Hans-Werner Moritz*, Marie-Theres Tinnefeld**Der Datenschutz im Zeichen einer wachsenden Selbstregulierung ***JurPC Web-Dok. 181/2003, Abs. 1 - 36 |
1) Einleitung, Problemstellung |
| Die neuen Kommunikationsmedien kennen weder nationale noch kontinentale Grenzen. Die Möglichkeit, global zu kommunizieren, wird zunächst einmal als atemberaubender Zuwachs an kultureller und ökonomischer Freiheit empfunden. Mit der universellen sekundenschnellen Zugänglichkeit von Informationen wird die eigene Kultur sowie der eigene Markt für Andere erreichbar. Der Zugriff und die Verfügung über Informationen ist zum gravierenden Machtfaktor in der globalisierten Welt geworden (1). | JurPC Web-Dok. 181/2003, Abs. 1 |
| Durch die Digitalisierung der Medien und Produktionsmittel wird nicht nur neue Informationsmacht erzeugt, sondern auch neu verteilt. Viele Aufgaben des Staates sind im Zuge der Deregulierung und Privatisierung auf nichtstaatliche Träger übertragen worden (z.B. Telekommunikation). Die Entwicklung ist nicht ohne Auswirkungen auf das gemeinschaftsrechtliche Datenschutzrecht geblieben. Die Institutionalisierung eines Rechts auf Datenschutz in Europa, die besondere Reservierung der Privatsphäre und die Einrichtung des Rechts, über das Schicksal der eigenen Daten (mit)zu bestimmen sind zwingende Konsequenzen eines Machtzuwachses in Staat und Gesellschaft seit der Entwicklung der Kommunikationstechnologie (2). | Abs. 2 |
| Das überkommene staatliche Konzept in Deutschland ging prinzipiell von einem verantwortliche Interventionsstaat aus. Die faktische Wirkungslosigkeit nationaler Regelungen in Fällen einer EU-überschreitenden Datenverarbeitung hat zu einer begrenzten Steuerungswirkung des staatlichen Rechts geführt (3). Zudem hat der Staat nicht genügend Ressourcen, um die Befolgung der geltenden Rechtsvorschriften gegenüber den privaten Verantwortlichen durchzusetzen, welche viele seiner Funktionen übernommen haben (4). | Abs. 3 |
| Diese Entwicklung hat dazu geführt, dass der Staat den Einzelnen nur sehr begrenzt davor schützen kann, dass er nicht in ein mehr oder minder manipulierbares Informationsobjekt verwandelt wird. Es ist daher naheliegend, dass (staatliche) Hoheitsträger mit privaten Akteuren kooperieren, damit eine unkontrollierte Verfügbarkeit personenbezogener Daten in einer Informations-Weltgesellschaft ohne Chance ist. | Abs. 4 |
2) Typen der Selbstregulierung |
| Spezifische Berufsethiken haben sei alters her Hilfe für die Orientierung in komplexen und neuartigen Situationen geliefert. Als Modell sei auf die seit fast 2500 Jahren geltenden Verhaltensregeln der Ärzte verwiesen. Sie schützen die Privatsphäre und Intimität des Menschen in einer kulturgeschichtlich einzigartigen Form (5). Der deutsche Gesetzgeber akzeptiert dieses Modell im Recht des Datenschutzes und hat die ärztliche Schweigepflicht im Rahmen einer Auffangverantwortung gestärkt (§ 1 Abs. 3 Satz 2 BDSG): Das BDSG belässt es bei der Selbstregulierung, setzt aber datenschutzrechtliche Eingriffsgrenzen: Die Geheimhaltungsregel "...bleibt unberührt". Die Regelungen des BDSG haben eine ergänzende Wirkung. Die EG- Datenschutzrichtlinie verpflichtet die Mitgliedstaaten, Verhaltensregeln nach Maßgabe der Besonderheiten in den Einzelnen Bereichen zu fördern (Art. 27 Abs. 1 DSRL; Erwägungsgrund 61 ). Das BDSG versucht in Umsetzung der Richtlinie die Selbstregulierung auszubauen und sie strukturell in ihrer Funktionsfähigkeit zu sichern. | Abs. 5 |
| Einerseits trifft das BDSG eine Regelung für interne Verhaltensregeln von Berufsverbänden und anderen Vereinigungen (bspw. einer Branche oder eines Geschäftszweiges) und bindet sie in den Vorlage- und Prüfungsmechanismus des BDSG (§ 38a ) ein. Damit eröffnet der Gesetzgeber allgemein eine kooperative Selbstregulierung, deren Vorläufer die oben angesprochenen Verhaltensregeln zum besonderen Geheimnisschutz sind. Die Entwürfe der Verhaltenregeln müssen der Aufsichtsbehörde zur datenschutzrechtlichen Prüfung vorgelegt werden. Durch die staatliche Prüfung vorab und ggf. die Bestätigung der Rechtskonformität gewinnen Verbandsangehörige Rechtssicherheit in Bezug auf den Umgang mit ihren Daten (6). | Abs. 6 |
