Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

10

Europa

10.1

Unmittelbare Anwendung der EG-Datenschutzrichtlinie

Eine Mutter schilderte, dass sie und ihr Kind vom Kindesvater bedroht wurden. So bestand die berechtigte Vermutung, dass das Kind vom Kindesvater entführt werden sollte. Die wegen dieser Bedrohung eingeschaltete Kriminalpolizei riet, den Vor- und Familiennamen des Kindes zu ändern. Eine solche Namensänderung ist aus "wichtigem Grund” möglich. Mutter und Kind bekamen neue Namen. Groß war jedoch das Erstaunen bei der Mutter, als ihr von dem zuständigen Jugendamt bzw. Standesamt mitgeteilt wurde, dass der Kindesvater ein Recht darauf habe, diese neuen Namen zu erfahren. Wozu den Namen ändern, wenn der Kindesvater, wegen dessen Drohungen die Prozedur vorgenommen wurde, hierüber informiert wird? In ihrer Verzweiflung bat sie uns um Hilfe.

Tatsächlich sieht das Personenstandsgesetz ein umfassendes, vermeintlich nicht einschränkbares Informationsrecht für den Kindesvater vor. Sperrvermerke in Personenstandsbüchern sind nicht vorgesehen. Die Standesämter sind dem Kindesvater zur Auskunftserteilung verpflichtet. Dagegen ist im Normalfall nichts einzuwenden. Liegen die Dinge aber so wie bei der Petentin, kann das Ergebnis haarsträubend sein.

Eine Lösungsmöglichkeit genau für Sonderfälle dieser Art eröffnet nun die EG-Datenschutzrichtlinie. Sie verpflichtet die Mitgliedsstaaten, für die Betroffenen das Recht vorzusehen, "jederzeit aus überwiegenden schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widerspruch einlegen zu können, dass sie betreffende Daten verarbeitet werden”. Zweck der Regelung ist es, eine Korrekturmöglichkeit bei an sich zulässiger Datenverarbeitung zu eröffnen, die wegen besonderer Umstände des Einzelfalles geboten ist. Bei begründetem Widerspruch hat die Datenverarbeitung zu unterbleiben. Auf unseren Hinweis gegenüber den zuständigen Standesämtern und Ordnungsbehörden hin sagten diese zu, dem Kindesvater keine Auskunft mehr zu erteilen. Damit ist in Schleswig-Holstein die EG-Datenschutzrichtlinie erstmals unmittelbar angewandt worden. Inzwischen hat der Gesetzgeber im neuen LDSG unter der Bezeichnung "Einwand” das entsprechende Rechtsinstitut vorgesehen (vgl. Tz. 1.1).

10.2

Safe-Harbour-Prinzip

Die EG-Datenschutzrichtlinie macht die Zulässigkeit des Exports personenbezogener Daten in Länder außerhalb der EU davon abhängig, dass dort ein angemessener Schutzstandard herrscht. USA und EU sind sich weiterhin uneinig darüber, wie ein solcher Standard für die in die Vereinigten Staaten exportierten Daten sichergestellt werden kann.

Zu den wichtigsten Vorschriften der EG-Datenschutzrichtlinie vom Oktober 1995 gehört die Regelung über den Export personenbezogener Daten in Länder außerhalb des Gebiets der Europäischen Union. Vereinfacht gesagt ist dieser nur zulässig, wenn in dem Drittstaat ein angemessenes Schutzniveau für die personenbezogenen Daten herrscht. Ist dies nicht der Fall, so kann der Datenexport zulässig sein, wenn durch vertragliche Verpflichtung ein entsprechendes Schutzniveau für die exportierten Daten hergestellt wird. Die Artikel-29-Gruppe, die für die Koordination des Datenschutzes in den Mitgliedsstaaten zuständig ist, hat Kriterien entwickelt, mit deren Hilfe die Angemessenheit des Schutzniveaus in Drittstaaten festgestellt werden kann.

Für viele Länder wie z. B. die Schweiz, Norwegen oder Kanada ist die Erfüllung dieser Anforderungen kein Problem. Dort existieren gesetzliche Regelungen zum Datenschutz, die für ein vergleichbares oder wenigstens angemessenes Schutzniveau sorgen. Etwas anderes gilt jedoch für die USA. Dort gibt es lediglich sektorale Regelungen, die zum Teil von Bundesstaat zu Bundesstaat variieren. Es fehlt jedoch an einem generellen Datenschutzgesetz für den privaten Sektor. Eine von der Universität Edinburgh auf der Grundlage der Kriterien der Artikel-29-Gruppe durchgeführte Untersuchung ergab, dass das Datenschutzniveau in den USA nicht als angemessen betrachtet werden kann. Damit wäre der Datenexport eigentlich unzulässig.

