Aufsatz : PRISM und staatliche Schutzpflichten – ein politisches Märchen? : aus der RDV 2/2014, Seite 84 bis 88
Die Datenströme machen an den nationalstaatlichen Grenzen nicht halt. Besonders deutlich wurde die globale Vernetzung des Datenverkehrs an dem zur Jahresmitte 2013 vom amerikanischen Whistleblower Edward Snowden bekannt gemachten NSA-Skandal, in dessen Rahmen auch die personenbezogenen Daten deutscher Bürger zu Zwecken der öffentlichen Sicherheit von amerikanischen Regierungsbehörden ausgewertet wurden. Folglich bedeutet für die Zukunft die Interessenabwägung zwischen informationeller Freiheit und staatlicher Sicherheit nicht nur, sich auf die Kontrollrechte und Abwehrmöglichkeiten gegenüber nationalen, deutschen Behörden zu beschränken. Darüber hinaus stellt sich die Frage, ob die informationellen Grundrechte in Deutschland über ihre Abwehrfunktion hinaus Geltung beanspruchen können, indem der einzelne Betroffene auch eine Schutzfunktion des deutschen Staates in Bezug auf seine Privatsphäre gegenüber fremden Staaten einfordern kann, die in seine informationelle Freiheit zu Zwecken der Aufrechterhaltung der öffentlichen Sicherheit eingreifen.
I. Einleitung
Wie die Datenströme nicht vor Nationalgrenzen halt machen – im Gegenteil, sogar ein Großteil des globalen Datenverkehrs wird über die USA abgewickelt – so haben auch die Bedrohungen für die öffentliche Sicherheit einen zunehmend globalen Charakter. Man kann insoweit auch von einer Globalisierung des Sicherheitsbegriffes sprechen, infolgedessen jeder Staat zu einem möglichen Betroffenen werden kann. Indem die Aufrechterhaltung der öffentlichen Sicherheit somit gezwungenermaßen auch eine staatenübergreifende Aufgabe wird, stellt sich die Frage, ob infolge des daraus resultierenden globalen Datenaustausches auch der Grundrechtsschutz zu einer staatenübergreifenden Aufgabe wird. Für den einzelnen Nationalstaat, hier Deutschland, könnte eine solche grenzüberschreitende Aufgabe nur begründet werden, wenn ihn eine verfassungsrechtliche Schutzpflicht hinsichtlich der informationellen Selbstbestimmung träfe.
II. Nationalstaatliche Schutzpflichten vor internationalen Datenschutzbedrohungen?
Bei der rechtlichen Begründung von Schutzpflichten gilt es aber zu bedenken, dass die Grundrechte primär als Abwehrrechte gegenüber dem Staat ausgestaltet sind[1]. Die Freiheitsrechte trifft die Aufgabe sicherzustellen, dass der Einzelne in seiner Grundrechtsausübung nicht in ungebührlichem, sprich unverhältnismäßigem Umfang eingeschränkt wird. Nur in Einzelfällen kann darüber hinaus eine weitere Grundrechtsfunktion in Form einer staatlichen Schutzpflicht hergeleitet werden[2]. Die informationelle Selbstbestimmung stellt ihrem Wesen nach ein solches Freiheitsrecht dar. Berücksichtigt man bereits seine Entstehung aus dem sogenannten „Volkszählungsurteil“ des Bundesverfassungsgerichts im Jahre 1983 heraus, so wird dies in besonderer Weise deutlich, da es in dem Fall um die zwangsweise Erhebung personenbezogener Daten zur Durchführung einer Volkszählung ging[3]. In gleichem Maße ist der Bürger auch heute betroffen, wenn der Staat durch seine eigenen Behörden zu Zwecken der Aufrechterhaltung der öffentlichen Sicherheit personenbezogene Daten erhebt und automatisiert verarbeitet. Wenn jedoch, wie beim NSA-Skandal geschehen, ausländische Behörden fremder Staaten deutsche Bürger ausspionieren, so stellt sich die Frage, ob in einem solchen Fall über die bloße Abwehrfunktion hinaus, welche hier im Regelfall mangels Tätigwerden nationaler Organe keine grundrechtlichen Gewährleistungen bietet, eine Schutzpflicht des deutschen Staates für das Grundrecht der informationellen Selbstbestimmung begründet werden kann. Ausgangspunkt für die Annahme einer derartigen Schutzpflicht ist die Erkenntnis, dass das einzelne Grundrecht nicht lediglich ein subjektives Abwehrrecht ist, sondern darüber hinaus auch einen objektivrechtlichen Charakter aufweist, welcher dafür sorgt, dass sowohl die Gesetzgebung wie auch die Verwaltung und Rechtsprechung Richtlinien und Impulse von den Grundrechten erhalten. Diese Wertentscheidung beruht auf der sich frei entfaltenden menschlichen Persönlichkeit und der ihr damit zukommenden Würde[4].
