In ihrer Stellungnahme 2/99[1] vom 3. Mai 1999 zu den "Internationalen Grundsätzen des sicheren Hafens" (nachfolgend "die Grundsätze" genannt) hatte die Gruppe die vom US-Handelsministerium am 30. April 1999 veröffentlichten Häufig gestellten Fragen (Frequently Asked Questions, nachfolgend "FAQs" genannt) nicht berücksichtigt. Die Gruppe hatte verlangt, daß, bevor sie sich zum Inhalt der FAQs äußert, zunächst deren Funktion geklärt wird.

Am 2. Juni 1999 erhielt die Gruppe[2] von der GD XV die Kopie eines Schreibens an die Mitglieder des gemäß Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschusses sowie die beigefügten Anlagen: u.a. eine überarbeitete und vertrauliche Fassung der Grundsätze des sicheren Hafen sowie eine Liste der vorgeschlagenen FAQs und Textentwürfe für 6 von ihnen, die dieser Liste beigefügt waren[3].

Nach Prüfung des oben genannten Schreibens ist die Gruppe zu der Ansicht gelangt, daß die USA beabsichtigt, die FAQs als maßgebende Leitlinien für die Grundsätze herauszugeben, und daß dies in der endgültigen Fassung der Entscheidung gemäß Artikel 25 Absatz 6 erwähnt werden sollte.

Die Gruppe stimmt dieser Lösung aus zwei Gründen zu: Zum einen könnten auf diese Weise die Grundsätze bezüglich bestimmter Kategorien von Verarbeitungsverfahren erläutert und in einigen Fällen ergänzt werden, was wiederum bei der Bewertung der eigentlichen Grundsätze von Nutzen sein könnte; zum zweiten könnten sich die Beschwerdestellen bei der Interpretation und Anwendung der Grundsätze auf konkrete Fälle auf die maßgebenden Leitlinien stützen. Dies erfordert jedoch eine genaue Analyse jeder einzelnen FAQ, bevor eine Entscheidung über die Angemessenheit der Grundsätze getroffen werden kann. Die Gruppe ist der Ansicht, daß eine derartige eingehende Prüfung in Artikel 25 Absatz 2 der Richtlinie gefordert wird: "Die Angemessenheit des Schutzniveaus, ... , wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; ...".

Die Gruppe stellt fest, daß eine Liste von 15 FAQs erstellt wurde. Zu den 9 im April und Mai vorgelegten FAQs sind 6 neue FAQs[4] hinzugekommen. Ferner enthielten die dem Schreiben der GD XV beigefügten FAQs verglichen mit den früheren Fassungen zahlreiche Änderungen.

Nach Auffassung der Gruppe ist für eine sinnvolle Beurteilung der FAQs, wie sie in Artikel 25 der Richtlinie gefordert wird, ein angemessener Zeitraum nötig. Innerhalb dieser Frist sollte Zeit für die entsprechenden internen Konsultationen auf nationaler Ebene im Hinblick auf das Verfahren gemäß Artikel 31 der Richtlinie sein. Die vorliegende Stellungnahme gibt daher lediglich die vorläufige Meinung über die mögliche Funktion der FAQs sowie über die am 2. Juni 1999 vorgelegten FAQs wieder. Dies gilt auch unbeschadet der Anmerkungen, die die Gruppe zu der neuen Fassung der Grundsätze und den FAQs, die noch nicht vorgelegt wurden, machen wird, sowie der umfassenden Beurteilung des Konzepts des sicheren Hafens, da noch weitere Elemente des Gesamtpakets berücksichtigt werden müssen (wie z. B. der Entwurf des Briefwechsels).

