Materialien zum Datenschutz
Homepage

Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Anlage 4 zum Jahresbericht 1997

Empfehlungen und Dokumente der Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten nach Art.29 der EG-Datenschutzrichtlinie

4.1 Empfehlung 1/97 vom 25.Februar 1997 zu Datenschutzrecht und Medien

Gliederung:

Die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten

eingesetzt durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober 1995,
gestützt auf Artikel 29 und Artikel 30 Absatz 3 der Richtlinie,
gestützt auf ihre Geschäftsordnung, insbesondere auf die Artikel 12 und 14

empfielt:

1 Einführung

Artikel 9 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("Richtlinie”) bestimmt folgendes:

”Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen.”

Entsprechend der ihr nach Artikel 30 Absatz 1 Buchstabe a der Richtlinie übertragenen Aufgabe nahm die Datenschutzgruppe in ihrer erster Sitzung die Beratung über die Umsetzung von Artikel 9 auf. Die britische und die deutsche Delegation legten hierzu Arbeitsunterlagen vor. In den Beratungen stellte sich heraus, daß die Anwendung der Datenschutzbestimmungen im Bereich der Medien in den Mitgliedstaaten derzeit unterschiedlich geregelt ist.

Es wurde festgestellt, daß die Gruppe nützliche Hinweise zur Auslegung von Artikel 9 geben könnte. Zur Vorbereitung sollte das Sekretariat einen Bericht über die gegenwärtige Rechtslage unter Berücksichtigung des Berichts über Datenschutz und Medien des Europarats von 1991 erstellen.

Am 21. Februar 1997 wurde ein von der Gruppe ausgearbeiteter Fragebogen verteilt.

Die Gruppe diskutierte in ihrer dritten Sitzung ein Arbeitspapier und gelangte dabei zu einer Reihe von Schlußfolgerungen, die in der darauf folgenden Sitzung eingehend erörtert wurden. Im Zuge dieser Beratungen wurde vereinbart, das Arbeitspapier in Form einer Empfehlung nach Artikel 30 Absatz 3 der Richtlinie anzunehmen. Die Empfehlung wurde von der Datenschutzgruppe am 25. Februar 1997 angenommen.

Im folgenden wird auf einige allgemeine Aspekte der Anwendung der Datenschutzgesetze in den Medien eingegangen und der rechtliche Hintergrund von Artikel 9 erläutert. In Kapitel 3 wird ein Überblick über die gegenwärtige Rechtslage in den Mitgliedstaaten gegeben. Kapitel 4 enthält die Schlußfolgerungen der Gruppe aus ihren Beratungen über die Anwendung der Datenschutzbestimmungen in den Medien.

Artikel 9 der Richtlinie bestimmt, daß für die Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen oder literarischen Zwecken in bezug auf bestimmte Richtlinienbestimmungen Beschränkungen und Ausnahmen gelten. Die vorliegende Empfehlung konzentriert sich daher auf Ausnahmen und Freistellungen für die Verarbeitung von Daten zu journalistischen Zwecken.

2 Allgemeines

2.1 Freie Meinungsäußerung und Schutz der Privatsphäre

Artikel 10 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) bestimmt in Absatz 1:

"Jeder hat Anspruch auf freie Meinungsäußerung. Dieses Recht schließt die Freiheit zum Empfang und zur Mitteilung von Nachrichten oder Ideen ohne Eingriffe öffentlicher Behörden und ohne Rücksicht auf Landesgrenzen ein.”

Dieses Recht gehört zu den wesentlichen Grundrechten, die aus den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten abgeleitet sind, und ist einer der Wesenszüge des rechtlichen Erbes demokratisch verfaßter Gesellschaften. Historisch gesehen ist das Recht auf freie Meinungsäußerung eines der ersten eingeforderten Menschenrechte, das gesetzlich verankert wurde. Vor allem die Presse erhielt besondere gesetzliche und verfassungsrechtliche Garantien, insbesondere gegen die Vorzensur.

Das Recht auf Privatsphäre wird durch Artikel 8 EMRK gewährleistet. Der in diesem Artikel gewährte Schutz des Privatlebens umfaßt auch den Datenschutz. Ausnahmen von Grundsätzen des Datenschutzes und von Artikel 8 EMRK müssen rechtmäßig und verhältnismäßig sein. Gleiches gilt für Beschränkungen der Meinungsfreiheit, die sich aus der Anwendung datenschutzrechtlicher Grundsätze ergeben können.

Diese beiden Grundrechte dürfen jedoch nicht von vornherein als Kollisionsrechte angesehen werden. Ohne einen ausreichenden Schutz der Privatsphäre würden viele ihre Meinung nicht ohne weiteres zum Ausdruck bringen. Ebenso dürfte die Identifizierung und Klassifizierung von Lesern und Nutzern von Informationsdiensten die Bereitschaft des einzelnen verringern, Informationen entgegenzunehmen und mitzuteilen.

2.2 Rechtlicher Hintergrund des Artikels 9 der Richtlinie

Nach Artikel F Absatz 2 des Vertrags über die Europäische Union hat die Union die Grundrechte zu achten, wie sie durch die EMRK und die gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten gewährleistet sind.

Der Gemeinschaftsgesetzgeber hat die Medien als Sonderfall anerkannt und die Notwendigkeit gesehen, einen Ausgleich zwischen dem Schutz der Privatsphäre und dem Schutz der freien Meinungsäußerung zu schaffen.

Artikel 19 des ursprünglichen Kommissionsvorschlags sah vor, daß die Mitgliedstaaten die Presse und die audiovisuellen Medien von einigen Richtlinienbestimmungen ausnehmen konnten. Aus der Begründung wird deutlich, daß Kernbestimmung dieses Artikels die Pflicht ist, einen Ausgleich zwischen den beteiligten Interessen herzustellen und daß dabei andere verfügbare Hilfsmittel wie das Recht auf Gegendarstellung, ein beruflicher Ehrenkodex, die Schranken der EMRK und allgemeine Rechtsgrundsätze berücksichtigt werden sollten.

