1. Einleitung

Jede technische Entwicklungsphase stellte eine neue Herausforderung für den Schutz personenbezogener Daten und der Privatsphäre dar. Beispielhaft hierfür sind die Erfahrungen mit der Verbreitung der Personalcomputer, dem Beginn der Telematikanwendungen usw.. Zumindest aus den folgenden Gründen ist auch das Internet Teil dieser Herausforderung:

- Die Verwendung der Infrastruktur basiert oft direkt auf der Verarbeitung personenbezogener Daten, z.B. bestimmte Internetprotokolladressen.

- Die über diese Infrastruktur bereitgestellten Dienstleistungen eröffnen insbesondere bei der Informationsverbreitung, einschließlich der personenbezogenen Daten, neue Möglichkeiten (z. B. Adressenlisten, Diskussionsgruppen, Zugang zu Datenbanken usw.).

- Die technischen Mittel hierfür sind neu, z. B. die Browser-Software, und sie entwickeln sich mit rasanter Geschwindigkeit.

- Auch viele der Teilnehmer an den neuen Online-Geschäften, bei denen auch personenbezogene Daten verarbeitet werden, sind neu und so schnell wie die Technik ändern sich auch die traditionellen Grenzen zwischen den einzelnen Berufsgruppen.

- Eine der schwierigsten und komplexesten Möglichkeiten, das Internet einzusetzen, ist die Abwicklung von Geschäften online: der elektronische Geschäftsverkehr besteht insbesondere im direkten Verkauf vom Unternehmen an den Verbraucher, ohne jede Zwischenstufe unter Verwendung neuer Methoden zur Kundensuche und Bezahlung.

- Die globale Dimension ist unmittelbar vorhanden.

Vor diesem komplexen und unter dem Gesichtspunkt des Datenschutzes kontroversen Hintergrund haben die einzelstaatlichen Datenschutzbehörden bereits seit ca. drei Jahre lang pragmatisch gehandelt und können langsam auf einen gefestigten Erfahrungsschatz zurückgreifen (so z.B. ihren Jahresberichten zu entnehmen).

In ähnlich pragmatischer Weise und entsprechend der sich abzeichnenden Dringlichkeit auf europäischer bzw. internationaler Ebene befaßte sich die Gruppe mit den Themen, die sich aus der Anwendung der Datenschutzgrundsätze auf die Verarbeitung personenbezogener Daten im Internet ergeben.

Beispiele hierfür sind:

- Anonymität im Internet

- Unterstützung des öBerlin û Budapest Memorandumsö der Internationalen Arbeitsgruppe über Datenschutz im Bereich Telekommunikation

- Eine erste Stellungnahme zum P3P-Projekt des World Wide Web Konsortiums

- Empfehlung 1/99 über die unsichtbare automatische Verarbeitung personenbezogener Daten im Internet durch Software und Hardware, angenommen am 23. Februar 1999

Die Fragen des Schutzes von Daten und Privatsphäre im Internet werden auch in internationalen Foren wie dem Europarat und der OECD diskutiert . Nachdem die Europäische Union die Suche nach globalen Lösungen im Rahmen der WTO vorgeschlagen hat, erklärte sich diese bereit, den Datenschutz in ihr Arbeitsprogramm über handelsrelevante Aspekte des elektronischen Geschäftsverkehrs aufzunehmen. Dieses Thema wird vom regelmäßig tagenden Rat für Dienstleistungshandel behandelt, der darüber bis Juni 1999 einen Bericht vorlegen will. Ziel der Bemühungen ist die Vereinbarung verbindlicher Grundsätze für den ungehinderten Fluß personenbezogener Daten im weltweiten elektronischen Geschäftsverkehr unter angemessener Berücksichtigung des Schutzes der Privatsphäre, wodurch das Vertrauen in den elektronischen Geschäftsverkehr gestärkt werden wird.

