Die Drittstaatenregelung im europäischen Datenschutzrecht: Historie - Stand - aktuelle Entwicklungen

Inhaltsverzeichnis

1 Datenschutz in der heutigen Medien- und Informationsgesellschaft

2 Grundlagen des Datenschutzes
2.1 Internationale Rechtsgrundlagen
2.1.1 OECD-Leitlinien
2.1.2 UN-Richtlinien
2.1.3 G7-Konferenz
2.2 Europäische Rechtsgrundlagen
2.2.1 Konvention 108
2.2.2 Grundrechtecharta
2.2.3 Richtlinie 95/46/EG
2.2.3.1 Entstehung der Datenschutzrichtlinie
2.2.3.2 Ziele der Datenschutzrichtlinie
2.2.3.3 Anwendungsbereich der Datenschutzrichtlinie
2.2.3.4 Art. 29-Datenschutzgruppe
2.3 Deutsche Rechtsgrundlagen

3 Datenübermittlung in Drittstaaten
3.1 Allgemeine Bestimmungen und Definitionen
3.2 Anwendungsvoraussetzungen der Drittstaatenregelung
3.3 Angemessenes Schutzniveau
3.4 Ausnahmen von Grundsatz des angemessenen Schutzniveaus
3.5 Möglichkeiten der Datenübermittlung
3.5.1 Standardvertragsklauseln
3.5.2 Binding Corporate Rules
3.6 Problematik US-Datenschutz

4 Das Safe-Harbor-Abkommen
4.1 Entstehung und Ziele
4.2 Kompetenz der Kommission
4.3 Inhalte des Konzepts
4.3.1 Qualifikation als Sicherer Hafen
4.3.2 Die Safe-Harbor-Grundsätze
4.3.2.1 Informationspflicht
4.3.2.2 Wahlmöglichkeit
4.3.2.3 Weitergabe
4.3.2.4 Sicherheit
4.3.2.5 Datenintegrität
4.3.2.6 Auskunftsrecht
4.3.2.7 Durchsetzung

5 Diskussionen und aktuelle Entwicklungen

6 Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Datenschutz in der heutigen Medien- und Informationsgesellschaft

In den letzten Jahren gewannen Internet, soziale Netzwerke, Blogs etc. stark an Bedeutung. Ein Leben ohne die virtuelle Welt, sei es zum Austausch von Informationen, Waren oder Dienstleistungen, scheint kaum noch möglich zu sein.

Und die Entwicklung geht noch immer weiter, immer neue Anbieter mit immer neuen Produkten und Innovationen strömen auf den Markt und zeigen neue Möglichkeiten, ja neue Bedürfnisse auf. Hierbei gelten keine Staats- und Landesgrenzen, der Fortschritt der Informationsgesellschaft lässt sich auch aufgrund der fortschreitenden Globalisierung nicht aufhalten.

Durch die immer engeren weltweiten Wirtschaftsbeziehungen nimmt der grenzüberschreitende Datenfluss beständig zu. Der Schutz personenbezogener Daten, seien es Kunden- oder Mitarbeiterdaten, gewinnt damit immer mehr an Bedeutung.

Im Rahmen dieser Arbeit sollen daher die verschiedenen datenschutzrechtlichen Möglichkeiten eines zulässigen Datentransfers in Drittstaaten (Länder außerhalb der Europäischen Union) aufgezeigt werden. In einem ersten Schritt werden die Rechtsgrundlagen des Datenschutzes erläutert, bevor dann die verschiedenen Möglichkeiten für Datenübermittlungen vorgestellt werden.

Aufgrund der großen wirtschaftlichen Abhängigkeiten zwischen der EU und den USA liegt der Schwerpunkt der Arbeit auf dem von beiden Seiten ausgearbeiteten Safe-Harbor-Abkommen. Dieses Abkommen wird unter Beachtung seiner Entstehungsgeschichte inhaltlich analysiert. Zudem werden die Regelungen des Safe-Harbor-Abkommens vor dem Hintergrund aktueller datenschutzrechtlicher Entwicklungen bewertet.

Ziel der Arbeit ist es, die komplexe Rechtslage der Drittstaatenregelung im europäischen Datenschutzrecht zu verdeutlichen und Vor- und Nachteile des Safe-Harbor-Datenschutzabkommens aufzuzeigen. Dazu wurden in einer umfangreichen Literaturanalyse Gesetze und Richtlinien auf europäischer und deutscher Ebene sowie einschlägige Sekundärliteratur ausgewertet.

2 Grundlagen des Datenschutzes

In diesem Kapitel werden internationale, europäische und deutsche Rechtsgrundlagen des Datenschutzes erläutert. Dabei wird ein besonderes Augenmerk auf die Entwicklungen der Möglichkeiten zur Datenübermittlung in Drittstaaten gelegt.