In Artikel 9 des geänderten Kommissionsvorschlags wurden dann Ausnahmeregelungen für Medien verbindlich vorgeschrieben. Der Text wurde anschließend erneut geändert, um auch journalistische Tätigkeiten einzubeziehen und die Ausnahmeregelung auf diese Aktivitäten zu beschränken.

Eine weitere Änderung, durch die der Artikel seine jetzige Fassung erhielt, präzisierte die zulässigen Ausnahmen dahingehend, daß sie nicht unterschiedslos für alle Datenschutzbestimmungen gelten sollten. In der jetzigen Fassung sind Ausnahmen zwar verbindlich vorgeschrieben, doch "nur insofern ..., als sich dies als notwendig erweist”, um einen Ausgleich zwischen dem Recht auf Privatsphäre und dem Recht auf freie Meinungsäußerung herzustellen. Diese Ausnahmebestimmungen sind zudem beschränkt auf die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die Übermittlung personenbezogener Daten in Drittländer und Verhaltensregeln für die Kontrollstellen. Ausnahmen von Sicherheitsbestimmungen sind nach Erwägungsgrund 37 nicht zulässig. Außerdem, so heißt es in diesem Erwägungsgrund, sollten die in diesem Bereich zuständigen Kontrollstellen mindestens bestimmte ex post-Zuständigkeiten erhalten, beispielsweise zur regelmäßigen Veröffentlichung eines Berichts oder zur Befassung der Justizbehörden.

2.3 Überblick über die gegenwärtige Rechtslage in den Mitgliedstaaten

In den Rechtsordnungen der Mitgliedstaaten werden gegenwärtig folgende Ansätze verfolgt:

  1. In einigen Fällen enthalten Datenschutzbestimmungen keine ausdrückliche Ausnahme für den Bereich der Medien. Dies gilt für Belgien, Spanien, Portugal, Schweden und das Vereinigte Königreich.
  2. In Deutschland, Frankreich, den Niederlanden, Österreich und Finnland sind Medien von bestimmten Datenschutzbestimmungen ausgenommen. Ähnliche Ausnahmeregelungen sind in einem italienischen Gesetzentwurf vorgesehen.
  3. In anderen Ländern sind Medien von den allgemeinen Datenschutzvorschriften freigestellt und unterliegen Sonderregeln. In Dänemark gilt dies für alle Medien, in Deutschland nur für die öffentlichen Rundfunkanstalten, die nicht den Datenschutzgesetzen der Länder oder des Bundes unterliegen, sondern besonderen Bestimmungen in den von den Ländern geschlossenen Staatsverträgen.
Die Unterschiede zwischen diesen drei Modellen sollten allerdings nicht überbewertet werden. In den meisten Fällen werden Datenschutzbestimmungen - unabhängig davon, ob es ausdrückliche Ausnahmeregelungen gibt - schon wegen des in der Verfassung verankerten Rechts auf freie Meinungsäußerung und Pressefreiheit auf Medien nicht in vollem Umfang angewandt. Diese Grundrechte bilden de facto eine Schranke für die Anwendung des materiellen Datenschutzrechts oder zumindest für dessen Durchsetzung.

Der normale Datenschutz gilt allerdings im allgemeinen für alle Medien-Aktivitäten. Hiervon ausgenommen sind nur die Print-Medien.

Die für den Datenschutz zuständigen Kontrollstellen tragen bei der Anwendung des Datenschutzrechts der Besonderheit der einzelnen Medien Rechnung, unabhängig davon, ob Sonderregelungen bestehen oder nicht.

Die tatsächliche Reichweite der Ausnahmeregelungen läßt sich nicht abstrakt bestimmen, sondern hängt von der Gesamtstruktur des Datenschutzrechts in jedem einzelnen Land ab. In welchem Umfang Ausnahmen erforderlich sind, bestimmt sich danach, wie weit sich das materielle Datenschutzrecht effektiv auf die Aktivitäten der Medien auswirkt.

Die Unterschiede in der Anwendung des Datenschutzrechts in bezug auf die einzelnen Medien lassen sich auch aus einer anderen Perspektive erklären, nämlich ausgehend von der Funktion des Datenschutzrechts und der Verwendung der Informationstechnologie durch die Medien. In den Anfängen des Datenschutzes konzentrierte sich die Aufmerksamkeit auf große zentrale Datenbanken. Medien schienen damals von solchen Bestimmungen kaum betroffen zu sein, so daß Ausnahmeregelungen auch nicht notwendig erschienen. Die Verlagerung des Schwerpunkts im Datenschutzrecht auf den Begriff der Datenverarbeitung und die umfassende Nutzung der Informationstechnologie durch die Medien haben die Situation grundlegend verändert.

Die in den Mitgliedstaaten geltenden Regelungen weisen übereinstimmend eine wichtige Bestimmung auf, der zufolge die Medien - oder zumindest die Presse - gewisse Vorschriften beachten müssen, die zwar nicht zum Datenschutz im eigentlichen Sinne gehören, aber zum Schutz der Privatsphäre des einzelnen beitragen. Diese Bestimmungen und eine häufig umfassende Rechtsprechung bieten eine besondere Form des Rechtschutzes, der mitunter als Ersatz für den fehlenden präventiven Rechtsschutz im Datenschutzrecht angesehen wird.