Auf der Grundlage des oben Gesagten ist die Gruppe der Ansicht, daß

Die Gruppe begrüßt die Erweiterung der Liste der FAQs und ist der Meinung, daß angesichts der Unklarheit einiger Grundsätze die FAQs den für die Datenverarbeitung Verantwortlichen klare, unmißverständliche und maßgebende Leitlinien an die Hand geben und den betroffenen Personen die notwendigen Sicherheiten bieten sollten. Die Gruppe verlangt schnellstmögliche Einsicht in die noch nicht vorgelegten FAQ-Entwürfe und mißt folgenden Fragen besondere Bedeutung bei:

Die Gruppe wiederholt ihre bereits in der Stellungnahme 2/99 zum Ausdruck gebrachte Ansicht, daß sich die Grundsätze des sicheren Hafens nur auf die Rechtsgültigkeit des internationalen Aspekts von Datenübermittlungen beziehen (Artikel 25 und 26 der Richtlinie). Die Gruppe weist nochmals darauf hin, daß in der EU niedergelassene für die Datenverarbeitung Verantwortliche (unabhängig davon, ob sie Zweigorganisationen amerikanischer Unternehmen sind, die sich dem Konzept des sicheren Hafens angeschlossen haben) den nationalen Bestimmungen unterliegen, die die anderen Vorschriften der Richtlinie umsetzen, vor allem bezüglich der Rechtmäßigkeit der Verarbeitung (Artikel 6 und 7) und der zusätzlichen Voraussetzungen betreffend sensible Daten (Artikel 8). Gleiches gilt für personenbezogene Daten, die von amerikanischen Unternehmen direkt von Privatpersonen in der EU erhoben werden. Die Gruppe betont, daß die FAQ die oben genannten Punkte berücksichtigen sollte, um Mißverständnisse zu vermeiden.

Es sei insbesondere darauf hingewiesen, daß die Mitgliedstaaten Vorkehrungen treffen können, daß das Verbot der Verarbeitung sensibler Daten nicht durch die Einwilligung der betroffenen Person aufgehoben werden kann (Artikel 8 Absatz 2 Buchstabe a der Richtlinie), sondern daß eine vorherige Meldung an die Kontrollstelle erforderlich ist.

Die Gruppe mißt der Pressefreiheit größte Bedeutung zu und ist der Auffassung, daß in der Richtlinie mit der Forderung, daß die Mitgliedstaaten Abweichungen und Ausnahmen vorsehen (Artikel 9) ein guter Mittelweg gefunden wurde. Die Ausnahmen betreffen jedoch lediglich die Kapitel III, IV und VI und gelten nicht für die anderen Bestimmungen der Richtlinie, wie beispielsweise die Sicherheit der Verarbeitung (Artikel 17). Die Gruppe betont, daß nach ihrem Verständnis diese FAQ für eine Verarbeitung ausschließlich für journalistische Zwecke gilt, die durch den Ersten Zusatzartikel zur amerikanischen Verfassung abgedeckt ist. Der Grundsatz der Sicherheit, der sicher nicht mit der Pressefreiheit kollidiert, dient ebenfalls den Interessen der Journalisten (insbesondere da er ihre Quellen und ihre Arbeit vor unberechtigtem Zugang, unberechtigter Weitergabe, zufälligem oder unrechtmäßigen Verlust oder Veränderung schützt, insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden.). Nach Auffassung der Gruppe besteht daher kein Grund, von der in den Grundsätzen des sicheren Hafens festgelegten Definition des Sicherheitsgrundsatzes abzuweichen.

Die Gruppe hat keine Einwände gegen diesen Text, vorausgesetzt er wird eng ausgelegt und gilt nur für die in der Frage beschriebene Situation.

In ihrer Stellungnahme 2/99 hat die Gruppe bereits darauf hingewiesen, daß auf den von den OECD-Leitlinien von 1980 festgelegten Standard nicht verzichtet werden könne, da er eine Mindestvoraussetzung für die Sicherstellung eines angemessenen Datenschutzes darstellt.

