Papier: 2.1.9 Die Grenzen des nationalen Datenschutzes
Originalversion
| 1 | Die Regeln der Datenerhebung und –verarbeitung bei |
| 2 | Dienstleistungen, die sich an Bürger der Europäischen Union |
| 3 | wenden, bestimmen sich nach dem europäischen oder darüber |
| 4 | hinausgehenden nationalen Recht. Die Richtlinie 95/46/EG |
| 5 | (Datenschutzrichtlinie) verbietet es grundsätzlich, |
| 6 | personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten zu |
| 7 | übertragen, die über kein dem EG-Recht vergleichbares |
| 8 | Datenschutzniveau verfügen. Sie stellt allerdings eine |
| 9 | Anzahl von Instrumenten zur Verfügung, die ein angemessenes |
| 10 | Datenschutzniveau bei der Datenübermittlung in Drittstaaten |
| 11 | sicherstellen sollen. Gegenwärtig erfolgt eine grundlegende |
| 12 | Revision der Datenschutzrichtlinie, die auf Verbesserungen |
| 13 | des Datenschutzes auch in diesem Bereich abzielt. |
| 14 | |
| 15 | Die seit 2000 existierende Vereinbarung „Safe Harbor“ soll |
| 16 | ein angemessenes Datenschutzniveau bei US-amerikanischen |
| 17 | Unternehmen sicherstellen, indem sich Unternehmen auf die in |
| 18 | der Safe Harbor-Vereinbarung vorgegebenen Grundsätze |
| 19 | verpflichten. |
| 20 | |
| 21 | In einem Beschluss vom April 2010 hat der Düsseldorfer Kreis |
| 22 | die Anforderungen an die Nachweise und auch an deutsche |
| 23 | Unternehmen, die an nicht-EU Unternehmen Daten übermitteln, |
| 24 | verstärkt. [Fußnote: „Solange eine flächendeckende Kontrolle |
| 25 | der Selbstzertifizierungen US-amerikanischer Unternehmen |
| 26 | durch die Kontrollbehörden in Europa und den USA nicht |
| 27 | gewährleistet ist, trifft auch die Unternehmen in |
| 28 | Deutschland eine Verpflichtung, gewisse Mindestkriterien zu |
| 29 | prüfen, bevor sie personenbezogene Daten an ein auf der Safe |
| 30 | Harbor-Liste geführtes US- Unternehmen übermitteln.“] |
| 31 | |
| 32 | Dem Grunde nach existieren Vorschriften, die europäische |
| 33 | Bürger und Verbraucher schützen. Durch die offenbar |
| 34 | mangelnde Durchsetzung der Sondervereinbarung mit den USA |
| 35 | wurden diese Rechte allerdings geschwächt. Derzeit befindet |
| 36 | sich die EU-Kommission (DG Justice) in Verhandlungen mit den |
| 37 | USA über ein sogenanntes Allgemeines Datenschutzabkommen, |
| 38 | das neben Safe Harbor treten soll und insbesondere nach dem |
| 39 | Inkrafttreten des Vertrags von Lissabon und der damit den |
| 40 | EU-Institutionen zugewachsenen Mitzuständigkeit für Fragen |
| 41 | der justiziellen und polizeilichen Zusammenarbeit auch nach |
| 42 | außen eine Rolle spielt. |
| 43 | |
| 44 | Ziel dieser Verhandlungen muss die Anwendbarkeit und |
| 45 | Durchsetzbarkeit des europäischen Datenschutzrechts sein. |
| 46 | Dabei wird u. a. ein Geschäftssitz in Europa als Bedingung |
| 47 | für die Erhebung und Verarbeitung von Daten diskutiert. |
| 48 | |
| 49 | Gegenwärtig gilt nach dem Bundesdatenschutzgesetz das |
| 50 | Sitzlandprinzip. Danach kommt dasjenige Recht zur Anwendung, |
| 51 | das am Sitz des für die Entscheidung über die |
| 52 | Datenverarbeitung Verantwortlichen gilt. Damit wird ein |
| 53 | harmonisierter EWR-Rechtsraum begründet. Eine Ausnahme |
| 54 | bilden Verarbeitungen, bei denen noch eine Niederlassung im |
| 55 | Inland besteht, so dass nationales Datenschutzrecht zur |
| 56 | Anwendung kommt. Eine weitere Ausnahme vom Sitzlandprinzip |
| 57 | bilden Verarbeitungen, bei denen Verantwortliche außerhalb |
| 58 | des EWR-Raumes befindlich sind. So gilt beispielsweise mit |
| 59 | Blick auf US-amerikanische Unternehmen das |
| 60 | Territorialitätsprinzip und damit grundsätzlich |
