Vereinigte Staaten von Amerika
I. Privatsphäre und Nationale Informations-Infrastruktur: Grundsätze für die Bereitstellung und Nutzung personenbezogener Informationen- Übersetzung - Privacy Working Group Information Policy Committee Information Infrastructure Task Force Endgültige Fassung 6. Juni 1995 EinleitungDie Nationale Informations-Infrastruktur (NII), die eine nahtlose Vernetzung von Kommunikationsnetzen, Computern, Datenbanken und Unterhaltungselektronik verspricht, kündigt das Herannahen des Informationszeitalters an. Die Möglichkeit, Informationen zu akzeptablen Kosten zu erwerben, zu verarbeiten, zu übermitteln und zu speichern, ist niemals größer gewesen; die fortdauernde Verbesserung der Computer- und Telekommunikationstechnologien wird zu einem fortlaufenden Anwachsen der Erzeugung, Nutzung und Speicherung von Informationen führen. Die Nationale Informations-Infrastruktur verspricht enorme Vorteile. Sie eröffnet - um nur einige davon zu nennen - Möglichkeiten einer größeren Bürgerbeteiligung in der diskursorientierten Demokratie, Fortschritte in der Medizin und der medizinischen Forschung und die schnelle Verifikation von sensiblen Informationen, wie z. B. dem Vorstrafenregister eines Waffenkäufers. Diese Vorteile haben jedoch ihren Preis: den Verlust der Privatsphäre. Privatsphäre bedeutet in diesem Zusammenhang "informationelle Privatsphäre", also den Anspruch des einzelnen, die Bedingungen zu kontrollieren, unter denen persönliche Informationen - Informationen, die einem Individuum zugeordnet werden können - erworben, übermittelt und genutzt werden. Zwei konvergierende Trends - der eine ein sozialer, der andere ein technologischer Trend - führen zu einer verstärkten Gefährdung der Privatsphäre in der sich entwickelnden NII. Als sozialer Trend werden die einzelnen die NII nutzen, um miteinander zu kommunizieren, Waren und Dienstleistungen zu bestellen und Informationen zu beziehen. Die Nutzung der NII für solche Zwecke wird jedoch, anders als die Barzahlung beim Kauf einer Zeitschrift, zum Entstehen von Daten führen, die die Transaktion dokumentieren und die leicht gespeichert, ausgewertet, analysiert und wiederverwendet werden können. Tatsächlich könnte aus den Verbindungsdaten der NII sowohl darauf geschlossen werden, wer wann und für wie lange kommuniziert hat, als auch, wer was und für welchen Preis gekauft hat. Typischerweise wird diese Art von persönlichen Informationen automatisch in elektronischer Form generiert und kann daher zu sehr geringen Kosten gespeichert und verarbeitet werden. Der technologische Trend besteht darin, daß die Fähigkeiten von Hardware, Software und Kommunikationsnetzen kontinuierlich zunehmen, während die Kosten dafür kontinuierlich zurückgehen und eine Nutzung von Information in einer Art erlauben, die vorher unmöglich oder unwirtschaftlich war. Ohne die NII mußte man z. B., um ein Benutzerprofil einer Person zu erstellen, die in verschiedenen Bundesstaaten gewohnt hat, von Bundesstaat zu Bundesstaat fahren und öffentliche Register nach Informationen über diese Person durchsuchen. Dieser Vorgang erfordert das Ausfüllen von Formularen, die Zahlung von Gebühren und das Schlangestehen für die Akteneinsicht bei kommunalen Behörden, Landes- und Bundesbehörden, wie der Kfz-Zulassungsstelle, den Grundbuchämtern, den Wahlkommissionen und den Bezirksarchiven. Obwohl man auf diese Art manuell ein Persönlichkeitsprofil zusammenstellen könnte, wäre dies ein zeitaufwendiger und teurer Vorgang, der nicht unternommen werden würde, wenn man sich nicht einen angemessenen Erfolg versprechen würde. Im Gegensatz dazu kann heute, da mehr und mehr persönliche Informationen elektronisch lesbar zur Verfügung stehen, ein solches Profil zu geringen Kosten in wenigen Minuten erstellt werden.
|
||
Diese beiden zusammenhängenden Trends werden mit Sicherheit dazu
führen, daß im Zusammenhang mit der Entwicklung der NII mehr
personenbezogene Informationen entstehen und in größerem Masse
genutzt werden. Hierin liegt das zunehmende Risiko für die
Privatsphäre. Dieses Risiko muß angesprochen werden, sowohl um
den Wert der Privatsphäre für den einzelnen und die Gesellschaft
sicherzustellen, als auch, um dafür zu sorgen, daß die NII ihr
volles Potential erreichen wird. Wenn dies nicht getan wird, könnten
die Bürger aus Angst, daß die Nachteile für den Schutz ihrer
personenbezogenen Daten die Vorteile der NII überwiegen könnten,
nicht daran teilnehmen. Die Einführung von Prinzipien für den fairen
Umgang mit Informationen ist ein wichtiger erster Schritt, um dieser Besorgnis
entgegenzuwirken.