Die Gruppe stellt fest, daß die FAQ Ausnahmen einführt, die in den Grundsätzen nicht erwähnt sind. Es sollte daher erläutert werden, auf welche Verarbeitungsverfahren sich die genannten Ausnahmen beziehen und warum sie einschränkenden Charakter haben. Ferner sollte deutlicher werden, für welche Grundsätze (Mitteilung, Wahlmöglichkeit) das legitime Interesse des Unternehmens und das Erfordernis des öffentlichen Interesses Ausnahmen darstellen. Die Rechtmäßigkeit der Tätigkeit von Headhuntern oder Fachleuten für Investment Banking, schließlich, dürfte von anderen, nicht erwähnten, Faktoren abhängen.

Die Gruppe begrüßt, daß diese FAQ zur weiteren Klärung des Problems beiträgt. Sie möchte sich, vor allem im Hinblick auf die Aufgabe der nationalen Datenschutzbehörden bei der Bearbeitung von Beschwerden, eingehender mit diesem Thema auseinandersetzen.. Einige Fragen bedürfen jedoch einer eingehenderen Prüfung:

- Wie soll die Option wahrgenommen werden, wie definiert sich die Identität der "zuständigen Datenschutzbehörde" und unterliegt dies weiterhin der Zustimmung der betreffenden Behörde?

- Ist bei einigen Behörden diese Aufgabe mit ihren gesetzlichen Befugnissen und Pflichten vereinbar, die durch nationale Rechtsvorschriften festgelegt und begrenzt werden?

- Welche Auswirkungen hat dies auf die Ressourcen?

Sollte sich nach der Prüfung herausstellen, daß die Behörden eine konstruktive Rolle spielen können, plädiert die Gruppe für:

- eine enger gefaßte Definition der Fälle, in denen das direkte Eingreifen der Behörden ein angemessener und realisierbarer Weg ist;

- eine eindeutige Beschreibung der Folgemaßnahmen in den Fällen, in denen ein US-Unternehmen seiner Verpflichtung zur Zusammenarbeit mit der Datenschutzbehörde nicht nachkommt.

Die Gruppe unterstreicht, wie wichtig es ist sicherzustellen, daß alle drei Elemente des 7. Grundsatzes (Lösung von Streitfällen, Überprüfung und Sanktionen) für alle am Konzept des sicheren Hafens Beteiligten gelten, unabhängig von den zu diesem Zweck eingesetzten Mechanismen, und daß es Verfahren gibt, die für die betroffenen Privatpersonen zugänglich und leicht zu verfolgen sind.

Die Gruppe bestätigt ihre Bedenken darüber, daß Selbst-Zertifizierung zum Mißbrauch führen könnte. Nach Auffassung der Gruppe muß im Falle einer falschen Darstellung der Qualifizierungskriterien (d. h. das Unternehmen erfüllt nicht die Erfordernisse des 7. Grundsatzes) der "Hochstapler" zumindest von der Liste gestrichen werden. Gleiches sollte auch gelten, wenn in den USA niedergelassene Unternehmen, die sich den Grundsätzen des sicheren Hafens angeschlossen und sich verpflichtet haben, mit einer europäischen Datenschutzbehörde zusammenzuarbeiten, dieser Verpflichtung nicht vollständig nachkommen.

Antwort: Nein, eine derartige Wahlmöglichkeit ist nicht erforderlich, wenn die Verarbeitung (1) im wesentlichen Interesse des Betroffenen oder einer anderen Person liegt; (2) notwendig ist für die Durchsetzung von Rechtsansprüchen oder für eine Verteidigung; (3) nötig ist für medizinische Behandlungen oder die Erstellung von Diagnosen; (4) im Zuge rechtmäßiger Tätigkeiten einer Stiftung, einer Gewerkschaft, eines Verbandes oder einer anderen gemeinnützigen Einrichtung mit politischen, philosophischen oder religiösen Zielen und unter der Voraussetzung erfolgt, daß nur Mitglieder der Einrichtung oder Personen davon betroffen sind, die im Zusammenhang mit den Zielen dieser Einrichtung regelmäßigen Kontakt zu ihr haben und daß die Daten nur mit Einverständnis der Betroffenen an Dritte weitergegeben werden; (5) notwendig ist, damit das Unternehmen seine arbeitsrechtlichen Verpflichtungen erfüllen kann; oder (6) Daten betrifft, die die Privatperson ausdrücklich veröffentlicht hat, oder erforderlich ist für die Geltendmachung oder Verteidigung von Rechtsansprüchen.

