Arbeitsgruppe fⁿr den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten

Inhaltsübersicht:

1. Einführung
2. Rechtsgeschichte der einschlägigen Bestimmungen der Richtlinie
3. Gegenwärtiger Stand der nationalen Rechtsvorschriften
4. Schlussfolgerungen

Einführung

Abschnitt IX (1) von Kapitel II der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("die Richtlinie") betrifft die Meldung von Verarbeitungen bei den nationalen Kontrollstellen ("die Kontrollstellen").

Auf der Grundlage des in Artikel 30 Absatz 1, Buchstabe a der Richtlinie festgelegten Mandats hat die Gruppe in ihrer zweiten Sitzung die Diskussion über die mögliche Durchführung der Bestimmungen der Richtlinie zur Meldung aufgenommen. Spezifische Arbeitsunterlagen zur Vereinfachung und Freistellung von der Meldepflicht für Datenverarbeitungen bei den Kontrollstellen wurden von den Delegationen aus Frankreich, den Niederlanden und dem Vereinigten Königreich vorgelegt.

Im Zusammenhang mit der Vereinfachung und der Freistellung von dieser Meldepflicht legte die deutsche Delegation ein Arbeitspapier über die Rolle des unabhängigen Datenschutzbeauftragten in Deutschland vor (interner Datenschutzbeauftragter), auf den in Artikel 18 Absatz 2 der Richtlinie Bezug genommen wurde. (2) Die Diskussion dieses Tagesordnungspunkts wurde in der dritten Sitzung nach einem Vortrag von Vertretern der Datenschutzbeauftragten aus Deutschland fortgesetzt.

Allgemein wurde die Meinung vertreten, daß die Gruppe bei der Auslegung der einschlägigen Bestimmungen der Richtlinie eine sinnvolle Beratungsrolle übernehmen kann. Die Erfahrung einiger Delegationen mit der Anwendung der geltenden einzelstaatlichen Bestimmungen, die bedeutende Ähnlichkeiten mit den Bestimmungen der Richtlinie aufweisen, könne einen Hinweis auf das Funktionieren der verschiedenen, in der Richtlinie dargestellten Optionen bieten.

Die Diskussion machte deutlich, daß die Spezifizierung der Zweckbestimmung zum Zeitpunkt der Meldung bei der Anwendung des Grundsatzes der Spezifizierung der Zweckbestimmung eine bedeutende Rolle spielt. (3) Die Rolle der in den geltenden einzelstaatlichen Rechtsvorschriften gemeldeten Zweckbestimmungen variiert in den einzelnen Rechtssystemen und der Grad der Detaillierung bei der Beschreibung derartiger Zweckbestimmungen ist nicht nur zwischen, sondern auch innerhalb von Mitgliedstaaten unterschiedlich.

Die Gruppe vereinbarte einen Austausch von Mustern von Meldeformularen, um die Spezifizierung der Zweckbestimmung in den einzelnen Mitgliedstaaten zu prüfen. Derartige Muster wurden in der dritten Sitzung verteilt.

Über eine frühere Fassung dieser Unterlage wurde in der vierten Sitzung diskutiert.

1. Insbesondere Artikel 18 bis 20.
2. In der zweiten Sitzung diskutierte Arbeitsunterlage 1.
3. Bisweilen "Finalitäts"-Grundsatz genannt.

Beispiele für die Beschreibung des Zwecks von Verarbeitungen durch eine Bank, eine Arztpraxis und eine Telefongesellschaft wurden in der fünften Sitzung ausgetauscht und dienten als Diskussionsgrundlage.

Nachstehend wird die Rechtsgeschichte der einschlägigen Bestimmungen der Richtlinie dargelegt. In Abschnitt 3 werden einige der wichtigsten Aspekte der derzeitigen Rechtslage auf nationaler Ebene zusammengefaßt. Der letzte Abschnitt zieht einige Schlußfolgerungen und stellt Fragen im Hinblick auf die Art und Weise, in der die Gruppe im Hinblick auf die Meldung vorgehen sollte.

