eingesetzt durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995[1],

gestützt auf Artikel 29 und Artikel 30 Absatz 1 Buchstabe b) der Richtlinie,

gestützt auf ihre Geschäftsordnung, insbesondere auf Artikel 12 und 14 -

Die Arbeitsgruppe bekräftigt, daß sie bei der Beurteilung der Angemessenheit des Datenschutzes in Drittländern weiterhin nach der Methodik vorgeht, die in ihrer Arbeitsunterlage vom 24. Juli 1998 (WP 12 "Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU)[2] beschrieben ist.

Sie hat die Verhandlungen zwischen der Kommission und dem US-Handelsministerium aufmerksam verfolgt, erkennt ihre Bedeutung, hält das Konzept des sicheren Hafens für sinnvoll und nützlich und will zum erfolgreichen Abschluß dieser Verhandlungen beitragen. Nach ihrer Ansicht setzt ein erfolgreicher Abschluß voraus, daß eine Reihe grundlegender Forderungen erfüllt wird.

Sie erinnert daran, daß sie zu früheren Fassungen der Grundsätze des sicheren Hafens und der häufig gestellten Fragen (FAQ) in folgenden Papieren Stellung genommen hat:

Diese Stellungnahme bezieht sich auf die letzte Fassung der Grundsätze des sicheren Hafens, der FAQ und der übrigen einschlägigen Dokumente, die am 15./16. November 1999 veröffentlicht wurden.[3] Die Arbeitsgruppe bedauert, für die Stellungnahme zu einer so wichtigen Frage so wenig Zeit gehabt zu haben. Sie vermerkt außerdem, daß keines der genannten Dokumente als "endgültig" anzusehen ist und gibt ihre Stellungnahme deshalb vorbehaltlich künftiger Änderungen an ihnen ab.

Die Arbeitsgruppe vermerkt, daß Fortschritte erzielt wurden, bedauert aber, daß die meisten ihrer Aussagen aus früheren Stellungnahmen keinen Niederschlag in den letzten Fassungen der US-Dokumente gefunden haben. Sie bleibt deshalb bei ihren grundsätzlichen Vorbehalten.

Im Hinblick auf die mögliche Feststellung der Angemessenheit des Datenschutzes in den USA und in Anbetracht dessen, daß eine solche Feststellung in anderen Drittländern als Präzedenzfall angesehen würde, gelangt die Arbeitsgruppe zu der Ansicht, daß das Konzept des sicheren Hafens nicht nur für US-Unternehmen Rechtssicherheit schaffen muß, sondern auch für interessierte Stellen in der EU (für die Datenverarbeitung Verantwortliche, die Daten in die USA übermitteln wollen, Personen, deren Daten übermittelt werden sollen, Datenschutzbehörden). Seit Abgabe ihrer Stellungnahme 1/99 hat die Arbeitsgruppe stets die Auffassung vertreten, daß die Grundsätze inhaltlich zumindest den OECD-Leitlinien zum Schutz der Privatsphäre entsprechen müssen (sie wurden u. a. von den USA angenommen und in der OECD-Konferenz über den elektronischen Geschäftsverkehr bestätigt, die im Oktober 1998 in Ottawa stattfand).

Nach Ansicht der Arbeitsgruppe sollen die Grundsätze des sicheren Hafens die Verarbeitung von Daten regeln, die ein für die Verarbeitung Verantwortlicher aus der EU in die USA übermittelt. Die Arbeitsgruppe erinnert daran, daß die Erfassung personenbezogener Daten von in der EU ansässigen Personen in der Regel den nationalen Rechtsvorschriften unterliegt, die zur Umsetzung der Datenschutzrichtlinie erlassen worden sind. Sie weist ferner darauf hin, daß eine nach Artikel 25 Absatz 6 der Richtlinie getroffene Feststellung eines angemessenen Schutzniveaus sich nur auf den Schutz der Rechte von Personen bei der Verarbeitung sie betreffender Daten in dem genannten Drittalnd beziehen kann und die Bestimmungen von Artikel 4 Absatz 1 Buchstabe  c) der Richtlinie (anwendbares einzelstaatliches Recht) nicht berührt.

Die Arbeitsgrupe empfiehlt, klar und eindeutig zu bestimmen, wer in den Genuß der Vorteile des Konzepts "sicherer Hafen" kommt und für welche Arten von Datenübermittlung dieses Konzept gelten soll.

