Datenschutz in Europa
Startseite

Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Arbeitsgruppe fⁿr den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten

ARBEITSUNTERLAGE:
Erste Überlegungen zur Verwendung vertraglicher Bestimmungen im Rahmen der Übermittlungen personenbezogener Daten an Drittländer

Von der Arbeitsgruppe am 22.April 1998 angenommen
(WP 9 - DG XV D/ 5005/ 98 - DE endgültig)

Inhaltsübersicht:

  1. Einführung
  2. Die Verwendung von Verträgen als Grundlage für innergemeinschaftliche Datenflüsse
  3. Das Ziel einer vertraglichen Lösung
  4. Die spezifischen Erfordernisse einer vertraglichen Lösung
  5. Das Problem des vorrangigen Rechts
  6. Praktische Erwägungen zur Verwendung von Verträgen
Wichtigste Schlußfolgerungen und Empfehlungen

Seitenanfang

 
1. Einfⁿhrung

In der von der Datenschutzgruppe am 26. Juni 1997 angenommenen Diskussionsgrundlage mit dem Titel "Erste Leitlinien fⁿr die ▄bermittlung personenbezogener Daten in DrittlΣnder - m÷gliche AnsΣtze fⁿr eine Bewertung der Angemessenheit" hat die Arbeitsgruppe versprochen, in ihrer kⁿnftigen Arbeit zu prⁿfen, unter welchen Voraussetzungen vertragliche ad hoc- L÷sungen ein geeignetes Mittel fⁿr den Schutz von Personen sein k÷nnen, wenn personenbezogene Daten in ein Drittland ⁿbermittelt werden, in dem das Schutzniveau nicht generell angemessen ist. Dieses Dokument ist als Grundlage fⁿr eine solche Prⁿfung gedacht.

Nach Artikel 25 Absatz 1 der Datenschutzrichtlinie (95/ 46/ EG) gilt der Grundsatz, da▀ die ▄bermittlung personenbezogener Daten lediglich erfolgen soll, wenn dieses Drittland ein angemessenes Schutzniveau gewΣhrleistet. Artikel 26 Absatz 1 enthΣlt bestimmte Ausnahmen von dieser Regel. Diese Ausnahmen werden in diesem Papier nicht geprⁿft. Hier soll die zusΣtzliche M÷glichkeit einer Ausnahme von dem Grundsatz des angemessenen Schutzniveaus nach Artikel 25 geprⁿft werden, die aufgrund von Artikel 26 Absatz 2 m÷glich ist. Diese Bestimmung erlaubt einem Mitgliedstaat eine ▄bermittlung oder eine Kategorie von ▄bermittlungen personenbezogener Daten in ein Drittland ohne angemessenes Schutzniveau, "wenn der fⁿr die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der PrivatsphΣre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausⁿbung der damit verbundenen Rechte bietet". Weiter wird ausgefⁿhrt, da▀ "diese Garantien sich insbesondere aus entsprechenden Vertragsklauseln ergeben k÷nnen". Artikel 26 Absatz 4 befugt ferner die Kommission, wenn sie nach dem Verfahren des Artikels 31 tΣtig wird, zu beschlie▀en, da▀ bestimmte Standardvertragsklauseln ausreichende Garantien gemΣ▀ Artikel 26 Absatz 2 bieten.

Die Idee der Verwendung von VertrΣgen als Mittel der Regelung internationaler ▄bermittlungen personenbezogener Daten ist natⁿrlich nicht erst durch die Richtlinie entstanden. Bereits 1992 waren der Europarat, die Internationale Handelskammer, und die EuropΣische Kommission gemeinsam fⁿr eine Studie ⁿber die Frage verantwortlich ["Model Contract to Ensure Equivalent Data Protection in the Context of Transborder Data Flow, with Explanatory Memorandum'", gemeinsame Studie des Europarates, der Kommission der EuropΣischen Gemeinschaften und der internationalen Handelskammer, Stra▀burg, 2. November 1992]. In jⁿngerer Zeit haben sich immer mehr SachverstΣndige und Kommentatoren in Studien und Artikeln zur Verwendung vertraglicher Bestimmungen geΣu▀ert - vielleicht, weil sie die ausdrⁿckliche Bezugnahme in der Richtlinie festgestellt haben. VertrΣge sind auch weiterhin als ein Mittel der Behandlung von Datenschutzproblemen eingesetzt worden, die sich aus der Ausfuhr personenbezogener Daten aus bestimmten EU- Mitgliedstaaten ergeben. Seit den spΣten 80er Jahren sind sie in Frankreich hΣufig verwendet worden. In Deutschland fand das jⁿngste Beispiel des "BahnCard"- Falls, an dem die Citibank beteiligt war, gro▀e Beachtung [Vgl. Darstellung dieses Falls durch Alexander Dix auf der Internationalen Konferenz der Datenschutzbeauftragten, September 1996 in Ottawa].

 
2. Die Verwendung von VertrΣgen als Grundlage fⁿr innergemeinschaftliche Datenflⁿsse

Vor der Prⁿfung der Anforderungen an vertragliche Bestimmungen im Rahmen von Datenstr÷men in DrittlΣnder ist es wichtig, den Unterschied zwischen der Drittlandsituation und der Situation deutlich zu machen, bei der die Daten in der Gemeinschaft bleiben. Im letztgenannten Fall ist der Vertrag der Mechanismus, der verwendet wird, um die Aufteilung der ZustΣndigkeiten fⁿr den Datenschutz zu definieren und zu regeln, wenn mehr als eine Stelle an der betreffenden Datenverarbeitung beteiligt ist. Nach der Richtlinie hat eine Einheit, der "fⁿr die Verarbeitung Verantwortliche" die Hauptverantwortung fⁿr die Erfⁿllung der substantiellen GrundsΣtze des Datenschutzes zu ⁿbernehmen. Die zweite Einheit, der "Auftragsverarbeiter", ist lediglich fⁿr die Datensicherheit zustΣndig. Von einem "fⁿr die Verarbeitung Verantwortlichen" wird gesprochen, wenn eine Person die Beschlu▀fassungsbefugnis ⁿber die Zweckbestimmung und die Mittel der Datenverarbeitung besitzt, wΣhrend der "Auftragsverarbeiter" lediglich die Stelle ist, die den Datenverarbeitungsdienst materiell erbringt. Die Beziehung zwischen den beiden wird durch Artikel 7 Absatz 3 der Richtlinie geregelt, der festlegt:

