Bisher haben wir darüber gesprochen, was Datenschutz ist, was sein Verhältnis zu den Menschenrechten ist und was ein rechtssicheres Datenschutzregime ausmacht.
WO WERDEN DATENSCHUTZSTANDARDS FESTGELEGT?
In diesem Kapitel untersuchen wir, wo verbindliche und unverbindliche Datenschutzstandards festgelegt werden. Beispiele für verbindliche Standards sind Gesetze und Vorschriften. Nicht verbindliche Normen können Best-Practice-Leitlinien oder freiwillige Rahmenbedingungen sein. Auf nationaler, regionaler oder internationaler Ebene werden sowohl unverbindliche als auch verbindliche Normen entwickelt.
Wo auch immer Sie sind, die einflussreichsten Normen sind verbindlich und werden in den meisten Fällen auf nationaler Ebene verabschiedet. Nur Staaten und eine supranationale Organisation (z.B. die Europäische Union) sind in der Lage, in ihrem jeweiligen Zuständigkeitsbereich verbindliche Gesetze zu erlassen.
Es gibt aber auch regionale und internationale Gremien, die in Form von Verträgen verbindliche Datenschutzstandards festgelegt haben. Abhängig von den internen verfassungsrechtlichen Anforderungen eines Landes kann der Vertrag eine nationale Gesetzgebung vorschreiben, um Rechtswirkung zu entfalten. Aufgrund ihres völkerrechtlichen Bindungscharakters für die Staaten, die sie ratifiziert haben, betrachten wir sie jedoch auch in diesem Abschnitt. Unverbindliche Standards wie Richtlinien oder Erklärungen können auch einen wichtigen Einfluss auf die Normsetzung im Bereich des Datenschutzes haben.
VERBINDLICHE DATENSCHUTZSTANDARDS
Nationale Ebene
Je nach Staat kann die Datenschutzgesetzgebung vom Gesetzgeber, von der Regierung oder anderen staatlichen Stellen erlassen werden, und zwar in einer von zwei allgemeinen Formen:
- Umfassend: Wenn ein Land über einen „umfassenden Datenschutz“ verfügt, bedeutet dies, dass die Gesetzgebung für Daten gilt, die von einem Unternehmen in diesem Land verarbeitet werden, sei es öffentlich oder privat, unabhängig von der Branche. Dies gilt ab 2018 für mehr als 100 Länder.
- Sektoral: In einigen Ländern gilt die Regulierung nur für Daten, die vom öffentlichen oder privaten Sektor verarbeitet werden. In anderen Ländern gilt die Regulierung nur für bestimmte Bereiche oder Branchen des öffentlichen oder privaten Sektors, die Daten verarbeiten (z.B. Gesundheit oder Bildung). In den USA, die über ein sektorales Datenschutzregime verfügen, hat der Kongress (der Gesetzgeber) Gesetze erlassen, die sich speziell mit dem Datenschutz befassen, aber nur für Daten gelten, die sich im Besitz von Regierungsbehörden befinden (der Privacy Act von 1974 und der Computing Matching and Privacy Protection Act von 1988). Es gibt auch Gesetze, die sich auf bestimmte Arten von personenbezogenen Daten beziehen: zum Beispiel den Children’s Online Privacy Protection Act von 1998 und den Health Insurance Portability and Accountability Act von 1996. Diese Gesetze umfassen neben dem verfassungsmässigen Schutz des Rechts auf Privatsphäre auch den Datenschutz in den USA.
Europäische Union
Die EU kann als supranationale Organisation Gesetze erlassen, die für ihre Mitglieder verbindlich sind. Einige EU-Rechtsvorschriften sind für die Mitgliedstaaten direkt verbindlich, während andere die Umsetzung durch die Mitgliedstaaten durch ihre eigene nationale Gesetzgebung erfordern. Wie auf nationaler Ebene gliedert sich diese Rechtsordnung in Primärrecht (Verträge) und Sekundärrecht (auf der Grundlage von Verträgen).
