– 149 –
Internet aufgelöst werden kann, war Gegenstand von drei
Vorträgen und einer engagiert wie kontrovers geführten
Diskussion. Die Referate können auf meiner Website
nachgelesen werden.
Zusätzlich zu dieser allen Interessierten offenstehenden
Veranstaltungsreihe führe ich seit dem Jahr 1998 zweimal
jährlich den so genannten Jour Fixe Telekommunikation
für Anbieter von Telekommunikationsdienstleistungen
und entsprechende Fachverbände durch. Auf der Tagesordnung stehen regelmäßig Themen aus meiner Prüf- und
Kontrollpraxis. Auch die Teilnehmer können Themen, die
ihnen wichtig sind, für die Besprechungen benennen. Im
Rahmen des Jour Fixe konnten in der Vergangenheit immer wieder Lösungen für aktuelle Probleme der Datenschutzpraxis im Bereich der Telekommunikation gefunden werden.
Sowohl die Symposien als auch die regelmäßigen Veranstaltungen mit den Telekommunikationsdiensteanbietern
haben dazu beigetragen, das gegenseitige Verständnis von
Datenschützern und Wirtschaft zu verbessern und damit
die Suche nach tragfähigen Lösungen zu erleichtern.
14
Postunternehmen
14.1
Datenübermittlung ins Ausland
14.1.1 US-Behörden verlangen Vorabübermittlung von Paketdaten
Die USA fordern zur Terrorismusabwehr vorab Angaben
über die Empfänger und Absender von Paketen in die
Vereinigten Staaten. Ob dieses Verlangen mit datenschutzrechtlichen Vorschriften vereinbar ist, bedarf einer
Klärung auf europäischer Ebene.
Ich halte dieses Ansinnen für hochgradig problematisch
und habe insbesondere Zweifel an der Zulässigkeit dieser
Datenübermittlung, soweit die Daten nach deutschem
Recht dem Postgeheimnis unterliegen. Ich sehe es kritisch, dass – wie schon bei der Vorabübermittlung der
Passagierdaten von Flugreisenden (vgl. Nr. 22.2) – die
USA versuchen, auch bei Transportunternehmen außerhalb des eigenen Hoheitsbereichs personenbezogene Daten zu erheben. Sollte sich die Befürchtung bestätigen,
dass hiervon auch Daten über den Versand von Paketen,
Päckchen und Briefen betroffen sind, die dem Postgeheimnis unterliegen, werde ich dies zum Gegenstand der
Beratungen mit den Datenschutzbeauftragten der übrigen
EU-Mitgliedstaaten machen.
14.1.2 Sendungsdaten in ausländischen
Rechenzentren
Die Datenverarbeitung findet heutzutage häufig nicht
mehr am Sitz des Unternehmens statt. Problematisch ist
dies dann, wenn im Land der Datenverarbeitung kein angemessenes Datenschutzniveau gewährleistet ist. Das
Bundesdatenschutzgesetz enthält jedoch Regelungen, um
personenbezogene Daten auch im Ausland zu schützen.
Dank schneller Verkehrswege und technischer Möglichkeiten sind viele Unternehmen global tätig. Sie haben ihren Sitz oder Tochtergesellschaften in Ländern der Europäischen Union, Amerika oder Asien. Und so werden
auch immer mehr Daten, z. B. Kunden- oder Mitarbeiterdaten in andere Staaten übermittelt.
„USA fordern vorab Daten von Paketempfängern“ – mit
diesen und ähnlichen Schlagzeilen verkündeten die Nachrichtenagenturen im Sommer 2004, dass US-Behörden
von europäischen Postunternehmen vorab Angaben über
die Empfänger und Absender von Paketen verlangten, die
in die Vereinigten Staaten geschickt werden. In ernsthaftem Zweifel an der Zulässigkeit einer solchen Datenübermittlung habe ich zunächst einmal die Hintergründe
dieser Meldungen recherchiert. Die Zoll- und Grenzschutzbehörde der Vereinigten Staaten (US Custom &
Border Protection) verlangt aufgrund des am 5. Dezember 2003 in Kraft getretenen „Trade Act of 2002“ die
elektronische Übermittlung der Sendungsdaten von Waren, die in die USA geschickt werden. Mit dieser Regelung soll der amerikanischen Forderung nach mehr Sicherheit im Personen- und Warenverkehr Rechnung
getragen werden. Hierunter fallen z. B. Frachtsendungen,
die per Schiff versandt werden, aber auch Pakete, die auf
dem Luftweg von Postdienstunternehmen in die USA gebracht werden. Die Missachtung dieser Vorschriften ist
strafbewehrt und kann bis zur Beschlagnahme des Flugzeugs mit der unangemeldeten Ladung führen.
Während das BDSG Datenübermittlungen in EU-Staaten
gem. § 4b Abs. 1 einer Inlandsübermittlung gleichstellt,
muss bei einer Übermittlung in Drittstaaten die zusätzliche Voraussetzung eines angemessenen Datenschutzniveaus gewährleistet sein (§ 4b Abs. 2 BDSG). Anderenfalls ist der Datentransfer nur zulässig, wenn ein
Tatbestand aus dem Ausnahmekatalog des § 4c Abs. 1
BDSG vorliegt: Danach ist die Übermittlung personenbezogener Daten, auch ohne angemessenes Schutzniveau
an andere als die in § 4b Abs. 1 genannten Stellen insbesondere zulässig, sofern der Betroffene seine Einwilligung gegeben hat oder die Übermittlung für die Erfüllung
eines Vertrags erforderlich ist, der zwischen dem Betroffenen und der verantwortlichen Stelle geschlossen wurde,
oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen wurden. Liegt kein Ausnahmetatbestand vor, so muss das Unternehmen eine Genehmigung nach § 4c Abs. 2 BDSG
beantragen. Diese Genehmigung wird erteilt, wenn die
verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte gewährleistet. Die
Garantien können sich insbesondere aus Vertragsklauseln
oder verbindlichen Unternehmensregelungen ergeben.
Im Gegensatz zum Cargobereich wird für den postalischen Warenverkehr zur Zeit noch die bislang praktizierte
Datenübermittlung per schriftlichem Einzelbeleg auf dem
weltweit genutzten Zollvordruck CN 23 geduldet.
Im Sommer 2002 informierte mich United Parcel Service
(UPS) über seine Praxis, personenbezogene Kundendaten
und Daten von Sendungsempfängern zur Speicherung an
das Mutterunternehmen in die USA zu übermitteln. Da in
BfD
20. Tätigkeitsbericht
2003–2004