– 158 –
EWR volle Wirksamkeit entfaltet (vgl. 17. TB Nr. 32.2.1),
ihre Datenschutzgesetze an die Vorgaben der Richtlinie angepasst haben (vgl. 18. TB Nr. 32.2.1), hat nun auch Liechtenstein ein Datenschutzgesetz erlassen (Gesetz vom
14. März 2002, Landesgesetzblatt Nr. 55 vom 8. Mai 2002).
In der Schweiz soll das eidgenössische Bundesgesetz über
den Datenschutz aus dem Jahre 1992 einer Teilrevision unterzogen werden. Hierzu verabschiedete der Schweizerische
Bundesrat am 5. September 2001 einen Entwurf. Die vorgesehenen Änderungen beziehen sich u. a. auf den grenzüberschreitenden Datenverkehr, die Datensicherheit, die Meldepflichten, das Auskunftsrecht und den Rechtsschutz des
Betroffenen.
32.3.2
Die Mittel- und Osteuropäischen Staaten
Der dem Parlament in Lettland seit dem Jahre 1998 vorliegende Regierungsentwurf gelangte im Jahre 2001 zur Gesetzesreife. Die durch das Gesetz eingerichtete staatliche
Datenschutzbehörde ist allerdings nicht unabhängig, da sie
ihrerseits der Kontrolle durch das Justizministerium unterliegt.
Auch die gesetzgeberischen Vorhaben auf Kabinetts- und
Parlamentsebene, über die ich im 17. und 18. TB (jeweils
Nr. 32.2.2) betreffend Bulgarien, Moldawien und Rumänien berichtet hatte, wurden in allen drei Ländern im Jahre
2001 in die Tat umgesetzt. Während das bulgarische
Datenschutzgesetz ein unabhängiges öffentliches Kontrollorgan vorsieht, dessen Leiter vom Parlament gewählt wird, ist
die Kontrollinstanz in Moldawien in die staatliche Behördenstruktur eingebunden. In Rumänien überwacht ein so genannter Volksanwalt die Einhaltung des Datenschutzgesetzes;
den Betroffenen steht in Schadensfällen der Rechtsweg offen.
In der Ukraine brachte die Regierung im Jahr 2001 den
Entwurf eines Datenschutzgesetzes in das Parlament ein.
Die Mitglieder der neu eingerichteten bulgarischen Datenschutzkommission habe ich im Dezember 2002 zu einem
einwöchigen Besuch in meiner Dienststelle empfangen, um
ihnen Erfahrungen der Kontrollpraxis zu vermitteln.
32.4
Entwicklungen im nicht europäischen
Ausland
Nachdem Chile im Jahre 1999 als erstes südamerikanisches
Land die Verarbeitung personenbezogener Daten im öffentlichen und privaten Bereich einer gesetzlichen Regelung zugeführt hatte (vgl. 18. TB Nr. 32.3), besitzt nunmehr auch
Argentinien ein Datenschutzgesetz, das als „Habeas Data“
im Wesentlichen auf dem spanischen Datenschutzgesetz
und auf Elementen der EG-Datenschutzrichtlinie aufbaut.
An bereichsspezifischen Regelungen wurden im Jahre 2001
in Peru ein „Gesetz über die Kreditauskunfteien“ und in Venezuela ein „Gesetz zur Datenübertragung und digitalen Signatur“ verabschiedet. Dem brasilianischen Parlament
liegt ein stark an die EG-Datenschutzrichtlinie angelehnter
Regierungsentwurf für ein allgemeines Datenschutzgesetz
vor, während sich in Chile als erste sektorielle Regelung für
das dortige Datenschutzrecht der Entwurf eines Gesetzes
über die digitale Signatur im parlamentarischen Verfahren
befindet; in den Ausschussberatungen fand u. a. das deutsche Signaturgesetz aus dem Jahre 1997 in vergleichender
Perspektive Berücksichtigung.