Im vierten Absatz der Grundsätze des sicheren Hafens heißt es, die Vorteile des Konzepts "sicherer Hafen" gälten ab dem Tag, an dem das Unternehmen, das sich als sicherer Hafen qualifizieren will, dem Handelsministerium oder einer von ihm beauftragten Stelle mitteilt, daß es die Grundsätze einhält (Selbstzertifizierung). Laut FAQ 6 soll es ein solches Selbstzertifizierungsschreiben mindestens einmal jährlich vorlegen. Das Handelsministerium (oder eine von ihm beauftragte Stelle) führt eine Liste aller Unternehmen, die sich selbst zertifizieren und damit vom Konzept des sicheren Hafens profitieren, und aktualisiert diese Liste nach den jährlich eingehenden Selbstzertifizierungsschreiben und den eingegangenen Mitteilungen über Verstöße gegen die Grundsätze des sicheren Hafens. Laut FAQ 11 werden solche Verstöße in der Liste festgehalten. Hierzu merkt die Arbeitsgruppe folgendes an:

Das Konzept des sicheren Hafens in seiner gegenwärtigen Form ist eine Regelung, der US-Unternehmen sich freiwillig und auf der Basis von Selbstzertifizierung (FAQ 6) und Selbstkontrolle (FAQ 7) unterwerfen. Es wird ergänzt durch verbindliche Rechtsvorschriften für Fälle von falschen Angaben oder unlautreren Geschäftsgebarens. Das heißt: Solange keine Beschwerde vorliegt, kann jedes US-Unternehmen, das erklärt, die Grundsätze des sicheren Hafens einzuhalten, ungehindert personenbezogene Daten aus der EU empfangen. Aufgrund der vorstehenden Überlegungen fordert die Arbeitsgruppe die Kommisson nachdrücklich auf, sich Gedanken darüber zu machen, wie der ungebrochene Schutz personenbezogener Daten zu gewährleisten ist, die an folgende Stellen übermittelt werden können:

Qualifikationskriterien nicht erfüllen;

Die Arbeitsgruppe empfiehlt der Kommisson unter anderem, zur Gewährleistung ungebrochenen Datenschutzes die Löschung von Daten ins Auge zu fassen, die an ein Unternehmen der vorstehend unter Ziffer 1 bis 4 genannten Art übermittelt werden. Sie würde es auch begrüßen, wenn geklärt werden könnte, ob die Bestimmungen des Federal Trade Commission Act zu unlauterem Geschäftsgebaren durchgängig angewandt werden können.

Aus Gründen der Rechtssicherheit wiederholt die Arbeitsgruppe ihre Forderung, daß die Liste der als sicherer Hafen qualifizierten Unternehmen volkommen verläßlich, aktuell und für die Öffentlichkeit leicht zugänglich sein muß.

In ihrer Arbeitsunterlage vom 7. Juli 1999 forderte die Arbeitsgruppe bereits die Klärung von zwei Fragen:

a) Sind bestimmte Bereiche von der Regelung des sicheren Hafens ausgenommen, weil sie nicht in die Zuständigkeit einer staatlichen Stelle von der Art der FTC fallen (z. B. Arbeitnehmerdaten, nicht auf Gewinn gerichtete Tätigkeiten)?

b) Kann ein Unternehmen, das sich den Grundsätzen des sicheren Hafens verpflichtet, bestimmte Tätigkeitsbereiche aus ihrem Geltungsbereich ausschließen?

Zu a): Die Schreiben des FTC-Präsidenten vom 23. September 1998 und vom 1. November 1999 sind nach Ansicht der Arbeitsgruppe von größter Bedeutung. Aus ihnen geht deutlich hervor, daß die FTC gegen unlautere Praktiken nur insoweit vorgehen kann, als sie im Geschäftsverkehr vorfallen oder den Geschäftsverkehr berühren. Die meisten Daten, die im Zusammenhang mit einem Arbeitsverhältnis verarbeitet werden (FAQ 9), dürften damit ausgeschlossen sein, ebenso Daten, die zu anderen als geschäftlichen Zwecken (z. B. nicht auf Gewinn gerichtete Tätigkeiten, Forschung) verarbeitet werden. Die Arbeitsgruppe empfiehlt deshalb, die Übermittlung dieser Arten von Daten ausdrücklich von der Regelung des sicheren Hafens auszunehmen.

Zu b): In FAQ 6 werden die Unternehmen aufgefordert, die Tätigkeiten anzugeben, die sie den Grundsätzen des sicheren Hafens unterwerfen wollen. Damit kann ein Unternehmen halb im sicheren Hafen und halb draußen sein. Nach Ansicht der Arbeitsgruppe schafft das Rechtsunsicherheit (vor allem für die Nutzung von Daten durch mehrere Stellen innerhalb des Unternehmens) und erfordert die Klärung des Begriffs "Tätigkeiten".

