Drucksache 14/5555
– 28 –
Das ungewöhnliche Vorhaben, ein Gesetzgebungsverfahren in zwei Stufen zu bewältigen, muss zu seinem Abschluss ein ausgereiftes Gesetz erwarten lassen, das unter
Einbeziehung der bisher geführten politischen und rechtlichen, wissenschaftlichen wie praxisorientierten Diskussion den Bedürfnissen aller Anwender – Datenverarbeitern wie Betroffenen – entspricht und das, so hoffe ich,
anders als seine Vorgänger, nicht schon am Tag seiner Verkündung als reformbedürftig angesehen wird.
2.2
Die Brüsseler Datenschutzgruppe
nach Artikel 29 der EG-Richtlinie
2.2.1
Arbeitsschwerpunkte und Ergebnisse
Nachdem ich im 17. TB (Nr. 2.2.1) über die konstituierende Sitzung der Artikel 29-Gruppe und die nachfolgenden Brüsseler Treffen informiert habe, sind für die
vergangenen zwei Jahre die Ergebnisse von zwölf weiteren Gruppensitzungen anzuzeigen. Auch dieses Mal behandelte die Gruppe einen weitgespannten Themenbogen,
der vom Stand der Umsetzung der EG-Datenschutzrichtlinie in den Mitgliedstaaten der EU (s. u. Nr. 2.6) über
Probleme des Internet, der Überwachung des Fernmeldeverkehrs, des E-Commerce, der Telekommunikation und
der Genomanalyse bis hin zur Aufnahme eines Grundrechts auf Datenschutz in die Europäische Grundrechtecharta (s. u. Nr. 2.4) reichte. Weitere Beratungsthemen
waren der Konzeption von europäischen Verhaltenskodizes in den Bereichen Marketing (FEDMA) und Luftverkehr (IATA) sowie der Ausarbeitung von datenschutzrelevanten Standardvertragsklauseln im internationalen
Handelsverkehr gewidmet.
Erneut hat die Gruppe der Öffentlichkeit ihre wesentlichen Beratungsergebnisse in Dokumenten (Working Papers – WP) zugänglich gemacht, die von der Arbeitsunterlage „Die Verarbeitung personenbezogener Daten im
Internet“ (WP 16) bis zum Dokument „Privatsphäre im
Internet“ (WP 37) reichen (Zusammenstellung der von
der Arbeitsgruppe angenommenen Texte s. Anlage 5).
2.2.2
Drittstaatentransfer – Das SafeHarbor-Arrangement
Der internationale Datenschutz im Hinblick auf den Datenverkehr mit Staaten außerhalb der EU bildete, ebenso
wie im vorangegangenen Berichtszeitraum, auch dieses
Mal den Schwerpunkt der Brüsseler Beratungen.
Rechtlicher Ausgangspunkt ist die in Kapitel IV der
Richtlinie geregelte Übermittlung personenbezogener
Daten in Drittländer. Nach Art. 25 ist der Datentransfer in
Drittstaaten strikten Grundsätzen verpflichtet, die die
Richtlinie – dem Adäquanzprinzip folgend – als Angemessenheit des Schutzniveaus definiert (Art. 25 Abs. 1
und 2). Art. 25 sieht in seinem Absatz 6 ferner vor, dass
die Europäische Kommission die Angemessenheit des
Datenschutzes in einem Drittland „feststellen“ kann,
wenn dieses die in der Vorschrift näher genannten Anforderungen erfüllt.
Deutscher Bundestag – 14. Wahlperiode
Zunächst billigte die Gruppe in ihren Stellungnahmen
vom 7. Juni und vom 7. September 1999 der Schweiz und
Ungarn einen adäquaten Datenschutz zu. Die Europäische Kommission stellte per Entscheidung vom 26. Juli
2000 fest, dass beide Länder ein angemessenes Datenschutzniveau im Sinne von Art. 25 Abs. 2 der Richtlinie
gewährleisten (s. u. Nr. 32.2.1 und Nr. 32.2.2).
Komplexer gestaltet sich dagegen das transatlantische
Verhältnis der EU zu den USA. Über die kontroversen
Ausgangspunkte der in den vergangenen Jahren geführten
Debatte und die mit dem Ziel eines konstruktiven Dialogs
von der Gruppe erarbeiteten und in vier Arbeitspapieren
niedergelegten gemeinsamen Positionen habe ich bereits
im 17. TB (Nr. 2.2.2) berichtet. Aber auch die in den USA
einsetzende rechtspolitische Diskussion, die nach wie vor
vom Vorrang der Selbstregulierung vor umfassender Gesetzgebung geprägt ist, war schließlich auf die Erarbeitung von Lösungsansätzen zur Überbrückung der Systemunterschiedlichkeiten gerichtet. Sie führte zur von der
US-Seite initiierten Safe-Harbor-Diskussion, die seitdem
auf der Tagesordnung aller Sitzungen der Brüsseler Artikel 29-Gruppe wie des Artikel 31-Ausschusses der Regierungsvertreter stand (zu diesem s. 17. TB Nr. 2.2.3).
Das Arrangement des „Sicheren Hafens“ sieht vor, dass
das US-Handelsministerium ein Verzeichnis derjenigen
Unternehmen führt, die sich, um die Vorteile des Systems
zu erhalten, öffentlich auf die Grundsätze des Safe Harbor
verpflichtet haben. Zu dieser Firmenliste gelangt man
über meine Homepage mittels folgender URL:
http://www.bfd.bund.de/europa/page3.html. Wer sich auf
amerikanischer Seite dem System des Safe Harbor anschließt, ist vor der Sperrung des Datenverkehrs sicher,
während im Gegenzug die europäischen Unternehmen
wissen, an welche US-Firmen Daten übermittelt werden
können, ohne dass zusätzliche Garantien verlangt werden
müssen. Schließlich können die Unionsbürger sicher sein,
dass ihre Daten vorschriftsmäßig geschützt werden.
Begleitet von fünfzehn „Häufig gestellten Fragen“ (Frequently Asked Questions, FAQs) stützt sich das Safe-Harbor-Konzept auf sieben Prinzipien (den vollständigen
Text s. Anlage 6):
n
n
n
n
n
Informationspflichten über die Art der Daten und der
Erhebung, den Zweck, die Art der Empfänger und die
Wahlmöglichkeiten hinsichtlich der Begrenzung der
Nutzung und Übermittlung
Wahlrecht hinsichtlich der Nutzung der Daten
Wahlrecht hinsichtlich der Weiterübermittlung der
Daten an Dritte
Angemessene Maßnahmen zur Sicherheit der Datenverarbeitung
Erforderlichkeit, Richtigkeit, Vollständigkeit und Aktualität der Daten im Rahmen ihrer den Prinzipien
entsprechenden Zweckbestimmung
n
Recht auf Auskunft
n
Effektive Durchsetzung der Prinzipien.