Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA

Abstract

Der weltweite Ausbau der elektronischen Informationsnetze steigerte in den letzten Jahren in erheblichem Maße den grenzüberschreitenden Austausch personenbezogener Daten. Dabei entglitt den Mitgliedstaaten der Europäischen Union zunehmend die Möglichkeit einer Durchsetzung ihres nationalen Datenschutzrechts und somit des Schutzes der Persönlichkeitsrechte der betroffenen Bürger. Dieser Entwicklung Einhalt gebietend suchte die Europäische Union im Zuge der Harmonisierung des Datenschutzes auf dem Binnenmarkt mithilfe der "Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" die Reichweite der mitgliedstaatlichen Datenschutzgesetze auszudehnen, indem sie eine Datenübermittlung in Drittländer den Voraussetzungen einschränkender Zulässigkeitstatbestände unterwarf. Die vorliegende Arbeit untersucht die aktuellen rechtlichen Instrumentarien zur Gewährleistung dieses grenzüberschreitenden Datenschutzes für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA. Nach einer kurzen Darstellung der sachlichen Anwendbarkeit der Richtlinie 95/46/EG wird zunächst der räumliche Anwendungsbereich abgesteckt, der bereits eine grenzüberschreitende Wirkung entfaltet und eine entscheidende Rolle dafür spielt, ob eine konkrete Übermittlung tatsächlich den Vorschriften über den Drittländertransfer unterliegt. In Artikel 25 Absatz 1 spricht die Richtlinie schließlich ein unmittelbares Verbot einer Datenübermittlung in ein Drittland aus, sofern dort kein "angemessenes Schutzniveau" gewährleistet ist. Unter dieses zuvor erörterte Tatbestandsmerkmal wird zunächst das US-amerikanische Datenschutzniveau und anschließend die Entscheidung der Europäischen Kommission über die vom US-Handelsministerium vorgelegten Safe Harbor Privacy Principles subsumiert. Dem folgt eine Darstellung der Ausnahmetatbestände des Artikels 26 Absatz 1 der Richtlinie, die eine Übermittlung auch in solche Drittländer legitimieren, die nicht über ein angemessenes Schutzniveau verfügen. Schließlich kann eine Übermittlung in ein unsicheres Drittland auch von den Mitgliedstaaten entsprechend dem Artikel 26 Absatz 2 der Richtlinie genehmigt werden, sofern der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten des Betroffenen bietet. Als Instrumente zur Gewährleistung derartiger Garantien kommen sowohl Verträge als auch verbindliche Unternehmensrichtlinien, so genannte Codes of Conduct in Betracht. Eine Sonderstellung nehmen in diesem Zusammenhang die von der Europäischen Kommission am 15. Juni 2001 und am 27. Dezember 2001 angenommenen Standardvertragsklauseln ein. Nach einer ausführlichen Analyse der genannten Instrumente gelangt die Arbeit zu dem Ergebnis, dass die Reichweite und Umsetzung des Datenschutzes für aus der Europäischen Union in Drittländer exportierte Daten zwar aktuell noch hinter den rechtlichen Anforderungen der Richtlinie 95/46/EG zurückbleibt, sich aber aufgrund des weltweit wachsenden Datenschutzbewusstseins und des steten Anstiegs des Wettbewerbs dennoch für die Zukunft eine Prognose der kontinuierlichen Verbesserung des weltweiten Datenschutzniveaus rechtfertigt.

As a result of the worldwide expansion of information networks the transnational exchange of personal data has grown considerably during the last decades. Thus the Member States of the European Union have increasingly lost their power to enforce national data protection laws and to protect the personal rights of their citizens. In order to curb this development the European Union has, in the course of harmonizing data protection on the internal market, sought to extend the reach of the Members' data protection laws by restricting the transfer of personal data to a third country by "Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data". The present treatise examines the current legal instruments for ensuring such transnational protection of personal data exported from the European Union to third countries, in particular the USA. After a brief presentation of the circumstances under which Directive 95/46/EC applies, its territorial scope is described. This already has a transnational impact and plays a decisive role in determining whether a specific transmission is subject to the provisions governing the transfer to third countries. Article 25 Section 1 of the Directive directly prohibits the transfer of personal data to a third country if the country of destination does not ensure an "adequate level of protection". Based on a specification of this criterion, the level of data protection provided by US law and the decision of the European Commission on the Safe Harbor Privacy Principles issued by the US Department of Commerce are elaborated. There follows a presentation of the exceptions detailed in Article 26 Section 1 of the Directive, which can legitimize the transfer of data to a third country which does not ensure an adequate level of protection. Finally, the Member States may permit a transfer of data to an insecure third country under Article 26 Section 2 if the controller of the processing provides adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals. Such safeguards may in particular result from appropriate contractual clauses or from corporate policies, so-called Codes of Conduct. In this respect the standard contractual clauses adopted by the European Commission on 15 June 2001 and on 27 December 2001 have a special status. After a detailed analysis of these instruments, this treatise concludes that at present neither the scope nor the realization of the protection of personal data exported from the European Union into third countries meets the legal requirements of Directive 95/46/EC. None the less, the growing awareness of data protection issues worldwide and constantly increasing competition are considered to justify a prognosis that the worldwide level of data protection will