Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten
ERSTER JAHRESBERICHT
Von der Arbeitsgruppe am 25. Juni 1997 angenommen
Inhalt
2 Entwicklungen in der Europäischen Union
2.1.1 Datenschutzarbeitsgruppe
2.1.2 Umsetzung in nationale Rechtsvorschriften und Gleichwertigkeit des Schutzniveaus
2.2 Entwicklungen im Bereich Datenschutz. Tätigkeit der Datenschutzbehörden
2.2.1 Nationale Ebene 2.2.2 Internationale Ebene
2.3 Entwicklungen der Datenschutzpolitik der Europäischen Union
2.3.1 Gemeinschaftskoordination in internationalen Foren
2.3.2 Bereichsspezifische Initiativen
2.3.3 Datenschutz und Informationsgesellschaft
2.3.4 Datenschutz im Rahmen anderer Gemeinschaftsinstrumente
2.3.5 Datenschutz im Rahmen von Nicht-Gemeinschaftsinstrumenten
2.5 Dialog mit Drittländern über Fragen des Datenschutzes
4 Wichtige Entwicklungen in Drittländern
4.1 Europäischer Wirtschaftsraum
4.2 Mittel- und osteuropäische Länder
5 Sonstige Entwicklungen auf internationaler Ebene
5.1 Internationales Arbeitsamt
5.2 Organisation für wirtschaftliche Zusammenarbeit und Entwicklung OECD
5.3 Internationale Konferenzen und Debatten
Die durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Europäischen Rates vom 24. Oktober 1995 eingesetzte Arbeitsgruppe für den Schutz von Personen bei der Bearbeitung personenbezogener Daten hat,unter Berücksichtigung der Artikel 29 und 30 Absatz 6, unter Berücksichtigung ihrer Geschäftsordnung und insbesondere der Artikel 12, 13 und 15 den vorliegenden Jahresbericht angenommen.
Einleitung
Am 24. Oktober 1995 haben das Europäische Parlament und der Rat die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachstehend "die Richtlinie”) erlassen.
Die Richtlinie schafft ein europäisches harmonisiertes Regelwerk in dem Bereich, der herkömmlicherweise als "Datenschutz-Bereich” bezeichnet wird.
Artikel 29 der Richtlinie hat die Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt. Diese hat jährlich einen Bericht über den Stand des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und in Drittländern zu erstellen, den sie der Kommission, dem Europäischen Parlament und dem Rat übermittelt. Der Bericht wird veröffentlicht.
Der erste Bericht enthält die wichtigsten Entwicklungen im Datenschutzbereich im Jahre 1996. Abschnitt 2 enthält einen Überblick über die Entwicklungen in der Europäischen Union, sowohl in den Mitgliedstaaten als auch auf Gemeinschaftsebene. Abschnitt 3 bezieht sich auf die Arbeit des Europarats. Abschnitt 4 geht auf die wichtigsten Entwicklungen in Drittländern ein und Abschnitt 5 berichtet über weitere Entwicklungen auf internationaler Ebene.
2 Entwicklungen in der Eropäischen Union
2.1 Die Richtlinie
Der Prozeß der Durchführung der Richtlinie lief 1996 in allen Mitgliedstaaten und auf europäischer Ebene an. Abschnitt 2.1.1 stellt die Aufgaben der Arbeitsgruppen und ihre Tätigkeiten im Jahre 1996 dar, Abschnitt 2.1.2 beschreibt die Verfahren für die Umsetzung der Richtlinie auf nationaler Ebene und Abschnitt 2.1.3 hebt die Maßnahmen hervor, die die Organe der Europäischen Gemeinschaften getroffen haben, um den Vorschriften der Richtlinie zu entsprechen.
2.1.1 Datenschutzarbeitsgruppe
Die Arbeitsgruppe setzt sich aus Vertretern der unabhängigen nationalen Datenschutzbehörden sowie einem Vertreter der Kommission zusammen und wird einen Vertreter der innerhalb der europäischen Institutionen mit Datenschutzfragen beauftragten Stellen umfassen, sobald diese geschaffen sind.
Durch das Zusammentragen der Erfahrungen der nationalen Behörden wird die Arbeitsgruppe einen kohärenten Ansatz an die Umsetzung der allgemeinen Grundsätze der Richtlinie fördern und die Kommission in Fragen des Datenschutzes beraten. Sie hat insbesondere die Aufgabe, ihre Stellungnahme zum Niveau des Schutzes in der Union und in Drittländern abzugeben; außerdem kann sie Empfehlungen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten betreffen.
Die erste Sitzung der Arbeitsgruppe fand am 17. Januar 1996 statt. Der rasche Beginn der Arbeiten der Arbeitsgruppe entsprach der Forderung der nationalen Datenschutzbehörden. Peter J. HUSTINX, der Präsident der niederländischen Datenschutzbehörde (Registratiekamer), wurde zum Vorsitzenden, Louise CADOUX, Mitglied der französischen Datenschutzbehörde (Commission Nationale de l'Informatique et des Libertés) wurde zur stellvertretenden Vorsitzenden der Arbeitsgruppe gewählt. Die Arbeitsgruppe trat 1996 viermal zusammen. Im Mittelpunkt der Aussprachen standen die Übermittlung von Daten in Drittländer und das Schutzniveau in Drittländern, die Meldeverfahren, die Ausnahmen von den grundlegenden Datenschutzvorschriften und die Anwendung des Datenschutzrechtes auf die Medien im Lichte der - in der Richtlinie stehenden - Anforderung, ein Gleichgewicht zwischen freier Meinungsäußerung und Recht auf Privatsphäre herzustellen. Dazu wurde 1997 eine Empfehlung angenommen.
2.1.2 Umsetzung in nationale Rechtsvorschriften und Gleichwertigkeit des Schutzniveaus
In diesem Abschnitt soll der Stand der Umsetzung der Richtlinie in die nationalen Rechtsvorschriften wiedergegeben werden.
In Belgien haben die parlamentarischen Verfahren für die Umsetzung der Richtlinie in die nationalen Rechtsvorschriften begonnen. Die Datenschutzbehörde (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levenssfeer) hat eine Stellungnahme zu dem vom Justizministerium vorgelegten Gesetzesentwurf abgegeben. Einige Königliche Erlasse zur Durchführung des Gesetzes aus dem Jahre 1992 wurden 1996 erlassen. Diese Königlichen Erlasse berücksichtigen die Anforderungen der Richtlinie bereits soweit wie möglich.
In Dänemark hat der Justizminister 1996 einen Ausschuß eingesetzt, der einen Vorschlag für eine Rechtsvorschrift zur Umsetzung der Richtlinie ausarbeiten soll. Der Ausschuß, der sich aus Vertretern privater Organisationen und staatlicher Behörden zusammensetzt, soll seine Arbeiten nach Möglichkeit bis zum 1. Juli 1997 abschließen. Beabsichtigt wird, im Herbst 1997 einen Vorschlag vorzulegen. Die dänische Datenschutzbehörde (Registertilsynet) ist im Ausschuß vertreten.
Das spanische Justizministerium hat einen Ausschuß für die Arbeiten zur Umsetzung der Richtlinie in die nationalen Rechtsvorschriften eingesetzt. Im Oktober 1996 fand auf Initiative der Datenschutzbehörde (Agencia de protección de datos) ein Treffen von Sachverständigen statt, die spezifische Aspekte im Zusammenhang mit der Umsetzung der Richtlinie prüften. U.a. wurden die Auswirkungen der Richtlinie auf die spanische Rechtsordnung, ein Vergleich der Grundsätze und Rechte im geltenden Datenschutzgesetz (ley organica 5/1992) und in der Richtlinie sowie die Fragen Computerfreiheit und Regelung der grenzüberschreitenden Übermittlungen personenbezogener Daten behandelt.
Der Bundesgesetzgeber ist primär für die Umsetzung der Richtlinie in das deutsche Recht verantwortlich. Diese Zuständigkeit - aufgrund seiner legislativen Befugnisse nach Artikel 74 des Grundgesetzes - erstreckt sich nicht nur auf den staatlichen Bereich des Bundes, sondern auch auf den nichtstaatlichen Bereich, in dem die meisten Änderungen zu erwarten sind. Das Bundesministerium des Inneren spielt bei der Umsetzung eine führende Rolle. Nicht nur Bundesrecht, sondern - hauptsächlich im öffentlichen Bereich - auch die Datenschutzgesetze der Länder sind mit den Bestimmungen der Richtlinie in Einklang zu bringen. Neben den allgemeinen Datenschutzgesetzen müssen viele Vorschriften von Bund und Ländern in spezifischen Bereichen des Datenschutzrechts geprüft werden. Der Bundesdatenschutzbeauftragte, die Datenschutzbeauftragten der Länder und die Kontrollbehörden für den nichtöffentlichen Sektor haben die bevorstehende Änderung des deutschen Datenschutzgesetzes im Rahmen ihrer jeweiligen Zuständigkeiten behandelt. In der Zwischenzeit hat die Bundesregierung eine Gesetzesvorlage erarbeitet.