Die Durchfⁿhrung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den fⁿr die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere folgendes vorgesehen ist: - der Auftragsverarbeiter handelt nur auf Weisung des fⁿr die Verarbeitung Verantwortlichen - die in Absatz 1 genannten Verpflichtungen (die materiellrechtlichen Bestimmungen zur Datensicherheit) gelten auch fⁿr den Auftragsverarbeiter, und zwar nach Ma▀gabe der Rechtsvorschriften des Mitgliedstaats, in dem er seinen Sitz hat.

Dies baut auf dem allgemeinen Grundsatz nach Artikel 16 auf, demzufolge jede die fⁿr den fⁿr die Verarbeitung Verantwortlichen tΣtige Person, einschlie▀lich des Auftragsverarbeiters selbst, personenbezogene Daten nur auf Weisung des fⁿr die Verarbeitung Verantwortlichen verarbeiten darf (au▀er bei entsprechenden gesetzlichen Verpflichtungen).

Bei der ▄bermittlung personenbezogener Daten in DrittlΣnder wird normalerweise auch mehr als eine Partei betroffen sein. Hier ist die betreffende Beziehung eine Beziehung zwischen der die Daten ⁿbermittelnden (dem "▄bermittler") und der Stelle, die die Daten im Drittland erhΣlt (dem "EmpfΣnger"). Dabei sollte ein Zweck des Vertrags darin bestehen, festzulegen, wie die ZustΣndigkeit fⁿr die Einhaltung des Datenschutzes auf die beiden Seiten verteilt wird. Der Vertrag hat aber noch viel mehr zu leisten: er mu▀ zusΣtzliche Sicherheiten fⁿr die betroffene Person bieten, die dadurch erforderlich werden, da▀ fⁿr den EmpfΣnger im Drittland kein durchsetzbares Regelwerk von Datenschutzbestimmungen zur Verfⁿgung steht, das ein angemessenes Schutzniveau vorsieht.

 
3. Das Ziel einer vertraglichen L÷sung

Im Rahmen der Drittlandⁿbermittlungen ist deshalb der Vertrag ein Mittel, um angemessene Garantien durch den fⁿr die Verarbeitung Verantwortlichen vorzusehen, wenn Daten aus der Gemeinschaft ⁿbermittelt werden (und somit au▀erhalb des durch die Richtlinie und natⁿrlich durch das allgemeine Regelwerk des Gemeinschaftsrechts vorgesehenen Schutzes [Die Wahrnehmung der Datenschutzrechte der Personen wird innerhalb der Gemeinschaft durch das allgemeine Regelwerk erleichtert, beispielsweise das EuropΣische ▄bereinkommen ⁿber die ▄bermittlung von Rechtshilfeersuchen] in ein Drittland ⁿbermittelt werden, in dem kein angemessenes allgemeines Schutzniveau vorhanden ist. Eine Vertragsbestimmung, die diese Funktion erfⁿllen soll, mu▀ einen befriedigenden Ausgleich fⁿr das Fehlen eines allgemeinen angemessenen Schutzniveaus bieten, indem sie die wesentlichen Elemente des Schutzes enthΣlt, die in einer bestimmten besonderen Situation fehlen.

 
4. Die spezifischen Erfordernisse einer vertraglichen L÷sung

Ausgangspunkt fⁿr die Bewertung der Bedeutung der "ausreichenden Garantien" gemΣ▀ Artikel 26 Absatz 2 ist der Begriff des "angemessenen Schutzes", auf den bereits ausfⁿhrlich in der Unterlage "Erste Leitlinien fⁿr die ▄bermittlung personenbezogener Daten in DrittlΣnder - m÷gliche AnsΣtze fⁿr eine Bewertung der Angemessenheit" eingegangen wurde [FONT FACE="ARIAL" SIZE="-1">4 "Erste Leitlinien fⁿr die ▄bermittlung personenbezogener Daten in DrittlΣnder - m÷gliche AnsΣtze fⁿr eine Bewertung der Angemessenheit", von der Arbeitsgruppe am 26. Juni 1997 angenommene Diskussionsgrundlage]. In diesem Dokument wird ein Ansatz dargelegt, der sich auf eine Reihe von GrundsΣtzen des Datenschutzes und drei weitere Erfordernisse stⁿtzt: eine gute Befolgungsrate der Bestimmungen mu▀ vorliegen, Unterstⁿtzung und Hilfe fⁿr einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte mu▀ zur Verfⁿgung stehen, und es mu▀ eine angemessene EntschΣdigung fⁿr die geschΣdigte Partei geben, wenn die Bestimmungen nicht eingehalten werden.

