 1997 bestätigte der Conseil d'Etat, die höchste Instanz der Verwaltungsgerichtsbarkeit in Frankreich, die Stichhaltigkeit dieser Verwarnung. Dies war die erste richterliche Entscheidung, die sich auf eine Verwarnung eines Unternehmens, das für Datenbestände verantwortlich ist, durch die CNIL bezog.
Im Bankwesen veranlaßte die erhebliche Zahl von vorgebrachten Beschwerden den Unterausschuß dazu, Kontrollen in den größten Kreditinstituten mit dem Ziel durchzuführen, Bankdaten, die zur Erstellung von Profilen verwendet werden, besser zu verwalten. Diese Kontrollen müssen durch Besuche in den Kreditinstituten ergänzt werden, um die Bedingungen zu überprüfen, unter denen die Beurteilung der Kreditwürdigkeit abläuft. Es hat sich gezeigt, daß bei gleicher finanzieller Situation das Kriterium der Nationalität diesen Instituten die Möglichkeit gegeben könnte, zwischen französischen Staatsangehörigen und Staatsangehörigen anderer Länder der Europäischen Union oder französischen Staatsangehörigen und Staatsangehörigen eines Drittlandes zu diskriminieren.
Um die Anwendung des Gesetzes auf Internet-Aktivitäten zu erleichtern, hat der Unterausschuß ein Standardmodell erarbeitet, das die Verfahren für die Internet Sites der verschiedenen Ministerien regelt. Zusammen mit dem Leitfaden, der an alle Verantwortlichen für Web Sites verteilt wurde, wiederholt dieses Modell die Empfehlungen, die in Zusammenarbeit mit betroffenen Privatpersonen für die hauptsächlichen Nutzungsbereiche des Internet, E-Mail, Diskussionsforen, On-line-Datensammlung und die Verbreitung von personenbezogenen Daten erarbeitet wurden. Im letztgenannten Fall betonte der Unterausschuß einerseits besonders das Recht der Betroffenen, von vornherein oder zu einem späteren Zeitpunkt der Verbreitung von sie betreffenden Daten zu widersprechen, andererseits erinnerte er die Nutzer von Internet Sites an das Verbot, personenbezogene Daten, die auf diese Weise verbreitet werden, zu anderen Zwecken, insbesondere kommerzieller Art, zu verwenden. In Frankreich werden somit die folgenden Rechte heute anerkannt:
– das Recht von natürlichen Personen, dagegen Einspruch einzulegen, daß Behörden ihre Organigramme über öffentliche Sites oder Verzeichnisse verbreiten (Erlaß vom 16. Mai 1997, französisches Amtsblatt vom 18. Mai 1997),
– das Recht von in Telefonverzeichnissen aufgeführten Teilnehmern, gegen ihr Erscheinen in "reverse directory services" und in über das Internet abrufbaren Verzeichnissen Einspruch einzulegen (CNIL-Empfehlung vom 8. Juli 1998, Amtsblatt vom 2. August 1997 und Beschluß von France Telecom vom 23. Januar 1998, der im französischen Amtsblatt von Februar 1998 veröffentlicht wurde).
Anfang 1998 schließlich hat die CNIL den 20. Jahrestag des Gesetzes über "Informationstechnologie und Freiheit" vom 6. Januar 1978 gefeiert. Bei dieser Gelegenheit zeichnete die Behörde sechs Personen oder Organisationen, die sich in besonderer Weise um den Datenschutz verdient gemacht haben, mit dem Preis für "Informationstechnologie und Freiheit" aus; außerdem startete sie ihre Internet Site (http:/www/cnil/fr), die eine besondere Funktion enthält, mit der sich alle Anwender der "Rückverfolgbarkeit" ihrer Navigation im Internet bewußt werden können.
Deutschland
Im Anschluß an das Urteil des Bundesverfassungsgerichts über das Volkszählungsgesetz aus dem Jahre 1983, das für die Datenschutzgesetzesvorschriften von Bedeutung war, wurde es unter anderem notwendig, eine gesetzliche Grundlage für die zahlreichen offiziellen Mitteilungen von Gerichten und Staatsanwaltschaften, insbesondere bei Strafverfahren, an andere öffentliche Stellen wie beispielsweise Arbeitgeber im öffentlichen Dienst zu schaffen. Aufgrund des Umfangs des dabei zu berücksichtigenden Materials wurde das Justizmitteilungsgesetz nach langwierigen Vorbereitungen erst am 26. Juni 1997 verkündet. Das Gesetz legt einen breiten Rahmen für Situationen fest, in denen Datenmitteilungen dieser Art zulässig sind, sofern sie von der mitteilenden Stelle als für die Ausübung der Zuständigkeiten des Empfängers notwendig gehalten werden und für die Behörde nicht erkennbar ist, daß die betreffende Person ein übergeordnetes schutzwürdiges Interesse an der Verhinderung solcher Mitteilungen hat. Die Bereitstellung von umfassenden Informationen über derartige Mitteilungen an die Betroffenen, die von den Datenschutzbehörden angestrebt wurden, bleibt - leider - zur Erleichterung des Verwaltungsaufwandes überaus begrenzt. Nachdem das Justizmitteilungsgesetz durch Verwaltungsverordnungen, in denen diejenigen Justizmitteilungen festgelegt werden, die allgemein zulässig sind, ergänzt wurde, trat es am 1. Juni 1998 in Kraft.
Bei Strafverfahren gewann die Genanalyse 1997 zunehmend an Bedeutung. Der Bundesdatenschutzbeauftragte empfahl eindringlich, daß es eine gesetzliche Ermächtigung für die geplante zentrale Speicherung und Verarbeitung der Ergebnisse von DNA-Analysen beim Bundeskriminalamt geben solle.
Aus deutscher Sicht ist das Gesetz zur Ratifizierung des Europol-Übereinkommens nicht nur ein wichtiger Meilenstein in Vorbereitung auf die Beteiligung an Europol, sondern es enthält auch wichtige Vorschriften, unter anderem über die Zuständigkeit und die Unabhängigkeit des deutschen Vertreters im Beschwerdeausschuß des gemeinsamen Kontrollorgans bei Europol.
Nach der Liberalisierung des Telekommunikationsmarktes ist jetzt in Deutschland eine große Anzahl von neuen Anbietern tätig. Während des Berichtszeitraums mußten aus diesem Grunde weitere sektorielle Verordnungen verabschiedet werden, und diese enthalten wichtige Bestimmungen zum Datenschutz. Im Juni 1997 wurde das Informations- und Kommunikationsdienste-Gesetz angenommen. Dieses Gesetz regelt den Datenschutz bei der Nutzung von Telekommunikationsdiensten. Begleitet wurde es von dem Signaturgesetz, das den rechtlichen Rahmen für sichere digitale Signaturen schafft. Die Telekommunikations-Kundenschutzverordnung wurde im Dezember 1997 verkündet und trat im Januar 1998 in Kraft. Dem Bundesdatenschutzbeauftragten wurde 1997 die Aufgabe übertragen, die Einhaltung der Datenschutzvorschriften durch Anbieter von Telekommunikationsdiensten zu überwachen.
Das Postgesetz, das im Januar 1998 in Kraft trat, ist ein wichtiger Schritt in Richtung vollständiger Liberalisierung des Marktes für Postdienste. Nach dem Gesetz müssen alle Firmen, die Postdienste erbringen, das Postgeheimnis bei ihren Tätigkeiten wahren und die Datenschutzanforderungen erfüllen, die im Postsektor immer schon höher waren als die Anforderungen in allgemeinen Datenschutzvorschriften. Dem Bundesdatenschutzbeauftragten wurden außerdem neue Kontrollbefugnisse für diesen Sektor übertragen.
Das Gesetzgebungsverfahren zur Einführung der akustischen Überwachung von Wohnungen kam im Berichtszeitraum wesentlich voran; die neuen Vorschriften, die im März 1998 gebilligt wurden, gestatten Eingriffe in das Grundrecht der Unverletzlichkeit der Wohnung. Sie stellten einen annehmbaren Kompromiß zwischen dem Schutz des Privatlebens einer Person im engsten Sinne und einem wichtigen Instrument im Kampf gegen das organisierte Verbrechen dar. Auf richterliche Anordnung können technische Mittel zur akustischen Überwachung von Wohnungen eingesetzt werden, bei denen hinreichender Verdacht besteht, daß sich die Beschuldigten in ihnen aufhalten. Dies ist allerdings nur bei Ermittlungen in besonders schweren Strafsachen zulässig. Die Einhaltung der gesetzlichen Vorschriften, nach denen die Überwachungsmaßnahme lediglich als letzter Ausweg in Strafverfahren zum Zuge kommen kann, wird von einem Gericht überwacht. Außerdem muß das Parlament jedes Jahr über alle Überwachungsmaßnahmen informiert werden. Da auch die betreffenden Parteien davon in Kenntnis gesetzt werden müssen, sobald dies möglich ist, ohne den Zweck der Ermittlung zu gefährden, können sich diese an die Gerichte wenden, um die Rechtmäßigkeit der Überwachung zu überprüfen.
Griechenland
Mit dem Gesetz 2427 über den Schutz von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten vom 10. April 1997 war Griechenland zwar der letzte Mitgliedsstaat, der ein Datenschutzgesetz verabschiedete, aber der erste, der den Richtlinienrahmen - deutlich früher als geplant - umsetzte.
Der Präsident und die sechs Mitglieder der griechischen Datenschutzbehörde wurden mit ihren Stellvertretern im Oktober 1997 nach dem von Artikel 16 des neuen Gesetzes vorgesehenen Verfahren bestellt (Ernennung durch die Regierung und Bestätigung durch das Parlament). Die Behörde nahm am 10. November 1997 ihre Arbeit auf und beschäftigte sich bei ihren Sitzungen 1997 mit praktischen Fragen, wie der Annahme ihrer Geschäftsordnung, der Einstellung von Fach- und Sekretariatspersonal sowie dem Kauf der notwendigen Ausrüstung. Darüber hinaus nahmen der Präsident und die Mitglieder der Behörde an zahlreichen Konferenzen und Seminaren zu Datenschutzfragen teil. Es wird erwartet, daß die Behörde bis zum Herbst 1998 ihre Aufgaben in vollem Umfang wahrnimmt.
