– 192 –
angelehnte Regierungsentwurf für ein allgemeines Datenschutzgesetz wurde noch nicht verabschiedet. Inzwischen
liegen Entwürfe für allgemeine Datenschutzgesetze auch
in Mexiko und Uruguay vor.
Ähnlich wie in Indien und Pakistan liegen auch in Südafrika die Motive für den Ende 2004 vorgelegten Regierungsentwurf eines Datenschutzgesetzes nicht zuletzt in
der zunehmenden Auslagerung von Datenverarbeitungsaktivitäten durch verantwortliche Stellen in Europa und in
den damit verbundenen Anforderungen an die Angemessenheit des Datenschutzniveaus im Empfängerland.
Im März 2004 konnte ich den australischen Datenschutzbeauftragten Mr. Crompton zu einem Gedankenaustausch in meiner Dienststelle begrüßen. Gegenstand
der Gespräche waren u. a. die auf australische Initiative
zustanden gekommene Entschließung der 25. Internationalen Datenschutzkonferenz 2003 in Sydney, die sich mit
der Verbesserung der Bekanntmachung von Praktiken
zum Datenschutz befasste (vgl. Nr. 27.3). Aus erster
Hand konnte ich berichten, dass sich die Art. 29-Gruppe
in Brüssel mit dem in Australien gewährleisteten
Schutzniveau bei der Übermittlung von Fluggastdatensätzen von Fluggesellschaften beschäftigt hat. Die am
16. Januar 2004 verabschiedete Stellungnahme war zu
dem – vorläufigen – Ergebnis gelangt, dass Australien ein
angemessenes Schutzniveau im Sinne der EG-Datenschutzrichtlinie bietet (WP 85, vgl. Anlage 12).
Im Juli 2004 weilte die kanadische Datenschutzbeauftragte Ms. Jennifer Stoddart zu einem Besuch in meiner
Dienststelle, bei dem wir einen Gedankenaustausch über
die Schwerpunkte unserer aktuellen Arbeiten führten und
ich über die laufenden Arbeiten der Art. 29-Gruppe (vgl.
Nr. 3.2.2) berichtete. Angesichts ihres Besuches informierte mich meine kanadische Kollegin darüber, dass das
kanadische Bundesdatenschutzgesetz für den privaten Bereich, der Personal Information Protection and Electronic
Documents Act, dessen Anwendung bislang auf die dem
Bundesrecht unterstehenden wirtschaftlichen Organisationen begrenzt war, sich seit dem 1. Januar 2004 auf alle
Wirtschaftsunternehmen einschließlich der dem Provinzrecht unterliegenden Organisationen bezieht, es sei denn,
dass eine Provinz Regelungen erlässt, die in der Substanz
dem Bundesgesetz entsprechen. Dies gilt seit dem
1. Januar 2004 für das Datenschutzgesetz – den Personal
Information Protection Act – von British Columbia, das
damit nach Quebec als zweite Provinz den Datenschutz
für den privaten Bereich regelt. Entsprechende Regelungen hat auch Alberta im Mai 2003 eingeführt, die jedoch
noch nicht in Kraft getreten sind.
Das Ministerium für Telekommunikation und E-Commerce der Bermudas hat den Entwurf eines Datenschutzgesetzes ausgearbeitet, dessen Beratung im Kabinett zum
Redaktionsschluss noch nicht abgeschlossen war und mit
dessen parlamentarischer Befassung in der ersten
Jahreshälfte 2005 gerechnet wird.
Die Datenschutzdiskussion mit den USA war in den zurückliegenden zwei Jahren vor allem durch die geforderte
BfD
20. Tätigkeitsbericht
2003–2004
Weitergabe personenbezogener Daten durch Fluggesellschaften an amerikanische Behörden geprägt (zur sog.
PNR-Diskussion vgl. Nr. 22.2). Von innenpolitischer Bedeutung waren vor allem das am 1. Januar 2004 in Kraft
getretene Gesetz gegen den unaufgeforderten Versand
von Spam-Mails und der Regierungsentwurf eines Änderungsgesetzes zum Fair Credit Reporting Act. Der sog.
CAN SPAM (Controlling the Assault of Non-Solicited
Pornography and Marketing) Act, der Vorrang vor bislang erlassenen bundesstaatlichen Gesetzen beansprucht,
orientiert sich in seinen wesentlichen Bestimmungen an
dem relativ strengen kalifornischen Anti-Spam-Act und
sieht empfindliche Geldstrafen (bis zu 750 US-Dollar pro
Spam-Mail) und Freiheitsstrafen (bis zu fünf Jahren in
schweren Fällen) vor. Das Gesetz ist auch für ausländische Mail-Versender von Bedeutung, da es nach seinem
Wortlaut für die Anwendung bereits ausreicht, wenn
E-Mails zu kommerziellen Zwecken versandt werden und
die Adressaten sich in den USA befinden, während es auf
den Sitz des Absenders nicht ankommt. Die beabsichtigten Änderungen des Fair Credit Reporting Act gehen vor
allem auf Besorgnisse aus Verbraucherkreisen ein, die im
Zusammenhang mit dem Problem des „identity theft“
vorgebracht werden. Den Betroffenen soll künftig einmal
im Jahr ein kostenfreier Zugang zu ihren Kreditdaten
möglich sein, um diese im Hinblick auf Richtigkeit und
Vollständigkeit überprüfen zu können. Unabhängig von
der Jahresfrist ist unter bestimmten Umständen (z. B. im
Fall von Rechtsstreitigkeiten) ein weiterer Datenzugang
möglich, der ansonsten gebührenpflichtig ist. Darüber hinaus ist die Schaffung eines landesweiten Alarmsystems
zur Meldung von Identity-Theft-Fällen geplant sowie
eine umfassendere Unterrichtung der Betroffenen über
die Zusammensetzung ihrer Kredit-Scorewerte.
Im August 2003 verabschiedete das Parlament des USStaates Kalifornien den Financial Information Privacy
Act, der Banken und andere Finanzdienstleister zur Einholung der Einwilligung ihrer Kunden vor der Weitergabe
von deren Daten an andere Unternehmen verpflichtet.
Außerdem können die Kunden für ein opting-out votieren, wenn sie nicht mit der Weitergabe ihrer Daten innerhalb des Unternehmens einverstanden sind. Zum
1. Juli 2004 ist der kalifornische Online Privacy Protection Act in Kraft getreten, der allen online datenverarbeitenden Unternehmen – soweit noch nicht geschehen – die
Einführung einer privacy policy vorschreibt. Diese muss
über Einzelheiten der praktizierten und beabsichtigten
Datenverarbeitungen sowie über die Datenempfänger
Auskunft geben und die Betroffenen auf ihre Zugangsmöglichkeiten zu den über sie gespeicherten Daten und
ihre Berichtigungsmöglichkeiten hinweisen.
27.3
Die Internationale Datenschutzkonferenz
Die 25. und die 26. Internationale Datenschutzkonferenz
in Sydney bzw. Wroclaw befassten sich mit einer Reihe
von staatenübergreifenden Themenschwerpunkten und
verabschiedeten so viele Entschließungen wie nie zuvor
in einem Berichtszeitraum.