Anlage
Leitlinien für den Schutz des Persönlichkeitsbereichs
und den grenzüberschreitenden Verkehr personenbezogener Daten
TEIL 1 - Allgemeines Begriffsbestimmungen
1. In diesen Leitlinien bedeutet
a) >>Verantwortlicher für die Datei/Datensammlung<<
eine natürliche oder juristische Person, die nach dem innerstaatlichen
Recht zuständig ist, über Auswahl und Verwendung personenbezogener
Daten unabhängig davon zu entscheiden, ob solche Daten von
dieser Person oder in ihrem Namen von einem Beauftragten erfaßt,
gespeichert, verarbeitet oder bekanntgegeben werden;
b) >>personenbezogene Daten<< jede Information über
eine bestimmte oder bestimmbare natürliche Person (>>Betroffener<<);
c) >>grenzüberschreitender Verkehr personenbezogener
Daten<< die Bewegung personenbezogener Daten über Staatsgrenzen
hinweg.
Geltungsbereich der Leitlinien
2. Diese Leitlinien gelten sowohl im öffentlichen als auch
im privaten Bereich für personenbezogene Daten, die wegen
der Art und Weise, in der sie verarbeitet werden, oder wegen ihres
Charakters oder wegen des Zusammenhangs, in dem sie verwendet
werden, eine Gefahr für den Persönlichkeitsbereich und
die Grundfreiheiten bedeuten.
3. Diese Leitlinien sollen nicht so ausgelegt werden, als verhinderten
sie
a) daß auf verschiedene Arten personenbezogener Daten je
nach ihrem Charakter und dem Zusammenhang, in dem sie erfaßt,
gespeichert, verarbeitet oder bekanntgegeben werden, unterschiedliche
Schutzmaßnahmen angewendet werden;
b) daß personenbezogene Daten, die offensichtlich keine
Gefahr für den Persönlichkeitsbereich und die Grundfreiheiten
bedeuten, von der Anwendung der Leitlinien ausgeschlossen werden;
c) daß die Leitlinien ausschließlich auf die automatische
Verarbeitung personenbezogener Daten angewendet werden.
4. Ausnahmen von den in den Teilen Zwei und Drei dieser Leitlinien
enthaltenen Grundsätzen einschließlich der Ausnahmen
in bezug auf die nationale Souveränität, die nationale
Sicherheit und die öffentliche Ordnung sollen
a) zahlenmäßig möglichst gering sein und
b) der Öffentlichkeit bekanntgemacht werden.
5. Im besonderen Fall von Staaten mit föderativem Aufbau
kann die Anwendung dieser Leitlinien von der Kompetenzverteilung
im föderativen Staat beeinflußt werden.
6. Diese Leitlinien sollen als Mindestnorm angesehen werden, die
durch zusätzliche Maßnahmen zum Schutz des Persönlichkeitsbereichs
und der Grundfreiheiten ergänzt werden können.
TEIL 2 - Grundsätze für die Anwendung im innerstaatlichen
Bereich
Der Grundsatz der Beschränkung der Datenbeschaffung
7. Für die Beschaffung personenbezogener Daten sollen Beschränkungen
festgelegt werden; solche Daten sollen mit rechtmäßigen
Mitteln und nach Treu und Glauben sowie gegebenenfalls mit Wissen
oder Zustimmung des Betroffenen erhoben werden.
Der Grundsatz der Qualität der Daten
8. Personenbezogene Daten sollen im Hinblick auf ihren Verwendungszweck
erheblich und, soweit es der Verwendungszweck erfordert, sachlich
richtig, vollständig und auf den neuesten Stand gebracht
sein.
Der Grundsatz der Angabe des Zweckes
9. Die Zwecke, für die personenbezogene Daten beschafft werden,
sollen spätestens bei der Datenbeschaffung im einzelnen angegeben
werden, und die Daten sollen danach nur für diese Zwecke
oder für solche anderen Zwecke verwendet werden, die mit
den angegebenen nicht unvereinbar sind und die jeweils bei der
Zweckänderung angegeben werden.
Der Grundsatz der Beschränkung der Verwendung
10. Personenbezogene Daten sollen nicht für andere als die
nach Punkt 9 angegebenen Zwecke preisgegeben, zur Verfügung
gestellt oder sonst verwendet werden, es sei denn
a) mit Zustimmung des Betroffenen oder
b) aufgrund gesetzlicher Ermächtigung.
Der Grundsatz der Sicherungsmaßnahmen
11. Personenbezogene Daten sollen durch angemessene Sicherungsmaßnahmen
gegen Gefahren wie Verlust, unbefugten Zugang sowie unbefugte
Zerstörung, Verwendung, Änderung oder Preisgabe geschützt
werden.
Der Grundsatz der Transparenz
12. Es soll allgemein gewährleistet werden, daß Entwicklung,
Praxis und Politik hinsichtlich personenbezogener Daten durchschaubar
sind. Die Mittel sollen leicht zu beschaffen sein, mit denen das
Vorhandensein personenbezogener Daten, ihr Charakter und ihre
Hauptverwendungszwecke sowie die Identität und der gewöhnliche
Aufenthaltsort des Verantwortlichen für die Datei/Datensammlung
festgestellt werden können.