Irland
Gesetzgeberische Entwicklungen
Das Gesundheitsministerium konsultierte den Datenschutzbeauftragten zu einem Vorschlag zur Einführung eines Bevölkerungsregisters, das bei einem nationalen Vorsorgeprogramm gegen Gebärmutterhalskrebs helfen soll. Es wurde vorgeschlagen, die Daten im Register aus dem damaligen Ministerium für Soziales, dem Ausschuß für allgemeine medizinische Dienste (Zahlungen) und dem Ausschuß für freiwillige Krankenversicherungen zu beschaffen. Der Datenschutzbeauftragte vertrat die Ansicht, daß eine derartige Weitergabe von Daten durch eine dieser Stellen über ihre gesetzlichen Befugnisse als Verantwortliche für Daten hinausgehe. Das führte zu dem "Health (Provision on Information) Act" aus dem Jahre 1997, welches es den für Daten Verantwortlichen ermöglicht, unter bestimmten Umständen und speziellen Auflagen die erforderlichen Daten weiterzugeben. Der Datenschutzbeauftragte erklärte öffentlich seine Zustimmung zu dem in den Gesetzesvorschriften enthaltenen Niveau des Schutzes der Privatsphäre.
Der Datenschutzbeauftragte meldete andererseits Besorgnis zu Abschnitt 15 des Wohnungsbeschaffungsgesetzes (verschiedene Bestimmungen) aus dem Jahre 1997 an. Dabei handelt es sich um eine Maßnahme, die die Wahrscheinlichkeit, daß Personen mit Vorstrafen oder asozialem Verhalten öffentliche Wohnungen zugewiesen werden, verringert, indem es gestattet, daß Informationen über sie von der Polizei oder anderen Behörden an das Wohnungsamt weitergegeben werden. Er fragte, ob die Bestimmung überhaupt notwendig sei, da Abschnitt 8 des Datenschutzgesetzes aus dem Jahre 1988 die Weitergabe von personenbezogenen Daten gestatte, wenn andernfalls die Verhinderung, Erkennung oder Ermittlung einer Straftat behindert würde. Er kommentierte des weiteren, daß der beabsichtigte Abschnitt 15 seiner Ansicht nach anfechtbar sei, weil er zu allgemein gehalten sei und es ihm an Verhältnismäßigkeit mangele. Ungeachtet der Anmerkungen des Datenschutzbeauftragten wurde die Bestimmung zum Gesetz erklärt.
Rechtsprechung
Während Rechtsmittel gegen eine Entscheidung des Datenschutzbeauftragten über eine Beschwerde und eine von ihm gegen eine Krankenversicherungsgesellschaft ergangene Vollstreckungsbenachrichtigung vor den Gerichten anhängig blieben, wurden von den Gerichten 1997 keine neuen Präzedenzfälle entschieden. Der Datenschutzbeauftragte begrüßte die Einführung eines speziellen Mailing-Dienstes durch den irischen Direktmarketing-Verband, durch den sich natürliche Personen von allen Mailing-Listen, die von den Verbandsmitgliedern geführt werden, ausschließen lassen können. Dabei handelt es sich um eine freiwillige Maßnahme, die das nach Abschnitt 2 Absatz 7 des Datenschutzgesetzes aus dem Jahre 1988 bestehende Recht von natürlichen Personen, von einem für Daten Verantwortlichen verlangen zu können, die Nutzung ihrer personenbezogenen Daten für Direktmarketingzwecke einzustellen, ausweitet.
Tätigkeit des Datenschutzbeauftragten
Die Gespräche zwischen dem Datenschutzbeauftragten und der nationalen irischen Telefongesellschaft Telecom Eireann über deren Pläne zur Einführung eines Systems zur Anruferidentifizierung wurden 1997 fortgesetzt. Der Datenschutzbeauftragte vertrat die Ansicht, daß die Teilnehmer bei Einführung der Anruferidentifizierung in der Lage sein müßten, gleichermaßen problemlos aus einer kompletten Palette von Möglichkeiten auszuwählen. Mit Telecom Eireann wurde folgende Einigung erzielt:
>
a) Bei der Einführung des Dienstes wird bei allen Teilnehmern, die nicht mehr im Fernsprechbuch stehen, die Anruferidentifizierung standardmäßig unterdrückt, bis sie sich diesbezüglich geäußert haben; bei den eingetragenen Teilnehmern wird sie angezeigt, obwohl der Datenschutzbeauftragte es ausdrücklich befürwortete, die Anruferidentifizierung für alle Teilnehmer von vornherein zu unterdrücken. Er behielt sich das Recht vor, dieses Thema nach einer anfänglichen Testphase noch einmal zur Sprache zu bringen.
b) Diese Vereinbarung hing davon ab, daß Telecom Eireann einen sehr hohen Grad an Transparenz in dem Informationsmaterial nachweisen konnte, das den Telefonnutzern vor der Einführung der Anruferidentifizierung zur Verfügung gestellt werden sollte. Dieses Material sollte dem Datenschutzbeauftragten im Entwurf zur Stellungnahme vorgelegt werden.
In der Dienststelle des Datenschutzbeauftragten eingegangene Beschwerden und Erkundigungen nahmen 1997 gegenüber dem Vorjahr um etwa 10 % zu, was ein wachsendes Bewußtsein in Datenschutzfragen sowohl auf seiten der für Daten Verantwortlichen als auch auf seiten der einzelnen Bürger erkennen läßt.
Datenübermittlungen in Drittländer
Es ergaben sich keine Fälle, in denen der Datenschutzbeauftragte gefordert war, das Schutzniveau in einem Drittland zu beurteilen. Der Datenschutzbeauftragte erhielt eine Reihe von Anfragen von für Daten Verantwortlichen, die Daten in Drittländer übermitteln wollten - im allgemeinen von irischen Tochtergesellschaften von in den USA beheimateten multinationalen Konzernen, die aufgefordert wurden, Daten an ihre Muttergesellschaften zu übermitteln. In diesen Fällen weist der Datenschutzbeauftragte darauf hin, daß im Falle einer sich auf die Verwendung im Drittland oder die Weitergabe von personenbezogenen Daten in das Drittland beziehende Beschwerde seine Untersuchung mit einer Prüfung der Maßnahmen beginne, die von den irischen Verantwortlichen für die Daten als Gewähr dafür ergriffen wurden, daß die ins Ausland übermittelten Daten nicht zu anderen Dingen als im Rahmen der Bedingungen der Einwilligung verwendet oder weitergegeben werden, die der Betroffene zu dem Zeitpunkt erteilte, als die Daten bereitgestellt wurden.
Italien
Gesetzgeberischer Rahmen
Die Gesetze 675 und 676 vom 31. Dezember 1996 über den Schutz von Personen bei der Verarbeitung von personenbezogenen Daten sollten die Richtlinie 95/46/EG entweder direkt umsetzen (Gesetz 675) beziehungsweise der Regierung die entsprechende Befugnis übertragen, die angewiesen wurde, die erforderlichen Maßnahmen zu ergreifen (Gesetz 676). Das Gesetz 675 führte außerdem die notwendigen Bestimmungen zur Durchführung des Übereinkommens 108 des Europarates ein: Die Instrumente zur Ratifizierung dieses Übereinkommens wurden am 29. März 1997 eingeführt, und das Übereinkommen trat am 1. Juli desselben Jahres in Italien in Kraft. Im Vergleich zu der Richtlinie und zu dem Übereinkommen ist der Geltungsbereich der italienischen Rechtsvorschriften insofern allgemeiner, als daß sie sich auf jegliche manuelle oder automatisierte Verarbeitung von Daten natürlicher oder juristischer Personen beziehen. Die vier Mitglieder der Aufsichtsbehörde ("Guarante per la protezione dei dati personali") wurden im März 1997 vom Parlament bestellt, wobei die Behörde von dem Tag arbeitsfähig war, an dem das Gesetz 675 in Kraft trat (8. Mai 1997).
Weitere Rechtsverordnungen wurden per Erlaß eingeführt (Erlaß 123 vom 9. Mai 1997 und Erlaß 255 vom 28. Juli 1997 über Informationen und vereinfachte Meldungen).
Unter den Rechtsverordnungen, die damit in Zusammenhang stehende Angelegenheiten regeln, sind das Gesetz zur Ratifizierung des Europol-Übereinkommens (das der Datenschutzbehörde die Verantwortung für die in ihren innerstaatlichen Verzeichnissen enthaltenen personenbezogenen Daten übertrug) und das Gesetz zur Einsetzung der Autorita per le garanzie nelle Comunicazioni erwähnenswert, das die Koordination der Tätigkeiten der Datenschutzbehörde und die Möglichkeit für den Nationalen Benutzerrat regelt, der Behörde zum Schutz personenbezogener Daten seine Stellungnahmen und Vorschläge zu unterbreiten.
Tätigkeiten der Datenschutzbehörde
Das Gesetz 675 enthält die Verpflichtung, die von der Datenverarbeitung betroffene Person vorab zu informieren. Erlaß 123 legt fest, daß diese Information gemäß den Vorschlägen der Datenschutzbehörde mündlich erfolgen kann.
Die Datenschutzbehörde mußte sich mit verschiedenen Problemen im Zusammenhang mit dem Grundsatz der Zustimmung beschäftigen; der erste Fall betraf das Bankgewerbe, insbesondere ein Formular, das an Kunden einer italienischen Großbank verschickt wurde: In seiner ersten Fassung verlangte das Formular eine "allgemeine" Zustimmung zu vielfältigen Verarbeitungsvorgängen, und wies darauf hin, daß bei Kunden, die keine allgemeine Zustimmung geben würden, die laufenden Konten geschlossen oder sogar die Verträge annulliert würden. Der Datenschutzbehörde wurden mehrere Beschwerden vorgelegt, und anhand des zusammengetragenen Beweismaterials kam sie zu einer Entscheidung, in der die Bank aufgefordert wurde, das Formular zu ändern und die bereits eingegangenen Erklärungen nicht zu berücksichtigen. Es fanden Beratungen mit dem Bankenverband und der Banca di Italia zur Regelung zahlreicher Probleme statt.
Die Datenschutzbehörde erarbeitete ein Musterformular (in italienischer Sprache und zweisprachig italienisch/deutsch), um die Verarbeitungsmeldung zu erleichtern, wobei als Stichtag für die Meldung der 31. März 1998 festgelegt wurde.
