Internationaler Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Vortrag auf der 18. Internationalen Datenschutzkonferenz
Persönlichkeitsschutz über Grenzen hinweg
Ottawa, Kanada
18.-20. September 1996

Fallstudie: Nordamerika und die Europäische Richtlinie

Die deutsche BahnCard eine modellhafte Vertragslösung für das Problem des "angemessenen Schutzniveaus"?

Dr. iur. Alexander Dix, LL.M. (Lond.)
Stellvertretender Berliner Datenschutzbeauftragter
Deutschland

Vorbemerkung: Von der Bahnsteigkarte zur BahnCard

Zu Beginn dieses Jahrhunderts galten Deutsche als völlig unfähig, eine Revolution zu veranstalten. Sobald sie nämlich den Befehl erhielten, die wichtigsten Bahnhöfe zu besetzen, würden sie zunächst versuchen, Bahnsteigkarten zu lösen. Obwohl in dieser satirischen Beobachtung sicherlich ein wahrer Kern enthalten ist, haben sich gleichwohl viele Dinge verändert in Deutschland. Die Veränderungen, die im östlichen Teil Deutschlands im Herbst 1989 stattgefunden haben, kann man als friedliche Revolution bezeichnen. Mein Thema heute sind Veränderungen aus der jüngsten Zeit, die gewiß nicht dieselbe politische Bedeutung, aber durchaus wichtige Auswirkungen auf den grenzüberschreitenden Datenschutz haben.

Bahnsteigkarten wurden in Deutschland schon vor längerer Zeit abgeschafft. Die Deutsche Bundesbahn war wie ihre Vorgängerin, die Reichsbahn, ein staatlicher Monopolbetrieb. 1994 wurde sie privatisiert und in die Deutsche Bahn AG umgewandelt. Die Bundesrepublik Deutschland ist Mehrheitsaktionär. Das Unternehmen hat noch immer im großen und ganzen ein Monopol im deutschen Eisenbahnsektor.

Die Deutsche Bahn AG bot bereits seit einiger Zeit ein Rabattsystem auf der Basis einer Plastikkarte, der BahnCard, an. Inhaber dieser Karte erhalten beträchtliche Preisnachlässe bei Bahnfahrten in Deutschland. Diese Karte wurde bald sehr populär vor allem bei Pendlern und Rentnern. Bisher ist die Karte weder mit einem Magnetstreifen noch mit einem Chip ausgestattet. Die BahnCard mußte auf Bahnhöfen beantragt werden und wurde von einem anderen deutschen Unternehmen, der Fa. Bertelsmann, produziert.

Die Allianz zwischen der Deutschen Bahn und der Citibank

Seitenanfang Im November 1994 entschied sich die Deutsche Bahn für eine Zusammenarbeit mit der deutschen Tochtergesellschaft der Citibank, einer der größten international operierenden Banken. Die beiden Gesellschaften schlossen eine Co-Branding Vereinbarung, die die Ausgabe einer BahnCard mit einer bargeldlosen Zahlungsfunktion vorsah. Alle BahnCards sollten ohne zusätzliche Kosten für den Kunden zu VISA-Kreditkarten werden. Dies betraf auch bisherige BahnCards, die jährlich verlängert werden müssen. Zusätzlich trägt die BahnCard heute das Foto des Inhabers.

Sowohl die BahnCards als auch die normalen VISA-Kreditkarten für Kunden der deutschen Citibank werden seit dem 1. Juli 1995 in den Vereinigten Staaten, genauer gesagt in Rechenzentren von Citibank-Töchtern in South Dakota und Nevada, produziert.

