– 31 –
3.2.4.2 Ausnahmen vom Grundsatz der
Angemessenheit durch allgemeine
Regelungen und Einzelgenehmigungen
Die in § 4b BDSG enthaltene Grundsatzregelung wird gem.
§ 4c BDSG durch zwei Gruppen von Ausnahmen durchbrochen. Die eine greift in katalogartiger Auflistung unmittelbar
zugunsten der verantwortlichen Stelle ein, während die andere Ausnahmengruppe sich auf einzelfallbezogene Genehmigungsmöglichkeiten bei Gewährleistung ausreichender
Garantien durch die verantwortliche Stelle bezieht.
Bei den in § 4c Abs. 1 Satz 1 Nr. 1 bis 6 angeführten Tatbeständen handelt es sich nicht um eine kumulativ zu berücksichtigende Aufzählung, sondern es genügt, wenn mindestens eine der genannten Ausnahmen vorliegt. Die
Tatbestände zeichnet aus, dass sie konkret beschriebene
Fallgestaltungen enthalten, in denen eine Gefährdung des
Grundrechts auf informationelle Selbstbestimmung nicht zu
erwarten ist. Dies kann durch die Bedingungen der Datenübermittlung oder die Zusammenhänge, in denen diese stattfindet, begründet sein. Im Einzelnen sieht die Regelung folgende Ausnahmetatbestände vor:
– Einwilligung,
– Vertragserfüllung und vorvertragliche Maßnahmen,
– Vertrag im Betroffeneninteresse,
– wichtiges öffentliches Interesse und Rechtsansprüche,
– lebenswichtige Interessen,
– öffentliche Register.
Für den Fall, dass eine der vorgenannten Katalogausnahmen
nicht eingreift, kann die verantwortliche Stelle gleichwohl
ein solches auf andere Weise garantieren. Diesbezügliche
Garantien können sich nach § 4c Abs. 2 „insbesondere“ aus
Vertragsklauseln und verbindlichen Unternehmensregelungen ergeben, die der Aufsichtsbehörde zur Genehmigung
vorzulegen sind.
Solche vertragliche Verpflichtungen sind nur dann ausreichende Garantien, wenn der durch sie verbürgte Schutz des
Betroffenen nach Abschluss des Vertrages nicht mehr zur
Disposition der die Daten exportierenden verantwortlichen
Stelle und des Datenimporteurs im Drittland steht. Ebenso
wichtig ist, dass der Datenexporteur die Einhaltung der ihm
durch Vertrag gemachten Zusagen überwacht und diese nötigenfalls beim Vertragspartner einfordert. Auch muss sichergestellt sein, dass die Vertragsklauseln im Empfängerland
wirksam sind. Kommt die Datenschutzaufsichtsbehörde zu
dem Ergebnis, dass die beigebrachten Garantien auf vertraglicher Grundlage im Hinblick auf die festgestellten Risiken
als ausreichend anzusehen sind, kann sie die beabsichtigte
Datenübermittlung genehmigen.
Mit Bezug auf das Genehmigungsverfahren hat der Düsseldorfer Kreis ein Abstimmungsverfahren vereinbart. Ein Garantievertrag ist seitens der verantwortlichen Stelle zunächst
der für sie zuständigen Aufsichtsbehörde vorzulegen, die
diesen einschließlich ihres Votums an den als „Clearingstelle“ agierenden Berliner Beauftragten für Datenschutz
und Akteneinsicht weiterleitet. Von diesem werden die anderen obersten Datenschutzaufsichtsbehörden unterrichtet.
Falls keine Einwände geäußert werden, kann die zuständige
Aufsichtsbehörde nach ihrem Votum entscheiden. Anderenfalls wird der Sachverhalt in der entsprechenden Arbeits-
gruppe des Düsseldorfer Kreises besprochen und, falls
nötig, dem Plenum vorgelegt. Die zuständige Aufsichtsbehörde entscheidet dann eigenverantwortlich unter Berücksichtigung des in der Arbeitsgruppe bzw. im Plenum
des Düsseldorfer Kreises gefundenen Ergebnisses.
Die Verwendung von Standardvertragsklauseln mit ausreichenden Schutzgarantien könnte zu einer wesentlichen Erleichterung für das aufsichtsbehördliche Genehmigungsverfahren – wie auch für die beteiligten Vertragsparteien –
beitragen. Die Anerkennung bestimmter Standardvertragsklauseln als ausreichende Garantien ist nach Artikel 26
Abs. 4 i. V. m. Abs. 2 der EG-Datenschutzrichtlinie der Europäischen Kommission vorbehalten. Eine entsprechende
Entscheidung erließ die Europäische Kommission am
15. Juni 2001 (http://europa.eu.int/comm/internal_market/en/
dataprot/news/1539de.pdf). Die unter wesentlicher Beteiligung der Gruppe nach Artikel 29 der EG-Datenschutzrichtlinie erarbeiteten Standardvertragsklauseln enthalten rechtlich durchsetzbare Verpflichtungserklärungen und darauf
gegründete Garantien des Datenexporteurs und des Datenimporteurs. Der Vertrag wirkt zugunsten der Betroffenen, die
mithin eigene Rechte aus der Vereinbarung geltend machen
können. Die europäischen Standardvertragsklauseln enthalten ferner Verpflichtungen der Vertragsparteien zu gesamtschuldnerischer Haftung und zum Ausschluss der
Kündigung der eingegangenen Verpflichtungen. Eine
weitere, seit dem 3. April 2002 geltende Kommissionsentscheidung (http://www.datenschutz-berlin.de/doc/eu/kommission/standard271201.pdf) befasst sich mit Standardvertragsklauseln im Rahmen der Auftragsdatenverarbeitung.
Neben allgemeinen Vertragsklauseln nennt das BDSG in
§ 4c Abs. 2 auch verbindliche Unternehmensregelungen als
Mittel zur Begründung ausreichender Garantien. Unternehmensregelungen sind für international operierende Unternehmen wesentlich leichter zu handhaben und passen besser
zu ihrer Struktur als Vertragsklauseln. Mehrere internationale Unternehmen haben diesen Weg eingeschlagen und stehen mit den deutschen Datenschutzaufsichtsbehörden in engem Kontakt, um sich über den Inhalt ihrer Regelungen und
das Verfahren ihrer Einführung zu verständigen. Zwischen
den Beteiligten besteht Übereinstimmung, dass der wirksamen praktischen Durchsetzung hierbei die größte Bedeutung zukommt und dass Konzerndatenschutzbeauftragten
dabei eine Schlüsselstellung zukommt.
3.2.5
Behördliche Datenschutzbeauftragte
in der Bundesverwaltung
Seit dem In-Kraft-Treten des novellierten BDSG am
23. Mai 2001 sind alle Behörden im Anwendungsbereich
des Gesetzes zur Bestellung eines behördlichen Beauftragten für den Datenschutz verpflichtet. Je nach Struktur der
öffentlichen Stelle genügt auch die Bestellung eines Beauftragten für mehrere Bereiche. Im August 2002 habe ich mir
mit einer Umfrage (s. Anlage 26) für den Bereich der Bundesverwaltung einen ersten Überblick über die Umsetzung
dieser Regelung verschafft. Bis auf das BMI haben alle
Obersten Bundesbehörden für ihren eigenen Bereich sowie
– soweit vorhanden – den Geschäftsbereich geantwortet.
Das BMI teilte mit, dass dort eine Neugestaltung der Funktion des Datenschutzbeauftragten auch im Zusammenhang
mit einem Personalwechsel geplant sei. Erst nach dieser
BfD 19. Tätigkeitsbericht 2001–2002