Datenschutz in der Europäischen Union
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen




5047/99/DE/endg.
WP 19




Gruppe für den Schutz von Personen bei der Verarbeitung
personenbezogener Daten






Stellungnahme 2/99
zur

Angemessenheit der "Internationalen Grundsätze des sicheren Hafens", ausgegeben vom Wirtschaftsministerium der USA am 19. April 1999





Angenommen am 3. Mai 1999











STELLUNGNAHME 2/99
ZUR

ANGEMESSENHEIT DER "INTERNATIONALEN GRUNDSÄTZE DES SICHEREN HAFENS", AUSGEGEBEN VOM WIRTSCHAFTSMINISTERIUM DER USA AM 19. APRIL 1999



Bei den Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung wurden seit der letzten Stellungnahme der Gruppe im Januar 1999 zum Stand des Datenschutzes in den Vereinigten Staaten Fortschritte erzielt[1]. Vor kurzem hat die Kommission der Gruppe eine überarbeitete Fassung der Grundsätze des US Handelsministeriums vorgelegt und eine Stellungnahme zum Niveau des Datenschutzes angefordert, den diese Grundsätze gewähren.

Die Kommission hat die Gruppe auch darüber informiert, daß sie die Annahme einer Entscheidung basierend auf Artikel 25.6 der Richtlinie[2] in bezug auf diese Grundsätze plant, wenn festgestellt wird, daß diese für die Übermittlung von Daten aus der EU an amerikanische Firmen, die sich dem Konezpt des "sicheren Hafens" anschließen, einen angemessenen Schutz bieten.

Die aktuelle Fassung der Grundsätze kann jedoch nicht als endgültig betrachtet werden, da sie in einer Reihe von Fußnoten auf Bereiche verweist, in denen noch keine zufriedenstellende Verständigung mit den USA erzielt wurde. Aus diesem Grund betrachtet die Gruppe die vorliegende Stellungnahme als vorläufig und unvollständig; vorläufig insofern, als die relevanten Unterlagen noch nicht in der endgültigen Fassung verfügbar sind und der Gruppe noch keine eindeutigen Informationen über den Stand der vom Wirtschaftsministerium herausgegebenen Liste für häufig gestellte Fragen vorliegen (ihr Inhalt wird in der vorliegenden Stellungnahme daher nicht berücksichtigt); und unvollständig insofern, als die Gruppe nicht im Besitz aller notwendigen Unterlagen ist, um die Gesamtsituation in den USA umfassend zu untersuchen und um die Durchführbarkeit der Grundsätze und den von den sektoralen Vorschriften der USA gewährten Schutz zu beurteilen.

Die Gruppe wiederholt ihre Auffassung, daß die derzeitige Mischung aus eng gefaßten sektoralen Rechtsvorschriften und Regeln zur Selbstregulierung in den Vereinigten Staaten nicht ausreicht, um bei jeder Übertragung personenbezogener Daten aus der Europäischen Union einen angemessenen Schutz zu gewährleisten. Sie betrachtet das Konzept des "sicheren Hafens" daher als sinnvoll und ermutigt die Kommission, ihre Arbeiten fortzusetzen und einen Bestand an Grundsätzen zu erarbeiten, die das Wirtschaftsministerium herausgeben wird, wodurch eine Referenznorm für amerikanische Unternehmen geschaffen wird, die sicherstellen wollen, daß sie die Forderung der Richtlinie nach einem angemessenen Datenschutz erfüllen.

Die Gruppe erachtet es als sinnvoll, die praktischen Auswirkungen dieser Vereinbarung auf die Arbeit der nationalen Aufsichtsbehörden zu untersuchen.





Zu den praktischen Auswirkungen des "sicheren Hafens" auf die Arbeit der nationalen Aufsichtsbehörden

  1. Die Gruppe hält die eindeutige Identifikation von amerikanischen Unternehmen, die sich zu den Grundsätzen des "sicheren Hafens" bekennen, für sehr wichtig. Daher begrüßt sie die Empfehlung des Wirtschaftsministeriums, daß amerikanische Unternehmen, die sich dem Konzept des "sicheren Hafens" anschließen möchten, ihre Absicht dem Wirtschaftsministerium selbst mitteilen sollten. Nach Auffassung der Gruppe sollte diese Mitteilung jedoch so vollständig wie möglich und öffentlich verfügbar sein und insbesondere die Kontaktperson innerhalb des Unternehmens angeben, die in der Lage ist, Anfragen von der Person und der Überwachungsstelle zu bearbeiten, die für die Durchsetzung der Grundsätze zuständig ist.