| Das BDSG enthält nunmehr auch eine Sondervorschrift für verbindliche Unternehmensregelungen (§ 4c Abs. 2 Satz 2). Sie will für weltweit tätige Unternehmen und Branchen Verhaltensregelungen (Codes of Conduct, Privacy Policy, Datenschutzerklärung usw.) ermöglichen, die von den verantwortlichen Stellen unmittelbar gegenüber den Betroffenen verwendet werden. Es handelt sich um einen Top Down-Ansatz in Form einer regulierten Selbstregulierung, die grenzüberschreitende Übermittlungen erleichtern sollen. Die genehmigungspflichtigen Ausnahmen sind eine Variante der von der EG-Datenschutzrichtlinie (Art. 27) sowie vom BDSG (§ 38a) übernommenen Verhaltensregeln. Wie diese sind sie ein "komplementäres Instrument", das die gesetzlichen Datenschutzvorschriften präzisieren und absichern soll (7). Die Genehmigungskompetenz liegt bei den zuständigen Aufsichtsbehörden bzw. bei Post- und Telekommunikationsunternehmen beim Bundesbeauftragen für den Datenschutz. Anders als bei den Verhaltensregeln geht es nicht um Lösungen im nationalen, sondern um eine Kombination generell geltender Vorschriften (§ 4c Abs. 1 Satz 1) und Einzelfallentscheidungen (§ 4c Abs. 2) im Bereich des internationalen Datenschutzes. Sie sollen insbesondere den Mangel angemessener Datenschutzbestimmungen in einem Empfängerland außerhalb der EU/ EWR kompensieren und den Datenschutz in eine Vielzahl von Unternehmenskulturen integrieren. Die Regelung ist von besonderer Bedeutung, wenn Daten an Unternehmen weiter gegeben werden, die einer Unternehmensgruppe angehören. Das Gesetz macht die Genehmigung der Unternehmensregelung von "ausreichenden Garantien" abhängig. Demnach müssen die Abmachungen so angelegt sein, dass die Einhaltung kontrolliert werden kann. | Abs. 7 |
3) Ganzheitliche vertragliche Ansätze |
| Vertragliche Vereinbarungen sowie Unternehmensregelungen bieten die Möglichkeit, datenschutzrechtlich geforderten Garantien zu erbringen. Die EG-Datenschutzrichtlinie (Art. 26 Abs. 4) hat daher der EG-Kommission das Recht eingeräumt, geeignete Standardvertragsklauseln zu verabschieden. Die Kommission hat inzwischen solche Klauseln für die Übermittlung personenbezogener Daten in Drittländer und zur Auftragsdatenverarbeitung nach Stellungnahme der beratender Gremien (Datenschutzgruppe - Art. 29 DSRL und Ausschuss - Art. 31 DSRL) veröffentlicht (8), die gleichzeitig für die nationalen Kontrollinstanzen Maßstäbe setzen. | Abs. 8 |
| Das BDSG betont - wie unter 2) ausgeführt - die Wirkkraft von Unternehmensregelungen, die eine besondere Variante von vertraglichen Vereinbarungen sind. Verhaltensregeln in Unternehmen reichen daher nur dann aus, wenn sie für alle Unternehmensteile verbindlich sind (9). Dies ist dann nicht der Fall, wenn etwa in Unternehmensteilen nebeneinander das Safe Harbor-Übereinkommen vom 27. Juli 2000 (10) oder die von der EU-Kommission verabschiedeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer Geltung haben. | Abs. 9 |
| Die Regelungen in (relativer) Autonomie sollen eine ganzheitliche und kontrollierbare Datenschutzpolitik in den Unternehmen eines Konzerns sicherstellen. DaimlerChrysler, ein Konzern mit mehr als hundert Tochtergesellschaften weltweit, hat daher den Weg der Selbstregulierung in Form ganzheitlicher Codes of Conduct beschritten. | Abs. 10 |
4) Prüfungsfeld im Rahmen einer Unternehmensregelung |
| Gemäß Art. 26 Abs. 2 DSRL kann ein Mitgliedsstaat im Wege einer Einzelfallgenehmigung, deren Gewährung im Ermessen des Mitgliedsstaates liegt (11), eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes Datenschutzniveau gewährleistet, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Die Vorschrift des Art. 26 Abs. 2 DSRL endet mit den Worten: "diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben". | Abs. 11 |