Das griechische Datenschutzgesetz (Gesetz 2472/97 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten) wurde vom griechischen Parlament am 26.3.1997 angenommen und am 10.4.1997 veröffentlicht. Im Hinblick auf die Bestallung und die Organisation der Datenschutzbehörde ist es bereits in Kraft. Was die Verarbeitung, die Rechte der natürlichen Personen usw. anbetrifft, wird das Gesetz nach der Ernennung der Mitglieder der Datenschutzbehörde in Kraft treten. Nach den gesetzlichen Bestimmungen wird der Vorsitzende der Behörde (ex officio ein Richter des höchsten Gerichtshofs) von der Regierung ernannt, die sechs Mitglieder ernennt das Parlament. Diese Ernennungen dürften innerhalb von 60 Tagen nach Veröffentlichung des Gesetzes, d.h. zum 10.6.97 erfolgen.
In Frankreich hat die Regierung die Aufgabe, den Gesetzesentwurf vorzubereiten; sie prüft die Frage zur Zeit. Die Ergebnisse ihrer Überlegungen und der Zeitplan für die neue Rechtsvorschrift sind noch nicht bekannt. Die französische Datenschutzbehörde, Commission Nationale de l'Informatique et des Libertés (CNIL), wird von der Regierung zu den ersten Entwürfen der Rechtsvorschrift konsultiert werden, sobald die Regierung ihre Politik genauer bestimmt hat.
In Irland ist der Justizminister für das Datenschutzgesetz zuständig. Er hat erklärt, daß die erforderlichen gesetzgeberischen Maßnahmen zur Umsetzung der Richtlinie, die Änderungen des Datenschutzgesetzes aus dem Jahre 1988 nach sich ziehen werden, sobald wie möglich mit dem Ziel der Annahme vor Oktober 1998 vorgelegt werden sollen.
In Italien hat die Regierung dem Parlament im Juni 1996 den Entwurf eines Datenschutzgesetzes vorgelegt. Das Gesetz wurde am 31. Dezember 1996 angenommen und trat am 8. Mai 1997 in Kraft. Das Parlament ermächtigte die Regierung, gesetzgeberisch tätig zu werden, um das Datenschutzgesetz bis Juli 1998 zu ändern und zu ergänzen.
In Luxemburg ist das Justizministerium für die Umsetzung der Richtlinie in die innerstaatlichen Rechtsvorschriften zuständig. Ein Gesetz ist zur Zeit in Vorbereitung, das vor der Verabschiedung durch die Regierung mit den wichtigsten Vertretern des öffentlichen und privaten Sektors erörtert wird. Die anschließenden parlamentarischen Verfahren sind nach Möglichkeit für Ende 1997 oder spätestens Anfang 1998 vorgesehen.
Die niederländische Regierung hat ihre Absicht bekundet, das seit 1. Juli 1989 geltende Datenschutzgesetz durch ein vollständig neues Datenschutzgesetz zu ersetzen, das der Richtlinie entspricht. Im September 1996 war einer Reihe von Organisationen, darunter der Datenschutzbehörde (Registratiekamer) ein erster Vorentwurf zur Stellungnahme vorgelegt worden. Eine geänderte Fassung des Gesetzes wird dem Raad van Staten voraussichtlich im Frühjahr und dem Parlament im Herbst 1997 vorgelegt werden.
Das österreichische Bundeskanzleramt erarbeitet zur Zeit einen Entwurf für die Umsetzung der Richtlinie in die innerstaatlichen Rechtsvorschriften, der anschließend im Datenschutzrat erörtert und Ende 1997 dem Parlament unterbreitet werden soll.
Die Verfassung der Portugiesischen Republik enthält Bestimmungen für den Datenschutz, die in einigen Fällen restriktiver sind als die Bestimmungen der Richtlinie. Deshalb ist eine Revision der Verfassung für die Umsetzung der Richtlinie erforderlich. Auf Ersuchen des parlamentarischen Ausschusses für die Überprüfung der Verfassung hat die portugiesische Datenschutzbehörde (Comissão Nacional de Protecção de Dados Pessoais Informatizados, CNPDPI) einen Vorschlag zur Änderung der einschlägigen Verfassungsbestimmung vorgelegt. Die Zustimmung der politischen Parteien zu dieser Verfassungsänderung wird Anfang 1997 erwartet.
In Finnland hat ein Ad-hoc-Ausschuß für die Umsetzung der Richtlinie (Henkilötietotoimikunta) im Oktober 1995 die Arbeit mit dem Ziel aufgenommen, sie im März 1997 abzuschließen.
In Schweden wird der für die offizielle Prüfung des Datenschutzgesetzes zuständige Ausschuß (Datalagskommittën) im März 1997 ein neues Datenschutzgesetz zur Umsetzung der Richtlinie vorschlagen.
Das Innenministerium des Vereinigten Königreichs veröffentlichte im März 1996 ein Konsultationspapier zur Durchführung der Richtlinie. Die Konsultation endete am 19. Juli 1996. Der "UK Data Protection Registrar” veröffentlichte ferner im April 1996 eine Reihe von Artikeln, "Questions to Answer”, als Anregung für die Debatte und als Hintergrundinformation für die, die sich an der Konsultation des Innenministeriums beteiligen wollten. Rund 3.000 Exemplare wurden an Interessierte verteilt. Die offizielle Antwort des "Registrar” auf das Konsultationspapier des Innenministeriums, "Our Anwers”, wurde ebenfalls seit Juli breit verteilt. Das Innenministerium veröffentlichte eine Zusammenfassung der Reaktionen auf sein Dokument. Ein Datenschutzgesetz wurde für die parlamentarische Sitzungsperiode 1997-98 angekündigt.
2.1.3 Einhaltung der Richtlinie auf der Ebene der europäischen Institutionen
Die europäischen Institutionen, und insbesondere die Kommission, verarbeiten laufend personenbezogene Daten im Rahmen ihrer Tätigkeiten. Die Kommission tauscht personenbezogene Daten mit den Mitgliedstaaten im Rahmen der gemeinsamen Agrarpolitik, bei der Verwaltung des Zollsystems, der Verwaltung der Strukturfonds usw. aus. Um beim Schutz in Europa keine Lücke zu lassen, erklärte die Kommission, als sie die Richtlinie 1990 vorschlug, daß sie die Grundsätze der Richtlinie ebenfalls einhalten werde.
Bei Erlaß der Richtlinie verpflichteten sich die Kommission und der Rat in einer öffentlichen Erklärung, die Richtlinie einzuhalten, und forderten die anderen Organe und Einrichtungen der Gemeinschaft auf, ihrem Beispiel zu folgen.
In der Regierungskonferenz für die Überprüfung der Verträge wurde die Frage der Anwendung der Datenschutzbestimmungen in den europäischen Institutionen von der niederländischen und der griechischen Regierung gestellt.
Das Europäische Parlament forderte die Kommission in seiner Entschließung Nr. 41 zum Arbeitsprogramm der Kommission für 1997 auf, ein unabhängiges Datenschutzüberwachungsgremium zu schaffen.