Obwohl entsprechende gesetzliche Regelungen und Prinzipien bereits existieren, müssen diese angepaßt werden, um die sich entwickelnde Informationsumgebung (information environment) abzudecken. Diese sich verändernden Rahmenbedingungen sind mit neuen Gefährdungen verbunden. - Die Sammlung und Nutzung großer Mengen von personenbezogenen Informationen erfolgt nicht mehr durch Regierungsstellen allein; der private Bereich fängt an, im Hinblick auf die Sammlung und die Nutzung personenbezogener Informationen mit der Regierung zu konkurrieren. Neue Prinzipien würden damit unvollständig bleiben, falls sie nicht sowohl auf den öffentlichen als auch auf den privaten Bereich anwendbar wären. - Die NII verspricht wirkliche Interaktivität. Die einzelnen werden zu aktiven Teilnehmern, die sowohl große Mengen von Inhalts- als auch von Verbindungsdaten erzeugen werden. - Die Transporteinrichtungen für persönliche Information - die Netze - können mißbraucht werden; daher ist die Sicherheit der Netze selbst für den zukünftigen Erfolg der NII entscheidend. - Die sich schnell entwickelnde Informationsumgebung macht in manchen Fällen die Anwendung traditioneller ethischer Regeln schwierig, selbst wenn es sich um solche handelt, die beim Umgang mit greifbaren Akten und Dokumenten allgemein verstanden und akzeptiert werden. Man denke z. B. nur daran, wie jemand, der niemals in das Haus eines anderen eindringen würde, das Einbrechen in dessen Computer als eine intellektuelle Übung betrachten könnte. Zusätzlich kann die heutige Informationsumgebung Fragen über die Nutzung persönlicher Informationen aufwerfen, die in traditionellen Regelungen nicht einmal erwähnt werden. Diese "Prinzipien für die Bereitstellung und Nutzung personenbezogener Informationen" ("die Prinzipien") werden als Antwort auf diese neue Informationsumgebung angeboten. Die Prinzipien, angesiedelt zwischen abstrakten Begriffen und detaillierten Regelungen, sollen eine sinnvolle Linie bieten. Sie sind für alle Teilnehmer an der NII gedacht und sollten von denen genutzt werden, die Gesetze und Vorschriften entwerfen, Regelungen für faire Informationspraktiken in der Industrie schaffen und Vorhaben im öffentlichen und privaten Bereich planen, bei denen personenbezogene Informationen genutzt werden. Man muß sich über die dieser Art von Prinzipien innewohnenden Grenzen klar sein. Die Prinzipien haben keine Gesetzeskraft und schaffen kein materielles oder prozedurales Recht, das gerichtlich durchgesetzt werden kann. Sie sind weder dazu gedacht, spezifische Antworten auf alle denkbaren Fragen zu geben, noch als pauschale Regelung für die verschiedenen Sektoren, in denen personenbezogene Informationen genutzt werden. Die Prinzipien sollten als Ganzes pragmatisch und vernünftig verstanden und angewandt werden. Zum Beispiel sollten die, die diese Prinzipien anwenden, folgendes in Erwägung ziehen: - den Nutzen, den die Gesellschaft durch die Nutzung personenbezogener Informationen hat, unter der Berücksichtigung der Tatsache, daß der Schutz der Privatsphäre des einzelnen nicht absolut ist und mit der Notwendigkeit einer gesetzlichen Haftung, der Anwendung des ersten Zusatzes (der amerikanischen Verfassung betreffend die Meinungs- und Pressefreiheit; Anm. d. Übers.), den Erfordernissen der Strafverfolgung und anderem in Gesetzen anerkannten gesellschaftlichen Nutzen abgewogen werden; - das Ausmaß, bis zu dem die Entscheidung, personenbezogene Informationen preiszugeben, freiwillig ist, und die Erwartungen des einzelnen bezüglich der Nutzung dieser Informationen (unter Berücksichtigung der Aufklärung und des Umfangs der gegebenen Einwilligung); - die Sensibilität der Information und das Schadenspotential für den einzelnen, das aus einer bestimmten Weitergabe oder Nutzung der Information entstehen könnte; - den Aufwand und die Kosten, die notwendig sind, um Schäden für den Einzelnen vorzubeugen, unter Berücksichtigung der Tatsache, daß ein Mehr an sensiblen Informationen teurere und aufwendigere Schutzmaßnahmen als weniger sensible Informationen notwendig machen könnte. Dort, wo eine allzu mechanische Anwendung der Prinzipien besonders ungerechtfertigt erscheint, enthält der Text Formulierungen, die die Worte "angemessen" oder "berechtigt" enthalten. Diese Unbestimmtheit, die in die Prinzipien eingefügt wurde, um schwierige oder unvorhergesehene Fälle zu behandeln, bedeutet nicht, daß die Prinzipien nicht strikt eingehalten werden sollen. Schließlich sollen die Prinzipien dem Geist von gegenwärtig existierenden internationalen Regelungen, wie den Richtlinien der OECD über die Nutzung personenbezogener Informationen [1], entsprechen. Die Prinzipien sollen zu weiterer internationaler Kooperation über die Entwicklung und Harmonisierung von globalen Datenschutzregelungen anregen, deren Einhaltung die weitere Entwicklung der globalen Informations-Infrastruktur voranbringen wird. PräambelDie Vereinigten Staaten engagieren sich für die Errichtung einer Nationalen Informations-Infrastruktur (NII), um den Informationsbedürfnissen ihrer Bevölkerung zu entsprechen. Diese Infrastruktur, die durch technologische Fortschritte möglich wird, erweitert den Grad der Interaktivität, verbessert die Kommunikation und erlaubt einen einfacheren Zugriff auf Dienstleistungen. Als Ergebnis dessen werden viel mehr Nutzer neue, früher unvorstellbare Möglichkeiten entdecken, personenbezogene Informationen zu beschaffen und zu nutzen. In diesem Umfeld sind wir aufgefordert, neue Prinzipien zu entwickeln, um alle neuen Teilnehmer der NII beim fairen Gebrauch personenbezogener Informationen