Sobald die ersten deutschen Kunden ihre alten BahnCards verlängern oder eine neue BahnCard im Juli 1995 beantragen wollten, wurde ihnen mitgeteilt, daß sie die BahnCard mit der Kreditkartenfunktion zu akzeptieren hätten, für die die Deutsche Bahn und Citibank mit dem Slogan "die bessere BahnCard" warben, selbst wenn die Kunden keine Kreditkarte wollten, z.B. weil sie bereits eine hatten. Dies führte zu zahlreichen Beschwerden und kritischer Medienberichterstattung über die gesamte Co-Branding Vereinbarung, die offenbar die Kreditkartenvereinbarung mit dem größten finanziellen Volumen ist, die in Deutschland bisher abgeschlossen wurde.

Es wurde vielfach angenommen, daß der Monopolbetrieb Deutsche Bahn die Daten seiner vorhandenen und aller zukünftigen BahnCard-Kunden an eine Bank in den Vereinigten Staaten verkauft hatte, die diese Daten sehr wahrscheinlich für Zwecke der Direktwerbung auch durch Dritte nutzen würde.

Die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich kritisierten zahlreiche Punkte im Antragsformular, das von der Deutschen Bahn und Citibank herausgegeben worden war, insbesondere die Tatsache, daß Daten über die Kreditwürdigkeit von Antragstellern erhoben wurden, die keinen Kredit in Anspruch nehmen, sondern lediglich regelmäßig zu verbilligten Preisen Bahn fahren wollten.

Sehr bald - nach heftigen öffentlichen Protesten durch Verbraucherschutzgruppen und Datenschutzbehörden - mußten die Bahn und Citibank ihre Vereinbarung ändern, um sie auf die Herstellung von BahnCards nach bisherigem Muster ohne Kreditkartenfunktion zu erstrecken und diese Karte den Kunden jedenfalls als Option unter der Bezeichnung "BahnCard pur" anzubieten. Von den ca. 3.054.000 BahnCards, die in Deutschland bis Mitte Juli 1996 ausgegeben worden waren, ist die große Mehrheit dieser Art, verfügt also nicht über eine bargeldlose Zahlungsfunktion. Allerdings versucht Citibank inzwischen, den Verkauf der kombinierten Bahn- und VisaCard zu steigern.

Aufgrund einer Gesetzesänderung übernahm der Berliner Datenschutzbeauftragte am 1. August 1995 die Kontrollkompetenz für die Deutsche Bahn AG. Gleich zu Beginn unserer Gespräche haben wir klargestellt, daß die Deutsche Bahn als das Unternehmen, das primär die personenbezogenen Daten der Bahnkunden erhebt, sich nicht insgesamt gewissermaßen im Wege des Outsourcing von ihrer datenschutzrechtlichen Verantwortung für die BahnCard verabschieden darf, insbesondere angesichts der Tatsache, daß dieses Outsourcing zu einem massiven grenzüberschreitenden Datenfluß in ein außereuropäisches Land führt, nämlich die Vereinigten Staaten.

Obwohl die Frist zur Anpassung des innerstaatlichen Rechts an die Europäische Datenschutzrichtlinie erst im Oktober 1989 abläuft und Deutschland sein Bundesdatenschutzgesetz noch nicht angepaßt hat, konnte sich der Berliner Datenschutzbeauftragte mit seinem Rechtsstandpunkt durchsetzen, das schon jetzt kein grenzüberschreitender Datenfluß in die Vereinigten Staaten stattfinden sollte, der nicht den Anforderungen der Art. 25 und 26 der Richtlinie entspricht. Offensichtlich war das Interesse bei den Parteien der Co-Branding Vereinbarung selbst erheblich, eine Lösung zu finden, die eine Fortsetzung der transatlantischen Datenverarbeitung auch nach dem Oktober 1998 zulassen würde.