Rechtsgeschichte der einschlägigen Bestimmungen der Richtlinie

Der ursprüngliche Kommissionsvorschlag (4) enthielt zwei Bestimmungen zur Meldung: Artikel 7 zu den Dateien des öffentlichen Sektors und Artikel 11 zu den Dateien des privaten Sektors. Erwägungsgrund 13 machte deutlich, daß die beiden Bestimmungen dasselbe Ziel verfolgen: "Die Transparenz gewährleisten, die für die Ausübung des Rechtes auf Zugang der betroffenen Person zu den sie betreffenden Daten unerläßlich ist." Die Meldepflicht war nur für Dateien vorgesehen, deren Daten möglicherweise weitergegeben werden können.

Durch einige Änderungen des Parlaments wurden diese Bestimmungen wesentlich abgeändert. Der entsprechend den Änderungen des Parlaments abgeänderte Vorschlag enthielt ein völlig neu strukturiertes Meldesystem.

Die Unterscheidung zwischen öffentlichem und privatem Bereich wurde aufgegeben, die Bestimmungen für die Meldung gelten für alle Verarbeitungen. In der Begründung wurde allerdings hervorgehoben, daß die potentielle Erweiterung der Meldepflicht in Verbindung mit der Einführung von Ausnahmebestimmungen sowie der Vereinfachung der Meldung zu lesen ist.

Die allgemeine Zielsetzung der Meldung wurde ebenfalls verändert: Sie soll als Grundlage für eine selektive Überwachung der Zulässigkeit der Verarbeitungen durch die Kontrollbehörden dienen.

Einige Aspekte des geänderten Vorschlags tragen de facto zu einer Beschränkung unnötiger bürokratischer Anforderungen bei. Eine einzige Meldung könnte eine Reihe von Verarbeitungen abdecken, die für einen einzigen Zweck vorgenommen werden. Außerdem haben die Verantwortlichen für die Verarbeitung keine übermäßigen Details anzugeben, da die Meldung lediglich die Kategorien der betroffenen Personen, der Empfänger der Daten oder der Daten zu enthalten hat. Eine Meldung ist nicht erforderlich für die Verarbeitung von Daten, die Mitglieder betreffen, und die üblichen Kontakte gemeinnütziger Einrichtungen nach Artikel 8 Absatz 2 Buchstabe d. Schließlich wurde die Meldung nicht automatischer Verarbeitungen personenbezogener Daten freigestellt.

(4) KOM(90) 314 endg. - SYN 287.

Der geänderte Vorschlag zielte allerdings nicht nur auf eine Einschränkung oder Vereinfachung der Meldepflicht ab, sondern - auf Wunsch des Parlaments - auch auf die Einführung eines Dreistufensystems, das einerseits übermäßige bürokratische Anforderungen vermeidet, gleichzeitig aber verschiedene Sicherheitsniveaus für die Risiken bietet, die die verschiedenen Arten von Verarbeitungen mit sich bringen.

Ein präventives Genehmigungssystem wurde für Verarbeitungen eingeführt, die "besondere Risiken" aufweisen. Die Begründung bezog sich auf- die Verarbeitung sensitiver Daten, auf "schwarze Listen" und Verarbeitungen mit dem Ziel, Dritte über die Solvenz von Personen zu unterrichten, als Beispiele für Verarbeitungen, bei denen eine vorherige Prüfung erforderlich sein kann.

Der endgültige Wortlaut der Bestimmungen über die Meldung behielt die allgemeine Struktur des geänderten Vorschlags bei. Allerdings wurden die Vereinfachung der Meldung und die Ausnahmen von der Meldepflicht im Hinblick auf öffentliche Register und für den Fall hinzugefügt, daß der für die Verarbeitung Verantwortliche nach dem einzelstaatlichen Recht einen Datenschutzbeauftragten bestellt.

Erwägungsgrund 48 macht deutlich, daß der Zweck der Meldeverfahren die Offenlegung der Zweckbestimmungen der Verarbeitungen sowie ihrer wichtigsten Merkmale zur Überprüfung ihrer Vereinbarkeit mit den einzelstaatlichen Datenschutzvorschriften ist.

Nach Erwägungsgrund 52 ist die nachträgliche Kontrolle die normale Form der Überwachung durch die Kontrollstellen. Die Erwägungsgründe 53 und 54 bestätigen, daß die vorherige Prüfung ein etwas außergewöhnliches Verfahren darstellt, das lediglich in Verbindung mit besonderen Risiken anzuwenden ist.

Gegenwärtiger Stand der nationalen Rechtsvorschriften

Eine Meldung der Datenverarbeitung bei den Kontrollstellen gibt es zur Zeit in allen einzelstaatlichen Datenschutzgesetzen. Allerdings ist das Ausmaß der Meldepflicht unterschiedlich.