Die Verarbeitung von sensiblen Daten wurde unter besonderen Schutz gestellt: Wenn eine öffentliche Stelle für die Verarbeitung der Daten zuständig ist, muß sie durch eine ausdrückliche gesetzliche Bestimmung dazu ermächtigt werden, wobei die Daten, mit denen umgegangen werden kann, die zulässigen Vorgänge und der endgültige Zweck im öffentlichen Interesse angegeben werden. Das Gesetz besagt allerdings, daß Behörden für eine Übergangszeit - die bis zum 7. Mai 1998 läuft, aber wahrscheinlich um sechs Monate verlängert wird - weiterhin bei Mitteilung an die Datenschutzbehörde Daten verarbeiten können, die sie vor Inkrafttreten des Gesetzes erhalten haben; wenn eine Person, die dem Privatrecht unterliegt, Daten verarbeitet, können sensible Daten nur mit der schriftlichen Zustimmung der betroffenen Person und mit vorheriger Genehmigung der Datenschutzbehörde verarbeitet werden. Es wurden 8.889 Anträge auf Genehmigung gestellt.
In Übereinstimmung mit Artikel 41 Absatz 7 des Gesetzes 675 verabschiedete die Datenschutzbehörde "Standardgenehmigungen", die für bestimmte Kategorien von Stellen gelten, die Daten überprüfen oder verarbeiten. Die am 31. Dezember 1997 angenommenen sechs Genehmigungen betreffen:
(1) die Verarbeitung von sensiblen Daten in Arbeitsberichten;
(2) die Verarbeitung von Daten über den Gesundheitszustand und das Sexualleben;
(3) die Verarbeitung von Daten für gemeinnützige Verbände;
(4) die Verarbeitung von Daten für Berufsstände;
(5) die Verarbeitung von Daten durch bestimmte Kategorien von Stellen, die Daten überprüfen, (Banken, Versicherungen, Tourismus, Verkehr, Meinungsumfragen, Statistik, Mitarbeiterauswahl, Heiratsvermittlungen);
(6) die Verarbeitung von sensiblen Daten durch Privatdetektive.
Eines der heikelsten Probleme betrifft die Verarbeitung von Daten für journalistische Zwecke oder Zwecke der künstlerischen oder schriftstellerischen Darstellung. Die Datenschutzbehörde förderte die Annahme eines Berufskodex in diesem Bereich, indem sie mit Vertretern der betroffenen Gruppe allgemeine Beratungen durchführte.
Die Datenschutzbehörde kam ihren Ermittlungspflichten dadurch nach, daß sie auf das Datenzentrum des Ministerium des Inneren (Amt für öffentliche Sicherheit) zugriff.
Niederlande
Gesetzgeberische Entwicklungen
In den Niederlanden wurden 1997 weitere Schritte zur Umsetzung der europäischen Datenschutzrichtlinie in innerstaatliches Recht ergriffen.
Im Februar dieses Jahres gab die niederländische Datenschutzbehörde (Registratiekamer) eine sehr umfangreiche Stellungnahme zu dem vom Justizministerium erarbeiteten Gesetzesentwurf ab. Das Fazit ihrer Stellungnahme lautete, daß das neue Gesetz einen angemessenen Schutz der Privatsphäre bei der Verarbeitung von personenbezogenen Daten und eine Verbesserung der Persönlichkeitsrechte der Betroffenen bieten werde.
Die Registratiekamer schlug einige Änderungen und Klarstellungen an dem aktuellen Wortlaut vor, die in hohem Maße in dem Gesetzesentwurf berücksichtigt wurden, der im Februar 1998 dem Parlament vorgelegt wurde.
Die niederländische Datenschutzbehörde hat außerdem eine kritische Stellungnahme zu einer anderen gesetzgeberischen Entwicklung abgegeben, die Auswirkungen auf die Privatsphäre der Betroffenen hat, und zwar zum neuen Telekommunikationsgesetz. Dieses Gesetz weitet die Befugnisse aus, die die Polizei und andere Ermittlungsorgane beim Abhören von Telefonen haben, und verpflichtet die Telefongesellschaften, alle Verkehrsdaten zu speichern und zur Verfügung von Polizei und Justiz zu halten.
In ihrer Stellungnahme plädiert die Registratiekamer für den Schutz des Rechts auf Anonymität im Telekommunikationssektor. Dazu sollte die Verwendung von im voraus bezahlten Telefonkarten möglich sein. Ein weiterer Punkt, der der Registratiekamer Sorge bereitete, war der Wunsch der niederländischen Regierung, die Verschlüsselung zu regulieren und ihren Einsatz zu beschränken.
Die niederländische Datenschutzbehörde gab darüber hinaus weitere Stellungnahmen zu zwei neuen Gesetzesvorlagen für das Parlament ab. Die einige bezog sich auf eine Vorlage, die die Datenbank der Gemeinden mit der Datenbank mit einer der Ausländerverwaltungen verbinden sollte, um die Überprüfung des rechtmäßigen Aufenthaltes von Ausländern zu erleichtern, die Sozialleistungen in Anspruch nehmen wollen. Die zweite betraf spezielle Polizeiregister.
Weiter Entwicklungen: Verhaltenskodizes, Veröffentlichungen und Präsentationen
Die niederländische Datenschutzbehörde (Registratiekamer) war an der Erarbeitung eines Verhaltenskodex für das Versicherungsgewerbe beteiligt. Sie veröffentlichte Berichte über verschiedene Themen wie beispielsweise Videoüberwachung, Registrierung von Prostituierten durch die Polizei, zentrale Erfassung von Patienten zur Überwachung von medikamentösen Therapien, nichtoffizieller Informationsaustausch zwischen Ermittlungsorganen und Dritten, die in Sozialämtern von Gemeinden arbeiten, usw.
Die Registratiekamer nahm des weiteren an einer Vielzahl von Konferenzen, Seminaren und Workshops teil, die sich mit Themen wie dem Schutz der Privatsphäre von Arbeitnehmern, der internationalen organisierten Kriminalität usw. beschäftigten. Sie veranstaltete außerdem verschiedene Präsentationen zur Förderung von Technologien, die den Schutz der Privatsphäre verstärken (PET), und beteiligte sich an der Entwicklung des ersten kommerziell erarbeiteten Informationssystems im Gesundheitswesen, bei dem PET zum Einsatz kommen.
Technologiebewertung und Prüfungen des Schutzes der Privatsphäre
Eine Prüfung des Schutzes der Privatsphäre wurde im niederländischen Teil des Schengener Informationssystems durchgeführt; vorbereitende Schritte wurden auch für Überprüfungen der Wahrung der Privatsphäre in verschiedenen Gemeindeverwaltungen ergriffen.
Untersuchungen im Rahmen der Technologiebewertung, die dem Phänomen des sogenannten "Datawarehousing" und "Datamining" gewidmet war (Datenspeicherung und Datennutzung im großem Umfang), verdienen ebenfalls erwähnt zu werden.
Einige Zahlen zu den Tätigkeiten der niederländischen Datenschutzbehörde im Jahre 1997
Die Registratiekamer beantwortete 1997 nahezu 5.000 Fragen über ihr telefonisches Helpdesk. Sie leistete Betroffenen in 136 Fällen, in denen sie um Schlichtung gebeten wurde, und bei 3.238 Beschwerden Hilfe.
Die Registratiekamer hat die Regierung in mehr als zwanzig Fällen beraten. Sie erhielt 971 Meldungen über Datenverarbeitungstätigkeiten aus dem öffentlichen Sektor und 1.220 aus der Privatwirtschaft. Am 31. Dezember 1997 lagen insgesamt 56.663 Meldungen vor.
Portugal
Die Datenschutzbehörde (CNPDPI) spielte bei der Förderung des Bewußtseins für die Gesetzesvorschriften, die im Bereich des Schutzes personenbezogener Daten erarbeitet wurden, weiterhin eine aktive Rolle. Es gelang ihr, die Regierung davon zu überzeugen, daß ihr alle Regierungsstellen alle Verarbeitungen von personenbezogenen Daten melden sollen. Sie nahm außerdem weiterhin an Konferenzen und Symposien teil und steht in regelmäßigem Kontakt mit der Presse. Im November veranstaltete sie ein gut besuchtes Symposium, bei dem die wichtigsten Fragen im Zusammenhang mit der Umsetzung der Richtlinie in innerstaatliche Rechtsvorschriften erörtert wurden.
Die CNPDPI führte eine wachsende Anzahl von Kontrollen durch, insbesondere im Zusammenhang mit Dienstleistungen in den Bereichen Direktmarketing, Bank- und Gesundheitswesen.
Als Reaktion auf eine große Anzahl von Anfragen zur Übermittlung von personenbezogenen Daten über Mitarbeiter multinationaler Unternehmen an Niederlassungen in Ländern ohne Gesetzesvorschriften zum Datenschutz beschloß die CNPDPI, diese Übermittlungen zuzulassen, sofern nicht nur die Betroffenen ihre ausdrückliche Zustimmung hierzu geben, sondern die für die Daten Verantwortlichen bereit sind, nur die für die Personalverwaltung insgesamt erforderlichen Daten zu übermitteln, sofern die Daten nicht für andere Zwecke verwendet oder an Dritte weitergegeben werden und sofern das Schutzniveau im Bestimmungsland nicht niedriger als das Schutzniveau nach portugiesischen Rechtsvorschriften ist.
Spanien
Einleitung
Die Datenschutzbehörde, und zwar die spanische Behörde zum Schutz der Privatsphäre, wurde im Rahmen des Grundgesetzes 5/1992 vom 29. Oktober eingerichtet, das die elektronische Verarbeitung von personenbezogenen Daten regelt. Sie begann Anfang 1994 mit ihrer Arbeit und wandte die wesentlichen Grundsätze der Richtlinie 95/46/EG von vornherein an, auch wenn diese noch nicht in spanisches Recht umgesetzt waren. Allerdings wurde einer der Entwürfe der vorgenannten europäischen Richtlinie als Vorläuferversion des Grundgesetzes 5/1992 vom 29. Oktober verwendet.
Am 31. Dezember 1997 waren im allgemeinen Datenschutzregister insgesamt 229.804 Verzeichnisse eingetragen, von denen 3.312 1997 registriert worden waren.
Während dieses Zeitraums wurden insgesamt 13.306 Vorgänge im allgemeinen Datenschutzregister durchgeführt: dabei handelte es sich um 3.312 Einträge von neuen Dateien und um 8.023 Änderungen an Dateieinträgen, und 1.971 beinhalteten Löschungen von Einträgen.
