Datenübermittlung in Drittländer

1980 wurden mit der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung) internationale gültige Richtlinien im Datenschutz festgelegt. Diese Richtlinien sollen die mitgliedsstaatlichen Datenschutzbestimmungen in Einklang bringen. Außerdem sollen Sie den wichtigen Informationsaustausch fördern, ungerechtfertigte Handelshemmnisse vermeiden und verhindern das die Entwicklung von den europäischen Ländern und der USA zu weit auseinander driften.

Die bis heute bestehende europäische Datenschutzkonvention ist 1981 vom Europarat beschlossen worden. Die Datenschutzkonvention ist nicht binden und hat daher nur einen empfehlenden Charakter. Die Datenschutzrichtlinien der Europäischen Union hingegen sind für die Mitgliedsstaaten binden und müssen in ein nationales Recht verankern sein. Diese Mindeststandards für den Datenschutz der Mitgliedsstaaten sind mit der Richtlinie 95/ 46/EG (Datenschutzrichtlinie) festgelegt. Ausgeschlossen aus dieser Richtlinie sind jedoch gerichtliche und polizeiliche Zusammenarbeiten.

Mit der Änderung des Bundesdatenschutzgesetzes, im Jahre 2001, ist diese Richtlinie in nationales Recht umgewandelt worden. Durch den Artikel 25 wird auch die Übermittlung von personenbezogenen Daten an Staaten, die Nicht-Mitglieder in der EU sind, geregelt. Die Weitergabe an diese Länder, von individuellen Daten ist nur dann erlaubt, wenn ein ausreichendes Datenschutzniveau gewährt ist. Das unabhängige Beratungsgremium der Europäischen Kommission, auch Artikel-29-Datenschutzgruppe genannt, berät die zuständige Kommission, die festlegt welche Nicht-Mitgliedsstaaten dieses Schutzniveau erfüllen. Die Kommission hat am (09/2004) folgende Länder als ausreichend geschützt erklärt: Schweiz, Kanada, Argentinien, Guernsey und Isle of Man. Dies ist der momentan aktuelle Stand. Zusätzlich wurde das US-Handelsministerium unter Anwendung der Grundsätze des „Sicheren Hafens“, sowie die Übermittlung von Flugdatensätze an die US-Zoll- und Grenzschutzbehörde (CBP) als sicher bezeichnet.

In den USA ist der Datenschutz personenbezogener Daten sehr geringfügig durch Gesetze und Vorschriften geregelt. Es gibt in einigen Teilbereichen Regelungen bezüglich des Schutzes dieser Daten z. B. den Children´s Online Privacy Protection Act (COPPA, deutsch: Gesetz zum Schutz der Privatsphäre von Kindern im Internet) und bei den Krankenversicherungen. Flächenabdeckende Richtlinien gibt es jedoch nicht in den Vereinigten Staaten von Amerika. In den meisten Staaten wird das Recht auf Privatsphäre nicht anerkannt. Zwischen 1998 und 2000 wird von dem US-Handelsministerium das Safe-Harbor-Verfahren ins Leben gerufen. Dieses Verfahren dient zur Zusammenarbeit mit europäischen Firmen. Durch das Safe-Harbor-Verfahren, soll es den US-Firmen leichter sein zu belegen, dass die Richtlinien (95/46/EC) der EU-Kommission eingehalten werden. Die Federal Trade Commission ist im Bereich Handel tätig und ist somit auch die einzige unabhängige Datenschutzaufsichtsbehörde in den USA. Die FTC (Federal Trade Commission) greift aber auch nur ein, wenn ein Unternehmen die selbst festgelegten Datenschutzrichtlinien nicht einhält. Unternehmen die firmenintern keine Regelungen bezüglich des Datenschutzes getroffen haben, müssen dies in den Vereinigten Staaten auch nicht tun. Bei diesen Firmen unternimmt dann die FTC auch nichts, da in diesen Fällen ja auch keine Verstöße entstehen. Die EU-Kommission hat auch, im Gegensatz zu den Vereinigten Staaten von Amerika, Regelungen bezüglich der Aufbewahrungsfrist getroffen. Bei personenbezogenen Daten, die aus internationalen Ländern, in der USA eingehen, gibt es kein Recht auf Auskunftei. Seit 4. Juli 1966 ist in den USA ein Gesetz in Kraft getreten, dass den US-Bürgern erlaubt Einsicht in Dokumente zu erhalten, die bei der Regierung der Vereinigten Staaten von Amerika gespeichert sind. Das Freedom of Information ACT (FOIA) gilt aber ausschließlich für Einwohner der USA.

Im Vorfeld einer Übermittlung personenbezogener Daten ins Ausland bietet es sich an, den folgenden Fragen- und Antwortkatalog durchzuarbeiten.