Eine Europäische Norm für den Datenschutz?
Sollte es eine europäische Norm für den Datenschutz geben, die den Unternehmen die Einhaltung der gesetzlichen Anforderungen erleichtert, oder sollte man es den Unternehmen überlassen, eigene Normen aufzustellen? Diese Frage wurde auf einer öffentlichen Versammlung zum Datenschutz diskutiert, die auf Wunsch der Generaldirektion Unternehmen der Europäischen Kommission vom Europäischen Komitee für Normung (CEN) veranstaltet wurde. In Europa muß die Verarbeitung persönlicher Daten der Europäischen Richtlinie über persönliche Daten entsprechend erfolgen, in der die Einhaltung der gesetzlichen Vorschriften durch Selbstregulierung gefordert wird. Die Richtlinie gibt nur einen allgemeinen Rahmen, und die Wirksamkeit des Schutzes, den sie gewährt, hängt vor allem von den angewandten Umsetzungsverfahren ab. Die Europäische Richtlinie wurde 1995 aufgestellt. Inzwischen hat die schnelle Entwicklung des Internets und des elektronischen Handels neue Herausforderungen mit sich gebracht, da immer größere Mengen persönlicher Daten verarbeitet werden. Arbeitgeber und andere Organisationen, die im Besitz persönlicher Informationen sind, stehen nun vor der doppelten Herausforderung, dafür zu sorgen, daß ihre Daten- und Kontrollaufzeichnungen den gesetzlichen Bestimmungen entsprechen, und daß die Kunden darauf vertrauen können, daß die von ihnen weitergegebenen Informationen nicht in irgendeiner Weise verwendet werden, die sie nicht billigen würden. Vor diesem Hintergrund wurde das Seminar über den Schutz der Privatsphäre "Standardisation: a business tool for data privacy" (Normierung: ein Geschäftstool für den Datenschutz) veranstaltet, um einen Dialog zwischen den verschiedenen am Datenschutz interessierten Organen einzuleiten. Ziel des Dialogs war die Aufstellung einer Art europäischer Norm zur Gewährleistung der Einhaltung der gesetzlichen Vorschriften. "Dies ist das Ergebnis einer sehr sorgfältigen und gründlichen Untersuchung, ob die Normierung eine Rolle spielen soll, und zur Unterstützung der Richtlinie zum Datenschutz", so George Hongler, Generalsekretär des CEN. "Einen Konsens zu erreichen, ist unsere raison d'être. Manche Leute sehen die Normierung als Regulierung durch die Hintertür an; meiner Meinung nach ist das aber ganz und gar nicht der Fall. Die Normierung ist nicht zwingend vorgeschrieben, sondern eine freiwillige Maßnahme. Wir beim CEN haben erkannt, daß der Markt Vereinbarungen braucht, die auf einem Konsens beruhen." Über 120 Teilnehmer wurden gebeten, die Anforderungen des Marktes hinsichtlich des Datenschutzes und das Vertrauen der Marktbeteiligten in den Einsatz eines Selbstregulierungsmechanismus wie der Normierung bei der Aufnahme geschäftlicher Tätigkeiten im Bereich der Privatsphäre festzustellen. Die Dringlichkeit wurde besonders betont. "Wenn wir das nicht beizeiten tun, können wir es auch ganz lassen", sagte Seminarleiter Nick Mansfield, zugleich Vorsitzender der International Commerce Exchange (ICX). "Was wir auch tun, es muß bis Ende dieses Jahres fertig sein." John Mogg, Generaldirektor der Generaldirektion Binnenmarkt der Europäischen Kommission, stimmte mit ihm überein, daß eine zeitige Lösung erforderlich sei. "Die Zeit zum Reden ist vorbei. Nun ist es an der Zeit, etwas vorzulegen, das Industrie und Kunden überzeugt." Herr Mogg, der am Zustandekommen des "Safe Harbor"-Kooperationsabkommens über die Datenübertragung zwischen der EU und den USA wesentlich beteiligt war, sagte, ein Normierungsabkommen vermittle zwischen dem traditionellen europäischen gesetzgeberischen Ansatz und dem in den USA bevorzugten Selbstregulierungssystem. "In Europa hat man uns als eine Organisation dargestellt, die nur auf Regulierung setzt. Dies ist aber nicht der Fall. Die Normierung stellt jedoch einen integrierten Ansatz zwischen Regulierung und Selbstregulierung dar." Zum Schutz persönlicher Daten bedürfe es nicht nur der Gesetze, sondern auch klarer und praktischer Leitlinien, wie man die gesetzlichen Vorschriften einhält, sagte Martin Grosskopf von der Canadian Standards Agency, CSA