Die Registrierungen schlüsseln sich wie folgt auf die jeweiligen Eigentümer von Verzeichnissen auf:
Die wesentlichen Aufgaben der Datenschutzbehörden sind:
- Kontrollen, die auf Eigeninitiative der Behörde angesichts von Fakten, die die Notwendigkeit derartiger Kontrollen darlegen, oder auf Beschwerden von Bürgern hin durchgeführt werden; davon wurden insgesamt 375 durchgeführt. Dabei handelte es sich bei etwa 95 um Anhörungen, also eher um allgemeine Überprüfungen als um die Überprüfung eines angezeigten Verstoßes gegen Vorschriften.
- Verfahren für den Schutz von Rechten, bei denen die Datenschutzbehörde eingreift, um Bürgern dabei zu helfen, daß Versäumnisse bei der Einhaltung von Datenschutzbestimmungen berichtigt werden. Im Jahre 1997 wurde 113 Fälle dieser Art abgewickelt.
- Strafverfahren bei schweren Verletzungen der im Grundgesetz 5/1992 festgelegten Rechte und Garantien; diese werden auf Betreiben der Datenschutzbehörde oder aufgrund von Beschwerden von Bürgern zu dem Zweck eingeleitet, entsprechende Strafen zu verhängen. Im Jahre 1997 wurden 203 Verfahren in die Wege geleitet.
- Die Datenschutzbehörde erhielt 1997 insgesamt 682 Beschwerden von Bürgern. Sie ist bemüht, sich um Zweifel und Probleme zu kümmern, die von Bürgern, Unternehmen, die in die Privatsphäre betreffenden Bereichen tätig sind, oder öffentlichen Stellen vorgebracht werden. Diese Funktion wird von der Bürgerberatungsstelle, die das Generalsekretariat unterhält, beziehungsweise vom Amtsdirektor vorgenommen, insoweit Unternehmen und öffentliche Verwaltungen betroffen sind. Im Jahre 1997 wurden etwa 1.009 schriftliche Beratungen und mehr als 10.000 telefonische Beratungen von der Bürgerberatungsstelle und vom Amtsdirektor erledigt.
- Das Grundgesetz besagt schließlich, daß die Datenschutzbehörde einen Bericht über rechtliche Maßnahmen und Verordnungen im Zusammenhang mit dem Datenschutz erstellen muß. Zwanzig Berichte wurden 1997 verfaßt.
Umsetzung der Richtlinie 95/46/EG in spanisches Recht
Im Jahre 1997 wurde ein Grundgesetzentwurf zur Reform des Grundgesetzes 5/1992 in dem Bestreben erarbeitet, die gemeinschaftliche Richtlinie in spanisches Recht umzusetzen.
Bei den Maßnahmen, die 1997 erarbeitet und gebilligt wurden, sollte erwähnt werden, daß die Datenschutzbehörde von der Regierung beauftragt wurde, einen Vorschlag für eine Verordnung über Sicherheitsmaßnahmen für Computerdateien mit personenbezogenen Daten zu erarbeiten.
Diese Verordnung soll zur Umsetzung des Grundgesetzes 5/1992 zum Zwecke der Anwendung der in Artikel 9 des Grundgesetzes dargelegten Grundsätze bezüglich der Sicherheit von Daten führen; dieser Artikel entspricht den Artikeln 16 und 17 der Richtlinie 95/46/EG.
Ehrenkodizes
Die Tätigkeiten, die 1997 gemäß Artikel 31 des Grundgesetzes 5/1992, das Kapitel V der Richtlinie 95/46/EG entspricht, im Zusammenhang mit der Registrierung von einheitlichen Kodizes durchgeführt wurden, ergaben keine neuen Einträge im allgemeinen Datenschutzregister.
Zwei neue Verfahren für die beiden neuen einheitlichen Kodizes, die in das Register eingetragen werden sollten, wurden 1997 eingeleitet.
Der erste Antrag wurde eigentlich schon 1996 eingereicht, das Verfahren zur Registrierung erfolgte aber erst 1997; er betrifft den Verhaltenskodex für die Kfz-Computerdatei. Im Juli 1997 ging der die Robinson-Liste regelnde einheitliche Kodex von seiten des spanischen Direktmarketing-Verbandes ein. Nach der Prüfung ergaben sich hierzu verschiedene Fragen, da er nicht die Grundsätze des Grundgesetzes 5/92 aufrechtzuerhalten schien. In beiden Fällen war eine Registrierung der Anträge in der Hauptsache deswegen unmöglich, weil sie keine größeren Garantien boten, als im zugrunde liegenden Gesetz festgelegt sind.
Internationale Übermittlungen
Insgesamt 919 Dateien, die im Register eingetragen wurden, beinhalten in ihren Meldungen internationale Übermittlungen von Daten, von denen 48 Einträgen im öffentlichen Besitz und 871 Einträgen in privatem Besitz entsprechen.
Anträge auf Genehmigung von internationalen Datenübermittlungen gemäß Artikel 32 des Grundgesetzes 5/1992 (Kapitel IV der Richtlinie) beruhen auf einer Reihe von Garantien, die von der Instanz, die die Übermittlung vornimmt und die in unserem Land ansässig ist, gegeben werden müssen. Diese Instanz muß als Verantwortlicher für die Dateien garantieren, daß alle im Gesetz niedergelegten Pflichten und Rechte erfüllt werden und daß das Recht auf Einsicht, Korrektur und Löschung von in Drittländern gespeicherten Daten weiterhin von Spanien aus gewährleistet wird.
Sobald die Genehmigung vom Direktor der Datenschutzbehörde nach den ihm gemäß Artikel 36.1 des Gesetzes übertragenen Befugnissen erteilt wurde, wird die Übermittlung wie unter Artikel 38 Absatz c) vorgeschrieben in das allgemeine Datenschutzregister eingetragen.
Fünfundzwanzig Genehmigungen wurden 1997 eingeleitet, von denen 24 abgeschlossen wurden. Zusätzlich wurden 6 im Jahre 1996 beantragt, von denen eine zum Jahresende immer noch bearbeitet wurde. Dementsprechend wurden 30 Übermittlungen genehmigt und in das allgemeine Register eingetragen, wobei ein Verfahren für das folgende Jahr anhängig blieb. Die Bearbeitung dieser Genehmigungen bezog sich auf etwa 33 Dateien. Das Land, in welches die meisten Übermittlungen genehmigt wurden, sind die Vereinigten Staaten. Dies liegt daran, daß die Muttergesellschaften der meisten multinationalen Konzerne in den USA beheimatet sind. Übermittlungen in mehr als ein Land erfolgen im allgemeinen durch Unternehmen mit Niederlassungen in einer Reihe von Ländern. Ein und dieselbe Datei, die für mehrere Länder bestimmt ist, kann in einem einzigen Verfahren abgewickelt werden. In diesen Fällen werden bei der Registrierung die Länder der "internationalen" Bestimmung angegeben.
Betrachtet man die Gesamtzahlen, wurden 81 Verfahren zur Genehmigung von internationalen Datenübermittlungen bearbeitet, von den 15 1995, 41 1996 und 25 1997 in die Wege geleitet wurden. Bei insgesamt 128 Registrierungen von Dateien ging es um Verfahren zur Genehmigung internationaler Übermittlungen. Hauptbestimmungsland der Daten waren die USA mit 78,13 % der genehmigten Dateien, weit dahinter folgten Übermittlungen in verschiedene Länder, in denen sich die Firmensitze von Unternehmen befinden.
Sonstige Tätigkeiten
Eine EUROPÄISCH-LATEINAMERIKANISCHE KONFERENZ ÜBER DEN SCHUTZ VON PERSONENBEZOGENEN DATEN wurde veranstaltet, an der die europäischen Datenschutzbehörden und Vertreter aus lateinamerikanischen Ländern teilnahmen. Die oberste Zielsetzung der Konferenz bestand darin, ein Forum für Fachleute zu bieten, um zusammenzukommen, Meinungen, Ideen und Erfahrungen im Zusammenhang mit dem Prozeß der Erarbeitung von Gesetzesmaßnahmen und -verordnungen auszutauschen und gleichzeitig durch Beschreibung der Erfahrungen mit dem Schutz von personenbezogenen Daten in Europa Beiträge zu leisten.
Der ERSTE PREIS FÜR DEN "SCHUTZ PERSONENBEZOGENER DATEN" in Höhe von einer Million Peseten (umgerechnet ECU 5.988,02) wurde angekündigt; er soll eine eingehende Untersuchung von Artikel 18.4 der Verfassung ermöglichen. Den Auslobungsvorschriften entsprechend soll der Preis an die beste originelle, bislang unveröffentlichte wissenschaftliche Arbeit von spanischen oder ausländischen Autoren verliehen werden, die sich mit dem Thema personenbezogene Daten in DV-Systemen aus rechtlichem Blickwinkel betrachtet beschäftigt; es handelt sich mit anderen Worten also um eine streng theoretische Darstellung, beziehungsweise eine Erörterung, die auf spezifischen Erfahrungen in unserem System oder auf vergleichendem Recht beruht. Die Jury, die nach den Auslobungsvorschriften gebildet wurde, vergab den Preis an die Arbeit, die dem Thema Nutzung und Kontrolle von Beschäftigungszahlen in DV-Systemen gewidmet war.
Veröffentlichungspolitik
Seitdem die Datenschutzbehörde ihre Arbeit aufgenommen hat, wurden zwei Veröffentlichungen erarbeitet, und zwar eine für das Jahr 1995 und eine für das Jahr 1996. Die erste, in Papierform, wurde in Zusammenarbeit mit dem offiziellen Generalanzeiger Spaniens veröffentlicht, sie war allerdings überaus umfangreich und daher schwierig zu handhaben. Deswegen wurde, als es um die Veröffentlichung der nachfolgenden Aufstellung für 1996 ging, beschlossen, einen optischen Datenträger zu verwenden. Unter Berücksichtigung früherer Erfahrungen entschied man sich, für die sich auf 1997 beziehende Liste bei der CD-ROM-Form zu bleiben. Zusätzlich dazu wurden die Informationen im Internet veröffentlicht. Darüber hinaus wurden aufgrund der hohen Speicherkapazität einer CD-ROM folgende Informationen ergänzt, die von der Datenschutzbehörde veröffentlicht werden und die für Personen, die die Liste der Dateien abrufen wollen, möglicherweise von Interesse sind:
* Die bislang veröffentlichten Berichte für die Jahre 1994, 1995 und 1996.
* Das Datenschutzhandbuch, das unter anderem Standardformulare enthält, die Bürger bei der Geltendmachung ihrer gesetzlichen Rechte verwenden können.