Die Primärgesetzgebung ist in einer Reihe von Verträgen vorgesehen, darunter die beiden Kernverträge, der Vertrag über die Europäische Union und der Vertrag über die Arbeitsweise der Europäischen Union. Diese wurden mehrmals überarbeitet, zuletzt durch den Vertrag von Lissabon 2009, in den auch die Charta der Grundrechte aufgenommen wurde. Mit Artikel 8 der Charta schafft die EU insbesondere – in einem hochrangigen, grundlegenden Vertragstext – nicht nur eine Rechtsgrundlage für den Datenschutz, sondern auch ein Recht auf Schutz personenbezogener Daten.
Die Sekundärgesetzgebung erfolgt in erster Linie in Form von Richtlinien und Verordnungen, die Rechtsakte sind und für die EU-Mitgliedstaaten verbindlich sind. Das wichtigste sekundäre EU-Recht zum Datenschutz ist die DSGVO (Verordnung (EU) 2016/679). Diese allgemeine Verordnung ist die massgebliche Quelle für Datenschutzstandards auf EU-Ebene, aber nicht die einzige. Datenschutzstandards werden auch weiterhin durch andere Formen des Sekundärrechts festgelegt, die die DSGVO ergänzen, wie die Richtlinie zum Schutz personenbezogener Daten, die zum Zwecke der Strafverfolgung verarbeitet werden (2016/680), und die Verordnung zum Schutz der Privatsphäre im Internet.
Die Einhaltung der DSGVO auf EU-Ebene wird vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Gerichtshof (EuGH) überwacht und durchgesetzt. Der EuGH ist das oberste Gericht der EU, und seine Auslegungen der EU-Datenschutzgesetzgebung bieten weitere Leitlinien für Datenschutzstandards und wie ihre gleichberechtigte Anwendung in allen EU-Mitgliedstaaten gewährleistet werden kann. Zwischen 2001 und 2016 erliess das Gericht mehr als 40 Entscheidungen zum Datenschutz. Die wichtigsten davon sind Schrems v. Datenschutzbeauftragter (2015), die das bilaterale „Safe Harbor“-Data-Sharing-Abkommen zwischen den USA und der EU zunichte gemacht haben, und Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos (2014), die entschieden hat, dass Google und andere Internet-Suchmaschinen bestimmte Suchergebnisse „entkoppeln“ müssen, um personenbezogene Daten, die „ungenau, unzureichend, irrelevant oder nicht mehr relevant“ sind, auf Wunsch der Nutzer aus ihren Suchergebnissen zu entfernen (besser bekannt als „das Recht, vergessen zu werden“).
Im Rahmen der DSGVO fungiert der EDSA als wichtige Quelle für Datenschutzstandards, da er den Auftrag hat, unabhängige Analysen über Trends und die Einhaltung der Verordnung durchzuführen, unter anderem durch „Stellungnahmen“ und „Empfehlungen“ zur Datenschutzgesetzgebung und Politikentwicklung.
Aufgrund des Handels zwischen EU- und Nicht-EU-Ländern und der Anforderung, dass Unternehmen ausserhalb der EU, die personenbezogene Daten von Personen in EU-Ländern verarbeiten, sich an die EU-Standards halten (die Anforderung „Angemessenheit“), wirkt sich die DSGVO auf Länder ausserhalb der EU aus.
International
Europarat
Der Europarat wurde 1949 gegründet und ist eine internationale Organisation, deren erklärtes Ziel die Wahrung der Menschenrechte, der Demokratie und der Rechtsstaatlichkeit in Europa ist. Im Gegensatz zur EU (siehe oben) verfügt der Europarat nicht über Gesetzgebungsbefugnisse. Stattdessen hat der Rat die Aufgabe, die Einigung und Einhaltung durch Verträge zu gewährleisten, die gemeinsame Rechtsnormen für seine Mitglieder harmonisieren oder festlegen.
Der Europarat hat eine wichtige Rolle bei der Gestaltung der grundlegenden Datenschutznormen und ihrer weitreichenden Annahme gespielt, indem er 1981 das Übereinkommen 108 herausgab (siehe Kapitel 4), das das einzige multilaterale, internationale Rechtsinstrument zum Datenschutz ist, das Nichtmitgliedern des Rates zur Ratifizierung offen steht.
