B. Organisation für wirtschaftliche Zusammenarbeit und Entwicklung(OECD)

I. Empfehlung des Rates über Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten

vom 23. September 1980 OECD-Dokument C (80) 58 (Final)

Der Rat - gestützt auf Artikel 1 Buchstabe c, Artikel 3 Buchstabe a und Artikel 5 Buchstabe b des Übereinkommens vom 14. Dezember 1960 über die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung;

In Anerkennung der Tatsache,

daß die Mitgliedstaaten, obwohl ihr innerstaatliches Recht und ihre Politik unterschiedlich sein mögen, ein gemeinsames Interesse haben am Schutz des Persönlichkeitsbereichs und der Grundfreiheiten sowie an der Herstellung eines Ausgleichs zwischen grundlegenden, jedoch miteinander konkurrierenden Werten, wie der Achtung des Persönlichkeitsbereichs und dem freien Informationsaustausch;

daß die automatische Verarbeitung und der grenzüberschreitende Verkehr personenbezogener Daten neue Formen gegenseitiger Beziehungen zwischen den Ländern schaffen und die Einführung von Vorschriften und Praktiken erfordern, die miteinander vereinbar sind;

daß der grenzüberschreitende Verkehr personenbezogener Daten zur wirtschaftlichen und sozialen Entwicklung beiträgt; daß innerstaatliche Rechtsvorschriften über, den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten diesen grenzüberschreitenden Verkehr behindern könnten;

entschlossen, den freien Informationsaustausch zwischen den Mitgliedstaaten zu fördern und der Schaffung ungerechtfertigter Hindernisse für die Entwicklung wirtschaftlicher und sozialer Beziehungen unter den Mitgliedstaaten entgegenzuwirken -

Empfiehlt den Mitgliedstaaten,

1. in ihrer innerstaatlichen Gesetzgebung die Grundsätze für den Schutz des Persönlichkeitsbereichs und der Grundfreiheiten zu berücksichtigen, wie sie in den Leitlinien in der Anlage zu dieser Empfehlung dargelegt sind, die Bestandteil der Empfehlung ist;

2. sich zu bemühen, bestehende ungerechtfertigte Hindernisse für den grenzüberschreitenden Verkehr personenbezogener Daten abzubauen und nicht im Namen des Schutzes des Persönlichkeitsbereichs neue solche Hindernisse zu schaffen;

3. bei der Verwirklichung der in der Anlage enthaltenen Leitlinien zusammenzuarbeiten;

4. sich so bald wie möglich auf spezifische Konsultations- und Kooperationsverfahren für die Anwendung dieser Leitlinien zu einigen.

Anlage

Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten

TEIL 1 - Allgemeines Begriffsbestimmungen

1. In diesen Leitlinien bedeutet

a) >>Verantwortlicher für die Datei/Datensammlung<< eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht zuständig ist, über Auswahl und Verwendung personenbezogener Daten unabhängig davon zu entscheiden, ob solche Daten von dieser Person oder in ihrem Namen von einem Beauftragten erfaßt, gespeichert, verarbeitet oder bekanntgegeben werden;

b) >>personenbezogene Daten<< jede Information über eine bestimmte oder bestimmbare natürliche Person (>>Betroffener<<);

c) >>grenzüberschreitender Verkehr personenbezogener Daten<< die Bewegung personenbezogener Daten über Staatsgrenzen hinweg.

Geltungsbereich der Leitlinien

2. Diese Leitlinien gelten sowohl im öffentlichen als auch im privaten Bereich für personenbezogene Daten, die wegen der Art und Weise, in der sie verarbeitet werden, oder wegen ihres Charakters oder wegen des Zusammenhangs, in dem sie verwendet werden, eine Gefahr für den Persönlichkeitsbereich und die Grundfreiheiten bedeuten.

3. Diese Leitlinien sollen nicht so ausgelegt werden, als verhinderten sie

a) daß auf verschiedene Arten personenbezogener Daten je nach ihrem Charakter und dem Zusammenhang, in dem sie erfaßt, gespeichert, verarbeitet oder bekanntgegeben werden, unterschiedliche Schutzmaßnahmen angewendet werden;

b) daß personenbezogene Daten, die offensichtlich keine Gefahr für den Persönlichkeitsbereich und die Grundfreiheiten bedeuten, von der Anwendung der Leitlinien ausgeschlossen werden;

c) daß die Leitlinien ausschließlich auf die automatische Verarbeitung personenbezogener Daten angewendet werden.