Will man beurteilen, wie die Privatsphäre in bezug auf die Medien geschützt wird, so muß man folgende Schutzmechanismen berücksichtigen: das Recht auf Gegendarstellung und die Möglichkeit, falsche Darstellungen zu berichtigen, die Berufspflichten der Journalisten und die damit verbundene Selbstkontrolle sowie die Bestimmungen zum Schutz der Ehre (straf- und zivilrechtliche Regelungen zum Schutz vor Verleumdung usw.).

Die Hinwendung der traditionellen Medien zu elektronischer Veröffentlichung und Online-Diensten gibt weiteren Grund zum Nachdenken. Mit den Online-Diensten gewinnt die Unterscheidung zwischen redaktioneller Tätigkeit und nichtredaktioneller Tätigkeit eine neue Dimension, da sich bei Online-Diensten anders als bei den herkömmlichen Medien die Identität der Empfänger der Dienste feststellen läßt.

3 Ergebnis

Aus dem Vorstehenden dürfte deutlich geworden sein, daß der Rechtsrahmen in den Mitgliedstaaten für die Anwendung des Datenschutzrechts im Bereich der Medien einer generellen Überprüfung bedarf. Insbesondere muß geprüft werden, in welchem Umfang die Anwendung der einzelnen Bestimmungen in den Kapiteln II, IV und VI der Richtlinie zum Schutz der freien Meinungsäußerung eingeschränkt werden muß.

Dabei ist folgendes zu berücksichtigen:

  • Grundsätzlich ist das Datenschutzrecht auf Medien anwendbar. Ausnahmen und Freistellungen können nur in bezug auf Kapitel II über die allgemeinen Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Kapitel IV über die Übermittlung personenbezogener Daten in Drittländer und Kapitel VI über die Befugnisse der Kontrollstellen gewährt werden. Die Sicherheitsbestimmungen sind hiervon ausgenommen. Die Kontrollstellen müssen in jedem Fall gewisse Befugnisse für nachträgliche Kontrollen behalten.
  • Ausnahmen und Freistellungen nach Maßgabe von Artikel 9 müssen verhältnismäßig sein. Sie dürfen nur in bezug auf Bestimmungen gewährt werden, die die freie Meinungsäußerung beeinträchtigen könnten, und nur soweit dies für die tatsächliche Ausübung dieses Rechts erforderlich ist; dabei ist das Recht auf Privatsphäre der betroffenen Person angemessen zu wahren.
  • Ausnahmen und Freistellungen nach Artikel 9 sind unter Umständen nicht erforderlich, wenn die diversen Richtlinienbestimmungen oder die Ausnahmen auf der Grundlage anderer Spezialvorschriften (die selbstverständlich eng auszulegen sind) hinreichend flexibel sind, um einen zufriedenstellenden Ausgleich zwischen dem Recht auf Privatsphäre und dem Recht auf freie Meinungsäußerung zu gewährleisten.
  • Artikel 9 der Richtlinie wahrt das Recht des einzelnen auf freie Meinungsäußerung. Ausnahmen und Freistellungen von Artikel 9 können nicht den Medien oder Journalisten als solchen gewährt werden, sondern nur für die Verarbeitung personenbezogener Daten zu journalistischen Zwecken.
  • Ausnahmen und Freistellungen gelten nur für die Verarbeitung personenbezogener Daten zu journalistischen (redaktionellen) Zwecken einschließlich der elektronischen Veröffentlichung. Jede andere Form der Datenverarbeitung durch Journalisten oder Medien unterliegt den allgemeinen Richtlinienbestimmungen. Diese Differenzierung ist vor allem für die elektronische Veröffentlichung relevant. Die Verarbeitung personenbezogener Daten von Abonnenten zu Fakturierungszwecken oder für das Direktmarketing (einschließlich der Verarbeitung von Daten über die Inanspruchnahme der Medien zur Erstellung von Verbraucherprofilen) fällt unter den allgemeinen Datenschutz.
  • Die Richtlinie verlangt einen Ausgleich zwischen zwei Grundrechten. Um feststellen zu können, ob die Beschränkungen der Rechte und Pflichten aus der Richtlinie im Verhältnis zu dem angestrebten Schutz der freien Meinungsäußerung stehen, muß den speziellen Garantien, über die der einzelne gegenüber den Medien verfügt, besonders Rechnung getragen werden. Beschränkungen des Rechts auf Zugang zu Informationen und auf Berichtigung vor der Veröffentlichung sind nur dann verhältnismäßig, wenn der einzelne nach der Veröffentlichung zur Gegendarstellung und Richtigstellung falscher Informationen berechtigt ist.
  • In jedem Fall hat der einzelne bei Verletzung der ihm zustehenden Rechte Anspruch auf einen angemessenen Rechtsschutz.
  • Bei der Prüfung, ob Ausnahmen oder Freistellungen verhältnismäßig sind, sind die bestehenden ethischen und beruflichen Pflichten der Journalisten sowie die vom Berufsstand selbst organisierte Aufsicht zu berücksichtigen.

Geschehen zu Brüssel, den 25. Februar 1997.

Im Namen der Datenschutzgruppe
Der Vorsitzende P.J. Hustinx

4.2 Erste Leitlinie für die Übermittlung personenbezogener Daten in Drittländer vom 26.Juni 1997

Gliederung:

1 Einführung

Mit diesem Dokument wird nicht das Ziel verfolgt, auf alle Fragen einzugehen, die sich aus der Richtlinie im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer ergeben; hier steht das Bemühen im Vordergrund, die zentrale Frage der Beurteilung der Angemessenheit im Sinne von Artikel 25 Absätze 1 und 2 zu klären. Ausnahmen vom Erfordernis des "angemessenen Schutzniveaus" nach Artikel 26 Absatz 1 werden hier überhaupt nicht behandelt. Es wird davon ausgegangen, daß diese Ausnahmen recht eng definiert sind und wahrscheinlich viele Fälle nicht in ihren Anwendungsbereich fallen und somit auf die Angemessenheit geprüft werden. Die Arbeitsgruppe wird den konkreten Anwendungsbereich dieser Ausnahmen bei ihren künftigen Arbeiten prüfen.

