Förderung

Der Düsseldorfer Kreis hat festgestellt, dass die Übermittlung dieser Passagierdaten durch Fluggesellschaften in Deutschland an die britischen Zoll- und Sicherheitsbehörden für innereuropäische Flüge unzulässig ist.140 Zugleich wurde die Bundesregierung gebeten, solchen Forderungen der britischen Behörden entgegenzutreten. Von den deutschen Fluggesellschaften wird erwartet, dass die Erhebung und Übermittlung von Pass- und Ausweisdaten für innereuropäische Flüge bis zu einer Bewertung durch die Europäische Kommission unterbleiben. Diese Bewertung ist noch nicht abgeschlossen.

Die Regierungen der EU-Mitgliedstaaten und die Kommission sind offenbar zunehmend bereit, europäische Datenschutzstandards abzusenken und die Terrorismusbekämpfung entweder US-Behörden zu überlassen oder deren Methoden in Europa zu übernehmen. Es bleibt zu hoffen, dass das durch den Vertrag von Lissabon mit erweiterten Kompetenzen ausgestattete Europäische Parlament dem wirksam entgegentreten wird.

Internationale Datenschutzstandardisierung

Die Internationale Standardisierungsorganisation (ISO) arbeitet derzeit an der Entwicklung eines Rahmenstandards für den Datenschutz. An dem Beitrag der deutschen Normungsorganisation DIN zu diesem Standard haben wir uns maßgeblich beteiligt.

Das primär mit der Standardisierung von Techniken der Informationssicherheit befasste Komitee SC27 der ISO hat 2007 eine Arbeitsgruppe (WG5) unter deutscher Leitung eingerichtet, die technische Standards zum Datenschutz und zum Identitätsmanagement formulieren soll. Daneben beschäftigen sich je nach den bereichsspezifischen Erfordernissen weitere Komitees der ISO mit Datenschutzfragen. Die WG5 hat eine Koordinierungsfunktion für alle datenschutzrelevanten Aktivitäten der ISO übernommen.

Datenschutzstandards erleichtern es multinational tätigen Organisationen und Unternehmen, die nationalen Anforderungen einzuhalten, ermöglichen es nationalen Behörden, ihre Anforderungen in einem international verständlichen Vokabular zu fassen, und erlauben die transparente Darstellung der Einhaltung von Datenschutzanforderungen nach außen. So bergen die internationalen Standardisierungsbemühungen sowohl Chancen als auch Risiken. Es kommt darauf an, dass die Einhaltung deutschen und europäischen Rechts mit Hilfe des Standards abgebildet werden kann und die Einhaltung der in den Standards niedergelegten Datenschutzprinzipien hinreichend aussagekräftig ist.

Der Entwurf des Datenschutz-Rahmenstandards 29100 legt die Datenschutzterminologie fest (z.B. was ein personenbezogenes Datum ist) und definiert die grundlegenden Prinzipien des Datenschutzes wie die Einwilligung und Wahlfreiheit der Betroffenen oder die Bindung der Verarbeitung von personenbezogenen Daten an den Zweck, zu dem sie erhoben wurden. Angesichts der möglichen Auswirkungen des Standardisierungsvorhabens 29100 auf die eigene Aufsichtstätigkeit haben wir an der Formulierung des Standards mitgewirkt und unsere Empfehlungen über das Deutsche Institut für Normung (DIN) und in Zusammenarbeit mit der Art. 29-Datenschutzgruppe eingebracht. Erfreulicherweise basierten die deutschen Kommentare zu den Entwurfsvorlagen maßgeblich auf unseren Beiträgen und konnten sich auch bei der internationalen Abstimmung vielfach durchsetzen. Dadurch ist es gelungen, die Terminologie des Standards in einigen Punkten dem deutschen Recht anzugleichen und die Datenschutzprinzipien aussagekräftig normativ zu fassen. Aufgrund des US-amerikanischen und ostasiatischen Widerstands belässt es der Standardentwurf bei der unverbindlichen Empfehlung, die Prinzipien auch einzuhalten. Dies ist sehr unbefriedigend, da ein Unternehmen die Einhaltung des Standards 29100 behaupten könnte, die Bedeutung dieser Aussage jedoch unklar bliebe. Es besteht die Gefahr, dass Kundschaft und potenzielle Auftraggeber durch eine derartige Behauptung irregeführt werden.

FAZIT Internationale Standards bieten Chancen und Risiken für die Einhaltung des Datenschutzes bei transnationaler Datenverarbeitung. Die europäischen Datenschutzbehörden sind gefordert, auf den Standardisierungsprozess so einzuwirken, dass das hohe europäische Datenschutzniveau nicht unterlaufen, sondern seine Verbreitung gefördert wird.

AG „Internationaler Datenverkehr"

Die AG „Internationale Datenverkehr" des Düsseldorfer Kreises hat unter unserem Vorsitz erneut Fragestellungen zur Datenübermittlung durch deutsche Unternehmen an US-Unternehmen im Vorfeld von zivilrechtlichen Streitigkeiten (Pre-trial Discovery) erörtert. Angesichts des Arbeitspapiers der Art. 29-Datenschutzgruppe148 wurde die bisher vertretene Auffassung des Düsseldorfer Kreises, dass Pre-trial Discovery-Ersuchen vom BDSG i. V. m. dem „Erledigungsverbot" nach HBÜ grundsätzlich nicht gedeckt seien149, modifiziert. Vor Klageerhebung darf weiterhin nichts übermittelt werden, während eine Übermittlung nach Klageerhebung auf der Grundlage von §4 c Abs. 1 Satz 1 Nr. 4 BDSG zulässig ist, weil der Anspruch „vor Gericht" anhängig ist. Dies gilt allerdings nur unter der Voraussetzung, dass ein zweistufiges Verfahren beachtet wird: Zunächst sind die prozessrelevanten E-Mails vor Übermittlung in die USA zu pseudonymisieren. Erst in einem zweiten Schritt dürfen personenbezogene Daten wie Namen in die USA übermittelt werden, wenn es im Einzelfall erforderlich ist.