Die Organisation for Economic Co-operation and Development (OECD), zu der neben der Schweiz auch Staaten wie etwa UK und die USA gehören (nicht die EU, die sich aber an den Arbeiten der OECD beteiligt), hat am 14. Dezember 2022 eine Erklärung über den Behördenzugriff auf Personendaten bei privaten Unternehmen verabschiedet (Declaration on Government Access to Personal Data held by Private Sector Entities). Sie kommt sicher nicht zufällig kurz nach dem Entwurf des Angemessenheitsbeschlusses für das TADPF.
Die Erklärung
- ist ein sog. “Substantive Outcome Document”. Dieses Instrument der OECD wird nicht durch die OECD selbst verabschiedet, sondern durch die einzelnen beteiligten Staaten, die sich im Rahmen der Organisation der OECD entsprechend verständigt haben, hier u.a. die Schweiz, die Türkei, UK, USA und die EU. Diese Instrumente enthalten i.d.R. eher abstrakte oder langfristige Ziele und haben laut OECD “a solemn character”, sind also rein programmatisch;
- soll im Interesse der globalen Wirtschaft das Vertrauen in den grenzüberschreitenden Datenverkehr fördern und einen Standard setzen, wie die staatliche Macht in einer Demokratie zu begrenzen ist, und
- gilt für die Beschaffung und Verwendung von Personendaten im Besitz oder unter der Kontrolle privatwirtschaftlicher Unternehmen (inkl. NGOs) zu Zwecken der Strafverfolgung und der nationalen Sicherheit, und zwar ausdrücklich auch dann, wenn ein Unternehmen Daten herauszugeben hat, die in einem anderen Staat belegen sind.
Die Erklärung richtet sich an die Mitgliedstaaten und verlangt folgende Massnahmen:
- Der Datenzugriff setzt eine verbindliche, demokratisch legitimierte und ausreichend klare Rechtsgrundlage voraus, die Schutz gegen Missbrauch und Zweckentfremdung bietet.
- Der Datenzugriff darf nur bestimmten, legitimen Zielen dienen und muss verhältnismässig und rechtmässig sein. Er darf insbesondere nicht der Zensur oder Diskriminierung dienen.
- Der Zugriff setzt eine staatliche Autorisierung voraus. Wenn ausnahmsweise keine Genehmigung erforderlich ist, müssen andere Schutzmassnahmen greifen.
- Personendaten dürfen nur von berechtigten Personen verwendet werden und nur im Rahmen des Rechts, das Massnahmen u.a. zum Schutz der Rechtmässigkeit, Verhältnismässigkeit und Datenrichtigkeit vorsieht.
- Es muss Kontrollen geben, um Datenverluste oder Missbräuche zu verhindern, zu entdecken, zu beheben und den Aufsichtsbehörden zu melden.
- Der Rechtsrahmen muss klar und der Öffentlichkeit zugänglich sein, damit Auswirkungen erkannt und geprüft werden können. Die Transparenz von Zugriffen ist angemessen sicherzustellen, unter Berücksichtigung berechtigter Geheimhaltungsanliegen.
- Die Aufsicht durch Gerichte oder unabhängige Behörden muss neutral, wirksam, ausreichend dotiert und accountable sein.
- Einzelpersonen haben wirksame gerichtliche und aussergerichtliche Rechtsbehelfe. Es ist aber zulässig, die Information Einzelner über Zugriffe oder Verstösse einzuschränken.