3. Stellungnahmen des "Düsseldorfer Kreises"

Leitlinien zur Übermittlung personenbezogener Daten in Länder ohne angemessenes Schutzniveau

(erarbeitet von der Arbeitsgruppe "Internationaler Datenverkehr" des "Düsseldorfer Kreises" und von diesem am 19./20. September 1996 zustimmend zur Kenntnis genommen)

1. In das Bundesdatenschutzgesetz sollte eine Vorschrift aufgenommen werden, die den Regelungsgehalt von Art. 26 Abs. 1 und Abs. 2 widerspiegelt.
   
2. Die Ausnahmetatbestände in Art. 26 Abs. 1 der Europäischen Richtlinie müssen als Regelübermittlungstatbestände in das Bundesdatenschutzgesetz aufgenommen werden. Dazu müssen zunächst Art. 7 und 8 in das BDSG eingearbeitet werden. In einem neuen § 29 a kann dann auf die neugefaßten Bundesdatenschutzgesetzvorschriften verwiesen werden.
   
3. Neben dieser Regelnorm sollte es eine weitere Norm geben, nach der Übermittlungen in Länder ohne angemessenes Schutzniveau auch dann zulässig sind, wenn die übermittelnde Stelle insbesondere durch vertragliche Regelungen mit der datenempfangenden Stelle dafür Sorge trägt, daß die empfangende Stelle durch geeignete Maßnahmen die Einhaltung des Datenschutzes für den Betroffenen im Empfängerland gewährleistet. Diese Regelung nimmt Bezug auf Art. 26 Abs. 2 der Richtlinie. Sie soll der Wirtschaft die Möglichkeit geben, aus einem Bündel von vertraglich zu organisierenden Maßnahmen die für das konkrete Übermittlungsgeschäft effektivsten zu finden und anzuwenden.
   
4. Diese Vertragslösung soll nur angewandt werden, wenn die Ausnahmetatbestände in Art. 26 Abs. 1 der Richtlinie nicht vorliegen oder nicht feststellbar sind. Dies wird in vielen Fällen bei Übermittlung durch Fremdverarbeiter der Fall sein, aber auch im Rahmen von Eigenverarbeitung, wenn etwa eine informierte Einwilligung für die Übermittlung in ein Drittland nicht eingeholt wird oder nicht eingeholt werden kann.
   
5. Durch eine solche Vertragslösung soll das Bemühen von Drittländern um ein angemessenes Datenschutzniveau im eigenen Land nicht behindert werden. Andererseits können nicht alle Datenflüsse gestoppt oder ohne Datenschutzsicherungen hingenommen werden, bis in diesen Länder akzeptable Datenschutzstrukturen ausgebaut worden sind.
   
6. Als geeignete Maßnahmen i.S.d. Leitlinie 3 kommen insbesondere in Betracht
   
   a) Datensicherungsmaßnahmen beim Datenempfänger, die dem Standard von § 9 BDSG
   entsprechen;
   b) vertragliche Festlegung des Verwendungszwecks für die übermittelten Daten und der
   Einhaltung des Verwendungszwecks durch die empfangende Stelle;
   c) vertragliche Festlegung der sich aus §§ 6, 8, 33 BDSG in Bezug auf die übermittelnden
   Daten ergebenden Rechte des Betroffenen in der Weise, daß diese Rechte auch gegen
   die übermittelnde Stelle geltendgemacht werden können;
   d) Verpflichtung des Übermittlers, den Betroffenen über die Übermittlung in ein Drittland und über die dabei für ihn entstehenden Rechte zu informieren;
   e) vertragliche Verabredung von Datenschutzkontrollen bei dem Datenempfänger durch den Datenübermittler und/oder eine Datenschutzkontrollbehörde des übermittelnden Landes;
   f) Bestellung eines betrieblichen Datenschutzbeauftragten bei der empfangenden Stelle;
   g) Festlegung einer Vertragsstrafe zu Lasten der empfangenden Stelle für Verletzungen der Datenschutzvereinbarung mit der übermittelnden Stelle.
   
7. Angesichts der tatsächlichen Datenschutzsituation in den meisten Ländern der Welt kann keine Vermutung über das Vorliegen eines angemessenen Datenschutzniveaus in einem Land normiert werden. Ohne besondere gesetzliche Regelung sollte die Beweisregel gelten, daß derjenige, der sich auf ein angemessenes Datenschutzniveau in einem Drittland beruft, die entsprechenden Tatsachen vorbringen muß.
   
8. Nicht erforderlich erscheint eine Regelung für die Übermittlung von Daten von Drittländer mit angemessenem Schutzniveau. Diese Länder müssen wie EG-Länder behandelt werden.