* Rechtsvorschriften zum Datenschutz.
* Unterlagen aus den Seminaren, die die Datenschutzbehörde 1995 und 1996 zum Thema Sicherheit beziehungsweise Datenschutz veranstaltet hat.
* Statistiken über die Tätigkeiten des allgemeinen Datenschutzregisters.
Die Neuerung in diesem Jahr war jedoch die Veröffentlichung der Dateiliste im Internet, denn niemand kann den Einfluß abstreiten, den das World Wide Web in der letzten Zeit in unserer Gesellschaft gewonnen hat. Die Veröffentlichung im Internet stellt eine Möglichkeit dar; innerhalb des behördeneigenen Netzes wurde außerdem ein neuer Bereich speziell für das Register geschaffen, der im wesentlichen allgemeine Informationen enthält. Die notwendigen Anweisungen für die Eingabe neuer Dateien in das Register werden zusammen mit dem standardisierten Registrierungsformular für Dateien im öffentlichen und privaten Besitz zur Verfügung gestellt.
Schweden
Gesetzgeberische Entwicklungen
Ein parlamentarischer Ausschuß, der von der Regierung eingesetzt wurde und sich um die offizielle Untersuchung von Gesetzesvorschriften in Sachen Datenschutz kümmert, hat im April 1997 einen Entwurf für das Gesetz über den Schutz personenbezogener Daten vorgelegt. Anhand dieses Entwurfs hat die Regierung dem Riksdag (Parlament) im Dezember 1997 einen Vorschlag für ein neues Gesetz unterbreitet.10
Der Gesetzesvorschlag beruht weitgehend auf der EG-Richtlinie 95/46 und ist als Rahmen anzusehen, der allgemeine Leitlinien für die gesamte Verarbeitung von personenbezogenen Daten bietet. Ziel ist, die Regierung und die schwedische Datenschutzbehörde in die Lage zu versetzen, innerhalb dieses gesetzlichen Rahmens genauere Vorschriften zu erlassen.
Im Einklang mit der EG-Richtlinie regelt das geplante Gesetz die automatische Verarbeitung von personenbezogenen Daten sowie die manuelle Verarbeitung von Daten, wenn die Daten Teil eines eigenen Datenarchivierungssystems werden sollen. Eine rein private Verwendung von personenbezogenen Daten ist hiervon ausgeschlossen. Anders als bei der Richtlinie fällt die Verarbeitung von Daten, die sich auf die öffentliche Sicherheit, die Verteidigung und die Tätigkeit des Staates in Bereichen des Strafrechts beziehen, mit in den Geltungsbereich des beabsichtigten Gesetzesvorschlags. Die Pflicht, die Datenschutzbehörde von Verarbeitungsvorgängen in Kenntnis zu setzen, soll auf ein Mindestmaß beschränkt sein, so daß sich die Behörde statt dessen auf Aufsichts-, Informations- und Beratungsfunktionen konzentrieren kann. Die Datenschutzbehörde kann außerdem Anweisungen zur Klarstellung des Gesetzes erlassen.
Der Gesetzesvorschlag enthält schließlich auch Bestimmungen über Strafen und die Haftung für Schäden. Es soll am 24. Oktober 1998 in Kraft treten.
Rechtsprechung im Jahre 1997
Im folgenden findet sich eine Sammlung von Entscheidungen zum Datenschutz, die 1997 von den schwedischen Gerichten gefällt wurden. Enthalten ist unter anderem auch ein Beschluß der Regierung, die für Berufungen gegen Entscheidungen bezüglich Dateien mit personenbezogenen Daten zuständig ist, wenn der für die Daten Verantwortliche eine Regierungsstelle ist. Rechtsmittel gegen andere Entscheidungen werden zunächst beim Verwaltungsgericht Stockholm der ersten Instanz und später beim Verwaltungsberufungsgericht und dem Obersten Verwaltungsgerichtshof eingelegt.
- Die Regierung bestätigte eine Entscheidung der Datenschutzbehörde, nach der ein für Daten Verantwortlicher angewiesen wurde, schriftlich die Zustimmung des Betroffenen in Kenntnis der Sachlage einzuholen, bevor sensible Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden. Der in diesem Fall Verantwortliche für die Daten, eine Universität, die ein Forschungsprojekt über mögliche Zusammenhänge zwischen einer Östrogenbehandlung und Krebs durchführte, erklärte, daß die Daten aus medizinischen Aufzeichnungen usw. über einen langen Zeitraum zusammengetragen würden und daß es dementsprechend schwierig und kostenaufwendig sei, von jedem einzelnen Betroffenen die Zustimmung einzuholen. Die Universität befürchtete außerdem, daß die Information Unruhe bei den Betroffenen auslösen könne. Die Regierung erklärte unter anderem, daß über die Verarbeitung bereits in Zeitungsartikeln berichtet worden und es deswegen besonders wichtig sei, den Betroffenen korrekte Informationen über die Verarbeitung zur Verfügung zu stellen. Da der Datenbestand überaus sensible Informationen enthalten und längere Zeit geführt werden würde, stimmte die Regierung der Datenschutzbehörde zu, daß die Einwilligung der Betroffenen erforderlich sei.
- Das erstinstanzliche Verwaltungsgericht und das Verwaltungsberufungsgericht entschieden beide, die Berufung gegen eine Entscheidung der Datenschutzbehörde abzuweisen, durch die es verschiedenen schwedischen Banken untersagt wurde, eine Kartei mit personenbezogenen Daten als Mittel zur Bekämpfung der Geldwäsche einzurichten. Die antragstellenden Banken erklärten, sie seien verpflichtet, der Finanzaufsichtsbehörde Geldwäschetransaktionen zu melden, und sie benötigten die Kartei, um dieser Auflage nachzukommen. Die Gerichte erklärten, die Notwendigkeit für die Banken, eine Kartei mit Informationen über kriminelle Machenschaften zu führen, wiege nicht das Recht des Einzelnen auf seine Privatsphäre auf; sie sei kein hinreichender Grund, eine Ausnahme vom allgemeinen Grundsatz, daß Informationen über kriminelle Handlungen nur von Behörden registriert werden dürften, die eine gesetzliche Pflicht zur Führung einer solchen Kartei hätten, zu dulden.
- Das erstinstanzliche Verwaltungsgericht und das Verwaltungsberufungsgericht wiesen ferner eine Berufung gegen eine Entscheidung ab, durch die einer Kredit-Rating-Agentur die Verwendung einer CD-ROM mit wirtschaftlichen und kreditrelevanten Daten von Unternehmensinhabern für Direkt-Marketing-Zwecke untersagt wurde. Der Agentur wurde außerdem verboten, die CD-ROM zu derartigen Zwecken zu verkaufen. Dieser Fall wurde vor den Obersten Verwaltungsgerichtshof gebracht, wo er immer noch anhängig ist.
- Eine mehreren schwedischen Versicherungsgesellschaften gehörende Versicherungsserviceagentur stellte den Antrag auf Genehmigung zur Einrichtung und Führung einer "Gemeinsamen Schadenskartei". Ein Versicherungsnehmer, der von seiner Versicherungsgesellschaft eine Entschädigung verlangte, sollte automatisch in der Kartei erfaßt werden. Die Versicherungsgesellschaft würde zur gleichen Zeit Unterlagen über eventuelle Schäden erhalten, die der Versicherungsnehmer schon früher bei Versicherungsgesellschaften gemeldet hätte. Die Übersicht über die Schadenersatzansprüche könnte ein Hinweis darauf sein, der aktuellen Forderung weiter nachzugehen. Die Datei würde verdichtete Informationen über das Vermögen des Versicherungsnehmers enthalten. Da alle großen schwedischen Versicherungsgesellschaften an das System angeschlossen werden sollten, würde jede einzelne Versicherungsgesellschaft eine nahezu komplette Kartei über schwedische Versicherungsnehmer und deren Vermögen besitzen und Zugang hierzu haben. Die Datenschutzbehörde verweigerte die Genehmigung zur Einrichtung der Kartei. Die Gesellschaft legte gegen die Entscheidung beim erstinstanzlichen Verwaltungsgericht Berufung ein, wo der Fall noch anhängig ist.
Siehe hierzu auch Punkt 4) weiter unten bezüglich der Datenübermittlungen in Drittländer.
Tätigkeit der Datenschutzbehörde
Die Datenschutzbehörde hat 1997 weitere Verwaltungsvorschriften im Zusammenhang mit häufigen Verarbeitungsvorgängen in verschiedenen Bereichen erlassen und stellte diese damit von der Pflicht frei, die Genehmigung der Behörde einzuholen. Im Laufe dieses Jahres wurden Verwaltungsverordnungen zu Computerdateien in drei weiteren Bereichen erlassen, und zwar in Schulen für Zwecke der Schülerverwaltung, für statistische Zwecke innerhalb von Behörden und für Zwecke der Weitergabe von personenbezogenen Daten auf Web Sites. Die Datenschutzbehörde schätzt, daß es 2.000 zusätzliche Anträge gegeben hätte, wenn die Verwaltungsvorschriften nicht erlassen worden wären.
Die Datenschutzbehörde kam darüber hinaus weiter ihrer Aufsichtsfunktion durch Datenschutzprüfungen nach. Überprüft wurden dabei unterschiedliche Bereiche der Wirtschaft, beispielsweise Krankenhäuser, Reisebüros, Inkassobüros und Telekommunikationsunternehmen.
Des weiteren hat die Datenschutzbehörde aktive Maßnahmen im Hinblick auf Informationen über ihre eigene Arbeit ergriffen. Sie eröffnete im Juni 1997 eine Web Site mit Informationen über Gesetzesvorschriften, wichtige Entscheidungen und Pressemitteilungen. Im Rahmen des Projekts "Sie erreichen mich nicht" wandete sie sich an Schüler und deren Lehrer und verbreitete unter anderem eine CD-ROM mit vier verschiedenen Spielen, in denen das Wissen über den Datenschutz getestet wird.
Datenübermittlungen in Drittländer
- Die Datenschutzehörde erteilte 1995 einer Fluggesellschaft unter der Voraussetzung die Genehmigung, Kundeninformationen aus ihrem Computer-Reservierungssystem in die USA weiterzugeben, daß die betreffenden Kunden ihre Einwilligungen zu dieser Weitergabe erteilen. Gegen die Entscheidung wurde beim erstinstanzlichen Verwaltungsgericht und beim Verwaltungsberufungsgericht Berufung eingelegt, die jetzt beide die Entscheidung der Datenschutzbehörde bestätigten, daß die Einwilligung der Betroffenen erforderlich sei. Eine Berufung gegen die Entscheidung wurde dann beim Obersten Verwaltungsgerichtshof eingereicht, der noch entscheiden muß, ob Gründe zur Zulassung des Falls vorliegen.