In Kreisen der EU hoffte man zunächst darauf, dass diese Feststellung die amerikanischen Verantwortlichen dazu bewegen würde, ihrerseits eine allgemeine Datenschutzregelung für den privaten Sektor auf den Weg zu bringen; doch diese Erwartung wurde enttäuscht. Vor allem von wirtschaftsnahen Zirkeln wird in den USA die Auffassung vertreten, solche Regelungen seien dem amerikanischen Rechtssystem fremd. Datenschutz (bzw. Privacy) werde in den USA traditionell dadurch sichergestellt, dass sich die beteiligten Wirtschaftskreise eigene Codes of Conduct geben würden. Von einer gesetzlichen Regelung müsse auch deswegen abgesehen werden, weil sie die in den USA berüchtigten Sammelklagen nach sich ziehen könnte, mit denen bei Verletzung der Vorschriften horrende Beträge als Schadensersatz gefordert werden.

Gleichwohl zielte die amerikanische Seite darauf ab, von der EU die Einhaltung eines angemessenen Datenschutzniveaus bescheinigt zu bekommen. Statt einer allgemeinen gesetzlichen Regelung des Datenschutzes sollte dazu eine umfassende Selbstverpflichtung der betroffenen Unternehmen geschaffen werden. Die USA entwickelten zu diesem Zweck die so genannten Safe-Harbour-Prinzipien. Sie sehen im Grundsatz vor, dass US-amerikanische Firmenzusammenschlüsse sich gemeinschaftlich verpflichten, für die von Europa zu ihnen exportierten Daten ein Datenschutzniveau einzuhalten, das europäischen Maßstäben entspricht. Es soll also ein sicherer Hafen für die personenbezogenen Daten der EU-Bürger geschaffen werden. Dessen Existenz soll dann ein angemessenes Schutzniveau in der USA sicherstellen.

Dazu gehören folgende sieben Prinzipien:

• "notice” - Informationspflichten über die Art der Datenerhebung und ­verarbeitung sowie über ihren Zweck, die Empfänger und die Wahlmöglichkeiten hinsichtlich der Begrenzung und der Nutzung und Übermittlung,

• "choice” - ein Wahlrecht hinsichtlich der Nutzung der Daten,

• "onward transfer” - bei der Weiterübermittlung der Daten an Dritte wird sichergestellt, dass dort das Datenschutzniveau nicht abfällt,

• "security” - technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung,

• "data integrity” - Sicherstellung der Integrität der Daten, also von Richtigkeit, Vollständigkeit, Aktualität und Erforderlichkeit im Einzelfall,

• "access” - das Recht der Betroffenen auf Auskunft über die zu ihrer Person gespeicherten Daten,

• "enforcement” - die effektive Durchsetzung der Prinzipien.

Weitere Informationen zu den sieben Prinzipien sind zu finden unter:

Die Gremien der Europäischen Union akzeptieren inzwischen zwar grundsätzlich die amerikanische Herangehensweise. Es gibt jedoch im Hinblick auf einige Fragen noch Präzisierungsbedarf. So ist nach wie vor nicht geklärt, wie weit das Auskunftsrecht reichen soll. Darüber hinaus ist hinsichtlich des Prinzips der Durchsetzbarkeit unklar, wie sichergestellt werden kann, dass im Zweifelsfall eine offizielle Institution die Kontrolle der Datenverarbeitung durchführt.

Dies hat die Artikel-29-Gruppe zu der Feststellung veranlasst, dass die vorliegende Fassung der Safe-Harbour-Abmachungen immer noch unbefriedigend ist. Außerdem müssten die Teilnehmer an den Safe-Harbour-Abmachungen klar als solche erkennbar sein. Wichtig sei weiterhin die Durchsetzbarkeit der Prinzipien, mithin die Kontrolle der Einhaltung durch eine öffentliche Stelle. Insgesamt müssten die Ausnahmen und Einschränkungen zurückgenommen und klarer definiert werden. Außerdem müsse das Wahlrecht hinsichtlich der Datenverarbeitung verbessert werden.

Die Konflikte zwischen der USA und der europäischen Seite sind also noch keineswegs ausgeräumt. Wenn es hart auf hart geht, wird die Missachtung eines angemessenen Datenschutzstandards bzw. die Weigerung, die Safe-Harbour-Prinzipien zu verbessern, dazu führen, dass die Datenschutzkontrollinstanzen in den Mitgliedstaaten der EU den Export personenbezogener Daten in die USA untersagen. Es dürfte im Interesse beider Seiten sein, einen Kompromiss zu finden, bevor dieser Fall eintritt.