Aber es ist wichtig zu betonen, daß wir gegenwärtig noch nicht das Jahr 1998 schreiben. Was vom Oktober 1998 an rechtmäßig ist und genauer: was ein angemessenes Schutzniveau im Sinne der Richtlinie darstellt, haben in gewissem Umfang die Europäische Kommission und die Gruppe nach Art. 29 der Richtlinie festzulegen. Dies wurde auch auf der Europäischen Datenschutzkonferenz im April dieses Jahres in Manchester betont. Obwohl ich hier nicht im Namen der Kommission oder der Gruppe oder gar der autonomen nationalen Kontrollstellen in Europa spreche, bin ich doch überzeugt, daß die Lösung, die im Fall der BahnCard gefunden wurde, sehr wahrscheinlich das Kriterium des angemessenen Schutzniveaus im Jahre 1998 erfüllen wird.

Wir müssen hier allerdings zwei Fragen strikt unterscheiden:

  1. Erfüllt die vertragliche Lösung im BahnCard-Fall das Erfordernis des angemessenen Schutzniveaus?
  2. Kann die vertragliche Lösung in diesem Fall als Modell für den Export personenbezogener Daten aus der Europäischen Union in Drittländer im allgemeinen angesehen werden?

Die Antworten auf diese beiden Fragen sind nicht notwendigerweise identisch.

Erfüllt die vertragliche Lösung im BahnCard-Fall die Voraussetzung des "angemessenen Schutzniveaus"?

Im Februar 1996 unterzeichneten die Deutsche Bank und Citibank eine spezielle Datenschutz-Vereinbarung, in der klargestellt wird, daß die Verantwortung für die personenbezogenen Daten, die für die Zwecke der Bahn erhoben werden, bei der Deutschen Bahn verbleibt, während Citibank für den Schutz der kreditbezogenen Daten verantwortlich ist. Beide Unternehmen haben eine gemeinsame Verantwortung bzgl. der Identifikationsdaten des Karteninhabers, also seines Namens und der Adresse.

Diese Vereinbarung wurde ergänzt durch eine Vereinbarung zum gebietsübergreifenden Datenschutz, die ausschließlich zwischen den deutschen und den amerikanischen Tochtergesellschaften der Citibank geschlossen wurde.

Sie werden eine generalisierte Fassung dieser Vereinbarung zum gebietsübergreifenden Datenschutz als Anlage finden.

A und C sind die deutschen Tochtergesellschaften der Citibank, die das BahnCard-Geschäft in Deutschland durchführen, während B die amerikanische Citibank-Tochter ist, die die Karten herstellt und zu diesem Zweck personenbezogene Daten der deutschen Kunden verarbeitet.

Ihnen fällt vielleicht der Schreibfehler bei der Bezeichnung von B auf ("Datenschutz-" statt "Datenverarbeitungs-Unternehmen"). Dieser Fehler ist sicherlich insoweit ein positives Zeichen, als er die Bedeutung illustriert, die die Vertragsparteien den Grundsätzen des Datenschutzes beimessen. Andererseits hat der Fehler möglicherweise auch den Charakter einer Freudschen Fehlleistung, soweit er die irrtümliche Annahme der Parteien A und C erkennen läßt, daß sie mit der Umsetzung der Datenschutzgrundsätze nichts mehr zu tun haben, sondern daß dies ausschließlich in der Verantwortung des amerikanischen Unternehmens liegt, das die Karten tatsächlich herstellt. Aber in diesem Punkt überinterpretiere ich vielleicht auch den bloßen Schreibfehler etwas, zumal Citibank klargestellt hat, daß alle drei Parteien der Vereinbarung gemeinsam für die Umsetzung der datenschutzrechtlichen Anforderungen verantwortlich sind.