anzuleiten. Existierende Regelungen über faire Informationspraktiken müssen in ein neues Umfeld umgesetzt werden, in dem Informationen und Nachrichten von Benutzern über Netzwerke gesendet und empfangen werden, die sehr verschiedene Möglichkeiten, Zielvorstellungen und Interessen haben. In dieser interaktiven und vernetzten Umgebung werden viele neue Beziehungen zwischen Individuen, Anbietern von Kommunikationsdienstleistungen und anderen Teilnehmern an der NII geknüpft. Neue Prinzipien müssen berücksichtigen, daß jeder Beteiligte unterschiedliche Beziehungen mit den Einzelpersonen hat und unterschiedlichen Gebrauch von personenbezogenen Informationen macht. Neue Prinzipien sollen nicht die bestehenden verfassungsmässigen und gesetzlichen Grenzen für den Zugang zu Informationen, Nachrichten und Transaktionen wie die Notwendigkeit von Durchsuchungsbefehlen und Beschlagnahmeanordnungen aufweichen. Derartige Prinzipien sollten sicherstellen, daß die Begrenzung des Zugriffs mit der technologischen Entwicklung Schritt hält. Die Prinzipien sollten berücksichtigen, daß alle Teile unserer Gesellschaft Verantwortung für die faire Behandlung von Einzelpersonen im Hinblick auf die Nutzung von personenbezogenen Informationen tragen, unabhängig davon, ob auf Papier oder in elektronischer Form. Darüber hinaus sollten die Prinzipien berücksichtigen, daß die Interaktivität der NII die einzelnen in die Lage versetzen kann, selbst am Schutz ihrer personenbezogenen Informationen teilzunehmen. Die neuen Prinzipien sollten außerdem herausstellen, daß diese Verantwortung nur mit einer Aufgeschlossenheit für den Verfahrensablauf einer Verpflichtung zu Fairneß und Verantwortlichkeit und einer fortdauernden Aufmerksamkeit für die Sicherheit wahrgenommen werden kann. Schließlich sollten die Prinzipien die Notwendigkeit anerkennen, alle Beteiligten über die neue Informations-Infrastruktur aufzuklären und darüber, welche Auswirkungen sie auf ihr Leben haben wird. Diese "Prinzipien für die Bereitstellung und Nutzung personenbezogener Informationen" ("die Prinzipien") erkennen die sich verändernde Rolle der Regierung und der Industrie in bezug auf die Erhebung und die Nutzung von Informationen an. Sie sind daher für die Anwendung sowohl auf öffentliche als auch auf private Stellen gedacht. Die Prinzipien sollen sowohl alle Teilnehmer an der NII als auch jene, die Gesetze und Regelungen bezüglich der Nutzung personenbezogener Informationen schaffen, anleiten. Sie stellen einen Rahmen dar, aus dem bei Bedarf bereichsspezifische Prinzipien entwickelt werden können. Bei der Umsetzung der Prinzipien werden Zielkonflikte unvermeidbar sein, da Belange des Schutzes der Privatsphäre nicht absolut gesetzt werden können und mit der Notwendigkeit für eine Verantwortlichkeit, dem Wert des ungehinderten Flusses von Informationen und anderen vom Gesetz anerkannten Nutzen wie Erfordernissen der Strafverfolgung in Einklang gebracht werden müssen. Beispielsweise sind bestimmte Entscheidungen über den Fluß personenbezogener Informationen bereits durch den ersten Zusatz (der amerikanischen Verfassung; Anm. d. Übers.) getroffen worden, und die Prinzipien sollen nichts enthalten, was Maßnahmen erforderlich machen würde, die die verfassungsmäßig geschützte Meinungs- und Pressefreiheit schmälern könnten. Angesichts dieser manchmal entgegengesetzten Interessen und öffentlichen Belange müssen die Prinzipien pragmatisch und gewissenhaft umgesetzt werden unter angemessener Berücksichtigung beispielsweise des Ausmaßes, in dem die Preisgabe personenbezogener Informationen auf freiwilliger Basis erfolgt, der Angemessenheit der Aufklärung darüber, in welcher Weise die personenbezogene Information genutzt werden soll, des Umfangs der Einwilligung des einzelnen und des Verhältnisses der Kosten für den Schutz von Information zu deren Sensibilität. Prinzipien und ErläuterungenI. Allgemeine Prinzipien für alle NII-Teilnehmer1. Drei grundlegende Prinzipien sollten von allen Beteiligten der NII berücksichtigt werden. Diese drei Prinzipien - Vertraulichkeit der Information, Integrität der Information, Qualität der Information - bilden die fundamentalen Anforderungen für die richtige Nutzung personenbezogener Informationen und damit für die erfolgreiche Implementierung der NII. Alle Beteiligten an der NII sollen angemessene Maßnahmen treffen, um sicherzustellen, daß diesen Prinzipien Genüge getan wird. I. A. Datenschutzprinzip (Information Privacy Principle)Personenbezogene Informationen sollen nur in einer Weise erhoben, offenbart und genutzt werden, die den Datenschutz des einzelnen respektieren. 2. Die NII kann nur erfolgreich sein, wenn alle Beteiligten den Datenschutz respektieren. Datenschutz ist der Anspruch des einzelnen, die Bedingungen zu bestimmen, unter denen personenbezogene Informationen - d. h. Informationen, die auf eine einzelne Person bezogen werden können - erhoben, offenbart und genutzt werden. Das Niveau des zu gewährleistenden Datenschutzes bestimmt sich nach der berechtigten Erwartung des einzelnen, einer subjektiven Erwartung des einzelnen, die von der Gesellschaft als objektiv berechtigt erachtet wird. Nicht alle subjektiven Erwartungen werden als berechtigt gelten können. Eine Einzelperson, die beispielsweise eine unverschlüsselte persönliche Mitteilung in einem Mitteilungsbrett für öffentliche Mitteilungen aufgibt, kann nicht berechtigterweise erwarten, daß diese persönliche Mitteilung nur von dem, an den sie adressiert ist, gelesen wird. 3. Was im Sinne der Prinzipien als berechtigte Erwartung gilt, ist nicht dadurch beschränkt, was als eine berechtigte Erwartung an den Datenschutz hinsichtlich des vierten Änderungszusatzes der Verfassung der Vereinigten Staaten von Amerika gilt. In vielen Fällen hat die Gesellschaft es für angemessen gehalten, den Datenschutz auf einem höheren Level, als von dem vierten Änderungszusatz gefordert, zu gewährleisten. Vgl. z. B. Electronic Communications Privacy Act, 18 U.S.C. $ 2701 (1988); Right to Financial Privacy Act, 12 U.S.C. $ 3401 (1988); Privacy Act, 5 U.S.C. $ 552 a (1988). Das Datenschutzprinzip unterstützt solche Möglichkeiten. 