| 1 | Die Regeln der Datenerhebung und –verarbeitung bei |
| 2 | Dienstleistungen, die sich an Bürger der Europäischen Union |
| 3 | wenden, bestimmen sich nach dem europäischen oder darüber |
| 4 | hinausgehenden nationalen Recht. Die Richtlinie 95/46/EG |
| 5 | (Datenschutzrichtlinie) verbietet es grundsätzlich, |
| 6 | personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten zu |
| 7 | übertragen, die über kein dem EG-Recht vergleichbares |
| 8 | Datenschutzniveau verfügen. Sie stellt allerdings eine |
| 9 | Anzahl von Instrumenten zur Verfügung, die ein angemessenes |
| 10 | Datenschutzniveau bei der Datenübermittlung in Drittstaaten |
| 11 | sicherstellen sollen. Gegenwärtig erfolgt eine grundlegende |
| 12 | Revision der Datenschutzrichtlinie, die auf Verbesserungen |
| 13 | des Datenschutzes auch in diesem Bereich abzielt. |
| 14 | |
| 15 | Die seit 2000 existierende Vereinbarung „Safe Harbor“ soll |
| 16 | ein angemessenes Datenschutzniveau bei US-amerikanischen |
| 17 | Unternehmen sicherstellen, indem sich Unternehmen auf die in |
| 18 | der Safe Harbor-Vereinbarung vorgegebenen Grundsätze |
| 19 | verpflichten. |
| 20 | |
| 21 | In einem Beschluss vom April 2010 hat der Düsseldorfer Kreis |
| 22 | die Anforderungen an die Nachweise und auch an deutsche |
| 23 | Unternehmen, die an nicht-EU Unternehmen Daten übermitteln, |
| 24 | verstärkt. [Fußnote: „Solange eine flächendeckende Kontrolle |
| 25 | der Selbstzertifizierungen US-amerikanischer Unternehmen |
| 26 | durch die Kontrollbehörden in Europa und den USA nicht |
| 27 | gewährleistet ist, trifft auch die Unternehmen in |
| 28 | Deutschland eine Verpflichtung, gewisse Mindestkriterien zu |
| 29 | prüfen, bevor sie personenbezogene Daten an ein auf der Safe |
| 30 | Harbor-Liste geführtes US- Unternehmen übermitteln.“] |
| 31 | |
| 32 | Dem Grunde nach existieren Vorschriften, die europäische |
| 33 | Bürger und Verbraucher schützen. Durch die offenbar |
| 34 | mangelnde Durchsetzung der Sondervereinbarung mit den USA |
| 35 | wurden diese Rechte allerdings geschwächt. Derzeit befindet |
| 36 | sich die EU-Kommission (DG Justice) in Verhandlungen mit den |
| 37 | USA über ein sogenanntes Allgemeines Datenschutzabkommen, |
| 38 | das neben Safe Harbor treten soll und insbesondere nach dem |
| 39 | Inkrafttreten des Vertrags von Lissabon und der damit den |
| 40 | EU-Institutionen zugewachsenen Mitzuständigkeit für Fragen |
| 41 | der justiziellen und polizeilichen Zusammenarbeit auch nach |
| 42 | außen eine Rolle spielt. |
| 43 | |
| 44 | Ziel dieser Verhandlungen muss die Anwendbarkeit und |
| 45 | Durchsetzbarkeit des europäischen Datenschutzrechts sein. |
| 46 | Dabei wird u. a. ein Geschäftssitz in Europa als Bedingung |
| 47 | für die Erhebung und Verarbeitung von Daten diskutiert. |
| 48 | |
| 49 | Gegenwärtig gilt nach dem Bundesdatenschutzgesetz das |
| 50 | Sitzlandprinzip. Danach kommt dasjenige Recht zur Anwendung, |
| 51 | das am Sitz des für die Entscheidung über die |
| 52 | Datenverarbeitung Verantwortlichen gilt. Damit wird ein |
| 53 | harmonisierter EWR-Rechtsraum begründet. Eine Ausnahme |
| 54 | bilden Verarbeitungen, bei denen noch eine Niederlassung im |
| 55 | Inland besteht, so dass nationales Datenschutzrecht zur |
| 56 | Anwendung kommt. Eine weitere Ausnahme vom Sitzlandprinzip |
| 57 | bilden Verarbeitungen, bei denen Verantwortliche außerhalb |
| 58 | des EWR-Raumes befindlich sind. So gilt beispielsweise mit |
| 59 | Blick auf US-amerikanische Unternehmen das |
| 60 | Territorialitätsprinzip und damit grundsätzlich |
| 61 | bundesdeutsches Recht, so dass es auf den Ort der |
| 62 | Datenverarbeitung bzw. auf die Frage ankommt, ob sich |
| 63 | automatisierte Mittel zur Datenerhebung räumlich gesehen in |
| 64 | Deutschland befinden. Genau diese Verräumlichung als |
| 65 | Anknüpfungspunkt birgt mit Blick auf reine |
| 66 | Webinhaltsangebote Probleme. So wird die Anwendbarkeit |
