Drucksache 17/13000
2.4.5
38 ––
–– 38
OECD und Europarat
Sowohl der Europarat als auch die OECD arbeiten an
der Novellierung ihrer jeweiligen Datenschutzinstrumente. Die strengeren Datenschutzregelungen in der
Europäischen Union sind zwar davon nicht direkt betroffen, inspirieren aber auch die Diskussion in diesen Gremien.
Nicht nur aufgrund der großen geographischen Reichweite – 47 Staaten sind Mitglied des Europarats; die
OECD hat 34 Mitgliedstaaten – tragen deren Datenschutz-Instrumente zur Verbreitung und Stärkung des Datenschutzes bei. So war das 1981 in Kraft getretene Europarats-Übereinkommen zum Schutz des Menschen bei
der automatischen Verarbeitung personenbezogener Daten („Übereinkommen 108“) das erste verbindliche internationale Instrument im Bereich des Datenschutzes. Es
hat eine Vielzahl nationaler und internationaler Entwicklungen im Datenschutz initiiert und vorangebracht. Ich
begrüße es, dass der Europarat beabsichtigt, das Übereinkommen 108 zu modernisieren. Grundlegende Ziele sind
zum einen die Anpassung an neue Herausforderungen an
den Datenschutz, die mit der technologischen Entwicklung sowie dem Internet einhergehen, wie z. B. dem
Cloud Computing oder der Nutzung sozialer Netzwerke.
Zum anderen soll Kohärenz mit den Datenschutzbestimmungen in der EU, die momentan einer umfassenden Reform unterzogen werden (vgl. Nr. 2.1), sichergestellt werden.
Positiv bewerte ich, dass nach den Vorschlägen für eine
überarbeitete Fassung des Übereinkommens der Anwendungsbereich der Konvention weiterhin umfassend bleiben und die Koordination der Datenschutzaufsichtsbehörden verbessert werden sollen. Die Anregungen, die ich im
Rahmen der Verhandlungen auf Fachebene eingebracht
habe, wurden im Wesentlichen aufgegriffen. Insbesondere differenzieren die Vorschriften zum grenzüberschreitenden Datentransfer nun nach Übermittlungen zwischen
Vertragsstaaten und solchen mit Nicht-Vertragsstaaten.
Die Vorschriften lassen dabei Raum für strengere EU-Regelungen. Dies begrüße ich ausdrücklich, denn gerade bei
der grenzüberschreitenden Datenübermittlung ist die
Kompatibilität mit dem Entwurf der Datenschutz-Grundverordnung der EU von besonderer Bedeutung.
Die Revision der aus dem Jahr 1980 stammenden OECD
Privacy Guidelines wurde durch eine Expertengruppe
vorbereitet, bestehend aus Regierungsvertretern, Mitarbeitern von Datenschutzaufsichtsbehörden – darunter
auch Mitarbeiter meiner Dienststelle –, Wissenschaftlern,
Wirtschaftsvertretern und Vertretern der Zivil- und der Internetgesellschaft. Nach ihrem Vorschlag sollen die
grundlegenden Begriffsbestimmungen der Guidelines,
etwa die Definition personenbezogener Daten, und die
Grundprinzipien der Datenverarbeitung, wie etwa die
Zweckbindung und die Datensicherheit, unangetastet
bleiben. Ausgeweitet und konkretisiert werden soll hingegen das Konzept der Verantwortlichkeit („Accountability“) der Daten verarbeitenden Stellen. Diese sollen dazu
verpflichtet werden, den in den Guidelines niedergelegten
Datenschutzgrundsätzen mit Hilfe eines Datenschutzpro-
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
gramms Geltung zu verschaffen. Wichtiger Bestandteil
eines solchen Datenschutzprogramms soll eine Meldepflicht für schwerwiegende Datenschutzverstöße sein,
wie sie auch der Vorschlag für eine EU-DatenschutzGrundverordnung vorsieht. Weiterhin werden die OECDMitgliedstaaten zu erweiterten Maßnahmen im Bereich
des Datenschutzes auf nationaler Ebene aufgefordert.
Hierzu gehören u. a. nationale Datenschutzstrategien und
die Einrichtung von unabhängigen Datenschutzaufsichtsbehörden. Schließlich fordern die Guidelines eine
stärkere internationale Zusammenarbeit im Bereich Datenschutz, inklusive Maßnahmen zur Förderung von Interoperabilität zwischen verschiedenen Datenschutzsystemen, etwa mit der APEC (vgl. Nr. 2.4.1.2). Die OECD
Guidelines stellen nur Mindeststandards dar (vgl. Artikel 5 der Guidelines). Der OECD-Rat soll voraussichtlich
im Frühjahr 2013 mit den Revisionsvorschlägen befasst
werden.
2.5
Internationaler Datenschutz –
Einzelfragen
2.5.1
SWIFT-Daten in die USA – ein Blindflug?
Die Auseinandersetzung um die Übermittlungen von
„SWIFT“-Zahlungsverkehrsdaten in die USA geht weiter.
Die Berichte der Gemeinsamen Kontrollinstanz Europol
nähren Zweifel, ob die in dem Abkommen eingebauten
Beschränkungen wirken. Für skandalös halte ich es, dass
die als geheim einzustufenden Kontrollberichte nicht den
Parlamenten vorgelegt werden.
Die Nutzung von Zahlungsverkehrsdaten des Dienstleisters SWIFT (Society for Worldwide Interbank Financial
Telecommunication) durch US-Sicherheitsbehörden ist
durch US-Medien im Jahr 2006 aufgedeckt worden. Seither ist sie ein Dauerbrenner der transatlantischen Auseinandersetzung über die Voraussetzungen, unter denen
sensible Daten unverdächtiger Bürger zum Zwecke der
Terrorismusbekämpfung verarbeitet werden dürfen (vgl.
zuletzt 23. TB Nr. 13.6).
In den vergangenen zwei Jahren hat sich die Diskussion
über das am 1. August 2010 in Kraft getretene Abkommen zwischen der Europäischen Union und den USA auf
die Frage zugespitzt, in welchem Maße auf der Grundlage
des Abkommens welche Daten über den Atlantik geschickt werden. Entscheidende Bedeutung kommt dabei
Europol zu. Denn das Abkommen weist dem europäischen Polizeiamt eine Art Wächterrolle zu. Ohne eine
positive Entscheidung, mit der Europol im Einzelfall bestätigt, das konkrete US-amerikanische Ersuchen um
Übermittlung der Zahlungsverkehrsdaten halte die Grenzen des Abkommens ein, darf SWIFT keine Daten aus
der EU in die USA übermitteln. Auf den Interessenskonflikt, in den Europol damit gebracht wurde, hatte ich
schon in meinem letzten Tätigkeitsbericht hingewiesen
(23. TB Nr. 13.6). Die datenschutzrechtlichen Kontrollen
bei Europol haben meine Zweifel an dem Abkommen
bestätigt. Die Gemeinsame Kontrollinstanz Europol
(GKI Europol), in der auch Mitarbeiter meiner Behörde
vertreten sind, hat in ihren bis zum Redaktionsschluss
vorliegenden zwei öffentlichen Berichten die Probleme