(i) Die wesentlichen Datenschutzbestimmungen

Das wichtigste Erfordernis der vertraglichen L÷sung besteht darin, da▀ sie auf eine Verpflichtung der an der ▄bermittlung Beteiligten hinauslaufen mu▀, sicherzustellen, da▀ alle, in dem Dokument "Erste Leitlinien" dargelegten grundlegenden Bestimmungen des Datenschutzes, bei der Verarbeitung der in das Drittland ⁿbermittelten Daten gelten. Diese GrundsΣtze sind:

  1. Der Grundsatz der BeschrΣnkung der Zweckbestimmung - Daten sind fⁿr einen spezifischen Zweck zu verarbeiten und dementsprechend nur insofern zu verwenden oder weiter zu ⁿbermitteln, als dies mit der Zweckbestimmung der ▄bermittlung nicht unvereinbar ist. Die einzigen Ausnahmen von dieser Regel sind die in einer demokratischen Gesellschaft aus einem der in Artikel 13 der Richtlinie aufgefⁿhrten Grⁿnde notwendigen FΣlle (u. a. Staatssicherheit, Ermittlung von Straftaten) [Anzumerken ist, da▀ statistische Zwecke und Zwecke der wissenschaftlichen Forschung im allgemeinen unter der Voraussetzung als vereinbar angesehen werden, da▀ geeignete Sicherheiten bestehen].

  2. Der Grundsatz der DatenqualitΣt und -verhΣltnismΣ▀igkeit - Daten mⁿssen sachlich richtig und, wenn n÷tig, auf dem neusten Stand sein. Die Daten mⁿssen angemessen, relevant und dⁿrfen im Hinblick auf die Zweckbestimmung, fⁿr die sie ⁿbertragen oder weiterverarbeitet werden, nicht exzessiv sein.

  3. Der Grundsatz der Transparenz - natⁿrliche Personen mⁿssen Informationen ⁿber die Zweckbestimmung der Verarbeitung und die IdentitΣt des im Drittland fⁿr die Verarbeitung Verantwortlichen sowie andere Informationen erhalten, sofern dies aus Billigkeitsgrⁿnden erforderlich ist. Ausnahmen sind lediglich im Einklang mit den Artikeln 13 oder 11 Absatz 2 der Richtlinie m÷glich, der Organisationen, die Daten nicht direkt von der betroffenen Person erfa▀t haben, die M÷glichkeit bietet, von dem Erfordernis der Unterrichtung der betroffenen Person befreit zu werden, wenn diese Information unverhΣltnismΣ▀igen Aufwand erfordert oder unm÷glich ist.

  4. Der Grundsatz der Sicherheit - Der fⁿr die Verarbeitung Verantwortliche hat geeignete technische und organisatorische Sicherheitsma▀nahmen fⁿr die Risiken der Verarbeitung zu treffen. Alle unter der Verantwortung des fⁿr die Verarbeitung Verantwortlichen tΣtigen Personen, darunter auch Verarbeiter, dⁿrfen Daten nur auf Anweisung des fⁿr die Verarbeitung Verantwortlichen verarbeiten.

  5. Die Rechts auf Zugriff, Berichtigung und Widerspruch - die betroffene Person mu▀ das Recht haben, eine Kopie aller sie betreffender Daten zu erhalten, die verarbeitet werden, sowie das Recht auf Berichtigung dieser Daten, wenn diese sich als unrichtig erweisen. In bestimmten Situationen mu▀ sie auch Widerspruch gegen die Verarbeitung der sie betreffenden Daten einlegen k÷nnen. Die einzigen Ausnahmen von diesen Rechten mⁿssen mit Artikel 13 der Richtlinie im Einklang stehen.

  6. BeschrΣnkungen der Weiterⁿbermittlung an Nichtvertragspartner Weiterⁿbermittlungen personenbezogener Daten vom EmpfΣnger an einen anderen Dritten sind lediglich zulΣssig, wenn Mittel gefunden werden, den betreffenden Dritten vertraglich zu binden und damit den betroffenen Personen dieselben Garantien des Datenschutzes zu gewΣhrleisten. Darⁿber hinaus sind in einigen Situationen weitere GrundsΣtze anzuwenden:
    1. sensible Daten
      - sind 'sensible' Kategorien von Daten betroffen (in Artikel 8 aufgelistet), so mⁿssen zusΣtzliche Sicherheiten eingefⁿhrt werden, wie das Erfordernis, da▀ die betroffene Person ausdrⁿcklich in die Verarbeitung einwilligt.
    2. Direktmarketing
      - werden Daten zum Zwecke des Direktmarketings ⁿbermittelt, so mu▀ die betroffene Person die M÷glichkeit haben, sich jederzeit gegen die Verwendung ihrer Daten fⁿr derartige Zwecke zu verwehren.
    3. Automatisierte Einzelentscheidung
      - erfolgt die ▄bermittlung mit dem Ziel, eine automatisierte Einzelentscheidung im Sinne von Artikel 15 der Richtlinie zu treffen, so mu▀ die natⁿrliche Person das Recht haben, die dieser Entscheidung zugrunde liegende Logik zu erfahren, und andere Ma▀nahmen mⁿssen getroffen werden, um die berechtigten Interessen der natⁿrlichen Person zu schⁿtzen.

    Der Vertrag sollte detailliert darlegen, wie der EmpfΣnger der Datenⁿbermittlung diese GrundsΣtze anzuwenden hat (d. h. Spezifizierung der Zweckbestimmungen, der Datenkategorien, Begrenzung der Speicherzeit, Sicherheitsma▀nahmen usw.). In anderen Situationen - wenn beispielsweise der Schutz in einem Drittland durch ein allgemeines Datenschutzgesetz vorgesehen ist, das der Richtlinie Σhnelt - sind wahrscheinlich andere Mechanismen vorhanden, die klΣren, in welcher Art und Weise die Datenschutzvorschriften in der Praxis Anwendung finden (Verhaltenskodexe, Notifizierung, beratende Funktion der Aufsichtsbeh÷rde). In einer vertraglichen Situation ist dies nicht der Fall. Details sind deshalb von imperativer Bedeutung, wenn die ▄bermittlung auf der Grundlage eines Vertrags erfolgt.

