5092/98/DE/endg. WP 15
Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten
STELLUNGNAHME 1/99
zum
Stand des Datenschutzes in den Vereinigten Staaten und zu den derzeitigen
Verhandlungen zwischen der Europäischen Kommission und der amerikanischen
Regierung
Angenommen am 26. Januar 1999
Die Gruppe ist über die Verhandlungen zwischen der Europäischen Kommission und der
amerikanischen Regierung informiert. Diese zielen darauf ab, für personenbezogene Daten
ein hohes Maß an Schutz und freiem Verkehr zwischen der Union und den USA zu
gewährleisten. Die Gruppe mißt diesen Verhandlungen Bedeutung bei und hofft auf einen
möglichst baldigen erfolgreichen Abschluß. In diesem Zusammenhang wurde ein
Schreiben mit Anhang des Botschafters Aaron vom 4. November 1998 übermittelt, das
eine Reihe von Vorschlägen enthält, die in den USA zwischen Vertretern der
amerikanischen Wirtschaft und dem Handelsministerium diskutiert werden sollen. Die
Gruppe fordert sowohl die Diskussionsteilnehmer als auch die Regierungen der
EU-Mitgliedstaaten, deren Vertreter regelmäßig in dem nach Artikel 31 der Richtlinie
95/46/EG eingesetzten Ausschuß zusammentreffen, dringend zur Berücksichtigung
folgender Punkte auf:
Datenschutzvorschriften sollen nicht nur die Anwender neuer Technologien (insbesondere
Informatik- und Internet-Nutzer) schützen, ihnen Sicherheit und Vertrauen geben und so
die Weiterentwicklung dieser Technologien und den internationalen Datenaustausch
fördern, sondern sie sind auch Ausdruck des Willens, an einer Reihe von Grundsätzen und
Grundrechten, die den EU-Mitgliedstaaten und den Vereinigten Staaten gemeinsam sind
und die Achtung der Privatsphäre und andere menschliche Werte umfassen, festzuhalten.
1. Der Schutz der Privatsphäre und personenbezogener Daten stellt sich in den USA als
ein komplexes Gefüge von sektoralen Vorschriften sowohl auf förderaler als auch
einzelstaatlicher Ebene dar, die von Selbstregulierung der Wirtsschaft ergänzt werden.
In den vergangenen Monaten wurden insbesondere in bezug auf das Internet und den
elektronischen Geschäftsverkehr erhebliche Anstrengungen unternommen, um die
Glaubwürdigkeit der Selbstregulierung zu erhöhen und ihre Durchsetzbarkeit zu
verbessern. Dennoch vertritt die Gruppe die Auffassung, daß die derzeitige Mischung
aus enggefaßten sektoralen Rechtsvorschriften und freiwilliger Selbstregulierung nicht
ausreicht, um bei jeder Übertragung personenbezogener Daten aus der Europäischen
Union einen angemessenen Schutz zu gewährleisten.
2. Die Festlegung eines Referenzrahmens (bestehend aus einer Reihe von Grundsätzen, bei
deren Einhaltung von einem "sicheren Hafen"/“safe harbor“ ausgegangen werden
kann), der allen US Wirtschaftsteilnehmern offensteht, ist angesichts der Komplexität
des amerikanischen Systems äußerst hilfreich. In bestimmten Fällen müßten ergänzend
dazu vertragliche Lösungen gefunden werden. Soll der freie Datenfluß in die USA auf
dieser Grundlage gewährleistet werden, sind jedoch weitere Verbesserungen
erforderlich. Auch könnte sich die Festlegung eines Verfahrens als notwendig erweisen,
anhand dessen ermittelt werden kann, welche Unternehmen die Grundsätze einhalten.
3. Da die Entscheidung zur Einhaltung der Grundsätze ausschließlich bei den
Unternehmen liegt, stellen bei fehlenden allgemeinen Rechtsvorschriften all die
Unternehmen, die sich nicht an die Grundsätze halten möchten, nach wie vor ein
Problem dar.