2.1 Internationale Rechtsgrundlagen

Im Rahmen der internationalen Regelungen zum Datenschutz werden die inhaltlichen Vorgaben von OECD-Leitlinien und UN-Richtlinien zum Datenschutz erläutert. Zudem wird auf einen Beschluss der G7-Konferenz bezüglich des Schutzes personenbezogener Daten eingegangen.

2.1.1 OECD-Leitlinien

Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) als Internationale Organisation mit mittlerweile 34 Mitgliedsstaaten^[1] begann bereits Ende der 1970er Jahre sich mit Fragen des Datenschutzes zu beschäftigten. Nachdem eine 1978 eingesetzte „Expert Group on Transborder Data Barriers“ Vorbereitungen zu Vereinbarungen zum internationalen Datenaustausch getroffen hatte, wurden als Anhang zu einer Empfehlung an die Mitgliedsstaaten am 23. September 1980 „Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten“^[2] ausgegeben. Ziel dieser Leitlinien war es den freien Informationsaustausch zwischen den Mitgliedsstaaten zu fördern^[3] und zu einer Harmonisierung der mitgliedsstaatlichen Datenschutzbestimmungen beizutragen.^[4]

Der Geltungsbereich dieser Leitlinien erstreckt sich auf personenbezogene Daten sowohl im öffentlichen als auch im privaten Bereich, die aufgrund ihrer Verarbeitung, ihres Charakters oder ihrer Verwendung eine Gefährdung für die Privatsphäre oder die Grundfreiheiten des Einzelnen darstellen.^[5] Zu den aufgeführten datenschutzrechtlichen Regelungen zählen:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Die Datenschutzregelungen nach den OECD-Leitlinien.

Quelle: Eigene Darstellung.

Allerdings ist die Wirkung der Leitlinien nur beschränkt, da es sich lediglich um Empfehlungen handelt. Kein Mitgliedsstaat ist zur Umsetzung in nationales Recht verpflichtet. Zudem sind Abweichungen von den Grundsätzen möglich.^[6] Trotz alledem trugen die OECD-Leitlinien aufgrund ihrer weltweiten Geltung zu einer regen Diskussion bei. Die Einflüsse auf spätere Datenschutzbestimmungen des Europarates und der Europäischen Kommission sind unverkennbar.

2.1.2 UN-Richtlinien

Noch etwas früher, schon seit Ende der 1960er Jahre, wurden von den Generalsekretariaten der Vereinten Nationen (UN) Berichte über die Auswirkungen der neuen Informationstechnologien auf die Menschenrechte vorgelegt. Nach einem Leitlinienentwurf aus dem Jahre 1985 wurden jedoch erst am 14. Dezember 1990 „Richtlinien betreffend personenbezogene Daten in automatisierten Dateien“^[7] durch die Generalversammlung verabschiedet. Diese Richtlinien enthalten folgende Grundsätze, die als Mindeststandards für die nationale Gesetzgebung anzusehen sind:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Die Datenschutzgrundsätze nach den UN-Richtlinien.

Quelle: Eigene Darstellung.

Ausnahmen von den Grundsätzen der Art. 1 bis 4 sind möglich, wenn sie gesetzlich festgelegt sind und zur Wahrung der nationalen Sicherheit, der öffentlichen Ordnung, der öffentlichen Gesundheit und Moral sowie der Rechte und Freiheiten anderer, insbesondere verfolgter Personen beitragen.^[8]

Neu für den damaligen Erkenntnisstand der Notwendigkeit des Datenschutzes war der Schwerpunkt, der dem grenzüberschreitenden Datenverkehr zukam.^[9] Dieser ist bei einem vergleichbaren Schutzniveau der beteiligten Staaten grundsätzlich zulässig. Beschränkungen dürfen nur insoweit verfügt werden, als der Schutz der Privatsphäre dies erfordert.^[10] Außerdem beinhaltet Art. 8 der Richtlinien, erstmalig in internationalen Dokumenten, die Forderung der Einrichtung von kompetenten und unabhängigen Datenschutzinstanzen.^[11]

Aufgrund der Rechtsnatur von UN-Richtlinien (Art. 10 der Charta der Vereinten Nationen) gelten diese gegenüber den Mitgliedsstaaten als Empfehlungen und haben keine verpflichtende Wirkung. In Europa traten die UN-Leitlinien von ihrer Bedeutung daher hinter die Konvention des Europarates und der späteren Datenschutzrichtlinie zurück.^[12]

2.1.3 G7-Konferenz

Im Rahmen der G7-Konferenz zur Informationsgesellschaft 1995 in Halifax wurde die allgemeine Forderung an die G7-Partnerländer^[13] zum Schutz der Privatsphäre und personenbezogener Daten ausgesprochen.^[14] Dies setzt nach Einvernehmen der G7-Partnerländer Datenschutzvorschriften und deren konsequente Durchsetzung sowie eine enge Zusammenarbeit auf internationaler Ebene voraus. Zwar entstand aus dieser Forderung keine direkte Umsetzungsverpflichtung,^[15] aber aufgrund der Tatsache, dass die G7 die größten Industrienationen der Welt repräsentieren, gewann der Datenschutz erneut an Bedeutung.