(ii) Den substantiven Vorschriften Geltung verschaffen

Das Dokument "Erste Leitlinienà" legt fⁿr die Beurteilung der Effizienz eines Datenschutzsystems drei Kriterien dar. Diese Kriterien sind die FΣhigkeit des Systems:

  1. eine gute Befolgungsrate der Vorschriften zu gewΣhrleisten. (Kein System kann eine 100%- ige Einhaltung garantieren, einige sind aber besser als andere). Ein gutes System zeichnet sich im allgemeinen dadurch aus, da▀ sich die fⁿr die Verarbeitung Verantwortlichen ihrer Pflichten und die betroffenen Personen ihrer Rechte und der Mittel fⁿr deren Durchsetzung sehr stark bewu▀t sind. Die Existenz wirksamer, abschreckender Sanktionen ist wichtig, um die Einhaltung der Bestimmungen sicher zu stellen; ebenso wichtig sind natⁿrlich Systeme der direkten ▄berprⁿfung durch Beh÷rden, Buchprⁿfer oder unabhΣngige Datenschutzbeauftragte.

  2. Unterstⁿtzung und Hilfe fⁿr einzelne betroffene Personen bei der Wahrnehmung ihrer Rechte bereitzustellen. Jeder Einzelne mu▀ seine Rechte rasch und wirksam, ohne ⁿberh÷hte Kosten durchsetzen k÷nnen. Dafⁿr mu▀ es eine Art Struktur oder Mechanismus geben, die eine unabhΣngige Prⁿfung der Beschwerden erm÷glichen.

  3. eine angemessene EntschΣdigung fⁿr die geschΣdigte Partei vorzusehen, wenn die Bestimmungen nicht eingehalten werden. Fⁿr dieses Schlⁿsselelement mu▀ es ein System unabhΣngiger Schlichtung geben, das die Zahlung einer EntschΣdigung und gegebenenfalls die Auferlegung von Sanktionen erm÷glicht. Dieselben Kriterien mⁿssen bei der Beurteilung der Effizienz einer vertraglichen L÷sung gelten. Dies ist natⁿrlich eine gro▀e, allerdings nicht unm÷gliche Herausforderung. Es geht darum, Mittel und Wege zu finden, um das Fehlen von Aufsichts- und Durchsetzungsmechanismen auszugleichen und der betroffenen Person, die vielleicht kein Vertragspartner ist, Hilfe, Unterstⁿtzung und letztendlich EntschΣdigung zu bieten.

Jede dieser Fragen mu▀ in allen Einzelheiten geprⁿft werden. Zur Erleichterung der Analyse werden sie hier in umgekehrter Reihenfolge behandelt.

 
Bereitstellung einer EntschΣdigung fⁿr eine betroffene Person

Einer betroffenen Person ⁿber einen Vertrag zwischen dem "▄bermittler" der Daten und dem "EmpfΣnger" Rechtshilfe bereitzustellen (d. h. das Recht auf eine durch einen unabhΣngigen Schiedsrichter beurteilte Beschwerde und gegebenenfalls das Recht auf eine EntschΣdigung), ist keine einfache Frage. Viel wird von der Art des gewΣhlten Vertragsrechts sowie von dem auf den Vertrag anwendbaren einzelstaatlichen Recht abhΣngen. Voraussichtlich wird das anwendbare Recht im allgemeinen das des Mitgliedstaats sein, in dem die ⁿbermittelnde Partei niedergelassen ist. Das Vertragsrecht einiger Mitgliedstaaten erlaubt die Begrⁿndung von Rechten Dritter, die in anderen Mitgliedstaaten nicht m÷glich ist. Allgemeine Regel ist allerdings, da▀ die Rechtssicherheit fⁿr die betroffene Person gr÷▀er ist, je mehr der EmpfΣnger im Hinblick auf seine Freiheit beschrΣnkt ist, die Zweckbestimmungen, Mittel und Bedingungen zu wΣhlen, unter denen er die ⁿbermittelten Daten verarbeitet. Fⁿhrt man sich vor Augen, da▀ es um FΣlle unangemessenen allgemeinen Schutzes geht, so wΣre die L÷sung vorzuziehen, da▀ der Vertrag die Art und Weise festlegt, in der der EmpfΣnger die Basisprinzipien des Datenschutzes anzuwenden hat, und zwar so detailliert, da▀ der EmpfΣnger der ▄bermittlung tatsΣchlich keine autonome Beschlu▀fassungsbefugnis im Hinblick auf die ⁿbermittelten Daten oder die Art und Weise besitzt, in der diese anschlie▀end verarbeitet werden. Der EmpfΣnger hat nur nach Anweisung des ▄bermittlers zu handeln; wenn die Daten m÷glicherweise materiell aus der EuropΣischen Union ⁿbermittelt worden sind, bleibt die Beschlu▀fassungskontrolle ⁿber die Daten bei der Stelle, die die ▄bermittlung vorgenommen und ihren Sitz in der Gemeinschaft hat. Der ▄bermittler bleibt somit der fⁿr die Verarbeitung Verantwortliche, wΣhrend der EmpfΣnger lediglich ein Verarbeiter mit einem Subunternehmervertrag ist. Da die Aufsicht ⁿber die Daten durch eine in einem Mitgliedstaat der EU niedergelassene Aufsichtsbeh÷rde ausgeⁿbt wird, gilt unter diesen Voraussetzungen das Recht des betreffenden Mitgliedstaats weiter fⁿr die in dem Drittland erfolgte Verarbeitung [ Aufgrund von Artikel 4 Absatz 1 Buchstabe a der Richtlinie 95/ 46/ EG.] und darⁿber hinaus ist der fⁿr die Verarbeitung Verantwortliche weiterhin nach dem Recht des Mitgliedstaats fⁿr jeden Schaden haftbar, der in Folge einer unzulΣssigen Verarbeitung entstanden ist [Vgl. Artikel 23 der Richtlinie 95/ 46/ EG]. Diese Art der ▄bereinkunft ist der nicht unΣhnlich, die in der interterritorialen Vereinbarung ausgefⁿhrt wurde, mit der der zuvor erwΣhnte Citibank- BahnCard- Fall gel÷st wurde. Hier enthielt die vertragliche Vereinbarung die Anordnungen fⁿr die Datenverarbeitungen im Detail, insbesondere im Hinblick auf die Datensicherheit, und schlo▀ alle anderen Nutzungen der Daten durch den EmpfΣnger der ▄bermittlung aus. Das deutsche Recht fand auf die in dem Drittland erfolgte Datenverarbeitung Anwendung und stellte damit Rechtsmittel fⁿr die betroffenen Personen sicher [Weil dieser Fall sich auf der Grundlage eines Gesetzes ergab, das vor der Richtlinφe galt, fand die Rechtsvorschrift selbst nicht automatisch Anwendung auf alle Verarbeitungen].