Zumindest für den Bereich privater Übergriffe ist das Bestehen gesetzgeberischer Schutzpflichten zur Sicherung des Rechts auf informationelle Selbstbestimmung anerkannt, soweit eine Schutzpflichtlage besteht[5]. Die Annahme einer solchen steht in Abhängigkeit zur Verfassungsinterpretation, insbesondere auch, ob gesetzgeberische Schutzpflichten über Private hinaus auch gegenüber ausländischen Staaten gelten können. Berücksichtigt werden muss dabei, dass der Kern der informationellen Selbstbestimmung darin liegt, eigenständig darüber zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Eine solche freie Entscheidung erfordert auch, dass mit hinreichender Sicherheit überschaubar ist, welche die eigene Person betreffende Informationen in bestimmten Bereichen ihrer sozialen Umwelt bekannt sind. Wer dabei das Wissen anderer Stellen nicht abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt sein, aus eigener Selbstbestimmung heraus zu planen oder eigene Entscheidungen zu treffen[6]. Bereits für die Datenerhebungs- und Datenverarbeitungsmaßnahmen nationaler Behörden im Sicherheitsbereich ist diese hinreichende Transparenz zur Ausübung der informationellen Selbstbestimmung nicht unproblematisch. Wenn sich darüber hinaus ausländische Behörden Zugriff auf personenbezogene Daten Einzelner verschaffen, sind im Regelfall deren Legitimation und die einzelnen Verarbeitungsvorgänge unbekannt und nicht mit den Mitteln des deutschen Rechtsstaats überprüfbar. Auch ist nicht ersichtlich, an welche Stellen oder Länder einmal erhobene Daten weiter übermittelt werden. Im Rahmen der globalen Informationsgesellschaft verflüchtigen sich aufgrund der unbegrenzten Weitergabe- und Replizierungsmöglichkeiten die Grenzen zwischen dem öffentlichen und dem privaten Sektor[7]. Für Datenbestände, die einmal an die Öffentlichkeit gelangt sind, lässt sich nicht mehr bestimmen, welcher weiteren Nutzung durch welche Institutionen sie unterliegen. Daher ist zu fordern, dass sich auch der Schutz der informationellen Selbstbestimmung über rein nationale Grenzen hinweg an die Gefahren der heutigen Informationsgesellschaft anpasst, um den Grundrechtsschutz infolge der vernetzten Globalisierung nicht in den kommenden Jahren erodieren zu lassen[8]. Dies muss umso mehr gelten, je höher der Rang des in Frage stehenden Rechtsgutes innerhalb der Wertordnung des Grundgesetzes anzusetzen ist[9]. Insbesondere für die informationelle Selbstbestimmung gilt hier, dass jetzt und auch in den zukünftigen Jahren immer mehr sensitive personenbezogene Daten in informationstechnische Systeme eingepflegt und unter Umständen auch dezentral über Cloud-Dienste gespeichert werden. Für die eigene Persönlichkeitsentwicklung wird das Grundrecht auf informationelle Selbstbestimmung folglich einen immer größeren Stellenwert besitzen. Somit besteht auch eine diesbezügliche nationalstaatliche Schutzpflicht vor internationalen Datenschutzbedrohungen.