4. Wie in den späteren Prinzipien und dem Kommentar erklärt wird, kann der Datenschutz des einzelnen oft am besten berücksichtigt werden, wenn die Betroffenen und die Nutzer von Informationen zu einem gegenseitigen Einverständnis darüber kommen, wie personenbezogene Informationen erhoben, offenbart und genutzt werden sollen. Allerdings können ausschließlich vertragliche Regelungen zwischen dem Betroffenen und den Nutzern von Informationen in bestimmten Fällen für die Gewährleistung des Datenschutzes nicht ausreichend sein, z. B. wenn dem Betroffenen die notwendige Kaufkraft fehlt. Für solche Fälle sollte die Gesellschaft ein bestimmtes Grundniveau an Datenschutz sicherstellen, um dem Datenschutzprinzip zu genügen. I. B. Integritätsprinzip (Information Integrity Principle)Personenbezogene Informationen dürfen nicht unsachgemäß verändert oder gelöscht werden. 5. Die Teilnehmer an der NII sollten sich auf die Integrität der personenbezogenen Daten, die in der NII enthalten sind, verlassen können. Daher sollten personenbezogene Informationen gegen unsachgemäße Veränderung oder Löschung geschützt werden. I. C. Qualitätsprinzip (Information Quality Principle)Personenbezogene Informationen sollen richtig, aktuell, vollständig und erforderlich für den Zweck sein, für den sie bereitgestellt und genutzt werden. 6. Personenbezogene Informationen sollten eine hinreichende, verläßliche Qualität haben. Dies bedeutet, daß personenbezogene Informationen richtig, aktuell, vollständig und erforderlich für den Zweck sein sollten, für den sie bereitgestellt und genutzt werden. II. Prinzipien für Nutzer personenbezogener DatenII. A. ErhebungsprinzipienDie Nutzer von Informationen sollten: 1. die Auswirkungen auf den Datenschutz bei der Entscheidung über die Erhebung, Weitergabe oder Nutzung personenbezogener Informationen abschätzen; 2. nur solche Informationen erheben und speichern, die vernünftigerweise als geeignet für gegenwärtige oder zukünftige Aktivitäten angesehen werden. 7. Der Vorteil von Informationen liegt in ihrer Nutzung, aber damit sind oft nicht bedachte Kosten verbunden: die Gefährdung des Datenschutzes. Eine entscheidende Eigenschaft des Datenschutzes liegt darin, daß er kaum wiederhergestellt werden kann, wenn er einmal durchbrochen worden ist. Man denke z. B. daran, bis zu welchem Ausmaß die unangemessene Veröffentlichung sensibler medizinischer Informationen durch eine öffentliche Entschuldigung zurückgenommen werden kann. 8. Aufgrund dieser Eigenschaft sollte Datenschutz nicht als nachgeordnet behandelt werden, sobald personenbezogene Daten erhoben worden sind. Die Nutzer von Informationen sollten vielmehr ausdrücklich bereits beim Entwurf von Informationssystemen und bei der Entscheidung darüber, ob personenbezogene Daten erhoben oder genutzt werden sollen, zuerst die Auswirkung auf den Datenschutz bedenken. Bei der Abschätzung dieser Auswirkung sollten die Nutzer von Informationen nicht nur den Effekt abschätzen, den ihre Aktivitäten auf die Einzelpersonen haben, über die personenbezogene Informationen erhoben, weitergegeben und genutzt werden; sie sollten auch andere Faktoren bedenken, wie die öffentliche Meinung und die Kräfte des Marktes, aus denen Hinweise für die Angemessenheit einer möglichen Aktivität gewonnen werden können. 9. Nachdem die Auswirkungen auf den Datenschutz abgeschätzt worden sind, könnte ein Nutzer von Informationen zu dem Schluß kommen, daß es im Hinblick auf eine gegenwärtige oder geplante Aktivität angemessen ist, personenbezogene Daten zu erheben. Eine geplante Aktivität ist eine Aktivität, die von dem Nutzer der Informationen mit der Absicht erwogen wird, eine solche Aktivität in der Zukunft durchzuführen. In jedem Fall sollte ein Nutzer von Informationen nur solche Informationen erheben, deren Verwendung zur Unterstützung dieser Aktivitäten vernünftigerweise erwartet werden kann. Obwohl die Kosten für die Speicherung von Informationen kontinuierlich zurückgehen, ist es unangemessen, große Mengen personenbezogener Informationen nur deswegen zu speichern, weil die Informationen sich in der Zukunft als von einem unerwartetem Wert herausstellen können. Auch personenbezogene Informationen, die ihren Zweck erfüllt haben und von denen nicht vernünftigerweise erwartet werden kann, daß sie irgendwelche gegenwärtigen oder geplanten Aktivitäten unterstützen können, sollten nicht weitergespeichert werden. 