Natⁿrlich wird es FΣlle geben, in denen diese Art der L÷sung nicht m÷glich ist. Der EmpfΣnger der ▄bermittlung erbringt vielleicht nicht nur einen reinen Datenverarbeitungsdienst fⁿr den Verantwortlichen mit Sitz in der EuropΣischen Union. Der EmpfΣnger kann beispielsweise die Daten fⁿr eine Nutzung fⁿr seinen eigenen Gewinn oder fⁿr seine eigenen Zwecke gemietet oder erworben haben. Unter diesen UmstΣnden ben÷tigt der EmpfΣnger einen gewissen Handlungsspielraum, um die Daten nach seinem Belieben zu verarbeiten, und wird eigentlich zu einem Verantwortlichen der Daten in seinem eigenen Recht. In einem derartigen Fall kann man sich nicht auf die stΣndige automatische Anwendbarkeit der Rechtsvorschriften eines Mitgliedstaats und die fortgesetzte Schadenshaftung des ▄bermittlers der Daten stⁿtzen. Andere, komplexere Mechanismen mⁿssen gefunden werden, um der betroffenen Person angemessene Rechtshilfe bereitzustellen. Wie oben erwΣhnt wurde, erlauben einige Rechtssysteme Dritten, Vertragsrechte geltend zu machen, und dies k÷nnte genutzt werden, um Rechte einer betroffenen Person ⁿber einen offenen, ver÷ffentlichten Vertrag zwischen ▄bermittler und EmpfΣnger zu begrⁿnden. Die Position der betroffenen Personen wⁿrde weiter gestΣrkt, wenn die Parteien sich als Teil des Vertrages selbst zu einer Art zwingender Schlichtung fⁿr den Fall verpflichten, da▀ eine betroffene Person die Vertragserfⁿllung in Frage stellt. Einige sektorspezifische, selbstregulierende Kodexe enthalten derartige Schlichtungsmechanismen, und die Verwendung von VertrΣgen in Verbindung mit derartigen Kodexen k÷nnte nutzbringend in ErwΣgung gezogen werden. Eine andere M÷glichkeit besteht darin, da▀ der ▄bermittler, vielleicht zum Zeitpunkt des ersten Erhaltens der Daten von der betroffenen Person, mit der betroffenen Person eine eigene vertragliche Vereinbarung schlie▀t, die festlegt, da▀ er (der ▄bermittler) fⁿr jeden Schaden oder Notfall haftbar bleibt, der dadurch entsteht, da▀ der EmpfΣnger einer Datenⁿbermittlung das vereinbarte Paket der Grundprinzipien des Datenschutzes nicht einhΣlt. So werden der betroffenen Person fⁿr die Delikte des EmpfΣngers Rechtsmittel gegenⁿber dem ▄bermittler garantiert. Es ist dann Sache des ▄bermittlers, m÷gliche EntschΣdigungen, zu deren Zahlung an die betroffene Person er gen÷tigt war, anschlie▀end ⁿber Ma▀nahmen wegen Vertragsbruchs gegen den EmpfΣnger zurⁿckzufordern. Eine derartige Drei- Wege- L÷sung ist vielleicht machbarer, als dies scheinen mag. Der Vertrag mit der betroffenen Person k÷nnte Teil der Standardbedingungen werden, mit denen beispielsweise eine Bank oder ein Reisebⁿro ihren Kunden Dienstleistungen bereitstellen. Sie hat den Vorteil der Transparenz: Die betroffene Person wird ⁿber ihre Rechte voll informiert. Schlie▀lich k÷nnte als Alternative zu dem Vertrag mit der betroffenen Person auch geplant werden, da▀ ein Mitgliedstaat eine fortgesetzte Haftpflicht der fⁿr die Verarbeitung Verantwortlichen gesetzlich niederlegt, die Daten nach au▀erhalb der Gemeinschaft ⁿbermitteln, fⁿr SchΣden, die infolge der Handlungen des EmpfΣngers der ▄bermittlung entstehen.