Die Arbeitsgruppe äußert erneut ihre Besorgnis darüber, daß die Verpflichtung zur Einhaltung der Grundsätze durch Gesetze, andere Rechtsvorschriften oder Fallrecht ohne Einschränkungen begrenzt werden kann (Grundsätze, 5. Absatz, Buchstabe b), und zwar, wie es scheint, durch gegenwärtiges wie künftiges amerikanisches Bundes- und Staatenrecht. Um Rechtssicherheit zu schaffen und Diskriminierung gegenüber anderen Fällen zu vermeiden, in denen es um die Feststellung angemessenen Schutzes geht, empfiehlt die Arbeitsgruppe, die Kriterien für Ausnahmen und Beschränkungen genauer zu fassen, durch Beispiele zu konkretisieren und ihre Auswirkungen angemessen zu bedenken. Für die Klarheit der Kriterien empfiehlt sie, genau zwischen zwingender und fakultativer Beschränkung zu unterscheiden: Die Verpflichtung zur Einhaltung der Grundsätze soll nur insoweit beschränkt werden, als sie sich zwingend aus dem amerikanischen Recht ergibt (das ohnehin Vorrang vor den Grundsätzen hat), die Beschränkung darf nicht lediglich eine von mehreren Optionen sein, die das amerikanische Recht zuläßt, denn das würde die Grundsätze in ihrer Wirkung erheblich schwächen.

Um Transparenz und Rechstssicherheit zu gewährleisten, hält es die Arbeitsgruppe für unerläßlich, daß die Kommission über jede amerikanische Rechtsvorschrift informiert wird, die Auswirkungen auf die Einhaltung der Grundsätze haben kann.

Zum 5. Absatz, Buchstabe c) der Grundsätze empfiehlt die Arbeitsgruppe, Ausnahmen nur in den in der Richtlinie genannten Fälle zuzulassen, die auch alle nach dem Recht der Mitgliedstaaten zulässigen Ausnahmen einschließen. Sie ist grundsätzlich der Ansicht, daß keine Ausnahme außerhalb ihres spezifischen Rahmens geltend gemacht und daß eine Ausnahmeregelung nur für einen bestimmten Zweck getroffen werden kann.

Die Arbeitsgruppe ist besorgt darüber, daß in den FAQ zahlreiche weitere Ausnahmen vorgesehen sind, die in manchen Fällen für ganze Datenkategorien gelten. Das ist vor allem der Fall bei der großen Kategorie der öffentlich zugänglichen Daten. Solche Daten können de facto der Öffentlichkeit zugänglich sein, ohne daß davon auf ihre Richtigkeit oder die Rechtmäßigkeit ihrer Verarbeitung geschlossen werden kann. Die Arbeitsgruppe nerkt an, daß die OECD-Leitlinien solche Ausnahmen nicht zulassen und daß der Datenschutz wenig wirksam wäre, würden sie zugelassen.

Dei Arbeitsgruppe hält an ihrer in allen früheren Stellungnahmen geäußerten Ansicht fest, daß das Konzept des sicheren Hafens (wie jedes Verfahren zur Feststellung angemessenen Datenschutzes) nur für die Verarbeitung von Daten gelten kann, die ein in der EU ansässiger Verantwortlicher in ein Drittland übermittelt, denn ein für die Verarbeitung Verantwortlicher, der in der EU niedergelassen ist, unterliegt den zur Umsetzung der Richtlinie erlassenen nationalen Rechtsvorschriften. Das gleiche gilt in der Regel wenn ein US-Unternehmen in der EU personenbezogene Daten direkt von den betroffenen Personen erhebt und dabei Einrichtungen nutzt, die sich auf dem Territorium eines Mitgliedstaates befinden (Artikel 4 der Richtlinie).

Das wird jetzt auch von der amerikanischen Seite erkannt und findet seinen Niederschlag in Frage 1 von FAQ 14 (von Arzneimittel- und Medizinproduktherstellern erhobene Daten) und in FAQ 9 (Personaldaten). Im Grundsatz der Mitteilung heißt es jedoch:

Dieser Satz könnte so verstanden werden, daß die Erfassung personenbezogener Daten direkt von Personen in der EU durch ein US-Unternehmen den Grundsätzen des sicheren Hafens unterliegt und nicht den zur Umsetzung der Richtlinie erlassenenen nationalen Rechtsvorschriften. Er hätte damit sehr viel weitergehende Auswirkungen als der Mitteilungsgrundsatz an sich.