Die europäische Konferenz der Datenschutzbeauftragten vom 23. und 24. April 1998 in Dublin äußerte den Wunsch, die Gruppe solle systematischer an das Thema herangehen, die anstehen- den Fragen definieren und Lösungen erarbeiten, um sicherzustellen, daß die Rechte der Benutzer zum Schutze ihrer Privatsphäre bei der weiteren Entwicklung des Internets und der damit zusammenhängenden Dienstleistungen angemessen berücksichtigt werden, denn dadurch könnte das Vertrauen sowohl in die kommerziellen als auch die privaten Anwendungen erheblich gesteigert werden. Die Datenschutzbeauftragten erinnerten daran, daß die EU-Datenschutzbestimmungen mit den entsprechenden Modalitäten, unabhängig von den verwendeten technischen Mitteln uneingeschränkt für die Verarbeitung personenbezogener Daten im Internet gelten.

2. Die Bedeutung der Datenschutz-Richtlinien

Die Gruppe teilt die Ansicht der Konferenz der EU-Datenschutzbeauftragten. Das Internet ist kein rechtsfreier Raum. Bei der Verarbeitung personenbezogener Daten im Internet sind die gleichen Datenschutz-Grundsätze zu berücksichtigen wie bei Offline-Computeranwendungen . Dies schränkt die Verwendung des Internet keineswegs ein, sondern ist im Gegenteil eine Grundvoraussetzung, um das Vertrauen der Benutzer in das Funktionieren des Internet und die dort angebotenen Dienstleistungen zu gewinnen. Somit ist der Datenschutz im Internet eine unerläßliche Grundvoraussetzung für das Betreiben des elektronischen Geschäftsverkehrs.

Die allgemeine Datenschutz-Richtlinie 95/46/EG gilt für jegliche Verarbeitung personenbezogener Daten innerhalb ihres Geltungsbereichs, unabhängig von den hierbei eingesetzten technischen Mitteln. Daher ist die Verarbeitung personenbezogener Daten im Internet nach Maßgabe dieser Richtlinie zu behandeln.

Die speziellere Richtlinie 97/66/EG über den Schutz der Privatsphäre und der personenbezogenen Daten im Bereich der Telekommunikation ergänzt die allgemeine Richtlinie 95/46/EG, indem sie rechtliche und technische Bestimmungen spezifiziert. Das Internet ist ein Computernetz, das allen offensteht. Somit gehört es zum Bereich der öffentlichen Telekommunikation. Dies wiederum bedeutet, daß die Bestimmungen der Richtlinie 97/66/EG für die Verarbeitung personenbezogener Daten bei der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste in öffentlichen Telekommunikationsnetzen in der Gemeinschaft Anwendung finden.

3. Die Internet-Task-Force

Der Gruppe ist bewußt, daß eine einheitliche Anwendung der Datenschutz-Richtlinien auf die Verarbeitung personenbezogener Daten im Internet eine eingehende Analyse der technischen und rechtlichen Aspekte voraussetzt. Die Gruppe möchte auch weiterhin Antworten auf die vielen spezifischen Fragen beisteuern, die sich in diesem Zusammenhang ergeben.

Damit auch auf die Datenverarbeitung im Internet ein kohärenter und homogener Ansatz angewendet wird, hat die Gruppe die interdisziplinäre Internet-Task-Force eingesetzt, deren Aufgabe es ist, die zu behandelnden Internet-Themen zu bestimmen und Stellungnahmen der Gruppe hierzu vorzubereiten.

Die Internet-Task-Force hat bereits die Empfehlung 1/99 der Gruppe über die unsichtbare automatische Verarbeitung personenbezogener Daten im Internet durch Software und Hardware erarbeitet .

Die Internet-Task-Force wird sich auch weiterhin im allgemeineren Sinne mit der Anwendung der beiden Richtlinien auf die Verarbeitung personenbezogener Daten im Internet befassen und Vorschläge für deren einheitlicher Umsetzung, z. B. im Bereich des elektronischen Postdienstes (E-mail) und bei Verkehrsdaten im Internet, unterbreiten.

Brüssel, den 23. Februar 1999
Für die Gruppe
Der Vorsitzende
Peter HUSTINX