2.2 Europäische Rechtsgrundlagen

Neben den Grundlagen des Datenschutzes nach einer Europaratskonvention und der Grundrechtecharta der Europäischen Union, wird in diesem Kapitel ein Schwerpunkt auf die europäische Datenschutzrichtlinie gelegt. Diese Richtlinie bildet den Ausgangspunkt für das Safe-Harbor-Abkommen.

2.2.1 Konvention 108

Der am 05. Mai 1949 gegründete Europarat hat die Ziele Demokratie, Rechtsstaatlichkeit und Menschenrechte in Europa dauerhaft zu sichern. Fragen des Datenschutzes wurden erstmals 1968 unter dem Blickwinkel von Art. 8 der Europäischen Menschenrechtskonvention (EMRK) betrachtet:

„Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.“^[16]

Zwei Expertengruppen erarbeiteten daraufhin eine Konvention zum Schutz personenbezogener Daten, deren endgültige Fassung 1980 vorlag und in der das Recht auf Privatsphäre mit dem Recht auf Informationsfreiheit nach Art. 10 EMRK in Einklang gebracht werden sollte.^[17] Die hierfür aufgestellten Grundsätze des Datenschutzes regeln:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3: Die Datenschutzgrundsätze nach der Europaratskonvention.

Quelle: Eigene Darstellung.

Aufgrund von Erkenntnissen der immer schneller fortschreitenden Informationstechnik wurden auch in dieser Konvention Bestimmungen für den grenzüberschreitenden Verkehr personenbezogener Daten festgelegt.^[18] Dieser ist grundsätzlich zulässig, es sei denn, das nationale Recht einer Vertragspartei enthält bestimmte Vorschriften, die die andere Vertragspartei nicht erfüllen kann. Des Weiteren kann eine Übermittlung verboten werden, um zu verhindern, dass Daten über das Hoheitsgebiet einer Vertragspartei in das Hoheitsgebiet einer Nichtvertragspartei gelangen und so geltendes Recht umgangen wird.^[19]

Da dem Europarat keine Hoheitsrechte zustehen, bedürfen die ausgearbeiteten Abkommen der Unterzeichnung und ggf. Ratifikation der Mitgliedsstaaten.^[20] Nachdem Schweden, Norwegen, Frankreich, Deutschland und Spanien die Konvention ratifiziert hatten, trat diese am 01. Oktober 1985 unter dem Namen „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“^[21] oder „Konvention 108“ in Kraft.^[22] Die Konvention gilt sowohl für den öffentlichen als auch den privaten Bereich.

Als völkerrechtlicher Vertrag ist die Konvention für die Mitgliedsstaaten zwar verbindlich, sie entfaltet aber aufgrund ihres Charakters eines „non self executive treaty“ keine direkte Wirkung auf nationales Recht der Mitgliedsstaaten.^[23] Mit Unterzeichnung entsteht jedoch eine Verpflichtung für die Staaten, die Grundsätze der Konvention als datenschutzrechtliches Minimum in innerstaatliches Recht umzusetzen.^[24]

2.2.2 Grundrechtecharta

Ein langjähriges Ziel der europäischen Gemeinschaft ist es, dem Grundrechtsschutz eine formelle Basis zu geben. Deshalb erarbeitete ein Gremium, bestehend aus Vertretern der europäischen Organe und der nationalen Parlamente, die Charta der Grundrechte der Europäischen Union (GRC). Sie wurde am 07. Januar 2000 in Nizza feierlich proklamiert.^[25]

Neben dem obersten Ziel, der Achtung der Menschenwürde (Art. 1), behandelt die Charta auch den Schutz personenbezogener Daten (Art. 8). Sie verbindet hierbei datenschutzrechtliche Elemente des Art. 16 AEUV, der Richtlinie 95/46/EG, des Art. 8 EMRK und der Konvention 108.