10. Die Fähigkeit, bestimmte personenbezogene Informationen zu erheben, bedeutet nicht, daß es auch richtig ist, dies zu tun. In bestimmten Fällen haben Einzelpersonen keine Wahl, personenbezogene Daten zu offenbaren oder dies nicht zu tun. Wenn z. B. eine Einzelperson eine Transaktion auf der NII ausführt, werden typischerweise personenbezogene Informationen in Form von Transaktionsdaten erzeugt. In anderen Fällen mag eine Wahlmöglichkeit nur theoretisch gegeben sein. Von einer bestimmten Wahlmöglichkeit Gebrauch zu machen, kann zur Verweigerung von Leistungen führen, die die Einzelpersonen brauchen, um an der Gesellschaft in vollem Umfang teilnehmen zu können - z. B. die Erteilung eines Führerscheins, um ein Fahrzeug führen zu können. In diesen Fällen sollte die Gesellschaft ein Grundniveau für den Datenschutz im Einklang mit dem Datenschutzprinzip (I. A.) schaffen. II. B. Aufklärungsprinzip (Notice Principle)Nutzer von Informationen, die personenbezogene Informationen direkt vom Betroffenen erheben, sollten angemessene, erforderliche Informationen darüber zur Verfügung stellen, 1. warum sie die Information erheben; 2. wofür die Informationen voraussichtlich gebraucht werden; 3. welche Schritte unternommen werden, um die Vertraulichkeit, Integrität und Qualität der Informationen zu schützen; 4. welche Konsequenzen die Offenbarung bzw. Zurückhaltung der Informationen haben würde und 5. welche Rechte die betroffene Person hat. 11. Personenbezogene Informationen können auf zwei Arten erhoben werden: sie können direkt bei der Einzelperson erhoben oder von einer Sekundärquelle beschafft werden. Notwendigerweise unterscheiden sich die Prinzipien, die diese zwei Methoden der Erhebung von personenbezogenen Informationen regeln. Während die Verpflichtung zur Aufklärung all denen auferlegt werden kann, die Informationen direkt von dem einzelnen erheben, können diese nicht in gleicher Weise auf Einrichtungen angewandt werden, die keine solche direkte Beziehung haben. Wenn alle Empfänger personenbezogener Informationen verpflichtet werden, jeden einzelnen, über den sie Daten erhalten, zu benachrichtigen, würde der Austausch personenbezogener Daten entscheidend erschwert werden und viele der Vorteile der NII würden verlorengehen. 12. Für diejenigen, die personenbezogene Informationen direkt vom einzelnen erheben, fordert das Aufklärungsprinzip, dem einzelnen hinreichende Informationen zu geben, um eine informierte Entscheidung über seinen oder ihren Datenschutz treffen zu können. Die Wichtigkeit dieser Aufklärung kann nicht überbetont werden, da die Bedingungen der Aufklärung das Verständnis des einzelnen darüber, wie personenbezogene Informationen genutzt werden sollen, in substantieller Weise bestimmt, ein Verständnis, das von allen nachfolgenden Nutzern dieser Informationen respektiert werden muß. 13. Das Aufklärungsprinzip bezieht sich insbesondere auf personenbezogene Informationen, die durch Gesetz als öffentliche Akten bestimmt sind, und auf Transaktionsdaten, die als Nebenprodukt einer Transaktion entstehen. Im Hinblick auf die Transaktionsdaten bezieht sich das Aufklärungsprinzip auf alle Parteien, nicht nur auf die Partei, die prinzipiell mit dem einzelnen in Verbindung steht, um ein Produkt zu liefern oder einen Dienst zu erbringen, sondern auch auf die, die diese Transaktion ermöglichen, wie Anbieter von Kommunikationsdiensten und elektronischen Zahlungsdiensten, die dabei helfen, diese Transaktionen zu vollziehen. Wenn z. B. ein einzelner mit einer Kreditkarte in einem On-line-Kaufhaus Blumen kauft, auf das er über ein Modem zugreift, ist das Aufklärungsprinzip auf alle Parteien anwendbar, die in Verbindung mit diesem Kauf Transaktionsdaten erheben, nicht nur auf den Blumenhändler, sondern auch auf die Telefon- und die Kreditkartengesellschaften. Transaktionsvermittler sollten normalerweise in dem Augenblick Aufklärung leisten, in dem sie ein Konto einrichten oder dem Benutzer eine Rechnung stellen. 14. Was als angemessene, erforderliche Information angesehen wird, um dem Aufklärungsprinzip zu genügen, hängt von den Umständen der Erhebung der Information ab. In manchen Fällen - insbesondere wenn es eine kontinuierliche Beziehung zwischen dem einzelnen und der die Information erhebenden Stelle gibt - muß eine Aufklärung nicht vor der Erhebung personenbezogener Daten in jedem Einzelfall gegeben werden. Beispielsweise sollte ein Anbieter von Informations- oder Kommunikationsdiensten normalerweise den Benutzer in dem Augenblick aufklären, in dem er einen bestimmten Dienst abonniert und möglicherweise danach in periodischen Abständen, aber nicht jedesmal, wenn der einzelne diesen Dienst benutzt. In anderen Fällen ist der gewöhnliche und bestätigte Gebrauch personenbezogener Informationen von den einzelnen so klar vorauszusehen, daß eine formelle Aufklärung nicht notwendig ist. Wenn beispielsweise der Name und die Adresse eines einzelnen erhoben wird, um der richtigen Person die richtige Medizin unter der richtigen Adresse zu liefern, braucht der Bestellung keine ausführliche Aufklärung vorauszugehen. Sollte jedoch das pharmazeutische Unternehmen die Informationen in einer Weise nutzen, die vom Betroffenen nicht klar vorhergesehen werden kann - z. B. um eine Liste mit von Bluthochdruck betroffenen Personen zu erstellen und diese an Krankenversicherungen zu verkaufen -, sollte eine gewisse Aufklärung erfolgen. 15. Während das Aufklärungsprinzip erkennen läßt, aus welchen Elementen eine angemessene Aufklärung zusammengesetzt sein könnte, schreibt es keine bestimmte Form dieser Aufklärung vor. Das Ziel dieses Prinzips ist eher, sicherzustellen, daß der einzelne hinreichende Informationen in einer verständlichen Form erhält, um eine informierte Entscheidung treffen zu können. Daher sollten die Entwickler von Aufklärungstexten erfinderisch im Hinblick darauf sein, auf eine Art aufzuklären, die jeden einzelnen, unabhängig von Alter, der Fähigkeit zum Lesen und Schreiben und von Bildung dabei unterstützen kann, dieses Ziel zu erreichen. 