| Aus der Verwendung des Wortes "insbesondere" in Art. 26 Abs. 2 DSRL lässt sich schließen, dass sich entsprechende Garantien aus unternehmens- bzw. konzernweiten Code of Conduct ergeben können. Diese müssen eine zumindest vergleichbare rechtliche Qualität wie Vertragsklauseln haben. | Abs. 12 |
| Das novellierte Bundesdatenschutzgesetz (2001) hat Art. 26 Abs. 1 und Abs. 2 DSRL nahezu unverändert in § 4 c Abs. 1 BDSG und § 4 c Abs. 2 BDSG übernommen. Abweichungen ergeben sich jedoch bei der Umsetzung der EU-Datenschutzrichtlinie in § 4 b Abs. 2 BDSG, weil dort die Angemessenheit des Datenschutzes nicht in Bezug auf ein Land bestimmt wird, sondern in Bezug auf die empfangende Stelle. Die Unterscheidung zwischen dem Anknüpfungspunkt "Land" hinsichtlich der Angemessenheit des Datenschutzniveaus und dem Anknüpfungspunkt "der für die Verarbeitung Verantwortliche" hinsichtlich einer Garantie des Schutzes der Interessen der Betroffenen ist im BDSG verloren gegangen. Das BDSG unterscheidet nicht mehr zwischen zwei verschiedenen Anknüpfungspunkten, sondern setzt als einziges Anknüpfungsobjekt die "Stelle" als Begriff für den konkreten Empfänger der Daten ein (12). Dadurch hat der deutsche Gesetzgeber gegen Art. 249 Abs. 3 EGV verstoßen, weil er nicht eine zulässige Wahl des Umsetzungsmittels getroffen hat, sondern durch die Reduzierung auf ein Anknüpfungsobjekt den angestrebten Zweck der Richtlinie gefährdet oder unmöglich gemacht hat(13). Denn trotz Fehlens eines angemessenen Datenschutzniveaus auf Landesebene, kann die zuständige Aufsichtsbehörde gemäß § 4 c Abs. 2 BDSG von dem Vorhandensein eines angemessenen Datenschutzniveaus bei der empfangenden Stelle ausgehen. Damit wird das in Art. 25 Abs. 4 DSRL vorgegebene Übermittlungsverbot durch das BDSG umgangen (14). Hinzu kommt, dass aufgrund des Exklusivitätsverhältnisses zwischen § 4 b und 4 c BDSG der Anwendungsbereich des § 4 c BDSG als Ausnahmetatbestand nicht eröffnet ist, wenn ein angemessenes Datenschutzniveau im Sinne von § 4 b Abs. 2 BDSG vorliegt (15). Darüber hinaus spricht der Wortlaut des § 4 b Abs. 3 BDSG für ein allumfassendes Prüfungsrecht der verantwortlichen Stelle hinsichtlich eines angemessenen Schutzniveaus bei der Empfängerstelle. Dadurch kommt es zu einer Zuständigkeitsverlagerung hinsichtlich der Prüfung des Datenschutzniveaus. Nach der Datenschutzrichtlinie hat diese Prüfungszuständigkeit nur die mitgliedsstaatliche Behörde, während diese Zuständigkeit gemäß § 4 b Abs. 2, Abs. 3 und Abs. 5 BDSG dem Datenexporteur zukommt (16). Da für diese Zuständigkeitsverlagerung in der Begründung der Novelle zum BDSG keine Erklärung abgegeben wird, muss davon ausgegangen werden, dass der gegenüber der Datenschutzrichtlinie unterschiedliche Anknüpfungspunkt "Stelle" anstatt "Land" in § 4 b Abs. 2 BDSG auf einem Redaktionsversehen beruht. Bis zu einer Änderung des BDSG muss daher der Wortlaut des § 4 b Abs. 2 BDSG richtlinienkonform ausgelegt werden, so dass sich die Prüfung der Angemessenheit des Datenschutzniveaus nicht auf die Empfängerstelle, sondern auf das Empfängerland bezieht (17). Aufgrund der vorzunehmenden richtlinienkonformen Auslegung von § 4 b Abs. 2 BDSG ist festzustellen, dass Codes of Conduct keine Bedeutung im Rahmen der Prüfung nach § 4 b Abs. 2 BDSG haben können, da sich Unternehmensregeln niemals auf das Datenschutzniveau eines Landes auswirken können (18). Ein Code of Conduct ist von der Aufsichtsbehörde ausschließlich bei der Beurteilung der Garantien hinsichtlich des Schutzes des Persönlichkeitsrechtes nach § 4 c Abs. 2 BDSG zu berücksichtigen. | Abs. 13 |