Vereinigtes Königreich
Eine Gesetzesvorlage zum Datenschutz, mit der die Richtlinie 95/46/EG im Vereinigten Königreich umgesetzt werden soll, wurde im Januar 1998 veröffentlicht. Im Juli 1997 veröffentlichte die Regierung ihre Vorschläge für das neue Gesetz, und der "Registrar" beriet Minister, Amtsträger und Parlamentsmitglieder über zur Diskussion stehende Punkte. Mit den Vorbereitungen für ein Meldesystem zur Erfüllung der Forderungen der Gesetzesvorlage wurde bereits begonnen, auch wenn die Meldungsverordnungen, die in Form von abgeleitetem Recht umgesetzt werden müssen, noch nicht öffentlich bekannt gemacht wurden.
Die Arbeiten an der neuen Gesetzesvorlage haben einen großen Teil der Zeit der Datenschutzbehörde in Anspruch genommen, allerdings war die Behörde trotzdem in der Lage, Datennutzern Hinweise im Zusammenhang mit den Gesetzesvorschriften aus dem Jahre 1984 zu geben. Die im letzten Jahr veröffentlichten Leitfäden enthielten Hinweise für Heimarbeiter, Finanzmittlertätigkeiten und Inkassobüros. Ein Leitfaden zur Erstellung von Verhaltenskodizes im Bereich des Datenabgleichs wurde im Juli 1997 erstellt und herausgegeben. Neben ihren eigenen Leitfäden billigte die Behörde auch den vom Prüfungsausschuß im November 1997 veröffentlichten Verhaltenskodex für den Datenabgleich.
Die Datenschutzbeauftragte setzte des weiteren ihre Öffentlichkeitskampagne zur Förderung des Datenschutzbewußtseins durch Werbung im Regional- und Satellitenfernsehen fort. Nach der Ausstrahlung der Werbespots stieg die Zahl der Anfragen und Beschwerden bei der Datenschutzbehörde, und dieser Trend spiegelte sich in einem allgemeinen Anstieg der im Laufe des Jahres eingegangenen Beschwerden wider. Insgesamt wurden 1997-1998 4.178 Beschwerden gezählt. Außerdem gab es 21.591 Neuregistrierungen, wodurch sich die Anzahl der Registereinträge insgesamt auf 244.909 erhöhte; es wurden fünf Vollstreckungsbenachrichtigungen zugestellt, und 38 Fälle im Rahmen des Gesetzes verfolgt. Alle Registrierungen und Leitfäden stehen auch auf der ODPR Web Site zur Verfügung.
2.3. Entwicklung der Datenschutzpolitik der Europäischen Union
Die Richtlinie, die das Kernstück der europäischen Datenschutzpolitik darstellt, wurde durch eine Reihe anderer Initiativen ergänzt, die darauf abzielen, einen kohärenten Schutzrahmen für den Bürger zu gewährleisten.
Dieser Abschnitt stellt die Entwicklungen in der Europäischen Union im Rahmen der Zuständigkeit der EG (Unterabschnitte 2.3.1 bis 2.3.3) und nach Titel IV des Vertrages über die Europäische Union (Unterabschnitt 2.3.4) dar.
2.3.1. Sektorielle Initiativen
Am 15. Dezember 1997 nahmen das Europäische Parlament und der Rat die Richtlinie über die Verarbeitung von personenbezogenen Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, insbesondere im diensteintegrierenden digitalen Telekommunikationsnetz (ISDN) und den öffentlichen digitalen Mobilfunknetzen, an11.
Mit dieser Richtlinie soll der freie Verkehr von Daten und Telekommunikationsdiensten und -geräten in der Gemeinschaft durch die Harmonisierung des Schutzniveaus der Teilnehmer und Benutzer von öffentlichen Telekommunikationsdiensten im Zusammenhang mit der Verarbeitung personenbezogener Daten im Telekommunikationssektor garantiert werden.
Die Richtlinie legt die allgemeinen Regeln der Richtlinie 95/46/EG für den Telekommunikationssektor fest, und sie fördert den Schutz der Privatsphäre und der berechtigten Interessen der Teilnehmer (einschließlich juristischer Personen).
Die Kommission hat den ursprünglichen Vorschlag für diese Richtlinie im Juni 1990 vorgelegt und ihren Vorschlag im Juli 1994 erheblich überarbeitet. Im September 1996 kam der Rat zu einer gemeinsamen Stellungnahme, die formelle Annahme durch das Europäische Parlament und den Rat war aber erst nach einem Schlichtungsverfahren möglich. Die Richtlinie steht insofern in engem Zusammenhang mit der allgemeinen Datenschutzrichtlinie (im Oktober 1995 angenommen), als sie die allgemeinen Regeln, die bereits festgelegt sind, für den Telekommunikationssektor spezifiziert. Die spezifische Richtlinie geht allerdings in zwei Punkten weiter als die allgemeine Richtlinie, und zwar erstreckt sie sich auf die Rechte/berechtigten Interessen von natürlichen und juristischen Personen, und sie beinhaltet auch Aspekte der Privatsphäre, die nicht unmittelbar mit der Verarbeitung von Daten in Zusammenhang stehen.
Die Richtlinie enthält Bestimmungen zu folgenden Themen:
- Sicherheit der Informationen, die über öffentliche Telekommunikationsnetze übermittelt werden
- Vertraulichkeit der Kommunikation
- inhaltliche und zeitliche Beschränkungen für die Verarbeitung von Verkehrs- und Abrechnungsdaten durch die Anbieter von Diensten
- Möglichkeiten zum Schutz der Privatsphäre bei der Anrufer- und Verbindungsidentifizierung
- Rückverfolgung von böswilligen Anrufen und Belästigungen am Telefon
- Schutz der Privatsphäre bei automatisch weitergeleiteten Anrufen
- Recht der Teilnehmer, nicht in öffentlichen Telefonverzeichnissen zu erscheinen
- Schutz der Privatsphäre im Hinblick auf unerbetene Anrufe
Nach ihrer formellen Annahme durch das Europäische Parlament und den Rat soll die Richtlinie von dem Mitgliedstaaten spätestens bis zum 24. Oktober 1998 umgesetzt werden, davon ausgenommen sind lediglich gewisse Aspekte der Vertraulichkeit der Kommunikation, für die eine weitere Frist bis zum 24. Oktober 2000 vereinbart wurde.
2.3.1. Datenschutz und Informationsgesellschaft
Die Gewährleistung von Treu und Glauben ist eine Kernfrage für die Entwicklung der Informationsgesellschaft, und wachsende Zweifel an der Wahrung der Privatsphäre im Online-Bereich stehen bei Internet-Nutzern im Vordergrund: Diese Vermutung wird durch alle Marktuntersuchungen und Meinungsumfragen, die im vergangenen Jahr durchgeführt wurden, bestätigt. Am 16. April 1997 verabschiedete die Kommission eine "Europäische Initiative für den elektronischen Geschäftsverkehr" (COM(97)157), die darauf abzielt, einen gemeinsamen europäischen Standpunkt aufzubauen, um durch internationale Verhandlungen einen allgemeinen Konsens zu erreichen. Im Nachgang zu diesem Dokument nahm die Kommission eine Mitteilung zum Thema digitale Signaturen und Verschlüsselung an, in der die Aufgabe der Richtlinie 95/46, die berechtigte Sorge um die Wahrung der Privatsphäre, hervorgehoben wird. Die Richtlinie enthält beispielsweise spezielle Bestimmungen zur Datensicherheit und Vertraulichkeit, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk beinhaltet.
Der Schutz von personenbezogenen Daten in der Informationsgesellschaft war ein Hauptthema der Aussprachen in den Sitzungen der Arbeitsgruppe, die durch die Richtlinie 95/46 eingesetzt wurde (siehe Abschnitt 2.1.1). Am 3. Dezember 1997 nahm die Arbeitsgruppe eine spezielle Empfehlung zur "Anonymität im Internet" an (WP 6 - Empfehlung 3/97).
2.3.2. Datenschutz im Rahmen anderer Gemeinschaftsinstrumente
In verschiedenen Instrumenten des abgeleiteten Gemeinschaftsrechts wurden der Kommission bestimmte spezifische Aufgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten übertragen. Mit dem Ziel, die Grundrechte und Freiheiten der von einer solchen Verarbeitung betroffenen Personen zu schützen, ist die Kommission auch aufgefordert worden, zur Anwendung der einschlägigen Gemeinschaftsbestimmungen Mechanismen für den Datenschutz zu entwickeln. Ein Beispiel dafür ist die Verordnung des Rates (EG) Nr. 1469/95 vom 22. Juni 1995 über Vorkehrungen gegenüber bestimmten Begünstigten der vom EAGFL, Abteilung Garantie, finanzierten Maßnahmen12. Zur Durchführung dieser Verordnung, die einen Mechanismus für den Informationsaustausch zwischen der Kommission und den Mitgliedstaaten vorsieht, hat die Kommission verschiedene Schutzmaßnahmen für die Verarbeitung von Daten durch ihre Dienststellen eingeführt13.
Die europäischen Zollbehörden tauschen personenbezogene Daten mit ihren Partnern in Drittländern im Rahmen der Abkommen über gegenseitige Unterstützung zwischen der Gemeinschaft und den Drittländern aus. Auf Wunsch der europäischen Seite enthalten derartige Abkommen besondere Bestimmungen zur Sicherstellung der Einhaltung der Grundsätze des Datenschutzes14.
2.3.3. Datenschutz im Rahmen von Nicht-Gemeinschaftsinstrumenten
Mit einigen bereits verabschiedeten oder vor der Verabschiedung stehenden Instrumenten aufgrund von Titel VI des Vertrages über die Europäische Union (Zusammenarbeit in den Bereichen Justiz und Inneres) ist die Verarbeitung personenbezogener Daten verbunden. Deshalb enthalten diese Instrumente und ihre Durchführungsverordnungen Vorschriften über den Datenschutz. Detaillierte Datenschutzbestimmungen wurden beispielsweise für Europol erarbeitet, und andere Regeln wurden für den Entwurf des Eurodac-Übereinkommens im Hinblick auf Fingerabdrücke von Asylbewerbern erörtert. Derartige aufgrund Titel VI des Vertrages über die Europäische Union angenommene Instrumente verwenden nicht die durch die Richtlinie gestalteten Datenschutzmechanismen; sie stützen sich auf spezifische Lösungen, die den Personen nicht dieselben Rechte oder Rechtsmittel gewähren und nicht auf derselben Form der unabhängigen Kontrolle aufbauen. Darüber hinaus enthält das Abkommen über den Entzug der Fahrerlaubnis noch nicht einmal Bestimmungen zum Schutz von personenbezogenen Daten.