Neben dem Übereinkommen 108 enthält das Übereinkommen des Europarates über Cyberkriminalität (auch bekannt als das Budapester Übereinkommen), ein internationaler Vertrag, in seinem Artikel 32 auch einen Verweis auf den Datenschutz und den grenzüberschreitenden Zugang zu Daten.
Die Afrikanische Union
Die Afrikanische Union (AU) ist ein regionales Organ, das alle 55 Länder des afrikanischen Kontinents umfasst. Sie besteht aus einer Reihe von politischen und administrativen Gremien, die für die Entwicklung und Umsetzung der Beschlüsse und Verpflichtungen der Versammlung der AU zuständig sind, die zweimal im Jahr die Staatschefs ihrer Mitglieder versammelt.
Im Jahr 2014 verabschiedete die Versammlung ein Übereinkommen über Cybersicherheit und den Schutz personenbezogener Daten, dessen Ziel es ist, die Entwicklung nationaler und subregionaler Rahmenbedingungen für Cybersicherheit und Datenschutz auf dem Kontinent voranzutreiben und deren Harmonisierung sicherzustellen. Sie basiert auf den Grundsätzen der Budapester Konvention des Europarates sowie auf den zehn Mindeststandards des Datenschutzes, die in den OECD-Leitlinien und der Konvention 108 des Europarates enthalten sind.
Bislang haben nur acht Länder die Konvention unterzeichnet und keines hat sie ratifiziert. Infolgedessen muss sie noch in Kraft treten und hatte keine erkennbaren Auswirkungen auf die Datenschutzstandards auf dem Kontinent.
Wirtschaftsgemeinschaft westafrikanischer Staaten
Die Wirtschaftsgemeinschaft Westafrikanischer Staaten (ECOWAS) ist ein subregionales Organ, das sich aus 15 Mitgliedsstaaten der Region Westafrika zusammensetzt und in erster Linie zur Förderung der wirtschaftlichen Integration geschaffen wurde. Im Jahr 2010 verabschiedete sie ein für alle ihre Mitglieder verbindliches Rechtsinstrument: das Zusatzgesetz über den Datenschutz. Das Gesetz stützt sich auf die EU-Richtlinie von 1995, legt die Grundsätze und Praktiken fest, die in die Datenschutzgesetzgebung aufgenommen werden sollten, und beauftragt die Einrichtung einer unabhängigen Aufsichtsbehörde zur Überwachung der Einhaltung. Seit seiner Verabschiedung im Jahr 2010 hat das Gesetz zur Entwicklung der Datenschutzgesetzgebung in sieben ECOWAS-Mitgliedsländern geführt (ab 2018).
UNVERBINDLICHE DATENSCHUTZSTANDARDS
National
Freiwillige Verhaltenskodizes spielen auch eine Rolle beim Schutz der Daten. Diese können in Form von „Datenschutzsiegeln“, Prüfzeichen oder Zertifikaten erfolgen, die von Behörden oder anderen Stellen ausgestellt werden können, um die Verpflichtung der für die Datenverarbeitung Verantwortlichen und Verantwortlichen zur Einhaltung der Datenschutzstandards nachzuweisen. Die Rolle, die diese Instrumente bei den Datenschutzstandards spielen, hängt von der Regulierungskultur und dem Kontext des Landes ab. So spielen beispielsweise in den USA, wo die Selbstregulierung der Märkte mehr Gewicht erhält als die staatliche Regulierung, Verhaltenskodizes eine Schlüsselrolle im Datenschutz und werden von einer Verbraucherschutzbehörde, der Federal Trade Commission, durchgesetzt. In Ländern mit umfassenden Datenschutzgesetzen, die sowohl für den öffentlichen als auch für den privaten Sektor gelten, werden Verhaltenskodizes meistens vom DPA herausgegeben und überwacht.
Verhaltenskodizes spielen auch eine Rolle bei der Unterstützung bilateraler und grenzüberschreitender Datenflüsse. Nach der DSGVO (und ihrer Vorgängerin der Datenschutzrichtlinie) können Unternehmen, die Daten von EU-Bürgern verarbeiten, einen Verhaltenskodex unterzeichnen, der es ihnen ermöglicht, diese an Dritte weiterzugeben.
