Vor dem Hintergrund der in Deutschland noch nicht umgesetzten, aber gleichwohl im Rahmen der Auslegung des Bundesdatenschutzgesetzes zu berücksichtigenden Bestimmungen zum internationalen Datenverkehr[155] kommt der Frage eine besondere Bedeutung zu, unter welchen Voraussetzungen die Übermittlung personenbezogener Daten in die USA zulässig ist. Da die USA im privaten Bereich über keine allgemeinen Datenschutzregelungen verfügen, besteht von Gesetzes wegen kein angemessenes Datenschutzniveau (Art. 25 Abs. 1 EU-Richtlinie). Dies führt dazu, dass Datentransfers einer besonderen Rechtfertigung bedürfen. Diese kann in der Einwilligung der betroffenen Personen, in der Erforderlichkeit für die Vertragsabwicklung, in der Wahrung "wichtiger öffentlicher" oder "lebenswichtiger" privater Interessen, in gerichtlichen Auseinandersetzungen oder in gesetzlichen Vorschriften bestehen. Häufig liegen diese relativ großzügigen Voraussetzungen gleichwohl nicht vor, etwa in den Fällen der Auftragsdatenverarbeitung, der Sammlung von Daten für Marketingzwecke oder der Einholung von Kreditauskünften.

Um den Datentransfer in die USA gleichwohl zu rechtfertigen, stellt die Richtlinie grundsätzlich zwei Instrumente zur Verfügung: Zum einen können die Partner, zwischen denen Informationen ausgetauscht werden sollen, auf dem Vertragswege Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbunden Rechte vereinbaren (Art. 26 Abs. 2). Werden diese Verträge genehmigt, ist die Datenübermittlung zulässig. In der Vereinbarung zwischen der DB und der deutschen bzw. amerikanischen Citibank ist dieser Weg beschritten worden[156]. Eine internationale Debatte über die Erarbeitung von "Model-Contracts" will diese Möglichkeit nutzen[157].

Dieser Weg wird für eine Vielzahl von Fällen nicht als erstrebenswert angesehen. Andererseits besteht derzeit in den politischen Gremien der USA offensichtlich keine Neigung, eine "Omnibus"-Gesetzgebung zum Datenschutz in die Wege zu leiten. Vielmehr will man die bisherige Politik, einen Bereich nach dem anderen durch Spezialgesetze zu regulieren (Kreditinformationen, Datenverarbeitung bei Banken, medizinische Daten bis hin zur Datenverarbeitung in Videotheken), fortsetzen. Für alle anderen Anwendungen möchte man den zweiten Weg einschlagen, den die Richtlinie vorsieht. Die Europäische Kommission kann nach Zustimmung der Regierungsvertreter, die sich in einem Ausschuss nach Art. 31 der EU-Richtlinie regelmäßig abstimmen, feststellen, dass aufgrund internationaler Verpflichtungen, die der betreffende Staat nach Verhandlungen mit der Kommission eingegangen ist, ein angemessenes Schutzniveau gewährleistet ist. Das US-Handelsministerium hat unter der Bezeichnung "Safe-Harbor-Principles" [LINK] einen Entwurf derartiger Verpflichtungen vorgelegt, nach denen ein Unternehmen, das sich ihnen unterwirft, gleichsam in einem sicheren Datenschutzhafen landet.

Die das ganze Jahr über zwischen den USA und der Europäischen Kommission geführten Verhandlungen haben bis Ende 1999 noch zu keinem endgültigen Ergebnis geführt. In ihrer letzten Sitzung im Jahr 1999 hat die Arbeitsgruppe nach Art. 29 der Richtlinie bedauert, dass ihre Einwände beim letzten Stand der amerikanischen Dokumente noch nicht berücksichtigt sind. Diese betreffen vor allem die Frage des Informationszugangs sowie der Durchsetzung der Datenschutzregeln. Auch der Ausschuss nach Art. 31 hält die Vereinbarung nicht für entscheidungsreif.

Damit bleibt es bis auf weiteres dabei, dass eine richtlinienkonforme Übermittlung personenbezogener Daten nur auf der Grundlage von Einzelverträgen mit dem amerikanischen Partner möglich ist, wenn nicht die allgemeinen Voraussetzungen vorliegen. Auch in diesen Fällen ist allerdings zu gewährleisten, dass bei der Verarbeitung der Daten in den USA die schutzwürdigen Belange der Betroffenen sichergestellt werden.