4. Ausnahmen von den in den Teilen Zwei und Drei dieser Leitlinien enthaltenen Grundsätzen einschließlich der Ausnahmen in bezug auf die nationale Souveränität, die nationale Sicherheit und die öffentliche Ordnung sollen

a) zahlenmäßig möglichst gering sein und

b) der Öffentlichkeit bekanntgemacht werden.

5. Im besonderen Fall von Staaten mit föderativem Aufbau kann die Anwendung dieser Leitlinien von der Kompetenzverteilung im föderativen Staat beeinflußt werden.

6. Diese Leitlinien sollen als Mindestnorm angesehen werden, die durch zusätzliche Maßnahmen zum Schutz des Persönlichkeitsbereichs und der Grundfreiheiten ergänzt werden können.

TEIL 2 - Grundsätze für die Anwendung im innerstaatlichen Bereich

Der Grundsatz der Beschränkung der Datenbeschaffung

7. Für die Beschaffung personenbezogener Daten sollen Beschränkungen festgelegt werden; solche Daten sollen mit rechtmäßigen Mitteln und nach Treu und Glauben sowie gegebenenfalls mit Wissen oder Zustimmung des Betroffenen erhoben werden.

Der Grundsatz der Qualität der Daten

8. Personenbezogene Daten sollen im Hinblick auf ihren Verwendungszweck erheblich und, soweit es der Verwendungszweck erfordert, sachlich richtig, vollständig und auf den neuesten Stand gebracht sein.

Der Grundsatz der Angabe des Zweckes

9. Die Zwecke, für die personenbezogene Daten beschafft werden, sollen spätestens bei der Datenbeschaffung im einzelnen angegeben werden, und die Daten sollen danach nur für diese Zwecke oder für solche anderen Zwecke verwendet werden, die mit den angegebenen nicht unvereinbar sind und die jeweils bei der Zweckänderung angegeben werden.

Der Grundsatz der Beschränkung der Verwendung

10. Personenbezogene Daten sollen nicht für andere als die nach Punkt 9 angegebenen Zwecke preisgegeben, zur Verfügung gestellt oder sonst verwendet werden, es sei denn

a) mit Zustimmung des Betroffenen oder

b) aufgrund gesetzlicher Ermächtigung.

Der Grundsatz der Sicherungsmaßnahmen

11. Personenbezogene Daten sollen durch angemessene Sicherungsmaßnahmen gegen Gefahren wie Verlust, unbefugten Zugang sowie unbefugte Zerstörung, Verwendung, Änderung oder Preisgabe geschützt werden.

Der Grundsatz der Transparenz

12. Es soll allgemein gewährleistet werden, daß Entwicklung, Praxis und Politik hinsichtlich personenbezogener Daten durchschaubar sind. Die Mittel sollen leicht zu beschaffen sein, mit denen das Vorhandensein personenbezogener Daten, ihr Charakter und ihre Hauptverwendungszwecke sowie die Identität und der gewöhnliche Aufenthaltsort des Verantwortlichen für die Datei/Datensammlung festgestellt werden können.

Der Grundsatz der Beteiligung des einzelnen

13. Der einzelne soll das Recht haben,

a) von dem Verantwortlichen für eine Datei/Datensammlung oder auf andere Weise die Bestätigung zu erhalten, ob dieser Daten über ihn hat oder nicht;

b) zu verlangen, daß ihm die Daten, die ihn betreffen,

i) innerhalb einer angemessenen Frist;

ii) kostenlos oder gegen eine nicht übermäßige Gebühr;

iii) in angemessener Weise und

iv) in einer für ihn leicht verständlichen Form mitgeteilt werden;

c) über die Gründe einer Ablehnung eines Ersuchens nach den Buchstaben a und b unterrichtet zu werden; eine solche Ablehnung anfechten zu können, und

d) ihn betreffende Daten anzufechten und, wenn die Anfechtung begründet ist, zu verlangen, daß diese Daten gelöscht, berichtigt, vervollständigt oder geändert werden.

Der Grundsatz der Verantwortlichkeit

14. Ein Verantwortlicher für eine Datei/Datensammlung soll für die Beachtung der Maßnahmen verantwortlich sein, welche die oben genannten Grundsätze verwirklichen.