Die wichtigsten Prinzipien des Europäischen Datenschutzrechts, wie Zweckbindung, Auskunfts- und Berichtigungsrechte der Betroffenen oder die Kontrolle durch unabhängige Stellen, werden in Art. 8 GRC vereint.^[26]

Durch die Aufnahme in den Verfassungsvertrag von 2004 wurde der Verfassungscharakter der Charta gestärkt. Auch ein Verweis im Lissaboner Vertrag von 2009 zeigt den hohen Stellenwert, welcher mittlerweile auch dem Datenschutz in der europäischen Verfassungsdiskussion zukommt.^[27] Dies wird im Weiteren dadurch deutlich, dass dem Datenschutz durch Aufnahme in die Charta eine Anerkennung als Grundrecht zuteilwurde.^[28]

2.2.3 Richtlinie 95/46/EG

Die Richtlinie 95/46/EG stellt die heutige Rechtsgrundlage für den Datenschutz in der europäischen Union dar. Im Folgenden werden daher neben der Entstehungsgeschichte der Richtlinie insbesondere Ziele und Anwendungsbereich der Richtlinie erläutert. Des Weiteren wird auf die nach der Richtlinie gebildete Art. 29-Datenschutzgruppe und ihre Funktion eingegangen.

2.2.3.1 Entstehung der Datenschutzrichtlinie

Seit Beginn der 1970er Jahre forderte das Europäische Parlament mehrfach Regelungen zum Datenschutz, doch die Haltung der Kommission war vorerst abwartend. Diese Position gab sie erst auf, als einige Mitgliedsstaaten einer Empfehlung vom 29. Juli 1981, der Konvention 108 beizutreten, bis 1990 nicht gefolgt waren. Daraufhin veröffentlichte die Kommission am 13. September 1990 einen ersten Entwurf einer Datenschutzrichtlinie.^[29]

Mit Vollendung des Binnenmarktes 1993 erhöhte sich der Bedarf eines Austausches von personenbezogenen Daten weiter, so dass nach langwierigen Verhandlungen und unterschiedlichen Vorschlägen schließlich am 24. Oktober 1995 die „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“^[30] vom Rat der Union verabschiedet wurde.^[31] Die Mitgliedsstaaten sollten diese Richtlinie binnen drei Jahren umsetzen.^[32]

2.2.3.2 Ziele der Datenschutzrichtlinie

Die Europäische Datenschutzrichtlinie verfolgt zwei Zielsetzungen. Zum einen soll sie den Schutz des Persönlichkeitsrechts sicherstellen, d. h. Grundrechte und Grundfreiheiten, insbesondere den Schutz der Privatsphäre natürlicher Personen gewährleisten. Vor allem in Art. 1 Abs. 1 der Richtlinie wird deutlich: Datenschutz ist Grundrechtsschutz.^[33] Zum anderen soll durch die Richtlinie die wirtschaftliche Zielsetzung der Europäischen Gemeinschaft, ein funktionierender Binnenmarkt, gefördert werden.^[34]

Vor dem Hintergrund der fortschreitenden Automatisierung der Informationsdatenverarbeitung, die neues Gefahrenpotenzial beim Umgang mit personenbezogenen Daten bietet, wurden unterschiedliche Datenschutzstandards als mögliche Handelshemmnisse angesehen.^[35] Mithilfe der Datenschutzrichtlinie wurde eine Harmonisierung der Datenschutzniveaus in den einzelnen Mitgliedsstaaten erreicht. Zudem wurden aufgrund der nun bestehenden Möglichkeit des freien Datenverkehrs Wettbewerbsverzerrungen innerhalb der Gemeinschaft vermieden.^[36] Grundsätzlich wurden den Mitgliedsstaaten bei der Umsetzung der Vorgaben in deren Rechtsvorschriften aufgrund der Rechtsnatur von Richtlinien nationale Handlungsspielräume gelassen. Es existieren jedoch keine nationalen Alternativen zum von der Richtlinie vorgegebenen Weg.^[37]

2.2.3.3 Anwendungsbereich der Datenschutzrichtlinie

Die Vorgaben der Richtlinie gelten sowohl für die automatisierte Verarbeitung personenbezogener Daten als auch für deren manuelle Verarbeitung, sofern die Daten in einer Datei gespeichert sind oder gespeichert werden sollen.^[38] Somit erstreckt sich der sachliche Anwendungsbereich weiter als der im Rahmen der Datenschutzkonvention des Europarates, die sich lediglich auf die automatisierte Datenverarbeitung beschränkt.^[39] Nach Art. 3 Abs. 2 schließt die Richtlinie jedoch die sachliche Anwendung ihrer Vorgaben für Verarbeitungen aus, die nicht in den Anwendungsbereich des Gemeinschaftsrechts^[40] fallen oder ausschließlich privater bzw. persönlicher Natur sind.^[41]

Hinsichtlich des räumlichen Anwendungsbereiches erfasst die Richtlinie neben der inländischen Verarbeitung von Daten auch grenzüberschreitende Sachverhalte.^[42] Hierbei entscheidend ist das sog. Territorialitätsprinzip,^[43] welches die Anwendung des nationalen Rechts nach dem Ort der Niederlassung des für die Verarbeitung Verantwortlichen regelt.^[44] Dadurch wird vermieden, dass Datenschutzgesetze verschiedener Mitgliedsstaaten Einfluss auf ein und dieselbe Verarbeitung nehmen.^[45]