Nach Ansicht der Arbeitsgruppe steht das im Widerspruch zu Artikel 4 der Richtlinie. Die Arbeitsgruppe empfiehlt, den oben wiedergegebenen Satz zu streichen und an seine Stelle eine klare Aussage folgenden Inhalts zu setzen:

Dei Arbeitsgruppe schlägt vor, diese Aussagen in eine neue FAQ zur Erläuterung des Mitteilungsgrundsatzes aufzunehmen.

Sie empfiehlt ferner, den Mitteilungsgrundsatz so zu ändern, daß eine Mitteilungspflicht auch entsteht, wenn die Daten von einem dritten Unternehmen verwendet werden.

Zu FAQ 4 merkt die Arbeitsgruppe an, daß es keine Rechtfertigung dafür gibt, daß Personalberater personenbezogene Daten ohne Zustimmung des Betroffenen verarbeiten. Der Passus "und kann das auch in anderen Fällen, wenn die Anwendung der Grundsätze ihren legitimen Interessen zuwiderlaufen würde" ist nach ihrer Ansicht ein zu großes Schlupfloch.

Die Arbeitsgruppe stellt fest, daß FAQ 14 über Daten, die von Arzneimittel- und Medizinproduktherstellern erhoben werden, erst seit kurzem vorliegt und in ihrer augenblicklichen Form verschiedene Fragen aufwirft, u. a. zur Verwendung von Daten für Zwecke, die mit den wissenschaftlichen Zwecken nicht vereinbar sind.

Die Arbeitsgruppe bleibt bei ihrer in der Arbeitsunterlage vom 7. Juli 1999 geäußerten Ansicht: Da die Grundsätze keine Kriterien für die Rechtmäßigkeit der Verarbeitung enthalten, muß der Grundsatz der Wahlmöglichkeit gestärkt werden. Mit der Kombination von Mitteilungspflicht und Wahlmöglichkeit in ihrer augenblicklichen Form können Daten für andere als die mitgeteilten Zwecke verwendet werden, ohne daß dem Betroffenen eine Wahlmöglichkeit geboten werden muß (wenn der neue Zweck mit dem ursprünglichen vereinbar ist und die Daten nicht sensibel sind), und das bleibt hinter den Forderungen der OECD-Leitlinien zurück (Grundsatz der Beschränkung der Verwendung)[4] . Die Arbeitsgruppe unterstützt die Auffassung, daß Wahlmöglichkeit auch dann geboten werden muß, wenn der neue Verwendungszweck der Daten mit dem ursprünglichen Zweck vereinbar ist.

Die Arbeitsgruppe teilt die Auffassung, die die Kommission in der Fußnote zum Grundsatz der Wahlmöglichkeit äußert. Sie empfiehlt, die Definition sensibler Daten im Sinne von Artikel 8 der Richtlinie zu ändern und vertritt die Ansicht, daß aus der Zustimmung des Betroffenen nur dann die Rechtmäßigkeit der Verarbeitung personenbezogener Daten abgeleitet werden kann, wenn die Zustimmung in Kenntnis aller relevanten Tatsachen erteilt wurde.

Die Arbeitsgruppe hat Vorbehalte gegen den letzten Satz, der diesem Grundsatz hinzugefügt wurde, denn er befreit Unternehmen von jeder Verantwortung für die Weitergabe von Daten an Dritte. Die betroffene Person kann unter Umständen nur gegen das Unternehmen rechtlich vorgehen, das die Daten weitergegeben und damit möglicherweise fahrlässig gehandelt hat. Die Arbeitsgruppe empfiehlt, diese Haftungsfreistellung einzuschränken, das weitergebende Unternehmen bei Fahrlässigkeit haftbar zu machen und es zu verpflichten, dem Betroffenen bei seinen rechtlichen Schritten zu unterstützen.

Die Arbeitsgruppe empfiehlt, aus FAQ 10 den Passus zu streichen, wonach sich besondere Vertragsbestimmungen für die Sicherheit erübrigen, denn das Recht mehrerer Mitgliedstaaten schreibt für Verträge über die Verarbeitung von Daten solche Bestimmungen sogar dann vor, wenn die Parteien im selben Mitgliedstaat niedergelassen sind.

Die Arbeitsgruppe erinnert daran, daß Daten nach Ziffer 8 der OECD-Leitlinien für den vorgesehenen Verwendungszweck geeignet sein und soweit für diesen Zweck erforderlich richtig, vollständig und aktuell sein sollen. Diese Forderung sollte in den Grundsatz der Datenintegrität einfließen.