Bereits im Jahr 1989, als die Aufgaben der Aufsichtsbehörde noch von der Senatsverwaltung für Inneres wahrgenommen wurden, hat die Konferenz der Obersten Aufsichtsbehörden ("Düsseldorfer Kreis") eine Arbeitsgruppe "Internationaler Datenverkehr" unter dem Vorsitz Berlins gegründet. Diese Arbeitsgruppe hat 1993 eine "Checkliste" zur Gewährleistung des Datenschutzes beim grenzüberschreitenden Verkehr mit personenbezogenen Daten durch ein Vertragsmodell vorgelegt, das nicht ohne Einfluss auf den BahnCard-Vertrag war. Die Arbeit wurde vom Berliner Datenschutzbeauftragten kontinuierlich fortgesetzt. Sie zeigt, dass die datenschutzrechtliche Bewertung internationaler Datenflüsse schwierige Rechtsfragen aufwirft.

Bei derartigen Fallkonstellationen ist bereits die Feststellung schwierig, welches Recht anzuwenden ist. Das bisherige deutsche Datenschutzrecht lässt diese Frage offen. Aus dem Regelungszusammenhang, insbesondere in Verbindung mit den Zuständigkeitsvorschriften des Verwaltungsverfahrensgesetzes (§ 3), ergibt sich jedoch, dass deutsches Recht immer dann anzuwenden ist, wenn die Datenverarbeitung in Deutschland stattfindet. Eine Erstreckung des deutschen Rechts auf Daten, die im Ausland verarbeitet werden, ergibt sich nicht von Gesetzes wegen, sondern erst dann, wenn der Datenexporteur im Hinblick auf die Wahrung schutzwürdiger Belange der Betroffenen (§ 28 Abs. 1 Satz 1 Ziff. 2 BDSG) einen Vertrag mit dem ausländischen Partner schließt, in dem die Geltung des deutschen Rechts vereinbart wird (wie z. B. beim BahnCard-Vertrag), oder wenn das ausländische Unternehmen eine unmittelbare Vereinbarung mit dem Betroffenen eingeht.

Die Richtlinie verändert diese Situation. In allen Fällen, in denen die speichernde Stelle eine Niederlassung im Inland unterhält, bleibt es zwar bei der Geltung des nationalen, also des deutschen Rechtes. Nach der Richtlinie soll sich das nationale Recht aber auch auf alle Verarbeitungen personenbezogener Daten erstrecken, die von einem Unternehmen durchgeführt werden, das in einem Drittland außerhalb der Europäischen Union seinen Sitz hat (z. B. USA), die Daten dort verarbeitet, aber für die Verarbeitung auf "automatisierte oder nicht-automatisierte Mittel" zurückgreift, die in einem europäischen Land gelegen sind. Daraus folgt, dass deutsches Recht künftig immer dann anzuwenden sein wird, wenn US-Unternehmen Daten zwar in den USA verarbeiten, dabei aber Datenverarbeitungsgeräte verwendet werden, die sich im Inland befinden. Auf die Nationalität der betroffenen Personen kommt es nicht an.

Für den vorliegenden Fall bedeutet das: Für die Erhebung der Kundendaten in Deutschland findet deutsches Recht Anwendung, ebenso für die Übermittlung in die USA. Die Erstreckung des deutschen Rechts auf die Verarbeitung der Daten in den USA muss eigens vereinbart werden - sei es durch Vertrag des Tochterunternehmens mit der Mutter, sei es durch unmittelbare Vereinbarung mit den Kunden. Für die Daten, die bei der Nutzung des Internet in den USA anfallen, gilt nach der Richtlinie hingegen unmittelbar deutsches Recht, wenn automatisierte "Mittel" des Anbieters in Deutschland, etwa Einwahlknoten genutzt werden, auch wenn die Daten dort nicht selbst verarbeitet werden. Allein die Tatsache, dass für die Internetnutzung ein (privater) PC in Deutschland verwendet wird, kann dagegen nicht ausreichen. Für Datenveränderungen, die z. B. von einem irischen Call-Center auf dem amerikanischen Datenbestand vorgenommen werden, gilt irisches Recht, wenn nichts anderes vereinbart ist.