Die Kommission hat ihrerseits verschiedene Maßnahmen getroffen, um sicherzustellen, daß die Grundsätze des Datenschutzes auf die personenbezogenen Daten Anwendung finden, die sie verarbeitet:
- zum einen ist hervorzuheben, daß die Kommission sich selbst als durch die in der Richtlinie verankerten Grundsätze gebunden betrachtet und ihre Dienststellen deshalb verpflichtet sind, sie bei der Verarbeitung personenbezogener Daten immer anzuwenden. Dieser Schutz erstreckt sich auf alle Personen, unabhängig davon, ob es sich um Beamte der Kommission oder Dritte wie Diensterbringer, Beamte eines Mitgliedstaats, die mit der Kommission zu tun haben, oder andere, an der Durchführung der Gemeinschaftspolitik beteiligte Personen handelt. Diese Verpflichtung von seiten der Kommission wurde mit der Veröffentlichung der oben erwähnten Erklärung im Jahre 1990 und der gemeinsamen Erklärung mit dem Rat 1995 publik gemacht;
- mit einem Vermerk vom 9. Oktober 1995 übermittelte der Generalsekretär der Kommission allen Dienststellen Leitlinien zur Erleichterung der praktischen Umsetzung der in der Richtlinie festgelegten Grundsätze. Das Dokument geht auf diese Grundsätze im Hinblick auf die spezifischen Erfordernisse der Kommissionsdienststellen ein. Das Generalsekretariat führt zur Zeit eine Informationskampagne für die Dienststellen durch. Da diese Leitlinien als internes Dokument zur Erläuterung organisatorischer Vorkehrungen für die Arbeit der Dienststellen konzipiert waren, wurden keine besonderen Vorkehrungen für eine Veröffentlichung getroffen;
- alle Generaldirektionen oder Abteilungen sind aufgerufen, die in der Richtlinie festgelegten Grundsätze in die Praxis umzusetzen. Dies erfolgt natürlich im Rahmen der vorhandenen Maßnahmen, wie der Sicherheitsmaßnahmen für die Datenverarbeitungsnetze innerhalb der Kommission und der Artikel des Statuts zum Schutz. Die GD XV ("Binnenmarkt und Finanzdienstleistungen”) hat einen internen Datenschutzbeauftragten eingesetzt, der die Aufgabe hat, bei den unter ihrer Verantwortung verarbeiteten personenbezogenen Daten für die korrekte Anwendung der Schutzbestimmungen zu sorgen.
Das Generalsekretariat des Rates der Europäischen Union hat interne Regeln ausgearbeitet, um sicherzustellen, daß die Grundsätze der Richtlinie auf die unter seiner Verantwortung verarbeiteten personenbezogenen Daten Anwendung finden.
2.2Entwicklungen
im Bereich Datenschutz. Tätigkeit der DatenschutzbehördenIn diesem Abschnitt werden die wichtigsten Entwicklungen im Bereich Datenschutz unter besonderer Berücksichtigung der Arbeit der nationalen Datenschutzbehörden sowohl auf nationaler (2.2.1) als auch auf internationaler Ebene (2.2.2) dargestellt.
2.2.1 Nationale Ebene
Dieser Abschnitt geht auf einige der wichtigsten Fragen ein, die von den nationalen Datenschutzbehörden hinsichtlich der Anwendung der geltenden Datenschutzgesetze gestellt wurden. Weitere Informationen sind bei den Datenschutzbehörden erhältlich, die detaillierte Jahresberichte veröffentlichen.
Die belgische Datenschutzbehörde (Commission de la protection de la vie privée/Commissie voor de bescherming van privaat levenssfeer) gab rund 30 Stellungnahmen in Anwendung des Datenschutzgesetzes vom 8. Dezember 1992 und anderer Gesetze ab, die Datenschutzbestimmungen enthalten. Einige dieser Stellungnahmen bezogen sich auf das nationale Personenregister. Die Behörde richtete eine Empfehlung an die Dateiverantwortlichen, bearbeitete rund 100 Anfragen und etwa 40 Beschwerden. Eine der wichtigsten Tätigkeiten bestand 1996 in der Verwaltung neuer Meldungen. Stichtag für die Meldung existierender Verarbeitungen war der 1. Juni 1996. Über die bereits eingegangenen 2000 hinaus gingen mehr als 7500 Meldungen ein.
In Dänemark trat am 1. Januar 1997 eine kleine Änderung des Gesetzes über Aufzeichnungen im Besitz staatlicher Behörden in Kraft, mit der das Recht der staatlichen Behörden erweitert wurde, privaten Ratingagenturen Daten über Schulden bei diesen Behörden zu übermitteln.
Ein besonders wichtiger, von der Datenschutzbehörde 1996 bearbeiteter Fall betraf die Verwendung des Internets durch die staatlichen Behörden zum Zwecke der Offenlegung von Daten über Besitz, Anschriften, Eigentum und Bewertung für das gesamte unbewegliche Vermögen in Dänemark. Die Behörde vertrat die Auffassung, daß die Veröffentlichung über das Internet keinen Verstoß gegen das Datenschutzgesetz darstelle, und genehmigte die Veröffentlichung der der Öffentlichkeit bereits zugänglichen Daten im Internet. Zu dieser Entscheidung trug die Ansicht bei, daß die Veröffentlichung in einer Internet Webpage jeder anderen Veröffentlichung gleichwertig ist.
Die Behörde gab Stellungnahmen zu neuen Rechtsvorschriften ab, darunter einem Vorschlag für ein Gesetz über die Verwendung von medizinischen Daten in Beschäftigungsfragen, über das Europol-Übereinkommen, über den Entwurf des Eurodac-Übereinkommens und über das Übereinkommen des Europarats über Menschenrechte und Biomedizin. Schließlich führte die Behörde rund 50 Einzelprüfungen bei Privatunternehmen und staatlichen Behörden durch.
Die Verwendung der Telekommunikationsdienste durch private Kabelbetreiber als Folge der Liberalisierung des Telekommunikationssektors machte es in Deutschland erforderlich, die entsprechenden Rechtsgrundlagen im Hinblick auf das Datenschutzgesetz zu schaffen. Der Bundestag nahm am 13. Juni 1997 ein Gesetz über Informations- und Kommunikationsdienste an. Diesem zufolge muß die Gestaltung und Auswahl der technischen Anlagen für Telekommunikationsdienste auf das Ziel ausgerichtet sein, die Sammlung oder Verarbeitung personenbezogener Daten völlig oder soweit wie möglich zu vermeiden. Bedauerlicherweise sind die ursprünglich geplanten Datenschutzprüfungen fallen gelassen worden. Das im August 1996 in Kraft getretene Telekommunikationsgesetz übertrug dem Bundesdatenschutzbeauftragten die Kontrolle des Datenschutzes für alle Unternehmen, die Telekommunikationsdienste erbringen. Damit wurde seine beratende und überwachende Rolle beträchtlich erweitert (Anfang 1997 bereits mehr als 1100 Firmen).
Neue Bereiche führen in Deutschland zu wachsender Besorgnis. Die Bedeutung der Genomanalyse als zusätzliche Methode gerichtlicher Untersuchung bei der Verfolgung und Bestrafung von Verbrechen nimmt immer mehr zu. Das deutsche Strafprozeßrecht wurde 1996 durch Bestimmungen über den genetischen Fingerabdruck erweitert. DNA-Analysen bedeuten allerdings ein bedeutendes Eindringen in die Privatsphäre. Das automatische Speichern genetischer Fingerabdrücke bleibt deshalb weiterhin problematisch, aber das Gesetz schweigt zu diesem Punkt. Auch die allgemeine Verwendung von Chipkarten hat schwerwiegende Auswirkungen auf den Schutz der Privatsphäre.
Die Tätigkeit der spanischen Datenschutzbehörde (Agencia de protección de datos) nahm 1996 stark zu. 1152 Beschwerden wurden behandelt (+245 % im Vergleich zu 1995), 268 Fälle wurden untersucht (+160 %), 90 Disziplinarverfahren wurden eingeleitet (+200 %) und 534 Verwaltungsverfahren wurden in die Wege geleitet, um die Rechte auf Zugang, Berichtigung und Löschung durchzusetzen (534 %). Der Sonderdienst für die Beziehungen zu den Bürgern behandelte 600 schriftliche Auskunftsersuchen und mehr als 8000 mündliche Anfragen. 37 Übermittlungen ins Ausland wurden 1996 genehmigt.
Die Commission Nationale de l'Informatique et des Libertés (CNIL) in Frankreich behandelte mehrere Vorschläge zur Drosselung der Gesundheitsausgaben und befaßte sich mit dem nationalen Register der dem System der sozialen Sicherheit angeschlossenen Personen. Die CNIL war an der Arbeit des Internationalen Arbeitsamtes über Leitlinien für den Datenschutz für Arbeitnehmer beteiligt. Im Zusammenhang mit der Verwendung neuer Technologien gab die CNIL Stellungnahmen zur Aufnahme von Radarbildern auf Autobahnen, der Erfassung aller Bewegungen von Arbeitern im Rahmen der ISO-Norm 9000 über die Qualität und zu bestimmten Anwendungen der elektronischen Wahl und des elektronischen Zahlungsverkehrs ab. 1995 legte die CNIL Normen für die Aufnahme von Verzeichnissen im Internet fest, 1996 begann sie mit der Prüfung verschiedener Fragen im Zusammenhang mit Online-Diensten, der Sammlung von Daten für Messungen der Einschaltquote von Websites, dem Funktionieren von Newsgroups, den speziellen Bedingungen für die Schaffung der Homepage des Premierministers usw.
