Papier: 2.1.9 Die Grenzen des nationalen Datenschutzes

Originalversion

1 Die Regeln der Datenerhebung und –verarbeitung bei
2 Dienstleistungen, die sich an Bürger der Europäischen Union
3 wenden, bestimmen sich nach dem europäischen oder darüber
4 hinausgehenden nationalen Recht. Die Richtlinie 95/46/EG
5 (Datenschutzrichtlinie) verbietet es grundsätzlich,
6 personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten zu
7 übertragen, die über kein dem EG-Recht vergleichbares
8 Datenschutzniveau verfügen. Sie stellt allerdings eine
9 Anzahl von Instrumenten zur Verfügung, die ein angemessenes
10 Datenschutzniveau bei der Datenübermittlung in Drittstaaten
11 sicherstellen sollen. Gegenwärtig erfolgt eine grundlegende
12 Revision der Datenschutzrichtlinie, die auf Verbesserungen
13 des Datenschutzes auch in diesem Bereich abzielt.
14
15 Die seit 2000 existierende Vereinbarung „Safe Harbor“ soll
16 ein angemessenes Datenschutzniveau bei US-amerikanischen
17 Unternehmen sicherstellen, indem sich Unternehmen auf die in
18 der Safe Harbor-Vereinbarung vorgegebenen Grundsätze
19 verpflichten.
20
21 In einem Beschluss vom April 2010 hat der Düsseldorfer Kreis
22 die Anforderungen an die Nachweise und auch an deutsche
23 Unternehmen, die an nicht-EU Unternehmen Daten übermitteln,
24 verstärkt. [Fußnote: „Solange eine flächendeckende Kontrolle
25 der Selbstzertifizierungen US-amerikanischer Unternehmen
26 durch die Kontrollbehörden in Europa und den USA nicht
27 gewährleistet ist, trifft auch die Unternehmen in
28 Deutschland eine Verpflichtung, gewisse Mindestkriterien zu
29 prüfen, bevor sie personenbezogene Daten an ein auf der Safe
30 Harbor-Liste geführtes US- Unternehmen übermitteln.“]
31
32 Dem Grunde nach existieren Vorschriften, die europäische
33 Bürger und Verbraucher schützen. Durch die offenbar
34 mangelnde Durchsetzung der Sondervereinbarung mit den USA
35 wurden diese Rechte allerdings geschwächt. Derzeit befindet
36 sich die EU-Kommission (DG Justice) in Verhandlungen mit den
37 USA über ein sogenanntes Allgemeines Datenschutzabkommen,
38 das neben Safe Harbor treten soll und insbesondere nach dem
39 Inkrafttreten des Vertrags von Lissabon und der damit den
40 EU-Institutionen zugewachsenen Mitzuständigkeit für Fragen
41 der justiziellen und polizeilichen Zusammenarbeit auch nach
42 außen eine Rolle spielt.
43
44 Ziel dieser Verhandlungen muss die Anwendbarkeit und
45 Durchsetzbarkeit des europäischen Datenschutzrechts sein.
46 Dabei wird u. a. ein Geschäftssitz in Europa als Bedingung
47 für die Erhebung und Verarbeitung von Daten diskutiert.
48
49 Gegenwärtig gilt nach dem Bundesdatenschutzgesetz das
50 Sitzlandprinzip. Danach kommt dasjenige Recht zur Anwendung,
51 das am Sitz des für die Entscheidung über die
52 Datenverarbeitung Verantwortlichen gilt. Damit wird ein
53 harmonisierter EWR-Rechtsraum begründet. Eine Ausnahme
54 bilden Verarbeitungen, bei denen noch eine Niederlassung im
55 Inland besteht, so dass nationales Datenschutzrecht zur
56 Anwendung kommt. Eine weitere Ausnahme vom Sitzlandprinzip
57 bilden Verarbeitungen, bei denen Verantwortliche außerhalb
58 des EWR-Raumes befindlich sind. So gilt beispielsweise mit
59 Blick auf US-amerikanische Unternehmen das
60 Territorialitätsprinzip und damit grundsätzlich
61 bundesdeutsches Recht, so dass es auf den Ort der
62 Datenverarbeitung bzw. auf die Frage ankommt, ob sich
63 automatisierte Mittel zur Datenerhebung räumlich gesehen in
64 Deutschland befinden. Genau diese Verräumlichung als
65 Anknüpfungspunkt birgt mit Blick auf reine
66 Webinhaltsangebote Probleme. So wird die Anwendbarkeit
67 bundesdeutschen Rechts auf bestimmte Facebook-Bestandteile
68 etwa dann bejaht, wenn es sich um eine Datenverarbeitung
69 handelt, bei der ein sog. cookie auf dem Programm der
70 Internetnutzer platziert wird, weil dessen privater Rechner
71 im Inland belegen ist. Für andere Angebote ohne Verwendung
72 dieser Technologie hingegen wird – zumindest von Teilen der
73 Aufsichtsbehörden - von einer fehlenden Anwendbarkeit
74 mangels Inlandsbezuges der Datenverarbeitung ausgegangen.
75 Die „Verhandlungen“ des Hamburgischen
76 Datenschutzbeauftragten mit Google und Facebook sind nur vor
77 diesem Hintergrund nachvollziehbar. Handelte es sich um
78 einen unproblematischen Fall, wären verwaltungsrechtliche
79 Anordungen ergangen.
80
81 Auf europäischer und weltweiter Ebene muss die
82 Bundesrepublik Deutschland ihrer Verantwortung als führender
83 Wirtschaftsnation gerecht werden und für einen ausgeprägten
84 Datenschutz streiten. Die Praxis global agierender
85 Internetunternehmen erfordert ein abgestimmtes Vorgehen über
86 die Grenzen des Nationalstaates hinaus. Bei internationalen
87 Ausformulierungen von Datenschutzvorgaben sollte jeweils das
88 höchste beteiligte Datenschutzniveau Grundlage sein.

