Die Artikel 29-Datenschutzgruppe

Auf ihrer 62. Sitzung erörterte die Artikel 29-Datenschutzgruppe erneut eine Vielzahl von Themen. Nach einer Aussprache zum SWIFT-Fall folgten Diskussionen zu Durchsetzungsmaßnahmen im Krankenversicherungssektor sowie zu datenschutzrechtlichen Themen bei Suchmaschinen. Auch stand der Schutz von Passagierrechten auf der Tagesordnung. Zudem verabschiedete die Arbeitsgruppe zwei Stellungnahmen zum Datenschutzniveau auf Jersey und den Färöer Inseln.

 

SWIFT (Society for Worldwide Interbank Financial Telecommunication)
Bei einer vorläufigen Untersuchung der Artikel 29-Datenschutzgruppe sollte herausgefunden werden, inwieweit die Banken ihrer Verpflichtung nachkommen, ihre Kunden im jeweiligen EU-Land zu informieren. Diese Ergebnisse belegen klar, dass Verbesserungen erzielt wurden. Die nationalen Datenschutzbehörden werden auch weiterhin überprüfen, ob die Banken datenschutzrechtliche Grundsätze achten, besonders in den Bereichen, in denen Mängel festgestellt wurden.

Die Arbeitsgruppe erhielt gleichfalls Informationen über die kürzlich von SWIFT ergriffenen Maßnahmen, und zwar im Hinblick auf ihre Entscheidung, ihr Netwerk umzustrukturieren. Die neue Struktur sieht vor, dass bis Ende 2009 ein neues Verarbeitungszentrum in der Schweiz eingerichtet werden soll. Das hat zur Folge, dass dann bei intereuropäischen Überweisungen personenbezogene Daten nicht mehr im Verarbeitungszentrum in den USA verarbeitet werden. Überweisungen zwischen der EU und den USA werden aber weiterhin in den USA verarbeitet. Im Hinblick auf andere internationale Überweisungen, die sowohl Banken aus EU- und Nicht-EU-Ländern betreffen, muss noch über den Speicherort entschieden werden.

Unbeschadet der Bewertung der anderen von SWIFT ergriffenen Maßnahmen begrüßt die Arbeitsgruppe die von SWIFT gemachten Fortschritte, insbesondere in Bezug auf die technischen Aspekte bei der Befolgung datenschutzrechtlicher Grundsätze. SWIFT steht jetzt unter der besonderen Beobachtung der belgischen Datenschutzbehörde.

 

Das PNR-Abkommen zwischen der EU und den USA
Nach der Verabschiedung des Arbeitspapiers 138 vom 17. August 2007 zu dem kürzlich unterzeichneten Übereinkommen mit den USA sandte die Arbeitsgruppe einen Brief an die Kommission, in dem sie um Erläuterung mehrerer offener Fragen bat. Eine der in der Stellungnahme festgestellten Bedenken betrifft die Art und Weise, wie die Luftfahrtunternehmen personenbezogene Daten an US-Behörden übermitteln. Obwohl die EU-Luftfahrtunternehmen bereit sind, ein Push-System bis Ende des Jahres umzusetzen – diese Forderung hatte die Arbeitsgruppe bereits im Jahre 2004 gestellt – erscheint das jetzt als unrealistisch. Deswegen ruft die Arbeitsgruppe beide Vertragsparteien dazu auf, die Hindernisse für eine datenschutzfreundliche Lösung bei der Datenübermittlung festzustellen, und sich nachhaltig für eine schnellere Umsetzung der Vorschriften des Übereinkommens zu engagieren, um die im Übereinkommen festgelegten Passagierrechte zu gewährleisten.

 

In diesem Zusammenhang äußerte sich die Arbeitsgruppe erneut zu den Verpflichtungen der Luftfahrtunternehmen, ihre Kunden über die Weiterleitung der Passagierdaten an das US-Heimatschutzministerium zu informieren. In dem im Februar 2007 verabschiedeten Arbeitspapier 132 wurde dargelegt, dass die Unterrichtungen rechtzeitig erfolgen und angemessen sein müssen. Es sind noch weitere Anstrengungen erforderlich, um das Bewusstsein der Passagiere zu erhöhen und die Einhaltung der gegenwärtigen EU-Datenschutzregelungen sicherzustellen.

 

EU-PNR-System
Die Kommission informierte die Arbeitsgruppe über ihre Pläne, in Kürze ein europäisches PNR-System einzuführen. Ein entsprechender Vorschlag ist in Vorbereitung. Die Arbeitsgruppe betonte, dass sie bereits am 31. Januar 2007 ein Papier zu diesem Thema auf ihrer Website veröffentlicht hat. Darin äußert sie ihre Bedenken und Forderungen. Jede zukünftige EU-PNR-Regelung, die jährlich Millionen von Reisenden betreffen wird, muss die schutzwürdigen Interessen aller Beteiligten berücksichtigen, also die der Passagiere und der Fluglinien, und es muss der richtige Ausgleich zwischen dem Recht der Passagiere auf Datenschutz einerseits und den Sicherheitsbedürfnissen der Strafverfolgungsbehörden andererseits gefunden werden. In der Diskussion über ein zukünftiges EU-PNR-Regime müssen alle Interessengruppen angemessen informiert und angehört werden. Die Arbeitsgruppe wird weiterhin Beiträge zu der Debatte leisten, in dem sie ihre Sachkenntnisse und Erfahrungen auf diesem Gebiet einbringt.

 

Ein angemessenes Datenschutzniveau auf Jersey und den Färöer Inseln
Die Arbeitsgruppe verabschiedete zwei Stellungnahmen über ein angemessenes Datenschutzniveau auf Jersey und den Färöer Inseln. Dies wird es der Kommission ermöglichen, weitere Schritte für eine Kommissionsentscheidung über die Angemessenheit zu unternehmen. In der Vergangenheit hat die Kommission Entscheidungen über die Angemessenheit des Datenschutzniveaus in Ländern wie der Schweiz oder Argentinien verabschiedet, nachdem sie die Stellungnahme der Artikel 29- Datenschutzgruppe erhalten hatte. Die Kommissionsentscheidung erleichtert die Übermittlung personenbezogener Daten an solche Länder im Vergleich zu Drittländern, zu denen noch keine derartige Entscheidung verabschiedet wurde.

 

Durchsetzung
Nach den im Krankenversicherungssektor erfolgten Untersuchungen und der Veröffentlichung eines entsprechenden Berichts (Arbeitspapier 137) am 20. Juni 2007, hat die Arbeitsgruppe entschieden, für diesen Sektor Richtlinien aufzustellen, die sich mit den im Bericht dargelegten datenschutzrechtlichen Bedenken befassen. Mit Hilfe dieser Richtlinien soll sowohl das Bewusstsein der Kunden als auch der Versicherungsgesellschaften gestärkt werden. Es ist der Arbeitsgruppe äußert wichtig, mit der Industrie einen ständigen Dialog zu führen, insbesondere weil sensible Daten verarbeitet werden, und weil davon fast alle europäischen Bürger betroffen sind.

 

nach oben