16. Obwohl das Aufklärungsprinzip die Stellen, die Informationen erheben, auffordert, jeden einzelnen darüber zu informieren, welche Schritte zum Schutz der personenbezogenen Informationen unternommen werden, sind sie nicht verpflichtet, überwiegend technische Beschreibungen solcher Sicherheitsmaßnahmen zur Verfügung zu stellen. Tatsächlich können solche Beschreibungen für den einzelnen unwillkommen oder nicht hilfreich sein. Darüber hinaus können sie sich im Gegensatz zu den Anforderungen des Schutzprinzips (II.C.) kontraproduktiv auswirken, da die breitgestreute Veröffentlichung technischer Sicherheitsmaßnahmen Schwachstellen von Systemen offenlegen könnte. II. C. Schutzprinzip (Protection Principle)Nutzer von Informationen sollen angemessene technische und organisatorische Maßnahmen ergreifen, um die Vertraulichkeit und Integrität von personenbezogenen Informationen zu schützen. 17. In der NII werden personenbezogene Informationen in einer Netzwerkumgebung verarbeitet, die enorme Risiken im Hinblick auf unbefugten Zugriff, unbefugte Weitergabe, Veränderung und Löschung aufwirft. Sowohl Personen innerhalb der datenverarbeitenden Stelle als auch Außenstehende könnten Zugriff auf Informationen erhalten, die nicht für sie bestimmt sind, oder schwer nachzuvollziehen Veränderungen an Daten vornehmen, die dann für wichtige Entscheidungen herangezogen werden. 18. Unsere Gesundheitsdienstleistungsunternehmen erwarten beispielsweise, intensive Nutzer der NII zu werden. Mit Hilfe der NII wird eine abgelegene Klinik in der Lage sein, Röntgenaufnahmen zur Untersuchung durch einen Radiologen an eine Universitätsklinik in einem anderen Teil des Landes zu senden. Die möglichen Vorteile einer solchen Maßnahme sind offensichtlich. Jedoch können diese Vorteile nicht genutzt werden, wenn die einzelnen sich weigern, solche sensiblen Daten zu übertragen, weil sie fürchten, daß die NII nicht sicherstellen kann, daß sensible medizinische Daten vertraulich und unverändert bleiben werden. 19. Bei der Entscheidung darüber, welche Maßnahmen angemessen sind, sollten die Nutzer von Informationen anerkennen, daß personenbezogene Informationen im Einklang mit den Annahmen der einzelnen und in einer Weise geschützt werden, die dem Schaden entspricht, der entstehen könnte, wenn die Informationen unbefugt weitergegeben oder verändert würden. 20. Beim Schutz personenbezogener Informationen sollten die Nutzer von Informationen einen mehrseitigen Ansatz wählen, der sowohl technische als auch organisatorische Maßnahmen umfaßt. Im Hinblick auf technische Maßnahmen sollten die Nutzer von Informationen die Verschlüsselung personenbezogener Informationen einschließlich des Inhalts und der Verbindungsdaten bei Transaktionen in Erwägung ziehen. Zusätzlich sollten sie die Schaffung automatisierter Überwachungsmechanismen in Erwägung ziehen, die bei der Aufdeckung von unbefugten Zugriffen sowohl von Beschäftigten als auch von Außenstehenden helfen können. Im Hinblick auf organisatorische Maßnahmen könnte man z. B. die Schaffung einer Organisationskultur anstreben, in der die einzelnen über faire Informationspraktiken informiert werden und diese Praktiken anwenden. Organisationen können auch eine Politik einführen, die eine Nutzung von Informationen, die im Zusammenhang mit einer bestimmten Aktivität erhoben worden sind, für andere nicht dazu in Beziehung stehende Zwecke verbietet. II. D. Fairneß-Prinzip (Fairness Principle)Nutzer von Informationen sollten personenbezogene Informationen nicht in einer Weise nutzen, die nicht mit den Erwartungen des einzelnen darüber vereinbar ist, wie diese Information genutzt werden wird, soweit nicht ein zwingendes öffentliches Interesse an einer solchen Nutzung besteht. 21. Die Erwartung des einzelnen umfaßt das objektive, vernünftige Verständnis des einzelnen und den Umfang der Einwilligung zum Zeitpunkt der Erhebung der Information. Wie bereits vorher ausgeführt, richtet sich die Erwartung des einzelnen prinzipiell nach der Art der Aufklärung durch denjenigen, der die Daten erhebt, nach dem Aufklärungsprinzip (II. B.), die der einzelne nach dem Bewußtseinsprinzip (III. A.) erhalten hat. Ohne ein Fairneß-Prinzip wäre eine unbeschränkte Nutzung der Informationen möglich, die über die Erwartung des einzelnen hinausgehen könnte. 22. Wenn ein Informationsnutzer personenbezogene Informationen in einer unvereinbaren Art nutzen will, muß er zunächst den einzelnen darüber aufklären und seine oder ihre explizite oder implizite Einwilligung einholen. Die Art der unangemessenen Nutzung bestimmt, ob eine solche Einwilligung explizit oder implizit gegeben werden muß. In einigen Fällen können die Folgen für den einzelnen von solcher Tragweite sein, daß der zukünftige Nutzer die Daten nur nutzen sollte, nachdem der einzelne dieser Nutzung ausdrücklich zugestimmt hat. In anderen Fällen kann eine Aufklärung des einzelnen angemessen sein, die ihm die Möglichkeit gibt, der Nutzung innerhalb einer bestimmten Zeitspanne zu widersprechen. Das Prinzip enthält die Anforderung, daß, wenn personenbezogene Informationen von einem Informationsnutzer an einen anderen Informationsnutzer übertragen werden, auch die Erwartungen des einzelnen, wie diese personenbezogenen Informationen genutzt werden, weitergegeben werden müssen. Da sich alle Nutzer von Informationen an das Fairneß-Prinzip halten müssen, tragen sowohl Übermittler als auch Empfänger die Verantwortung dafür, sicherzustellen, daß die Erwartungen des einzelnen zusammen mit der Information übertragen werden. 