| Aus dem Wortlaut von § 4 c Abs. 2 folgt ferner, dass ein Code of Conduct selbst nicht genehmigungsfähig ist, weil dort der Aufsichtsbehörde nur die Möglichkeit eingeräumt wird, einzelne Übermittlungen oder bestimmte Arten von Übermittlungen zu genehmigen. Lediglich inzident muss die Aufsichtsbehörde im Rahmen des Genehmigungsverfahrens gemäß § 4 c Abs. 2 BDSG die Frage beantworten, ob sich aus einem Code of Conduct ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts des Betroffenen ergeben. In der Bundesrepublik Deutschland haben sich die Aufsichtsbehörden darauf geeinigt, diese inhaltliche Prüfung innerhalb des Arbeitskreises "Internationaler Datenverkehr" des Düsseldorfer Kreises durchzuführen, in dem alle Aufsichtsbehörden der Bundesrepublik Deutschland vertreten sind. Der Düsseldorfer Kreis hat bspw. DaimlerChrysler bescheinigt, dass die von diesem Konzern vorgelegten Codes of Conduct als ausreichende Garantien im Sinne des § 4 c Abs. 2 BDSG gelten können. | Abs. 14 |
| Nach der EG-Datenschutzrichtlinie ist es zwingend vorgeschrieben, dass die zuständige Aufsichtsbehörde in jedem Einzelfall einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten in Ländern, deren Datenschutzniveau von der EU-Kommission nicht positiv als angemessen festgestellt worden ist, zu genehmigen hat. Die übermittelnde Stelle hat nach Art. 25 Abs. 3 DSRL keine Kompetenz festzustellen, ob in einem Drittland ein angemessenes Schutzniveau vorliegt (19). | Abs. 15 |
5) Das Beispiel DaimlerChrysler |
Inhaltlich basieren die DaimlerChrysler Codes of Conduct dem Vernehmen nach auf Folgendem:
| Abs. 16 |
| Aus diesen "Zutaten" hat DaimlerChrysler zwei Codes of Conduct entwickelt: erstens für Kunden/Lieferanten und zweitens für Human Resources. | Abs. 17 |
Der Code für Kunden/Lieferanten umfasst folgende Gliederungspunkte:
| Abs. 18 |
| a. Der DaimlerChrysler Code of Conduct für Kunden/Lieferanten hat das Ziel hat, für den gesamten Konzern einheitliche, adäquate und globale Datenschutz- und Datensicherheitsstandards nach Maßgabe der europäischen Datenschutzrichtlinie und anderen nationalen Gesetzen für den grenzüberschreitenden Datenverkehr aufzustellen. Die Mitarbeiter und Führungskräfte sollen unterstützt werden, Datenschutzbelange von Kunden und Vertragspartnern des Konzerns in die Gestaltung von Produkten und Dienstleistungen zu integrieren. | Abs. 19 |
| Die Grundregel lautet, dass die Zulässigkeit von Datenerhebungen und -verarbeitungen anhand des jeweiligen nationalen und lokalen Rechts des Landes zu beurteilen ist, in dem die Erhebung und Verarbeitung erfolgt. Die Konsequenz daraus ist, dass sich die Zulässigkeit der Verarbeitung von personenbezogenen Daten, die nicht in der EU/EWR erhoben worden sind und auch nicht in der EU/EWR verarbeitet werden, nach dem nationalen und lokalen Recht des Herkunftslandes richtet. Für Datenübermittlungen aus der EU/EWR bzw. aus Staaten, die für Datenübermittlungen in anderen Länder einen adäquaten Datenschutzstandard fordern, haben die datenimportierenden Stellen bei der Verarbeitung der übermittelten personenbezogenen Daten das jeweilige nationale Recht des Staates anzuwenden, aus dem die Daten übermittelt wurden. Meldepflichten, die nach nationalem Datenschutzrecht möglicherweise bestehen, müssen beachtet werden. Erhebung von bzw. Übermittlungen personenbezogener Daten an staatliche Einrichtungen und Behörden erfolgen nur auf der Basis jeweils einschlägiger nationaler Rechtsvorschriften. | Abs. 20 |
| Die Grundsätze für die Verarbeitung personenbezogener Daten reflektieren im wesentlichen den Standard des Bundesdatenschutzgesetzes. Das trifft auch auf die Verarbeitung besonderer Arten personenbezogener Daten zu (Daten über rassische und ethnische Herkunft, über politische Meinung, über religiöse oder philosophische Überzeugungen, über Gewerkschaftszugehörigkeiten oder über die Gesundheit oder das Sexualleben des Betroffenen). | Abs. 21 |
Im Hinblick auf die Unterrichtung und Einwilligung der Betroffenen ergibt sich eine Besonderheit insoweit, als ausdrücklich festgestellt wird, dass die Unterrichtungs- und Einwilligungsregelungen nicht auf Datenerhebungen anwendbar sind, die in den USA vorgenommen werden. Für diese gilt das jeweilige nationale bzw. lokale Recht. Im übrigen folgen die Regelungen im wesentlichen dem Standard des BDSG, wobei klar gegliedert wird in