Grundsätzlich gilt die Richtlinie nur für den Schutz personenbezogener Daten. Der persönliche Anwendungsbereich bezieht sich also auf natürliche Personen nach Art. 2 lit. a) DSRL und findet auf juristische Personen keine Anwendung.^[46]

2.2.3.4 Art. 29-Datenschutzgruppe

Als wichtige Neuerung der Datenschutzrichtlinie ist die Einrichtung einer unabhängigen Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten anzusehen (im Folgenden: Art. 29-Datenschutzgruppe).^[47] Diese Gruppe wird nach Art. 29 Abs. 2 DSRL aus Vertretern der unabhängigen Kontrollstellen der Mitgliedsstaaten sowie einem Vertreter der Kommission gebildet.^[48] Somit ist die Datenschutzgruppe nicht als übergeordnete Instanz der nationalen Kontrollstellen anzusehen, sondern vielmehr als Forum der EG, in dem nationale Erfahrungen ausgetauscht, bestehende Datenschutzdefizite aufgezeigt, neue Entwicklungen festgestellt und diesen Entwicklungen entsprechende Regelungen erarbeitet werden sollen.^[49]

Die Art. 29-Datenschutzgruppe nimmt hierbei eine Beraterfunktion für die Kommission in allen datenschutzrelevanten Gemeinschaftsvorhaben ein^[50] und kann nach Art. 30 Abs. 3 DSRL Stellungnahmen und Empfehlungen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft betreffen.^[51] Alles in allem trägt die Art. 29-Datenschutzgruppe also insbesondere aufgrund ihrer Zusammensetzung weiter zur Harmonisierung des Datenschutzstandards innerhalb der Europäischen Union bei.

2.3 Deutsche Rechtsgrundlagen

Richtungsweisend für den Datenschutz in Deutschland war das vom Bundesverfassungsgericht am 15. Dezember 1983 gefällte „Volkszählungsurteil“, welches ein informationelles Selbstbestimmungsrecht formuliert. Genauer gesagt, habe grundsätzlich jeder das Recht, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.^[52] Dieses Recht ist eng mit dem in Art. 2 Abs. 1 in Verbindung mit Art.1 Abs. 1 GG definierten Persönlichkeitsrecht verknüpft.^[53] Einschränkungen der informationellen Selbstbestimmung können sich daher nur aufgrund überwiegenden Allgemeininteresses oder verfassungsmäßiger gesetzlicher Grundlagen ergeben.^[54] Eine solche gesetzliche Grundlage stellt das Bundesdatenschutzgesetz dar.

Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.^[55] Dieser Schutz steht jeder natürlichen Person, unabhängig von Staatsangehörigkeit und Aufenthaltsort, zu. Da diverse weitere bereichsspezifische Datenschutzvorschriften existieren, wird das BDSG zu einem Auffanggesetz für den Fall des Fehlens einer Datenschutzregelung in einem anderen Bundesgesetz.^[56]

Im Rahmen der BDSG-Novellierung vom 11. Mai 2001 wurden die Vorgaben der europäischen Datenschutzrichtlinie mit fast zweieinhalbjähriger Verspätung umgesetzt. Die Art. 25 und 26 DSRL bezüglich der Datenübermittlung in Drittstaaten wurden nunmehr in die §§ 4 b und 4 c BDSG eingefügt.^[57]

Folgende Grafik zeigt die Entwicklungen des Datenschutzes zusammengefasst auf:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Die Entwicklungen des Datenschutzes.

Quelle: Eigene Darstellung.

Nachdem diverse Rechtsgrundlagen des Datenschutzes unter besonderer Beachtung der Entwicklung der Regelungen zum Drittstaatentransfer betrachtet wurden, wird im folgenden Kapitel explizit auf die Drittstaatenregelung im europäischen Datenschutzrecht eingegangen.

3 Datenübermittlung in Drittstaaten

Die Drittstaatenregelung der Datenschutzrichtlinie bestimmt die Voraussetzungen der Rechtmäßigkeit der Übermittlung personenbezogener Daten in Nicht-EU-Staaten, sog. Drittstaaten. Nicht unter diese Bezeichnung fallen die EWR-Staaten, Island, Liechtenstein und Norwegen, die am 01. Juli 2000 die Richtlinie 95/46/EG übernommen haben und somit den Mitgliedsstaaten der EU gleichgestellt sind.^[58]

Die Regelungen zur Datenübermittlung in Drittstaaten setzen sich zusammen aus den Grundsätzen nach Art. 25 und den Ausnahmen nach Art. 26 DSRL, die im Folgenden ausführlich dargestellt werden. Abschließend werden die Besonderheiten des US-amerikanischen Datenschutzrechts aufgeführt und die damit verbundenen Probleme bezüglich einer Datenübermittlung erklärt.