BfD 19. Tätigkeitsbericht 2001–2002
Das Datenschutzbewusstsein in den USA nahm im Berichtszeitraum weiter zu. Votierten vor der Jahrtausendwende
noch 57 % aller US-Bürger grundsätzlich für eine gesetzliche Regelung des Umgangs mit personenbezogenen Daten
(vgl. 18. TB Nr. 32.3), so waren es nach einer Gallup-Umfrage aus dem Jahre 2001 bereits zwei Drittel aller Befragten, die die Auffassung teilten, der Bundesgesetzgeber
müsse entsprechend tätig werden. Laut Umfrage sind nahezu
80 % aller E-Mail-Nutzer und Internetsurfer beunruhigt über
den Schutz ihrer Privatsphäre und 28 % sind sehr beunruhigt, insbesondere wenn es online um die Preisgabe der
Kreditkartennummer oder der Sozialversicherungsnummer
geht. Die hoffnungsvollen Ansätze aus der Zeit der ClintonAdministration (vgl. 18. TB Nr. 32.2) wurden jedoch nicht
weiterverfolgt. Die derzeitige amerikanische Regierung
konzentriert sich – zumal seit dem 11. September 2001 –
ganz auf das Thema Sicherheit; im gleichen Zuge wird der
Datenschutz abgebaut (vgl. oben 32.1). Als Reaktion treten
Nichtregierungsorganisationen aus Verbraucher- und Bürgerrechtsorganisationen zunehmend gemeinsam auf, um auf
die Schaffung und Durchsetzung von Datenschutzregeln zu
drängen. Insbesondere sollen die Kongressabgeordneten auf
die bestehenden rechtlichen Defizite und die Forderungen
aus Datenschutzsicht aufmerksam gemacht werden, zu denen insbesondere die Offenlegung der Datenverarbeitungspraktiken der Unternehmen („notice“), das Wahlrecht der
Konsumenten hinsichtlich der Datenverarbeitung („choice“)
sowie eine unabhängige Kontrollinstanz zählen.
Der „Personal Information Protection and Electronic Documents Act“, der in Kanada den Datenschutz im privaten
Bereich erstmals umfassend regelt, war in einer ersten Stufe
am 1. Januar 2001 in Kraft getreten (vgl. 18. TB Nr. 32.3).
Er galt bisher nur für personenbezogene Daten über Kunden
und Besch��ftigte, die von Organisationen, die unter Bundesrecht fallen, im Zuge ihrer kommerziellen Tätigkeit verarbeitet werden. Seit dem 1. Januar 2002, dem Beginn der
zweiten Stufe seines In-Kraft-Tretens, findet das Gesetz
auch auf alle Gesundheitsdaten Anwendung, über die dem
Bundesrecht unterfallende Organisationen verfügen. In einer dritten und letzten Stufe wird das Gesetz ab dem 1. Januar 2004 für alle Organisationen gelten, die im Zuge ihrer
kommerziellen Tätigkeit personenbezogene Daten verarbeiten, unabhängig davon, ob sie dem Bundesrecht unterliegen
oder nicht. Auch Unternehmen, die der gesetzlichen Regelung durch die Provinz unterliegen, werden erfasst, solange
die betreffende Provinz noch keine entsprechenden Datenschutzregelungen erlassen hat.
Das bisher nur auf öffentliche Stellen anwendbare australische Datenschutzgesetz aus dem Jahre 1988 wurde durch
ein Änderungsgesetz in seinem Anwendungsbereich auf
private Stellen ausgedehnt. Der im Dezember 2001 in Kraft
getretene „Privacy Amendment (Private Sector) Act“ hält allerdings an den zahlreichen bedeutsamen Ausnahmeregelungen fest, die schon bei der Gesetzesvorlage kritisiert wurden
(vgl. 18. TB Nr. 32.3). So bleibt es bei einer Reihe von
Durchbrechungen des Zweckbindungsgedankens und dem
Ausschluss so wichtiger Bereiche wie des Arbeitnehmerdatenschutzes, der Medien und der politischen Parteien.
In Neuseeland, das bestrebt ist, sein Datenschutzgesetz aus
dem Jahre 1993 an die Adäquanzkriterien der Artikel 25 und
26 der EG-Datenschutzrichtlinie anzupassen, liegt derzeit
dem Parlament ein entsprechender Regierungsentwurf vor.