| Abs. 22 |
| Für die Rechte der Betroffenen gilt, dass sie sich mit Fragen und Beschwerden an den für ihn zuständigen Datenschutzkoordinator und an den Konzernbeauftragten für Datenschutz zu richten haben. Beim Recht auf Auskunft wird festgelegt, dass der Betroffene Auskunft darüber verlangen kann, welche personenbezogenen Daten welcher Herkunft über ihn zu welchem Zweck gespeichert sind. Ferner muss im Falle von Übermittlung personenbezogener Daten an Dritte auch über die Identität der Empfänger oder über die Kategorien von Empfängern Auskunft gegeben werden. Schließlich wird das Recht auf Berichtigung und Löschung der Daten besonders geregelt, ebenso wie das Recht des Betroffenen, der Nutzung seiner personenbezogenen Daten zu Zwecken der Direktwerbung oder der Markt- und Meinungsforschung zu widersprechen. | Abs. 23 |
| Im Bereich von Telekommunikation und Internet wird darauf hingewiesen, dass sich die Verarbeitung personenbezogener Daten, die bei der Telekommunikation mit dem Betroffenen, einschließlich der Internet-Kommunikation anfallen, nach den jeweils geltenden Arbeitsanweisungen bzw. nach dem jeweils geltenden Recht richtet. | Abs. 24 |
| Im Bereich Abhilfe/Sanktionen/Verantwortlichkeiten wird festgelegt, dass die Gesellschaften des Konzerns als für die für die Datenverarbeitung Verantwortlichen verpflichtet sind, dem Betroffenen gegenüber sicherzustellen, dass die Anforderungen des Datenschutzes beachtet werden. Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, werden darauf hingewiesen, dass in vielen Staaten Verstöße gegen datenschutzrechtliche Vorschriften auch strafrechtlich verfolgt werden und Schadenersatzansprüche nach sich ziehen können. Besonders erwähnt wird, dass Zuwiderhandlungen, für die einzelne Mitarbeiter verantwortlich gemachten werden können, grundsätzlich arbeitsrechtliche Sanktionen entsprechend dem jeweils geltenden nationalen Recht nach sich ziehen. | Abs. 25 |
| Besonders wichtig erscheint die Regelung, wonach bei der Übermittlung personenbezogener Daten von einer Konzerngesellschaft mit Sitz in der EU/EWR an eine Konzerngesellschaft mit Sitz in einem Drittstaat der Konzernbeauftragte für den Datenschutz und die datenexportierende Gesellschaft verpflichtet sind, bei allen Anfragen der zuständigen Kontrollstelle des Staates, in dem die datenimportierende Stelle ihren Sitz hat, mit dieser zu kooperieren und die Feststellungen der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten zu respektieren. | Abs. 26 |
| Besonders hervorzuheben ist folgende Regelung: In dem Fall, dass ein Betroffener behauptet, eine datenimportierende Konzerngesellschaft mit Sitz in einem Drittstaat habe gegen diesen Code of Conduct verstoßen, hat die datenexportierende Konzerngesellschaft mit Sitz in der EU/EWR den Betroffenen, dessen Daten in der EU/EWR erhoben worden sind, sowohl bei der Sachverhaltsaufklärung zu unterstützen als auch die Durchsetzung seiner Rechte gegenüber der datenimportierenden Konzerngesellschaft sicherzustellen. Darüber hinaus ist der Betroffene berechtigt, seine Rechte auch gegenüber der datenexportierenden Konzerngesellschaft geltend zu machen. | Abs. 27 |
b. Der DaimlerChrysler Code of Conduct für Human Resources ist inhaltlich weitgehend deckungsgleich. Es gelten jedoch folgende Besonderheiten:
| Abs. 28 |
| Die Konzernspitze richtet die Codes of Conduct als "Konzernrichtlinien" an die Mitarbeiter: "Sie als Mitarbeiter der DaimlerChrysler AG oder einer konzernangehörigen Gesellschaft sind verpflichtet, die in "Datenschutz und Privacy der DaimlerChrysler Code of Conduct" niedergelegten Grundsätze bei Ihrer Arbeit zu beachten… ." Die Verbindlichkeit der Codes of Conduct für die Mitarbeiter ergibt sich daher nach Ansicht der Verfasser entweder aus dem arbeitsrechtlichen Direktionsrecht oder aus der Qualität der Codes of Conduct als Betriebsvereinbarungen, falls es erforderlich war, die Codes of Conduct insgesamt oder in Teilen als Betriebsvereinbarungen (20) abzuschließen. | Abs. 29 |