10.3

E-Commerce-Richtlinie der EU

Die Gremien der Europäischen Union legten bereits Ende 1998 den Vorschlag für eine Richtlinie über bestimmte rechtliche Aspekte des elektronischen Geschäftsverkehrs im Binnenmarkt vor (sog. E-Commerce-Richtlinie). Im September 1999 wurde die endgültige Fassung präsentiert. Neben Fragen der Verantwortlichkeit im Internet (für das deutsche Recht finden sich dazu Aussagen im Multimediarecht) regelt die Richtlinie vor allem die verbraucherschutzrechtlichen Aspekte bei grenzüberschreitendem elektronischen Geschäftsverkehr innerhalb der EU.

Von datenschutzrechtlichem Interesse ist in diesem Zusammenhang die Vorschrift über die unerbetene kommerzielle Kommunikation sowie die für kommerzielle Kommunikationen vorgesehenen Informationspflichten. Als Mindeststandard wird festgelegt, dass Werbe-E-Mails eindeutig gekennzeichnet und ihre Absender angegeben werden. In mehreren Gerichtsentscheidungen wurde festgestellt, dass das unerbetene Zusenden von Werbe-E-Mails in Deutschland sowohl an private als auch an geschäftliche Adressen ein unzulässiger Wettbewerbsverstoß ist. Damit sind deutsche Verbraucher zumindest rechtlich gut gegen unerwünschte Mails geschützt. Nach europäischen Standards wird künftig zusätzlich darauf hingewiesen werden müssen, dass es sich um Werbung handelt. Auf diese Weise können die Mails sofort bei oder nach Empfang aussortiert werden.

Die europäischen Gremien sollten sich auch mit der Harmonisierung des europäischen Datenschutzrechts im Internet beschäftigen. Verschiedene Studien haben festgestellt, dass ein Hemmnis für die weitere Entfaltung des E-Commerce gerade in Europa darin besteht, dass viele potenzielle Nutzer kein Vertrauen darin haben, dass die Anbieter mit ihren Daten datenschutzgerecht umgehen. Für die europäischen Unternehmen in diesem Sektor wird es bei steigendem Datenschutzbewusstsein einen Wettbewerbsvorteil darstellen, wenn sie künftig strenge europäische Regelungen einzuhalten hätten. Eine ähnliche Tendenz zeigt sich bereits bei der Frage des Datenexports in die USA (vgl. Tz. 10.2).

10.4

Ausschreibungen im Schengener Informationssystem (SIS)

Im Schengener Informationssystem wurden zu Unrecht abgelehnte Asylbewerber gespeichert. Die Praxis musste geändert werden.

Über den Bundesdatenschutzbeauftragten als nationale Kontrollinstanz gemäß Schengener Durchführungsübereinkommen (SDÜ) waren wir an der Bearbeitung der Eingabe eines Petenten beteiligt, der im SIS zu Unrecht gespeichert war. Er hatte bei der Ausländerbehörde eines Kreises in Schleswig-Holstein einen Asylantrag gestellt, der vom Bundesamt für die Anerkennung ausländischer Flüchtlinge als offensichtlich unbegründet abgelehnt wurde. Daraufhin ordnete die Kreisverwaltung die Ausreise des Petenten auf. Ob der Petent seiner Ausreisepflicht nachgekommen oder im Inland untergetaucht war, blieb unklar.

Die Ausländerbehörde des Kreises veranlasste daraufhin die Ausschreibung des Petenten gem. Art. 96 Abs. 3 SDÜ im SIS. Danach können Drittausländer, denen nach einer Ausweisung oder Abschiebung die Wiedereinreise untersagt ist, im SIS gespeichert werden. Mit der Maßnahme der Ausländerbehörde muss ein Verbot der Einreise oder des Aufenthalts verbunden sein.

In diesem Fall war aber weder eine Ausweisungsverfügung erlassen noch die Abschiebung tatsächlich vollzogen worden. Damit waren die Voraussetzungen für eine Ausschreibung nicht gegeben. Zur Aufenthaltsermittlung hätte er nur im polizeilichen Informationssystem INPOL oder im Ausländerzentralregister (AZR) ausgeschrieben werden dürfen.. So sehen es auch die vom Innenministerium herausgegebenen Allgemeinen Anwendungshinweise zum Schengener Durchführungsübereinkommen vor. Die zu diesem Zweck erfolgte Ausschreibung im SIS war unzulässig.

Wir haben die Löschung der Daten veranlasst. In diesem Zusammenhang hat sich herausgestellt, dass in vielen Ausländerbehörden des Landes entsprechend verfahren wird und Ausschreibungen im SIS ohne Vorliegen der rechtlichen Voraussetzungen veranlasst werden. Das Innenministerium hat nun kurzfristig einen Erlass an alle Ausländerbehörden herausgegeben, um die Beachtung der Rechtslage sicherzustellen.