Es sollte nicht vergessen werden, daß der Begriff angemessen auch in Artikel 26 Absatz 2 verwendet wird, der die Möglichkeit von ad-hoc-Lösungen - insbesondere vertraglicher Art - für Situationen vorsieht, in denen kein angemessener Schutz im Sinne von Artikel 25 Absatz 2 gewährleistet ist. Verfahrensrechtlich behandelt die Richtlinie diese Fälle allerdings sehr unterschiedlich. Während die Mitgliedstaaten nach Artikel 25 einander und die Kommission über die Fälle zu unterrichten haben, in denen kein angemessenes Schutzniveau gewährleistet ist und die Übermittlung deshalb blockiert wurde, ist die Situation nach Artikel 26 umgekehrt: Die Mitgliedstaaten sind verpflichtet, die Kommission und die übrigen Mitgliedstaaten über jede erteilte Genehmigung zu unterrichten. Dies spiegelt die Tatsache wider, daß es bei derartigen vertraglichen Lösungen inhärente Probleme gibt, wie die Schwierigkeiten einer betroffenen Person, ihre Rechte aus einem Vertrag, bei dem sie selbst nicht Vertragspartei ist, durchzusetzen, und daß sie deshalb nur in einigen spezifischen und wahrscheinlich relativ seltenen Situationen geeignet sind. Die Arbeitsgruppe wird die Umstände gesondert prüfen, unter denen vertragliche ad-hoc-Lösungen geeignet sein können, und bei den künftigen Arbeiten einige Grundsätze im Hinblick auf die mögliche Form und den möglichen Inhalt derartiger Lösungen ausarbeiten. Diese Arbeit wird wahrscheinlich weitgehend auf den in diesem Dokument enthaltenen Ideen aufbauen, da eine Prüfung der Angemessenheit sowohl Gegenstand des Artikels 26 Absatz 2 als auch des Artikels 25 Absätze 1 und 2 ist.

2 Verfahrensfragen

Artikel 25 sieht vor, daß die Angemessenheit bei den einzelnen Übermittlungen oder Kategorien von Übermittlungen geprüft wird. Aufgrund der hohen Anzahl von Übermittlungen personenbezogener Daten, die täglich die Gemeinschaft verlassen, und aufgrund der vielen an solchen Übermittlungen beteiligten Wirtschaftskräfte, kann aber natürlich kein Mitgliedstaat - unabhängig von dem System, das er zur Anwendung von Artikel 25 wählt - sicherstellen, daß absolut jeder Fall im Detail geprüft wird. Dies heißt freilich nicht, daß kein Fall detailliert geprüft wird, sondern eher, daß Mechanismen entwickelt werden müssen, um den Beschlußfassungsprozeß für eine ganze Reihe von Fällen zu rationalisieren, die somit Entscheidungen, oder zumindest vorläufige Entscheidungen ohne allzu große Schwierigkeiten oder übermäßige materielle Folgen ermöglichen. Eine derartige Rationalisierung ist unabhängig davon erforderlich, wer die Entscheidung trifft, ob sie bei dem für die Verarbeitung Verantwortlichen, der Kontrollbehörde oder irgendeinem anderen durch das Verfahren des Mitgliedstaats eingesetzten Gremium liegt.

2.1 Weiße Listen

Für eine solche Rationalisierung bietet sich die Ausarbeitung "Weißer Listen" von Drittländern an, von denen angenommen werden kann, daß sie ein angemessenes Schutzniveau gewährleisten. Eine derartige Liste könnte "provisorischen Charakter" haben oder "nur zur Orientierung" dienen und somit Einzelfälle, bei denen es besondere Schwierigkeiten geben könnte, nicht berühren. Nichtsdestoweniger ist es in der Logik des allgemeinen Ansatzes von Artikel 25 wichtig, jede Entscheidung über die Aufnahme eines Landes in eine weiße Liste eher auf Einzelfälle zu stützen als auf eine vereinfachte, abstrakte Beurteilung eines Rechtstextes. Wenn nach der Prüfung einiger repräsentativer Fälle von Übermittlungen in ein Drittland bei jedem dieser Fälle der gebotene Schutz als angemessen angesehen wurde, könnte das betreffende Land in die "weiße Liste” aufgenommen werden.

Ein Problem bei diesem Ansatz besteht darin, daß viele Drittländer keinen einheitlichen Schutz für alle Wirtschaftsbereiche bieten. Beispielsweise gibt es in vielen Ländern Datenschutzgesetze für den öffentlichen Bereich, nicht aber für den Privatsektor. In den Vereinigten Staaten ist die Lage insofern noch komplexer, als spezifische Rechtsvorschriften für bestimmte Einzelbereiche wie Kreditauskunft und Aufzeichnung über den Videoverleih, nicht aber für andere bestehen. Ein zusätzliches Problem gibt es in Ländern mit Bundesverfassungen wie den Vereinigten Staaten und Kanada, in denen oft Schwierigkeiten zwischen den verschiedenen Teilen des Bundes bestehen. Deshalb ist bei dem Beschluß darüber, ob der gewährte Schutz bei einer speziellen Datenübermittlung für das gesamte Land oder lediglich einen einzelnen Sektor oder Staat repräsentativ ist, sehr sorgfältig vorzugehen. Nichts steht einer teilweisen Aufnahme eines Drittlands auf eine weiße Liste entgegen und natürlich wird bei Übermittlungen von Daten aus Spanien nach dem geltenden nationalen Recht zwischen Ländern, die einen Schutz über die Grenzen hinaus gewährleisten, und Ländern unterschieden, die nur im öffentlichen Bereich Schutz gewährleisten.