  1. Im Text wird erwähnt, daß sich eine amerikanische Organisation für den "sicheren Hafen" qualifizieren kann, wenn sie sich "einem vom Privatsektor entwickelten Programm zum Schutz der Privatsphäre anschließt", das sich an diese Grundsätze hält, oder wenn sie amerikanische Rechtsvorschriften befolgt, welche die Privatsphäre insoweit schützen, als ihre Aktivitäten solchen Gesetzen oder Regeln unterliegen. Die Gruppe bittet um weitere Erläuterungen zur Identität der Programme zum Schutz der Privatsphäre und ihrer operativen Kriterien. In bezug auf die sektoralen Rechtsvorschriften in den USA bittet die Gruppe auch um weitere Erläuterungen zu ihrem genauen Inhalt in bezug auf den Schutz der Privatsphäre.

  1. Die Gruppe stellt ferner fest, daß sich die Grundsätze des sicheren Hafens nur auf die Rechtmäßigkeit des internationalen Aspekts von Datenübermittlungen beziehen, die von Artikel 25 und 26 der Richtlinie abhängen. Wenn ein Unternehmen mit Sitz in Europa (unabhängig davon, ob es eine Tochtergesellschaft eines amerikanischen Unternehmens ist, das dem sicheren Hafen angeschlossen ist) Daten exportiert, unterliegt es der Anwendung der übrigen Bestimmungen der Richtlinie, z.B. bezüglich Meldung der Verarbeitung personenbezogener Daten an nationale Aufsichtsbehörden.

  1. Weiterhin würde eine umfassende Beschreibung der Befugnisse der verschiedenen US-Regulierungsbehörden zu einer Erleichterung der Arbeit in den Datenschutzaufsichtsbehörden beitragen. Die Gruppe wurde darüber in Kenntnis gesetzt, daß dieses Dokument derzeit von den amerikanischen Behörden vorbereitet wird.

  1. Angesichts der Rolle der nationalen Aufsichtsbehörden bei der Erteilung von Genehmigungen für internationale Datenübermittlungen, die auf Vertragsverhältnissen beruhen, bittet die Gruppe um Klärung der Bedeutung des letzten Satzes in Absatz 4 der Einleitung, in dem es heißt: "Organisationen können auch die Schutzmaßnahmen einsetzen, die von der EU für Übermittlungen personenbezogener Daten von der EU in die USA als erforderlich betrachtet werden, indem sie die relevanten Grundsätze für den sicheren Hafen in Abkommen aufnehmen, die sie mit Parteien schließen, die personenbezogene Daten aus der EU übertragen".

  1. In bezug auf die Möglichkeit für Organisationen, die sich zu den Grundsätzen des Wirtschaftsministeriums bekennen, die Einhaltung der Grundsätze von nationalen Aufsichtsbehörden überwachen zu lassen, weist die Gruppe darauf hin, daß nationale Aufsichtsbehörden nicht für Drittländer zuständig sind und folglich keinerlei Durchsetzungsbefugnisse haben, die es ihnen erlauben würden, die Einhaltung der Grundsätze durch US-Organisationen wirksam zu überwachen.

Bezüglich des Inhalts der eigentlichen Grundsätze räumt die Gruppe ein, daß im Vergleich mit der Fassung vom 4. November zwar einige Aspekte der Grundsätze abgeschwächt, in vielen Bereichen jedoch Fortschritte erzielt wurden. Dies betrifft vor allem die folgenden Aspekte:

  • Die Definition für personenbezogene Daten bezieht sich jetzt auf eine identifizierte oder identifizierbare Person;
  • Die Ausnahmen von den Grundsätzen erscheinen klarer und geben zum Teil die in der Richtlinie vorgesehenen Ausnahmen wieder. Dies gilt insbesondere für die Streichung von Begriffen wie "Risikomanagement", "Informationssicherheit" und "Geschäftsgeheimnisse".
  • In der "Mitteilung" muß die Person über eine Änderung des Zwecks informiert werden;
  • Sensitive Informationen werden nun in Grundsatz 2: "Wahlmöglichkeit" ausführlich definiert;
  • Bei der weiteren Übermittlung der Daten wird jetzt zwischen Übermittlungen an Organisationen unterschieden, die sich an die Grundsätze halten, und Übermittlungen an Dritte, die nicht in das Konzept des "sicheren Hafens" einbezogen sind.

