Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten
Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer -
Mögliche Ansätze für eine Bewertung der Angemessenheit
Von der Arbeitsgruppe am 26. Juni 1997 angenommene Diskussionsgrundlage
Überlegungen zur Übermittlung personenbezogener Daten in Drittländer - Mögliche Ansätze für eine Bewertung der Angemessenheit
Inhalt
2.2 Risikoanalyse spezifischer Übermittlungen
3 Was bedeutet "angemessener Schutz"
3.2 Verfahrens- und Durchführungsmechanismen
3 Was bedeutet "angemessener Schutz"
4 Praktische Anwendung in der Theorie
4.1 Länder, die das Übereinkommen Nr. 108 des Europarats ratifiziert haben
1 Einführung
Mit diesem Dokument wird nicht das Ziel verfolgt, auf alle Fragen einzugehen, die sich aus der Richtlinie im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer ergeben; hier steht das Bemühen im Vordergrund, die zentrale Frage der Beurteilung der Angemessenheit im Sinne von Artikel 25 Absätze 1 und 2 zu klären. Ausnahmen vom Erfordernis des "angemessenen Schutzniveaus" nach Artikel 26 Absatz 1 werden hier überhaupt nicht behandelt. Es wird davon ausgegangen, daß diese Ausnahmen recht eng definiert sind und wahrscheinlich viele Fälle nicht in ihren Anwendungsbereich fallen und somit auf die Angemessenheit geprüft werden. Die Arbeitsgruppe wird den konkreten Anwendungsbereich dieser Ausnahmen bei ihren künftigen Arbeiten prüfen.
Es sollte nicht vergessen werden, daß der Begriff angemessen auch in Artikel 26 Absatz 2 verwendet wird, der die Möglichkeit von ad-hoc-Lösungen - insbesondere vertraglicher Art - für Situationen vorsieht, in denen kein angemessener Schutz im Sinne von Artikel 25 Absatz 2 gewährleistet ist. Verfahrensrechtlich behandelt die Richtlinie diese Fälle allerdings sehr unterschiedlich. Während die Mitgliedstaaten nach Artikel 25 einander und die Kommission über die Fälle zu unterrichten haben, in denen kein angemessenes Schutzniveau gewährleistet ist und die Übermittlung deshalb blockiert wurde, ist die Situation nach Artikel 26 umgekehrt: Die Mitgliedstaaten sind verpflichtet, die Kommission und die übrigen Mitgliedstaaten über jede erteilte Genehmigung zu unterrichten. Dies spiegelt die Tatsache wider, daß es bei derartigen vertraglichen Lösungen inhärente Probleme gibt, wie die Schwierigkeiten einer betroffenen Person, ihre Rechte aus einem Vertrag, bei dem sie selbst nicht Vertragspartei ist, durchzusetzen, und daß sie deshalb nur in einigen spezifischen und wahrscheinlich relativ seltenen Situationen geeignet sind. Die Arbeitsgruppe wird die Umstände gesondert prüfen, unter denen vertragliche ad-hoc-Lösungen geeignet sein können, und bei den künftigen Arbeiten einige Grundsätze im Hinblick auf die mögliche Form und den möglichen Inhalt derartiger Lösungen ausarbeiten. Diese Arbeit wird wahrscheinlich weitgehend auf den in diesem Dokument enthaltenen Ideen aufbauen, da eine Prüfung der Angemessenheit sowohl Gegenstand des Artikels 26 Absatz 2 als auch des Artikels 25 Absätze 1 und 2 ist.
2 Verfahrensfragen
Artikel 25 sieht vor, daß die Angemessenheit bei den einzelnen Übermittlungen oder Kategorien von Übermittlungen geprüft wird. Aufgrund der hohen Anzahl von Übermittlungen personenbezogener Daten, die täglich die Gemeinschaft verlassen, und aufgrund der vielen an solchen Übermittlungen beteiligten Wirtschaftskräfte, kann aber natürlich kein Mitgliedstaat - unabhängig von dem System, das er zur Anwendung von Artikel 25 wählt - sicherstellen, daß absolut jeder Fall im Detail geprüft wird. Dies heißt freilich nicht, daß kein Fall detailliert geprüft wird, sondern eher, daß Mechanismen entwickelt werden müssen, um den Beschlußfassungsprozeß für eine ganze Reihe von Fällen zu rationalisieren, die somit Entscheidungen, oder zumindest vorläufige Entscheidungen ohne allzu große Schwierigkeiten oder übermäßige materielle Folgen ermöglichen. Eine derartige Rationalisierung ist unabhängig davon erforderlich, wer die Entscheidung trifft, ob sie bei dem für die Verarbeitung Verantwortlichen, der Kontrollbehörde oder irgendeinem anderen durch das Verfahren des Mitgliedstaats eingesetzten Gremium liegt.
