Die Gruppe ist über die Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung informiert. Diese zielen darauf ab, für personenbezogene Daten ein hohes Maß an Schutz und freiem Verkehr zwischen der Union und den USA zu gewährleisten. Die Gruppe mißt diesen Verhandlungen Bedeutung bei und hofft auf einen möglichst baldigen erfolgreichen Abschluß. In diesem Zusammenhang wurde ein Schreiben mit Anhang des Botschafters Aaron vom 4. November 1998 übermittelt, das eine Reihe von Vorschlägen enthält, die in den USA zwischen Vertretern der amerikanischen Wirtschaft und dem Handelsministerium diskutiert werden sollen. Die Gruppe fordert sowohl die Diskussionsteilnehmer als auch die Regierungen der EU-Mitgliedstaaten, deren Vertreter regelmäßig in dem nach Artikel 31 der Richtlinie 95/46/EG eingesetzten Ausschuß zusammentreffen, dringend zur Berücksichtigung folgender Punkte auf:

Datenschutzvorschriften sollen nicht nur die Anwender neuer Technologien (insbesondere Informatik- und Internet-Nutzer) schützen, ihnen Sicherheit und Vertrauen geben und so die Weiterentwicklung dieser Technologien und den internationalen Datenaustausch fördern, sondern sie sind auch Ausdruck des Willens, an einer Reihe von Grundsätzen und Grundrechten, die den EU-Mitgliedstaaten und den Vereinigten Staaten gemeinsam sind und die Achtung der Privatsphäre und andere menschliche Werte umfassen, festzuhalten.

1. Der Schutz der Privatsphäre und personenbezogener Daten stellt sich in den USA als ein komplexes Gefüge von sektoralen Vorschriften sowohl auf förderaler als auch einzelstaatlicher Ebene dar, die von Selbstregulierung der Wirtsschaft ergänzt werden. In den vergangenen Monaten wurden insbesondere in bezug auf das Internet und den elektronischen Geschäftsverkehr erhebliche Anstrengungen unternommen, um die Glaubwürdigkeit der Selbstregulierung zu erhöhen und ihre Durchsetzbarkeit zu verbessern. Dennoch vertritt die Gruppe die Auffassung, daß die derzeitige Mischung aus enggefaßten sektoralen Rechtsvorschriften und freiwilliger Selbstregulierung nicht ausreicht, um bei jeder Übertragung personenbezogener Daten aus der Europäischen Union einen angemessenen Schutz zu gewährleisten.

2. Die Festlegung eines Referenzrahmens (bestehend aus einer Reihe von Grundsätzen, bei deren Einhaltung von einem "sicheren Hafen"/ôsafe harborô ausgegangen werden kann), der allen US Wirtschaftsteilnehmern offensteht, ist angesichts der Komplexität des amerikanischen Systems äußerst hilfreich. In bestimmten Fällen müßten ergänzend dazu vertragliche Lösungen gefunden werden. Soll der freie Datenfluß in die USA auf dieser Grundlage gewährleistet werden, sind jedoch weitere Verbesserungen erforderlich. Auch könnte sich die Festlegung eines Verfahrens als notwendig erweisen, anhand dessen ermittelt werden kann, welche Unternehmen die Grundsätze einhalten.

3. Da die Entscheidung zur Einhaltung der Grundsätze ausschließlich bei den Unternehmen liegt, stellen bei fehlenden allgemeinen Rechtsvorschriften all die Unternehmen, die sich nicht an die Grundsätze halten möchten, nach wie vor ein Problem dar.

4. Ebenfalls zu klären ist die Rechtstellung der Grundsätze. Zwar kann ihre Einhaltung zunächst freiwillig sein, muß aber verbindlich werden, sobald sich ein Unternehmen für die Grundsätze entschieden hat und die Vorteile des "sicheren Hafens" für sich in Anspruch nimmt.

5. Erheblich beeinträchtigt wird die Glaubwürdigkeit des Systems dadurch, daß die Einhaltung der Grundsätze nicht von einer unabhängigen Stelle überwacht, sondern lediglich durch Eigenbescheinigungen der Unternehmen gewährleistet werden soll. Eine unabhängige Prüfung müßte seriös sein, sollte sich aber selbst für kleine Unternehmen als praktikabel erweisen. Die derzeit in den USA von "Better Business Bureau OnLine" und "Trust-E" entwickelten Modelle gehen in die richtige Richtung.

6. Darüber hinaus muß es möglich sein, die Beschwerden Einzelner, deren Daten von der EU in die USA übermittelt wurden, einfach und zügig zu behandeln und in letzer Instanz einer unabhängigen Stelle vorzulegen. Zu diesem Zweck muß bzw. müssen in den USA eine oder mehrere unabhängige öffentliche Stellen oder Organisationen gefunden werden, die bereit und in der Lage sind, als Kontaktstellen für Datenschutzbehörden aus der EU zu fungieren und bei der Prüfung von Beschwerden mitzuarbeiten. Dabei muß sichergestellt werden, daß in den USA für alle einschlägigen Wirtschaftszweige Vereinbarungen über die praktische Abwicklung solcher Fälle bestehen. Regulierungsbehörden wie die Bundeshandelskommission oder die Bundesbanken-Aufsichtsbehörde können diese Aufgabe in ihrem jeweiligen Zuständigkeitsbereich wahrnehmen.

7. Inhaltlich müssen die Grundsätze zumindest den 1980 verabschiedeten OECD-Leitlinien zum Schutz der Privatspäre entsprechen, die unter anderem von den Vereinigten Staaten angenommen und kürzlich in Ottawa anläßlich der OECD-Konferenz über den elektronischen Geschäftsverkehr bestätigt wurden. Diese Grundsätze finden sich auch in der Richtlinie 95/46/EG und in den Rechtsvorschriften der Mitgliedstaaten der Europäischen Union wieder. In dieser Hinsicht gibt die eingangs erwähnte Diskussionsvorlage des amerikanischen Wirtschaftsministeriums vom 4. November 1998 vor allem in folgenden Punkten zu Besorgnis Anlaß:

a) Das Zugangsrecht des Einzelnen soll auf ein "angemessenes" Maß beschränkt werden, was nicht den OECD-Leitlinien entspricht, in denen nicht das Recht an sich beschränkt, sondern lediglich eine angemessene Anwendung postuliert wird.

b) Der OECD-Grundsatz der Zweckbindung fehlt völlig und wird nur teilweise durch den Grundsatz der "Wahlmöglichkeit" ersetzt, wonach zu einem bestimmten Zweck erhobene Daten auch zu anderen Zwecken verwendet werden können, wenn der Einzelne die Möglichkeit zum Einspruch hat.

c) Daten, auf die sich ein eigentumsähnliches Recht bezieht, und manuell verarbeitete Daten sind von den US-Grundsätzen gänzlich ausgenommen, der Grundsatz der "Wahlmöglichkeit" bietet für die bei Dritten erhobenen Daten keinerlei Schutz, und der Grundsatz des "Zugangs" umfaßt nicht die aus öffentlich zugänglichen Quellen stammenden Daten.

d) Laut Einleitung (dritter Absatz) gehen u.a. "Risikomanagement" (risk management) und ôInformationssicherheit" (information security) der Anwendung der Grundsätze vor. Diese Begriffe sind nach Auffassung der Gruppe zu vage und zu schlecht eingrenzbar. Sie empfiehlt deshalb, sie zu präzisieren oder zu streichen.

Brüssel, den 26. Januar 1999
Für die Gruppe
Der stellvertretende Vorsitzende
Prof. Stefano RODOTA