Nach Auffassung der Gruppe kann auf den von den OECD-Leitlinien von 1980 festgelegten Standard nicht verzichtet werden, da er eine Mindestvoraussetzung zur Sicherstellung eines angemessenen Datenschutzes in Drittländern darstellt. Vor dem Hintergrund der Arbeiten, die die Gruppe bereits zu einem früheren Zeitpunkt zum Thema Datenübermittlung an Drittländer[3] durchgeführt hat, geben die vom US-Handelsministerium am 19. April herausgegebenen Grundsätze des sicheren Hafens Anlaß zu folgenden Bedenken:

  1. In der Einleitung wird auf die in den Rechtsvorschriften der Mitgliedstaaten vorgesehenen Ausnahmen verwiesen. Die Gruppe hält dies nicht für zweckdienlich, da dies die Tür für die Auslegung der nationalen Durchführungsmaßnahmen durch Organisationen öffnen könnte, die sich an ein Selbstregulierungssystem eines Drittlands halten. Weiterhin vertritt die Gruppe die Auffassung, daß eine Beschränkung der Anwendung der Grundsätze des sicheren Hafens aus Gr¨nden der Erhebung der Regulierungsvorschriften der USA notwendig wäre, eine zu weitreichende Ausnahme darstellt, deren Grenzen nicht absehbar sind.

  1. Im Hinblick auf manuell verarbeitete Daten sollte nach Auffassung der Gruppe eine Gleichbehandlung von automatischen und manuell verarbeiteten Daten, die in Dateien gespeichert sind, gewährleistet sein. Daher unterstützt die Gruppe die von der Kommission in den Fußnoten zum Ausdruck gebrachten Vorbehalte. Sie vertritt jedoch auch die Auffassung, daß Organisationen, die sich an die Grundsätze des sicheren Hafens halten und diese Grundsätze auf manuell verarbeitete Daten anwenden, auch die Möglichkeit erhalten sollten, die Vorteile des "sicheren Hafens" für in Europa erhobene Daten für sich in Anspruch zu nehmen.

  1. Grundsätze 1 und 2: Mitteilung und Wahlmöglichkeit:

Angesichts dessen, daß der von den Grundsätzen des sicheren Hafens gewährte Schutz um die Themen "Mitteilung und Wahlmöglichkeit" kreist, ist es von größter Bedeutung, daß diese Grundsätze einen umfassenden Schutz der Privatsphäre sowohl im Hinblick auf den Gebrauch als auch im Hinblick auf die Weitergabe der Daten bieten.

In bezug auf den Grundsatz "Mitteilung" wird, um Übereinstimmung mit dem Grundsatz der "Datensicherheit" zu gewährleisten, darauf hingewiesen, daß der Betroffene darüber zu informieren ist, daß seine Daten nur in dem Umfang erhoben werden, der zur Erfüllung des Zwecks der Datenerhebung erforderlich ist.

Weiterhin sollte der Text "welche Art von Daten" wieder eingefügt werden, da es wichtig ist, daß der Einzelne über die Art der personenbezogenen Daten informiert wird, die über ihn gesammelt werden.

Außerdem sollte ausdrücklich angegeben werden, daß der Einzelne eine Mitteilung über die Verarbeitung personenbezogener Daten von einer amerikanischen Organisation erhalten sollte, wenn die Daten nicht direkt von ihm/ihr gegeben, sondern bei Dritten erhoben wurden. Dies ist wichtig, damit eine Person von ihrem Recht auf "Wahlmöglichkeit" Gebrauch machen kann.

Die Gruppe bittet ferner um Klärung der genauen Bedeutung der Formulierung "oder so bald danach praktikabel", da der Betroffene nach ihrer Auffassung zum Erhebungszeitpunkt und nicht nach Ermessen der einzelnen Organisationen informiert werden sollte.

Zum Grundsatz der Wahlmöglichkeit: Wie in der vorherigen Stellungnahme der Gruppe zu den Grundsätzen des sicheren Hafens dargelegt wurde, fehlt der OECD-Grundsatz der Zweckbestimmung und Zweckbindung völlig und wird nur teilweise durch den Grundsatz der "Wahlmöglichkeit" ersetzt, wonach zu einem bestimmten Zweck erhobene Daten auch zu anderen Zwecken verwendet werden können.