Für eine solche Rationalisierung bietet sich die Ausarbeitung "Weißer Listen" von Drittländern an, von denen angenommen werden kann, daß sie ein angemessenes Schutzniveau gewährleisten. Eine derartige Liste könnte "provisorischen Charakter" haben oder "nur zur Orientierung" dienen und somit Einzelfälle, bei denen es besondere Schwierigkeiten geben könnte, nicht berühren. Nichtsdestoweniger ist es in der Logik des allgemeinen Ansatzes von Artikel 25 wichtig, jede Entscheidung über die Aufnahme eines Landes in eine weiße Liste eher auf Einzelfälle zu stützen als auf eine vereinfachte, abstrakte Beurteilung eines Rechtstextes. Wenn nach der Prüfung einiger repräsentativer Fälle von Übermittlungen in ein Drittland bei jedem dieser Fälle der gebotene Schutz als angemessen angesehen wurde, könnte das betreffende Land in die "weiße Liste” aufgenommen werden.
Ein Problem bei diesem Ansatz besteht darin, daß viele Drittländer keinen einheitlichen Schutz für alle Wirtschaftsbereiche bieten. Beispielsweise gibt es in vielen Ländern Datenschutzgesetze für den öffentlichen Bereich, nicht aber für den Privatsektor. In den Vereinigten Staaten ist die Lage insofern noch komplexer, als spezifische Rechtsvorschriften für bestimmte Einzelbereiche wie Kreditauskunft und Aufzeichnung über den Videoverleih, nicht aber für andere bestehen. Ein zusätzliches Problem gibt es in Ländern mit Bundesverfassungen wie den Vereinigten Staaten und Kanada, in denen oft Schwierigkeiten zwischen den verschiedenen Teilen des Bundes bestehen. Deshalb ist bei dem Beschluß darüber, ob der gewährte Schutz bei einer speziellen Datenübermittlung für das gesamte Land oder lediglich einen einzelnen Sektor oder Staat repräsentativ ist, sehr sorgfältig vorzugehen. Nichts steht einer teilweisen Aufnahme eines Drittlands auf eine weiße Liste entgegen und natürlich wird bei Übermittlungen von Daten aus Spanien nach dem geltenden nationalen Recht zwischen Ländern, die einen Schutz über die Grenzen hinaus gewährleisten, und Ländern unterschieden, die nur im öffentlichen Bereich Schutz gewährleisten.
Ferner stellt sich die Frage, wer über die Aufnahme in eine derartige Liste entscheiden sollte. Dazu ist anzumerken, daß die durch Artikel 29 eingesetzte Gruppe bei der Beschlußfassung über einzelne Datenübermittlungen keine explizite Rolle zu spielen hat. Diese Rolle fällt in erster Linie den Mitgliedstaaten zu und dann der Kommission nach dem in Artikel 31 festgelegten Ausschußverfahren. Wie oben ausgeführt wurde, zielt allerdings jegliche Arbeit der Gruppe darauf ab, Orientierungen für eine Vielzahl von Fällen zu liefern, und nicht notwendigerweise für die Bestimmung eines Einzelfalls. Es sei auch darauf hingewiesen, daß eine der spezifischen Aufgaben der durch Artikel 29 eingesetzten Gruppe darin besteht, der Kommission eine Stellungnahme über das Schutzniveau in Drittländern zu übermitteln. Somit fällt eine Prüfung der Lage in einzelnen Drittländern im Lichte einiger Einzelfälle und eine vorläufige Stellungnahme zur Angemessenheit des Schutzes sehr wohl in den Aufgabenbereich der durch Artikel 29 eingesetzten Gruppe. Derartige positive Entscheidungen könnten in die geplante weiße Liste einbezogen werden. Diese könnte anschließend breit verteilt und von den für die Datenverarbeitung Verantwortlichen, den Kontrollbehörden und den Mitgliedstaaten als Hilfe für deren eigene Entscheidungen verteilt werden.