6) Ausblick und Schluss |
| Derzeit besitzt die DaimlerChrysler AG lediglich die Genehmigung des Landes Berlin, bestimmte Arten von Übermittlungen personenbezogener Daten in Drittländer durchzuführen (21). Die Codes of Conduct wurden allerdings vom Düsseldorfer Kreis als geeignetes Mittel zur Schaffung ausreichender Garantien im Sinne des § 4 c Abs. 2 BDSG anerkannt. Welche Auswirkungen hat die Regelungen auf andere EU-Mitgliedstaaten? Die dort ansässigen DaimlerChrysler-Konzerngesellschaften haben nicht automatisch eine Genehmigung zum Datentransfer in Drittländer, weil die DaimlerChrysler AG von der Aufsichtsbehörde des Landes Berlin eine Genehmigung gemäß § 4 c Abs. 2 BDSG erhalten hat. | Abs. 30 |
| Gemäß § 4 c Abs. 5 BDSG haben die Länder dem Bund Genehmigungen nach § 4 c Abs. 2 BDSG mitzuteilen. Der Bund hat die Kommission über die erteilte Genehmigungen gemäß Art. 26 Abs. 3 DSRL zu informieren. Vertritt ein Mitgliedstaat oder die Kommission die Auffassung, dass die mitgeteilte Genehmigung nicht hätte erteilt werde dürfen, so erlässt die Kommission die geeigneten Maßnahmen nach dem Verfahren des Art. 31 Abs. 2 DSRL. Die Mitgliedstaaten haben dann die aufgrund des Beschlusses der Kommission gebotenen Maßnahmen zu treffen. | Abs. 31 |
| Die Auffassung der Kommission, dass ihr mitgeteilte Genehmigungen nicht hätten erteilt werden dürfen, berührt deren Wirksamkeit nicht. Der Mitgliedstaat ist jedoch verpflichtet, den entsprechenden Verwaltungsakt der Genehmigung zurückzunehmen, soweit dies nach Verwaltungsverfahrensrecht möglich ist. Um insoweit Schwierigkeiten zu vermeiden, wird dafür plädiert, die Genehmigung gemäß § 4 c Abs. 2 BDSG nur mit Widerrufsvorbehalt zu erteilen (22). | Abs. 32 |
| Es versteht sich von selbst, dass der DaimlerChrysler-Konzern den Widerruf der Genehmigung aufgrund Art. 26 Abs. 2, Abs. 3, Art. 31 Abs. 2 DSRL möglichst vermeiden möchte und daher vorab geklärt haben wollte, ob die Codes of Conduct für den Datentransfer in Staaten ohne angemessenes Schutzniveau ausreichende Garantien für den Datentransfer darstellen. Ein solches "One-Stop-Shop-Verfahren" steht nach derzeitiger EU-Gesetzeslage jedoch nicht zur Verfügung. Die Artikel-29-Gruppe kommt dafür nicht in Betracht, weil diese nur beratende Funktionen hat. Immerhin hat jedoch die Artikel-29-Gruppe in einem internen Arbeitspapier vom September 2002 vorgeschlagen, eine bestimmte Aufsichtsbehörde als Anlaufstelle zu definieren, wenn Konzerne von verschiedenen europäischen Aufsichtsbehörden eine Genehmigung von Datenübermittlungen gleicher Art benötigen (23). Gemäß diesem Vorschlag soll die verantwortliche Stelle alle beteiligten Aufsichtsbehörden informieren und eine gewünschte Ansprechbehörde benennen, wobei allerdings die diesbezügliche Entscheidung bei den Aufsichtsbehörden verbleiben soll. Die so bezeichnete Ansprechbehörde fungiert darauf hin als Ansprechpartner der verantwortlichen Stelle und gibt Entscheidungen ihr gegenüber in Absprache mit den anderen beteiligten Aufsichtsbehörden bekannt. | Abs. 33 |
| Gegen das vorgeschlagene Verfahren ist einzuwenden, dass es auf halbem Wege stehen bleibt. Angesichts der Tatsache, dass andere mitgliedstaatliche Aufsichtsbehörden nicht an die Entscheidung der ernannten Ansprechbehörde gebunden wären und bei der Kommission gegen die Genehmigung eines Mitgliedstaates gemäß Art. 26 Abs. 3 DSRL Widerspruch einlegen könnten, erschiene es sinnvoll, wenn die Europäische Kommission von vorne herein mit der Genehmigungsaufgabe betraut würde, weil ihr nach geltendem Recht jetzt schon eine letzte entscheidende Funktion zukommt (24). | Abs. 34 |