III. Realisierbarkeit der Schutzpflichten durch technische Maßnahmen
Soweit den deutschen Staat eine Schutzpflicht für die informationelle Selbstbestimmung gegenüber den Eingriffsmaßnahmen fremder Staaten trifft, stellt sich die Frage, wie weit eine solche reicht und wo im Zweifelsfall ihre Grenzen zu setzen sind. Bei der Umsetzung von Schutzpflichten, welche einen ausländischen Bezug vorweisen, wird insbesondere der Exekutive ein weites Ermessen zugestanden, da die Gestaltung auswärtiger Verhältnisse und Geschehensabläufe nicht allein von deutschen Interessen abhängig ist, sondern auch vielfach Umstände betrifft, die sich der Gestaltungsmacht eines Einzelstaates entziehen[10]. Wo zu früheren Zeiten in den allermeisten Fällen die Gestaltungsmacht des Einzelstaates durch politische Umstände beschränkt war, könnte es heute, zumindest bezogen auf die Gewährleistung der informationellen Selbstbestimmung, durch technische Mittel möglich sein, staatliche Maßnahmen fremder Mächte abzuwehren. Dies gilt umso mehr, als sich der materielle Inhalt der Schutzpflicht am möglichst effektiven Schutz des jeweiligen Rechtsguts zu orientieren hat[11]. Fraglich ist dabei jedoch, ob es dem Staat tatsächlich möglich ist, die personenbezogenen Daten seiner Bürger vollständig zu schützen, und wichtiger noch, ob er jedwede technische Maßnahme ergreifen muss, die ihm potenziell zur Verfügung steht, oder ob sich nicht vielmehr, ausgehend vom Untermaßverbot, die Schwelle des staatlichen Tätigwerdens am Verhältnismäßigkeitsgrundsatz orientieren muss. Aus der Eigenart der Computertechnik und der damit ver bundenen nur begrenzten Kontrollierbarkeit von Datenströmen ergibt sich für die informationelle Selbstbestimmung, dass der Staat nur solche Maßnahmen zu ihrem Schutz zu treffen hat, die nach dem Stand der Technik die wesentlichsten Risiken für die Grundrechtsausübung ausschließen. Es kann jedoch keine Verpflichtung dahingehend bestehen, sämtliche personenbezogenen Daten durch technische Mittel zur Gänze vor dem Zugriff ausländischer Behörden zu schützen, wo sich bereits die Frage der Realisierbarkeit stellt. Unmögliches kann auch im Rahmen staatlicher Schutzpflichtgewährleistungen nicht verlangt werden[12].
Darüber hinaus stellt die Datenausspähung durch andere Staaten, in Anlehnung an die verfassungsrechtlichen Probleme im Umweltrecht (z.B. bei Immissionen und ihren weitergehenden Auswirkungen), aufgrund ihrer oftmals fehlenden Offensichtlichkeit, der Geheimhaltung und den Schwierigkeiten des Einzelnen, eine kausale Betroffenheit nachzuweisen, eine Grundrechtsbeeinträchtigung mit einem diffusen Charakter dar[13]. Soweit bei Schutzmaßnahmen unklar ist, ob und wie sie den Grundrechtsschutz gewährleisten sollen, können sie nicht eingreifen[14]. Auch aus diesem Grunde heraus stellt sich die Frage, wie technische Schutzmaßnahmen im Konkreten auszugestalten wären, um einen effektiven Grundrechtsschutz zu gewährleisten. Mangels genauer Kenntnis der Bedrohungslage und eines verhältnismäßig schlechten Informationsstandes seitens der parlamentarischen Öffentlichkeit kann es zum jetzigen Zeitpunkt keine Antwort auf diese Frage geben. Auch wenn grundsätzlich eine nationale Schutzpflicht vor internationalen Datenschutzbedrohungen besteht, so scheitert diese in ihrer Umsetzung – zumindest vorerst – letztlich an ihrer eigenen technischen Realisierbarkeit.
IV. Realisierbarkeit der Schutzpflichten durch Internationale Datenschutzabkommen
Dennoch stellt sich für den Schutz des Bürgers vor globalen Datenschutzbedrohungen die Frage, inwieweit, um zumindest teilweise der begründeten staatlichen Schutzpflicht nachzukommen, politische Regelungen geschaffen werden können, die einer Ausspähung durch ausländische Behörden entgegenwirken. In erster Linie ist hier an Instrumentarien des Völkerrechts zu denken, insbesondere auch an bilaterale Abkommen zwischen den „Big Players“, also jenen Staaten, zwischen denen die höchste Transferdichte von Computerdaten vorherrscht. Auch mit Blick auf die technische Entwicklung könnten solche Regelungsansätze die einzige Lösungsmöglichkeit sein, um dafür Sorge zu tragen, dass die zwar national und somit lediglich für nationale Behörden gewährleisteten Datenschutzregelungen nicht auf Dauer durch ausländische Behörden unterminiert werden.