Steht ein Land nicht auf einer solchen weißen Liste, so heißt dies nicht notwendigerweise, daß das Land auf eine schwarze Liste gehört, sondern eher, daß es noch keine allgemeinen Leitlinien für dieses Land gibt. Die Erstellung einer expliziten schwarzen Liste von Ländern wäre - auch für Orientierungszwecke - politisch sehr heikel.
2.2 Risikoanalyse spezifischer Übermittlungen
Auch wenn die Erstellung einer vorläufigen weißen Liste von Drittländern eine wertvolle Hilfe für die Entscheidungen bei vielen Datenübermittlungen darstellt, wird das betreffende Drittland immer noch in vielen Fällen nicht auf der weißen Liste aufgeführt sein. Die Mitgliedstaaten können mit diesen Fällen je nach ihrer Umsetzung des Artikels 25 in ihre innerstaatlichen Rechtsvorschriften recht unterschiedlich umgehen (vgl. Fußnote auf der Vorseite). Wenn die Kontrollstelle eine spezifische Rolle bei der vorherigen Genehmigung von Datenübermittlungen oder bei einer nachträglichen Überprüfung spielen soll, dann kann allein schon das Volumen der betroffenen Übermittlungen ein System für die Prioritätensetzung bei den Bemühungen der Kontrollstelle erforderlich machen. Ein solches System wäre in Form eines Pakets vereinbarter Kriterien denkbar, die es ermöglichen würden, eine spezielle Übermittlung oder Kategorie von Übermittlungen als besondere Gefahr für die Privatsphäre einzustufen.
Ein solches System ändert nichts an der Verpflichtung jedes Mitgliedstaats, sicherzustellen, daß nur die Übermittlungen erfolgen, bei denen das Drittland ein angemessenes Schutzniveau gewährleistet. Die Tatsache, daß eine Übermittlung keine besondere Gefahr darstellt, berührt das Grunderfordernis des Artikels 25 im Hinblick auf den sicherzustellenden angemessenen Schutz nicht. Allerdings wird die Bewertung des Risikos für die betroffene Person aufgrund der Übermittlung eine nützliche Unterstützung für die konkrete Bestimmung dessen darstellen, was als "angemessener Schutz" angesehen wird. Das System wird auch als Orientierung für Fälle von Datenübermittlungen dienen, die als "vorrangige Fälle" anzusehen sind und geprüft oder in denen sogar Ermittlungen angestellt werden müssen; damit wird es ermöglichen, daß die für die "Überwachung" des Systems eingesetzten Ressourcen direkt auf die Übermittlungen gerichtet werden, die im Hinblick auf den Schutz der betroffenen Personen zu größter Besorgnis Anlaß geben.
Die Arbeitsgruppe wird ein spezifisches, detailliertes Dokument zu den Kategorien von Übermittlungen erstellen, die ihres Erachtens besondere Gefahren für die Privatsphäre mit sich bringen. Dazu werden wahrscheinlich folgende Kategorien gehören:
- Übermittlungen, die bestimmte sensible Datenkategorien gemäß der Definition von Artikel 8 der Richtlinie betreffen;
- Übermittlungen mit dem Risiko finanzieller Verluste (beispielsweise Kreditkartenzahlungen über Internet);
- Übermittlungen, die eine Gefahr für die persönliche Sicherheit darstellen;
- Übermittlungen zum Zwecke einer Beschlußfassung mit großer Bedeutung für die betroffene Person (wie Einstellungs- oder Beförderungsbeschlüsse, Gewährung von Krediten usw.);
- Übermittlungen, die die Gefahr ernsthafter Schwierigkeiten oder der Beeinträchtigung des Rufs einer natürlichen Person nach sich ziehen;
- Übermittlungen, die zu spezifischen Maßnahmen führen können, die eine bedeutende Einmischung in das Privatleben einer natürlichen Person darstellen, wie ungewünschte Telefonanrufe;
- repetitive Übermittlungen großer Datenmengen (wie über Telekommunikationsnetze, Internet usw. verarbeitete elektronische Daten);
- Übermittlungen, die die Erfassung von Daten in einer besonderen verdeckten oder geheimen Form betreffen (beispielsweise "Internet-cookies", eine Art elektronischer Visitenkarte).