Der irische Datenschutzbeauftragte führte ausführliche Gespräche mit Telecom Eireann, der irischen nationalen Telefongesellschaft, die ein System der Identifizierung des Anrufers einzuführen beabsichtigte. Er hob die die Privatsphäre betreffenden Erwägungen hervor, die in Betracht gezogen werden sollten, sowie die entsprechenden erforderlichen Maßnahmen. Diese Diskussionen werden fortgesetzt. 1996 wurde der Beauftragte von den Gesundheitsbehörden vor der Einführung eines Pilotvorhabens zur Verwendung von Chipkarten für Gesundheitsdaten konsultiert. Nach diesen Konsultationen erfüllten die irischen Gesundheitsbehörden die Forderungen des Datenschutzbeauftragten ohne Einschränkungen. Ein Regierungsbericht mit Vorschlägen für den Datenaustausch zwischen staatlichen Behörden, bei dem die RSI (Steuer- und Sozialversicherungs)-Nummern der Bürger zur Identifizierung verwendet werden, wurde 1996 veröffentlicht; der Datenschutzbeauftragte reagierte im Hinblick auf die Auswirkungen auf die Privatsphäre besorgt. Darüber wurde in den Medien ausführlich berichtet. Eine Reihe von Beschwerden von Personen bezog sich auf die Art und Weise, in der - insbesondere durch Unternehmen im Bank- und Versicherungssektor - personenbezogene Informationen in zunehmendem Maße telefonisch erhältlich sind. Der Datenschutzbeauftragte ergriff Schritte, um den beteiligten Unternehmen die Verpflichtung zu loyaler Sammlung von Informationen bewußt zu machen, und kommentierte diese Angelegenheit in seinem Jahresbericht. Die Anfragen beim Büro des Datenschutzbeauftragten im Jahre 1996 machten eine immer stärkere Sensibilisierung der für die Verarbeitung Verantwortlichen in Fragen des Datenschutzes deutlich. Auch einzelne Bürger suchten sowohl zwecks Information als auch für Hilfe bei besonderen Schwierigkeiten immer häufiger den Kontakt.
Aufgrund der weiterhin gültigen Datenschutzbestimmung (Gesetz vom 31. März 1979) besitzt Luxemburg noch keine unabhängige Datenschutzbehörde, aber einen Ausschuß mit folgenden offiziellen Aufgaben: a) Abgabe von Stellungnahmen für die Regierung zu Anfragen für den Erhalt einer Lizenz für den Betrieb von Datenbanken; b) Information der Regierung über mögliche Gesetzesverletzungen. 1996 bestand die Hauptaufgabe des Ausschusses in der Analyse möglicher Probleme im Zusammenhang mit der Privatisierung des Telekommunikationssektors, und insbesondere der Frage der Veröffentlichung von Verzeichnissen von Teilnehmern durch ein Privatunternehmen.
Die niederländische Datenschutzbehörde (Registratiekamer) war an der Ausarbeitung eines Verhaltenskodexes für die Verwendung multifunktioneller Chipkarten beteiligt. Sie veröffentlichte Berichte über genetische Daten, über die Aufzeichnung von Telefongesprächen am Arbeitsplatz und die Videoüberwachung von der Öffentlichkeit zugänglichen Orten. Andere wichtige Fragen betrafen die Privatisierung der sozialen Sicherheit und die verstärkte Verwendung von Personenkennzeichen. Die Registratiekamer hat an der Entwicklung von Normen für die Informationssicherheit und der Förderung der Verwendung von Technologien, die den Schutz der Privatsphäre verstärken (PET's), mitgearbeitet. Sie führte Kontrollen der Wahrung der Privatsphäre in einem psychiatrischen Krankenhaus, einem Kreditauskunftsbüro und beim Verbrechensinformationssystem einer größeren Polizeidienststelle durch. In jedem dieser Fälle führten die Schlußfolgerungen zu weiteren Maßnahmen in den entsprechenden Sektoren, die in Zusammenarbeit mit den Institutionen des Sektors getroffen wurden.
Im Hinblick auf die zahllosen Beschwerden bei dem - lediglich für die Kontrolle des öffentlichen Bereichs zuständigen - österreichischen Datenschutzausschuß lassen sich keine speziellen Fragen als zentrale Aspekte der Datenschutzprobleme im öffentlichen Bereich herauskristallisieren. Interessant scheint allerdings der Hinweis, daß - nach einem Beschluß des Datenschutzausschusses, der die von der Polizei (infolge ihrer Unterstützung in Fällen der Zwangsunterbringung von Personen in psychiatrischen Krankenhäusern) manuell erstellten Dateien über psychisch kranke Personen für illegal erklärte, - ein neues Gesetz diese Dateien verbot.
Die portugiesische Datenschutzbehörde (Comissão Nacional de Protecção de Dados Pessoais Informatizados, CNPDPI) hat im Bereich der Sensibilisierung der Öffentlichkeit in Fragen des Datenschutzes, insbesondere über regelmäßige Kontakte zur Presse und die Teilnahme an Konferenzen und Aussprachen, eine aktive Rolle gespielt. Die Durchsetzung der geltenden Rechtsvorschriften, insbesondere als Reaktion auf Beschwerden, konzentrierte sich auf Direktmarketingunternehmen, Banken, Steuer- und Gesundheitsbehörden. Die CNPDPI gab auf Anfrage der Regierung ihre Stellungnahme zu Gesetzesvorlagen über medizinische Daten, über eine nationale Sozialversicherungskarte, über die Verarbeitung von Daten im Zusammenhang mit Verurteilungen und die Verarbeitung personenbezogener Daten durch Steuerbehörden ab. Die CNPDPI erteilte Genehmigungen für die Verarbeitung sensibler Daten durch Dateiverantwortliche, die nicht dem öffentlichen Dienst angehören.
Der finnische Ombudsmann für den Datenschutz hatte Fragen im Zusammenhang mit Internetdiensten, Plänen für elektronischen Zahlungsverkehr und elektronischen Ausweisen zu behandeln.
Die Änderung des schwedischen Datengesetzes aus dem Jahre 1973 hat der Datenschutzbehörde (Datainspektionen) im Jahre 1995 die Möglichkeit eröffnet, Verwaltungsbestimmungen für gemeinsame Verarbeitungen in verschiedenen Bereichen zu erlassen und diese Verarbeitungsvorgänge somit von der Verpflichtung einer Genehmigung der Datenschutzbehörde zu befreien. Neun derartige Vorschriften wurden veröffentlicht, die Zahl der Anträge auf Genehmigungen ging von ca. 7000 pro Jahr auf ca. 5000 pro Jahr zurück.
Im Vereinigten Königreich haben organisatorische Maßnahmen im Dienst des "Registrar” zu einer Vereinfachung des Meldeverfahrens geführt. Die Eintragungen nahmen zu, zur Zeit liegt ihre Zahl bei über 200 000. Im Mai 1996 wurde ein Papier zur Konsultation über weitere Änderungen bei der Eintragung veröffentlicht, inzwischen wurden die Antworten der Datenbenutzer analysiert. 1996 wurden 39 Fälle verfolgt, darunter zum ersten Mal seit Erlaß der Rechtsvorschrift im Jahre 1984 ein dem House of Lords vorgelegter Fall. Das Internet wurde stärker genutzt; das Datenschutzregister - wie auch alle wichtigen Leitfäden und Veröffentlichungen - ist jetzt auf dem Internet verfügbar. Der "Registrar” fungierte als Gastgeber für drei Konferenzen: die Frühjahrskonferenz der Datenschutzbeauftragten der EU im Jahre 1996, im April eine Konferenz über Privatsphäre am Arbeitsplatz und im Dezember eine Konferenz über Datenvergleich. Neben Veröffentlichungen zu der Richtlinie gab die Stelle Leitlinien betreffend die Sicherheit für Erbringer von Finanzdienstleistungen nach telefonischen Anfragen, für Kreditüberprüfung, Direktmarketing und Bildverarbeitung heraus. Außerdem legte der "Registrar” seine Reaktion auf die Vorschläge der Regierung zur Einführung einer fakultativen nationalen Ausweiskarte vor. Die Fortschritte im Bereich der elektronischen Übermittlung von Informationen der Regierung wurden weiter geprüft. Der "Registrar” legte im Februar 1997 seine Antwort auf ein Grünbuch mit dem Titel "Government direct” vor. Dabei befürwortete er die Verwendung neuer Techniken für einen besseren Schutz der Privatsphäre.
2.2.2 Internationale Ebene
Neben den nach Artikel 29 der Richtlinie vorgesehenen Sitzungen der Datenschutzarbeitsgruppe treffen die Datenschutzbeauftragten der EU weiterhin zweimal pro Jahr als Gremium zusammen. Die Frühjahrskonferenz 1996 fand im April in Manchester statt, die Herbstsitzung zum Zeitpunkt der internationalen Konferenz im September in Ottawa. Der Gruppe gehören zur Zeit 13 Länder an; Italien und Griechenland werden wahrscheinlich beitreten, sobald sie unabhängige Datenschutzbehörden eingesetzt haben.
