Drucksache 16/12600
– 126 –
Australien vereinbart (s. u. Nr. 13.5.1). Eine Überprüfung
der Umsetzung des PNR-Abkommens mit Kanada erfolgte im November 2008. Kritisch äußerte sich die
Gruppe in dem Arbeitspapier WP 145 zu dem im
November 2007 vorgelegten Vorschlag der Europäischen
Kommission zu einem europäischen PNR-System (s. u.
Nr. 13.5.3).
Fortgesetzt wurden die Arbeiten im Bereich verbindlicher
Unternehmensregelungen zur Übermittlung personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau (BCR-Binding Corporate Rules) (s. u.
Nr. 13.2.3).
Im Februar 2008 ging meine zweite Amtszeit als Vorsitzender der Artikel-29-Gruppe zu Ende. Eine Wiederwahl
nach einer zweiten Amtszeit ist nicht möglich. Zu meinem Nachfolger wurde mein bisheriger Stellvertreter, der
Präsident der französischen Datenschutzbehörde,
Alexander Türk, gewählt. Neuer Stellvertreter ist der Vorsitzende der niederländischen Datenschutzbehörde, Jacob
Kohnstamm.
K a s t e n zu Nr. 13.2
Die Datenschutzgruppe nach Artikel 29 der EG-Datenschutzrichtlinie
Nach Artikel 29 der EG-Datenschutzrichtlinie 95/46/EG
berät die Gruppe, die sich aus den nationalen Datenschutzbeauftragten zusammensetzt, die Europäische Kommission und prüft unter anderem die Umsetzung der
Richtlinie in nationales Recht im Sinne einer einheitlichen Rechtsanwendung. Sie nimmt Stellung zum
Schutzniveau sowohl in der Gemeinschaft als auch in
Drittländern, erstellt Arbeitspapiere, um auf besondere
datenschutzrechtliche Probleme aufmerksam zu machen
und entwickelt Empfehlungen zum Schutze der Privatsphäre der Bürgerinnen und Bürger der Gemeinschaft.
13.2.1 Gemeinsame Aktivitäten: Europaweite
Datenschutzprüfung im
Krankenversicherungssektor
Nach Abschluss der Überprüfung im Krankenversicherungssektor wenden sich die europäischen Datenschutzbehörden dem Telekommunikationssektor zu.
Die 2008 abgeschlossene Überprüfung des Krankenversicherungssektors durch die Datenschutzbehörden der EUMitgliedstaaten ergab keine Hinweise auf grundlegende
Datenschutzmängel. Die Artikel-29-Gruppe sprach allerdings einige grundsätzliche Empfehlungen zur weiteren
Stärkung des Datenschutzes aus. So sollten die Unternehmen ihre Kunden besser über die Verarbeitung der Daten
informieren. Daten sind zu anonymisieren, soweit sie für
wissenschaftliche oder statistische Zwecke verwendet
werden.
Wegen der zunehmenden Bedeutung international agierender Unternehmen sind weitere gemeinsame Überprüfungen der europäischen Datenschutzbehörden geplant.
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
Als nächstes werden sie sich den Internet-Providern und
Telekommunikationsunternehmen zuwenden. Auf der
Basis eines an die Unternehmen übersandten Fragekatalogs sollen ab Frühjahr 2009 Gespräche mit den Firmen
sowie gezielte Überprüfungen stattfinden.
13.2.2 Safe Harbor
Die auf dem Safe-Harbor-Seminar im Oktober 2008 vorgestellte EU-Studie beleuchtet Vor- und Nachteile dieses
Abkommens.
Auf dem Safe-Harbor-Seminar im Oktober 2008 wurde
die zweite im Auftrag der Europäischen Kommission erstellte Studie zur Umsetzung des Safe-Harbor-Abkommens vorgestellt. Die Tatsache, dass inzwischen mehr als
1 600 US-Unternehmen bei der Federal Trade Commission (FTC) für das Safe-Harbor-Programm angemeldet
sind, zeugt von der wachsenden Bedeutung dieses
Rechtsinstruments für die Übermittlung personenbezogener Daten in die USA. Es stimmt aber bedenklich, dass
das Datenschutzniveau der beteiligten Firmen nicht höher
ist als zur Zeit der ersten Studie von 2004. So entspreche
die von den Firmen überwiegend selbst vorgenommene
Zertifizierung in vielen Fällen nicht den Erfordernissen
des Abkommens. Zudem lasse häufig das allgemeine Datenschutzniveau in den Firmen zu wünschen übrig, insbesondere was die Unterrichtung der Kunden angeht. Die
Selbstregulierung müsse daher dringend durch verstärkte
externe Prüfung und Kontrolle seitens der FTC ergänzt
werden. Weiterhin müssen Verbraucher und Unternehmen
besser über die Beschwerdemechanismen informiert werden.
Angesichts der Globalisierung der Datenströme soll der
transatlantische Datenschutzdialog auf andere, den
Schutz der Privatsphäre betreffende Themen, ausgedehnt
werden, zum Beispiel den Konsumentenschutz und die
Einhaltung datenschutzrechtlicher Standards bei sozialen
Netzwerken.
13.2.3 Binding Corporate Rules
Die Artikel-29-Gruppe verstärkte ihre Anstrengungen im
Bereich der verbindlichen unternehmensinternen Datenschutzregelungen (Binding Corporate Rules, BCR), die
ein wichtiges Instrument für die Datenübermittlung in
Drittstaaten darstellen.
Verbindliche Unternehmensregelungen stellen ein
wichtiges Instrument zur ausnahmsweisen Genehmigung
der Übermittlung personenbezogener Daten in Drittstaaten ohne angemessenes Datenschutzniveau dar (Artikel 26 der europäischen Datenschutzrichtlinie 95/46/EG).
Nachdem sich das zwischen den europäischen Datenschutzbehörden zur Genehmigung von BCR vereinbarte
Verfahren in der Praxis als kompliziert und zeitaufwendig
erwiesen hatte, verstärkte die Artikel-29-Gruppe ihre Anstrengungen zur Vereinheitlichung und Vereinfachung des
Verfahrens. Als Hilfestellung für Unternehmen bei der
Antragsstellung auf Genehmigung von BCR wurde eine
Übersicht über die Anforderung an den BCR erarbeitet
(WP 153 vom 24. Juni 2008). Zur Erleichterung des Ver-