3 Was bedeutet "angemessener Schutz"?
Ziel des Datenschutzes ist es, der natürlichen Person Schutz zu gewähren, deren Daten verarbeitet werden. Dies wird üblicherweise über ein Zusammenspiel der Rechte der betroffenen Person sowie der Pflichten derer erreicht, die Daten verarbeiten oder Kontrolle über eine derartige Verarbeitung ausüben. Die in der Richtlinie 95/46/EG niedergelegten Rechte und Pflichten stützen sich auf die in dem Übereinkommen des Europarats Nr. 108 (1981) enthaltenen Rechte und Pflichten, die sich ihrerseits nicht sehr von den in den OECD-Leitlinien (1980) oder den Leitlinien der Vereinten Nationen (1990) festgelegten unterscheiden. Über den Inhalt der Datenschutzbestimmungen, die für die fünfzehn Staaten der Gemeinschaft gelten, besteht somit ein Konsens.
Die Datenschutzbestimmungen tragen allerdings lediglich zum Schutz natürlicher Personen bei, wenn sie in der Praxis befolgt werden. Deshalb muß nicht nur der Inhalt der Bestimmungen geprüft werden, die für in ein Drittland übertragene personenbezogene Daten gelten, sondern auch die für die Gewährleistung der Wirksamkeit derartiger Vorschriften existierenden Mechanismen. In Europa wurden die Vorschriften für den Datenschutz herkömmlicherweise in Form von Gesetzen verankert, womit eine Sanktionsmöglichkeit bei Nichtbefolgung entstand und natürlichen Personen ein Regreßrecht eingeräumt wurde. Darüberhinaus sahen solche Gesetze im allgemeinen zusätzliche Verfahrensmechanismen vor, wie die Einrichtung von Aufsichtsbehörden mit Überwachungs- und Beschwerdeprüfungsfunktionen. Diese Verfahrensaspekte finden sich in der Richtlinie 95/46/EG mit ihren Bestimmungen für Haftung, Sanktionen, Rechtsbehelfe, Kontrollstellen und Meldung wieder. Außerhalb der Gemeinschaft sind allerdings derartige Verfahrensmittel weniger verbreitet, die sicherstellen sollen, daß die Vorschriften für den Datenschutz erfüllt werden. Die Vertragsparteien des Übereinkommens Nr. 108 sind aufgerufen, die Grundsätze des Datenschutzes in ihre Rechtsvorschriften aufzunehmen, zusätzliche Mechanismen wie eine Kontrollbehörde werden hier aber nicht gefordert. Die OECD-Leitlinien enthalten lediglich das Erfordernis, daß sie in den inländischen Rechtsvorschriften "zu berücksichtigen" sind und garantieren somit auf der Verfahrensebene keineswegs, daß sichergestellt wird, daß die Leitlinien tatsächlich in einen wirksamen Schutz natürlicher Personen münden. Die später festgelegten VN-Leitlinien enthalten allerdings Bestimmungen für Überwachung und Sanktionen, womit das wachsende Bewußtsein der Notwendigkeit deutlich wird, weltweit dafür zu sorgen, daß die Datenschutzvorschriften gebührend durchgesetzt werden.
Vor diesem Hintergrund ist klar, daß jede sinnvolle Analyse eines angemessenen Schutzes zwei Grundelemente umfassen muß: den Inhalt der anzuwendenden Vorschriften und die Mittel für die Gewährleistung ihrer tatsächlichen Anwendung.
Mit der Richtlinie 95/46/EG als Ausgangspunkt und unter Berücksichtigung der Vorschriften der übrigen internationalen Texte zum Datenschutz sollte es möglich sein, zu einem "festen Kern" "inhaltlicher" Datenschutzgrundsätze und "Verfahrens-/Durchsetzungs"-Erfordernisse zu kommen, dessen Einhaltung als Mindesterfordernis für einen als angemessen anzusehenden Schutz bewertet werden könnte. Eine solche Minimalliste sollte keine starre Liste sein. In einigen Fällen wird es notwendig sein, die Liste zu erweitern, während es in anderen auch möglich sein kann, das Verzeichnis der Erfordernisse zu reduzieren. Das Ausmaß des Risikos einer Übermittlung für die betroffene Person (vgl. oben Abschnitt 2 Buchstabe (ii)), wird ein bedeutender Faktor für die Bestimmung der konkreten Erfordernisse in einem Einzelfall sein. Trotz dieses Vorbehalts ist die Zusammenstellung einer Basisliste minimaler Voraussetzungen ein nützlicher Ausgangspunkt für jede Analyse.