Nach der Frühjahrskonferenz 1996 übernimmt der für den Datenschutz im Vereinigten Königreich zuständige "Registrar” das ständige Sekretariat der Konferenz. Das Sekretariat erteilt administrative Unterstützung, bemüht sich, die Datenschutzbeauftragten der EU über Entwicklungen zu unterrichten, die eine gemeinsame Maßnahme erforderlich machen, bereitet Entwürfe von Grundsatzpapieren vor und erleichtert ganz allgemein die gemeinsame Arbeit der Datenschutzbeauftragten. Diese verfügen zur Zeit über einige Arbeitsgruppen: eine Arbeitsgruppe über Polizei, Zoll und damit zusammenhängende Fragen, eine Arbeitsgruppe über Telekommunikation und die GERI-Gruppe, die Fragen im Zusammenhang mit dem Internet und Online-Diensten behandelt. Außerdem gibt es Ad-hoc-Ausschüsse über Verbraucherkredit und Straßentransport. 1996 veranstalteten die Datenschutzbeauftragten ferner einen Workshop über Öffentlichkeitsarbeit und Marketingfragen.
Was die gemeinsamen Stellungnahmen anbetrifft, so nahmen die Datenschutzbeauftragten der EU Erklärungen zu Europol und der ISDN-Richtlinie an und bestätigten ihre Erklärung aus dem Jahre 1995 zum Datenschutz und den Institutionen der Europäischen Union. Sie legten auch Kommentare zum IAO-Entwurf eines Verhaltenskodexes für den Schutz personenbezogener Daten von Arbeitern vor und waren auf der IAO-Tagung zur Diskussion dieses Kodexes im Oktober als Beobachter vertreten.
Der VK-”Registrar” hatte ferner Beobachterstatus im Namen aller Datenschutzbeauftragten bei den Sitzungen der Ad-hoc-Sachverständigengruppe der OECD über Leitlinien für die Verschlüsselungspolitik.
Die Datenschutzbeauftragten der EU legten eine Stellungnahme zu dem Grünbuch "Leben und Arbeiten in der Informationsgesellschaft” vor und nahmen ein Dokument über Telekommunikation und Privatsphäre in Arbeitsbeziehungen an.
2.3 Entwicklungen der Datenschutzpolitik der Europäischen Union
Die Richtlinie, die das Kernstück der europäischen Datenschutzpolitik darstellt, wurde durch eine Reihe anderer Initiativen ergänzt, die darauf abzielen, einen kohärenten Schutzrahmen für den Bürger zu gewährleisten.
Dieser Abschnitt stellt die Entwicklungen in der Europäischen Union im Rahmen der Zuständigkeit der EG (Unterabschnitte 2.3.1 bis 2.3.4) und nach Titel VI des Vertrags über die Europäische Union (Unterabschnitt 2.3.5) dar.
2.3.1 Gemeinschaftskoordinierung in internationalen Foren
Die EG-Mitgliedstaaten haben ihre Gemeinschaftsverpflichtungen zu berücksichtigen, wenn sie in internationalen Foren Verpflichtungen aushandeln. Wo die Gemeinschaft über ausschließliche Zuständigkeit verfügt, haben die Mitgliedstaaten gemeinsam zu handeln und ihre Positionen abzustimmen. Der Erlaß der Richtlinie hat die Gemeinschaft verpflichtet, bei der Verhandlung im Europarat über Empfehlungen für den Datenschutz derart koordiniert tätig zu werden.
Die Kommission hat vom Rat ein Mandat erhalten, um in den Gremien des Europarats im Namen der Gemeinschaft zu verhandeln, die für die Annahme der Empfehlung über die Verarbeitung von Daten für medizinische Zwecke und für statistische Zwecke zuständig sind,.
2.3.2 Bereichsspezifische Initiativen
Am 12. September 1996 legte der Ministerrat für den Erlaß einer Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, insbesondere im diensteintegrierenden digitalen Telekommunikationsnetz (ISDN) und in digitalen Mobilfunknetzen, seinen gemeinsamen Standpunkt vor.
Mit der Richtlinie soll der freie Verkehr von Daten und Telekommunikationsdiensten und -geräten in der Gemeinschaft durch die Harmonisierung des Schutzniveaus der Teilnehmer und Benutzer von öffentlichen Telekommunikationsdiensten im Zusammenhang mit der Verarbeitung personenbezogener Daten im Telekommunikationssektor gewährleistet werden.
Sie wird die allgemeinen Regeln der Richtlinie 95/46/EG für den Telekommunikationssektor spezifizieren und den Schutz der Privatsphäre natürlicher Personen sowie die berechtigten Interessen der Teilnehmer (einschließlich juristischer Personen) fördern.
Das Europäische Parlament nahm am 16. Januar 1997 elf Änderungen zu dem Text an. Die Kommission hat angekündigt, daß sie vier dieser Änderungen nicht akzeptieren kann. 1997 wird wahrscheinlich ein Schlichtungsverfahren eingeleitet.
2.3.3 Datenschutz und Informationsgesellschaft
Bestimmte technologische Prozesse und insbesondere die Entwicklung der sogenannten Informationsgesellschaft werden oft als Ursache von Besorgnissen im Zusammenhang mit der Achtung der Privatsphäre gesehen. Immer mehr personenbezogene Informationen können mit Spitzentechniken der Datenspeicherung und -nutzung verarbeitet werden, die potentiell sehr viel stärker in die Privatsphäre natürlicher Personen eingreifen als traditionelle Verarbeitungstechniken. Darüberhinaus gibt die Einführung neuer Technologien bei einer ganzen Reihe von Dienstleistungen schon aufgrund der Menge der sogenannten "transaktionellen Daten" Anlaß zur Besorgnis, die oft mit einer elektronischen Spur verglichen werden, die jede Person hinter sich läßt.
Diese Besorgnisse wurden in dem von der Kommission veranstalteten Forum über die Informationsgesellschaft und insbesondere im Bericht der zweiten Arbeitsgruppe laut.
Allerdings können technologische Lösungen auch zum Schutz der Privatsphäre beitragen. Ein gemeinsamer Bericht der niederländischen und der kanadischen für den Schutz der Privatsphäre zuständigen Behörden hob die Bedeutung der sogenannten "Privacy Enhancing Technologies" (PETs) hervor. Organisation und Gestaltung der Informations- und Kommunikationssysteme und -technologien verfolgen bei diesen "Techniken für einen besseren Schutz der Privatsphäre” das Ziel, die Verwendung personenbezogener Daten zu vermeiden oder zumindest so weit wie möglich zu verringern.
Mögliche Anwendungen sind Vorkehrungen für den Identitätsschutz, Internet-Kioske für anonymen Zugang, anonyme Zahlungsmittel wie sogenannte Prepaid Karten, anonyme Suchprogramme, Filtertechnologie usw.. Ein solcher privatsphärenfreundlicher Ansatz macht die Überprüfung der vorhandenen Systeme der Informationstechnologie oder Datenbanken erforderlich, um die Notwendigkeit der Verarbeitung personenbezogener Daten im Einklang mit den Grundsätzen des Datenschutzes zu analysieren.
Die Kommission fördert die Entwicklung und Nutzung derartiger Technologien aktiv. Dazu hat sie im ersten Aktionsplan für Innovation in Europa beschlossen, Technologien zur Förderung der Privatsphäre im 5. FTE-Rahmenprogramm zu fördern, um aufzuzeigen, daß neue Technologien die Benutzer in die Lage versetzen können, ihr Recht auf Privatsphäre effizienter wahrzunehmen.
2.3.4 Datenschutz im Rahmen anderer Gemeinschaftsinstrumente
In verschiedenen Instrumenten des abgeleiteten Gemeinschaftsrechts wurden der Kommission bestimmte spezifische Aufgaben im Zusammenhang mit der Verarbeitung personenbezogener Daten übertragen. Mit dem Ziel, die Grundrechte und Freiheiten der von einer solchen Verarbeitung betroffenen Personen zu schützen, ist die Kommission auch aufgefordert worden, zur Anwendung der einschlägigen Gemeinschaftsbestimmungen Mechanismen für den Datenschutz zu entwickeln. Ein Beispiel dafür ist die Verordnung des Rates (EG) Nr. 1469/95 vom 22. Juni 1995 über Vorkehrungen gegenüber bestimmten Begünstigten der vom EAGFL, Abteilung Garantie, finanzierten Maßnahmen. Zur Durchführung dieser Verordnung, die einen Mechanismus für den Informationsaustausch zwischen der Kommission und den Mitgliedstaaten vorsieht, hat die Kommission verschiedene Schutzmaßnahmen für die Verarbeitung durch ihre Dienststellen eingeführt.