Weiterhin erhalten Betroffene nur dann die Möglichkeit zum Widerspruch, wenn der neue Zweck als mit dem in der "Mitteilung" angegebenen Zweck unvereinbar betrachtet wird. Nach Auffassung der Gruppe sollte die betreffende Person die Möglichkeit zum Widerspruch mindestens in allen Fällen erhalten, in denen ihre Daten für einen nicht mit dem ursrprünglichen Zweck zusammenhängenden Zweck und für Direktmarketing-Zwecke verwendet werden. Die Form der Einwilligung sollte strenger sein, wenn beispielsweise Daten im Zusammenhang mit einem Vertragsverhältnis gesammelt werden und ausdrücklichen oder stillschweigenden Vertragsbedingungen unterliegen.

Dieser Punkt ist besonders wichtig, da in einem Selbstregulierungssystem zwangsläufig keine unabhängige Bestimmung erfolgt, was ein unvereinbarer Zweck ist oder welche Kriterien für die Feststellung zugrunde gelegt werden, daß ein Zweck mit dem in der "Mitteilung" angegebenen Zweck unvereinbar ist.

Außerdem vertritt die Gruppe die Auffassung, daß wenn eine Einwilligung erforderlich ist, diese in Kenntnis der Sachlage und freiwillig gegeben werden und eindeutig sein sollte und daß eine nicht vorhandene Antwort einer Person nicht als Einwilligung ausgelegt werden darf.

Schließlich bittet die Gruppe in bezug auf den letzten Satz unter dem Grundsatz "Wahlmöglichkeit" um Klärung der genauen Bedeutung des Wortes "oder" in dem Ausdruck "affirmative oder ausdrückliche (opt in) Wahl" im Sinne von "affirmative, d.h. ausdrückliche Wahl".

  1. Grundsatz 3: Weitere Übermittlung der Daten – Obwohl dieser Grundsatz nicht in den OECD-Leitlinien aufgeführt wird, ist er notwendig, um zu gewährleisten, daß Daten nicht von einer amerikanischen Firma, die sich an die Grundsätze des sicheren Hafens hält, an einen anderen Datenschutzbeauftragten in den USA oder in ein anderes Land übermittelt werden, das keinen angemessenen Schutz bietet. Aus dem gegenwärtigen Entwurf gehen die anzuwendenden Regeln jedoch nicht klar hervor. Wir entnehmen dem Text, daß der Einzelne die Möglichkeit erhalten soll, eine Übermittlung an Dritte auszuschließen. Zu diesem Zweck benötigt er jedoch mindestens die Information, daß Daten übermittelt werden sollen und ob sich der betreffende Dritte an die Grundsätze des sicheren Hafens hält oder nicht oder in welcher sonstigen Weise ein angemessener Schutz gewährt wird. Die Gruppe unterstützt daher die in Fußnote 5 zum Ausdruck gebrachte Forderung der Kommission, daß eine ausdrückliche Mitteilung und Wahlmöglichkeit unterbreitet werden müssen, wenn personenbezogene Daten an Dritte übermittelt werden, die sich nicht zur Einhaltung der Grundsätze des sicheren Hafens verpflichtet haben.

  1. Grundsatz 6: Auskunft –Es wird darauf hingewiesen, daß kein Einvernehmen über den Wortlaut des Grundsatzes 6 besteht. Nach Auffassung der Gruppe sollte der Grundsatz 6 klar zum Ausdruck bringen, daß es der allgemeinen Regel entspricht, Auskunft zu gewähren, auch wenn in einigen Fällen Ausnahmen möglich sind. Diese Ausnahmen sollten im Text des Grundsatzes 6 klar dargelegt werden. Die Richtlinie erwähnt eine Reihe solcher Ausnahmen in Artikel 13. Ein Beispiel könnten "Geschäftsgeheimnisse" sein, obwohl die Teilnehmer darauf hingewiesen haben, daß dieses Problem auf der Ebene der Mitgliedstaaten niemals dazu führen könnte, daß dem Datensubjekt sämtliche Informationen verweigert werden. In ihren Kontakten mit dem US-Handelsministerium sollte sich die Kommission von den OECD-Leitlinien zu dieser Frage leiten lassen. Die Gruppe schlägt den folgenden Text als Diskussionsgrundlage vor:

"Personen müssen Auskunft zu Informationen über die eigene Person, die eine Organisation besitzt, haben und diese Informationen korrigieren und ändern können, wenn sie ungenau sind, außer wenn die Gewährung der Auskunft der Organisation durch die Offenbarung von Geschäftsgeheimnissen oder durch die Nichtbeachtung von Rechten an geistigem Eigentum Schaden zufügen würde oder wenn die Belastung und Kosten für die Organisation für den Abruf der Informationen oder sonstige Konsequenzen eindeutig in keinem Verhältnis zu den spezifischen Risiken des Schutzes der Privatsphäre einer Person stehen würden, die eine Nichtoffenbarung mit sich bringen würde."