Ferner stellt sich die Frage, wer über die Aufnahme in eine derartige Liste entscheiden sollte. Dazu ist anzumerken, daß die durch Artikel 29 eingesetzte Gruppe bei der Beschlußfassung über einzelne Datenübermittlungen keine explizite Rolle zu spielen hat. Diese Rolle fällt in erster Linie den Mitgliedstaaten zu und dann der Kommission nach dem in Artikel 31 festgelegten Ausschußverfahren. Wie oben ausgeführt wurde, zielt allerdings jegliche Arbeit der Gruppe darauf ab, Orientierungen für eine Vielzahl von Fällen zu liefern, und nicht notwendigerweise für die Bestimmung eines Einzelfalls. Es sei auch darauf hingewiesen, daß eine der spezifischen Aufgaben der durch Artikel 29 eingesetzten Gruppe darin besteht, der Kommission eine Stellungnahme über das Schutzniveau in Drittländern zu übermitteln. Somit fällt eine Prüfung der Lage in einzelnen Drittländern im Lichte einiger Einzelfälle und eine vorläufige Stellungnahme zur Angemessenheit des Schutzes sehr wohl in den Aufgabenbereich der durch Artikel 29 eingesetzten Gruppe. Derartige positive Entscheidungen könnten in die geplante weiße Liste einbezogen werden. Diese könnte anschließend breit verteilt und von den für die Datenverarbeitung Verantwortlichen, den Kontrollbehörden und den Mitgliedstaaten als Hilfe für deren eigene Entscheidungen verteilt werden.

Steht ein Land nicht auf einer solchen weißen Liste, so heißt dies nicht notwendigerweise, daß das Land auf eine schwarze Liste gehört, sondern eher, daß es noch keine allgemeinen Leitlinien für dieses Land gibt. Die Erstellung einer expliziten schwarzen Liste von Ländern wäre - auch für Orientierungszwecke - politisch sehr heikel.

2.2 Risikoanalyse spezifischer Übermittlungen

Auch wenn die Erstellung einer vorläufigen weißen Liste von Drittländern eine wertvolle Hilfe für die Entscheidungen bei vielen Datenübermittlungen darstellt, wird das betreffende Drittland immer noch in vielen Fällen nicht auf der weißen Liste aufgeführt sein. Die Mitgliedstaaten können mit diesen Fällen je nach ihrer Umsetzung des Artikels 25 in ihre innerstaatlichen Rechtsvorschriften recht unterschiedlich umgehen (vgl. Fußnote auf der Vorseite). Wenn die Kontrollstelle eine spezifische Rolle bei der vorherigen Genehmigung von Datenübermittlungen oder bei einer nachträglichen Überprüfung spielen soll, dann kann allein schon das Volumen der betroffenen Übermittlungen ein System für die Prioritätensetzung bei den Bemühungen der Kontrollstelle erforderlich machen. Ein solches System wäre in Form eines Pakets vereinbarter Kriterien denkbar, die es ermöglichen würden, eine spezielle Übermittlung oder Kategorie von Übermittlungen als besondere Gefahr für die Privatsphäre einzustufen.

Ein solches System ändert nichts an der Verpflichtung jedes Mitgliedstaats, sicherzustellen, daß nur die Übermittlungen erfolgen, bei denen das Drittland ein angemessenes Schutzniveau gewährleistet. Die Tatsache, daß eine Übermittlung keine besondere Gefahr darstellt, berührt das Grunderfordernis des Artikels 25 im Hinblick auf den sicherzustellenden angemessenen Schutz nicht. Allerdings wird die Bewertung des Risikos für die betroffene Person aufgrund der Übermittlung eine nützliche Unterstützung für die konkrete Bestimmung dessen darstellen, was als "angemessener Schutz" angesehen wird. Das System wird auch als Orientierung für Fälle von Datenübermittlungen dienen, die als "vorrangige Fälle" anzusehen sind und geprüft oder in denen sogar Ermittlungen angestellt werden müssen; damit wird es ermöglichen, daß die für die "Überwachung" des Systems eingesetzten Ressourcen direkt auf die Übermittlungen gerichtet werden, die im Hinblick auf den Schutz der betroffenen Personen zu größter Besorgnis Anlaß geben.

Die Arbeitsgruppe wird ein spezifisches, detailliertes Dokument zu den Kategorien von Übermittlungen erstellen, die ihres Erachtens besondere Gefahren für die Privatsphäre mit sich bringen. Dazu werden wahrscheinlich folgende Kategorien gehören:

  • Übermittlungen, die bestimmte sensible Datenkategorien gemäß der Definition von Artikel 8 der Richtlinie betreffen;
  • Übermittlungen mit dem Risiko finanzieller Verluste (beispielsweise Kreditkartenzahlungen über Internet);
  • Übermittlungen, die eine Gefahr für die persönliche Sicherheit darstellen;
  • Übermittlungen zum Zwecke einer Beschlußfassung mit großer Bedeutung für die betroffene Person (wie Einstellungs- oder Beförderungsbeschlüsse, Gewährung von Krediten usw.);
  • Übermittlungen, die die Gefahr ernsthafter Schwierigkeiten oder der Beeinträchtigung des Rufs einer natürlichen Person nach sich ziehen;
  • Übermittlungen, die zu spezifischen Maßnahmen führen können, die eine bedeutende Einmischung in das Privatleben einer natürlichen Person darstellen, wie ungewünschte Telefonanrufe;
  • repetitive Übermittlungen großer Datenmengen (wie über Telekommunikationsnetze, Internet usw. verarbeitete elektronische Daten);
  • Übermittlungen, die die Erfassung von Daten in einer besonderen verdeckten oder geheimen Form betreffen (beispielsweise "Internet-cookies", eine Art elektronischer Visitenkarte).