International, der die Erfahrungen Kanadas bei der Einrichtung eines normierten Datenschutzmechanismus vorstellte. In Kanada dauerte es vier Jahre, bis ein Konsens zwischen allen vom Datenschutz betroffenen Parteien einschließlich der Kunden, der Wirtschaft, der Regulierungsbehörden und der Politiker erreicht werden konnte. Der Konsens sei notwendig, so Herr Grosskopf, damit eine freiwillige Norm auf die erforderliche breite Akzeptanz trifft. Er räumte allerdings ein, daß vier Jahre angesichts der Schnellebigkeit des elektronischen Handels ein zu langer Zeitraum seien. "Im Internet-Zeitalter kann man sich nicht vier Jahre Zeit lassen", sagte er. "Aber wir haben Mechanismen eingerichtet, mit deren Hilfe wir ein System mit einem Minimalkonsens in sechs bis acht Monaten entwickeln können. Dies würde ständig überarbeitet, bis ein breiterer Konsens erreicht wird." Bei der Vorstellung der Schlußfolgerungen der Diskussionen sagte Evangelos Vardakas, Direktor der Generaldirektion Binnenmarkt der Europäischen Kommission, die europäische Norm ließe den Mitgliedstaaten genug Spielraum, um ihre eigenen Anforderungen einhalten zu können. "Es gibt eine Menge Spielraum für nationale Regelungen und ich hoffe, daß dies keine Möglichkeit zum Widerspruch offen läßt." Die Einhaltung der Datenschutzmaßnahmen in einem Mitgliedstaat wird in der gesamten Union anerkannt. "Im Idealfall werden die Geschäfte europaweit betrieben. Das ist das letztendliche Ziel der Richtlinie", sagte Christine Sotting-Micas von der GD Binnenmarkt. Einige Delegierte fragten nach den Kosten für die Einführung einer europäischen Norm. Der Seminarleiter Nick Mansfield sagte, der Einführungsprozeß werde zwangsläufig Geld kosten. "Die Kosten der Untätigkeit können wir uns nicht leisten", sagte er. "Wenn das Gesetz etwas vorschreibt, muß man es tun, und dafür braucht man Ressourcen." "Ja, Sie werden tiefer in die Tasche greifen müssen, ja, Sie werden Ihre Manager dazu bringen müssen, etwas zu unternehmen, und ja, es wird mehr kosten, als Sie heute aufwenden." Einige Unternehmen zögen es vielleicht vor, eigene Systeme für die Einhaltung der Vorschriften zu entwickeln, räumte Herr Mansfield ein, aber für kleine und mittlere Unternehmen sei ein solcher Aufwand unrentabel. Eine bezahlbare Alternative für diese wäre es, zu einer anerkannten Normierungsstelle wie dem CEN zu gehen, um Unterstützung für die Umsetzung eines normierten europäischen Datenschutzmodells zu ersuchen. Die Qualitätssicherung, die ein solcher normierter Datenschutz mit sich bringt, könnte auch neue Geschäftschancen eröffnen, hieß es auf der Konferenz. Die Idee, eine europäische Marke nach Art des im Vereinigten Königreich erfolgreichen "Kitemark"-Qualitätszeichens einzuführen, wurde diskutiert; es sei jedoch eine Informationskampagne nötig, um öffentliche Anerkennung zu erreichen. Herr Mansfield sagte, ein Qualitätszeichen würde zur Entstehung eines eigenen Geschäftszweiges führen. "Markenzeichen schaffen Vertrauen in der Öffentlichkeit und können mit Produkten verbunden werden. Wer Produkte mit Markenzeichen herstellt, verkauft sie auch - es gibt hier einen wohlbekannten Markt." Bei der Zusammenfassung der Schlußfolgerungen des zweitägigen Treffens sagte Herr Mansfield, obwohl die Debatte konstruktiv verlaufen sei, stehe immer noch viel Arbeit bevor, bis auf einem derart komplexen Gebiet ein Konsens erreicht werden könne. "Alle, die in Erwartung einer klar umrissenen Lösung hierher gekommen sind, mögen jetzt vielleicht enttäuscht sein, aber ich denke, wenn Sie mit dieser Erwartung gekommen sind, waren Sie sich auch nicht vollkommen im klaren darüber, mit was für einer komplexen Materie wir es hier zu tun haben." Ein Protokoll der Veranstaltung wird binnen sechs Wochen auf der CEN-Website zur öffentlichen Einsichtnahme veröffentlicht. CEN/ISSS (Standardisierungssystem für die Informationsgesellschaft), eine vom CEN ins Leben gerufene Organisation, die Lösungen zum Thema der Normierung bereitstellen soll, wird dann entscheiden, ob man Fachleute versammeln soll, um eine Europäische Datenschutznorm zu erarbeiten.