– 191 –
standen Fragen der Unabhängigkeit der Kontrollstellen,
der Umgang mit als geheim eingestuften personenbezogenen Daten sowie der grenzüberschreitende Datenverkehr im Vordergrund. Der Vorsitzende und Mitglieder des
für Datenschutzfragen zuständigen Parlamentsausschusses für Innere Sicherheit und Öffentliche Ordnung berichteten über die Entstehung des bulgarischen Datenschutzgesetzes, an der der Ausschuss federführend beteiligt war.
Auf Einladung des Vorsitzenden der Datenschutzkommission nahm ich an einem Gedankenaustausch über aktuelle Datenschutzfragen mit Mitgliedern des Parlamentsausschusses für Verkehr und Telekommunikation teil.
Beim Treffen mit dem stellvertretenden bulgarischen Innenminister standen die Zusammenarbeit Bulgariens mit
Europol, Fragen der Videoüberwachung und der Biometrie in Ausweisen und Pässen im Vordergrund. Von
meinen Kollegen in Sofia wurde mir wiederholt versichert, dass ihr Besuch in Bonn und mein Gegenbesuch
einen wesentlichen Anschub für den Datenschutz und den
Bekanntheitsgrad ihrer Behörde in Bulgarien bedeuteten.
Hinsichtlich des Datenschutzniveaus in Drittländern hat
die Europäische Kommission im Jahre 2004 die Angemessenheit des Schutzes personenbezogener Daten im
Sinne von Artikel 25 Abs. 6 der EG-Datenschutzrichtlinie auf der Kanalinsel Guernsey und auf der Isle of Man
festgestellt (ABl. Nr. L 151 vom 30. April 2004 S. 51,
ABl. Nr. L 2008 vom 10. Juni 2004 S. 47). Zuvor hatte
die Art. 29-Gruppe (vgl. Nr. 3.2.2) in den Stellungnahmen 5/2003 vom 13. Juni 2003 und 6/2003 vom 21. November 2003 auf der Grundlage ihrer eigenen Feststellungen die Gewährleistung eines angemessenen Datenschutzniveaus auf den Inseln befürwortet (WP 79, 82,
vgl. Anlage 12).
27.2
Die Entwicklung im nicht-europäischen
Ausland
Die „weißen Flecken“ auf der Weltkarte des Datenschutzes sind auch in den vergangenen beiden Jahren weniger
geworden, wozu vor allem die Entwicklungen in Asien
und Südamerika, aber auch ein erster Schritt auf dem
afrikanischen Kontinent beitragen.
Im März 2004 konnte ich eine Delegation der Japan Information Processing Development Corporation JIPDEC,
einer Organisation des Wirtschaftsministeriums MITI, zu
einem Gedankenaustausch über Probleme bei der elektronischen Signatur sowie zu Auditierungs- und Zertifizierungsfragen begrüßen und mich bei dieser Gelegenheit
aus erster Hand über das zum 1. April 2005 in Kraft tretende japanische „Grundgesetz für den Datenschutz“ unterrichten. Das Gesetz, das erstmals den öffentlichen und
den nicht-öffentlichen Bereich gemeinsam regelt, zeichnet sich durch sehr allgemein gehaltene Bestimmungen
aus, die durch detaillierte Regelungen auf dem Verordnungswege etwa auf den Gebieten Telekommunikation,
Finanzdienstleistungen oder Gesundheitswesen ergänzt
werden sollen. Das Grundgesetz des Datenschutzes, das
bereits drei Jahre nach seinem Inkrafttreten wieder einer
umfassenden Revision unterzogen werden soll, sieht
weitgehende Ausnahmevorschriften vor und gilt für Be-
hörden und Unternehmen nur, wenn diese die Daten von
mindestens 5.000 Betroffenen verarbeiten. Die Einrichtung einer unabhängigen Datenschutzkontrollinstanz ist
bislang nicht vorgesehen.
In Malaysia befinden sich die Arbeiten für ein Datenschutzgesetz noch immer im Entwurfsstadium beim zuständigen Ministerium für Energie, Kommunikation und
Multimedia. Zwischenzeitlich haben bekannt gewordene
Entwurfspassagen für Aufsehen gesorgt, wonach u. a. für
das widerrechtliche Sichverschaffen von Daten eine Freiheitsstrafe von bis zu zwölf Jahren vorgesehen sein soll.
Im Juni 2003 lag in Indien der Regierungsentwurf eines
Datenschutzgesetzes vor, dessen Zielrichtung nicht zuletzt darin lag, europäischen Unternehmen und solchen
aus anderen Ländern mit Datenschutztradition die Auslagerung von Datenverarbeitungsprozessen zu erleichtern.
Der Entwurf, der aus diesem Grunde die Erfüllung der
Mindestanforderungen des europäischen Datenschutzrechts an ein angemessenes Datenschutzniveau vorgesehen hatte, wurde jedoch als Ergebnis einer Konferenz aus
Regierungs- und Industrievertretern im Oktober 2003
wieder zurückgezogen. Stattdessen strebt die indische
Regierung nunmehr an, die bereits bestehenden Regelungen des Information Technology Act aus dem Jahre 2000
auszubauen und ein Abkommen ähnlich dem SafeHarbor-Konzept zwischen der Europäischen Union und
den USA zu erzielen, um die Anforderungen der EU und
anderer Staaten an ein adäquates Datenschutzniveau erfüllen zu können.
Auch ein pakistanischer Gesetzentwurf zum Datenschutz hat die Auslagerung der Datenverarbeitung durch
ausländische Stellen im Auge und nennt dies in seiner Bezeichnung „Foreign Data Security and Protection Act“
auch beim Namen.
In Korea hat das Innenministerium einen Gesetzentwurf
zum Datenschutz für den öffentlichen Bereich angekündigt, mit dessen Einbringung im Parlament nicht vor dem
Sommer 2005 gerechnet wird.
Schließlich wurde auf den Seychellen der Entwurf eines
Datenschutzgesetzes im Parlament eingebracht, der im
wesentlichen dem Datenschutzgesetz des Vereinigten Königreiches nachgebildet ist.
Chile hatte 1999 als erstes südamerikanisches Land die
Verarbeitung personenbezogener Daten im öffentlichen
und privaten Bereich gesetzlich geregelt, gefolgt von
Argentinien, das sein Datenschutzgesetz als „Habeas
Data“ im wesentlichen auf das spanische Datenschutzgesetz und auf Elemente der EG-Datenschutzrichtlinie
gründet. Mit Blick auf dieses Gesetz stellte die Europäische Kommission im Jahr 2003 die Angemessenheit des
Schutzes personenbezogener Daten i. S. v. Artikel 25
Abs. 6 der EG-Datenschutzrichtlinie in Argentinien fest,
nachdem die Art. 29-Gruppe (vgl. Nr. 3.2.2) in ihrer
Stellungnahme 4/2002 vom 3. Oktober 2002 sich für die
Gewährleistung eines angemessenen Datenschutzniveaus
in Argentinien ausgesprochen hatte (WP 63, vgl.
Anlage 12). Der dem brasilianischen Parlament vorliegende, im wesentlichen an die EG-Datenschutzrichtlinie
BfD
20. Tätigkeitsbericht
2003–2004