3.1 Allgemeine Bestimmungen und Definitionen

In der Datenschutzrichtlinie wird eine Reihe spezifischer Begriffsbestimmungen verwendet. Die Termini werden an dieser Stelle erläutert, weil in den einzelnen Regelungen zur Datenübermittlung in Drittstaaten darauf Bezug genommen wird.

Als personenbezogene Daten gelten gemäß Art. 2 lit. a) DSRL alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Hierzu zählen auch personenbezogene Bild- und Tondateien.^[59] Dadurch entsteht Handlungsspielraum, um auf technologische Entwicklungen in der Informationsgesellschaft reagieren zu können.^[60] Eine Person gilt als bestimmbar, wenn sie direkt oder indirekt entweder durch Zuordnung einer Kennnummer oder mehrerer spezifischer Elemente^[61] identifizierbar ist.

Des Weiteren unterscheidet die Richtlinie personenbezogene Daten nach ihrer Sensitivität.^[62] So untersagt Art. 8 Abs. 1 DSRL die Verarbeitung von Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen sowie Gesundheit und Sexualleben.

Unter der Verarbeitung personenbezogener Daten versteht die Richtlinie jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Art. 2 lit. b) DSRL). Hierzu gehören das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten personenbezogener Daten.^[63] Diese Definition ist sehr weit gefasst, wodurch eine gewisse Technikneutralität geschaffen wird. Es entsteht eine Unabhängigkeit der Regelungen zur Verarbeitung gegenüber neuen Bearbeitungsmethoden.^[64]

Des Weiteren definiert die Richtlinie in Art. 2 lit. d) den für die Verarbeitung Verantwortlichen als diejenige natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Es muss also nicht zwingend die Unternehmensführung für die Verarbeitung verantwortlich sein. Aufgrund der jeweiligen Organisationsstruktur kann es sich bei dem Verantwortlichen auch um die tatsächlich handelnde Einzelperson handeln, der die letzte Entscheidung über den mit der Datenverarbeitung verfolgten Zweck und die dafür eingesetzten Mittel obliegt.^[65]

Der Verantwortliche kann mit der Datenverarbeitung eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle beauftragen, den sog. Auftragsverarbeiter (Art. 2 lit. e) DSRL). Dieser „Auftragsverarbeiter“ handelt ausschließlich auf Weisung des für die Verarbeitung Verantwortlichen.^[66]

Von Bedeutung für die Regelungen zum Datentransfer in Drittstaaten ist auch die Definition des Empfängers. Gemäß Art. 2 lit. g) DSRL ist dies die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält. Es kann sich bei dieser Person auch um einen sog. Dritten handeln, der weder Betroffener, noch Verantwortlicher der Datenverarbeitung oder Auftragsverarbeiter ist und von den beiden Letzteren auch nicht zum Verarbeiten der Daten ermächtigt wurde (Art. 2 lit. f) DSRL).

Ein wichtiger Bestandteil einer zulässigen Datenverarbeitung ist gemäß Art. 7 lit. a) DSRL die Einwilligung der betroffenen Person. Die Einwilligung muss ohne jeden Zweifel erfolgen. Unter Einwilligung versteht die Richtlinie jede Willensbekundung, die ohne Zwang, für den konkreten Fall in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden (Art. 2. lit. h) DSRL). Die Richtlinie beschränkt hierbei den Wirkungsgrad der Einwilligung auf einen einzigen konkreten Fall. Pauschal ausgesprochene Einwilligungen für eine Reihe von Datenverarbeitungen sind folglich ausgeschlossen, weil die betroffene Person hierbei leicht den Überblick über die jeweiligen Sachverhalte verlieren könnte.^[67]

Gerade die Kenntnis der Sachlage ist allerdings nicht eindeutig formuliert. Sie könnte sich entweder allein auf die Kenntnis des Betroffenen über die Verarbeitung seiner personenbezogenen Daten beschränken oder aber weitergreifend die Kenntnis des Zwecks der Verarbeitung voraussetzen.^[68] Auch über die Form der Einwilligung macht die Richtlinie keine Angaben. Sie kann folglich entweder mündlich, schriftlich oder auch elektronisch erfolgen.^[69]

3.2 Anwendungsvoraussetzungen der Drittstaatenregelung

In ihren jeweils ersten Absätzen weisen Art. 25 und 26 der Richtlinie darauf hin, dass eine Datenübermittlung vorbehaltlich der aufgrund der anderen Bestimmungen der Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist.^[70] Die Rechtmäßigkeit des Transfers personenbezogener Daten richtet sich also auch nach den Anforderungen, die an eine inländische Datenübermittlung gestellt werden.^[71] Die hierfür geltenden Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten sind in Art. 7 DSRL geregelt. Auch Erwägungsgrund 60 verweist ausdrücklich auf die mitgliedsstaatlichen Rechtsvorschriften.