Um Ihnen den Weg zu erläutern, den die Daten eines deutschen BahnCard-Kunden nehmen und um mich dabei auf den Aspekt des grenzüberschreitenden Datenflusses zu konzentrieren, muß ich etwas vereinfachen. Die Daten der Kunden werden im Bahnhof oder in einem Reisebüro erhoben und dann zur deutschen Citibank-Tochter gesandt. Nach einer Überprüfung werden sie verschlüsselt und zur Citibank-Tochter in South Dakota via Satellit übermittelt. Dieses Unternehmen organisiert die Herstellung der Karten mit Hilfe eines anderen Citibank-Tochterunternehmens in Nevada. Es werden keine Transaktionsdaten, die durch den Einsatz von BahnCards mit Zahlungsfunktion entstehen, in den Vereinigten Staaten verarbeitet. Die BahnCard wird dann in einem verschlossenen Briefumschlag an ein weiteres Citibank-Tochterunternehmen in den Niederlanden verschickt, die sie dem Kunden in Deutschland zusendet. Der Umweg über die niederländische Tochterfirma hat seinen einfachen Grund darin, daß die Postgebühren in den Niederlanden niedriger sind als in Deutschland.

Was sind die wichtigsten Punkte der Vereinbarung zum gebietsübergreifenden Datenschutz?

  1. Die Vertragsparteien auf beiden Seiten des Atlantiks stimmen darin überein, daß auf die Verarbeitung von Daten der Kartenkunden deutsches Datenschutzrecht anzuwenden ist (§ 1).

  2. Die Kundendaten dürfen in den USA ausschließlich zweckgebunden zur Herstellung der Karten verarbeitet werden (§ 2).

  3. Citibank in den \/ereinigten Staaten und in Europa darf Kundendaten grundsätzlich nicht an Dritte für Zwecke der Direktwerbung weitergeben. Dies gilt mit zwei Ausnahmen:

    a) Daten von Inhabern der BahnCard mit Zahlungsfunktion dürfen anderen Citibank-Tochtergesellschaften übermittelt werden, die für Finanzdienstleistungen werben wollen;
    b) Daten von Inhabern der BahnCard pur dürfen ausschließlich dafür genutzt oder übermittelt werden, um die BahnCard zu vermarkten, also den Karteninhaber davon zu überzeugen, daß er seine BahnCard pur durch eine "bessere BahnCard" mit Kreditkartenfunktion ersetzt.

  4. Die technischen Anforderungen an die Datensicherheit entsprechend dem deutschen Recht werden im § 5 der Vereinbarung im Detail wiedergegeben.

  5. Die amerikanische Citibank-Tochter hat Datenschutzbeauftragte entsprechend den Erfordernissen des deutschen Rechts zu bestellen (§ 6).

  6. Die deutschen Kartenkunden haben alle Rechte gegen die amerikanische Citibank-Tochter, die ihnen nach deutschem Recht zustehen. Sie können Auskunft über die gespeicherten Daten ebenso wie deren Löschung, Berichtigung oder Sperrung verlangen und sie können Schadensersatz nach den Regelungen über die Gefährdungshaftung nach deutschem Recht entweder von der Deutschen Bahn, der deutschen Citibank-Tochter oder unmittelbar von der amerikanischen Citibank-Tochter verlangen (§ 8).

  7. Die Citibank-Tochterunternehmen in den Vereinigten Staaten erklären sich damit einverstanden, daß die zuständige deutsche Datenschutzaufsichtsbehörde, d.h. der Berliner Datenschutzbeauftragte oder ein von ihm beauftragter Vertreter, z.B. eine amerikanische Wirtschaftsprüfungsgesellschaft in seinem Namen Kontrollen vor Ort durchführen (§ 10 II).

    Diese sehr wichtige Vorschrift enthält eine Einschränkung für den Fall, daß amerikanische Behörden die Unternehmen der Citibank in ihrem Land anweisen, keine ausländischen Kontrolleure zuzulassen. Allerdings ist es nicht sehr wahrscheinlich, daß von dieser Einschränkung Gebrauch gemacht wird. Im Gegenteil haben die US-Behörden bereits durch eine diplomatische Note gegenüber der deutschen Seite erklärt, daß sie diese Kontrollen akzeptieren werden. Dies entspricht einer Vereinbarung zwischen den deutschen und amerikanischen Behörden der Bankenaufsicht über die Überprüfung der grenzüberschreitenden Datenfernverarbeitung im Bankbuchführungswesen (vgl. § 11). In der Tat hat diese frühere Vereinbarung die Annahme deutscher Datenschutzkontrollen durch die Citibank in den Vereinigten Staaten erheblich erleichtert. Hinsichtlich der Datensicherheitskonzepte werden das Bundesaufsichtsamt für das Kreditwesen und der Berliner Datenschutzbeauftragte eng zusammenarbeiten.