1. Safe Harbor-Abkommen
So schlossen die USA und die EU im Jahr 2000 das so genannte Safe Harbor-Abkommen[15] zur Regelung datenschutzrechtlicher Fragen. Im Safe Harbor-Abkommen werden durch das USHandelsministerium in Zusammenarbeit mit der EU-Kommission entwickelte Grundsätze[16] festgehalten, die Vorgaben zur Verarbeitung erhobener Daten, zur Datensicherheit sowie zu durch den Datenverarbeiter zu beachtende Betroffenenrechte enthalten, denen sich Unternehmen freiwillig unterwerfen können. Mit diesem freiwilligen Beitritt entsteht eine rechtliche Bindung des Unternehmens, den Prinzipien auch tatsächlich zu genügen. Die Durchsetzung ist dem US-Handelsministerium, der Federal Trade Commission, übertragen. In der Folge eines Beitritts wird der Datentransfer von der EU in die USA gestattet. Hintergrund des Abkommens ist, dass ein Datentransfer in Drittstaaten wie die USA nach EU-Recht zu unterbleiben hat, wenn in diesem Drittland kein angemessenes Datenschutzniveau gewährleistet ist[17], und ein solches Datenschutzniveau hinsichtlich der USA von Seiten der EU bisher nicht festgestellt wurde. Das Safe Harbor-Abkommen soll den praktisch sehr wichtigen Datenexport in die USA erleichtern und einen dem Kriterium des angemessenen Datenschutzniveaus entsprechenden Zustand herstellen. Damit aber dient das Safe Harbor-Abkommen gerade nicht primär dem Ziel, der Ausspähung durch ausländische Staaten entgegenzu wirken, sondern vielmehr einen Datentransfer über staatliche Grenzen hinweg überhaupt erst zu ermöglichen. Seinen Schutzpflichten gegenüber seiner Bürger kommt der Staat durch das Safe Harbor-Abkommen mithin schon aufgrund der Zwecksetzung des Abkommens nicht nach.
2. Abkommen Internationaler Organisationen
Neben dem Safe Harbor-Abkommen, das lediglich für die USA und die EU Wirkung entfaltet, bestehen verschiedene Datenschutzabkommen Internationaler Organisationen.
Als international prägend haben sich insbesondere die bereits 1980 erlassenen „Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten“ der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) erwiesen, die zu einer gewissen internationalen Einigkeit in den allgemeinen Grundsätzen des Datenschutzes führen konnten. Sie richten sich sowohl an den öffentlichen als auch an den nicht-öffentlichen Bereich und enthalten Verarbeitungsgrundsätze, bestimmen Betroffenenrechte und appellieren an die Mitgliedsstaaten, den freien grenzüberschreitenden Datentransfer zu gewährleisten. Aufgrund der Fortentwicklung der Technik wurde 2013 ihre Überarbeitung vorgenommen. Die Leitlinien entfalten jedoch lediglich unverbindliche Wirkung gegenüber den Mitgliedsstaaten und stellen ihnen ihre Umsetzung frei[18]. Weiterhin sind sie zu allgemein gehalten, um auf konkrete Gefahren stets adäquate Antworten zu finden.
Auch die Vereinten Nationen (UN) haben sich im Bereich des Datenschutzes bereits engagiert und 1990 die „Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien“ verabschiedet. Ebenso wie die Leitlinien der OECD gelten die UN-Richtlinien für den öffentlichen und nichtöffentlichen Bereich und entfalten lediglich Empfehlungswirkung. Verglichen mit den Datenschutzleitlinien der OECD haben sie nur äußerst geringe praktische Bedeutung und können zu einem effektiven Betroffenenschutz nur unzureichend beitragen.
Von praktischer Relevanz ist neben den Leitlinien der OECD die Europäische Datenschutzkonvention des Europarats aus dem Jahr 1981, die insbesondere allgemeine Datenschutzgrundsätze und Bestimmungen zum grenzüberschreitenden Datenverkehr und zur gegenseitigen Hilfeleistung der Vertragsparteien bei der Durchführung des Abkommens enthält. Sie wurde 2001 durch das „Zusatzprotokoll zum Euro päischen Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten be züglich Kontrollstellen und grenzüberschreitendem Datenverkehr“, das sogenannte Zusatzprotokoll, ergänzt, das die Zu lässigkeit einer Datenübermittlung in einen Nicht-Vertragsstaat an die Feststellung eines angemessenen Datenschutz niveaus knüpft[19]. Bei der Datenschutzkonvention handelt es sich um das erste gegenüber den Vertragsstaaten verbindliche inter nationale Datenschutzabkommen; auch durch diese Bindungswirkung hat sie das Datenschutzrecht insbesondere in Europa stark geprägt[20]. Jedoch stammt die Datenschutzkonvention aus einer Zeit vor der allgemeinen Verbreitung des Internets, so dass derzeit ebenfalls an einer Novellierung gearbeitet wird.
