Drucksache 14/5555
– 208 –
Deutscher Bundestag – 14. Wahlperiode
Anlage 6 (zu Nr. 2.2.2)
Grundsätze des „Sicheren Hafens“ zum Datenschutz
vorgelegt vom amerikanischen Handelsministerium am 21. Juli 2000
(abgedruckt im Amtsblatt der Europäischen Gemeinschaften Nr. L 215 vom 25. August 2000, 11f.)
Informationspflicht
Die Organisation muss Privatpersonen darüber informieren, zu welchem Zweck sie die Daten über sie erhebt und
verwendet, wie sie die Organisation bei eventuellen
Nachfragen oder Beschwerden kontaktieren können, an
welche Kategorien von Dritten die Daten weitergegeben
werden und welche Mittel und Wege sie den Privatpersonen zur Verfügung stellt, um die Verwendung und Weitergabe der Daten einzuschränken. Diese Angaben sind den
Betroffenen unmissverständlich und deutlich erkennbar
zu machen, wenn sie erstmalig gebeten werden, der Organisation personenbezogene Daten zu liefern, oder so
bald wie möglich danach, auf jeden Fall aber bevor die
Organisation die Daten zu anderen Zwecken verwendet
als denen, für die sie von der übermittelnden Organisation
ursprünglich erhoben oder verarbeitet wurden, oder bevor
sie die Daten erstmalig an einen Dritten weitergibt*).
Wahlmöglichkeit
Die Organisation muss Privatpersonen die Möglichkeit
geben zu wählen („opt out“), ob ihre personenbezogenen
Daten
a) an Dritte weitergegeben werden sollen oder
b) für einen Zweck verwendet werden sollen, der mit
dem ursprünglichen oder dem nachträglich von der
betreffenden Person genehmigten Erhebungszweck
unvereinbar ist.
Der betroffenen Person muss die Ausübung ihres Wahlrechts durch leicht erkennbare und verständliche, leicht
zugängliche und kostengünstige Verfahren ermöglicht
werden.
Bei sensiblen Daten (wie z. B. Angaben über den Gesundheitszustand, über Rassen- oder ethnische Zugehörigkeit, über politische, religiöse oder philosophische Überzeugungen, über die Mitgliedschaft in einer Gewerkschaft
oder über das Sexualleben) benötigen die Organisationen
die ausdrückliche Zustimmung („opt in“) der betroffenen
Personen, wenn die Daten an Dritte weitergegeben oder
für einen anderen als den ursprünglichen Erhebungszweck oder den Zweck verwendet werden sollen, dem die
betroffene Person nachträglich durch Ausübung des
Wahlrechts zugestimmt hat. In jedem Fall sollen die
*) Die Übermittlung solcher Daten an einen Dritten ist nicht mitteilungspflichtig bzw. unterliegt nicht dem Grundsatz der Wahlmöglichkeit, wenn dieser im Auftrag oder auf Anweisung der Organisation tätig ist. Der Grundsatz der Weitergabe gilt jedoch auch in
solchen Fällen.
Organisationen alle ihnen von Dritten übermittelten Informationen als sensibel behandeln, die der Übermittler
als sensibel einstuft und behandelt.
Weitergabe
Eine Organisation darf Daten nur dann an Dritte weitergeben, wenn sie die Grundsätze der Informationspflicht
und der Wahlmöglichkeit anwendet. Möchte eine Organisation Daten an einen Dritten weitergeben, der in ihrem
Auftrag und auf ihre Anweisung tätig ist (vergleiche Fußnote), kann sie dies tun, sofern der Dritte entweder dem
„sicheren Hafen“ angehört oder der Richtlinie unterliegt,
oder von einer anderen Feststellung angemessenen
Schutzniveaus erfasst wird oder sich schriftlich in einer
Vereinbarung mit der Organisation dazu verpflichtet, zumindest das Maß an Schutz personenbezogener Daten zu
gewährleisten, das in den entsprechenden Grundsätzen
des „sicheren Hafens“ gefordert wird. Eine Organisation,
die diese Forderungen erfüllt, kann nicht haftbar gemacht
werden (sofern sie nichts anderes vereinbart hat), wenn
ein Dritter, an den sie Daten übermittelt hat, Beschränkungen der Verarbeitung dieser Daten missachtet oder sie
in einer Weise verarbeitet, die seinen Erklärungen widerspricht, es sei denn, die Organisation wusste oder konnte
wissen, dass der Dritte die Daten in unzulässiger Weise
verarbeiten würde, und hat keine angemessenen Schritte
unternommen, um das zu unterbinden.
Sicherheit
Organisationen, die personenbezogene Daten erstellen,
verwalten, verwenden oder verbreiten, müssen angemessene Sicherheitsvorkehrungen treffen, um sie vor Verlust,
Missbrauch und unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu schützen.
Datenintegrität
In Übereinstimmung mit den Grundsätzen müssen personenbezogene Daten für den beabsichtigten Verwendungszweck erheblich sein. Eine Organisation darf personenbezogene Daten nicht in einer Weise verarbeiten, die mit
dem ursprünglichen Erhebungszweck oder mit dem
Zweck unvereinbar ist, dem der Betroffene nachträglich
zugestimmt hat. In dem für diese Zwecke notwendigen
Umfang muss die Organisation durch angemessene Maßnahmen gewährleisten, dass die Daten für den vorgesehenen Zweck hinreichend zuverlässig, genau, vollständig
und aktuell sind.
Auskunftsrecht
Privatpersonen müssen Zugang zu den personenbezogenen Daten haben, die eine Organisation über sie besitzt,