Die Aufnahme der nachstehenden Grundsätze wird vorgeschlagen:
1) Der Grundsatz der Beschränkung der Zweckbestimmung - Daten sind für einen spezifischen Zweck zu verarbeiten und dementsprechend nur insofern zu verwenden oder weiter zu übermitteln, als dies mit der Zweckbestimmung der Übermittlung nicht unvereinbar ist. Die einzigen Ausnahmen von dieser Regel sind die in einer demokratischen Gesellschaft aus einem der in Artikel 13 der Richtlinie aufgeführten Gründe notwendigen Fälle.
2) Der Grundsatz der Datenqualität und -verhältnismäßigkeit - Daten müssen sachlich richtig und, wenn nötig auf dem neusten Stand sein. Die Daten müssen angemessen, relevant und im Hinblick auf die Zweckbestimmung, für die sie übertragen oder weiter verarbeitet werden, nicht exzessiv sein.
3) Der Grundsatz der Transparenz - Natürliche Personen müssen Informationen über die Zweckbestimmung der Verarbeitung und die Identität des im Drittland für die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies aus Billigkeitsgründen erforderlich ist. Ausnahmen sind lediglich im Einklang mit den Artikeln 11 Absatz 2 und 13 der Richtlinie möglich.
4) Der Grundsatz der Sicherheit - Der für die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsmaßnahmen für die Risiken der Verarbeitung zu treffen. Alle unter der Verantwortung des für die Verarbeitung Verantwortlichen tätigen Personen, darunter auch Verarbeiter, dürfen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.
5) Die Rechte auf Zugriff, Berichtigung und Widerspruch - Die betroffene Person muß das Recht haben, eine Kopie aller sie betreffender Daten zu erhalten, die verarbeitet werden, sowie das Recht auf Berichtigung dieser Daten, wenn diese sich als unrichtig erweisen. In bestimmten Situationen muß sie auch Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen können. Die einzigen Ausnahmen von diesen Rechten haben mit Artikel 13 der Richtlinie im Einklang zu stehen.
6) Beschränkungen der Weiterübermittlung an andere Drittländer - Weitere Übermittlungen personenbezogener Daten vom Bestimmungsdrittland in ein anderes Drittland sind lediglich zulässig, wenn das zweite Drittland ebenfalls ein angemessenes Schutzniveau aufweist. Die einzigen zulässigen Ausnahmen haben mit Artikel 26 der Richtlinie im Einklang zu stehen.
Beispiele weiterer, auf spezifische Arten der Verarbeitung anwendbarer Grundsätze:
1) Sensible Daten - Sind "sensible" Kategorien von Daten betroffen (die in Artikel 8 aufgelistet sind), so haben zusätzliche Sicherheitsmaßnahmen wie das Erfordernis zu gelten, daß die betroffene Person ausdrücklich in die Verarbeitung einwilligt.
2) Direktmarketing - Werden Daten zum Zwecke des Direktmarketings übermittelt, so muß die betroffene Person die Möglichkeit haben, sich jederzeit gegen die Verwendung ihrer Daten für derartige Zwecke zu verwehren.
3) Automatisierte Einzelentscheidung - Erfolgt die Übermittlung mit dem Ziel, eine automatisierte Einzelentscheidung im Sinne von Artikel 15 der Richtlinie zu treffen, so muß die natürliche Person das Recht haben, die dieser Entscheidung zugrunde liegende Logik zu erfahren, und andere Maßnahmen müssen getroffen werden, um die berechtigten Interessen der natürlichen Person zu schützen.
3.2 Verfahrens- / Durchführungsmechanismen
In Europa herrscht breite Übereinstimmung darüber, daß die Datenschutzgrundsätze in Rechtsvorschriften eingebettet werden sollen. Man ist sich auch weitgehend darüber einig, daß ein System "externer Überwachung" in Form einer unabhängigen Behörde ein notwendiges Merkmal eines Datenschutzkontrollsystems darstellt. Es reicht allerdings nicht aus, ohne jede Begründung oder Rechtfertigung lediglich zu erklären, daß diese beiden Merkmale für einen angemessenen Schutz gewissermaßen inhärent erforderlich sind. Dies hieße, lediglich rein formalistische Kriterien für die Beurteilung dieser Frage vorzubringen.