Die Arbeitsgruppe weist darauf hin, daß das Recht des Einzelnen auf Zugang zu den ihn betreffenden Daten ein grundlegender Bestandteil jeder wirksamen Datenschutzregelung ist, denn dieser Zugang ist Voraussetzung für die Geltendmachung aller übrigen Rechte des Betroffenen. Sie betont, daß Ausnahmen von diesem grundlegenden Prinzip nur unter ganz besonderen Umständen zulässig sind und erneuert ihre in allen früheren Stellungnahmen geäußerten Vorbehalte gegen die großzügigen Ausnahmen und die zahlreichen Bedingungen, die die amerikanische Seite für die Ausübung dieses grundlegenden Rechts vorsieht.

Die Arbeitsgruppe vertritt weiterhin die Ansicht, daß Kostengesichtspunkte zwar zu berücksichtigen sind, wenn die Bedingungen für die Ausübung des Zugangsrechts festgelegt werden, daß sie aber nicht bestimmend für die Ausübung dieses Rechts sein dürfen.

Anders als die OECD-Leitlinien[5] sehen die Grundsätze des sicheren Hafens nicht vor, daß der Betroffene Anspruch darauf hat, die Daten in einer für ihn ohne weiteres verständlichen Form ("in a form that is readily intelligible") übermittelt zu bekommen. Außerdem begrenzt der Zugangsgrundsatz das Recht auf Löschung auf Fälle, in denen die Daten unrichtig sind (was sich von selbst versteht). In ihrer Stellungnahme 2/99 hat die Arbeitsgruppe bereits gefordert, das Recht auf Löschung für alle Fälle unzulässiger Verarbeitung vorzusehen und es in den Grundsätzen selbst zu verankern und nicht lediglich in einer FAQ zu erwähnen.

FAQ 8 enthält eine lange Liste von Ausnahmen vom Zugangsgrundsatz. Die Arbeitsgruppe begrüßt, daß einige dieser Ausnahmen gegenüber früheren Fassungen eingeschränkt oder klarer gefaßt worden sind. Es bleibt jedoch der Gesamteindruck, daß diese FAQ den Grundsatz eher abschwächt als Anleitung für seine Umsetzung zu geben. Die Arbeitsgruppe wiederholt insbesondere ihre Einwände gegen F 2 (Begriff unklar) und F 7. Zu F 5 merkt sie erneut an, daß die zulässigen Gründe für die Verweigerung des Zugangs ihrer Ansicht nach zu weit und unscharf gefaßt sind und der Wortlaut den Eindruck erweckt, diese Gründe würden das Zugangsrecht automatisch aufheben. Sie befürchtet, daß das zu einer deutlichen Senkung des allgemeinen Datenschutzniveaus führen würde.

Die Arbeitsgruppe hält die Formulierung des zweiten Absatzes der Antwort zu F 6 für nicht akzeptabel. Sie empfiehlt, diesen Absatz zu streichen oder seine Aussage so einzuengen, daß er lediglich dem Mißbrauch des Zugangsrechts vorbeugt.

Die Arbeitsgruppe wiederholt auch ihre Einwände gegen F 8, die sie bereits in der Arbeitsunterlage vom 7. September 1999 vorgebracht hat. Der Umstand, daß personenbezogene Daten offentlich verfügbar sind, berührt nicht das Zugangsrecht des Betroffenen.

Die Arbeitsgruppe begrüßt die ausführlichen Informationen die die amerikanische Seite in den Gesprächen der letzten Wochen gegeben hat (insbesondere: Schreiben der FTC, Vergleich der Verfahren zur Beilegung von Streitigkeiten in der amerikanischen Privatwirtschaft, Memorandum zum Fair Credit Reporting Act). Diese Informationen sind nützlich und haben der Arbeitsgruppe ermöglicht, sich ein besseres Bild von den Instrumenten zu machen, die Datensubjekten zur Durchsetzung iher Rechte an die Hand gegeben werden könnten. Nach Prüfung dieser Informationen gibt die Arbeitsgruppe folgendes zu bedenken:

Nach Ansicht der Arbeitsgruppe sollte deshalb jede Feststellung eines angemessenen Schutzniveaus ausdrücklich auf die Sektoren beschränkt werden, für die ausreichende, eindeutige und überprüfte Hinweise auf das Vorhandensein von Durchsetzungsmechanismen vorliegen. Geht nämlich die Feststellung der Angemessenheit über diese Grenzen hinaus, kann sie angefochten werden, und das wäre gegen die Interessen aller Beteiligten.