4. Ebenfalls zu klären ist die Rechtstellung der Grundsätze. Zwar kann ihre Einhaltung
zunächst freiwillig sein, muß aber verbindlich werden, sobald sich ein Unternehmen für
die Grundsätze entschieden hat und die Vorteile des "sicheren Hafens" für sich in
Anspruch nimmt.
5. Erheblich beeinträchtigt wird die Glaubwürdigkeit des Systems dadurch, daß die
Einhaltung der Grundsätze nicht von einer unabhängigen Stelle überwacht, sondern
lediglich durch Eigenbescheinigungen der Unternehmen gewährleistet werden soll. Eine
unabhängige Prüfung müßte seriös sein, sollte sich aber selbst für kleine Unternehmen
als praktikabel erweisen. Die derzeit in den USA von "Better Business Bureau OnLine"
und "Trust-E" entwickelten Modelle gehen in die richtige Richtung.
6. Darüber hinaus muß es möglich sein, die Beschwerden Einzelner, deren Daten von der
EU in die USA übermittelt wurden, einfach und zügig zu behandeln und in letzer
Instanz einer unabhängigen Stelle vorzulegen. Zu diesem Zweck muß bzw. müssen in
den USA eine oder mehrere unabhängige öffentliche Stellen oder Organisationen
gefunden werden, die bereit und in der Lage sind, als Kontaktstellen für
Datenschutzbehörden aus der EU zu fungieren und bei der Prüfung von Beschwerden
mitzuarbeiten. Dabei muß sichergestellt werden, daß in den USA für alle einschlägigen
Wirtschaftszweige Vereinbarungen über die praktische Abwicklung solcher Fälle
bestehen. Regulierungsbehörden wie die Bundeshandelskommission oder die
Bundesbanken-Aufsichtsbehörde können diese Aufgabe in ihrem jeweiligen
Zuständigkeitsbereich wahrnehmen.
7. Inhaltlich müssen die Grundsätze zumindest den 1980 verabschiedeten
OECD-Leitlinien zum Schutz der Privatspäre entsprechen, die unter anderem von den
Vereinigten Staaten angenommen und kürzlich in Ottawa anläßlich der
OECD-Konferenz über den elektronischen Geschäftsverkehr bestätigt wurden. Diese
Grundsätze finden sich auch in der Richtlinie 95/46/EG und in den Rechtsvorschriften
der Mitgliedstaaten der Europäischen Union wieder. In dieser Hinsicht gibt die
eingangs erwähnte Diskussionsvorlage des amerikanischen Wirtschaftsministeriums
vom 4. November 1998 vor allem in folgenden Punkten zu Besorgnis Anlaß:
a) Das Zugangsrecht des Einzelnen soll auf ein "angemessenes" Maß beschränkt
werden, was nicht den OECD-Leitlinien entspricht, in denen nicht das Recht
an sich beschränkt, sondern lediglich eine angemessene Anwendung postuliert
wird.
b) Der OECD-Grundsatz der Zweckbindung fehlt völlig und wird nur teilweise
durch den Grundsatz der "Wahlmöglichkeit" ersetzt, wonach zu einem
bestimmten Zweck erhobene Daten auch zu anderen Zwecken verwendet
werden können, wenn der Einzelne die Möglichkeit zum Einspruch hat.
c) Daten, auf die sich ein eigentumsähnliches Recht bezieht, und manuell
verarbeitete Daten sind von den US-Grundsätzen gänzlich ausgenommen, der
Grundsatz der "Wahlmöglichkeit" bietet für die bei Dritten erhobenen Daten
keinerlei Schutz, und der Grundsatz des "Zugangs" umfaßt nicht die aus
öffentlich zugänglichen Quellen stammenden Daten.
d) Laut Einleitung (dritter Absatz) gehen u.a. "Risikomanagement" (risk
management) und “Informationssicherheit" (information security) der
Anwendung der Grundsätze vor. Diese Begriffe sind nach Auffassung der
Gruppe zu vage und zu schlecht eingrenzbar. Sie empfiehlt deshalb, sie zu
präzisieren oder zu streichen.
Brüssel, den 26. Januar 1999
Für die Gruppe
Der stellvertretende Vorsitzende
Prof. Stefano RODOTA
|