 
Unterstⁿtzung und Hilfe fⁿr betroffene Personen

Die Rechtshilfe fⁿr die betroffene Person wurde durch die M÷glichkeit des deutschen Vertragsrechts geschaffen, Rechte Dritter zu begrⁿnden. Eine der Hauptschwierigkeiten betroffener Personen, deren Daten in den Bereich einer auslΣndischen Rechtsprechung ⁿbermittelt werden, ist das Problem, da▀ sie nicht in der Lage sind, die Ursache des Einzelproblems, mit dem sie zu kΣmpfen haben, zu finden, und deshalb nicht beurteilen k÷nnen, ob die Vorschriften fⁿr den Datenschutz korrekt befolgt wurden oder ob Grⁿnde fⁿr eine rechtliche Anfechtung bestehen [Auch wenn einer betroffenen Person Rechte durch einen Vertrag garantiert werden, wird sie oft nicht in der Lage sein, zu beurteilen, ob ein Vertragsbruch vorliegt und wenn, durch wen. Dafⁿr ist ein Untersuchungsverfahren au▀erhalb der formellen zivilrechtlichen Verfahren erforderlich]. Deshalb mu▀ fⁿr ein angemessenes Schutzniveau eine Art von institutionellem Mechanismus vorhanden sein, der eine unabhΣngige Untersuchung von Beschwerden erm÷glicht. Die ▄berwachungs- und Untersuchungsfunktion einer Kontrollbeh÷rde eines Mitgliedstaats beschrΣnkt sich auf die Datenverarbeitung, die im Hoheitsgebiet des Mitgliedstaats erfolgt [Vgl. Artikel 28 Absatz 1 der Richtlinie 95/ 46/ EG]. Werden Daten in einen anderen Mitgliedstaat ⁿbermittelt, so gewΣhrleistet ein System der gegenseitigen Unterstⁿtzung der Kontrollbeh÷rden, da▀ jede Beschwerde einer betroffenen Person in dem ersten Mitgliedstaat ordnungsgemΣ▀ bearbeitet wird. Erfolgt die ▄bermittlung in ein Drittland, besteht in den meisten FΣllen eine solche Garantie nicht. Damit stellt sich die Frage, welche Art Ausgleichmechanismus im Rahmen einer Datenⁿbermittlung auf der Grundlage eines Vertrags geplant werden kann. Eine M÷glichkeit wΣre es, lediglich eine vertragliche Klausel zu fordern, die der Kontrollbeh÷rde des Mitgliedstaats, in dem der ▄bermittler der Daten niedergelassen ist, ein Recht auf Einsichtnahme in die von dem Verarbeiter im Drittland vorgenommene Verarbeitung garantiert. Diese Einsichtnahme k÷nnte in der Praxis durch einen gegebenenfalls von der Kontrollbeh÷rde ernannten Vertreter vorgenommen werden (beispielsweise eine spezialisierte Buchprⁿferfirma). Bei diesem Ansatz besteht allerdings das Problem, da▀ die Kontrollbeh÷rde nicht generell Vertragspartei ist [Die franz÷sische Delegation k÷nnte sich Situationen vorstellen, in denen die Kontrollbeh÷rde Vertragspartner ist] und somit in einigen Rechtssystemen den Vertrag nicht geltend machen kann, um Zugriff zu erhalten. Eine andere M÷glichkeit wΣre eine gesetzliche Verpflichtung des EmpfΣngers im Drittland unmittelbar gegenⁿber der entsprechenden Kontrollbeh÷rde des EU- Mitgliedstaats, mit der der EmpfΣnger der Daten einwilligt, der Kontrollbeh÷rde oder einem benannten Vertreter im Fall einer vermuteten Nichterfⁿllung der GrundsΣtze des Datenschutzes den Zugriff zu erlauben. Diese Verpflichtung k÷nnte auch die Forderung umfassen, da▀ die an der Datenⁿbermittlung Beteiligten die Kontrollbeh÷rde ⁿber jede Beschwerde unterrichten, die sie von einer betroffenen Person erhalten. Bei einer derartigen Vereinbarung wΣre die Existenz einer solchen Verpflichtung eine Voraussetzung, die erfⁿllt sein mⁿ▀te, bevor die Datenⁿbermittlung stattfinden kann. UnabhΣngig von der gewΣhlten L÷sung bleiben gro▀e Zweifel im Hinblick auf die Frage bestehen, ob es zweckmΣ▀ig, praktikabel oder hinsichtlich der Ressourcen fⁿr eine Kontrollbeh÷rde eines EU- Mitgliedstaats machbar ist, die ZustΣndigkeit fⁿr eine Untersuchung und ▄berprⁿfung der Datenverarbeitung zu ⁿbernehmen, die in einem Drittland erfolgt.

 
Eine gute Befolgungsrate gewΣhrleisten

Auch wenn keine Beschwerde oder kein Problem einer betroffenen Person vorliegt, ist das Vertrauen n÷tig, da▀ die Vertragsparteien den Vertrag tatsΣchlich erfⁿllen. Das Problem bei der vertraglichen L÷sung ist die Schwierigkeit, Sanktionen fⁿr die Nichterfⁿllung festzulegen, die stark genug sind, um die abschreckende Wirkung zu haben, die fⁿr das Herstellen dieses Vertrauens erforderlich ist. Auch in FΣllen, in denen eine tatsΣchliche Kontrolle ⁿber die Daten weiterhin von innerhalb der Gemeinschaft ausgeⁿbt wird, wird der EmpfΣnger der ▄bermittlung m÷glicherweise keiner direkten Strafe unterworfen, wenn er Daten in Zuwiderhandlung gegen den Vertrag verarbeitet. Die Haftung bliebe bei dem in der Gemeinschaft niedergelassenen ▄bermittler der Daten, der dann m÷gliche Verluste in einer gesonderten Rechtshandlung gegen den EmpfΣnger eintreiben mⁿ▀te. Eine solche indirekte Haftung ist m÷glicherweise nicht ausreichend, um den EmpfΣnger zu veranlassen, den Vertrag in allen Einzelheiten zu erfⁿllen. So ist es wahrscheinlich, da▀ eine vertragliche L÷sung in den meisten FΣllen durch zumindest die M÷glichkeit einer Art externer ▄berprⁿfung der VerarbeitungstΣtigkeiten des EmpfΣngers ergΣnzt werden mu▀, wie bspw. ein Audit durch ein zustΣndiges Gremium oder ein spezialisiertes Rechnungsprⁿfungsunternehmen.