| 67 | bundesdeutschen Rechts auf bestimmte Facebook-Bestandteile |
| 68 | etwa dann bejaht, wenn es sich um eine Datenverarbeitung |
| 69 | handelt, bei der ein sog. cookie auf dem Programm der |
| 70 | Internetnutzer platziert wird, weil dessen privater Rechner |
| 71 | im Inland belegen ist. Für andere Angebote ohne Verwendung |
| 72 | dieser Technologie hingegen wird – zumindest von Teilen der |
| 73 | Aufsichtsbehörden - von einer fehlenden Anwendbarkeit |
| 74 | mangels Inlandsbezuges der Datenverarbeitung ausgegangen. |
| 75 | Die „Verhandlungen“ des Hamburgischen |
| 76 | Datenschutzbeauftragten mit Google und Facebook sind nur vor |
| 77 | diesem Hintergrund nachvollziehbar. Handelte es sich um |
| 78 | einen unproblematischen Fall, wären verwaltungsrechtliche |
| 79 | Anordungen ergangen. |
| 80 | |
| 81 | --------------------------------- |
| 82 | streitig Anfang |
| 83 | --------------------------------- |
| 84 | |
| 85 | Zudem darf die Tatsache, dass das nationale Datenschutzrecht |
| 86 | zwar über EU-weit harmonisierte Regelungen hinausgehen kann, |
| 87 | dann jedoch nur begrenzt anwendbar und durchsetzbar ist, |
| 88 | nicht als Vorwand dafür missbraucht werden, eine |
| 89 | Durchsetzung datenschutzrechtlicher Bestimmungen nicht zu |
| 90 | forcieren. Unternehmen, die mit Angeboten auf dem deutschen |
| 91 | Markt auftreten, müssen sich zwingend an hiesige |
| 92 | Datenschutzvorschriften halten. |
| 93 | |
| 94 | --------------------------------- |
| 95 | streitig Ende |
| 96 | --------------------------------- |
| 97 | |
| 98 | Auf europäischer und weltweiter Ebene muss die |
| 99 | Bundesrepublik Deutschland ihrer Verantwortung als führender |
| 100 | Wirtschaftsnation gerecht werden und für einen ausgeprägten |
| 101 | Datenschutz streiten. Die Praxis global agierender |
| 102 | Internetunternehmen erfordert ein abgestimmtes Vorgehen über |
| 103 | die Grenzen des Nationalstaates hinaus. Bei internationalen |
| 104 | Ausformulierungen von Datenschutzvorgaben sollte jeweils das |
| 105 | höchste beteiligte Datenschutzniveau Grundlage sein. |
1-2 von 2
-
2.1.9 Die Grenzen des nationalen Datenschutzes (Originalversion)
von EnqueteBuero, angelegt -
2.1.9 Die Grenzen des nationalen Datenschutzes (Originalversion)
von EnqueteBuero, angelegt1 Die Regeln der Datenerhebung und –verarbeitung bei 2 Dienstleistungen, die sich an Bürger der Europäischen Union 3 wenden, bestimmen sich nach dem europäischen oder darüber 4 hinausgehenden nationalen Recht. Die Richtlinie 95/46/EG 5 (Datenschutzrichtlinie) verbietet es grundsätzlich, 6 personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten 7 zu übertragen, die über kein dem EG-Recht vergleichbares 8 Datenschutzniveau verfügen. Sie stellt allerdings eine 9 Anzahl von Instrumenten zur Verfügung, die ein angemessenes 10 Datenschutzniveau bei der Datenübermittlung in Drittstaaten 11 sicherstellen sollen. Gegenwärtig erfolgt eine grundlegende 12 Revision der Datenschutzrichtlinie, die auf Verbesserungen 13 des Datenschutzes auch in diesem Bereich abzielt. 14 15 Die seit 2000 existierende Vereinbarung „Safe Harbor“ soll 16 ein angemessenes Datenschutzniveau bei US-amerikanischen 17 Unternehmen sicherstellen, indem sich Unternehmen auf die 18 in der Safe Harbor-Vereinbarung vorgegebenen Grundsätze 19 verpflichten. 20 21 In einem Beschluss vom April 2010 hat der Düsseldorfer 22 Kreis die Anforderungen an die Nachweise und auch an 23 deutsche Unternehmen, die an nicht-EU Unternehmen Daten 24 übermitteln, verstärkt. [Fußnote: „Solange eine 25 flächendeckende Kontrolle der Selbstzertifizierungen 26 US-amerikanischer Unternehmen durch die Kontrollbehörden in 27 Europa und den USA nicht gewährleistet ist, trifft auch die 28 Unternehmen in Deutschland eine Verpflichtung, gewisse 29 Mindestkriterien zu prüfen, bevor sie personenbezogene 30 Daten an ein auf der Safe Harbor-Liste geführtes US- 31 Unternehmen übermitteln.