Frage: Gelten die Grundsätze des sicheren Hafens angesichts des in der Verfassung der USA verankerten Schutzes der Pressefreiheit und der in der Richtlinie für journalistisches Material festgelegten Ausnahmen für personenbezogene Daten, die für journalistische Zwecke erfaßt, archiviert oder verbreitet werden?

A: Wo die im Ersten Zusatzartikel der US-Verfassung verankerten Rechte einer freien Presse sich mit dem Schutz der Privatsphäre überschneiden, bildet der Erste Zusatzartikel die Grundlage für den Ausgleich dieser Interessen im Hinblick auf die Tätigkeiten von amerikanischen Privatpersonen oder Unternehmen. Informationen, die für die Veröffentlichung, Verbreitung oder für andere Formen öffentlicher Verbreitung von journalistischem Material erfaßt werden, unabhängig davon, ob davon Gebrauch gemacht wird oder nicht, sowie Informationen, die in bereits veröffentlichtem und von Medienarchiven verbreitetem Material enthalten sind, fallen nicht unter die Erfordernisse der Grundsätze des sicheren Hafens.

Frage: Sind Internet-Diensteanbieter, Telekommunikationsunternehmen oder andere Unternehmen nach den Grundsätzen des sicheren Hafens haftbar, wenn sie lediglich im Namen eines weiteren Unternehmens Informationen übermitteln, kanalisieren, umleiten oder speichern, die ihre Bestimmungen verletzen können?

Antwort: Nein. Wie bei der Richtlinie selbst der Fall, schafft das Konzept des sicheren Hafens keine Nachhaftung. Wo ein Unternehmen Daten lediglich kanalisiert und die Zwecke und Mittel der Verarbeitung personenbezogener Daten nicht bestimmt, ist es nicht haftbar.

Frage: Einige Geschäftstätigkeiten bringen zwangsläufig die Verarbeitung personenbezogener Daten ohne die Kenntnis der Betroffenen mit sich, zum Beispiel die Tätigkeit von Headhuntern, Fachleuten für Investment Banking und Wirtschaftsprüfern. Ist dies nach den Grundsätzen des sicheren Hafens zulässig?

Antwort: Ja. Wie die Richtlinie schafft auch das Konzept des sicheren Hafens keine uneingeschränkten Erfordernisse, die Zustimmung des Betroffenen einzuholen, die Betroffenen von der Datenverarbeitung zu informieren oder den Betroffenen Zugriff auf ihre Daten zu gewähren. Ausnahmen sind zulässig, zum Beispiel wenn das öffentliche Interesse es erfordert oder wenn die Verarbeitung im begründeten Interesse der Unternehmen oder Dritten liegt, an die die Daten weitergegeben werden, außer daß das Recht des Einzelnen auf Vertraulichkeit solche Interessen überwiegt. Die Tätigkeit von Headhuntern, Fachleuten für Investment Banking und Wirtschaftsprüfern stellen begründete Interessen dar.