 
5. Das Problem des vorrangigen Rechts

Eine besondere Schwierigkeit bei dem vertraglichen Ansatz ist die M÷glichkeit, da▀ die allgemeinen Rechtsvorschriften des Drittlands m÷glicherweise das Erfordernis fⁿr den EmpfΣnger einer Datenⁿbermittlung enthalten, unter bestimmten UmstΣnden personenbezogene Daten fⁿr den Staat offenzulegen (Polizei, Gerichte oder Steuerbeh÷rden) und da▀ derartige gesetzliche Erfordernisse ein Vorrecht gegenⁿber jedem Vertrag haben k÷nnen, dem der Verarbeiter unterworfen ist [Das Ausma▀ der staatlichen Befugnis zur Forderung der Offenlegung von Informationen ist auch eine Frage bei der allgemeineren Beurteilung der Angemessenheit des Schutzes in einem Drittland]. Fⁿr Verarbeiter in der Gemeinschaft ist diese M÷glichkeit in Artikel 16 der Richtlinie angesprochen, demzufolge Auftragsverarbeiter personenbezogene Daten nur auf Weisung des fⁿr die Verarbeitung Verantwortlichen verarbeiten dⁿrfen, es sei denn, es bestehen gesetzliche Verpflichtungen. Nach der Richtlinie mⁿssen sich allerdings derartige Offenlegungen (die naturgemΣ▀ fⁿr Zweckbestimmungen erfolgen, die mit denen unvereinbar sind, fⁿr die die Daten erfa▀t wurden) auf die beschrΣnken, die in demokratischen Gesellschaften aus einem der Grⁿnde der ÷ffentlichen Sicherheit nach Artikel 13 Absatz 1 der Richtlinie erforderlich sind. Artikel 6 des Vertrags von Amsterdam garantiert die Einhaltung der in der EuropΣischen Konvention fⁿr den Schutz der Menschenrechte und Grundfreiheiten enthaltenen Grundrechte. In DrittlΣndern mag es Σhnliche BeschrΣnkungen der M÷glichkeiten des Staates, die Bereitstellung personenbezogener Daten von Unternehmen und anderen in ihrem Hoheitsgebiet tΣtigen Organisationen zu fordern, nicht immer geben. Es gibt keine einfache M÷glichkeit, diese Schwierigkeit zu ⁿberwinden. Damit wird lediglich illustriert, welche Grenzen der vertragliche Ansatz hat. In einigen FΣllen ist ein Vertrag ein zu schwaches Instrument, um angemessene Garantien fⁿr den Datenschutz zu bieten und ▄bermittlungen in bestimmte LΣnder sollten nicht genehmigt werden.

 
6. Praktische ErwΣgungen zur Verwendung von VertrΣgen

Die vorausgehende Analyse hat deutlich gemacht, da▀ jede vertragliche L÷sung detailliert und gebⁿhrend an die betreffende Datenⁿbermittlung angepa▀t sein mu▀. Diese notwendige PrΣzision im Hinblick auf die genauen Zweckbestimmungen und die Voraussetzungen, unter denen die ⁿbermittelten Daten verarbeitet werden, schlie▀t die M÷glichkeit der Entwicklung eines Mustervertrags nicht aus, bringt aber die Notwendigkeit fⁿr jeden auf diesen Mustervertrag aufbauenden Vertrag mit sich, in einer Art und Weise ergΣnzt zu werden, die den besonderen UmstΣnden des Einzelfalls entspricht. Die Analyse hat auch ergeben, da▀ besondere praktische Probleme bei der Untersuchung der Nichterfⁿllung eines Vertrags bestehen, wenn die Verarbeitung au▀erhalb der EuropΣischen Union erfolgt und von dem betreffenden Drittland kein Kontrollgremium vorgesehen ist. Diese beiden ErwΣgungen bedeuten, da▀ es Situationen geben wird, in denen eine vertragliche L÷sung eine geeignete L÷sung darstellen kann, und andere, in denen ein Vertrag unm÷glich die notwendigen "angemessenen Sicherheiten" garantieren kann. Die notwendige detaillierte Anpassung eines Vertrags an die Besonderheiten der betreffenden ▄bermittlung impliziert, da▀ ein Vertrag besonders fⁿr Situationen geeignet ist, in denen Σhnliche, repetitive Datenⁿbermittlungen vorgenommen werden. Die Schwierigkeiten im Hinblick auf die ▄berwachung bedeuten, da▀ eine vertragliche L÷sung effizienter sein kann, wenn es sich bei den Vertragsparteien um bedeutende Wirtschaftsteilnehmer handelt, die bereits ÷ffentlicher Prⁿfung und Regelung unterworfen sind [Im Citybank "Bahncard"- Fall arbeitete der Berliner Datenschutzbeauftragte mit den amerikanischen Bankaufsichtsbeh÷rden zusammen]. Gro▀e internationale, - wie die fⁿr KreditkartengeschΣfte und Flugbuchungen verwendeten - Netze weisen diese beiden Merkmale auf und bieten somit eine Lage, in der VertrΣge sehr zweckmΣ▀ig sein k÷nnen. Unter diesen UmstΣnden k÷nnten sie auch durch multilaterale Vereinbarungen ergΣnzt werden, die eine gr÷▀ere Rechtssicherheit schaffen. Auch wenn die an der ▄bermittlung Beteiligten einer selben Unternehmensgruppe angeh÷ren oder angeschlossen sind, besteht wahrscheinlich eine weitaus gr÷▀ere M÷glichkeit, eine Nichterfⁿllung des Vertrags zu untersuchen, aufgrund der engen Bindungen zwischen dem EmpfΣnger im Drittland und der Stelle mit Sitz in der Gemeinschaft. Unternehmensinterne ▄bermittlungen sind deshalb ein weiterer Bereich, in dem es ein deutliches Potential fⁿr die Entwicklung effizienter vertraglicher L÷sungen gibt.