In Spanien, Luxemburg, Österreich, Portugal, Schweden und dem Vereinigten Königreich sind nahezu alle Verarbeitungen, die in den Anwendungsbereich des Datenschutzgesetzes fallen (5), den Datenschutzbehörden zu melden.

Einige dieser Länder vereinfachen zur Zeit die Anforderungen für die Meldung oder führen Ausnahmebestimmungen für die Meldepflicht ein. Die allgemeinen Meldesysteme haben sich in einigen Fällen als für die Datenschutzbehörden sehr aufwendig herausgestellt. Darüber hinaus

hat es sich als sehr schwierig erwiesen, anhand der Meldungen eine grundlegende Überwachung vorzunehmen.

In Belgien und in den Niederlanden sind die meist geläufigen und weniger risikoreichen Arten der Verarbeitung aufgrund eines Hoheitsaktes nach dem allgemeinen Datenschutzgesetz von der Meldepflicht befreit. Diese Freistellungen betreffen einen sehr hohen Prozentsatz aller Datenverarbeitungen (schätzungsweise über 80%).

In Frankreich gilt für die geläufigsten und weniger risikoreichen Arten der Verarbeitung ein vereinfachtes Meldeverfahren, bei dem der für die Datei Verantwortliche lediglich erklärt, die Daten im Einklang mit der sogenannten "normesimplifiée" zu verarbeiten, die von der Commission Nationale Informatique et Libertés (CNIL) definiert wurde. Vierzig derartige "normes simplifiées" sind bisher definiert worden; sie umfassen eine große Mehrheit der Verarbeitungsvorgänge (75% der Meldungen für 1995 waren vereinfachte Meldungen).

In Italien wurden einige Ausnahmen von der Meldepflicht durch Verordnungen eingeführt, die nach dem allgemeinen Datenschutzgesetz erlassen wurden. Diese Ausnahmebestimmungen finden auf bestimmte Kategorien von Verarbeitungen Anwendung und sind genau spezifizierten Voraussetzungen unterworfen.

In Dänemark (6), Deutschland, Irland und Finnland gilt die Meldepflicht lediglich für bestimmte Arten von Verarbeitungen (7).

Die Meldung erfolgt normalerweise auf besonderen Formblättern. In Belgien kann die Meldung auch auf Computerdisketten erfolgen (8). Im vereinigten Königreich ist die Meldung teilweise auch telefonisch möglich, der Anmelder hat allerdings einen Vordruck mit ergänzenden Informationen auszufüllen. Die Meldeformulare können normalerweise alle Arten von Verarbeitungen umfassen. Im Vereinigten Königreich sind allerdings besondere Muster geschaffen worden. Diese Muster sind normale Meldebögen, in denen alle Teile, die normalerweise für eine bestimmte Art von Dateiverantwortlichen von Bedeutung sind, hervorgehoben wurden.

Die Meldebögen enthalten normalerweise Einzelheiten betreffend den Dateiverantwortlichen und die Verarbeitungen wie die Art der verarbeiteten Daten, die Zwecke der Verarbeitungen, die Personen, die Zugang zu den Daten haben, usw...

(8) Diese Art der Notifizierung wird durch wesentlich geringere Meldegebühren gefördert.

Ein Schlüsselelement der Meldung ist die Beschreibung des Zwecks der Verarbeitung. Im Hinblick auf die Spezifizierung der Zwecke variiert die Praxis in den Mitgliedstaaten. In Belgien und im Vereinigten Königreich liegt dem Meldeformblatt eine Liste vorformulierter Verarbeitungszwecke bei. Die Dateiverantwortlichen werden deshalb normalerweise einen dieser vordefinierten Zwecke wählen (9). Allerdings sind in keinem Land Dateiverantwortliche verpflichtet, auf einen der vordefinierten Zwecke Bezug zu nehmen. Sie können statt dessen eine Beschreibung des Zwecks frei hinzufügen.

Die Aussprachen in der zweiten Sitzung und die in der dritten Sitzung ausgetauschten Meldemuster haben gezeigt, daß die Dateiverantwortlichen dahin tendieren, sehr kurze und oft allgemeine Beschreibungen des Zwecks ihrer Verarbeitung zu liefern.