International
Europarat
Zusätzlich zum Übereinkommen 108 (siehe oben) haben das Ministerkomitee und die Parlamentarische Versammlung spezifische Empfehlungen zu einem breiten Spektrum von Fragen des Datenschutzes abgegeben (z.B. Empfehlungen zur Verwendung personenbezogener Daten zu Beschäftigungszwecken, für Zwecke der sozialen Sicherheit und für statistische Zwecke), die auch Einfluss auf die Politikentwicklung der Mitglieder und die Auslegung bestehender Gesetze und Richtlinien haben können.
Organisation Amerikanischer Staaten
Die Organisation Amerikanischer Staaten (OAS) ist eine multilaterale Organisation, die zur Förderung der „regionalen Solidarität und Zusammenarbeit“ zwischen ihren Mitgliedsstaaten gegründet wurde und aus 35 Staaten in Amerika besteht.
Die OAS hat bisher nur begrenzte Massnahmen im Bereich des Datenschutzes ergriffen, wobei der wichtigste Schritt ein Generalresolution der Versammlung aus dem Jahr 2014 ist, in der eine Studie über vorläufige Grundsätze und Empfehlungen zum Datenschutz gefordert wird. Der daraus resultierende Bericht wurde 2015 vom Interamerikanischen Gerichtsausschuss der OAS angenommen. Es handelt sich um eine Analyse der verschiedenen Ansätze für den Datenschutz in Europa, den USA und den Staaten Lateinamerikas und enthält eine Reihe von 15 legislativen Leitlinien. Diese beziehen sich auf die Verantwortlichkeiten des Datenverarbeiters und des für die Datenverarbeitung Verantwortlichen bei der Erhebung und Verarbeitung von Daten, von Drittverarbeitern und grenzüberschreitenden Übertragungen und empfehlen, dass die OAS-Staaten eine unabhängige Aufsichtsbehörde einrichten, um die Durchsetzung sicherzustellen.
Verband der südostasiatischen Nationen
Die Association of Southeast Asian Nations (ASEAN) ist eine regionale Organisation, die sich aus zehn Mitgliedsstaaten der südostasiatischen Region zusammensetzt und durch eine Satzung geregelt ist. Sie wurde in erster Linie zur Förderung des grenzüberschreitenden Handels eingerichtet. Im Jahr 2012 verabschiedete sie eine Menschenrechtserklärung, die einen Verweis auf personenbezogene Daten enthält (Artikel 21). Die Erklärung als Ganzes wurde jedoch von Menschenrechtsverteidigern und dem Büro des Hochkommissars für Menschenrechte dafür kritisiert, dass sie „die internationalen Standards nicht einhält“. Dennoch hat sich die ASEAN verpflichtet, die Annahme von Rechtsrahmen für den Datenschutz durch das e-ASEAN-Rahmenabkommen (2010) zu fördern, insbesondere zur Förderung des elektronischen Geschäftsverkehrs. Bislang hat die ASEAN noch keine unternehmensweite Verpflichtung oder Standards zum Datenschutz entwickelt.
Wirtschaftliche Zusammenarbeit im asiatisch-pazifischen Raum
Die Asia Pacific Economic Cooperation (APEC) ist ein regionales Forum, das 1989 gegründet wurde, um den freien Handel im gesamten asiatisch-pazifischen Raum zu fördern. Es beruft einmal jährlich die Staatschefs seiner 21 Mitgliedstaaten ein, gibt Erklärungen und Leitlinien heraus und gibt Empfehlungen an die Staaten ab zur Förderung des Handels und der grenzüberschreitenden Zusammenarbeit. Im Gegensatz zu anderen ähnlichen Gremien hat es weder einen Gründungsvertrag noch eine Verfassung, sondern arbeitet auf der Grundlage des Konsenses. Die Ergebnisse haben daher keinen rechtlichen oder verbindlichen Wert und stellen vielmehr eine allgemeine Verpflichtung dar, gemeinsam auf gemeinsame Ziele hinzuarbeiten.