Der Text verglichen mit der Originalversion

1 Die Regeln der Datenerhebung und –verarbeitung bei
2 Dienstleistungen, die sich an Bürger der Europäischen Union
3 wenden, bestimmen sich nach dem europäischen oder darüber
4 hinausgehenden nationalen Recht. Die Richtlinie 95/46/EG
5 (Datenschutzrichtlinie) verbietet es grundsätzlich,
6 personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten zu
7 übertragen, die über kein dem EG-Recht vergleichbares
8 Datenschutzniveau verfügen. Sie stellt allerdings eine
9 Anzahl von Instrumenten zur Verfügung, die ein angemessenes
10 Datenschutzniveau bei der Datenübermittlung in Drittstaaten
11 sicherstellen sollen. Gegenwärtig erfolgt eine grundlegende
12 Revision der Datenschutzrichtlinie, die auf Verbesserungen
13 des Datenschutzes auch in diesem Bereich abzielt.
14
15 Die seit 2000 existierende Vereinbarung „Safe Harbor“ soll
16 ein angemessenes Datenschutzniveau bei US-amerikanischen
17 Unternehmen sicherstellen, indem sich Unternehmen auf die in
18 der Safe Harbor-Vereinbarung vorgegebenen Grundsätze
19 verpflichten.
20
21 In einem Beschluss vom April 2010 hat der Düsseldorfer Kreis
22 die Anforderungen an die Nachweise und auch an deutsche
23 Unternehmen, die an nicht-EU Unternehmen Daten übermitteln,
24 verstärkt. [Fußnote: „Solange eine flächendeckende Kontrolle
25 der Selbstzertifizierungen US-amerikanischer Unternehmen
26 durch die Kontrollbehörden in Europa und den USA nicht
27 gewährleistet ist, trifft auch die Unternehmen in
28 Deutschland eine Verpflichtung, gewisse Mindestkriterien zu
29 prüfen, bevor sie personenbezogene Daten an ein auf der Safe
30 Harbor-Liste geführtes US- Unternehmen übermitteln.“]
31
32 Dem Grunde nach existieren Vorschriften, die europäische
33 Bürger und Verbraucher schützen. Durch die offenbar
34 mangelnde Durchsetzung der Sondervereinbarung mit den USA
35 wurden diese Rechte allerdings geschwächt. Derzeit befindet
36 sich die EU-Kommission (DG Justice) in Verhandlungen mit den
37 USA über ein sogenanntes Allgemeines Datenschutzabkommen,
38 das neben Safe Harbor treten soll und insbesondere nach dem
39 Inkrafttreten des Vertrags von Lissabon und der damit den
40 EU-Institutionen zugewachsenen Mitzuständigkeit für Fragen
41 der justiziellen und polizeilichen Zusammenarbeit auch nach
42 außen eine Rolle spielt.
43
44 Ziel dieser Verhandlungen muss die Anwendbarkeit und
45 Durchsetzbarkeit des europäischen Datenschutzrechts sein.
46 Dabei wird u. a. ein Geschäftssitz in Europa als Bedingung
