– 30 –
Aus den maßgeblichen gesetzlichen Bestimmungen ergibt
sich, dass verbands- oder konzerninterne Verhaltensregelungen weder das Gesetz ersetzen noch von ihm abweichen
können. Ziel ist vielmehr, die Durchführung datenschutzrechtlicher Bestimmungen zu fördern. Ausreichend ist mithin nicht lediglich eine Wiederholung des Gesetzes. Das
Gesetz eröffnet durch eine Selbstbindung des Verbandes,
der Branche oder des Konzerns die Möglichkeit, ein Mehr
als das gesetzlich Notwendige zur Förderung des Datenschutzes und dies auf freiwilliger Basis zu schaffen, aber
auch die Vorgaben des Gesetzes verbands-, branchen- oder
konzernspezifisch zu präzisieren.
Zu den Verbindlichkeiten solcher von den Datenschutzaufsichtsbehörden geprüften Verhaltensregeln sagt das Gesetz
indes nichts. Meines Erachtens kann die Aufsichtsbehörde
nach geltendem Recht für ihre Kontrolltätigkeit immer nur
die Vorschriften des BDSG bzw. einschlägiger Spezialgesetze zugrunde legen. Verstöße gegen präzisierende oder gar
weiter gehende Verhaltensregeln können kein Einschreiten
der Aufsichtsbehörde auslösen. Entsprechendes gilt erst
recht für die Feststellung von Ordnungswidrigkeiten oder
Straftatbeständen. Ob die Verhaltensregeln mit verbandsoder konzerninternen Sanktionen bei Verstößen hiergegen
zu belegen sind, bleibt im Ermessen derer, die diese Regeln
beschließen. Zwingend erforderlich ist dies nach dem Gesetz nach meiner Auffassung nicht.
Auch die in § 38a Abs. 2 BDSG vorgesehene Überprüfung
durch die Datenschutzaufsichtsbehörde kann sich meines
Erachtens immer nur auf die Vereinbarkeit mit dem geltenden Recht beziehen, nicht aber darauf, ob die Verhaltensregeln sinnvoll und praktikabel erscheinen oder ob es wünschenswert wäre, noch weitere Bestimmungen zu treffen,
die über das gesetzlich Gebotene hinausgehen.
Die Erörterungen im Düsseldorfer Kreis sind noch nicht abgeschlossen. Sollte im Zuge der zweiten Stufe der BDSGNovellierung entsprechend den Gutachtervorschlägen auch
die branchenspezifische Selbstregulierung und Selbstkontrolle (vgl. Nr. 3.3) ausgebaut werden, wären gesetzliche
Präzisierungen zu den aufgetretenen Fragen überlegenswert.
3.2.4
Drittstaatenübermittlungen
nach §§ 4b, 4c BDSG
Die Regel-Ausnahme-Kombination der §§ 4b und 4c BDSG
beantwortet – in Umsetzung von Artikel 25 und 26 der EGDatenschutzrichtlinie (s. 16. TB Nr. 2.1, 17. TB Nr. 2.1.1,
18. TB Nr. 2.1.2) – die Frage, inwieweit von Deutschland
ausgehende Datenübermittlungen nach materiellem Recht
zulässig sind. Die mit der Novellierung des BDSG in das
Gesetz eingestellten Vorschriften wurden in den Ersten Abschnitt eingefügt, der die allgemeinen und gemeinsamen
Bestimmungen enthält. Damit ist klargestellt, dass die §§ 4b
und 4c entsprechend den Vorgaben der Richtlinie als einheitliche Regelungen für den öffentlichen wie für den nicht
öffentlichen Bereich gelten.
3.2.4.1 Beurteilung der Angemessenheit des
Schutzniveaus und Verantwortung für
die Zulässigkeit der Übermittlung
Die europäische Datenschutzrichtlinie bezweckt, dass die Europäische Union zu einem einheitlichen informationellen
Großraum wird, innerhalb dessen offene Grenzen und ein glei-
BfD 19. Tätigkeitsbericht 2001–2002
cher Datenumgang sichergestellt sind (s. 16. TB Nr. 2.1.1).