“] 32 33 Dem Grunde nach existieren Vorschriften, die europäische 34 Bürger und Verbraucher schützen. Durch die offenbar 35 mangelnde Durchsetzung der Sondervereinbarung mit den USA 36 wurden diese Rechte allerdings geschwächt. Derzeit 37 befindet sich die EU-Kommission (DG Justice) in 38 Verhandlungen mit den USA über ein sogenanntes Allgemeines 39 Datenschutzabkommen, das neben Safe Harbor treten soll und 40 insbesondere nach dem Inkrafttreten des Vertrags von 41 Lissabon und der damit den EU-Institutionen zugewachsenen 42 Mitzuständigkeit für Fragen der justiziellen und 43 polizeilichen Zusammenarbeit auch nach außen eine Rolle 44 spielt. 45 46 Ziel dieser Verhandlungen muss die Anwendbarkeit und 47 Durchsetzbarkeit des europäischen Datenschutzrechts sein. 48 Dabei wird u. a. ein Geschäftssitz in Europa als Bedingung 49 für die Erhebung und Verarbeitung von Daten diskutiert. 50 51 Gegenwärtig gilt nach dem Bundesdatenschutzgesetz das 52 Sitzlandprinzip. Danach kommt dasjenige Recht zur 53 Anwendung, das am Sitz des für die Entscheidung über die 54 Datenverarbeitung Verantwortlichen gilt. Damit wird ein 55 harmonisierter EWR-Rechtsraum begründet. Eine Ausnahme 56 bilden Verarbeitungen, bei denen noch eine Niederlassung im 57 Inland besteht, so dass nationales Datenschutzrecht zur 58 Anwendung kommt. Eine weitere Ausnahme vom Sitzlandprinzip 59 bilden Verarbeitungen, bei denen Verantwortliche außerhalb 60 des EWR-Raumes befindlich sind. So gilt beispielsweise mit 61 Blick auf US-amerikanische Unternehmen das 62 Territorialitätsprinzip und damit grundsätzlich 63 bundesdeutsches Recht, so dass es auf den Ort der 64 Datenverarbeitung bzw. auf die Frage ankommt, ob sich 65 automatisierte Mittel zur Datenerhebung räumlich gesehen in 66 Deutschland befinden. Genau diese Verräumlichung als 67 Anknüpfungspunkt birgt mit Blick auf reine 68 Webinhaltsangebote Probleme. So wird die Anwendbarkeit 69 bundesdeutschen Rechts auf bestimmte Facebook-Bestandteile 70 etwa dann bejaht, wenn es sich um eine Datenverarbeitung 71 handelt, bei der ein sog. cookie auf dem Programm der 72 Internetnutzer platziert wird, weil dessen privater Rechner 73 im Inland belegen ist. Für andere Angebote ohne Verwendung 74 dieser Technologie hingegen wird – zumindest von Teilen der 75 Aufsichtsbehörden - von einer fehlenden Anwendbarkeit 76 mangels Inlandsbezuges der Datenverarbeitung ausgegangen. 77 Die „Verhandlungen“ des Hamburgischen 78 Datenschutzbeauftragten mit Google und Facebook sind nur 79 vor diesem Hintergrund nachvollziehbar. Handelte es sich um 80 einen unproblematischen Fall, wären verwaltungsrechtliche 81 Anordungen ergangen. 82 83 Auf europäischer und weltweiter Ebene muss die 84 Bundesrepublik Deutschland ihrer Verantwortung als 85 führender Wirtschaftsnation gerecht werden und für einen 86 ausgeprägten Datenschutz streiten. Die Praxis global 87 agierender Internetunternehmen erfordert ein abgestimmtes 88 Vorgehen über die Grenzen des Nationalstaates hinaus. Bei 89 internationalen Ausformulierungen von Datenschutzvorgaben 90 sollte jeweils das nationale Datenschutzrecht zwar über91 EU-weit harmonisierte Regelungen hinausgehen kann, dann92 jedoch nur begrenzt anwendbar und durchsetzbar ist, nicht93 als Vorwand dafür missbraucht werden, eine Durchsetzung94 datenschutzrechtlicher Bestimmungen nicht zu forcieren.95 Unternehmen, die mit Angeboten auf dem deutschen Markt96 auftreten, müssen sich zwingend an hiesige97 Datenschutzvorschriften halten.98 99 ---------------------------------100 streitig Ende101 ---------------------------------102 103 Auf europäischer und weltweiter Ebene muss die104 Bundesrepublik Deutschland ihrer Verantwortung als105 führender Wirtschaftsnation gerecht werden und für einen106 ausgeprägten Datenschutz streiten. Die Praxis global107 agierender Internetunternehmen erfordert ein abgestimmtes108 Vorgehen über die Grenzen des Nationalstaates hinaus. Bei109 internationalen Ausformulierungen von Datenschutzvorgaben110 sollte jeweils dashöchste beteiligte Datenschutzniveau111 Grundlage sein.