Die europäischen Zollbehörden tauschen personenbezogene Daten mit ihren Partnern in Drittländern im Rahmen der Abkommen über gegenseitige Unterstützung zwischen den Gemeinschaften und den Drittländern aus. Auf Wunsch der europäischen Seite enthalten derartige Abkommen besondere Bestimmungen zur Sicherstellung der Einhaltung der Grundsätze des Datenschutzes.
2.3.5 Datenschutz im Rahmen von Nicht-Gemeinschaftsinstrumenten
Mit einigen bereits verabschiedeten oder vor der Verabschiedung stehenden Instrumenten aufgrund von Titel VI des Vertrags über die Europäische Union (Zusammenarbeit in den Bereichen Justiz und Inneres) ist die Verarbeitung personenbezogener Daten verbunden. Deshalb enthalten diese Instrumente und ihre Durchführungsverordnungen Vorschriften für den Datenschutz. Die zuständigen Gremien des Rates der Europäischen Union haben detaillierte Datenschutzbestimmungen für Europol erarbeitet, die Teil der voraussichtlich 1997 zu erlassenen Durchführungsverordnungen sein sollen. Detaillierte Regeln wurden auch für den Entwurf des Eurodac-Übereinkommens im Hinblick auf Fingerabdrücke von Asylbewerbern erörtert.
Derartige, aufgrund von Titel VI des Vertrags der Europäischen Union angenommene Instrumente verwenden nicht die durch die Richtlinie gestalteten Datenschutzmechanismen; sie stützen sich auf spezifische Lösungen, die den Personen nicht dieselben Rechte oder Rechtsmittel gewähren und nicht auf der selben Form der unabhängigen Kontrolle aufbauen.
2.4 Schengen
Die Mehrheit der Mitgliedstaaten der EU gehört zu den Unterzeichnern des Schengener Übereinkommens, das Zusammenarbeit im Rahmen von Polizei, Zoll und Immigration vorsieht, um die Abschaffung der Grenzkontrollen an den Binnengrenzen auszugleichen. Ein wesentlicher Bestandteil dieser Ausgleichsmaßnahmen ist die Einführung eines gemeinsamen Informationssystems, des Schengener Informationssystems (SIS). In diesem Zusammenhang umfaßt das Übereinkommen auch Bestimmungen für den Datenschutz; es sieht insbesondere eine gemeinsame Kontrollbehörde vor, die sich aus Vertretern der nationalen Kontrollbehörden in den Schengenstaaten zusammensetzt. Die gemeinsame Kontrollbehörde hat kürzlich einen Bericht über ihre Tätigkeit während der ersten beiden Jahre veröffentlicht (März 1995-1997). Dieser Bericht hebt die Bedeutung einer unabhängigen Kontrollbehörde mit ausreichenden Befugnissen und Ressourcen für eine befriedigende Erfüllung ihrer Aufgabe hervor. Er streicht auch die Notwendigkeit der Transparenz des Informationsprozesses für den Bürger heraus.
2.5 Dialog mit Drittländern über Fragen des Datenschutzes
Die Richtlinie regelt nicht nur die Verarbeitung personenbezogener Daten innerhalb der EU, sondern enthält auch Bestimmungen für die Übermittlung von Daten in Drittländer (Artikel 25 und 26). Es gilt der Grundsatz, daß die Mitgliedstaaten derartige Übermittlungen nur erlauben sollten, wenn ein angemessenes Schutzniveau für die Daten sichergestellt ist. Ganz klar ist die Möglichkeit von Fällen vorgesehen, in denen kein angemessener Schutz sichergestellt ist und - sofern keine der einschlägigen Ausnahmebestimmungen anwendbar ist - die Übermittlung blockiert wird.
Eine solche Situation könnte für die weltweiten Ströme personenbezogener Daten und folglich für den internationalen Handel bedeutende Störungen hervorrufen. Obwohl Artikel XIV des Allgemeinen Übereinkommens über den Handel mit Dienstleistungen ein Blockieren der Übermittlungen personenbezogener Daten ermöglicht, wäre es vorzuziehen, wenn sich ein solches Vorgehen vermeiden ließe. Weitaus besser wäre die Lösung, daß die Drittländer, an die regelmäßig Daten übermittelt werden, ihr Schutzniveau auf eine zufriedenstellende Ebene bringen, die als angemessen angesehen werden könnte.
Die EU handelt allgemeine Abkommen mit einzelnen Drittländern aus, die einen Rahmen für die Beziehungen (Zusammenarbeit, Handelsbeziehungen) vorsehen. Derartige Abkommen umfassen im allgemeinen ein breites Spektrum von Bereichen von der Außenpolitik und Sicherheitsfragen über den Handel bis zu Fragen der wirtschaftlichen Entwicklung. Seit Erlaß der Datenschutzrichtlinie haben sich die Dienststellen der Kommission bemüht, die Frage des Schutzes der Privatsphäre und den Datenschutz bei den Verhandlungen direkt oder indirekt in derartige Abkommen aufzunehmen.
Bestimmte Länder können attraktive "Datenparadiese” für Wirtschaftsteilnehmer darstellen, denen an niedrigeren Datenverarbeitungskosten liegt; das Ziel der Abkommen zwischen der Gemeinschaft und diesen Ländern war lediglich ein Informationsaustausch (einer Art Frühwarnsystem) in Verbindung mit der Empfehlung an das betreffende Land, zu prüfen, wie es einen angemessenen Schutz für die Übermittlungen aus EG-Ländern sicherstellen kann. In dieser Art wurde der Datenschutz in die Verhandlungen mit Mexiko und Pakistan einbezogen und die Liste verlängert sich.
Das Thema Datenschutz wurde in einigen Sitzungen der Arbeitsgruppe Informationspolitik (IPWG) erörtert, einem Forum von Kommissionsdienststellen und Vertretern des japanischen Industrieministeriums (MITI). Ein Datenschutzgesetz für den öffentlichen Sektor, wenn auch mit recht weitgehenden Ausnahmebestimmungen, gibt es bereits. Die japanischen Behörden prüfen zur Zeit, wie am besten Regeln für den Schutz der Privatsphäre für den Privatsektor festgelegt werden können.
Eine wichtige Phase der Neudefinition und Dynamisierung der Beziehungen zwischen der Europäischen Union und den Vereinigten Staaten fand ihren Höhepunkt beim Madrider Gipfel im Dezember 1995 mit der Unterzeichnung des Neuen Transatlantischen Zeitplans. Kernstück dieser Vereinbarung war ein Aktionsprogramm mit einer Reihe spezifischer Maßnahmen und Ziele. Im Rahmen des Aktionsprogramms vereinbarten die beiden Seiten, Fragen des Datenschutzes und der Privatsphäre mit dem Ziel der Erleichterung der Ströme personenbezogener Daten bei gleichzeitiger Bekämpfung der Gefahren für die Privatsphäre zu erörtern. Im Rahmen des umfassenderen Dialogs über die Informationsgesellschaft haben so verschiedene allgemeine Diskussionsrunden über die Privatsphäre und den Datenschutz zwischen den Dienststellen der Kommission und der US-Regierung stattgefunden. Als Ergebnis dieser Diskussionen wurde ein Dialog über den Datenschutz eingeleitet, seit Mai 1996 fanden mehrere Sitzungen statt. Dabei wurden die unterschiedlichen Ansätze an den Schutz der Privatsphäre in einigen spezifischen Sektoren sowie strategischere Fragen im Zusammenhang mit möglichen internationalen Lösungen angesprochen.
Das im Dezember 1996 mit Kanada unterzeichnete Rahmenabkommen sieht ähnliche Diskussionen zwischen den europäischen und den kanadischen Behörden über Fragen des Schutzes der Privatsphäre vor.
Die logische langfristige Lösung für die Probleme der internationalen Ströme personenbezogener Daten bestünde natürlich in einem multilateralen Abkommen über ein Paket zwingender Datenschutzvorschriften. Kommissionsmitglied Sir Leon Brittan ging in seiner Rede auf der WTO-Konferenz in Singapur im Dezember 1996 auf die Notwendigkeit ein, diese Fragen in Zukunft aufzugreifen.
Die Richtlinie muß in das Abkommen über den europäischen Wirtschaftsraum einbezogen werden, das zwischen der Gemeinschaft und Island, Liechtenstein und Norwegen besteht. Diesbezügliche Gespräche wurden 1996 zwischen den Kommissionsdienststellen und den EFTA-Diensten eingeleitet.
