|
3. Stellungnahmen des "Düsseldorfer Kreises"
Leitlinien zur Übermittlung personenbezogener Daten in Länder ohne
angemessenes Schutzniveau
(erarbeitet von der Arbeitsgruppe "Internationaler Datenverkehr" des
"Düsseldorfer Kreises" und von diesem am 19./20. September 1996 zustimmend
zur Kenntnis genommen)
-
In das Bundesdatenschutzgesetz sollte eine Vorschrift aufgenommen werden,
die den Regelungsgehalt von Art. 26 Abs. 1 und Abs. 2 widerspiegelt.
-
Die Ausnahmetatbestände in Art. 26 Abs. 1 der Europäischen Richtlinie
müssen als Regelübermittlungstatbestände in das
Bundesdatenschutzgesetz aufgenommen werden. Dazu müssen zunächst
Art. 7 und 8 in das BDSG eingearbeitet werden. In einem neuen § 29 a
kann dann auf die neugefaßten Bundesdatenschutzgesetzvorschriften verwiesen
werden.
-
Neben dieser Regelnorm sollte es eine weitere Norm geben, nach der
Übermittlungen in Länder ohne angemessenes
Schutzniveau auch dann zulässig sind, wenn die übermittelnde Stelle
insbesondere durch vertragliche Regelungen mit der datenempfangenden Stelle
dafür Sorge trägt, daß die empfangende Stelle durch geeignete
Maßnahmen die Einhaltung des Datenschutzes für den Betroffenen
im Empfängerland gewährleistet. Diese Regelung nimmt Bezug auf
Art. 26 Abs. 2 der Richtlinie. Sie soll der Wirtschaft die Möglichkeit
geben, aus einem Bündel von vertraglich zu organisierenden Maßnahmen
die für das konkrete Übermittlungsgeschäft effektivsten zu
finden und anzuwenden.
-
Diese Vertragslösung soll nur angewandt werden, wenn die
Ausnahmetatbestände in Art. 26 Abs. 1 der Richtlinie nicht vorliegen
oder nicht feststellbar sind. Dies wird in vielen Fällen bei
Übermittlung durch Fremdverarbeiter der Fall sein, aber auch im Rahmen
von Eigenverarbeitung, wenn etwa eine informierte Einwilligung für die
Übermittlung in ein Drittland nicht eingeholt wird oder nicht eingeholt
werden kann.
-
Durch eine solche Vertragslösung soll das Bemühen von
Drittländern um ein angemessenes Datenschutzniveau im eigenen Land nicht
behindert werden. Andererseits können nicht alle Datenflüsse gestoppt
oder ohne Datenschutzsicherungen hingenommen werden, bis in diesen Länder
akzeptable Datenschutzstrukturen ausgebaut worden sind.
-
Als geeignete Maßnahmen i.S.d. Leitlinie 3 kommen insbesondere in
Betracht
a) Datensicherungsmaßnahmen beim Datenempfänger, die dem Standard
von § 9 BDSG
entsprechen;
b) vertragliche Festlegung des Verwendungszwecks für die übermittelten
Daten und der
Einhaltung des Verwendungszwecks durch die empfangende Stelle;
c) vertragliche Festlegung der sich aus §§ 6, 8, 33 BDSG in Bezug
auf die übermittelnden
Daten ergebenden Rechte des Betroffenen in der Weise, daß diese Rechte
auch gegen
die übermittelnde Stelle geltendgemacht werden können;
d) Verpflichtung des Übermittlers, den Betroffenen über die
Übermittlung in ein Drittland und über die dabei für ihn
entstehenden Rechte zu informieren;
e) vertragliche Verabredung von Datenschutzkontrollen bei dem
Datenempfänger durch den Datenübermittler und/oder eine
Datenschutzkontrollbehörde des übermittelnden Landes;
f) Bestellung eines betrieblichen Datenschutzbeauftragten bei der empfangenden
Stelle;
g) Festlegung einer Vertragsstrafe zu Lasten der empfangenden Stelle für
Verletzungen der Datenschutzvereinbarung mit der übermittelnden
Stelle.
-
Angesichts der tatsächlichen Datenschutzsituation in den meisten
Ländern der Welt kann keine Vermutung über das Vorliegen eines
angemessenen Datenschutzniveaus in einem Land normiert werden. Ohne besondere
gesetzliche Regelung sollte die Beweisregel gelten, daß derjenige,
der sich auf ein angemessenes Datenschutzniveau in einem Drittland beruft,
die entsprechenden Tatsachen vorbringen muß.
-
Nicht erforderlich erscheint eine Regelung für die Übermittlung
von Daten von Drittländer mit angemessenem Schutzniveau. Diese
Länder müssen wie EG-Länder behandelt werden.
|
|