  8. Schließlich - und dies ist nicht enthalten in der Version der Vereinbarung, die Ihnen vorliegt - ist die Deutsche Bahn in diese Vereinbarung zum grenzüberschreitenden Datenschutz zwischen den Citibanktochterunternehmen in einer besonderen Vorschrift einbezogen worden.

Ich würde deshalb meine erste Frage (Entspricht die vertragliche Lösung in diesem besonderen Fall dem Erfordernis eines angemessenen Schutzstandards?) positiv beantworten.

Zum einen hat das Unternehmen in den Vereinigten Staaten das deutsche Niveau der Datenschutzgesetzgebung akzeptiert. Dies geht erheblich über alle bisher bekannten einseitigen Erklärungen und Selbstverpflichtungen zum Datenschutz hinaus, die von amerikanischen Gesellschaften wie Bank America oder Microsoft vorgelegt worden sind. In einem Punkt hat Citibank sogar einen Schutzstandard akzeptiert, der höher ist als das gegenwärtige deutsche Datenschutzrecht. Denn wenn die Deutsche Bahn AG ihre bisherige Praxis fortgesetzt hätte, die BahnCard selbst in Deutschland zu produzieren oder durch eine deutsche Gesellschaft produzieren zu lassen, hätten die Kunden lediglich ein Recht zum Widerspruch gegen die Nutzung oder den Verkauf ihrer Daten an Dritte für Marketingzwecke gehabt. Nach der Vereinbarung zum gebietsübergreifenden Datenschutz ist dies grundsätzlich mit eng begrenzten Ausnahmen ausgeschlossen.

Wir haben auf der strikten Zweckbindung der Kundendaten im Fall der BahnCard pur dergestalt bestanden, daß diese Daten lediglich zur Herstellung der Karte benutzt werden dürfen, weil viele Beschwerden von Bürgern, die wir erhielten, sich genau darauf bezogen, daß diese Daten leicht für andere Zwecke genutzt werden können, sobald sie einmal exportiert worden sind. Der Kunde eines Monopolunternehmens, das Aufgaben der Daseinsvorsorge erfüllt, muß sich nicht auf ein bloßes Widerspruchsrecht gegen die Weitergabe seiner Daten verweisen lassen. Außerdem räumt die Vereinbarung zum gebietsübergreifenden Datenschutz, die der betroffene Kunde nicht selbst mit abgeschlossen hat, ihm individuelle Ansprüche ein, die er vor deutschen Gerichten durchsetzen kann. Nach deutschem Recht ist dies ein Vertrag zugunsten Dritter.

Mir sind die rechtlichen Probleme bewußt, die der Common Law-Rechtskreis mit diesem Begriff hat. Prof. Napier hat sie 1990 beschrieben, als er sich mit den Problemen des grenzüberschreitenden Datenflusses auseinandergesetzt hat. Die Vereinbarung zum gebietsübergreifenden Datenschutz berücksichtigt seine Empfehlungen, indem sie die deutschen Tochterunternehmen der Citibank und die Deutsche Bahn AG selbst für verantwortlich erklärt für jede Verletzung der Vereinbarung und des deutschen Datenschutzrechts, die bei der Herstellung von BahnCards in den Vereinigten Staaten stattfinden könnte.

Natürlich kann jeder Partner der Vereinbarung zum gebietsübergreifenden Datenschutz seine Zustimmung zurückziehen und die Vereinbarung kündigen. Aber dies würde nicht nur zu Löschungs- und Ersatzansprüchen von Kartenkunden, sondern auch zu einem Datenexportverbot führen, das der Berliner Datenschutzbeauftragte als Folge gegenüber der Deutschen Bahn sehr wahrscheinlich aussprechen würde.