Der Durchsetzungsgrundsatz ist nach Ansicht der Arbeitsgruppe nur dann tatsächlich wirksam, wenn er eine Entschädigung von Personen vorsieht, die durch seine Verletzung Schaden erlitten haben. Das ist ein grundlegender Standpunkt der Arbeitsgruppe, der für alle Drittländer gilt (siehe Arbeitsunterlage "Übermittlung personenbezogener Daten an Drittländer", WP 12 vom 24. Juli 1998, Seite 14, "Angemessene Entschädigung"). Wo das amerikanische Recht keinen Schadenersatz vorsieht, sollte die Qualifikation eines Unternehmens für den sicheren Hafen von seiner Bereitschaft abhängig gemacht werden, gegebenenfalls Schadenersatz zu leisten.

In FAQ 11 (Behandlung von Beschwerden und der Durchsetzungsgrundsatz) werden Aspekte der Durchsetzung angesprochen, die nach Ansicht der Arbeitsgruppe so grundlegend sind, daß sie in den Durchsetzungsgrundsatz selbst aufgenommen werden sollten. Zur Verknüpfung aller Ebenen der Durchsetzung muß es insbesondere zur Regel werden, daß ungelöste Beschwerdefälle an die FTC verwiesen werden. Außerdem könnte in den Grundsatz noch ein Passus eingefügt werden, wonach Verfahren zur Beilegung von Streitigkeiten transparent sein und zügig ablaufen müssen.

Laut FAQ 11 kann eine Beschwerdestelle Voraussetzungen für die Annehmbarkeit einer Beschwerde festlegen. Nach Ansicht der Arbeitsgruppe müssen solche Voraussetzungen eindeutig formuliert, objektiv und angemessen sein, und die Nichtannahme einer Beschwerde ist zu begründen.

Insgesamt ergeben die amerikanischen Durchsetzungsregelungen ein verwirrendes Bild, das nur schwer erkennen läßt, welche Rechte eine Person bei Verletzung der Grundsätze hat. In FAQ 11 werden lediglich Empfehlungen ausgesprochen, die zu einer unvollständigen und uneinheitlichen Anwendung des Grundsatzes führen können.

Die Arbeitsgruppe hat die von den USA vorgeschlagene Fassung von FAQ 5 erörtert und kommt zu dem Schluß, daß die darin vorgesehene Aufgabe der Datenschutzbehörden rechtlich und praktisch nicht durchführbar ist. Insbesondere sind die Datenschutzbehörden nach dem nationalen Recht nicht befugt, sich mit Verstößen gegen Datenschutzvorschriften zu befassen, die außerhalb ihrer Zuständigkeit liegen.

Andererseits vermerkt sie die Bereitschaft der nationalen Datenschutzbehörden zur Zusammenarbeit in Form von Information und Beratung, soweit das im Rahmen der Regelung des sicheren Hafens von Nutzen ist. Um diese Zusammenarbeit hat die amerikanische Seite für eine bestimmte Zeit nach Inkrafttreten dieser Regelung gebeten.

Die Arbeitsgruppe fordert die Kommission auf zu untersuchen, ob das Angebot der Datenschutzbehörden eine Rolle bei der Erfüllung der Forderungen von Teil a) des Durchsetzungsgrundsatzes spielen kann, sofern das US-Unternehmen sich einseitig verpflichtet, dem Rat der nationalen Datenschutzbehörden zu folgen. Bei Nichtbefolgung würde die FTC wegen unlauteren Geschäftsgebarens einschreiten. Die Datenschutzbehörden sind unter Umständen bereit, während eines Zeitraums von zunächst drei Jahren in dieser Form an der Durchsetzung mitzuwirken. Die Arbeitsgruppe vermerkt außerdem, daß die nationalen Behörden diese Regelung vor Ablauf der drei Jahre überprüfen wollen, wenn sich eine so große Zahl von US-Unternehmen für sie entscheidet, daß sie faktisch zum Ersatz für eigene Durchsetzungsregelungen der USA wird und nicht lediglich eine Übergangslösung ist.[8]

Die Arbeitsgruppe fordert die Kommission ferner auf zu untersuchen, welche Rolle eine europäische Regelung spielen könnte. Sie könnte u. a. ein Forum schaffen, das ein koordiniertes und einheitliches Vorgehen erleichtert.