3 Was bedeutet "angemessener Schutz"?

Ziel des Datenschutzes ist es, der natürlichen Person Schutz zu gewähren, deren Daten verarbeitet werden. Dies wird üblicherweise über ein Zusammenspiel der Rechte der betroffenen Person sowie der Pflichten derer erreicht, die Daten verarbeiten oder Kontrolle über eine derartige Verarbeitung ausüben. Die in der Richtlinie 95/46/EG niedergelegten Rechte und Pflichten stützen sich auf die in dem Übereinkommen des Europarats Nr. 108 (1981) enthaltenen Rechte und Pflichten, die sich ihrerseits nicht sehr von den in den OECD-Leitlinien (1980) oder den Leitlinien der Vereinten Nationen (1990) festgelegten unterscheiden. Über den Inhalt der Datenschutzbestimmungen, die für die fünfzehn Staaten der Gemeinschaft gelten, besteht somit ein Konsens.

Die Datenschutzbestimmungen tragen allerdings lediglich zum Schutz natürlicher Personen bei, wenn sie in der Praxis befolgt werden. Deshalb muß nicht nur der Inhalt der Bestimmungen geprüft werden, die für in ein Drittland übertragene personenbezogene Daten gelten, sondern auch die für die Gewährleistung der Wirksamkeit derartiger Vorschriften existierenden Mechanismen. In Europa wurden die Vorschriften für den Datenschutz herkömmlicherweise in Form von Gesetzen verankert, womit eine Sanktionsmöglichkeit bei Nichtbefolgung entstand und natürlichen Personen ein Regreßrecht eingeräumt wurde. Darüberhinaus sahen solche Gesetze im allgemeinen zusätzliche Verfahrensmechanismen vor, wie die Einrichtung von Aufsichtsbehörden mit Überwachungs- und Beschwerdeprüfungsfunktionen. Diese Verfahrensaspekte finden sich in der Richtlinie 95/46/EG mit ihren Bestimmungen für Haftung, Sanktionen, Rechtsbehelfe, Kontrollstellen und Meldung wieder. Außerhalb der Gemeinschaft sind allerdings derartige Verfahrensmittel weniger verbreitet, die sicherstellen sollen, daß die Vorschriften für den Datenschutz erfüllt werden. Die Vertragsparteien des Übereinkommens Nr. 108 sind aufgerufen, die Grundsätze des Datenschutzes in ihre Rechtsvorschriften aufzunehmen, zusätzliche Mechanismen wie eine Kontrollbehörde werden hier aber nicht gefordert. Die OECD-Leitlinien enthalten lediglich das Erfordernis, daß sie in den inländischen Rechtsvorschriften "zu berücksichtigen" sind und garantieren somit auf der Verfahrensebene keineswegs, daß sichergestellt wird, daß die Leitlinien tatsächlich in einen wirksamen Schutz natürlicher Personen münden. Die später festgelegten VN-Leitlinien enthalten allerdings Bestimmungen für Überwachung und Sanktionen, womit das wachsende Bewußtsein der Notwendigkeit deutlich wird, weltweit dafür zu sorgen, daß die Datenschutzvorschriften gebührend durchgesetzt werden.

Vor diesem Hintergrund ist klar, daß jede sinnvolle Analyse eines angemessenen Schutzes zwei Grundelemente umfassen muß: den Inhalt der anzuwendenden Vorschriften und die Mittel für die Gewährleistung ihrer tatsächlichen Anwendung.

Mit der Richtlinie 95/46/EG als Ausgangspunkt und unter Berücksichtigung der Vorschriften der übrigen internationalen Texte zum Datenschutz sollte es möglich sein, zu einem "festen Kern" "inhaltlicher" Datenschutzgrundsätze und "Verfahrens-/Durchsetzungs"-Erfordernisse zu kommen, dessen Einhaltung als Mindesterfordernis für einen als angemessen anzusehenden Schutz bewertet werden könnte. Eine solche Minimalliste sollte keine starre Liste sein. In einigen Fällen wird es notwendig sein, die Liste zu erweitern, während es in anderen auch möglich sein kann, das Verzeichnis der Erfordernisse zu reduzieren. Das Ausmaß des Risikos einer Übermittlung für die betroffene Person (vgl. oben Abschnitt 2 Buchstabe (ii)), wird ein bedeutender Faktor für die Bestimmung der konkreten Erfordernisse in einem Einzelfall sein. Trotz dieses Vorbehalts ist die Zusammenstellung einer Basisliste minimaler Voraussetzungen ein nützlicher Ausgangspunkt für jede Analyse.

3.1 Inhaltliche Grundsätze

Die Aufnahme der nachstehenden Grundsätze wird vorgeschlagen:

  1. Der Grundsatz der Beschränkung der Zweckbestimmung
    - Daten sind für einen spezifischen Zweck zu verarbeiten und dementsprechend nur insofern zu verwenden oder weiter zu übermitteln, als dies mit der Zweckbestimmung der Übermittlung nicht unvereinbar ist. Die einzigen Ausnahmen von dieser Regel sind die in einer demokratischen Gesellschaft aus einem der in Artikel 13 der Richtlinie aufgeführten Gründe notwendigen Fälle.

  2. Der Grundsatz der Datenqualität und -verhältnismäßigkeit
    - Daten müssen sachlich richtig und, wenn nötig auf dem neusten Stand sein. Die Daten müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiter verarbeitet werden, nicht exzessiv sein.

  3. Der Grundsatz der Transparenz
    - Natürliche Personen müssen Informationen über die Zweckbestimmung der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies aus Billigkeitsgründen erforderlich ist. Ausnahmen sind lediglich im Einklang mit den Artikeln 11 Absatz 2 und 13 der Richtlinie möglich.

