Jahresbericht 1998
des Berliner Datenschutzbeauftragten

4.6 Wirtschaft

4.7

Internationaler und Europäischer Datenschutz

Am 24. Oktober 1998 ist die von der europäischen Richtlinie zum Datenschutz (EU-Richtlinie) vorgegebene Frist zur Umsetzung ihrer Regelungen in nationales Recht abgelaufen[170]. Die Mitgliedstaaten hatten drei Jahre Zeit, um ihre Rechtsvorschriften den Anforderungen der EU-Richtlinie anzupassen[171]. Als sich Mitte 1998 abzeichnete, dass der bundesdeutsche Gesetzgeber in der ablaufenden Legislaturperiode eine Änderung des Bundesdatenschutzgesetzes nicht mehr auf den Weg bringen würde, haben wir die seit Jahren unter dem Vorsitz Berlins geführte Arbeitsgruppe "Internationaler Datenverkehr" des Düsseldorfer Kreises[172] einberufen, um die mit der fehlenden Umsetzung der Richtlinie zusammenhängenden Fragen einer einheitlichen Klärung zuführen zu können. Im Vordergrund stand dabei die Problematik, wie sich die Aufsichtsbehörden zu verhalten haben, wenn ein Unternehmen mit Sitz im Bundesgebiet personenbezogene Daten ins Ausland übermitteln will. Für den Export in aussereuropäische Staaten (Drittländer) verpflichtet die Richtlinie die Mitgliedstaaten der Union, die grenzüberschreitende Datenübermittlung nur in solche Länder zuzulassen, in denen ein angemessenes Datenschutzniveau gewährleistet ist (Art.25 EU-Richtlinie). Ausnahmsweise kann eine Datenübermittlung in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, unter den in Art.26 EU-Richtlinie genannten Fällen vorgenommen werden.

Die Arbeitsgruppe kam zunächst darin überein, dass die von ihr im Jahre 1996 erarbeiteten Leitlinien zur Übermittlung personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau nicht mehr angewendet werden sollen[173, sondern abgelöst sind durch die (wenngleich teilweise übereinstimmenden) Grundsätze, die die Arbeitsgruppe nach Art.29 EU- Richtlinie in einer Arbeitsunterlage WP12 vom 24. Juli 1998 dargelegt hat[174]. Die in dem Papier genannten inhaltlichen und verfahrensrechtlichen Grundsätze ( z.B. die Beschränkung der Zweckbestimmung, Transparenz gegenüber dem Betroffenen, Mechanismen für die Durchsetzung von Betroffenenrechten) sind als Minimalanforderungen zu beachten zur Bestimmung der Angemessenheit des Schutzniveaus bei Rechtsvorschriften, selbstregulierenden Maßnahmen von Unternehmen und bei Verträgen. Als Folge der nicht rechtzeitigen Umsetzung der Richtlinie geht die Arbeitsgruppe davon aus, dass die Richtlinie - entsprechend der zu derartiger Problematik ergangenen Rechtsprechung des Europäischen Gerichtshofs - keine horizontale Direktwirkung entfaltet (private Stellen gegeneinander also keine unmittelbaren Ansprüche aus der Richtlinie herleiten können), sondern lediglich eine vertikale Wirkung im Verhältnis Bürger - Staat[175].

Bei der Beurteilung der Zulässigkeit von Datenübermittlungen in Drittländer sind nach wie vor die §§ 28, 29 BDSG anwendbar. In ihre Generalklauseln, insbesondere bei der Beurteilung der "schutzwürdigen Interessen" des Betroffenen, müssen die Grundsätze der EU-Richtlinie (und die Mindestkriterien des WP 12) einfließen. Der Betroffene kann also auf diesem Wege seine (aufgrund der Richtlinie erweiterten) Rechte gegenüber der Daten verarbeitenden Stelle geltend machen. Erfolgt die Datenverarbeitung im Rahmen des für den Vertragszweck Erforderlichen, so fließen die Grundsätze bei der Vertragsauslegung z.B. über den Grundsatz von Treu und Glauben ein (vgl. § 28 Abs.1 Satz 2 BDSG).