Im Jahr 2003 entwickelte die Electronic Commerce Steering Group der APEC ein „Privacy Framework“, das auf den OECD-Datenschutzrichtlinien basiert, die 2004 von den Mitgliedsstaaten verabschiedet wurden. Es wurde jedoch kritisiert, weil es eine verwässerte Version der ursprünglichen OECD-Leitlinien darstellt, insbesondere durch seine Betonung der „Auswahl“ (und gleichzeitig reduzierte Verpflichtungen für die für die Datenverarbeitung Verantwortlichen) und seinen schwachen Schutz für Personen, deren Daten in Drittländer exportiert werden. Das APEC Privacy Framework erlegt dem Exporteur oder Importeur von Daten in ein anderes Land keine Verpflichtungen auf und enthält auch keine Bestimmungen zur Durchsetzung oder Rechenschaftspflicht. Dennoch enthalten die Datenschutzgesetze in einer Reihe von asiatischen Staaten strengere Bestimmungen, oft aus dem Grund, weil sie die europäischen Angemessenheitsanforderungen für grenzüberschreitende Datenübertragungen erfüllen wollen.
Die Afrikanische Union
Um eine grössere Akzeptanz und Umsetzung des AU-Übereinkommens über Cybersicherheit und den Schutz personenbezogener Daten zu erleichtern, hat die AU-Kommission zusammen mit der Nichtregierungsorganisation Internet Society ein Leitfaden zum Datenschutz, die Leitlinien zum Schutz personenbezogener Daten für Afrika, herausgegeben. Die Leitlinien enthalten Empfehlungen für eine Reihe von Interessengruppen bei der Entwicklung von Richtlinien und Vorschriften zum Datenschutz.
Ostafrikanische Gemeinschaft
Die Ostafrikanische Gemeinschaft (EAC) ist ein subregionales Organ, das sich aus sechs Mitgliedsstaaten zusammensetzt. Ziel ist es, den grenzüberschreitenden Handel zwischen diesen Ländern zu fördern, und wie bei anderen regionalen Wirtschaftsgemeinschaften hat sie einen gemeinsamen Markt für den Handel mit Waren, Arbeit und Kapital geschaffen. Im Rahmen dieses Mandats verabschiedet sie Rahmen und Vereinbarungen zur Förderung der Harmonisierung der Rechts- und Verwaltungsvorschriften sowie zur Förderung von Wachstum und Handel. Im Jahr 2010 verabschiedete es ein Rahmenwerk für Cyber-Gesetze, das Bestimmungen über Datenschutz und Privatsphäre enthält. Bislang haben vier der sechs Mitgliedstaaten einen Gesetzentwurf zum Datenschutz entwickelt
Der Sicherheitsrat der Vereinten Nationen
Der UN-Sicherheitsrat ist für die Aufrechterhaltung des internationalen Friedens und der Sicherheit zwischen den UN-Mitgliedstaaten zuständig und setzt sich aus Vertretern von fünfzehn Staaten zusammen. Die von ihm verabschiedeten Resolutionen sind für alle UN-Mitgliedsstaaten verbindlich. Obwohl der Sicherheitsrat keine Resolutionen zum Datenschutz herausgegeben hat, hat er in Resolutionen zur Terrorismusbekämpfung und zur Bekämpfung der Geldwäsche auf den Datenschutz verwiesen.
Generalversammlung der Vereinten Nationen
Die UN-Generalversammlung hat sich frühzeitig an der Entwicklung von Datenschutzstandards beteiligt. 1976 veröffentlichte sie einen Bericht, in dem sie die Entwicklung internationaler Normen für die Rechte des Einzelnen gegen Bedrohungen durch die Nutzung computergestützter Datensysteme forderte und die Mitgliedstaaten aufforderte, geeignete Rechtsvorschriften zum Schutz personenbezogener Daten zu erlassen.
Dies führte dazu, dass die UN-Generalversammlung 1990 die UN-Leitlinien für die Regulierung computergestützter personenbezogener Daten verabschiedet hat, ein Dokument, das die grundlegenden Datenschutzgrundsätze der OECD-Datenschutzrichtlinien und des Übereinkommens 108 enthält (siehe Kapitel 4). Neben der Bekräftigung der allgemeinen Zustimmung zu diesen grundlegenden Datenschutzgrundsätzen hat die UN-Generalversammlung jedoch wohl weniger Einfluss auf die Übernahme von Datenschutzgesetzen gehabt als die OECD-Datenschutzrichtlinien und die Europarat-Konvention 108.