Antwort: Im Rahmen des Konzepts des sicheren Hafens müssen sich US-Unternehmen, die personenbezogene Daten aus der EU erhalten, verpflichten, wirksame Mechanismen einzusetzen, um die Einhaltung der Grundsätze des sicheren Hafens zu gewährleisten. Im einzelnen beinhalten diese (1) rechtliche Maßnahmen für die Personen, auf die sich die Daten beziehen, (2) Folgemaßnahmen, um zu überprüfen, daß die Bescheinigungen und Behauptungen der Unternehmen über ihre Maßnahmen zum Schutz der Privatsphäre der Wahrheit entsprechen und (3) Verpflichtungen zur Lösung von Problemen, die daraus resultieren, daß sich die Unternehmen nicht an die Grundsätze halten sowie entsprechende Konsequenzen für diese Unternehmen. Der Grundsatz der Durchsetzung ermöglicht es den Unternehmen, sich zur Zusammenarbeit mit den Datenschutzbehörden in der Europäischen Union zu verpflichten. Dies ist eine Möglichkeit, dem Durchsetzungsgrundsatz des Konzepts des sicheren Hafens Rechnung zu tragen. Unternehmen, die diesen Weg beschreiten, müssen das Mitteilungsverfahren und andere im folgenden genannte Erfordernisse erfüllen.

Ein Unternehmen kann sich zur Zusammenarbeit mit den Datenschutzbehörden verpflichten, indem es in seiner Mitteilung bezüglich des Beitritts zu den Grundsätzen des sicheren Hafen an das US-Handelsministerium erklärt, daß es

(1) die unter Buchstabe (a) und (c) des Durchsetzungsgrundsatzes genannten Voraussetzungen erfüllen will, indem es sich verpflichtet, mit der (den) entsprechenden Datenschutzbehörde(n) zusammenzuarbeiten;

(2) mit der (den) entsprechenden Datenschutzbehörde(n) bei der Prüfung und Lösung von Beschwerden, die im Rahmen des Konzepts des sicheren Hafens vorgebracht werden, zusammenarbeitet; und

(3) sich gemäß den Entscheidungen nach Artikel 25 Absatz 6 und dem (Entwurf der EU-Verfahren) an alle Entscheidungen der Datenschutzbehörden hält, wenn letztere bestimmt, daß das Unternehmen zusätzliche Schritte einleiten muß, um den Grundsätzen des sicheren Hafens zu entsprechen; hierzu gehören auch Korrekturmaßnahmen oder Entschädigungen für die Personen, die von der Nichteinhaltung der Grundsätze betroffen sind, sowie Konsequenzen für das Unternehmen.

Die Situation stellt sich wie folgt dar: Das US-Unternehmen hat sich im Rahmen des Konzepts des sicheren Hafens zur Zusammenarbeit mit Datenschutzbehörden entschlossen; europäische Verbraucher, Arbeitnehmer oder sonstige Betroffene wenden sich, nachdem sie ihre Frage oder Beschwerde beim US-Unternehmen vorgebracht haben, mit ihren ungelösten Problemen an die zuständige Datenschutzbehörde. Diese wiederum richtet alle die Beschwerde betreffenden Fragen an das datenimportierende Unternehmen. Sieht sich die Datenschutzbehörde aufgrund der Beschwerde oder anderer spezifischer Bedenken dazu veranlaßt, weitere Untersuchungen vorzunehmen, ist das US-Unternehmen gemäß seiner Mitteilung an das US-Handelsministerium verpflichtet, mit der Datenschutzbehörde zu kooperieren.

Dies würde beispielsweise bedeuten, daß das US-Unternehmen Nachfragen der Datenschutzbehörde beantworten oder sich selbst zur Verfügung stellen, auf Anforderung der Datenschutzbehörde Informationen oder gespeicherte Daten liefern, über Sicherheitsvorkehrungen berichten, oder der Datenschutzbehörde über Fernabfrage oder direkt Zugang zu Datenbanken oder anderen Dateneinrichtungen gewähren muß. Das US-Unternehmen liefert die geforderten Informationen an die Datenschutzbehörde(n) in Europa. Die Datenschutzbehörde(n) ist (sind) nicht verpflichtet, in die USA zu reisen, um den Beschwerden nachzugehen.