Bei der Anwendung der Grundsätze der Richtlinie ist zunächst zu beachten, dass die EU-Mitgliedstaaten, auch wenn sie - wie die Bundesrepublik selbst - die Richtlinie noch nicht umgesetzt haben, nicht wie Drittländer zu behandeln sind und deshalb die Angemessenheit des Schutzniveaus bezüglich des empfangenden EU-Staates nicht geprüft werden muss. Bei einem Export in aussereuropäische Staaten (Drittländer) ist die Angemessenheit des Schutzniveaus in diesem Drittstaat anhand der Grundsätze der Richtlinie und der auf dieser Grundlage entwickelten Mindestkriterien des Arbeitspapiers WP 12 zu prüfen. Zumeist dürfte die Datenübermittlung nach Art.26 Abs.1a) (Einwilligung des Betroffenen) oder b) EU-Richtlinie (Datenübermittlung für die Erfüllung eines Vertrages mit dem Betroffenen erforderlich) erfolgen. Nur wenn die Tatbestände des Art.26 Abs.1 EU-Richtlinie nicht vorliegen, müssen nach Abs.2 ausreichende Garantien zum Schutz der Rechte Betroffener (z.B. im Rahmen einer vertraglichen Vereinbarung) verlangt werden. Umgekehrt müssen bei Vorliegen einer vertraglichen Vereinbarung nach Art.26 Abs.2 nicht noch zusätzliche Voraussetzung nach Abs.1 erfüllt sein, es sei denn, es soll von einer im Vertrag nach Art.26 Abs.2 enthaltenen Regelung zu Ungunsten des Betroffenen abgewichen werden. In diesem Fall ist die Einwilligung des Betroffenen nach Art.26 Abs.1a) erforderlich. Dies schließt allerdings nicht aus, dass Datenexporteur auch im Rahmen von Vertragsverhältnissen oder beim Vorliegen von Einwilligungen verpflichtet ist, beim ausländischen Vertragspartner auf hinreichende Datenschutzvorkehrungen hinzuwirken (Art.17 EU-Richtlinie).

Hinsichtlich der verfahrensmäßigen Vorgehensweise der Unternehmen selbst sowie der Aufsichtsbehörden war die Arbeitsgruppe der Ansicht, dass die Vorschriften über das formelle Genehmigungsverfahren nach Art.26 Abs.2 der Richtlinie der näheren Ausgestaltung durch den nationalen Gesetzgeber bedürfen und deshalb bis dahin keine unmittelbare Wirkung für betroffene Unternehmen entfalten. Auch eine Unterrichtungspflicht gegenüber der Europäischen Kommission nach Art.26 Abs.3 wird nicht angenommen. Beabsichtigt ist jedoch, die Kommission in Anlehnung an diese Bestimmung über die positive Bewertung der zuständigen Aufsichtsbehörde zu informieren.

Um eine bundeseinheitliche Verfahrensweise der Aufsichtsbehörden bei der Beurteilung von Fällen des grenzüberschreitenden Datenverkehrs zu gewährleisten, hat die Arbeitsgruppe ein Verfahren zur gegenseitigen Information der Aufsichtsbehörden entwickelt, die die jeweils eingegangenen Prüffälle von grundsätzlicher Bedeutung im Zusammenhang mit den Art.25, 26 der EU-Richtlinie umfasst. Die Informationen sollen aus den zugrunde liegenden Unterlagen und einem entsprechenden Votum der Aufsichtsbehörde bestehen, die die Weiterleitung an die Oberste Aufsichtsbehörde unternimmt. Von dort sind die Informationen an eine koordinierende Stelle (Clearingstelle) weiterzugeben, damit sie die jeweils anderen Obersten Aufsichtsbehörden in Kenntnis setzen kann. Die Funktion dieser "Clearingstelle" haben wir als Vorsitzende der Arbeitsgruppe "Internationaler Datenverkehr" übernommen. Die zuständige Aufsichtsbehörde entscheidet gemäß ihrem Votum, wenn die Obersten Aufsichtsbehörden keine Einwände erhoben haben. Andernfalls wird der Sachverhalt in der Arbeitsgruppe "Internationaler Datenverkehr" - gegebenenfalls im schriftlichen Verfahren - erörtert. Die zuständige Aufsichtsbehörde entscheidet sodann unter Berücksichtigung der Erörterungen der Arbeitsgruppe.