Die Arbeitsgruppe weist die Kommission auf folgendes hin:

Nach Artikel 1 des Entscheidungsentwurfs gilt als sicherer Hafen eine Organisation, die öffentlich bekanntgegeben hat, daß sie die Grundsätze einhält und den gesetzlichen Befugnissen einer unabhängigen staatlichen Einrichtung unterliegt, die berechtigt ist, im Fall der Nichtbeachtung der Grundsätze Beschwerden zu prüfen und die Unterlassung unfairer und betrügerischer Praktiken zu erwirken.

Die Grundsätze sind an den Text der Entscheidung anzupassen.

Da Unternehmen sich nur dann als sicherer Hafen qualifizieren können, wenn sie in die Zuständigkeit einer staaatlichen Stelle fallen, die befugt ist, gegen unfaire und betrügerische Praktiken vorzugehen, hält die Arbeitsgruppe es für unerläßlich, diesen Punkt zu klären und die Geltung des Konzepts "sicherer Hafen" auf die Bereiche zu beschränken, die in die Zuständigkeit einer solchen staatlichen Stelle fallen.

4. In dem Entscheidungsentwurf wird nirgendes gesagt, unter welchen Voraussetzungen Unternehmen ihren Status eines sicheren Hafens verlieren können oder anders: es fehlen Verfahren für die Streichung von Unternehmen aus dem vom US-Handelsministerium geführten Verzeichnis.

Die einzige Verpflichtung der USA besteht darin, in das Verzeichnis "jede von einer Beschwerdestelle, einem Selbsregulierungsorgan oder einem staatlichen Kontrollorgan übermittelte Meldung fortgesetzter Mißachtung der Grundsätze" aufzunehmen "sowie jede von einer solchen Stelle getroffenen Entscheidung, das jedoch erst, nachdem eine 30-tägige Frist abgelaufen ist, in der das betroffene Unternehmen Gelegenhiet hat zu reagieren." (FAQ 11).

Nach dem Entscheidungsentwurf führt eine derartige Meldung des US-Handelsministeriums aber nur zu einer Aussetzung der Datenübermittlung (Artikel 2 Absatz 2 Buchstabe a). Und selbst wenn einem Unternehmen die Datenübermittlung nach dieser Bestimmung vorübergehend untersagt wird, erscheint das nicht im Verzeichnis des US-Handelsministeriums, denn dort hinein gelangt nichts, was in der EU festgestellt wurde. Die Beteiligten in der EU müssen sich aber auf dieses Verzeichnis verlassen können.

Die Arbeitsgruppe ist überdies der Ansicht, daß die Anwendung von Artikel 2 Absatz 2 (Aussetzung der Datenübermittlung)[9] schwerfällig zu werden droht, und das ist nicht hinnehmbar, wenn persönliche Rechte verletzt werden. Um diesem Umstand Rechnung zu tragen, sollten in Artikel 2 Absatz 2 die Worte "einen nicht wiedergutzumachenden Schaden" ersetzt werden durch die Worte "ernsthaften und unmittelbar drohenden Schaden".

Die Arbeitsgruppe kann deshalb zu dem von diesen beiden Gesetzen gewährleisteten Schutzniveau erst nach ausführlicher Erörterung Stellung nehmen. Wird das Schutzniveau nicht für angemessen erachtet, ist jeder Verweis auf sie aus der Entscheidung zu streichen.

"Artikel 1 berührt nicht die Befugnisse der zuständigen Behörden in den Mitgliedstaaten, Maßnahmen zur Durchsetzung nationaler Rechtsvorschriften zu treffen, die auf anderer Grundlage als der von Artikel 25 und 26 der Richtlinie erlassen wurden."

Die Arbeitsgruppe weist die Kommission auf folgendes hin:

Nach der Richtlinie kann die Kommission gegenüber Drittländern nur tätig werden, a) wenn ein Drittland kein angemessenes Schutzniveau gewährleistet und die Kommission Verhandlungen einleitet, um Abhilfe zu schaffen (Artikel 25 Absätze 4, 5 und 6) oder b) wenn die Kommission befindet, daß bestimmte Standardvertragsklauseln ausreichende Garantien bieten (Artikel 26 Absatz 4). Die Arbeitsgruppe fragt sich deshalb, auf welcher Grundlage die Kommission den von Artikel 26 der Richtlinie eingeräumten Spielraum nutzen will, um US-Unternehmen genügend Zeit für die Entscheidung zu geben, sich dem sicheren Hafen anzuschließen oder nicht.