Einigen sich die Parteien auf bestimmte Maßnahmen zur Lösung der Beschwerde, wie z. B. eine betroffene Person vom Verteiler zu streichen oder bestimmte Daten zu korrigieren oder zu löschen, ist das US-Unternehmen gemäß seiner Kooperationsverpflichtung gehalten, diese Einigung im Hinblick auf die entsprechenden in den USA gespeicherten Daten umzusetzen. Können sich die Parteien nicht darüber einigen, ob die Grundsätze des sicheren Hafens eingehalten wurden oder welche Korrektur- bzw. Entschädigungsmaßnahmen von dem US-Unternehmen ergriffen werden müssen, entscheidet die Datenschutzbehörde. Auch in diesem Fall ist das US-Unternehmen an seine öffentliche Verpflichtung gebunden und muß diesen Entscheidungen Folge leisten, vorbehaltlich der Resultate der (im Entwurf über EU-Verfahren beschriebenen) Überprüfungsverfahren.

Die Ergebnisse entsprechen im wesentlichen denjenigen, die zustande kämen, wenn ein US-Unternehmen den Entscheidungen einer zuständigen Selbstregulierungsbehörde nicht nachgekommen wäre. Der Unterschied besteht darin, daß die Überprüfung der Einhaltung und die Festlegung der Korrekturmaßnahmen in erster Instanz von der Datenschutzbehörde vorgenommen wird, ohne daß zunächst die von einer Selbstregulierungsbehörde in den USA angebotenen Rechtsmechanismen in Anspruch genommen werden.

Dies sollte für die Datenschutzbehörden keine unangemessene Arbeitsbelastung darstellen. Auch ohne diese Durchsetzungsoption im Rahmen der Grundsätze des sicheren Hafens wären die Datenschutzbehörden verpflichtet, Beschwerden bezüglich Datenübermittlungen in die USA zu prüfen und darüber zu entscheiden; die Durchsetzung würde lediglich zu einem späteren Zeitpunkt im Zuge des (in dem Entwurf über die EU-Verfahren beschriebenen) Beschwerdeverfahrens stattfinden.

Die Verpflichtung zur Zusammenarbeit mit Datenschutzbehörden stellt für die US-Unternehmen aus mehreren Gründen eine wichtige Alternative im Rahmen des Durchsetzungsgrundsatzes dar. Zunächst ist der Rückgriff auf eine Beschwerdelösung im privaten Sektor in den USA kein idealer Weg, um Datenschutzfragen, die sich aus Beschäftigungsverhältnissen in Europa ergeben, zu lösen. Eine Zusammenarbeit mit Datenschutzbehörden wäre für diese Art von Beschwerden eine weitaus bessere Möglichkeit. Zum zweiten könnten sich US-Unternehmen mit dieser Option des Durchsetzungsgrundsatzes schneller für das Konzept des sicheren Hafens qualifizieren als mit in den USA entwickelten Selbstregulierungsmechanismen. Es ist wenig wahrscheinlich, daß für alle Kategorien von Datenübermittlungen Selbstregulierungsmechanismen vorliegen, sobald die Grundsätze des sicheren Hafens in Kraft treten. Es werden zwar bereits vom Privatsektor Programme entwickelt, die Vollendung und Umsetzung dieser und anderer Programme werden bis zum Ende der Gespräche über das Konzept des sicheren Hafens sicherlich noch nicht abgeschlossen sein. Die Verpflichtung zur Zusammenarbeit mit den Datenschutzbehörden kann dazu beitragen, diese Lücke zu schließen. Schließlich können mittels dieser Option mehr US-Unternehmen am Konzept des sicheren Hafens teilnehmen. Einige US-Unternehmen haben gegebenenfalls Schwierigkeiten, Selbstregulierungsunternehmen zu finden, die ihrem besonderen Bedürfnissen entsprechen, entweder weil ihre Geschäftstätigkeit relativ einzigartig ist oder aus anderen Gründen. Unter Umständen gibt es auch keine US Rechts- oder Regulierungsbehörde, die für die Anhörung derartiger Beschwerden zuständig ist. Die Verpflichtung zur Zusammenarbeit mit den Datenschutzbehörden könnte es auch diesen Unternehmen ermöglichen, sich für das Konzept des sicheren Hafens zu qualifizieren.

