– 35 –
Im Mittelpunkt der Veranstaltungen stand der Erfahrungsaustausch von Datenschutzbeauftragten, Unternehmen,
der US-Federal Trade Commission (FTC) und Vertretern
der US-Regierung über Möglichkeiten, wie der Datenschutz bei der transatlantischen Übermittlung personenbezogener Daten weiter verbessert werden kann. Besondere Aufmerksamkeit genoss die Frage, wie die
Betroffenen – insbesondere Verbraucher und Arbeitnehmer – besser über ihre sich aus dem Abkommen ergebenden Rechte und Pflichten unterrichtet werden können, da
die entsprechenden Möglichkeiten bislang kaum in Anspruch genommen werden.
Thematisiert wurde darüber hinaus der verstärkte Zugriff
öffentlicher Stellen – insbesondere von Sicherheitsbehörden – auf Daten, die von Firmen für eigene Geschäftszwecke gespeichert werden. Die FTC und die europäischen
Datenschützer planen, den Gedankenaustausch fortzusetzen und ihre Zusammenarbeit weiter zu intensivieren.
K a s t e n zu Nr. 3.3.5
Erläuterungen zu Safe Harbor:
Für die Übermittlung personenbezogener Daten aus der
Europäischen Union in die Vereinigten Staaten von
Amerika existiert seit November 2000 eine europäischamerikanische Vereinbarung, um nach den Anforderungen der europäischen Datenschutzrichtlinie 95/46/EG
im Empfängerland (USA) ein angemessenes Datenschutzniveau zu gewährleisten. Rechtlicher Ausgangspunkt ist die in Kapitel IV der Datenschutzrichtlinie geregelte Übermittlung personenbezogener Daten in
Drittländer. Nach Artikel 25 ist der Datentransfer in
Drittstaaten strikten Grundsätzen verpflichtet, die die
Richtlinie – dem Adäquanzprinzip folgend – als Angemessenheit des Datenschutzniveaus definiert (Artikel 25
Abs. 1 und 2). Nach Artikel 25 Abs. 6 kann die Europäische Kommission die Angemessenheit des Datenschutzes in einem Drittland „feststellen“, wenn dieses die in
der Vorschrift näher genannten Anforderungen erfüllt.
Das Arrangement des „Sicheren Hafens“ sieht vor, dass
das US-Handelsministerium ein Verzeichnis derjenigen
Unternehmen führt, die sich, um die Vorteile des Systems zur erhalten, öffentlich auf die Grundsätze des Safe
Harbor verpflichtet haben. Wer sich auf amerikanischer
Seite dem System des Safe Harbor anschließt, ist vor der
Sperrung des Datenverkehrs aus Datenschutzgründen sicher, während im Gegenzug die europäischen Unternehmen wissen, an welche US-Firmen Daten übermittelt
werden können, ohne dass zusätzliche Datenschutzgarantien verlangt werden müssen. Schließlich können die
Unionsbürger sicher sein, dass ihre Daten vorschriftsmäßig geschützt werden.
Weitere Informationen zu Safe Harbor finden sich auf
der Seite http://www.export.gov/safeharbor/.
3.3.6
Binding Corporate Rules
Unternehmensinterne Regelungen zum Datenschutz (Binding Corporate Rules, BCR) stellen ein wichtiges Instrument als Grundlage für die Datenübermittlung in Drittstaaten dar.
Der internationale Datenverkehr weitet sich immer mehr
aus. Deshalb werden schon seit längerem verbindliche
unternehmensinterne Regelungen als Schutzgarantie
beim Drittland-Transfer diskutiert. Auf der Grundlage
derartiger BCR können ausnahmsweise Übermittlungen
personenbezogener Daten an Drittstaaten ohne angemessenes Datenschutzniveau genehmigt werden (Artikel 26
der Europäischen Datenschutzrichtlinie 95/46/EG). Aus
diesem Grund hat sich die Artikel 29-Gruppe unter meinem Vorsitz im Berichtszeitraum mehrfach mit diesem
Thema beschäftigt.
Im Jahre 2005 wurden zwei Arbeitspapiere erstellt, die
europaweit von den Datenschutzbehörden als Hilfsmittel
genutzt werden können. Zum einen wurde eine Muster-Checkliste für Anträge auf Genehmigung von Datenübermittlungen in Drittstaaten erstellt (WP 108 vom
14. April 2005). Den Unternehmen wird darin erläutert,
welche Unterlagen in der Regel hierfür bei der zuständigen Datenschutz-Aufsichtsbehörde vorzulegen sind. In
einem weiteren Arbeitspapier wurde ein Verfahren zur
Kooperation innerhalb Europas zur Anerkennung von
BCR festgelegt (WP 107 vom 14. April 2005).
Da die Verfahrensweise sich in der Praxis als kompliziert
und zeitaufwendig erwiesen hat, hat die Artikel 29Gruppe Empfehlungen für ein Standardantragsverfahren
erarbeitet, um ein vereinfachtes Verfahren wie bei den
Standardvertragsklauseln zu erreichen (WP 133 vom
10. Januar 2007).
3.4
Europäische und internationale
Zusammenarbeit in Strafsachen
Zahlreiche Maßnahmen sollen die europäische und internationale Zusammenarbeit in Strafsachen verbessern.
Die Rechte des Einzelnen dürfen dabei jedoch nicht in
den Hintergrund treten.
Ein wichtiges Thema war auch in diesem Berichtszeitraum der Informationsaustausch zwischen den Strafregistern (vgl. 20. TB Nr. 7.9.2). Das von Deutschland, Frankreich, Spanien und Belgien verfolgte Pilotprojekt zur
Verbesserung des Informationsaustauschs über strafrechtliche Verurteilungen auf elektronischer Basis hat Anfang
April 2006 den Echtbetrieb aufgenommen. Ich habe dieses sog. „Strafregistervernetzungsprojekt“ begleitet und
keine datenschutzrechtlichen Einwände gegen seine Ausgestaltung erhoben. Es werden die gleichen Informationen zwischen den nationalen Strafregistern ausgetauscht,
die bislang auf dem Papierwege übermittelt wurden, also
Strafnachrichten über Verurteilungen von Staatsangehörigen an deren Heimatstaaten sowie – auf Ersuchen eines
anderen Staates – Auskünfte aus dem Strafregister. Neu
BfDI 21. Tätigkeitsbericht 2005-2006
R
wurden, bestätigen, dass Safe Harbor von einer immer
größeren Zahl US-amerikanischer Unternehmen akzeptiert wird. Ende 2005 waren bereits mehr als 850 amerikanische Unternehmen beigetreten; im darauf folgenden
Jahr 2006 waren es schon mehr als 1 000 Unternehmen.