23. Bei der Entscheidung darüber, ob eine bestimmte Nutzung von Informationen nicht mit den Erwartungen des einzelnen vereinbar ist, sollten die Nutzer von Informationen abwägen, ob die Nutzung bei der Aufklärung ausdrücklich gestattet wurde oder in anderer Hinsicht mit der Aufklärung in Einklang steht. Jede Nutzung von Information jenseits dieser Bedingungen ist mit den Erwartungen des einzelnen nicht vereinbar. Was im Rahmen dieses Prinzips als unvereinbar gilt, ist nicht beschränkt durch das, was im Rahmen des Datenschutzgesetzes (Privacy Act) als unvereinbar gilt (vgl. 5 U.S.C. $ 552 a). 24. Das Fairneß-Prinzip kann nicht in jeder Situation in gleicher Weise angewandt werden. Eine zweckfremde Nutzung ist nicht notwendigerweise auch eine schädliche Nutzung; tatsächlich kann eine solche Nutzung sehr vorteilhaft für den einzelnen und die Gesellschaft sein. Es gibt einige zweckfremde Nutzungen, die zu erheblichen Vorteilen führen werden und die meistenteils zu vernachlässigende Auswirkungen auf die Datenschutzinteressen des einzelnen haben. Beispiele hierfür bilden Forschung und Statistik, bei denen die Informationen ohne Auswirkung auf den einzelnen genutzt werden. Das Einholen der Einwilligung des einzelnen, um eine erneute statistische Nutzung existierender Daten zu erlauben, führt zu zusätzlichen Kosten und zusätzlichem Verwaltungsaufwand und kann damit zu einer Behinderung eines Forschungsprojekts führen. In anderen Fällen können personenbezogene Informationen für ein wichtiges öffentliches Erfordernis genutzt werden, das von der Gesellschaft in einer formalen, offenen Weise anerkannt wird (typischerweise durch Gesetzgebung), das verhindert werden würde, wenn man dem einzelnen die Möglichkeit geben würde, die Nutzung zu begrenzen. Ein Beispiel bildet die Nutzung personenbezogener Informationen in einem Ermittlungsverfahren, für die die Einwilligung des Verdächtigen unwahrscheinlich wäre und sogar die Frage nach einer solchen Einwilligung kontraproduktiv für die Untersuchung sein könnte. Ein weiteres Beispiel wäre eine zweckfremde Nutzung personenbezogener Informationen durch die investigative Presse, die durch den ersten Zusatz (der amerikanischen Verfassung; Anm. d. Übers.) besonders geschützt und sanktioniert ist. II. E. Unterrichtungsprinzip (Education Principle)Nutzer von Informationen sollten sich selbst und die Öffentlichkeit darüber unterrichten, wie der Datenschutz gewährleistet werden kann. 25. Das Unterrichtungsprinzip bildet eine wichtige Ergänzung zu den traditionellen Prinzipien des fairen Umgangs mit Informationen. Es gibt viele Nutzungsmöglichkeiten der NII, für die der einzelne sich nicht vollständig auf Kontrollen durch die Regierung oder andere Organisationen zum Schutz seiner personenbezogenen Daten verlassen kann. Obwohl die einzelnen zum Schutz ihrer personenbezogenen Daten oftmals auf solche gesetzlichen und institutionellen Kontrollen angewiesen sind, werden viele Personen Aktivitäten ausserhalb dieser Kontrollen beginnen, insbesondere, wenn sie sich am informellen Austausch von Informationen auf der NII beteiligen. Daher müssen sich die einzelnen der Gefahren bei der Offenbarung personenbezogener Daten bewußt sein und abwägen, ob die Offenbarung personenbezogener Daten ihrem Vorteil dient. 26. Die gesamten Auswirkungen der NII auf die Nutzung personenbezogener Daten sind noch nicht absehbar, und die einzelnen können nicht erkennen, welche Auswirkungen die Vernetzung von Informationen auf ihr Leben haben könnte. Da es von Bedeutung ist, daß die einzelnen und die Nutzer von Informationen sich darüber bewußt sind, in welcher Weise die NII sich auf den Schutz personenbezogener Daten auswirkt, sollten alle Nutzer von Informationen an der Unterrichtung über den Umgang und die Nutzung personenbezogener Informationen teilnehmen. Traditionell haben die Regierungen und die Schulen die Öffentlichkeit in Angelegenheiten von sozialen Rechten und Pflichten unterrichtet, und sie sollen auch weiterhin eine führende Rolle spielen. Jedoch muß auch der private Bereich als ein wichtiger Erbauer der NII eine entscheidende Rolle spielen. Eine Unterrichtung, die den einzelnen helfen würde, die Risiken für den Schutz ihrer personenbezogenen Daten zu minimieren, könnte in Datenschutz-Telefon-Hotlines, Datenschutzberatungseinrichtungen auf dem Internet und vergleichbaren Marketing- und Öffentlichkeitsarbeitskampagnen bestehen. III. Prinzipien für die Betroffenen als Informationslieferanten III. A. Bewußtseinsprinzip (Awareness Principle)Die einzelnen sollen angemessene und relevante Informationen darüber erhalten, 1. warum die Information erhoben wird; 2. wofür die Information voraussichtlich genutzt wird; 3. welche Schritte zum Schutz ihrer Vertraulichkeit, Integrität und Qualität unternommen werden; 4. welche Konsequenzen die Offenbarung bzw. Zurückhaltung der Information haben würde und 5. welche Rechte sie haben. 27. In zunehmenden Masse werden Einzelpersonen gebeten, personenbezogene Informationen über sich zu offenbaren. Manchmal sind diese Anfragen einfach; beispielsweise wird eine Bank vor der Bearbeitung eines Darlehensantrags personenbezogene Daten erbitten. In diesem Fall ist eine Nutzung der Information offensichtlich - die Bearbeitung des Darlehensantrags. Es könnte jedoch andere Nutzungen geben, die nicht so offensichtlich sind, wie die Nutzung eines Teils dieser Information zur Werbung für eine Kreditkarte. Tatsächlich offenbaren Einzelpersonen regelmäßig personenbezogene Daten, ohne sich vollständig über die unterschiedlichen Arten bewußt zu sein, auf die diese Informationen letzten Endes benutzt werden. Beispielsweise könnte ein einzelner nicht bemerken, daß die Bezahlung medizinischer Dienstleistungen mit einer Kreditkarte zum Entstehen von Transaktionsdaten führt, die seinen Gesundheitszustand offenlegen können. 