 
Wichtigste Schlu▀folgerungen und Empfehlungen

  • VertrΣge werden in der Gemeinschaft als Mittel zur Spezifizierung der Aufteilung der ZustΣndigkeit fⁿr die Erfⁿllung des Datenschutzes zwischen dem fⁿr die Verarbeitung Verantwortlichen und einem Auftragsverarbeiter verwendet. Wird ein Vertrag bei Datenflⁿssen in DrittlΣnder verwendet, so mu▀ er viel mehr leisten: er mu▀ zusΣtzliche Sicherheiten fⁿr die betroffene Person bereitstellen, die erforderlich werden, weil der EmpfΣnger im Drittland keinem durchsetzbaren Paket von Datenschutzvorschriften unterworfen ist, die ein angemessenes Schutzniveau sicherstellen.

  • Die Grundlage fⁿr die Beurteilung der Angemessenheit der Sicherheiten aufgrund einer vertraglichen L÷sung ist dieselbe wie die Grundlage fⁿr die Beurteilung der Angemessenheit des allgemeinen Schutzniveaus in einem Drittland. Eine vertragliche L÷sung mu▀ alle grundlegenden GrundsΣtze des Datenschutzes umfassen und die Mittel bereitstellen, mit denen die GrundsΣtze durchgesetzt werden k÷nnen.

  • Der Vertrag sollte die Zweckbestimmungen, die Mittel und Bedingungen detailliert darlegen, unter denen die ⁿbermittelten Daten zu verarbeiten sind, und die Art und Weise, in der die grundlegenden Prinzipien des Datenschutzes anzuwenden sind. Gr÷▀ere Rechtssicherheit wird durch VertrΣge gewΣhrleistet, die die M÷glichkeit des DatenempfΣngers einschrΣnken, die Daten autonom in seinem eigenen Namen zu verarbeiten. Der Vertrag sollte deshalb soweit m÷glich als ein Mittel verwendet werden, mit dem die die Daten ⁿbermittelnde Stelle die Beschlu▀fassungskontrolle ⁿber die in dem Drittland erfolgte Verarbeitung behΣlt.

  • Besitzt der EmpfΣnger Autonomie im Hinblick auf die Verarbeitung der ⁿbermittelten Daten, so ist die Situation nicht unkompliziert, und ein einfacher Vertrag zwischen den an der ▄bermittlung Beteiligten ist vielleicht nicht immer eine ausreichende Grundlage fⁿr die Wahrnehmung der Rechte durch einzelne betroffene Personen. M÷glicherweise wird ein Mechanismus ben÷tigt, auf dessen Grundlage der ⁿbermittelnde Beteiligte in der Gemeinschaft fⁿr alle SchΣden haftbar bleibt, die sich aus der in dem Drittland erfolgten Verarbeitung ergeben k÷nnen.

  • Weiterⁿbermittlungen an Gremien oder Organisationen, die nicht durch den Vertrag gebunden sind, sollten vertraglich explizit ausgeschlossen sein, es sei denn, es ist m÷glich, derartige beteiligte Dritte vertraglich auf die Einhaltung derselben DatenschutzgrundsΣtze zu verpflichten.

  • Das Vertrauen, da▀ die GrundsΣtze des Datenschutzes nach ▄bermittlung der Daten eingehalten werden, wird gestΣrkt, wenn die Erfⁿllung des Datenschutzes durch den EmpfΣnger der ▄bermittlung einer externen ▄berprⁿfung durch beispielsweise ein spezialisiertes Audit- Unternehmen oder ein Normungs/ Zertifizierungs- Gremium unterworfen ist.

  • Im Fall eines Problems einer betroffenen Person, das sich vielleicht aus einem Versto▀ gegen die vertraglich garantierten Datenschutzbestimmungen ergibt, stellt sich das allgemeine Problem der Sicherstellung der ordnungsgemΣ▀en Prⁿfung der Beschwerde einer betroffenen Person. Die Kontrollbeh÷rden des EU- Mitgliedstaats werden praktische Probleme bei der Durchfⁿhrung einer solchen Prⁿfung haben.

  • Vertragliche L÷sungen sind wahrscheinlich am besten geeignet fⁿr gro▀e internationale Netze (Kredtikarten, Flugbuchungen), die durch gro▀e Mengen repititiver Datenⁿbermittlungen gleicher Art und eine relativ kleine Anzahl bedeutender Wirtschaftsteilnehmer in Industriezweigen charakterisiert sind, die bereits signifikanter ÷ffentlicher Prⁿfung und Regelung unterworfen sind. Unternehmensinterne Datenⁿbermittlungen zwischen verschiedenen Zweigen derselben Unternehmensgruppe sind ein weiterer Bereich, in dem es ein betrΣchtliches Potential fⁿr die Verwendung von VertrΣgen gibt.

  • LΣnder, in denen die Befugnisse der staatlichen Beh÷rden im Hinblick auf den Zugang zur Information ⁿber das hinausgehen, was durch die weltweit angenommenen Normen des Schutzes der Menschenrechte erlaubt ist, sind keine sicheren Bestimmungsorte fⁿr ▄bermittlungen auf der Grundlage von Vertragsklauseln.

Geschehen zu Brⁿssel, 28. April 1998

Fⁿr die Arbeitsgruppe

Der Vorsitzende
P. J. HUSTINX

 Letzte Änderung:
 am 28.09.1998
E-Mail an den Webmaster