| 61 | bundesdeutsches Recht, so dass es auf den Ort der |
| 62 | Datenverarbeitung bzw. auf die Frage ankommt, ob sich |
| 63 | automatisierte Mittel zur Datenerhebung räumlich gesehen in |
| 64 | Deutschland befinden. Genau diese Verräumlichung als |
| 65 | Anknüpfungspunkt birgt mit Blick auf reine |
| 66 | Webinhaltsangebote Probleme. So wird die Anwendbarkeit |
| 67 | bundesdeutschen Rechts auf bestimmte Facebook-Bestandteile |
| 68 | etwa dann bejaht, wenn es sich um eine Datenverarbeitung |
| 69 | handelt, bei der ein sog. cookie auf dem Programm der |
| 70 | Internetnutzer platziert wird, weil dessen privater Rechner |
| 71 | im Inland belegen ist. Für andere Angebote ohne Verwendung |
| 72 | dieser Technologie hingegen wird – zumindest von Teilen der |
| 73 | Aufsichtsbehörden - von einer fehlenden Anwendbarkeit |
| 74 | mangels Inlandsbezuges der Datenverarbeitung ausgegangen. |
| 75 | Die „Verhandlungen“ des Hamburgischen |
| 76 | Datenschutzbeauftragten mit Google und Facebook sind nur vor |
| 77 | diesem Hintergrund nachvollziehbar. Handelte es sich um |
| 78 | einen unproblematischen Fall, wären verwaltungsrechtliche |
| 79 | Anordungen ergangen. |
| 80 | |
| 81 | Auf europäischer und weltweiter Ebene muss die |
| 82 | Bundesrepublik Deutschland ihrer Verantwortung als führender |
| 83 | Wirtschaftsnation gerecht werden und für einen ausgeprägten |
| 84 | Datenschutz streiten. Die Praxis global agierender |
| 85 | Internetunternehmen erfordert ein abgestimmtes Vorgehen über |
| 86 | die Grenzen des Nationalstaates hinaus. Bei internationalen |
| 87 | Ausformulierungen von Datenschutzvorgaben sollte jeweils das |
| 88 | höchste beteiligte Datenschutzniveau Grundlage sein. |
Der Text verglichen mit der Originalversion
| 1 | Die Regeln der Datenerhebung und –verarbeitung bei |
| 2 | Dienstleistungen, die sich an Bürger der Europäischen Union |
| 3 | wenden, bestimmen sich nach dem europäischen oder darüber |
| 4 | hinausgehenden nationalen Recht. Die Richtlinie 95/46/EG |
| 5 | (Datenschutzrichtlinie) verbietet es grundsätzlich, |
| 6 | personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten zu |
| 7 | übertragen, die über kein dem EG-Recht vergleichbares |
| 8 | Datenschutzniveau verfügen. Sie stellt allerdings eine |
| 9 | Anzahl von Instrumenten zur Verfügung, die ein angemessenes |
| 10 | Datenschutzniveau bei der Datenübermittlung in Drittstaaten |
| 11 | sicherstellen sollen. Gegenwärtig erfolgt eine grundlegende |
| 12 | Revision der Datenschutzrichtlinie, die auf Verbesserungen |
| 13 | des Datenschutzes auch in diesem Bereich abzielt. |
| 14 | |
| 15 | Die seit 2000 existierende Vereinbarung „Safe Harbor“ soll |
| 16 | ein angemessenes Datenschutzniveau bei US-amerikanischen |
| 17 | Unternehmen sicherstellen, indem sich Unternehmen auf die in |
| 18 | der Safe Harbor-Vereinbarung vorgegebenen Grundsätze |
| 19 | verpflichten. |
| 20 | |
| 21 | In einem Beschluss vom April 2010 hat der Düsseldorfer Kreis |
| 22 | die Anforderungen an die Nachweise und auch an deutsche |
| 23 | Unternehmen, die an nicht-EU Unternehmen Daten übermitteln, |
| 24 | verstärkt. [Fußnote: „Solange eine flächendeckende Kontrolle |
| 25 | der Selbstzertifizierungen US-amerikanischer Unternehmen |
| 26 | durch die Kontrollbehörden in Europa und den USA nicht |
| 27 | gewährleistet ist, trifft auch die Unternehmen in |
| 28 | Deutschland eine Verpflichtung, gewisse Mindestkriterien zu |
| 29 | prüfen, bevor sie personenbezogene Daten an ein auf der Safe |
| 30 | Harbor-Liste geführtes US- Unternehmen übermitteln.“] |
| 31 | |