Das BDSG stellt daher den innergemeinschaftlichen Datenverkehr dem inländischen gleich (§ 4b Abs. 1) und gewährleistet damit unionsweiten „freien“ Datenverkehr. Diese Regelung umfasst neben den Mitgliedsstaaten der Europäischen
Union auch die anderen Vertragsstaaten des Abkommens über
den Europäischen Wirtschaftsraum (EWR), d. h. Norwegen,
Island und Liechtenstein sowie die Organe und Einrichtungen
der Europäischen Gemeinschaften. Im Hinblick auf letztere
wird durch die gesetzliche Regelung der durch den Vertrag
über die Europäische Union von Amsterdam in den Vertrag
zur Gründung der Europäischen Gemeinschaft eingefügte Artikel 286 berücksichtigt, durch den die Geltung der Richtlinie
für die Organe und Einrichtungen der Europäischen Gemeinschaften verbindlich gemacht wurde (s. 18. TB Nr. 2.3).
Schon heute lässt sich sagen, dass der unionsweite „freie“
Datenverkehr für die Praxis eine große Erleichterung gebracht hat. Auch wenn multinationale Unternehmen weiterhin über die nach wie vor unterschiedlichen Kontrollverfahren – insbesondere bei der Anmeldung – klagen, wird doch
allgemein anerkannt, dass die offenen Grenzen einen großen
Fortschritt darstellen.
Hinsichtlich der Datenübermittlungen an Stellen außerhalb
der Union und des EWR, also an Drittstaaten, hat die Novellierung des BDSG zwar formell eine neue Regelung gebracht (§ 4b Abs. 2), die allerdings inhaltlich weitgehend
der alten Rechtslage entspricht. Ihr materieller Kern besteht
darin, dass eine Übermittlung zu unterbleiben hat, soweit ihr
ein schutzwürdiges Interesse des Betroffenen entgegensteht
(was schon bisher galt), und präzisiert dies dahin gehend,
dass dies der Fall ist, wenn bei dem Empfänger „ein angemessenes Datenschutzniveau“ nicht gewährleistet ist (§ 4b
Abs. 2 Satz 2). Die Feststellung, ob ein angemessenes Datenschutzniveau besteht, ist Sache der übermittelnden
Stelle; sie trägt auch dafür die Verantwortung (§ 4b Abs. 5).
Bei der Beurteilung, ob das Datenschutzniveau angemessen
ist, ist nicht einzig auf die für den Empfänger geltenden
Rechtsnormen abzustellen, sondern auch auf „die für ihn
geltenden Standesregelungen und Sicherheitsmaßnahmen“,
darüber hinaus auf alle Umstände, die bei der Datenübermittlung von Bedeutung sind, wie insbesondere die Art der
Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung und das Endbestimmungsland (§ 4b Abs. 3). Die
Beurteilung erfolgt also nicht global für alle Empfänger des
betreffenden Landes und alle Übermittlungen, die an diese
gerichtet sind, sondern nach den Umständen des Einzelfalls
bzw. der Fallgruppe.
Da die Feststellung des angemessenen Schutzniveaus mit großen Aufwendungen verbunden sein kann, ermächtigt Artikel 25 Abs. 6 der EG-Datenschutzrichtlinie die Europäische
Kommission, mit für alle EU-Mitgliedsstaaten bindender Wirkung allgemein festzustellen, dass ein Drittland angemessenes
Datenschutzniveau gewährleistet. Dies ist für die Schweiz,
Ungarn und die Vereinigten Staaten von Amerika (vgl. 18. TB
Nr. 2.2, Nr. 32.2.1 und Nr. 32.2.2) sowie für Kanada geschehen (Entscheidung der Kommission vom 20. Dezember 2001,
ABl. 2/13 vom 4. Januar 2002). Wie schon im Falle der
Vereinigten Staaten von Amerika wurde dabei der Geltungsbereich der Feststellung eingegrenzt. Sie gilt nur für den
Anwendungsbereich des kanadischen Personal Information
Protection and Electronic Documents Act (s. auch unter 32.4).