Der Grundsatz der Beteiligung des einzelnen
13. Der einzelne soll das Recht haben,
a) von dem Verantwortlichen für eine Datei/Datensammlung
oder auf andere Weise die Bestätigung zu erhalten, ob dieser
Daten über ihn hat oder nicht;
b) zu verlangen, daß ihm die Daten, die ihn betreffen,
i) innerhalb einer angemessenen Frist;
ii) kostenlos oder gegen eine nicht übermäßige
Gebühr;
iii) in angemessener Weise und
iv) in einer für ihn leicht verständlichen Form mitgeteilt
werden;
c) über die Gründe einer Ablehnung eines Ersuchens nach
den Buchstaben a und b unterrichtet zu werden; eine solche Ablehnung
anfechten zu können, und
d) ihn betreffende Daten anzufechten und, wenn die Anfechtung
begründet ist, zu verlangen, daß diese Daten gelöscht,
berichtigt, vervollständigt oder geändert werden.
Der Grundsatz der Verantwortlichkeit
14. Ein Verantwortlicher für eine Datei/Datensammlung soll
für die Beachtung der Maßnahmen verantwortlich sein,
welche die oben genannten Grundsätze verwirklichen.
TEIL 3 - Grundsätze für die Anwendung im internationalen
Bereich - Freier Datenverkehr und rechtmäßige Beschränkungen
15. Die Mitgliedstaaten sollen die Folgen der inländischen
Verarbeitung und der Wiederausfuhr personenbezogener Daten für
andere Mitgliedstaaten berücksichtigen.
16. Die Mitgliedstaaten sollen alle zumutbaren und angemessenen
Maßnahmen ergreifen, um zu gewährleisten, daß
der grenzüberschreitende Verkehr personenbezogener Daten
einschließlich der Durchfuhr durch einen Mitgliedstaat ohne
Unterbrechung und sicher abläuft.
17. Ein Mitgliedstaat soll den grenzüberschreitenden Verkehr
personenbezogener Daten zwischen seinem Hoheitsgebiet und dem
eines anderen Mitgliedstaats nicht beschränken, es sei denn,
daß der letztere diese Leitlinien in wesentlichen Punkten
noch nicht einhält, oder daß die Wiederausfuhr solcher
Daten eine Umgehung seiner innerstaatlichen Rechtsvorschriften
über den Schutz des Persönlichkeitsbereichs und der
Grundfreiheiten ermöglichen würde. Ein Mitgliedstaat
kann auch Einschränkungen in bezug auf bestimmte Arten personenbezogener
Daten einführen, für die seine innerstaatlichen Rechtsvorschriften
über den Schutz des Persönlichkeitsbereichs und der
Grundfreiheiten wegen des Charakters dieser Daten besondere Regelungen
umfassen und für die der andere Mitgliedstaat keinen gleichwertigen
Schutz vorsieht.
18. Die Mitgliedstaaten sollen nicht im Namen des Schutzes des
Persönlichkeitsbereichs und der Grundfreiheiten Rechtsvorschriften,
Grundsätze und Praktiken entwickeln, die für den grenzüberschreitenden
Verkehr personenbezogener Daten Hindernisse schaffen würden,
die über die Erfordernisse eines solchen Schutzes hinausgehen.
TEIL 4 - Verwirklichung im nationalen Bereich
19. Bei der Verwirklichung der in den Teilen Zwei und Drei dargelegten
Grundsätze im innerstaatlichen Bereich sollen die Mitgliedstaaten
Gerichts-, Verwaltungs- oder andere Verfahren oder Einrichtungen
zum Schutz des Persönlichkeitsbereichs und der Grundfreiheiten
im Zusammenhang mit personenbezogenen Daten schaffen. Die Mitgliedstaaten
sollen sich insbesondere bemühen,
a) angemessene innerstaatliche Rechtsvorschriften einzuführen;
b) die Selbstregelung zu fördern und zu unterstützen,
sei es in Form eines Verhaltenskodex oder in anderer Weise;
c) dem einzelnen angemessene Mittel zur Verfügung zu stellen,
damit er seine Rechte ausüben kann;
d) ausreichende Sanktionen und Rechtsmittel für den Fall
einzuführen, daß Maßnahmen, die der Verwirklichung
der in den Teilen Zwei und Drei dargelegten Grundsätze dienen,
nicht beachtet werden;
e) sicherzustellen, daß es zu keiner unbilligen Diskriminierung
von Betroffenen kommt.
TEIL 5 - Internationale Zusammenarbeit
20. Die Mitgliedstaaten sollen auf Ersuchen anderen Mitgliedstaaten
Einzelheiten über die Anwendung der in diesen Leitlinien
dargelegten Grundsätze zur Kenntnis bringen. Die Mitgliedstaaten
sollen ferner dafür sorgen, daß die Verfahren, die
auf den grenzüberschreitenden Verkehr personenbezogener Daten
sowie auf den Schutz des Persönlichkeitsbereichs und der
Grundfreiheiten Anwendung finden, einfach und mit denjenigen anderer
Mitgliedstaaten, welche die Leitlinien einhalten, vereinbar sind.
21. Die Mitgliedstaaten sollen Verfahren festlegen, um
i) den mit diesen Leitlinien zusammenhängenden Informationsaustausch
sowie
ii) die gegenseitige Hilfe in den dabei auftretenden Verfahrens-
und Ermittlungsfragen zu erleichtern.
22. Die Mitgliedstaaten sollen auf die Entwicklung sowohl innerstaatlicher
als auch internationaler Grundsätze hinarbeiten, nach denen
sich das anzuwendende Recht beim grenzüberschreitenden Verkehr
personenbezogener Daten bestimmt.
|