47 für die Erhebung und Verarbeitung von Daten diskutiert.
48
49 Gegenwärtig gilt nach dem Bundesdatenschutzgesetz das
50 Sitzlandprinzip. Danach kommt dasjenige Recht zur Anwendung,
51 das am Sitz des für die Entscheidung über die
52 Datenverarbeitung Verantwortlichen gilt. Damit wird ein
53 harmonisierter EWR-Rechtsraum begründet. Eine Ausnahme
54 bilden Verarbeitungen, bei denen noch eine Niederlassung im
55 Inland besteht, so dass nationales Datenschutzrecht zur
56 Anwendung kommt. Eine weitere Ausnahme vom Sitzlandprinzip
57 bilden Verarbeitungen, bei denen Verantwortliche außerhalb
58 des EWR-Raumes befindlich sind. So gilt beispielsweise mit
59 Blick auf US-amerikanische Unternehmen das
60 Territorialitätsprinzip und damit grundsätzlich
61 bundesdeutsches Recht, so dass es auf den Ort der
62 Datenverarbeitung bzw. auf die Frage ankommt, ob sich
63 automatisierte Mittel zur Datenerhebung räumlich gesehen in
64 Deutschland befinden. Genau diese Verräumlichung als
65 Anknüpfungspunkt birgt mit Blick auf reine
66 Webinhaltsangebote Probleme. So wird die Anwendbarkeit
67 bundesdeutschen Rechts auf bestimmte Facebook-Bestandteile
68 etwa dann bejaht, wenn es sich um eine Datenverarbeitung
69 handelt, bei der ein sog. cookie auf dem Programm der
70 Internetnutzer platziert wird, weil dessen privater Rechner
71 im Inland belegen ist. Für andere Angebote ohne Verwendung
72 dieser Technologie hingegen wird – zumindest von Teilen der
73 Aufsichtsbehörden - von einer fehlenden Anwendbarkeit
74 mangels Inlandsbezuges der Datenverarbeitung ausgegangen.
75 Die „Verhandlungen“ des Hamburgischen
76 Datenschutzbeauftragten mit Google und Facebook sind nur vor
77 diesem Hintergrund nachvollziehbar. Handelte es sich um
78 einen unproblematischen Fall, wären verwaltungsrechtliche
79 Anordungen ergangen.
80
81 Auf europäischer und weltweiter Ebene muss die
82 Bundesrepublik Deutschland ihrer Verantwortung als führender
83 Wirtschaftsnation gerecht werden und für einen ausgeprägten
84 Datenschutz streiten. Die Praxis global agierender
85 Internetunternehmen erfordert ein abgestimmtes Vorgehen über
86 die Grenzen des Nationalstaates hinaus. Bei internationalen
87 Ausformulierungen von Datenschutzvorgaben sollte jeweils das
88 höchste beteiligte Datenschutzniveau Grundlage sein.

Vorschlag

  1. Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.

  2. Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.

  3. Sie können hier auch eine neue Version des Papiers einbringen.