2.4. Schengen
Die Mehrheit der Mitgliedstaaten der EU gehört zu den Unterzeichnern des Schengener Übereinkommens, das Zusammenarbeit im Rahmen von Polizei, Zoll und Immigration vorsieht, um die Abschaffung der Grenzkontrollen an den Binnengrenzen auszugleichen. Ein wesentlicher Bestandteil dieser Ausgleichsmaßnahmen ist die Einführung eines gemeinsamen Informationssystems, des Schengener Informationssystems (SIS). In diesem Zusammenhang umfaßt das Übereinkommen auch Bestimmungen für den Datenschutz; es sieht insbesondere eine gemeinsame Kontrollbehörde vor, die sich aus Vertretern der nationalen Kontrollbehörden in den Schengen-Staaten zusammensetzt. Die gemeinsame Kontrollbehörde hat kürzlich ihren zweiten Bericht für den Zeitraum von März 1997 bis März 1998 veröffentlicht.
Der Vertrag von Amsterdam und die hierzu als Anhang beigefügten Texte legen fest, daß die im Rahmen von Schengen bestehenden Regelungen in die Europäische Union integriert werden sollen15. Die Regierungskonferenz hoffte, daß der Rat alle dazu erforderlichen Maßnahmen zu dem Zeitpunkt des Inkrafttretens des neuen Vertrages ergreifen werde und alle notwendigen Vorbereitungen zu gegebener Zeit erfolgen würden Dies galt auch für die Datenschutzbestimmungen in dem Übereinkommen zur Durchführung des Schengener Abkommens vom 14. Juni 1985.
2.5. Dialog mit Drittländern über Fragen des Datenschutzes
Die Richtlinie regelt nicht nur die Verarbeitung personenbezogener Daten innerhalb der EU, sondern enthält auch Bestimmungen über die Übermittlung von Daten in Drittländer (Artikel 25 und 26). Es gilt der Grundsatz, daß die Mitgliedstaaten derartige Übermittlungen nur erlauben sollten, wenn ein angemessenes Schutzniveau für die Daten in den Drittländern sichergestellt ist. Ganz klar ist die Möglichkeit von Fällen vorgesehen, in denen kein angemessener Schutz sichergestellt ist und - sofern keine der einschlägigen Ausnahmebestimmungen anwendbar ist - die Übermittlung blockiert wird.
Eine solche Situation könnte für die weltweiten Ströme personenbezogener Daten und folglich für den internationalen Handel erhebliche Störungen bedeuten. Obwohl Artikel XIV des Allgemeinen Übereinkommens über den Handel mit Dienstleistungen ein Blockieren der Übermittlungen personenbezogener Daten ermöglicht, wäre es vorzuziehen, wenn sich ein solches Vorgehen vermeiden ließe. Weitaus besser wäre eine Lösung, daß die Drittländer, an die regelmäßig Daten übermittelt werden, ihr Schutzniveau auf eine zufriedenstellende Ebene bringen, die als angemessen angesehen werden könnte.
Die EU handelte allgemeine Abkommen mit einzelnen Drittländern aus, die einen Rahmen für die Beziehungen (Zusammenarbeit, Handelsbeziehungen) vorsehen. Derartige Abkommen umfassen im allgemeinen ein breites Spektrum von Bereichen von der Außenpolitik und Sicherheitsfragen über den Handel bis hin zu Fragen der wirtschaftlichen Entwicklung. Seit Verabschiedung der Datenschutzrichtlinie haben sich die Dienststellen der Kommission bemüht, die Frage des Schutzes der Privatsphäre und den Datenschutz bei den Verhandlungen direkt oder indirekt in derartige Abkommen aufzunehmen.
Die Kommission hat Fragen des Datenschutzes mit verschiedenen Drittländern erörtert, und in eine Reihe von internationalen Übereinkommen wurden Datenschutzbestimmungen aufgenommen, darunter das jüngste Rahmenabkommen mit Mexiko (am 23. Juli 1997 in die Wege geleitet).
Am 5. Dezember 1997 haben die EU und die USA eine gemeinsame Erklärung zum elektronischen Handel abgegeben, in der vereinbart wurde: "to work towards (...) ensuring the effective protection of privacy with regard to the processing of personal data on global information networks" [... auf die Gewährleistung des wirksamen Schutzes der Privatsphäre bei der Verarbeitung von personenbezogenen Daten in globalen Informationsnetzen hinzuarbeiten] (Abschnitt 4.iv der gemeinsamen Erklärung).
3. DER EUROPARAT
Der Europarat setzte seine ständigen Arbeiten zu Fragen des Datenschutzes fort. Das Ministerkomitee nahm zwei Empfehlungen an, deren Vorbereitung mehrere Jahre gedauert hatte. Diese beziehen sich einerseits auf die am 13. Februar 1997 angenommene Empfehlung R (97) 5 im Zusammenhang mit dem Schutz von medizinischen Daten und andererseits auf die am 30. September 1997 angenommene Empfehlung (97) 18 zum Schutz von personenbezogenen Daten, die zu statistischen Zwecken erhoben und verarbeitet werden.
Der Datenschutzausschuß (CJ-PD) setzte seine Untersuchung eines Empfehlungsentwurfs für den Schutz von personenbezogenen Daten, die zu Versicherungszwecken erhoben und verarbeitet werden, fort. Zusätzlich nahm er einen Entwurf für Datenschutzleitlinien in bezug auf die Sammlung und Verarbeitung personenbezogener Daten auf der Datenautobahn an. Dieses Projekt, das vom Ministerkomitee Anfang 1999 verabschiedet werden soll, wurde bereits zur Anhörung interessierter Parteien öffentlich bekannt gemacht. Informationen können auf der Internet Site des Europarates abgerufen werden.
Dem Übereinkommen 108 sind zwei neue Länder beigetreten, und zwar die Schweiz und Ungarn. Nach dem Beitritt Sloweniens erhöht dies die Zahl der teilnehmenden Parteien auf 20.
Der Beratende Ausschuß des Übereinkommens (T-PD) begann mit der Untersuchung der Frage, ob das Übereinkommen angesichts der Entwicklungen der letzten Jahre, insbesondere im technischen Bereich, überarbeitet werden müsse. Darüber hinaus erarbeitete der Ausschuß im Anschluß an das Ersuchen der Europäischen Gemeinschaft, Verhandlungen im Hinblick auf ihren Beitritt zu dem Übereinkommen aufzunehmen16, den Entwurf eines Protokolls zur diesbezüglichen Änderung von Übereinkommen 108.
Die durch die Kommission vertretene Gemeinschaft ist jetzt in der Lage, sowohl im Ausschuß CJ-PD als auch im Beratenden Ausschuß zu intervenieren, wenn erörterte Themen in den Bereich der externen Zuständigkeiten fallen, die sich aus den Richtlinien 95/46/EG und 97/66/EG ergeben. Dies war bei den oben genannten Texten der Fall, die kürzlich angenommen wurden oder sich in Vorbereitung befinden. Diese Zusammenarbeit mit dem Europarat soll die uneingeschränkte Übereinstimmung mit den Richtlinien der Gemeinschaft sicherstellen.
4. WICHTIGE ENTWICKLUNGEN IN DRITTLÄNDERN
4.1. Europäischer Wirtschaftsraum
Nach der Aufnahme in das EWR-Abkommen wird die Richtlinie auch im Rahmen des Europäischen Wirtschaftsraums wirksam werden. Die Arbeiten für die Umsetzung sind bei den nicht der Gemeinschaft angehörenden Ländern des Abkommens bereits in die Wege geleitet worden. Norwegen und Island sind dem Übereinkommen Nr. 108 des Europarats bereits beigetreten und verfügen über Datenschutzgesetze. Vertreter der Datenschutzbehörden dieser beiden Länder wurden zu den Sitzungen der Arbeitsgruppe als Beobachter eingeladen.
In Norwegen strebt die Informationstechnologiebehörde "Data Tilsynet" die Durchführung des Gesetzes über Verzeichnisse mit personenbezogenen Daten aus dem Jahre 1978 an. Die Behörde übt bei der Verwaltung des Informationsflusses für die Außenwelt eine aktive Funktion aus. Sie erhält viele Anfragen von den Medien und spielt eine aktive Rolle bei der Informationsverbreitung. Sie ist ferner für die Ausarbeitung von Informationsmaterial und einen Jahresbericht zuständig und veröffentlicht vierteljährlich die Zeitschrift SPOR17.
4.2. Mittel- und osteuropäische Länder
In ihrem Weißbuch über eine Strategie in Vorbereitung auf den Beitritt der Bewerberländer aus Mittel- und Osteuropa zur EU empfahl die Kommission, daß diese Länder dem Übereinkommen Nr. 108 des Europarates als erstem Schritt im Bereich des Datenschutzes beitreten. Ungarn ist dem vorgenannten Übereinkommen 1997 beigetreten.
Die Kommission verabschiedete 1997 ihre Stellungnahmen zur Aufnahme der Verhandlungen über den Beitritt der mittel- und osteuropäischen Länder sowie Zyperns. In diesen Stellungnahmen18 wurde die Situation in diesen Ländern insbesondere im Hinblick auf den Datenschutz kurz analysiert. Für alle Bewerberländer wurde eine verstärkte Vor-Beitritt-Strategie verabschiedetet, um langfristig die Integration der bestehenden gemeinschaftlichen Regelungen zu ermöglichen. In diesem Sinne wurde der Schwerpunkt auf die erforderlichen Verwaltungsstrukturen, beispielsweise unabhängige Kontrollbehörden, für die wirksame Einführung der bestehenden gemeinschaftlichen Regelungen gelegt. Einige dieser Länder besitzen bereits Gesetzesvorschriften zum Datenschutz (insbesondere Ungarn, Estland und Slowenien), und die Mehrheit der anderen Länder stand im Begriff, solche Rechtsvorschriften zu erlassen. Zum Beispiel verabschiedete Polen am 29. August 1997 ein Datenschutzgesetz, und die Slowakische Republik erließ ihr Gesetz am 3. Februar 1998. In Polen wurde eine unabhängige Datenschutzbehörde eingerichtet, und zwar "die allgemeine Aufsichtsbehörde für den Schutz personenbezogener Daten", die Anfang 1998 mit ihrer Arbeit begann.