| Oben wurde bereits ausgeführt, dass sich sowohl aus Art. 26 Abs. 2 DRSL als auch aus § 4 c. Abs. 2 BDSG ergibt, dass Codes of Conduct eine zumindest vergleichbare rechtliche Qualität wie Vertragsklauseln haben müssen (25). Ob dies der Fall ist, kann nur durch einen Vergleich entschieden werden zwischen der Rechtslage, die entsteht, wenn Unternehmen die von der Kommission freigegebenen Standardvertragsklauseln verwenden und der, die entsteht, wenn Unternehmen sich einem Code of Conduct unterwerfen. Ein solcher Vergleich müsste konkret, d.h. Land für Land, in dem die Codes of Conduct gelten sollen, durchgeführt werden. Dabei kann es jedoch nicht immer um 1 : 1 Vergleichbarkeit in jedem einzelnen Land gehen. Denn auch die Kommission hat z.B. in der Safe Harbor Übereinkunft, die einzelnen Regelungen der Datenschutzrichtlinie nicht im jedem Fall 1 : 1 umsetzen können (26). Als Maßstab für die Vergleichbarkeit wird man daher nicht nur die Standardvertragsklauseln der Kommission, sondern auch die zwischen der Kommission und dem US Handelsministerium ausgehandelten Regelungen der Safe Harbor Übereinkunft gelten lassen können. | Abs. 35 |
| Somit hat die Forderung nach einer Vergleichbarkeit der Rechtsverbindlichkeit zwischen einer durch die Vereinbarung der Standardvertragsklauseln geschaffenen Rechtslage und der durch Codes of Conduct geschaffenen Rechtslage zwar durchaus ihre Berechtigung. Sie muss aber mit Augenmaß, d.h. mit der gebotenen Flexibilität angewandt werden, wenn global ein angemessenes Datenschutzniveau erreicht werden soll. Die gegenwärtige Situation ist unbefriedigend. Bislang hat sich nur eine Minderheit der US Unternehmen, die regelmäßig personenbezogene Daten aus der EU importieren, dem Safe Harbor Übereinkommen angeschlossen (27). Auch die Standardvertragsklauseln erfreuen sich keiner großen Beliebtheit. Vielen Unternehmen gehen einige der darin enthaltenen Regelungen einfach zu weit (z.B. die gesamtschuldnerische Haftung von Datenimporteur und Datenexporteur). Die Folge ist, dass Datentransfers in großem Umfang aus der EU/EWR in Drittländer stattfinden, ohne dass die empfangende Stelle irgendwelche Garantien hinsichtlich des Schutzes der Privatssphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Es ist davon auszugehen, dass die EU-Kommission und die Aufsichtsbehörden dies zwar wissen, aber nichts unternehmen, weil sie befürchten, dass ein Ausüben der gesetzlichen Sanktionen (Geldbuße bis zu EUR 250.000,00, Gefängnisstrafe bis zu 2 Jahren, Verbot der Übermittlung) zu einem Politikum, insbesondere in Bezug auf die USA, werden würde. In dieser Situation sollte die in der Vergleichbarkeitsformel liegende Flexibilität voll genutzt werden, um den Selbstregulierungskräften mit Codes of Conduct à la DaimlerChrysler zum Durchbruch zu verhelfen. Die dadurch geschaffene Rechtslage ist allemal für die von Datentransfers in Drittländer Betroffenen besser als der heutige Zustand.
| JurPC Web-Dok. 181/2003, Abs. 36 |
Fußnoten:(1) Jeremy Rifkin, The Age of Access, 2000, 17 ff.(2) Spiros Simitis, Das Volkszählungsurteil oder der lange Weg zur Informationsaskese - (BVerfGE 65,1), KritV, Heft 3-4/2000, 359 ff. (3) Wolfgang Hoffmann-Riem, Modernisierung von Recht und Justiz, 2001, 23 (4) Zu den verschiedenen Ansätzen vgl. Johann Bizer/Bernd Lutterbeck/Johann Rieß (Hrsg.), Umbruch von Regelungssystemen in der Informationsgesellschaft, Freundesgabe für Alfred Büllesbach, 2002; s.a. Alfred Büllesbach, Selbstregulierungsinstrumente in der globalen Wirtschaft, in: Jahrbuch Telekommunikation und Gesellschaft 2001, 269 ff. (5) Marie-Theres Tinnefeld, Der Mensch ist kein Informationsobjekt. Vom Zusammenhang von uralten Tabus und dem Schutz der Privatheit, NZZ vom 1./2 2003, 91 (6) Berliner Datenschutzbeauftragter/Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Neuregelungen im Datenschutz, 2001, 11; Johann Bizer, DuD 2001, 168 (7) Spiros Simitis, in ders. BDSG-Kommentar 2003, § 4c Rdnr. 32 (8) Die Standardvertragsklausel "Controller to Controller" wurden am 15. Juni 2001 von der Kommission verabschiedet (ABl. EG Nr. L181 vom 4. Juli 2001, S. 19 - 31), in Kraft seit 3. September 2001; Die Standardvertragsklauseln "Controller to Processor" vom 27. Dezember 2001 (ABl. EG Nr. L 6 vom 