Über diese spezifischen Maßnahmen hinaus bemühte sich die Kommission um die Entwicklung einer kohärenten Politik zur Durchführung der Bestimmungen der Richtlinie über die Datenübermittlung in Drittländer. Eine Studie über die Methodik für die Bewertung derartiger Datenübermittlungen wurde beim Centre de Recherche Informatique et Droit der Universität Namur in Belgien in Auftrag gegeben. Diese Arbeit diente als Grundlage für die Diskussionen in der Arbeitsgruppe.
3 Europarat
Der Europarat setzte seine ständigen Arbeiten zu den Fragen des Datenschutzes fort. Die Projektgruppe Datenschutz (CJ-PD) und ihre spezialisierten Untergruppen erörterten Empfehlungen zu spezifischen Fragen zwecks Verabschiedung durch das Ministerkomitee, in dem alle Mitgliedstaaten des Europarats vertreten sind. In dem durch das Übereinkommen Nr. 108 eingesetzten Beratenden Ausschuß (T-PD) tagen Vertreter der 17 Staaten, die Mitglied des Übereinkommens sind.
Die Gremien des Europarats haben an drei Empfehlungen gearbeitet. Eine Empfehlung zur Nutzung medizinischer Daten wurde von der CJ-PD Ende 1996 nach der Koordinierung der Mitgliedstaaten der Europäischen Union fertiggestellt. Der am 13. Februar 1997 vom Ministerkomitee angenommene Text tritt an die Stelle der Empfehlung aus dem Jahre 1981 zu derselben Frage. Die Arbeit der CJ-PD zu einer Empfehlung betreffend die Verarbeitung statistischer Daten ist recht weit fortgeschritten, die teilweise die Empfehlung über wissenschaftliche Forschung und Statistik aus dem Jahre 1983 ersetzt. Der Text dürfte 1997 fertiggestellt werden. Die CJ-PD bearbeitet auch den Entwurf einer Empfehlung über Versicherungsdaten. Außerdem hat eine Arbeitsgruppe die Auswirkungen der Nutzung bestimmter neuer Technologien geprüft.
Der Beratende Ausschuß des Übereinkommens Nr. 108 diskutierte die Verarbeitung von Tonträgern und Bildern sowie die Verarbeitung von Daten, die Verstorbene betreffen.
4 Wichtige Entwicklungen in Drittländern
4.1 Europäischer Wirtschaftsraum
Nach der Aufnahme in das EWR-Abkommen wird die Richtlinie auch im Rahmen des Europäischen Wirtschaftsraums wirksam werden. Die Arbeiten für die Umsetzung sind bei den Nicht-EG-Mitgliedern des Abkommens bereits in die Wege geleitet worden. Norwegen und Island sind dem Übereinkommen Nr. 108 des Europarats bereits beigetreten und verfügen über Datenschutzgesetze. Vertreter der Datenschutzbehörden dieser beiden Länder wurden zu den Sitzungen der Arbeitsgruppe als Beobachter eingeladen.
In Norwegen ist die Datenschutzbehörde für die Sicherstellung der Anwendung des Gesetzes aus dem Jahre 1978 über die Verzeichnisse personenbezogener Daten zuständig. 1996 bearbeitete die Datenschutzbehörde 6.049 Fälle. Sie bearbeitet Lizenzanträge für Personendateien und andere Tätigkeiten, die aufgrund des Gesetzes genehmigungspflichtig sind. 1996 wurden 2.713 Genehmigungen erteilt.
Die Behörde verwaltet den Informationsfluß an die Außenwelt. Sie erhält viele Anfragen von den Medien und spielt eine aktive Rolle bei der Informationsverbreitung. Sie ist ferner für die Ausarbeitung von Informationsmaterial und einen Jahresbericht zuständig und veröffentlicht vierteljährlich die Zeitschrift SPOR.
Ein Ausschuß hat mit der Prüfung der Notwendigkeit von Änderungen des norwegischen Gesetzes über die Verzeichnisse personenbezogener Daten im Lichte der Richtlinie begonnen. Im Frühjahr 1997 wird der Ausschuß seinen Vorschlag für ein neues Gesetz unterbreiten.
4.2 Mittel- und osteuropäische Länder
In ihrem Weißbuch über ein Vor-Beitritts-Strategie für die Länder Mittel- und Osteuropas, die den Beitritt zur EU beantragt haben, hat die Kommission den Beitritt zum Übereinkommen Nr. 108 des Europarats als ersten Schritt im Bereich Datenschutz empfohlen. In einigen dieser Länder gibt es ein Datenschutzgesetz (insbesondere Ungarn, Estland und Slowenien), die meisten anderen sind dabei, ein derartiges Gesetz zu erlassen. Diese Länder nehmen an den Arbeiten des Europarats über den Datenschutz teil.
4.3 Andere Drittländer
1996 wurde die Diskussion über Fragen der Privatsphäre in einigen Drittländern erneut aufgenommen. Die technologischen Fortschritte und insbesondere die Entwicklung der Informationsgesellschaft haben Regierungen, Verbrauchergruppen, Wirtschaft und Akademiker veranlaßt, die derzeitige Politik im Hinblick auf den Schutz der Privatsphäre zu überprüfen und neue Politiken für die Zukunft zu erörtern. Der Erlaß der europäischen Richtlinie gab dieser Debatte zusätzlichen Antrieb.
Diese Entwicklung war vor allem in den Vereinigten Staaten spürbar, wo sich mehrere staatliche Stellen mit Datenschutzfragen befaßten. Die Federal Trade Commission (FTC) organisierte im Juni 1996 einen Workshop über "Consumer privacy on the Global Information Infrastructure” und startete eine Studie über "On-line look-up services”. Die National Telecommunications and Information Agency (NTIA) gab im Oktober 1995 ein Weißbuch über "Privacy and the National Information Infrastructure” heraus und setzte ihre Untersuchung von Fragen im Zusammenhang mit der Privatsphäre fort. Das Weiße Haus stellte die Bedeutung dieser Fragen in dem im Dezember 1996 veröffentlichten vorläufigen Bericht "Framework for Global Electronic Commerce” heraus.
Vorschriften über den Schutz der Privatsphäre finden sich in einer Reihe von Entwürfen, die dem Kongreß vorgelegt wurden. Derartige Bestimmungen wurden im "Telecommunications Act” 1996 erlassen, mit dem die Bestimmungen der Vereinigten Staaten für den Bereich Telekommunikation neu strukturiert und den Erbringern von Dienstleistungen einige spezifische Verpflichtungen im Hinblick auf den Schutz der Privatsphäre auferlegt wurden. Vorgeschrieben wird die Vertraulichkeit der die Teilnehmer betreffenden Information (Customer Proprietary Network Information) einschließlich der transaktionellen Daten. Durchführungsverordnungen werden von der FCC verabschiedet werden.
Der Schutz der Privatsphäre bei On-line-Diensten stand im Mittelpunkt der Auseinandersetzungen im Zusammenhang mit dem "Communication Decency Act” aus dem Jahre 1996 und der Politik der US-Regierung im Bereich Verschlüsselung.
In Australien gab die Regierung 1996 ein Weißbuch heraus, in dem die Zweckmäßigkeit der Ausdehnung der Rechtsvorschrift für die Privatsphäre auf den Privatsektor erwogen wurde. Die geltende Rechtsvorschrift betrifft nur den öffentlichen Bereich.
Auf der internationalen Konferenz über den Schutz der Privatsphäre kündigte der kanadische Justizminister im September in Ottawa an, daß die Regierung eine Ausdehnung der Rechtsvorschrift für den Schutz der Privatsphäre auf den Privatsektor plane. Das geltende Bundesgesetz betrifft nur den öffentlichen Sektor. Die Rechtsvorschrift der Provinz Quebec gilt auch für den Privatsektor.
Hongkong hat eine Verordnung für personenbezogene Daten ("Personal Data (Privacy) Ordinance”) erlassen. Es handelt sich um eine umfassende Rechtsvorschrift für den privaten und den öffentlichen Sektor. Diese Rechtsvorschrift, mit deren Durchführung der Datenschutzbeauftragte betraut wurde, wird voraussichtlich durch die Rückkehr Hongkongs unter chinesische Herrschaft nicht berührt.
5 Sonstige Entwicklungen auf internationaler Ebene
Datenschutzfragen wurden 1996 in den internationalen Organisationen (Abschnitte 5.1 und 5.2) und auf internationalen Konferenzen (Abschnitt 5.3) lebhaft erörtert.