  4. Der Grundsatz der Sicherheit
    - Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsmaßnahmen für die Risiken der Verarbeitung zu treffen. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Verarbeiter, dürfen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.

  5. Die Rechte auf Zugriff, Berichtigung und Widerspruch
    - Die betroffene Person muß das Recht haben, eine Kopie aller sie betreffender Daten zu erhalten, die verarbeitet werden, sowie das Recht auf Berichtigung dieser Daten, wenn diese sich als unrichtig erweisen. In bestimmten Situationen muß sie auch Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können. Die einzigen Ausnahmen von diesen Rechten haben mit Artikel 13 der Richtlinie im Einklang zu stehen.

  6. Beschränkungen der Weiterübermittlung an andere Drittländer
    - Weitere Übermittlungen personenbezogener Daten vom Bestimmungsdrittland in ein anderes Drittland sind lediglich zulässig, wenn das zweite Drittland ebenfalls ein angemessenes Schutzniveau aufweist. Die einzigen zulässigen Ausnahmen haben mit Artikel 26 der Richtlinie im Einklang zu stehen.

Beispiele weiterer, auf spezifische Arten der Verarbeitung anwendbarer Grundsätze:

  1. Sensible Daten
    - Sind "sensible" Kategorien von Daten betroffen (die in Artikel 8 aufgelistet sind), so haben zusätzliche Sicherheitsmaßnahmen wie das Erfordernis zu gelten, daß die betroffene Person ausdrücklich in die Verarbeitung einwilligt.

  2. Direktmarketing
    - Werden Daten zum Zwecke des Direktmarketings übermittelt, so muß die betroffene Person die Möglichkeit haben, sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke zu verwehren.

  3. Automatisierte Einzelentscheidung
    - Erfolgt die Übermittlung mit dem Ziel, eine automatisierte Einzelentscheidung im Sinne von Artikel 15 der Richtlinie zu treffen, so muß die natürliche Person das Recht haben, die dieser Entscheidung zugrunde liegende Logik zu erfahren, und andere Maßnahmen müssen getroffen werden, um die berechtigten Interessen der natürlichen Person zu schützen.

3.2 Verfahrens- / Durchführungsmechanismen

In Europa herrscht breite Übereinstimmung darüber, daß die Datenschutzgrundsätze in Rechtsvorschriften eingebettet werden sollen. Man ist sich auch weitgehend darüber einig, daß ein System "externer Überwachung" in Form einer unabhängigen Behörde ein notwendiges Merkmal eines Datenschutzkontrollsystems darstellt. Es reicht allerdings nicht aus, ohne jede Begründung oder Rechtfertigung lediglich zu erklären, daß diese beiden Merkmale für einen angemessenen Schutz gewissermaßen inhärent erforderlich sind. Dies hieße, lediglich rein formalistische Kriterien für die Beurteilung dieser Frage vorzubringen.

Ein besserer Ausgangspunkt wäre die Identifizierung der Basisziele des verfahrensrechtlichen Systems beim Datenschutz und auf dieser Grundlage die Beurteilung des Spektrums der einzelnen, in Drittländern verwendeten gerichtlichen und außergerichtlichen Verfahrensmechanismen im Hinblick auf ihre Fähigkeit, diese Ziele zu erfüllen.

Ein Datenschutzsystem verfolgt im wesentlichen dreierlei Ziele:

  1. Gute Befolgungsrate der Bestimmungen. (Kein System kann 100 %ige Einhaltung garantieren, einige sind aber besser als andere). Ein gutes System zeichnet sich im allgemeinen dadurch aus, daß sich die für die Verarbeitung Verantwortlichen ihrer Pflichten und die betroffenen Personen ihrer Rechte und der Mittel für deren Durchsetzung sehr stark bewußt sind. Die Existenz wirksamer, dissuasiver Sanktionen ist wichtig, um die Einhaltung der Bestimmungen sicherzustellen; ebenso wichtig sind natürlich Systeme der direkten Überprüfung durch Behörden, Buchprüfer oder unabhängige Datenschutzbeauftragte.

  2. Unterstützung und Hilfe für einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte. Jeder Einzelne muß seine Rechte rasch und wirksam ohne zu hohe Kosten durchsetzen können. Dazu muß es einen institutionellen Mechanismus geben, der eine unabhängige Prüfung von Beschwerden ermöglicht.

  3. Angemessene Entschädigung für die geschädigte Partei, wenn die Bestimmungen nicht eingehalten werden. Für dieses Schlüsselelement muß es ein System unabhängiger Schlichtung geben, das die Zahlung einer Entschädigung und gegebenenfalls die Auferlegung von Sanktionen ermöglicht.

4 Praktische Anwendung der Theorie

4.1 Länder, die das Übereinkommen Nr. 108 des Europarats ratifiziert haben

Neben der Richtlinie ist das Übereinkommen Nr. 108 im Datenschutzbereich das einzige existierende Instrument des internationalen Rechts. Die meisten Vertragsparteien des Übereinkommens sind auch Mitgliedstaaten der Europäischen Union (alle 15 haben das Übereinkommen jetzt ratifiziert) oder Länder, wie Norwegen und Island, die aufgrund des Abkommens über den Europäischen Wirtschaftsraum durch die Richtlinie gebunden sind. Allerdings hat auch Slowenien das Übereinkommen ratifiziert, und drei andere Länder, darunter die Schweiz, werden die Ratifizierung möglicherweise in naher Zukunft vornehmen. Deshalb ist nicht nur aus rein akademischem Interesse zu prüfen, ob bei den Ländern, die das Übereinkommen ratifiziert haben, davon auszugehen ist, daß sie ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie bieten.