Eine der am weitesten reichenden, wichtigen und neuartigen Vorschriften in der Vereinbarung ist die Zulassung von Vor-Ort-Kontrollen durch deutsche Behörden bei den US Tochterunternehmen der Citibank. In der Praxis wird der Berliner Datenschutzbeauftragte eine Wirtschaftsprüfungsgesellschaft in den Vereinigten Staaten mit Prüferfahrung beauftragen, die Kontrollen vor Ort durchzuführen. Dies ist keineswegs weniger effektiv als eine Kontrolle durch den Datenschutzbeauftragten selbst.

Im übrigen hat der Berliner Datenschutzbeauftragte aber bereits selbst einem der Citibank Rechenzentren in Nevada, das an der Herstellung von BahnCards beteiligt ist, einen informatorischen Besuch abgestattet. Seine Feststellungen waren sehr positiv.

Kann die vertragliche Lösung in diesem Fall als Modell für den Datenexport aus der Europäischen Union in Drittländer angesehen werden?

Hinsichtlich meiner zweiten und allgemeineren Frage (Kann die vertragliche Lösung in diesem Fall als generelles Modell für den Export personenbezogener Daten aus der Europäischen Union in Drittländer angesehen werden?) müssen wir zunächst die Struktur der Vorschriften der Richtlinie 95/46/EG zum Datenexport in Drittländer analysieren.

Art. 25 und 26 der Richtlinie im Zusammenhang mit den Erwägungsgründen 56 bis 60 legen eindeutig als Grundsatz fest, daß das Drittland, in das die Daten exportiert werden, ein angemessenes Schutzniveau sicherzustellen hat. Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung eine Rolle spielen; insbesondere werden u.a. die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen berücksichtigt.

Als Ausnahme von dieser Regel legt Art. 26 fest, daß die Mitgliedstaaten den Datenexport in Drittländer ohne angemessenes Schutzniveau unter der Voraussetzung zulassen können, daß entweder die betroffene Person ohne jeden Zweifel ihre Einwilligung zu der beabsichtigten Datenübermittlung gegeben hat (Art. 26 Abs. 1 a) oder daß der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre bietet; diese Garantien können sich insbesondere aus entsprechenden standardisierten Vertragsklauseln ergeben (Art. 26 Abs. 2).

Ganz offensichtlich geht die Richtlinie von dem Prinzip aus, daß Drittländer, also der jeweilige Gesetzgeber nationale Normen und Sicherheitsregeln erlassen oder ihre Entwicklung etwa im Bereich der Standes- und Verhaltensregeln zur Sicherstellung eines angemessenen Schutzniveaus unterstützen sollen. Vertragliche Lösungen, die zwischen betroffenen Personen oder Unternehmen gefunden werden, sind unter dem Datenexportregime der Richtlinie nur im Ausnahmefall zulässig. Wollte man Standardvertragsklausein als Regellösung für alle grenzüberschreitenden Datenflüsse aus Europa in Drittländer befürworten, würde man damit das Regel-Ausnahme-Verhältnis nach europäischem Recht in sein Gegenteil verkehren.

Auch die Bestimmungen über die Aufgaben der Datenschutzgruppe und des Ausschusses nach Art. 31 würden ihren Sinn verlieren, wenn die Probleme des angemessenen Schutzniveaus alle durch Standardvertragsklauseln zu lösen wären. Die Frage, der sich die Gruppe dann stellen müßte, wäre: Wie ist der Datenschutzstandard in multinationalen Unternehmen wie Citibank, Bertelsmann oder Microsoft zu bewerten und nicht: Wie steht es mit dem Schutzniveau in speziellen Drittländern (vgl. Art. 30 Abs. 1 b)?