In den meisten Mitgliedstaaten erfolgt die Analyse der Vereinbarkeit des Vorgangs mit dem Ziel der Verarbeitung bei einer nachträglichen Maßnahme nicht in Verbindung mit der abstrakten Beschreibung der Verarbeitung, sondern unter Bezugnahme auf den materiellen Zweck des konkret vorliegenden Vorgangs.

Die Angabe der allgemeinen Zwecke zum Zeitpunkt der Meldung nimmt der Meldung ihre Funktion. Eine allgemeine Beschreibung des Zwecks erlaubt der Datenschutzbehörde nicht, zu bescheinigen, ob eine Verarbeitung den Rechtsvorschriften entspricht und bringt wenig Nutzen für die Teile der Öffentlichkeit, die das öffentliche Register der Verarbeitungen konsultieren.

Schlussfolgerungen

Die Meldung trägt zur Einhaltung der Grundsätze der Richtlinie bei, weil die für die Verarbeitung Verantwortlichen für die Meldung ihre Verarbeitungen beurteilen und beschreiben und im voraus bestimmen müssen, welche Daten für welchen Zweck verwendet werden sollen. Um diese Aufgaben angemessen zu erfüllen und zur Transparenz der Datenverarbeitung beizutragen, müssen nicht allgemeine, sondern spezifische Informationen übermittelt werden.

Besonders wichtig ist, daß die Zwecke der Verarbeitungen in angemessener Art und Weise spezifiziert werden. Zu allgemeine Definitionen der Zweckbestimmung der Verarbeitung nehmen dem Meldesystem seinen Nutzen. Weder die betroffenen Personen, noch die Kontrollstellen werden in der Lage sein, den gemeldeten Vorgang zu beurteilen oder die Vereinbarkeit der verschiedenen, von den für die Verarbeitung Verantwortlichen beabsichtigten oder durchgeführten Verarbeitungen im Hinblick auf den Zweck zu beurteilen, für den die Daten ursprünglich erfaßt oder weiter verarbeitet wurden.

Die Beurteilung der Vereinbarkeit eines Verarbeitungsvorgangs im Hinblick auf den Zweck, für den die der Datenschutzbehörde zu meldenden Daten ursprünglich erfaßt wurden, ist eine der wichtigsten und schwierigsten Aufgaben bei der Überwachung der Einhaltung des Datenschutzgesetzes. Die Arbeitsgruppe ist entschlossen, gemeinsame

(9) In Belgien gibt es 54 solche Zwecke, im Vereinigten Königreich 70.

Methoden für die Beurteilung der Vereinbarkeit des Zwecks der Verarbeitungen zu entwickeln.

Bedeutende Unterschiede bei der Beschreibung des Zwecks der Verarbeitungen in den einzelnen Mitgliedstaaten wären nicht nur ein Problem für die für die Verarbeitung Verantwortlichen, sondern könnten auch die Gleichwertigkeit des Schutzniveaus in der Gemeinschaft in Frage stellen. Aus der Analyse der geltenden einzelstaatlichen Meldevorschriften geht hervor, daß keine grundlegenden Unterschiede im Hinblick auf die Art und Weise vorliegen, in der der Zweck in den Mitgliedstaaten beschrieben wird. Allerdings unterscheiden sich die Art und die Menge der angegebenen Details je nach den einzelnen einzelstaatlichen Verfahren und je nach der Struktur der Meldeblätter.

Die Erfahrung der Mitgliedstaaten, die derartige Vorschriften haben, macht deutlich, daß vorformulierte Listen der häufigsten Zwecke von den für die Verarbeitung Verantwortlichen geschätzt werden und die Bearbeitung der Meldungen durch die Kontrollstellen vereinfachen. Die Gruppe wird die Möglichkeit einer Definition standardisierter Beschreibungen des Zwecks häufig vorkommender Verarbeitungen als Leitfaden für die für die Verarbeitung Verantwortlichen weiter prüfen.

Übermäßige bürokratische Anforderungen im Zusammenhang mit der Meldung belasten nicht nur die Wirtschaft, sondern machen die gesamte logische Grundlage der Meldung zunichte, indem sie für die Datenschutzbehörden zu einer zu großen Belastung werden. Einige Länder haben eine vereinfachte Meldung oder Ausnahmebestimmungen zur Meldepflicht eingeführt oder daran Interesse bekundet. Nach der Richtlinie kann eine vereinfachte Meldung oder eine Ausnahme von der Meldepflicht im Zusammenhang mit Verarbeitungskategorien gewährt werden, bei denen eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist. Einige Bestandteile sind im Hinblick auf derartige Verarbeitungskategorien zu spezifizieren (10).