UN-Menschenrechtsausschuss
Der Menschenrechtsausschuss kann allgemeine Stellungnahmen abgeben, in denen die Bedeutung bestimmter in Verträgen enthaltener Menschenrechte erläutert wird. Diese haben keine Bindungskraft, können aber nützliche Leitlinien für Staaten bei der Umsetzung der in den Verträgen enthaltenen Rechte darstellen. Der Allgemeine Kommentar von 1988 zu Artikel 17 des Internationalen Pakets über bürgerliche und politische Rechte stellt beispielsweise fest: „Die Erfassung und Aufbewahrung personenbezogener Daten auf Computern, Datenbanken und anderen Geräten, sei es durch Behörden oder Privatpersonen oder Einrichtungen, muss gesetzlich geregelt sein (….) Es müssen wirksame Massnahmen durch die Staaten ergriffen werden, um sicherzustellen, dass Informationen über das Privatleben einer Person nicht in die Hände von Personen gelangen, die nicht gesetzlich befugt sind, sie zu empfangen, zu verarbeiten und zu nutzen (….)“.
UN-Menschenrechtsrat
Der UN-Menschenrechtsrat (UNHRC) hat die Resolutionen (2013, 2014 und 2016) zum Recht auf Privatsphäre im digitalen Zeitalter verabschiedet, die ausdrücklich auf den Datenschutz verweisen. In der Resolution 2016 werden die Staaten beispielsweise aufgefordert, „angemessene Rechtsvorschriften mit wirksamen Sanktionen und Rechtsbehelfen zu entwickeln oder aufrechtzuerhalten und umzusetzen, die Einzelpersonen vor Verletzungen und Missbrauch des Rechts auf Privatsphäre schützen, und zwar durch die rechtswidrige und willkürliche Erhebung, Verarbeitung, Speicherung oder Nutzung personenbezogener Daten“.
Die Welthandelsorganisation WTO
Die Sicherstellung des grenzüberschreitenden Datenflusses zur Förderung von Handel und Gewerbe war eine der wichtigsten Voraussetzungen für die Entwicklung von Datenschutzgesetzen und internationalen Abkommen, wie in Kapitel 2 erläutert. Das wichtigste globale Handelsabkommen ist das Allgemeine Zoll- und Handelsabkommen (GATT), das von der Welthandelsorganisation (WTO) überwacht wird. Das GATT ist ein rechtsverbindliches Abkommen zwischen den Mitgliedstaaten WTO, wodurch sie rechtlich an Massnahmen zum Schutz der Handelsliberalisierung gebunden sind (wie die Abschaffung oder Senkung von Zöllen oder Steuern auf die Ein- und Ausfuhr von Waren und Dienstleistungen). Eine Bestimmung des GATT, die als potenzielle Herausforderung für bestimmte Datenschutzgrundsätze (wie das „Angemessenheitsprinzip“ der EU) angesehen werden könnte und dazu dienen könnte, den Datenschutz und die Standards zu schwächen, ist eine Bestimmung, die sich auf die „verschleierte Beschränkung des Handels mit Dienstleistungen“ bezieht.
Die Gruppe der 20
Die Gruppe der 20 (G20) ist eine Gruppe von 19 der grössten Volkswirtschaften der Welt und der EU, die einmal im Jahr zum G20-Gipfel zusammentritt, bei dem jedes Mitglied durch einen hochrangigen Vertreter wie das Staatsoberhaupt vertreten ist. Das Gastland oder der „Vorsitz“ der G20 wechselt jedes Jahr und beschliesst die jährliche Tagesordnung des Treffens zu einem breiten Spektrum von Fragen der Weltwirtschaft. Das Treffen mündet in die Annahme einer Erklärung der Staats- und Regierungschefs, in der die vereinbarten Standpunkte zu den auf der Tagesordnung stehenden Themen dargelegt werden. Diese Erklärung kann zwar nicht verbindlich sein, aber auch Verpflichtungen der Mitgliedstaaten beinhalten und kann daher aufgrund der politischen und wirtschaftlichen Macht ihrer Mitglieder als einflussreiche normsetzende Aussage dienen.