Vereinzelt wird zwar von verschiedenen Autoren[21] und zuletzt auch dem Europarat selbst[22] eine Eignung der Datenschutzkonvention des Europarates als Grundlage für globale Datenschutzregeln erwogen; jedoch ist insofern bereits zu beachten, dass die USA als wohl entscheidender Staat für ein durchsetzungsstarkes internationales Datenschutzabkommen nicht zu den Vertragsstaaten der Datenschutzkonvention gehören. Auch wenn eine Teilnahme als Nicht-Mitgliedsstaat des Europarates grundsätzlich möglich ist, wird eine solche Entwicklung bezüglich der USA nicht in nächster Zeit zu erwarten sein, da diese nicht das notwendige Datenschutzniveau aufweisen, das für eine Teilnahme vorausgesetzt wird[23]. Damit aber kann den Gefahren, die sich insbesondere in der PRISM-Affäre offenbart haben, auch nicht durch die Datenschutzkonvention des Europarates zufriedenstellend begegnet werden.
V. Fazit
Es wurde gezeigt, dass sich durchaus staatliche Pflichten zur Wahrung der Integrität der informationellen Selbstbestimmung des einzelnen Bürgers aus dem Schutzpflichtcharakter der Grundrechte herleiten lassen. In Betracht kommen als Realisierungswerkzeuge insbesondere technische Maßnahmen wie auch internationale Datenschutzabkommen. Diese Mittel erweisen sich in der Praxis jedoch derzeit als nicht realisierbar, was auch auf die unzureichende staatliche Auf klärungsarbeit und fehlende Transparenz gegenüber der parlamentarischen Öffentlichkeit im Falle von sicherheitsbehördlichen Eingriffen in die informationellen Grundrechte zurückzuführen ist. Zu berücksichtigen ist dabei aber, wie eingangs bereits erwähnt, auch, dass dem deutschen Staat bei der Umsetzung von Schutzpflichten, die einen Auslandsbezug aufweisen, ein weites Ermessen zugestanden wird, da die Gestaltung auswärtiger Verhältnisse und Geschehensabläufe nicht allein von deutschen Interessen abhängig ist, sondern vielfach Umstände betrifft, die sich der Gestaltungsmacht eines Einzelstaates entziehen.[24]
Darüber hinaus kommt internationalen Datenschutzabkommen nur eine begrenzte praktische Bedeutung zu. Sie sind alle vor der Verbreitung des Internets entstanden, was u.a. dazu geführt hat, dass die Regelungen des Europarats und der OECD momentan überarbeitet werden bzw. wurden. Jedoch wird auch eine solche Überarbeitung nichts an ihrem politischen Kompromisscharakter und der daraus folgenden Beschränkung auf allgemeine datenschutzrechtliche Grundsätze ändern können, so dass die bestehenden Abkommen auf internationaler Ebene keinen ausreichenden Schutz der Bürger garantieren. Auch die Entwicklung eines neuen Datenschutzabkommens auf internationaler Ebene oder gegebenenfalls bilateral mit den USA, das nicht die Schwächen der bestehenden internationalen Datenschutzabkommen aufwiese und u.U. verbindlicher Natur wäre, scheint auf nationaler Ebene politisch derzeit kaum durchsetzbar und damit nur schwer erreichbar[25]. Zwar plant die EU als Folge des NSASkandals im vergangenen Jahr, bis Mitte 2014 ein Datenschutz-Rahmenabkommen mit den USA in den Bereichen Polizei und Justiz umzusetzen, ob ihr dies aber gelingt, erscheint, unter der Prämisse des alten Grundsatzes von Spinoza „Jeder hat nur soviel Recht, wie er auch Macht hat“ fraglich.
Die praktische Erreichbarkeit eines ausreichenden Schutzes der Bürger vor Ausspähung durch ausländische Stellen im Wege internationaler Datenschutzabkommen ist damit momentan bedauerlicherweise zu verneinen. Dennoch bleibt zu hoffen, dass sich in der Zukunft neue Wege der Kooperation auf überstaatlicher Ebene finden, um auf die Gefahren, die sich insbesondere infolge des Internets für den Datenschutz auftun, sachgerecht reagieren zu können.