Ein besserer Ausgangspunkt wäre die Identifizierung der Basisziele des verfahrensrechtlichen Systems beim Datenschutz und auf dieser Grundlage die Beurteilung des Spektrums der einzelnen, in Drittländern verwendeten gerichtlichen und außergerichtlichen Verfahrensmechanismen im Hinblick auf ihre Fähigkeit, diese Ziele zu erfüllen.
Ein Datenschutzsystem verfolgt im wesentlichen dreierlei Ziele:
1) Gute Befolgungsrate der Bestimmungen. (Kein System kann 100 %ige Einhaltung garantieren, einige sind aber besser als andere). Ein gutes System zeichnet sich im allgemeinen dadurch aus, daß sich die für die Verarbeitung Verantwortlichen ihrer Pflichten und die betroffenen Personen ihrer Rechte und der Mittel für deren Durchsetzung sehr stark bewußt sind. Die Existenz wirksamer, dissuasiver Sanktionen ist wichtig, um die Einhaltung der Bestimmungen sicherzustellen; ebenso wichtig sind natürlich Systeme der direkten Überprüfung durch Behörden, Buchprüfer oder unabhängige Datenschutzbeauftragte.
2) Unterstützung und Hilfe für einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte. Jeder Einzelne muß seine Rechte rasch und wirksam ohne zu hohe Kosten durchsetzen können. Dazu muß es einen institutionellen Mechanismus geben, der eine unabhängige Prüfung von Beschwerden ermöglicht.
3) Angemessene Entschädigung für die geschädigte Partei, wenn die Bestimmungen nicht eingehalten werden. Für dieses Schlüsselelement muß es ein System unabhängiger Schlichtung geben, das die Zahlung einer Entschädigung und gegebenenfalls die Auferlegung von Sanktionen ermöglicht.
4 Praktische Anwendung der Theorie
4.1 Länder, die das Übereinkommen Nr. 108 des Europarats ratifiziert haben
Neben der Richtlinie ist das Übereinkommen Nr. 108 im Datenschutzbereich das einzige existierende Instrument des internationalen Rechts. Die meisten Vertragsparteien des Übereinkommens sind auch Mitgliedstaaten der Europäischen Union (alle 15 haben das Übereinkommen jetzt ratifiziert) oder Länder, wie Norwegen und Island, die aufgrund des Abkommens über den Europäischen Wirtschaftsraum durch die Richtlinie gebunden sind. Allerdings hat auch Slowenien das Übereinkommen ratifiziert, und drei andere Länder, darunter die Schweiz, werden die Ratifizierung möglicherweise in naher Zukunft vornehmen. Deshalb ist nicht nur aus rein akademischem Interesse zu prüfen, ob bei den Ländern, die das Übereinkommen ratifiziert haben, davon auszugehen ist, daß sie ein angemessenes Schutzniveau im Sinne von Artikel 25 der Richtlinie bieten.
Eine solche Prüfung sollte - wie in Abschnitt 2 dieses Dokuments ausgeführt wurde - durch das Betrachten einer Reihe spezifischer Fälle erfolgen. Als Ausgangspunkt ist es allerdings sinnvoll, den Wortlaut des Übereinkommens selbst im Lichte der in dem vorigen Abschnitt dieses Dokuments dargelegten theoretischen Darstellung des "angemessenen Schutzes" zu prüfen.
Im Hinblick auf den Inhalt der Grundsätze läßt sich sagen, daß das Übereinkommen die ersten fünf der sechs "Minimalbedingungen" einbezieht. Das Übereinkommen enthält auch das Erfordernis geeigneter Schutzmaßnahmen für sensible Daten, das bei derartigen Daten eine Voraussetzung für die Angemessenheit darstellen sollte.
Beim Inhalt der substantiellen Regeln fehlen in dem Übereinkommen Beschränkungen von Übermittlungen in Länder, die nicht Vertragsparteien des Übereinkommens sind. Damit entsteht die Gefahr, daß ein Mitgliedstaat des Übereinkommens Nr. 108 bei einer Datenübermittlung aus der Gemeinschaft in ein weiteres Drittland mit völlig unzureichendem Schutzniveau als Zwischenstation verwendet wird.