5.1 Internationales Arbeitsamt
Das Internationale Arbeitsamt nahm einen Verhaltenskodex für den Schutz der Privatsphäre von Arbeitnehmern an, der - als Ergebnis jahrelanger Arbeit - detaillierte Regeln für die Verarbeitung von Daten festlegt, die Beschäftigte, Bewerber und frühere Beschäftigte betreffen. Der Verhaltenskodex, ein unverbindliches Instrument, richtet sich direkt an die Arbeitgeber, die aufgefordert werden, seine Regeln einzuhalten.
5.2 Organisation für wirtschaftliche Zusammenarbeit und Entwicklung OECD
1996 erarbeitete die OECD Leitlinien für die Verschlüsselungspolitik. Diese Leitlinien regeln u.a. den Zugriff zu verschlüsselten Nachrichten, der Behörden aus berechtigten Gründen gewährt wird. Die Leitlinien unterstützen die Verabschiedung eines Systems "vertrauenswürdiger Dritter”, denen Kopien der Schlüssel anvertraut werden können. Im Verlauf der Aussprachen wurden Fragen der Privatsphäre auch im Zusammenhang mit den Bestimmungen der Richtlinie für den Zugang von Behörden zu personenbezogenen Daten angesprochen. Bei der endgültigen Verabschiedung der Leitlinien (März 1997) machte die Europäische Kommission deutlich, daß die EG-Mitgliedstaaten bei der Anwendung der Leitlinien die Bestimmungen der Richtlinie einzuhalten.
5.3 Internationale Konferenzen und Debatten
In jedem Jahr organisiert eine der für den Datenschutz und die Privatsphäre zuständigen nationalen Behörden eine internationale Konferenz über die Privatsphäre. 1996 wurde diese Konferenz in Ottawa vom kanadischen Datenschutzbeauftragten veranstaltet. Die wichtigsten Themen auf der Veranstaltung waren Nordamerika und die europäische Richtlinie, Fragen und Probleme im Zusammenhang mit dem "Global Village”, die Identifizierung anhand von Informationen staatlicher Dienststellen und medizinischer Daten, die Verbraucherkontrolle sowie die technologischen und gesetzgeberischen Optionen für den Schutz der Privatsphäre.
Bei einer Konferenz über elektronischen Zahlungsverkehr, die im September vom amerikanischen Wirtschafts- und Finanzministerium veranstaltet wurde, wurden etliche Fragen im Zusammenhang mit der Privatsphäre angesprochen.
Eine internationale Konferenz über den Datenschutz in der Informationsgesellschaft wurde von der Universität Namur unter der Schirmherrschaft der EG-Kommission und des Europarats in Brüssel veranstaltet. Verantwortliche aus Nordamerika und Europa nahmen an dieser Konferenz teil.
6 Anhang
Die Liste der Mitglieder der Arbeitsgruppe, Adressen und Fax Nummern der jeweiligen Behörden
Östereich
Frau Waltraut KOTSHY Mitglied
Bundeskanzleramt
Österreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN
43/1/531.15.26.90
Frau Eva SOUHRADA-KIRCHMAYER Stellvertreter
Bundeskanzleramt
Österreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN
43/1/531.15.26.90
Belgien
Monsieur Paul THOMAS Mitglied
Ministère de la Justice
Commission de la Vie Privée
Boulevard de Waterloo, 115
B - 1000 BRUXELLES
32/2/542.72.12 - 542.70.09
Mme Marie-Hélène BOULANGER Stellvertreter
Ministère de la Justice
Commission de la protection de la vie privée
B - 1000 BRUXELLES
32/2/542.72.12
Deutschland
Dr. Joachim JACOB Mitglied
Der Bundesbeauftragte für den Datenschutz
Postfach 20 01 12
D - 53131 BONN (Bad Godesberg)
49/228/819.95.50
Dr. Stefan WALZ Stellvertreter
Landesbeauftragter für den Datenschutz - Bremen
Postfach 10 03 80
D - 27503 BREMERHAVEN
49/471/924.61.28
Herrn Ulrich LEPPER Stellvertreter
Innenministerium des Landes Nordrhein-Westfalen
49/211/871.33.55
Dänemark
Mr. Henrik WAABEN Mitglied
Registertilsynet
Christians Brygge, 28 - 4
DK - 1559 KOEBENHAVN V
45/33/13.38.43
Mrs. Lotte N. JOERGENSEN Stellvertreter
Registertilsynet
Christians Brygge, 28 - 4
DK - 1559 KOEBENHAVN V
45/33/13.38.43
Spanien
Mr. Juan José MARTÍN-CASALLO Mitglied
LÓPEZ
Agencia de Protección de Datos
Paseo de la Castellana, N 41, 5a planta
E - 28046 MADRID
34/1/308.46.92
Mrs. María José GARCÍA BEATO Stellvertreter
Agencia de Protección de Datos
Paseo de la Castellana, N 41, 5a planta
E - 28046 MADRID
34/1/308.46.92
Frankreich
Monsieur Jacques FAUVET
Com. Nat. de l'Informat. et des Libertés
Rue Saint Guillaume, 21
F - 75340 PARIS CEDEX 7
33/1/53.73.22.00
Finnland
Mr. Jorma KUOPUS Mitglied
Ministry of Justice
Office of the Data Protection Ombudsman
P.O. Box 170
FIN - 00131 HELSINKI 358/0/1825.78.35
Ms. Maija KLEEMOLA Stellvertreter
Ministry of Justice
Office of the Data Protection Ombudsman
P.O. Box 170
FIN - 00131 HELSINKI 358/0/1825.78.35
Italien
Prof. Stefano RODOTA Mitglied
Camera dei deputati
I - 00100 ROMA
39/6/67.60.48.03
Mr. Ugo DE SIERVO Stellvertreter
Camera dei deputati
I - 00100 ROMA
39/6/67.60.48.03
Mr. Giovanni BUTTARELLI Stellvertreter
Camera dei deputati
I - 00100 ROMA
39/6/67.60.48.03
Irland
Mr. Fergus GLAVEY Mitglied
Department of Justice
Irish Life Centre, Block 4
Talbot Street, 40
IRL - DUBLIN 1
353/1/874.54.05
Mr. Greg HEYLIN Stellvertreter
Department of Justice
Irish Life Centre, Block 4
Talbot Street, 40
IRL - DUBLIN 1
353/1/874.54.05
Luxemburg
Monsieur René FABER Mitglied
Commission à la Protection des Données Nominatives
Ministère de la Justice
Boulevard Royal , 15
L - 2934 LUXEMBOURG
352/22.76.61
Niederlande
Mr. Peter HUSTINX Mitglied
Registratiekamer
Juliana van Stolberglaan, 2
Postbus 93374
NL - 2509 AJ 's-GRAVENHAGE
31/70/381.13.01
Mr. Ulco VAN DE POL Stellvertreter
Registratiekamer
Juliana van Stolberglaan, 2
Postbus 93374
NL - 2509 AJ 's-GRAVENHAGE
31/70/381.13.01
Portugal
Mr. Joaquim de SEABRA LOPES Mitglied
Com. Nac. de Protecçao de Dados Pessoais Informat.
Av. 5 de Outubro, 202
P - 1064 LISBOA
351/1/795.13.53
Mr. Nuno MARAIS SARMENTO Stellvertreter
Com. Nac. de Protecçao de Dados Pessoais Informat.
Rua de S. Bento, 148, 3
P - 1200 LISBOA
351/1/397.68.32
Schweden
Mrs. Anitha BONDESTAM Mitglied
Datainspecktionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM
46/8/652.86.52
Mr. Ulf WIDEBÄCK Stellvertreter
Datainspecktionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM
46/8/652.86.52
Mr. Leif LINDGREN Stellvertreter
Datainspecktionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM
46/8/652.86.52
Vereinigtes Königreich
Mrs. Elizabeth FRANCE Mitglied
The Office of the Data Protection Registrar
Water Lane
Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF
44/1625/52.45.10
Mr. Francis ALDHOUSE Stellvertreter
The Office of the Data Protection Registrar
Water Lane
Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF
44/1625/52.45.10
Dr. John WOULDS Stellvertreter
The Office of the Data Protection Registrar
Water Lane
Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF
44/1625/52.45.10
Griechenland
Dr. Evangelia MITROU Beobachter
Ministry of Justice
Tinou Street, 27
EL - 112 57 ATHENS
30/1/724.17.76
Island
Ms. Sigrún JÓHANNESDÓTTIR Beobachter
Ministry of Justice
Data Protection Commission
Arnarhvoll
IS - 150 REYKJAVIK
354/552.73.40
Norwegen
Mr. Georg APENES Beobachter
Datatilsynet
The Data Inspectorate
P.B. 8177 Dep
N - 0034 OSLO
47/22/42.23.50
