| 1 | Die „Leitlinien der OECD für den Schutz des |
| 2 | Persönlichkeitsrechts und den grenzüberschreitenden Verkehr |
| 3 | personenbezogener Daten“ (OECD Guidelines on the Protection |
| 4 | of Privacy and Transborder Flows of Personal Data) vom 23. |
| 5 | September 1980 [Fußnote: Vgl. Bundesanzeiger Nr. 251 vom 14. |
| 6 | November 1981.], bei denen es sich nicht um einen |
| 7 | völkerrechtlichen Vertrag, sondern um eine Empfehlung an die |
| 8 | Mitgliedstaaten der Organisation handelt, stellen einen |
| 9 | frühen Versuch dar, Datenschutz, freien Informationsfluss |
| 10 | und freien Handelsverkehr in Ausgleich zu bringen. Da neben |
| 11 | den EU-Mitgliedern u. a. auch die USA Mitglied der OECD |
| 12 | sind, waren hierbei europäische und US-amerikanische Ansätze |
| 13 | des Datenschutzes zu berücksichtigen. [Fußnote: |
| 14 | Kühling/Seidel/Sivridis, Datenschutzrecht, 2008, S. 36.] In |
| 15 | den Leitlinien wird zwischen „sensitiven“ und „trivialen“ |
| 16 | Angaben [Fußnote: Simitis, Kommentar zum BDSG, 6. Auflage |
| 17 | 2006, Einleitung, Rn. 186.] , von denen offensichtlich keine |
| 18 | Gefahr ausgeht, unterschieden. Letztere können von der |
| 19 | Anwendung der Leitlinien ausgeschlossen werden. Neben |
| 20 | verschiedenen Verarbeitungsgrundsätzen für den |
| 21 | innerstaatlichen Bereich enthalten die Leitlinien |
| 22 | Empfehlungen zur Sicherung des freien Informationsflusses |
| 23 | zwischen Mitgliedstaaten. So soll etwa auf unangemessen hohe |
| 24 | Datenschutzregelungen, die den grenzüberschreitenden |
| 25 | Datenverkehr behindern, verzichtet werden. Der |
| 26 | Selbstregulierung wird gleicher Stellenwert wie der |
| 27 | (nationalen) Gesetzgebung eingeräumt. [Fußnote: Simitis, |
| 28 | Kommentar zum BDSG, 6. Auflage 2006, Einleitung, Rn. 198.] |
| 29 | Die Leitlinien gelten als „Indiz für die internationale |
| 30 | Verbreitung bestimmter Datenschutz-grundsätze“ [Fußnote: |
| 31 | Ennulat, Datenschutzrechtliche Verpflichtungen der |
| 32 | Gemeinschaftsorgane und –einrichtungen, 2008, S. 72.], die |
| 33 | jedoch weder völkerrechtliche Verbindlichkeit noch einen |
| 34 | hohen Schutzstandard aufweisen. Dessen ungeachtet sollen sie |
| 35 | jedoch auch dazu beigetragen haben, „den Datenschutz als |
| 36 | Gegen-stand internationaler Regulierung zu etablieren.“ |
| 37 | [Fußnote: Kühling/Seidel/Sivridis, Datenschutzrecht, 2008, |
| 38 | S. 36.] |
| 39 | |
| 40 | Das „Übereinkommen zum Schutz des Menschen bei der |
| 41 | automatisierten Verarbeitung personenbezogener Daten“ des |
| 42 | Europarates vom 28. Januar 1981 [Fußnote: BGBl. II 1985, S. |
| 43 | 538.] („Europäische Datenschutzkonvention“) begründet |
| 44 | hingegen rechtliche Verpflichtungen der |
| 45 | Unterzeichnerstaaten, einen bestimmten Katalog von |
| 46 | Datenschutzgrundsätzen einzuhalten und in nationales Recht |
| 47 | umzusetzen. [Fußnote: Nach Nr. 39 der Denkschrift können die |
| 48 | zur Umsetzung zu ergreifenden Maßnahmen neben Gesetzen |
| 49 | verschiedene Formen annehmen, wie Verordnungen usw. Bindende |
| 50 | Maßnahmen können durch freiwillige Regelungen „ergänzt“ |
| 51 | werden, die jedoch allein nicht ausreichend sind.] Dazu |
| 52 | gehört insbesondere die Einhaltung bestimmter |
| 53 | Verarbeitungsgrundsätze nach Art. 5 des Übereinkommens, die |
| 54 | zugleich einen Kanon der heute noch gültigen Grundregeln des |