Unklar bleibt nach den Bestimmungen der Richtlinie, welches Recht anzuwenden ist, wenn das Daten verarbeitende Unternehmen seinen Sitz in einem anderen Staat der EU hat, aber nicht über eine Niederlassung in Deutschland verfügt. Nach der Logik des Europarechtes muss dabei das Recht des europäischen Sitzlandes gelten, mit der für die Aufsichtsbehörden künftig nicht ganz einfach zu bewältigenden Folge, dass auf bestimmte Datenverarbeitungsvorgänge im Inland das Recht eines anderen europäischen Staates anzuwenden ist.

Aus dieser Situation, die durch die offene Frage der Direktwirkung der Richtlinie[158] noch erschwert wird, ergibt sich die dringende Empfehlung, in allen diesen Fällen das deutsche Recht vertraglich zu vereinbaren.

Die Frage, unter welchen Voraussetzungen Auftragsdatenverarbeitung bei medizinischen Daten möglich ist, ist für sich schon ein Problem[159]. Es wird dann bei der bestehenden Rechtslage kaum mehr lösbar, wenn der Datenzugriff aus einem Land erfolgen soll, in dem keine Datenschutzgesetze existieren. Dieses das Krankenhausmanagement zunehmend bedrängende Problem lässt sich derzeit nur dadurch lösen, dass auch bei Fernwartung, durch technisch-organisatorische Maßnahmen, der Zugriff auf die Daten selbst verwehrt wird. Auf diese Weise werden keine personenbezogenen Daten ins Ausland übermittelt. Die entsprechenden Instrumente hierzu zu entwickeln ist eines der wichtigen Themen für die Entwicklung von Privacy Enhancing Technologies.

Auch hier nutzt das ausländische Tochterunternehmen Informationstechnik, die in Deutschland gelegen ist. Nach der Richtlinie ist deutsches Recht anzuwenden, was sich ohnehin aus dem geltenden deutschen Recht bereits ergibt. Sollte dem ausländischen Tochterunternehmen der Zugriff auf Daten der deutschen Muttergesellschaft gestattet werden, was bei Lieferanten- und Kundendaten nahe liegt, liegt beim Abruf im Einzelfall eine Datenübermittlung in ein Drittland vor. Handelt es sich wie im vorliegenden Fall um ein Land, bei dem ein ausreichendes Datenschutzniveau noch nicht festgestellt ist, ist die geradezu zwingende Lösung, dass ausländische Tochterunternehmen in vollem Umfang dem deutschen Datenschutzrecht durch Vertrag unterstellt werden müssen.

Das Besondere an diesem Fall ist, dass die Herrschaft über die personenbezogenen Daten den Bereich der behördlichen Zuständigkeit nicht verlässt. Die Heimarbeitsvereinbarung führt dazu, dass der häusliche Arbeitsplatz dienstlichen Charakter hat und es mithin nicht zu einer Datenübermittlung ins Ausland, sondern lediglich zu einer Datennutzung im Ausland kommt. In diesem Fall liegt es nahe, die Regelungen über die Datenübermittlung ins Ausland nicht anzuwenden, sondern entsprechend den Regelungen im internationalen Arbeitsrecht von der ausschließlichen Geltung des deutschen Rechtes auszugehen ("Käseglockentheorie"). Diese Auffassung teilte auch die niederländische Datenschutzbehörde Registratiekamer. Diese wies allerdings darauf hin, dass hinsichtlich der technisch-organisatorischen Maßnahmen bei dieser Fallkonstellation niederländisches Recht anzuwenden ist, da dieses unabhängig von der Art der verarbeiteten Daten für alle informationstechnischen Geräte gilt, die sich in den Niederlanden befinden.

[155] JB 1998, 4.7

[156] vgl. 4.6.3

[157] vgl. 6.4

[158] vgl. oben

[159] z. B. Entschließung der 53. Konferenz der Datenschutzbeauftragten des Bundes

und der Länder zur Sicherstellung des Schutzes medizinischer Datenbestände

außerhalb von ärztlichen Betreuungseinrichtungen v. 17./18.4.1997