Das Hauptkriterium der Zulässigkeit einer Datenübermittlung in Drittstaaten ist jedoch, dass diese ein angemessenes Schutzniveau gewährleisten müssen (Art. 25 Abs. 1 DSRL). Diese Begrifflichkeit soll im Folgenden erläutert werden.

3.3 Angemessenes Schutzniveau

Durch den Terminus „angemessenes Schutzniveau“ verzichtet die Richtlinie auf die Forderung eines gleichwertigen Datenschutzniveaus im Drittstaat. Der Grund hierfür ist, dass eine Beeinträchtigung der Wirtschaftsbeziehungen mit außereuropäischen Handelspartnern vermieden werden soll.^[72]

Um den durch diese Formulierung entstehenden Auslegungsspielraum bei der Bewertung des Schutzniveaus zu verringern, definiert die Richtlinie in Art. 25 Abs. 2 gewisse Angemessenheitskriterien. Hierzu gehören unter Berücksichtigung aller Umstände, die bei einer Datenübermittlung eine Rolle spielen, insbesondere die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und Endbestimmungsland, die in dem Drittland geltenden allgemeinen und sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen für Datenübermittlungen. Grundlegend ist hierbei die Beurteilung der Angemessenheit von Fall zu Fall, da jede Datenübertragung andere Voraussetzungen schafft und die Auslegungskriterien daher nicht pauschal bewertet werden können.^[73]

[...]

^[1] Belgien, Dänemark, Deutschland, Frankreich, Griechenland, Irland, Island, Italien, Kanada, Luxemburg, Niederlande, Norwegen, Japan, Finnland, Australien, Neuseeland, Mexiko, Tschechien, Südkorea, Ungarn, Polen, Slowakei, Chile, Österreich, Portugal, Schweden, Spanien, Schweiz, Türkei, Vereinigte Staaten, Vereinigtes Königreich, Slowenien, Israel und Estland.

^[2] Offizielle Übersetzung der deutschsprachigen Mitgliedsstaaten; Bundesanzeiger Nr. 215 vom 14. November 1981.

^[3] Vgl. Dammann, Ulrich/Simtis, Spiros: Datenschutzrecht. 9. Aufl., Baden-Baden 2005, S. 390.

^[4] Vgl. Bodenschatz, Nadine: Der europäische Datenschutzstandard. Frankfurt am Main 2010,
S. 55 f.

^[5] Vgl. Art. 2 der OECD-Leitlinien.

^[6] Vgl. Art. 4 der OECD-Leitlinien.

^[7] Offizielle Übersetzung der deutschsprachigen Mitgliedsstaaten.

^[8] Vgl. Art. 6 der UN-Richtlinien.

^[9] Vgl. Art. 9 der UN-Richtlinien.

^[10] Vgl. Dammann, Ulrich/Simtis, Spiros, 2005, S. 487.

^[11] Vgl. Tinnefeld, Marie-Theres/Ehmann, Eugen/Gerling, Rainer W.: Einführung in das Datenschutzrecht. 4. Aufl., München 2005, S. 99.

^[12] Vgl. Bodenschatz, Nadine, 2010, S. 61.

^[13] Vereinigte Staaten, Deutschland, Frankreich, Italien, Japan, Kanada und Großbritannien.

^[14] Vgl. Würmeling, Ulrich: Handelshemmnis Datenschutz. Köln 2000, S. 13 f.

^[15] Vgl. Bodenschatz, Nadine, 2010, S. 61.

^[16] Vgl. Würmeling, Ulrich, 2000, S. 9.

^[17] Vgl. Kautz, Ilona: Schadensersatz im europäischen Datenschutzrecht. Frankfurt am Main 2006, S. 49.

^[18] Vgl. Art. 12 der Konvention 108.

^[19] Vgl. Dammann, Ulrich/Simtis, Spiros, 2005, S. 345.

^[20] Vgl. Bodenschatz, Nadine, 2010, S. 44.

^[21] Offizielle Übersetzung der deutschsprachigen Mitgliedsstaaten.

^[22] Vgl. Würmeling, Ulrich, 2000, S. 10.

^[23] Vgl. Kautz, Ilona, 2006, S. 49.

^[24] Vgl. Bodenschatz, Nadine, 2010, S. 49.

^[25] Ebenda, S. 84 f.

^[26] Ebenda, S. 86.

^[27] Ebenda, S. 268 ff.

^[28] Vgl. Bodenschatz, Nadine, 2010, S. 272.

^[29] Vgl. Würmeling, Ulrich, 2000, S. 17 ff.

^[30] ABl. Nr. L 281 vom 23. November 1995, S. 31 ff.

^[31] Vgl. Bodenschatz, Nadine, 2010, S. 184 f.

^[32] Vgl. Art. 32 Abs. 1 der Richtlinie 95/46/EG.