Der zweite Aspekt des "angemessenen Schutzes" betrifft die vorhandenen Mechanismen, die sicherstellen, daß die Grundsätze Wirkung erhalten. Das Übereinkommen legt fest, daß seine Grundsätze in inländische Rechtsvorschriften aufgenommen und geeignete Sanktionen und Rechtsmittel für Verstöße gegen diese Grundsätze eingeführt werden. Dies sollte ausreichen, um eine angemessene Befolgung der Regeln sowie geeignete Rechtsmittel für die betroffenen Personen zu gewährleisten, wenn die Regeln nicht eingehalten werden (Ziele (1) und (3) eines Datenschutzkontrollsystems). Das Übereinkommen verpflichtet allerdings die Vertragsparteien nicht, institutionelle Mechanismen zu schaffen, die eine unabhängige Prüfung von Beschwerden ermöglichen, obschon in der Praxis die Länder, die das Übereinkommen ratifiziert haben, im allgemeinen derartige Mechanismen eingeführt haben. Dies stellt insofern einen Schwachpunkt dar, als ohne derartige geeignete institutionelle Mechanismen die Unterstützung und Hilfe für einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte (Ziel 2) unter Umständen nicht gewährleistet ist.
Diese Kurzanalyse scheint zu ergeben, daß bei Übermittlungen personenbezogener Daten in Länder, die das Übereinkommen Nr. 108 ratifiziert haben, davon ausgegangen werden kann, daß sie unter folgenden Voraussetzungen nach Artikel 25 Absatz 1 der Richtlinie zulässig sind:
- Das betreffende Land verfügt auch über geeignete institutionelle Mechanismen wie eine unabhängige Kontrollstelle mit entsprechenden Befugnissen; und
- das betreffende Land ist die Endbestimmung der Übermittlung und nicht eine Zwischenstation, über die die Daten weiterübermittelt werden.
Hier handelt es sich natürlich um eine eher vereinfachte, oberflächliche Prüfung des Übereinkommens. Spezifische Fälle der Datenübermittlung in Länder des Übereinkommens können neue, in diesem Dokument nicht betrachtete Probleme aufwerfen.
Die große Mehrheit der Datenübermittlungen aus der Europäischen Union erfolgt eindeutig in Drittländer, die das Übereinkommen Nr. 108 nicht ratifiziert haben. In diesen Fällen, in denen kein bindendes Instrument des internationalen Rechts Anwendung findet, gibt es keine Alternative; hier muß auf den Grundansatz dieses Papiers zurückgegriffen werden, d.h. es müssen Schlußfolgerungen über die Angemessenheit des in einem Drittland gebotenen Schutzniveaus auf der Grundlage der Situation in einem oder mehreren spezifischen Fällen gezogen werden. Eine Beurteilung einer spezifischen Datenübermittlung kann bisweilen für breite Kategorien analoger Fälle als richtig angesehen werden. Die Analyse derartiger, in hohem Maße repräsentativer Übermittlungen wird die Erstellung einer vorläufigen weißen Liste von Ländern oder Sektoren innerhalb von Ländern erleichtern.
Drei Arten von Übermittlungen wären nach der Richtlinie möglich:
1) Eine Mitteilung personenbezogener Daten durch einen in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen an einen anderen, in einem Drittland niedergelassenen, für die Verarbeitung Verantwortlichen;
2) eine Mitteilung personenbezogener Daten durch einen in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen an einen Verarbeiter in einem Drittland, der im Namen des in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen tätig ist;
3) eine Mitteilung personenbezogener Daten durch eine in der Gemeinschaft ansässige betroffene Person an einen in einem Drittland niedergelassenen, für die Verarbeitung Verantwortlichen.
Die in Abschnitt 3 dargelegten "Kern”-Grundsätze finden wahrscheinlich in unterschiedlicher Weise auf diese drei verschiedenen Übermittlungsarten Anwendung. So unterscheidet sich beispielsweise die klassische Situation einer Übermittlung durch einen in der Gemeinschaft niedergelassenen, für die Verarbeitung Verantwortlichen an einen einzelnen, für die Verarbeitung Verantwortlichen in einem Drittland sehr von einem Fall, in dem Daten durch einen außerhalb der Gemeinschaft ansässigen, für die Verarbeitung Verantwortlichen unmittelbar von einer einzelnen betroffenen Person in der Gemeinschaft über Telefon oder das Internet erfaßt werden.