Dennis-Kenji Kipker
Seit 2012 Wissenschaftlicher Mitarbeiter und Doktorand am Institut für Informations-, Gesundheits- und Medizinrecht an der rechtswissenschaftlichen Fakultät der Universität Bremen mit den Forschungsschwerpunkten Polizei- und Nachrichtendienstrecht, Informationsrecht und Medizininformationsrecht.
Friederike Voskamp
Seit 2012 Wissenschaftliche Mitarbeiterin und Doktorandin am Institut für Informations-, Gesundheits- und Medizinrecht an der rechtswissenschaftlichen Fakultät der Universität Bremen mit den Forschungsschwerpunkten internationales Datenschutz- und IT-Recht.
[1] Klein, NJW 1989, 1633 (1633).
[2] Siehe weitergehend zur umfänglichen grundrechtsdogmatischen Herleitung von Schutzpflichten auch Klein, NJW 1989, 1633.
[3] Vgl. auch Gola/Schomerus, BDSG, 11. Aufl. 2012, § 1 Rn. 11.
[4] BVerfG, Urt. v. 15.1.1958 – 1 BvR 400/57, NJW 1958, 257.
[5] Di Fabio, in: Maunz/Dürig, GG, 39. Ergänzungslieferung 2001, Art. 2 Rn. 189
[6] Vgl. BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419 (421).
[7] Hoffmann-Riem, AöR 123 (1998), 513 (514).
[8] So auch Di Fabio, in: Maunz/Dürig, GG, 39. Ergänzungslieferung 2001, Art. 2 Rn. 190.
[9] BVerfG, Urt. v. 25.2.1975 – 1 BvF 1 – 6/74, NJW 1975, 573 (575).
[10] BVerfG, Beschl. v. 16.12.1980 – 2 BvR 419/80, NJW 1981, 1499.
[11] Vgl. BVerfG, Urt. v. 16.10.1977 – 1 BvQ 5/77, NJW 1977, 2255.
[12] So auch Hans-Jürgen Papier im Interview mit der „Welt“: „Der Staat hat die grundsätzliche Pflicht, seine Bürger vor Zugriffen ausländischer Mächte zu schützen. Aber der Staat kann nur zu etwas verpflichtet sein, das er rechtlich und tatsächlich auch zu leisten vermag. Wo die Unmöglichkeit anfängt, endet die Schutzpflicht. Das rechtlich und tatsächlich Mögliche und Geeignete muss er aber zum Schutz seiner Bürger auch tun.“, in: Gaugele, „Die Welt“ vom 05.08.2013, „Die Freiheitsrechte dürfen nicht geopfert werden“, abrufbar unter: http://www.welt.de/politik/deutschland/article118684465/Die-Freiheitsrechte-duerfen-nicht-geopfert-werden.html (Stand: 12.03.2014).
[13] Vgl. Schmidt-Aßmann, AöR 106 (1981), 205, 216.
[14] Vgl. Klein, NJW 1989, 1633 (1638).
[15] Vgl. Europäische Kommission, Entscheidung der Kommission gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (2000/520/EG) vom 25.08.2000.
[16] Abrufbar unter: http://export.gov/safeharbor/eu/eg_main_018475.asp (Stand: 12.03.2014).
[17] Vgl. Art. 25 Abs. 1 DSRL 95/46/EG.
[18] Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, (München) 2012, S. 71.
[19] Vgl. Art. 2 Abs. 1 des Zusatzprotokolls.
[20] Greenleaf, International Data Privacy Law 2012 (Vol. 2, Issue 2), 7.
[21] Greenleaf, The Influence of European Data Privacy Standards outside Europe, S. 31; Bygrave, Scandinavian Studies of Law 2010, 165 (181); Greenleaf/Clarke/Water, UNSW Law Research Paper 2013-62, 3.
[22] Europarat, Council of Europe points to the Data Protection Convention as global standard, Ref. DC 113 (2011), abrufbar unter: http://www.coe.int/t/dghl/standardsetting/DataProtection/default_en.asp (Stand: 12.03.2014).
[23] Vgl. Ermert, Europarat will Datenschutzkonvention zum globalen Minimalstandard machen, abrufbar unter: http://www.heise.de/newsticker/meldung/Europarat-will-Datenschutzkonvention-zum-globalen-Minimialstandard-machen-1389776.html (Stand: 27.02.2014).
[24] BVerfG, Beschl. v. 16.12.1980 – 2 BvR 419/80, NJW 1981, 1499.
[25] Vgl. Kuner, Computer Law & Security Review 2009, 307 (310).