Eine Vereinfachung der Meldung oder eine Ausnahme von der Meldepflicht sind auch möglich, wenn der für die Verarbeitung Verantwortliche im Einklang mit den einzelstaatlichen Rechtsvorschriften einen internen Datenschutzbeauftragten bestellt. Dieser hat sicherzustellen, daß eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist. Gemäß der Richtlinie hat der Datenschutzbeauftragte die Anwendung der zur Umsetzung erlassenen einzelstaatlichen Bestimmungen in unabhängiger Art und Weise zu überwachen und ein Verzeichnis der Verarbeitungen zu führen, das die Informationen enthält, die normalerweise im öffentlichen Verzeichnis der Verarbeitungen stehen (2).

Die Einführung interner Datenschutzbeauftragter verringert die Notwendigkeit zentralisierter Überwachung. Die Datenschutzgruppe unterstützt die Einführung solcher Datenschutzbeauftragter auf freiwilliger Grundlage oder als vorgeschriebene Maßnahme. Allerdings müssen diese Datenschutzbeauftragten mit den Mitteln ausgestattet werden, die ihnen eine effiziente Erfüllung ihrer Aufgaben ermöglichen. Sollten die Befugnisse

und Ressourcen der internen Datenschutzbeauftragten nicht ausreichen, um sicherzustellen, daß die Rechte und Freiheiten der betroffenen Personen nicht beeinträchtigt werden, so wären die Abweichungen von den normalen Meldeanforderungen nicht länger gerechtfertigt.

Die tatsächliche Unabhängigkeit derartiger Schutzbeauftragter bei der Sicherstellung der Anwendung des Datenschutzgesetzes ist für die Gewährleistung, der Rechte der betroffenen Personen und als Garantie für die Einhaltung des Datenschutzgesetzes von wesentlicher Bedeutung. Es sollte angemessene Garantien dafür geben, daß sichergestellt ist, daß der/die Datenschutzbeauftragten in Erfüllung ihres Amtes insbesondere vom Management unabhängig sind.

Ein gewisses Maß an Übereinstimmung besteht im Hinblick auf die Kategorien von Verarbeitungen, die die Rechte und Freiheiten der betroffenen Personen wahrscheinlich nicht beeinträchtigen. Dazu gehört die Datenverarbeitung im Zusammenhang mit Lohn- und Gehaltsführung, Buchführung, Partnern und Anteilseignern, Kunden und Lieferanten usw.

Die Datenschutzgruppe ist entschlossen, die Arbeit im Zusammenhang mit der Definition einer Liste der Verarbeitungen fortzusetzen, die - unabhängig von den Vorkehrungen, die die Mitgliedstaaten für die Umsetzung der einschlägigen Vorschriften der Richtlinie auf dem Verfahrenswege erlassen haben - als Bezugsgröße für die Entscheidung darüber dienen könnte, welche Verarbeitungen die Rechte und Freiheiten der betroffenen Personen weniger beeinträchtigen könnten.

Eine Meldung mit anderen Mitteln als gedruckten Formularen macht die Meldung sowohl für die für die Verarbeitung Verantwortlichen als auch für die Behörden effizienter. Die Gruppe unterstützt die Verwendung derartiger Formen der Meldung, die ein Mittel zur Reduzierung der Kosten für die Wirtschaftsteilnehmer darstellen und um eine weniger kostenintensive, effizientere Überwachung durch die Kontrollbehörden zu ermöglichen.

Eine der Funktionen der Meldung ist die Information der Öffentlichkeit über bestehende Verarbeitungen auf dem Wege der öffentlichen Verarbeitungsregister. Die Gruppe hält es für sehr wichtig, daß das Register der Öffentlichkeit leicht zugänglich gemacht wird. Sie betrachtet mit Interesse die Vorhaben, die öffentlichen Register über das Worldwide web zugänglich machen. Die Gruppe hält es für notwendig, angemessene Vorsichtsmaßnahmen zu erlassen, um zu verhindern, daß die in den Registern der Verarbeitungen erfaßten personenbezogenen Daten zweckentfremdet verwendet werden.