28. Das Bewußtseinsprinzip erkennt an, daß, obwohl die Stellen, die Daten erheben, Verantwortung dafür tragen, die einzelnen darüber zu informieren, warum sie die personenbezogenen Informationen brauchen, auch die einzelnen eine Verantwortung haben, die Konsequenzen der Offenbarung personenbezogener Daten an andere zu verstehen. Dies gilt insbesondere in einer interaktiven Umgebung wie der NII, in der die einzelnen die Bedingungen ihrer Teilnahme aktiv bestimmen können. Wenn die einzelnen beispielsweise eine wirkliche Wahlmöglichkeit haben, ob und in welchem Masse personenbezogene Informationen offenbart werden sollen, sollten sie eine aktive Rolle bei der Entscheidung darüber spielen, ob überhaupt und unter welchen Bedingungen personenbezogene Informationen offenbart werden sollen. 29. Natürlich muß den einzelnen, wenn sie für die Auswahl aus diesen Möglichkeiten verantwortlich gemacht werden sollen, genug Information gegeben werden, um eine intelligente Wahl treffen zu können. Auf diese Weise wirkt das Bewußtseinsprinzip im Zusammenhang mit dem Aufklärungsprinzip (II. B.) und in geringerem Masse mit dem Unterrichtungsprinzip (II. E.) zusammen, um die einzelnen zu befähigen, die Verantwortung dafür zu übernehmen, wie personenbezogene Informationen offenbart und genutzt werden sollen. III. B. Durchsetzungsprinzipien (Empowerment Principles)Die Einzelnen sollten in der Lage sein, den Schutz ihrer personenbezogenen Daten zusichern durch 1. Mittel, die sie betreffenden Informationen zu erhalten; 2. Mittel, sie betreffende Informationen, die eine ungenügende Qualität haben, zukorrigieren, um die Fairneß bei ihrer Nutzung zu sichern; 3. die Möglichkeit zur Nutzung angemessener technischer Kontrollen, wie z. B. Verschlüsselung, um die Vertraulichkeit und die Integrität von Nachrichten und Transaktionen zu schützen, und 4. die Möglichkeit, anonym zu bleiben, wenn dies angemessen ist. 30. Die einzelnen sollten die Möglichkeit haben, von den Nutzern von Informationen eine Kopie ihrer personenbezogenen Informationen zu erhalten und Informationen über sich zu korrigieren, die eine hinreichende Qualität vermissen lassen, um die Fairneß bei ihrer Nutzung sicherzustellen. In welchem Ausmaß solche Mittel angeboten werden, hängt von verschiedenen Faktoren ab, einschließlich der Reichweite der Konsequenzen der Nutzung der personenbezogenen Informationen für den einzelnen und jeglicher Rechte aus dem ersten Zusatz (der amerikanischen Verfassung; Anm. d. Übers.), die dem Nutzer der Information zustehen. 31. Darüber hinaus sollte der einzelne verschiedene selbstinitiierte Maßnahmen zur Sicherung des Schutzes seiner personenbezogenen Daten in Betracht ziehen, wenn die Bedingungen bei der Erhebung der Information unbefriedigend sind. Um beispielsweise die Vertraulichkeit oder die Integrität einer Kommunikation zu sichern, sollte der einzelne die Möglichkeit haben, angemessene Werkzeuge, wie z. B. Verschlüsselung, zu benutzen. Um zu vermeiden, eine Datenspur von Transaktionsdatensätzen zu hinterlassen, sollte der einzelne auch die Möglichkeit haben, anonym zu bleiben, wenn dies angemessen ist. Anonymität würde z. B. angemessen sein, wenn der einzelne eine öffentliche elektronische Bibliothek durchsucht oder wenn ein einzelner sich an der anonymen politischen Äußerung, die von der Verfassung geschützt ist, beteiligt (S. McIntyre v. Ohio Elections Commission, 131 L. Ed. 2d 426 [1995]). In einer idealen Welt würde das Angebot nichtentschlüsselbarer Verschlüsselungsverfahren oder absoluter Anonymität dem Schutz personenbezogener Daten ohne negative Auswirkungen dienen. Unglücklicherweise werden in der realen Welt einige dieser Technologien mißbraucht und schaden dabei anderen. Es liegt außerhalb des Geltungsbereichs der Prinzipien, in welcher Weise den einzelnen Verschlüsselung oder Anonymität für berechtigte Nutzungen bei gleichzeitiger Minimierung ihres Mißbrauchs angeboten werden kann. Diese Dinge müssen jedoch angesprochen werden, wenn die NII ihr volles Potential erreichen soll. III. C. Wiedergutmachungsprinzip (Redress Principle)Die einzelnen sollten, soweit dies angemessen ist, Mittel zur Wiedergutmachung(Rechte) haben, wenn sie durch eine unsachgemäße Offenbarung oder Nutzung personenbezogener Informationen beeinträchtigt werden. 32. Wiedergutmachung ist nur notwendig, wenn ein einzelner in seinen Rechten verletzt wird. Da das Wiedergutmachungsprinzip für eine generelle Anwendung entworfen worden ist, beantwortet es nicht in jedem Einzelfall, ob überhaupt ein Schaden entstanden ist oder ob genug Schaden entstanden ist, um eine bestimmte Art der Wiedergutmachung zu rechtfertigen. Diese Fragen müssen während der sektoralen Implementierung der Prinzipien beantwortet werden. 33. Eine unsachgemäße Nutzung schließt insbesondere eine Entscheidung ein, die auf personenbezogene Daten von nicht hinreichender Qualität gestützt wird - Information, die nicht richtig, aktuell, vollständig oder erforderlich für den Zweck ist, für den sie offenbart und genutzt wird. Das Wiedergutmachungsprinzip setzt jedoch keinen bestimmten Verschuldensgrad des Nutzers von Informationen zur Rechtfertigung einer bestimmten Form der Wiedergutmachung voraus. 34. Wenn eine Wiedergutmachung angemessen ist, sind nach den Prinzipien verschiedene Formen vorstellbar, einschließlich, aber nicht beschränkt auf informelle Beschwerde, Vermittlung, Schlichtung, zivilen Rechtsstreit, gesetzliche Zwangsmaßnahme und Strafverfolgung in verschiedenen privaten, kommunalen, einzel und bundesstaatlichen Foren mit dem Ziel, Abhilfe möglichst effektiv und kostengünstig zu schaffen.
|
Zuletzt geändert:
am 08.02.97