| 55 | Datenschutzes darstellen. Personenbezogene Daten, die im |
| 56 | öffentlichen oder nicht öffentlichen Bereich automatisch |
| 57 | verarbeitet werden, müssen nach Treu und Glauben und auf |
| 58 | rechtmäßige Weise beschafft und verarbeitet werden. Die |
| 59 | Speicherung und Verwendung ist nur gemäß festgelegter, |
| 60 | rechtmäßiger Zwecke zulässig. Die Daten müssen im Sinne des |
| 61 | Ver-hältnismäßigkeitsgrundsatzes diesen Zwecken entsprechen |
| 62 | und dürfen nicht darüber hinaus gehen. Die sachliche |
| 63 | Richtigkeit der Daten, gegebenenfalls durch spätere |
| 64 | Aktualisierung, ist genauso vorgeschrieben wie die |
| 65 | Anonymisierung der Daten nach Zweckerfüllung. Das |
| 66 | Übereinkommen sieht weiterhin ein spezifisches Schutzniveau |
| 67 | für besonders sensible Daten (etwa über politische |
| 68 | Anschauungen oder Gesundheitsdaten) und bestimmte Rechte der |
| 69 | Betroffenen vor. Nach Art. 1 des Zusatzprotokolls |
| 70 | „betreffend Kontrollstellen und grenzüberschreitenden |
| 71 | Datenverkehr“ vom 8. November 2001 [Fußnote: BGBl. II 2002, |
| 72 | S. 1882.] sind unabhängige Kontrollstellen einzurichten, die |
| 73 | insbesondere die Einhaltung der in nationales Recht |
| 74 | umgesetzten Grundsätze für den Datenschutz gewährleisten |
| 75 | sollen. Sie nehmen ihre Aufgaben „in völliger |
| 76 | Unabhängigkeit“ wahr. Das Zusatzprotokoll beschränkt |
| 77 | weiterhin in Art. 2 die Datenübermittlung in Staaten, die |
| 78 | nicht Mitglied des Übereinkommens sind. Sie ist nur dann |
| 79 | zulässig, wenn im Empfängerstaat ein „angemessenes |
| 80 | Schutzniveau“ gewährleistet ist. Die Weitergabe der Daten |
| 81 | kann aber beispielsweise auch dann erlaubt werden, wenn |
| 82 | vertragliche Garantien von der zuständigen Behörde für |
| 83 | ausreichend befunden wurden. |
| 84 | |
| 85 | Das „Übereinkommen über Computerkriminalität“ (Cybercrime |
| 86 | Convention) des Europarates vom 23. November 2001 [Fußnote: |
| 87 | BGBl. II 2008, S. 1242, für Deutschland in Kraft mit Wirkung |
| 88 | vom 1. Juli 2009.] enthält strafrechtliche Mindeststandards |
| 89 | bei Angriffen auf Computer- und Telekommunikationssysteme |
| 90 | sowie ihrem Missbrauch zur Begehung von Straftaten, Vorgaben |
| 91 | zu strafprozessualen Maßnahmen zur Durchsuchung und |
| 92 | Beschlagnahme bei solchen Straftaten und Regelungen zur |
| 93 | Verbesserung der internationalen Zusammenarbeit |
| 94 | einschließlich der Rechtshilfe bei deren Verfolgung. |
| 95 | [Fußnote: Denkschrift (I. Allgemeines), BT-Drs. 16/7218, S. |
| 96 | 40.] |
| 97 | |
| 98 | Als datenschutzrechtliche Spezialregelung mit globalem |
| 99 | Anwendungsbereich kann der Beschluss der Generalversammlung |
| 100 | der Vereinten Nationen vom 14. Dezember 1990 über |
| 101 | „Richtlinien betreffend personenbezogene Daten in |
| 102 | automatisierten Dateien“ gelten. [Fußnote: Guidelines on the |
| 103 | Use of Computerized Personal Data Flow, Resolution der |
| 104 | Generalversammlung vom 14. Dezember 1990.] Die Richtlinien, |
| 105 | die jedoch ein niedrigeres Datenschutzniveau aufweisen als |
| 106 | die oben genannten Abkommen, haben lediglich den Charakter |
| 107 | einer Empfehlung. |
1-1 von 1
-
1.1.2 Datenschutz in völkerrechtlichen Spezialregelungen (Originalversion)
von EnqueteBuero, angelegt