^[33] Vgl. Simitis, Spiros: Die EG-Datenschutzrichtlinie oder der schwierige Weg von einer partikulären zu einer gemeinsamen Regelung des Datenschutzes. In: Drexl, Josef/Kreuzer, Karl F./Scheuing, Dieter H./Sieber, Ulrich (Hrsg.): Europarecht im Informationszeitalter. Bd. 11, Baden-Baden 2000 a, S. 24.

^[34] Siehe hierzu Erwägungsgrund Nr. 3 der Richtlinie 95/46/EG.

^[35] Vgl. Würmeling, Ulrich: Umsetzung der Europäischen Datenschutzrichtlinie. In: Der Betrieb,
Jg. 49, H. 13, 1996, S. 663.

^[36] Vgl. Abel, Horst G.: Praxiskommentar Bundesdatenschutzgesetz, Schnelle Klarheit im novellierten BDSG. 5. Aufl., Kissing 2009, S. 68 f.

^[37] Vgl. Simitis, Spiros, 2000 a, S. 28.

^[38] Vgl. Art. 3 Abs. 1 der Richtlinie 95/46/EG.

^[39] Vgl. Kautz, Ilona, 2006, S. 109.

^[40] Laut Artikel: Verarbeitungen beispielsweise im Rahmen von Tätigkeiten nach den Titeln V und VI des EUV sowie Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates oder Tätigkeiten im Rahmen des strafrechtlichen Bereichs.

^[41] Vgl. Dammann, Ulrich/Simtis, Spiros, 2005, S. 404.

^[42] Vgl. Bodenschatz, Nadine, 2010, S. 194.

^[43] Vgl. Burgsdorff, Christoph: Die Umsetzung der EG-Datenschutzrichtlinie im nicht-öffentlichen Bereich. Frankfurt am Main 2003, S. 55.

^[44] Vgl. Art. 4 Abs. 1 lit. a) der Richtlinie 95/46/EG.

^[45] Vgl. Engel, Alexandra: Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA. Berlin 2003, S. 17.

^[46] Siehe hierzu Erwägungsgrund Nr. 24 der Richtlinie 95/46/EG.

^[47] Vgl. Art. 29 Abs. 1 der Richtlinie 95/46/EG.

^[48] Vgl. Di Martino, Alessandra: Datenschutz im Europäischen Recht. Baden-Baden 2005, S. 56.

^[49] Vgl. Bodenschatz, Nadine, 2010, S. 207.

^[50] Vgl. Art. 30 Abs. 1 lit. c) der Richtlinie 95/46/EG.

^[51] Vgl. Dammann, Ulrich/Simtis, Spiros, 2005, S. 414.

^[52] Vgl. BVerfG, Urteil vom 15/12/83 – AZ 1 BvR 209/83; 1 BvR 269/83; 1 BvR 362/83; 1 BvR 420/83; 1 BvR 440/83; 1 BvR 484/83 – Bd. 65, S. 43.

^[53] Ebenda, S. 41.

^[54] Ebenda, S. 44.

^[55] Vgl. § 1 Abs. 1 BDSG.

^[56] Vgl. Kahl, Maria: Die Übermittlung personenbezogener Daten in Drittstaaten nach dem BDSG. Frankfurt am Main 2009, S. 24 f.

^[57] Vgl. Abel, Horst G., 2009, S. 71.

^[58] Vgl. § 4 b Abs. 1 Nr. 2 BDSG.

^[59] Siehe hierzu Erwägungsgrund Nr. 14 der Richtlinie 95/46/EG.

^[60] Vgl. Burgsdorff, Christoph, 2003, S. 44 f.

^[61] Laut Artikel: Elemente die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

^[62] Vgl. Bodenschatz, Nadine, 2010, S. 31.

^[63] Vgl. Dammann, Ulrich/Simtis, Spiros, 2005, S. 403.

^[64] Vgl. Kautz, Ilona, 2006, S. 113.

^[65] Ebenda, S. 114.

^[66] Vgl. Art. 17 Abs. 3, 1. Spiegelstrich der Richtlinie 95/46/EG.

^[67] Vgl. Kautz, Ilona, 2006, S. 116.

^[68] Vgl. Burgsdorff, Christoph, 2003, S. 50.

^[69] Vgl. Klug, Christoph: Globaler Arbeitnehmerdatenschutz - Ausstrahlungswirkung der EG-Datenschutzrichtlinie auf Drittländer am Beispiel der USA. In: RDV, H. 3, 1999, S. 113.

^[70] Vgl. Dammann, Ulrich/Simtis, Spiros, 2005, S. 411 f.

^[71] Vgl. Engel, Alexandra, 2003, S. 72.

^[72] Vgl. Bodenschatz, Nadine, 2010, S. 210.

^[73] Vgl. Klug, Christoph, 1999, S. 110.