Datenschutzrat beschließt Bedingungen für ein EU-USA Datenschutzabkommen

Bildungsdokumentation: Sozialversicherungsnummer soll ersetzt werden

Wien (OTS) - "Der Datenschutzrat hat sich erstmalig an einem Konsultationsverfahren der Europäischen Kommission beteiligt und eine einstimmige Stellungnahme zum geplanten Datenschutzabkommen zwischen der EU und den USA beschlossen", so der Vorsitzende des österreichischen Datenschutzrates, Nationalratsabgeordneter Mag. Johann Maier, zur Tagung des Datenschutzrates am 22. Februar.

Die Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten stelle ein massives datenschutzrechtliches und datenschutzpolitisches Problem dar. Das US-Datenschutzrecht, der "Privacy Act", gilt nämlich nur für so genannte "US persons". Das sind US-Bürgerinnen und Bürger sowie rechtmäßig permanent in den USA aufhältige Personen. Folglich gilt der "Privacy Act" nicht für europäische Bürgerinnen und Bürger.

Um in Zukunft für Datentransfers in die USA einen klaren Datenschutzstandard festzulegen, hat der Europäische Rat im Stockholm-Programm vom Dezember 2009 die EU-Kommission beauftragt, ein Datenschutzabkommen mit den USA zu verhandeln. Nun sind die Mitgliedsstaaten aufgefordert, ihre Stellungnahmen dazu abzugeben. Die USA lehnen es jedoch bislang ab, den Anwendungsbereich des "Privacy Act" auszudehnen und damit auch "non US persons" einen Gerichtszugang zu ermöglichen.

In seinem einstimmigen Beschluss stellt der Datenschutzrat u. a. folgende Bedingungen:

Der Anwendungsbereich des Abkommens sollte Datenübermittlungen für Sicherheitszwecke (einschließlich Asyl- und Einwanderungsfragen) und Strafverfolgungszwecke umfassen.

Das Abkommen hat Datenschutzregeln zu beinhalten und soll ein eindeutiges Datenschutzabkommen sein. Es muss eine Verpflichtung zur Gewährleistung subjektiver Rechte auf Geheimhaltung, Löschung, Richtigstellung und Auskunft sowie die Überwachung durch eine unabhängige Datenschutz-Kontrollstelle vorgesehen werden. Weiters muss im Abkommen klargestellt werden, welche US-Datenschutzbehörde diese Kontrollaufgaben konkret übernimmt. In diesem Zusammenhang sollten auch etwaige Sanktions- und Schadenersatzbestimmungen angedacht werden, so der Vorsitzende des Datenschutzrates.

Eine Einbeziehung privater Unternehmen (z.B. SWIFT) in dieses Abkommen ist jedenfalls nur dann denkbar, wenn diese Übermittlungen nicht bloß auf der Grundlage dieses "allgemeinen" Übereinkommens, sondern stets auf Grund ergänzender bereichsspezifischer Übereinkommen, in welchen die erforderlichen Sonderregelungen (insbesondere unter dem Blickpunkt der Verhältnismäßigkeit und der Datensicherheit) festgelegt werden, erfolgen.

Die Aufnahme einer "Reziprozitätklausel" als Vorraussetzung für Datentransfers wird als Ausdruck einer gleichberechtigten Partnerschaft für absolut notwendig erachtet.

Ein diskriminierungsfreier Zugang zu einem unabhängigen Tribunal im Sinne der Europäischen Menschenrechtskonvention bzw. zu einem Gericht mit dem Ziel einer verbindlichen Überprüfung der Behauptung einer Verletzung in subjektiven Datenschutzrechten (Geheimhaltung, Löschung, Richtigstellung, Auskunft) scheint unabdingbar, so der Datenschutzrat.

Die Anforderungen des Abkommens sollen auch für den Datenaustausch auf Grundlage bereits geltender Abkommen für bestimmte Bereiche (insbesondere Fluggastdaten) gelten, was allerdings gewisse Adaptierungen bestehender Übereinkommen bedeuten wird.

Das Abkommen soll auch für den Datenaustausch auf Grundlage bilateraler Abkommen von EU-Mitgliedsstaaten mit den USA gelten, jedenfalls als ein Mindeststandard. Sinnvoll wäre auch die Einfügung einer Suspendierungsklausel.

Weiters nahm der Datenschutzrat zur Sozialversicherungsnummer in der Bidlungsdokumentation Stellung. Der Datenschutzrat verwies erneut darauf, dass in Österreich E-Government-Lösungen entwickelt wurden, um die Sozialversicherungsnummer nicht als universelles "Personenkennzeichen" für Bereiche zu verwenden, welche keinen Bezug zu den Sozialversicherungsagenden aufweisen.

Aus Sicht des Datenschutzrates ist die Verwendung der Sozialversicherungsnummer für Bereiche, die nicht in der Ingerenz der Sozialversicherung liegen, aus datenschutzrechtlicher Sicht abzulehnen und den E-Government-Lösungen des Bundes der Vorzug zu geben.

Aus diesem Grund ersucht der Datenschutzrat das Bildungsministerium, ein Konzept für eine mittelfristige Umsetzung der Verwendung bereichsspezifischer Personenkennzeichen in der Bildungsdokumentation unter Einhaltung höchstmöglicher Datensicherheitsvorschriften vorzubreiten und dieses dem Datenschutzrat zukommen zu lassen, so der Datenschutzrat-Vorsitzende Mag. Johann Maier abschließend.

Digitale Pressemappe: http://www.ots.at/pressemappe/56

Rückfragen & Kontakt:

Mag. Johann Maier, Abgeordneter zum Nationalrat
Vorsitzender des Datenschutzrates
Tel.: 0676/62 030 70

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | NBU0002