In der Leaders‘ Declaration 2016 signalisierten die G20-Mitglieder erstmals ihr Engagement für den Datenschutz. Darin verpflichten sie sich, „die geltenden Rechtsrahmen für die Privatsphäre und den Datenschutz einzuhalten“ und „dazu beizutragen, ein sicheres IKT-Umfeld zu gewährleisten, in dem alle Sektoren in den Genuss seiner Vorteile kommen“, und bekräftigen, „dass es wichtig ist, Fragen der Sicherheit bei der Nutzung von IKT gemeinsam anzugehen“.
Die Internationale Konferenz der Datenschutzbeauftragten (International Conference of Data Protection and Privacy Commissioners)
Die International Conference of Data Protection and Privacy Commissioners (ICDPPC) ist eine Mitgliedsorganisation von Datenschutzbehörden aus der ganzen Welt. Auf der jährlichen Konferenz diskutieren die Mitglieder über Fragen des Datenschutzes. Zu den Ergebnissen der Jahreskonferenz gehören Entschliessungen und Erklärungen, die sich oft auf internationale Normen beziehen.
Im Jahr 2005 verabschiedeten die Mitglieder die Erklärung von Montreux, in der die Vereinten Nationen aufgefordert wurden, ein rechtsverbindliches Instrument auszuarbeiten, das Datenschutz und Privatsphäre als durchsetzbare Menschenrechte klar festlegt. Und 2009 verabschiedete die Konferenz einen „Gemeinsamen Vorschlag für einen Entwurf internationaler Normen zum Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten“, der grundlegende Datenschutzgrundsätze festlegte und als Beitrag zu den Beratungen der UN-Generalversammlung über ein Datenschutzvertrag dienen sollte.
Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung
Die Organisation für wirtschaftliche Entwicklung (OECD) hat durch ihre Leitlinien zum Schutz der Privatsphäre und zum grenzüberschreitenden Datenverkehr (siehe Kapitel 4), die weltweit als Vorlage für die Ausarbeitung von Rechtsvorschriften und nicht gesetzlichen Normen zum Datenschutz verwendet werden, einen wichtigen globalen Einfluss auf die Festlegung von Mindestdatenschutzstandards gehabt.
Die OECD hat 2013 eine leicht überarbeitete Fassung der Leitlinien herausgegeben, die – unter Beibehaltung der zehn Mindestprinzipien – die Rechenschaftspflicht der für die Datenverarbeitung Verantwortlichen stärker in den Vordergrund stellt und empfiehlt, dass Organisationen Programme zum Schutz der Privatsphäre auf organisatorischer Ebene umsetzen, dass Regierungen nationale Datenschutzstrategien entwickeln und dass alle für die Datenverarbeitung Verantwortlichen sicherstellen, dass die betroffenen Personen über Sicherheitsverletzungen informiert werden, die ihre personenbezogenen Daten betreffen. Die OECD-Leitlinien zum Verbraucherschutz im E-Commerce (1999) enthalten auch Bestimmungen zum Datenschutz.
Technische Gremien
Internationale Gremien wie die International Standards Organisation (ISO) spielen eine wichtige Rolle bei der Entwicklung von Normen für Daten und privatrechtliche Fragen, einschliesslich Biometrie, Identitätsmanagement und Cloud Computing. Unternehmen und Behörden können Normen annehmen, um die Einhaltung der nationalen Rechtsvorschriften nachzuweisen und sicherzustellen, dass ihre Produkte interoperabel sind und daher von Verbrauchern in verschiedenen Ländern verkauft und verwendet werden können.
In vielen Ländern gibt es auch nationale Agenturen, die Normen festlegen oder von internationalen Gremien entwickelte Normen übernehmen. In den USA ist das National Institute of Standards and Technology (NIST) beispielsweise für die Entwicklung von Standards zuständig, die die Bundesbehörden bei der Erfüllung ihrer Verpflichtungen aus den verschiedenen datenschutzrechtlichen Gesetzen und Vorschriften in den USA unterstützen.
Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf
02.12.2019