Außerdem sollte der Grundsatz eindeutig auf das Recht des Datensubjekts hinweisen, die Daten löschen zu lassen, wenn die Verarbeitung der Daten nicht im Einklang mit den Prinzipien steht.
Aus den in der Einleitung genannten Gründen hat die Gruppe den Text der häufig gestellten Fragen bezüglich der Auskunft nicht untersucht.

  1. Grundsatz 7: Durchführung – Aus dem Text des Grundsatzes selbst und der "Bemerkung" geht der von Organisationen geforderte Standard nicht deutlich genug hervor. Nach Auffassung der Gruppe tragen Datenschutzregeln nur insoweit zum Schutz von Personen bei, wie sie in der Praxis auch eingehalten werden. Bei einem völlig freiwilligen System muß die Befolgung der Regeln zumindest durch einen unabhängigen Untersuchungsmechanismus, der Beschwerden prüft, sowie durch Sanktionen sichergestellt werden, von denen einerseits eine abschreckende Wirkung ausgeht und die andererseits im Bedarfsfall eine Entschädigung des Einzelnen ermöglichen. Der vorliegende Text des Grundsatzes 7 unterstellt, daß Schadensersatz nur dann zuerkannt wird, "wenn das anzuwendende Gesetz oder Initiativen des Privatsektors dies vorsehen". Darüber hinaus unterstützt die Gruppe die Forderung der Kommission uneingeschränkt, daß alle in Grundsatz 7 aufgeführten Bedingungen erfüllt werden müssen, damit anerkannt wird, daß eine Firma die Grundsätze des sicheren Hafens einhält.

Darüber hinaus werden in Grundsatz 7 weder die Regeln zur Sicherstellung der Befolgung der Grundsätze festgelegt noch wird angegeben, welche Behörden die Grundsätze zur Anwendung bringen können. Ebenso sollte angegeben werden, welche Arten von Sanktionen in Betracht gezogen werden und wer sie nach welchem Verfahren beschließt.

Wie in der Einleitung in bezug auf die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden und US-Organisationen, die sich dem "sicheren Hafen" anschließen möchten, bereits bemerkt wurde, ist es nach Einschätzung der Gruppe nicht möglich, die Durchführung der Grundsätze an nationale Aufsichtsbehörden zu übertragen. Wenn die Durchsetzung in den USA durch unabhängige Überwachungsstellen sichergestellt wird, könnte eine Zusammenarbeit zwischen solchen Stellen und den nationalen Aufsichtsbehörden von Fall zu Fall in Betracht gezogen werden.


Schlußfolgerungen

Auf der Basis der obigen Feststellungen ermutigt die Gruppe die Kommission, ihre Bemühungen in ihrem Dialog mit dem Wirtschaftsministerium fortzusetzen, um den von den "Internationalen Grundsätzen des sicheren Hafens" gewährten Schutz zu verstärken.

Insbesondere ersucht die Gruppe die Kommission, die aufgeworfenen Aspekte zu berücksichtigen und die Gruppe über ihre Kontakte mit dem US-Wirtschaftsministerium auf dem laufenden zu halten.
Brüssel, den 3. Mai 1999

Für die Gruppe

Der Vorsitzende

P.J. HUSTINX

[1] Stellungnahme 1/99 zum Stand des Datenschutzes in den Vereinigten Staaten und zu den derzeitigen Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung, Annahme durch die Gruppe am 26. Januar 1999
[2] Ein Entwurf der Entscheidung der Kommission wurde der Gruppe am 30. März 1999 übermittelt
[3] Übermittlung personenbezogener Daten an Drittländer : Anwendung der Artikel 25 und 26 der Datenschutzrichtlinie, angenommen durch die Gruppe am 24. Juli 1998
Seitenanfang

Zuletzt geändert:
am 14.03.2000

mail to webmaster