Es gibt drei weitere Gründe, um Standardvertragsklausein im Gegensatz zur nationaler Gesetzgebung skeptisch zu beurteilen:

Die vertragliche Lösung des deutschen BahnCard-Falls wurde unter außergewöhnlichen Umständen gefunden. Die behördliche Bankenaufsicht fungierte als eine Art Türöffner für die Datenschutzbehörden, und der öffentliche Protest der Verbraucher führte zu einer bemerkenswert aufgeschlossenen Reaktion der Citibank. Im übrigen erwies sich die Citibank bei den Diskussionen mit uns als sehr viel flexibler und datenschutzfreundlicher als ihre Vertragspartner von der staatseigenen Deutschen Bahn AG. Es ist ungewiß, ob zukünftige Vorhaben zum Datenexport aus der Europäischen Union in ein Drittland von Unternehmen betrieben werden, die in jedem Fall dem Datenschutzprinzipien dieselbe Bedeutung beimessen wie Citibank bei der BahnCard.

Darüber hinaus werden personenbezogene Daten nicht nur von großen multinationalen Unternehmen mit ihrem gut ausgestatteten Rechtsabteilungen exportiert, die komplizierte Gewebe vertraglicher Verpflichtungen entwerfen können. Kleine und mittlere Unternehmen werden auf dem globalen Marktplatz auch ihre Rolle spielen. Eines der Pilotprojekte, das die G7-Staaten in Halifax gestartet haben, beschäftigt sich speziell mit den Problemen dieser Unternehmen. Kleine und mittlere Unternehmen haben sehr oft nicht das juristische Know-How zur Verfügung, um den Erfordernissen des Art. 26 Abs. 2 in der Auslegung durch die Kommission und die Mitgliedstaaten entsprechen zu können. Nur die nationale Legislative kann für gleiche Wettbewerbsbedingungen sorgen, indem sie einen gesetzlichen Mindeststandard etabliert.

Drittens ist die Schaffung einer nationalen Aufsichtsstruktur für den privaten Sektor vor allem in großen datenimportierenden Drittländern wie den Vereinigten Staaten und Kanada entscheidend. Die vertragliche Lösung, die ich gerade beschrieben habe, kann eine solche Struktur nicht sicherstellen. Im Gegenteil würde die generelle Übernahme des Vertragsmodells als Regel dazu führen, daß viele verschiedene ausländische Aufsichtsbehörden Kontrollen im Drittland durchführen würden, wobei sie auch noch unterschiedliche (möglicherweise widersprechende) statt einheitlicher Kriterien anwenden würden, wenn - wie im BahnCard-Fall - jeweils ihr nationales Recht durch Vertrag in das Drittland erstreckt worden ist.

Schlußbemerkung

Ich komme zum Schluß und möchte als Resumé hervorheben, daß multinationale Unternehmen wie die Citibank eine wichtige Maßstabsfunktion auf dem globalen Marktplatz haben werden und können. Es wird noch eine erhebliche Zeit vergehen, bis ein angemessenes Schutzniveau durch allgemeine oder sektorielle Rechtsnormen in allen Drittländern sichergestellt ist, die personenbezogene Daten aus Europa importieren. In dieser Übergangszeit können sich Standardvertragsklauseln in Ausnahmefällen als nützlich erweisen. In jedem Fall sollten sie zumindest dieselben Sicherungen enthalten wie das deutsche BahnCard-Abkommen.

Allerdings können vertragliche Standards, die von privaten Unternehmen gesetzt werden, die nationale Gesetzgebung immer nur ergänzen, jedoch nie ersetzen. Deshalb ist die Entscheidung der kanadischen Bundesregierung zu begrüßen, daß die Datenschutzgesetzgebung wie in Québec auf den privaten Bereich erstreckt werden soll. Es ist zu wünschen, daß andere außereuropäische Länder diesem Beispiel bald folgen werden.

Zuletzt geändert:
am 13.02.97

mail to webmaster