TEIL 3 - Grundsätze für die Anwendung im internationalen Bereich - Freier Datenverkehr und rechtmäßige Beschränkungen

15. Die Mitgliedstaaten sollen die Folgen der inländischen Verarbeitung und der Wiederausfuhr personenbezogener Daten für andere Mitgliedstaaten berücksichtigen.

16. Die Mitgliedstaaten sollen alle zumutbaren und angemessenen Maßnahmen ergreifen, um zu gewährleisten, daß der grenzüberschreitende Verkehr personenbezogener Daten einschließlich der Durchfuhr durch einen Mitgliedstaat ohne Unterbrechung und sicher abläuft.

17. Ein Mitgliedstaat soll den grenzüberschreitenden Verkehr personenbezogener Daten zwischen seinem Hoheitsgebiet und dem eines anderen Mitgliedstaats nicht beschränken, es sei denn, daß der letztere diese Leitlinien in wesentlichen Punkten noch nicht einhält, oder daß die Wiederausfuhr solcher Daten eine Umgehung seiner innerstaatlichen Rechtsvorschriften über den Schutz des Persönlichkeitsbereichs und der Grundfreiheiten ermöglichen würde. Ein Mitgliedstaat kann auch Einschränkungen in bezug auf bestimmte Arten personenbezogener Daten einführen, für die seine innerstaatlichen Rechtsvorschriften über den Schutz des Persönlichkeitsbereichs und der Grundfreiheiten wegen des Charakters dieser Daten besondere Regelungen umfassen und für die der andere Mitgliedstaat keinen gleichwertigen Schutz vorsieht.

18. Die Mitgliedstaaten sollen nicht im Namen des Schutzes des Persönlichkeitsbereichs und der Grundfreiheiten Rechtsvorschriften, Grundsätze und Praktiken entwickeln, die für den grenzüberschreitenden Verkehr personenbezogener Daten Hindernisse schaffen würden, die über die Erfordernisse eines solchen Schutzes hinausgehen.

TEIL 4 - Verwirklichung im nationalen Bereich

19. Bei der Verwirklichung der in den Teilen Zwei und Drei dargelegten Grundsätze im innerstaatlichen Bereich sollen die Mitgliedstaaten Gerichts-, Verwaltungs- oder andere Verfahren oder Einrichtungen zum Schutz des Persönlichkeitsbereichs und der Grundfreiheiten im Zusammenhang mit personenbezogenen Daten schaffen. Die Mitgliedstaaten sollen sich insbesondere bemühen,

a) angemessene innerstaatliche Rechtsvorschriften einzuführen;

b) die Selbstregelung zu fördern und zu unterstützen, sei es in Form eines Verhaltenskodex oder in anderer Weise;

c) dem einzelnen angemessene Mittel zur Verfügung zu stellen, damit er seine Rechte ausüben kann;

d) ausreichende Sanktionen und Rechtsmittel für den Fall einzuführen, daß Maßnahmen, die der Verwirklichung der in den Teilen Zwei und Drei dargelegten Grundsätze dienen, nicht beachtet werden;

e) sicherzustellen, daß es zu keiner unbilligen Diskriminierung von Betroffenen kommt.

TEIL 5 - Internationale Zusammenarbeit

20. Die Mitgliedstaaten sollen auf Ersuchen anderen Mitgliedstaaten Einzelheiten über die Anwendung der in diesen Leitlinien dargelegten Grundsätze zur Kenntnis bringen. Die Mitgliedstaaten sollen ferner dafür sorgen, daß die Verfahren, die auf den grenzüberschreitenden Verkehr personenbezogener Daten sowie auf den Schutz des Persönlichkeitsbereichs und der Grundfreiheiten Anwendung finden, einfach und mit denjenigen anderer Mitgliedstaaten, welche die Leitlinien einhalten, vereinbar sind.

21. Die Mitgliedstaaten sollen Verfahren festlegen, um

i) den mit diesen Leitlinien zusammenhängenden Informationsaustausch sowie

ii) die gegenseitige Hilfe in den dabei auftretenden Verfahrens- und Ermittlungsfragen zu erleichtern.

22. Die Mitgliedstaaten sollen auf die Entwicklung sowohl innerstaatlicher als auch internationaler Grundsätze hinarbeiten, nach denen sich das anzuwendende Recht beim grenzüberschreitenden Verkehr personenbezogener Daten bestimmt.