Die Arbeitsgruppe hat bisher stets die Ansicht vertreten, daß bei der Prüfung der Angemessenheit vertraglich vereinbarter Datenschutzvorkehrungen mehr Aspekte zu berücksichtigen sind, als in Rahmenkonzepten angesprochen werden. Sie hält eine solche Zusage deshalb für verfrüht. Es versteht sich von selbst, daß die Grundsätze des sicheren Hafens zunächst verbessert und für angemessen befunden werden müssen, eher sie sie für die Aufnahme in Mustervereinbarungen in Frage kommen.

Aufgrund der voranstehenden Darlegungen kommt die Arbeitsgruppe zu dem Schluß, daß das Konzept des sicheren Hafens, wie es sich in den gegenwärtigen Fassungen der verschiedenen einschlägigen Dokumente darstellt, noch nicht zufriedenstellend ist. Sie fordert die Kommission auf, bei der amerikanischen Seite auf wesentliche Verbesserungen zu dringen. Folgendes ist zu fordern:

Die diesen Forderungen zugrundeliegenden Überlegungen finden sich in den voranstehenden Teilen dieser Stellungnahme, und die Arbeitsgruppe möchte diese Überlegungen berücksichtigt sehen.

Sie fordert die Kommission außerdem auf, Artikel 2 des Entscheidungsentwurfs zu ändern, um deutlich zu machen, daß die Entscheidung nicht die Befugnis staatlicher Stellen berührt, nationale Rechtsvorschriften durchzusetzen, die nicht auf Artikel 25 und 26 der Richtlinie gründen, und um eine Eingriffsmöglichkeit nach Artikel 2 Absatz 2 für den Fall vorzusehen, daß einer Einzelperson andernfalls ernsthafter Schaden unmittelbar droht.

Schließlich weist die Arbeitsgruppe mit Nachdruck darauf hin, daß die Arbeit an Mustervertragsbestimmungen im Hinblick auf eine Feststellung oder Feststellungen nach Artikel 26 Absatz 4 fortgesetzt und beschleunigt werden muß, denn solche Bestimmungen sind ein wichtiges Mittel, um angemessenen Datenschutz in einfacher und transparenterWeise dort zu gewährleisten, wo er mit anderen Mitteln nicht erzielbar ist.

[1 ]ABl. L 281 vom 23. November 1995, S. 31, zu finden im Internet unter

http://europa.eu.int./comm/dg15/de/media/dataprot/index.htm [LINK]

[2] WP 12 (5025/98): Arbeitsunterlage "Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie der EU, angenommen am 24. Juli 1998 (in 11 Sprachen), Internet-Adresse wie in Fußnote 1.

[3] Entwurf der internationalen Grundsätze des sicheren Hafens, 15. November 1999; Entwurf der häufig gestellten Fragen (FAQ 1-15), 15. November 1999; Zusammenfassung der Entscheidung nach Artikel 25 Absatz 6, Schreiben von David Aaron an John Mogg zur Übermittlung der Grundsätze des sicheren Hafens, der FAQ usw., 16. November 1999; Schreiben von John Mogg an David Aaron zur Übermittlung der Entscheidung nach Artikel 25 Absatz 6 usw., 16. November 1999.
Zu finden im Internet unter http://www.ita.doc.gov/td/ecom/menu.htm [LINK]

[4] In den Leitlinien heißt es:

Personenbezogene Daten sollen nicht für andere als die nach Absatz 9 (Festlegung des Verwendungszwecks) angegebenen Zwecke weitergegeben, zur Verfügung gestellt oder sonstwie verwendet werden, es sei denn,

a) mit ausdrücklicher Zustimmung des Betroffenen oder

b) aufgrund einer Rechtsvorschrift.

[5] "Individual Participation Principle", Buchstabe a) Ziffer iv.

[6] Wie schon erwähnt können Online-Tätigkeiten unter EU-Recht fallen, wenn dabei personenbezogene Daten in der EU direkt von den Betroffenen erhoben werden (siehe oben unter "Geltungsbereich und Aufbau" und "Mitteilung").

[7] Gleiche Anmerkung wie in Fußnote 6.

[8] Einige Delegationen haben Vorbehalte zum Inhalt dieses Absatzes geäußert.

[9] Artikel 2 Absatz 2: "Die zuständigen Behörden in den Mitgliedstaaten können zusätzlich ihre bestehenden Befugnisse ausüben, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung an eine Organisation auszusetzen, die sich den Grundsätzen angeschlossen hat, wenn

Die Aussetzung ist zu beenden, sobald sichergestellt ist, daß die Grundsätze befolgt werden."