In anderen Bewerberländern wurden gesetzgeberische Vorhaben in die Wege geleitet, insbesondere in Bulgarien, Lettland, Rumänien, der Tschechischen Republik und Slowenien.
4.3. Andere Drittländer
Über Fragen der Privatsphäre wurde 1997 in einigen Drittländern lebhaft diskutiert. Die technischen Fortschritte und insbesondere die Entwicklung der Informationsgesellschaft haben Regierungen, Verbraucherverbände, Wirtschaft und Lehre veranlaßt, derzeitige Politiken im Hinblick auf den Schutz der Privatsphäre zu überprüfen und neue Politiken für die Zukunft zu erörtern. Der Erlaß der europäischen Richtlinie gab dieser Debatte zusätzlichen Auftrieb.
Diese Entwicklungen waren vor allem in den Vereinigten Staaten spürbar, wo sich mehrere staatliche Stellen mit Datenschutzfragen befaßten. Die Federal Trade Commission (FTC) zeigte 1997 und in den ersten Monaten von 1998 wachsendes Interesse an Fragen der Privatsphäre, insbesondere im Zusammenhang mit dem Internet und dem elektronischen Handel. Dies mündete im Juli 1998 im Ruf nach einem Gesetz zum Schutz von über das Internet gesammelte Daten über Kinder und einer Empfehlung bezüglich der Privatsphäre von Erwachsenen mit dem Hinweis, daß, falls sich die Selbstregulierung nicht bis zum Jahresende verbessert habe, ebenfalls ein gesetzlicher Weg einzuschlagen sei.
In den ersten Monaten von 1998 intensivierte das Weiße Haus seine Politik in Sachen Datenschutz und Privatsphäre. Am 31. Juli kündigte Vizepräsident Gore eine Reihe von Maßnahmen im Sinne einer "Electronic Bill of Rights" an, die die Unterstützung von Regelungen für medizinische und finanzielle Daten, für den Bereich Identitätsdiebstahl und Privatsphäre von Kindern sowie eine Selbstregulierung der Industrie mit wirksamen Zwangsmaßnahmen in anderen Bereichen beinhaltete.
Das Weiße Haus betonte die Bedeutung dieser Fragen in seinem im Juni 1997 veröffentlichten Bericht mit dem Titel "Framework for Global Electronic Commerce". Dem Kongreß wurden mehrere Gesetzesvorschläge vorgelegt, und von der FCC wurden Durchführungsverordnungen für das Telekommunikationsgesetz aus dem Jahre 1996 veröffentlicht. Dieses Gesetz regelt verschiedene spezielle Auflagen von Serviceanbietern im Zusammenhang mit der Wahrung der Privatsphäre. Es legt die Geheimhaltung von Informationen über Teilnehmer (Customer Proprietary Network Information), einschließlich Daten über Transaktionen, fest. Der Schutz der Privatsphäre bei On-line-Diensten stand im Mittelpunkt der Auseinandersetzungen über das "Communication Decency Act" aus dem Jahre 1996 und über die Politik der US-Regierung in Sachen Verschlüsselung. Ein Urteil des Obersten Gerichtshofs stand der Idee von "Anwälten zum Schutz der Privatsphäre" positiv gegenüber.
In Australien beschäftigte sich die Regierung mit der Folgearbeit zum Weißbuch aus dem Jahre 1996, insbesondere mit der Frage der Zweckmäßigkeit einer Ausdehnung der Rechtsvorschriften zum Schutz der Privatsphäre auf die Privatwirtschaft. Geltende Rechtsvorschriften betreffen nur den öffentlichen Sektor. Im Februar 1998 einigte man sich mit der Verabschiedung einer Reihe von Grundsätzen über den fairen Umgang mit personenbezogenen Daten über den ersten Teil eines " National Privacy Scheme " für Australien; Anfang 1998 machte der Staat Victoria einen Vorstoß mit Plänen für "standardmäßige" Rechtsvorschriften zum Schutz der Privatsphäre für diejenigen Sektoren und Unternehmen, die keine geeigneten Initiativen zur Selbstregulierung entwickelt haben.
In Japan werden die Arbeiten, die vom Handels- und Industrieministerium (MITI) in Zusammenarbeit mit der Privatwirtschaft aufgenommen wurden, wahrscheinlich das Datenschutzniveau in diesem Land verbessern; die Bemühungen konzentrieren sich hier vor allem auf eine Förderung der Selbstregulierung.
5. SONSTIGE ENTWICKLUNGEN AUF INTERNATIONALER EBENE
5.1. Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD)
Die OECD erarbeitete 1996 Leitlinien für die Verschlüsselungspolitik. Diese Leitlinien regeln den Zugriff zu verschlüsselten Nachrichten, der Behörden aus berechtigten Gründen gewährt wird. Sie empfehlen die Verabschiedung eines Systems "vertrauenswürdiger Dritter", denen Kopien der Schlüssel anvertraut werden können. Im Verlauf der Aussprachen wurden Fragen der Geheimhaltung auch in Zusammenhang mit den Bestimmungen der Richtlinie für den Zugang von Behörden zu personenbezogenen Daten angesprochen. Zum Zeitpunkt der endgültigen Verabschiedung der Leitlinien (März 1997) machte die Europäische Kommission deutlich, daß die EG-Mitgliedstaaten bei der Anwendung der Leitlinien die Bestimmungen der Richtlinien einzuhalten hätten.
6. ANHÄNGE
I. Von der Europäischen Kommission im Bereich des Datenschutzes durchgeführte Studien
1) Les services en ligne et
La protection des données et de la vie privée
Première Partie: Exposé de la situation générale
Deuxième Partie: Etudes de cas
2) On-line services and data protection and privacy:
Regulatory responses
3) Existing case-law on compliance
with data protection laws and principles
in the Member States of the European Union
4) Handbook on Cost Effective Compliance with
Directive 95/46/EC
5) IDA - Protection des données
Secteurs de la santé et de la sécurité sociale
6) Elaboration d'une méthodologie pour évaluer l'adéquation
du niveau de protection des personnes physiques à l'égard du
traitement de données à caractère personnel
7) Preparation of a methodology for evaluating the adequacy
of the level of protection of individuals with regard to
the processing of personal data
8) IDA Projects : A Guide to Data Protection Compliance
9) Application of a methodology designed to assess the adequacy of the level of protection of individuals with regard to processing personal data : Test of the method on several categories of transfer
10) The feasibility of a seamless system of data protection rules for the European Union
Brüssel, den 30. November 1998
Für die Arbeitsgruppe
Der Vorsitzende
P.J. HUSTINX
1 ABl. L 281 vom 23.11.1995, S. 31.
2 ABl. L 281 vom 23.11.1995, S. 31.
3 Artikel 30 Absatz (6) der Richtlinie.
4 Die Mitglieder der Arbeitsgruppe sind in Anhang 1 aufgeführt.
5 Legge 675/96, Gazzetta Ufficiale della Repubblica Italiana Nr. 5, Beilage 3, 8.01.1997.
6 Mit Ausnahme bestimmter mit dem Schengener Abkommen, das am 8. Januar 1997 in Kraft getreten ist, in Zusammenhang stehender Aspekte.
7 Legge 676/96, Gazzetta Ufficiale della Repubblica Italiana Nr. 5, Beilage 3, 8.01.1997.
8 Siehe hierzu den ersten Jahresbericht, Seite 7, Punkt 8.
9 Diese Erklärung wurde in einer Pressemitteilung des Rates vom 24. Juli 1995 (9012/95 (Presse 226)) veröffentlicht.
10 Das vorgelegte Gesetz wurde vom schwedischen Parlament am 16. April 1998 verabschiedet.
11 Richtlinie 97/66/EG vom 15. Dezember 1997, ABl. L 24 vom 30.1.1998, S. 1.
12 ABl. L 145 vom 29. Juni 1995.
13 Siehe die Verordnung der Kommission (EG) 745/96, veröffentlicht im ABl. L 102 vom 25. April 1996, und die im ABl. C 366 vom 5. Dezember 1996 veröffentlichte Mitteilung der Kommission, die die Öffentlichkeit auf die Durchführung dieser Verordnung und die damit verbundene Verarbeitung personenbezogener Daten aufmerksam machte.
14 Die folgenden Vereinbarungen traten 1996 in Kraft:
Europäische Vereinbarungen mit
- Slowenien (unterzeichnet am 11.11.1996 - ABl. L 344 vom 31.12.1996);
- den Faröer Inseln (geänderte Vereinbarung unterzeichnet am 6.12.1996 - ABl. L 53 vom 22.2.1997);
Vereinbarung mit der Türkei über die Umsetzung der Zollunion (1.1.1996 - ABl. L 35 vom 13.2.1996)
Vereinbarung mit:
Israel (Übergangsvereinbarung - 1.1.1996 - ABl. L 71 vom 20.1.1996)
der GUS: Russische Föderation (Übergangsvereinbarung - 1.2.1996 - ABl. L 247 vom 13.10.1995), Ukraine (Übergangsvereinbarung - 1.2.1996 - ABl. L 311 vom 23.12.1995), Moldavien (Übergangsvereinbarung - 1.5.1996 - ABl. L 40 vom 17.2.1996).
Mit einer Reihe anderer Länder wird zur Zeit über Vereinbarungen, einschließlich Bestimmungen über eine gegenseitige Unterstützung, verhandelt.
15 Siehe Artikel 2 Absatz 1 Unterabsatz 2 des Protokolls im Anhang zu dem Vertrag über die Europäische Union und dem Vertrag über die Gründung der Europäischen Gemeinschaft, mit dem die bestehenden Schengener Regelungen in den Rahmen der Europäischen Union integriert werden.
16 Beschluß des Rates der Europäischen Union von Juli 1997, der es der Kommission gestattet, Verhandlungen für einen Beitritt der Europäischen Gemeinschaft zum Übereinkommen 108 aufzunehmen.
17 Alle Informationen sind im Internet abrufbar (http://www.datatilsynet.no).
18 Veröffentlicht im Bulletin der Europäischen Union, Beilage 6/97.
|