Eine solche Prüfung sollte - wie in Abschnitt 2 dieses Dokuments ausgeführt wurde - durch das Betrachten einer Reihe spezifischer Fälle erfolgen. Als Ausgangspunkt ist es allerdings sinnvoll, den Wortlaut des Übereinkommens selbst im Lichte der in dem vorigen Abschnitt dieses Dokuments dargelegten theoretischen Darstellung des "angemessenen Schutzes" zu prüfen.

Im Hinblick auf den Inhalt der Grundsätze läßt sich sagen, daß das Übereinkommen die ersten fünf der sechs "Minimalbedingungen" einbezieht. Das Übereinkommen enthält auch das Erfordernis geeigneter Schutzmaßnahmen für sensible Daten, das bei derartigen Daten eine Voraussetzung für die Angemessenheit darstellen sollte.

Beim Inhalt der substantiellen Regeln fehlen in dem Übereinkommen Beschränkungen von Übermittlungen in Länder, die nicht Vertragsparteien des Übereinkommens sind. Damit entsteht die Gefahr, daß ein Mitgliedstaat des Übereinkommens Nr. 108 bei einer Datenübermittlung aus der Gemeinschaft in ein weiteres Drittland mit völlig unzureichendem Schutzniveau als Zwischenstation verwendet wird.

Der zweite Aspekt des "angemessenen Schutzes" betrifft die vorhandenen Mechanismen, die sicherstellen, daß die Grundsätze Wirkung erhalten. Das Übereinkommen legt fest, daß seine Grundsätze in inländische Rechtsvorschriften aufgenommen und geeignete Sanktionen und Rechtsmittel für Verstöße gegen diese Grundsätze eingeführt werden. Dies sollte ausreichen, um eine angemessene Befolgung der Regeln sowie geeignete Rechtsmittel für die betroffenen Personen zu gewährleisten, wenn die Regeln nicht eingehalten werden (Ziele (1) und (3) eines Datenschutzkontrollsystems). Das Übereinkommen verpflichtet allerdings die Vertragsparteien nicht, institutionelle Mechanismen zu schaffen, die eine unabhängige Prüfung von Beschwerden ermöglichen, obschon in der Praxis die Länder, die das Übereinkommen ratifiziert haben, im allgemeinen derartige Mechanismen eingeführt haben. Dies stellt insofern einen Schwachpunkt dar, als ohne derartige geeignete institutionelle Mechanismen die Unterstützung und Hilfe für einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte (Ziel 2) unter Umständen nicht gewährleistet ist.

Diese Kurzanalyse scheint zu ergeben, daß bei Übermittlungen personenbezogener Daten in Länder, die das Übereinkommen Nr.108 ratifiziert haben, davon ausgegangen werden kann, daß sie unter folgenden Voraussetzungen nach Artikel 25 Absatz 1 der Richtlinie zulässig sind:

  • Das betreffende Land verfügt auch über geeignete institutionelle Mechanismen wie eine unabhängige Kontrollstelle mit entsprechenden Befugnissen; und
  • das betreffende Land ist die Endbestimmung der Übermittlung und nicht eine Zwischenstation, über die die Daten weiterübermittelt werden.

Hier handelt es sich natürlich um eine eher vereinfachte, oberflächliche Prüfung des Übereinkommens. Spezifische Fälle der Datenübermittlung in Länder des Übereinkommens können neue, in diesem Dokument nicht betrachtete Probleme aufwerfen.

4.2 Sonstige Fälle

Die große Mehrheit der Datenübermittlungen aus der Europäischen Union erfolgt eindeutig in Drittländer, die das Übereinkommen Nr. 108 nicht ratifiziert haben. In diesen Fällen, in denen kein bindendes Instrument des internationalen Rechts Anwendung findet, gibt es keine Alternative; hier muß auf den Grundansatz dieses Papiers zurückgegriffen werden, d.h. es müssen Schlußfolgerungen über die Angemessenheit des in einem Drittland gebotenen Schutzniveaus auf der Grundlage der Situation in einem oder mehreren spezifischen Fällen gezogen werden. Eine Beurteilung einer spezifischen Datenübermittlung kann bisweilen für breite Kategorien analoger Fälle als richtig angesehen werden. Die Analyse derartiger, in hohem Maße repräsentativer Übermittlungen wird die Erstellung einer vorläufigen weißen Liste von Ländern oder Sektoren innerhalb von Ländern erleichtern.

Drei Arten von Übermittlungen wären nach der Richtlinie möglich:

  1. Eine Mitteilung personenbezogener Daten durch einen in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen an einen anderen, in einem Drittland niedergelassenen, für die Verarbeitung Verantwortlichen;

  2. eine Mitteilung personenbezogener Daten durch einen in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen an einen Verarbeiter in einem Drittland, der im Namen des in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen tätig ist;

  3. eine Mitteilung personenbezogener Daten durch eine in der Gemeinschaft ansässige betroffene Person an einen in einem Drittland niedergelassenen, für die Verarbeitung Verantwortlichen.

Die in Abschnitt 3 dargelegten "Kern”-Grundsätze finden wahrscheinlich in unterschiedlicher Weise auf diese drei verschiedenen Übermittlungsarten Anwendung. So unterscheidet sich beispielsweise die klassische Situation einer Übermittlung durch einen in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen an einen einzelnen, für die Verarbeitung Verantwortlichen in einem Drittland sehr von einem Fall, in dem Daten durch einen außerhalb der Gemeinschaft ansässigen, für die Verarbeitung Verantwortlichen unmittelbar von einer einzelnen betroffenen Person in der Gemeinschaft über Telefon oder das Internet erfaßt werden.

Seitenanfang
Zur Inhaltsübersicht 1997 Zur Inhaltsübersicht des Jahresberichtes 1997
  Berlin,
  am 25.03.98
mail to webmaster