10. Januar 2002, S. 52 - 62), in Kraft seit 3. April 2002 (9) Simitis ebend. § 4c Rdnr. 59 mwN. (10) Abrufbar unter http://www.export.gov/safeharbor/ (11) Eugen Ehmann/Marcus Helfrich, EG Datenschutzrichtlinie, Kurzkommentar, 1999, Art. 26 Rdn. 3 (12) So Christoph Rittweger/Björn Weiße, CR 2003, S. 142, S. 146 (13) So Rittweger/Weiße, (12), S. 147 (14) So Rittweger/Weiße, (12), S. 147 (15) So zurecht Rittweger/Weiße, (12), S. 146 (16) Vgl. Rittweger/Weiße, (12), S. 148 (17) So ausdrücklich Rittweger/Weiße, (12), S. 147; allerdings sind Rittweger/Weiße bei ihrer exzellenten Analyse offensichtlich zwei sinnentstellende Fehler unterlaufen. Auf Seite 147 muss es in der rechten Spalte im zweiten Absatz statt "Empfängerstelle" richtig heißen "verantwortliche Stelle"; ebenso muss es auf S. 146 im vorletzten Absatz statt "empfangende Stelle" richtig heißen "verantwortliche Stelle". (18) Rittweger/Weiße, (12), S. 148 (19) a.A. Rittweger/Weiße, (12), S. 148 (20) Konzernbetriebsvereinbarungen wären möglich, wenn bei DaimlerChrysler durch Beschluss der Gesamtbetriebsräte ein Konzernbetriebsrat errichtet wäre (§§ 54 ff. BetrVG). (21) Von dem Sitz der DaimlerChrysler AG in Stuttgart aus können von der DaimlerChrysler AG personenbezogene Daten in Drittstaaten übermittelt werden, ohne dass die Aufsichtsbehörde in Baden-Württemberg dies für genehmigungsbedürftig hält. (22) So ausdrücklich Peter Gola/Rudolf Schomerus, BDSG, Kommentar 7. Aufl. 2002 § 4 c Rdn. 12 (23) Vgl. Rittweger/Weiße, (12), S. 148, S. 149 und dort FN 18 (24) So ausdrücklich Rittweger/Weiße, (12), S. 149 (25) Im Gegensatz zu den Standardvertragsklauseln enthalten die DaimlerChrysler Codes of Conduct z.B. keine ausdrückliche Haftungsklausel. Ob deswegen gleich die Vergleichbarkeit zu verneinen ist, hängt davon ab, ob eine Haftung sich nicht sowieso aufgrund des Gesetzes ergibt. Soweit deutsches Recht gilt, ergibt sich die Haftung aus § 280 BGB, wodurch die Vergleichbarkeit gewährleistet erscheint. (26) Vgl. insoweit die kritische Würdigung bei Philipp C. Räther/Nicolai Seitz, MMR 2002, 425, 429 ff. (27) Anfang März 2003 waren ausweislich des beim US Handelsministerium einsehbaren Registers nur 175 US Unternehmen registriert. |
| * Dr. Hans-Werner Moritz ist als Rechtsanwalt im Münchener Büro der internationalen Anwaltskanzlei Jones Day tätig. Mehr als 20 Jahre war Dr. Moritz interner Rechtsberater in einem internationalen Konzern der Informationstechnologie. Hier erwarb er sich seine Expertise zu Fragen des Softwareschutzes, des IT-Outsourcing, der Systemintegrationsverträge und des Kartellrechts, die er später in der freien Praxis auf die Gebiete des Telekommunikationsrechts und des Rechts der Neuen Medien erweitern konnte. Von Dr. Moritz stammen zahlreiche Publikationen, u.a. ein Werk über den Rechtsschutz und die Vertragsgestaltung von Computersoftware, verschiedene Buchbeiträge sowie zahlreiche Aufsätze zum Computerrecht, Telekommunikationsrecht , dem Recht der Neuen Medien und zum Kartellrecht. |
| ** Dr. Marie-Theres Tinnefeld ist Rechtsprofessorin an der FH München mit Schwerpunkt Datenschutz. Ihre Vorlesungsschwerpunkte sind Datenschutz/Arbeits- und Wirtschaftsrecht. Sie ist verantwortlich für die Ausbildung im betrieblichen Datenschutz an der FH München. Von ihr stammen zahlreiche Veröffentlichungen, u.a. eine "Einführung in das Datenschutzrecht" - zusammen mit Dr. Eugen Ehmann - , die demnächst in 4. Auflage erscheinen wird. *** Die Ausführungen über die DaimlerChrysler Codes of Conduct beruhen wesentlich auf einem Vortrag, den Herr Prof. Dr. Büllesbach, Konzernbeauftragter für den Datenschutz bei DaimlerChrysler, auf einem Datenschutz Symposion der internationalen Anwaltskanzlei Jones Day am 18. März 2003 gehalten hat. |
| [online seit: 28.07.2003] |
| Zitiervorschlag: Autoren, Titel, JurPC Web-Dok., Abs. |
| Zitiervorschlag: Moritz, Hans-Werner, Der Datenschutz im Zeichen einer wachsenden Selbstregulierung - JurPC-Web-Dok. 0181/2003 |