Antwort: Für die Selbst-Zertifizierung hinsichtlich der Grundsätze des sicheren Hafens legen die Unternehmen dem Handelsministerium oder einem von ihm Beauftragten ein Schreiben vor, das von der Unternehmensleitung unterzeichnet wurde und folgende Angaben enthält:

Name des Unternehmens, postalische Anschrift, E-mail-Adresse, Telefon- und Faxnummern;

Beschreibung der Haupttätigkeiten des Unternehmens;

Beschreibung der Vertraulichkeitsvorschriften des Unternehmens, einschließlich

- sofern für die Öffentlichkeit einsehbar, das Datum ihres Inkrafttretens,

- den Namen einer Kontaktperson, an die Beschwerden, Zugangsanfragen und andere Fragen im Zusammenhang mit dem Konzept des sicheren Hafens gerichtet werden können,

- der spezifischen Rechtsorgane, die befugt sind, Beschwerden gegen das Unternehmen betreffend möglicher unfairer oder betrügerischer Praktiken anzuhören,

- die Bezeichnung der Programme zum Schutz der Privatsphäre, denen sich das Unternehmen angeschlossen hat,

- der Kontrollmethode (z. B. intern oder durch Dritte)* und

- unabhängiger Rechtsmechanismen, um ungelöste Beschwerden zu prüfen.

Das Ministerium (oder sein Beauftragter) erstellen eine Liste aller Unternehmen, die sich für die Grundsätze des sicheren Hafens selbst zertifizieren. Diese Liste und die Selbst-Zertifizierungs-Schreiben der einzelnen Unternehmen werden veröffentlicht. Alle Unternehmen, die sich für die Grundsätze des sicheren Hafens selbst zertifizieren, müssen in ihren öffentlichen Verlautbarungen bezüglich der von ihnen getroffenen Vorkehrungen zum Schutz der Privatsphäre erklären, daß sie sich den Grundsätzen des sicheren Hafens anschließen. Jegliche falsche Darstellung gegenüber dem Ministerium oder der Öffentlichkeit bezüglich des Beitritts des Unternehmens zu den Grundsätzen des sicheren Hafens können durch die Federal Trade Commission (Kartellbehörde der USA) oder jede andere zuständige Rechtsbehörde gerichtlich verfolgt werden.

*Vgl. FAQ zur Kontrolle

[1] Stellungnahme 2/99 vom 3. Mai 1999 zur Angemessenheit der "Internationalen Grundsätze des sicheren Hafens" ausgegeben vom Handelsministerium der USA am 19. April 1999, verfügbar auf: http://www.europa.eu.int/comm/dg15/en/media/dataprot/index.htm

[2] Eingesetzt durch Artikel 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 2181 vom 23. November 1995, S. 31; verfügbar auf : s. Fußnote 1.

[3] Vgl. Anlage 1: Liste der FAQs; vgl. Anlage 2: Frequently Asked Questions, Nr. 1 bis 6, Fassung vom 1. Juni 1999

.

[4] Der Text der 6 neuen FAQs lag am 3. Juni nicht vor.

[5] Dieser Text wurde auf der letzten Sitzung des Artikel-31-Ausschusses am 21. Mai verteilt. Er wird zu einer FAQ, sofern die nationalen Datenschutzbehörden zustimmen, diese Aufgabe zu übernehmen.

[6] Da in der FAQ zur Selbst-Zertifizierung die Angaben aufgeführt sind, die die Unternehmen dem Handelsministerium mitteilen müssen, um in die "Liste des sicheren Hafens" eingetragen zu werden, sollte dieser Text keine FAQ mehr darstellen, sondern den Grundsätzen des sicheren Hafens beigefügt werden. Die USA sind bereit, dem zuzustimmen, wenn hinsichtlich der Funktion der FAQs eine befriedigende Lösung gefunden wird.