Deutscher Bundestag – 14. Wahlperiode
– 29 –
Die Gruppe, die sich zuvor allein im Berichtszeitraum in
fünf weiteren Dokumenten mit dem Safe-Harbor-Arrangement befasst hatte (s. Anlage 5, WP 19, 21, 23, 27 und
31), verabschiedete anlässlich ihrer Sitzung am 16. Mai
2000 in Brüssel unter meiner Mitwirkung einstimmig die
Stellungnahme 4/2000 (s. Anlage 5, WP 32). Diese verdeutlicht einerseits die in den zweijährigen Gesprächen
mit dem US-Handelsministerium erzielten großen und
bedeutsamen Fortschritte für einen verbesserten Schutz
personenbezogener Daten, zeigt aber andererseits, dass
bei einer begrenzten Zahl grundlegender Fragen noch einige letzte Schritte gesetzt werden müssten. Nach Ansicht
der Gruppe enthält das Safe-Harbor-System noch eine
Reihe von Schwachstellen, die sich insbesondere in den
Punkten Auskunftsrecht, Zweckbindung und Rechtsmittel zeigen.
Auch das Europäische Parlament (EP) stellte in seiner
Entschließung vom 5. Juli 2000 eine Reihe von Forderungen an Kommission und Mitgliedstaaten, indem es
– wenn auch nicht unter wörtlicher Bezugnahme – die von
der Gruppe angemahnten verbliebenen Schwachstellen
benannte. Allerdings hielt das EP der Kommission nicht
vor, für den Fall einer Entscheidung zugunsten des SafeHarbor-Arrangements ihre Kompetenzen zu überschreiten. Ohne auf die o.g. Kritikpunkte noch einmal einzugehen, entschied die Kommission denn auch am 26. Juli
2000 (Amtsblatt der Europäischen Gemeinschaften Nr.
L 215 vom 25. August 2000, S. 7 ff.).
Zur Genugtuung der Artikel 29-Gruppe enthält die Entscheidung der Kommission eine Überprüfungsklausel in
Art. 4 Abs. 1, die es ermöglicht, dass Feststellungen der
Angemessenheit im Zusammenhang mit dem Sicheren
Hafen überprüft werden können, nachdem das EP Mitgliedstaaten und Kommission aufgefordert hatte, „die
Entscheidung im Lichte der Erfahrungen und möglicher
künftiger rechtlicher Entwicklungen unverzüglich zu
überprüfen“. In diesem Zusammenhang könnten auch die
o. g. Schwachstellen – von Seiten des EP wie seitens der
Art. 29-Gruppe – wieder aufgegriffen werden.
Auch künftig werden Datenübermittlungen an Stellen in
den USA möglich sein, die sich nicht auf Safe Harbor verpflichten. Allerdings muss für diese dann eine der in
Art. 26 der Richtlinie vorgesehenen zulässigen Ausnahmen gelten, die beispielsweise in der Einwilligung des
Betroffenen liegen könnte, oder es müssten alternative
Absicherungen, wie etwa durch einen Vertrag, gegeben
sein. Diesem Zweck dienen auch die oben (Nr. 2.2.1) erwähnten Standardklauseln für Musterverträge, die die Europäische Kommission derzeit im Zusammenwirken mit
der Artikel 29-Gruppe, den Mitgliedstaaten und Vertretern der privaten Wirtschaft erarbeitet.
2.3
Neue Datenschutzregelungen für
die Organe der EU sorgen auch
für Einrichtung eines Europäischen
Datenschutzbeauftragten
Zwar hat die Gemeinschaft mit der Datenschutzrichtlinie
95/46/EG vom 24. Oktober 1995 einen beachtlichen Bei-
Drucksache 14/5555
trag zur praktischen Umsetzung des Datenschutzes in Europa geleistet (s. Nrn. 2.1 und 2.6). Da die Richtlinie aber
gemäß Art. 34 ausschließlich an die Mitgliedstaaten der
EU gerichtet ist, konnte sich ihr Geltungsbereich bislang
nicht auf die Organe und Einrichtungen von europäischer
Gemeinschaft und Union erstrecken. Diese Lücke im europäischen Datenschutzgefüge habe ich immer wieder
kritisiert (vgl. 12. TB S. 49, 13. TB S. 57f., 15. TB
Nr. 33.6, 16. TB Nr. 2.2 und 17. TB Nr. 2.3). Daneben haben Entschließungen der Konferenz der Europäischen
Datenschutzbeauftragten und der Datenschutzbeauftragten des Bundes und der Länder sowie zuletzt das Europäische Parlament das Problem aufgegriffen (s. 17. TB
Nr. 2.3).
Einen ersten Schritt zur Behebung dieses Defizits bewirkte die Einfügung von Art. 286 in den am 2. Oktober
1997 als „Vertrag von Amsterdam“ verabschiedeten Unionsvertrag, wonach die Rechtsakte der Gemeinschaft auf
Datenverarbeitungen der Organe und Einrichtungen der
Gemeinschaft angewendet werden und der Rat aufgefordert wird, auf Vorschlag der Kommission eine Europäische Datenschutzaufsichtsbehörde zur Kontrolle der Gemeinschaftsstellen zu schaffen.
Der hierauf von der Kommission am 15. Juli 1999 vorgelegte Verordnungsvorschlag wurde am 30. November 2000
vom Binnenmarktrat verabschiedet. Nicht zuletzt aufgrund
des großen Einsatzes der Bundesregierung für eine zügige
Verabschiedung des seit Januar 1999 überfälligen Rechtsaktes konnte hinsichtlich der verbliebenen Änderungsvorschläge zwischen Europäischem Parlament und Rat
Übereinstimmung erzielt werden. So beschloss das Europäische Parlament – in Abweichung von der üblichen Reihenfolge – seine Stellungnahme bereits vor dem Zusammentreten des Binnenmarktrates, der am 30. November 2000
die Verordnung in der endgültigen, bereits zuvor vom Parlament gebilligten Fassung verabschieden konnte.
Auf materiellrechtlicher Ebene enthält die Verordnung die
„Umsetzung“ von Gemeinschaftsrechtsakten (hier der EGDatenschutzrichtlinie und der EG-TK-Datenschutzrichtlinie 97/66/EG) mit der Folge, dass deren Bestimmungen –
etwa betreffend die Zulässigkeitsvoraussetzungen der Datenverarbeitung, die Betroffenenrechte, die zwingende Einrichtung eines behördlichen Datenschutzbeauftragten oder
den Datenschutz im Rahmen interner Telekommunikationsnetze – sich nunmehr in dem an die europäischen Organe und Einrichtungen gerichteten Regelwerk wiederfinden. In einigen Fällen werden Bestimmungen eingeführt,
die datenschutzfreundlicher sind als diejenigen der Richtlinie. So ist beispielsweise nach Art. 13 der Zugang zu den
von den Gemeinschaftsorganen verarbeiteten Daten immer
unentgeltlich, während nach Art. 12 der Richtlinie lediglich
die Zahlung „übermäßiger Kosten“ untersagt ist. Die Sicherheit der Verarbeitung ist – entgegen dem entsprechend
knapp gehaltenen Art. 17 Abs. 1 der Richtlinie – in Art. 22
der Verordnung erfreulich detailliert geregelt.
Die Verordnung sieht in Art. 41ff. die Einsetzung eines Europäischen Datenschutzbeauftragten vor, dessen Befugnisse denen der Kontrollstelle nach Art. 28 der EG-Richtlinie nachgebildet sind und der nach Artikel 29 Abs. 2 der