| 32 | Dem Grunde nach existieren Vorschriften, die europäische |
| 33 | Bürger und Verbraucher schützen. Durch die offenbar |
| 34 | mangelnde Durchsetzung der Sondervereinbarung mit den USA |
| 35 | wurden diese Rechte allerdings geschwächt. Derzeit befindet |
| 36 | sich die EU-Kommission (DG Justice) in Verhandlungen mit den |
| 37 | USA über ein sogenanntes Allgemeines Datenschutzabkommen, |
| 38 | das neben Safe Harbor treten soll und insbesondere nach dem |
| 39 | Inkrafttreten des Vertrags von Lissabon und der damit den |
| 40 | EU-Institutionen zugewachsenen Mitzuständigkeit für Fragen |
| 41 | der justiziellen und polizeilichen Zusammenarbeit auch nach |
| 42 | außen eine Rolle spielt. |
| 43 | |
| 44 | Ziel dieser Verhandlungen muss die Anwendbarkeit und |
| 45 | Durchsetzbarkeit des europäischen Datenschutzrechts sein. |
| 46 | Dabei wird u. a. ein Geschäftssitz in Europa als Bedingung |
| 47 | für die Erhebung und Verarbeitung von Daten diskutiert. |
| 48 | |
| 49 | Gegenwärtig gilt nach dem Bundesdatenschutzgesetz das |
| 50 | Sitzlandprinzip. Danach kommt dasjenige Recht zur Anwendung, |
| 51 | das am Sitz des für die Entscheidung über die |
| 52 | Datenverarbeitung Verantwortlichen gilt. Damit wird ein |
| 53 | harmonisierter EWR-Rechtsraum begründet. Eine Ausnahme |
| 54 | bilden Verarbeitungen, bei denen noch eine Niederlassung im |
| 55 | Inland besteht, so dass nationales Datenschutzrecht zur |
| 56 | Anwendung kommt. Eine weitere Ausnahme vom Sitzlandprinzip |
| 57 | bilden Verarbeitungen, bei denen Verantwortliche außerhalb |
| 58 | des EWR-Raumes befindlich sind. So gilt beispielsweise mit |
| 59 | Blick auf US-amerikanische Unternehmen das |
| 60 | Territorialitätsprinzip und damit grundsätzlich |
| 61 | bundesdeutsches Recht, so dass es auf den Ort der |
| 62 | Datenverarbeitung bzw. auf die Frage ankommt, ob sich |
| 63 | automatisierte Mittel zur Datenerhebung räumlich gesehen in |
| 64 | Deutschland befinden. Genau diese Verräumlichung als |
| 65 | Anknüpfungspunkt birgt mit Blick auf reine |
| 66 | Webinhaltsangebote Probleme. So wird die Anwendbarkeit |
| 67 | bundesdeutschen Rechts auf bestimmte Facebook-Bestandteile |
| 68 | etwa dann bejaht, wenn es sich um eine Datenverarbeitung |
| 69 | handelt, bei der ein sog. cookie auf dem Programm der |
| 70 | Internetnutzer platziert wird, weil dessen privater Rechner |
| 71 | im Inland belegen ist. Für andere Angebote ohne Verwendung |
| 72 | dieser Technologie hingegen wird – zumindest von Teilen der |
| 73 | Aufsichtsbehörden - von einer fehlenden Anwendbarkeit |
| 74 | mangels Inlandsbezuges der Datenverarbeitung ausgegangen. |
| 75 | Die „Verhandlungen“ des Hamburgischen |
| 76 | Datenschutzbeauftragten mit Google und Facebook sind nur vor |
| 77 | diesem Hintergrund nachvollziehbar. Handelte es sich um |
| 78 | einen unproblematischen Fall, wären verwaltungsrechtliche |
| 79 | Anordungen ergangen. |
| 80 | |
| 81 | Auf europäischer und weltweiter Ebene muss die |
| 82 | Bundesrepublik Deutschland ihrer Verantwortung als führender |
| 83 | Wirtschaftsnation gerecht werden und für einen ausgeprägten |
| 84 | Datenschutz streiten. Die Praxis global agierender |
| 85 | Internetunternehmen erfordert ein abgestimmtes Vorgehen über |
| 86 | die Grenzen des Nationalstaates hinaus. Bei internationalen |
| 87 | Ausformulierungen von Datenschutzvorgaben sollte jeweils das |
| 88 | höchste beteiligte Datenschutzniveau Grundlage sein. |
-
Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.
-
Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.
-
Sie können hier auch eine neue Version des Papiers einbringen.
Vorschlag