OECD: Erklä­rung über die Vor­aus­set­zun­gen und Gren­zen des “Lawful Access” durch die Mitgliedstaaten

Die Orga­ni­sa­ti­on for Eco­no­mic Co-ope­ra­ti­on and Deve­lo­p­ment (OECD), zu der neben der Schweiz auch Staa­ten wie etwa UK und die USA gehö­ren (nicht die EU, die sich aber an den Arbei­ten der OECD betei­ligt), hat am 14. Dezem­ber 2022 eine Erklä­rung über den Behör­den­zu­griff auf Per­so­nen­da­ten bei pri­va­ten Unter­neh­men ver­ab­schie­det (Decla­ra­ti­on on Govern­ment Access to Per­so­nal Data held by Pri­va­te Sec­tor Enti­ties). Sie kommt sicher nicht zufäl­lig kurz nach dem Ent­wurf des Ange­mes­sen­heits­be­schlus­ses für das TADPF.

Die Erklä­rung

  • ist ein sog. “Sub­stan­ti­ve Out­co­me Docu­ment”. Die­ses Instru­ment der OECD wird nicht durch die OECD selbst ver­ab­schie­det, son­dern durch die ein­zel­nen betei­lig­ten Staa­ten, die sich im Rah­men der Orga­ni­sa­ti­on der OECD ent­spre­chend ver­stän­digt haben, hier u.a. die Schweiz, die Tür­kei, UK, USA und die EU. Die­se Instru­men­te ent­hal­ten i.d.R. eher abstrak­te oder lang­fri­sti­ge Zie­le und haben laut OECD “a solemn cha­rac­ter”, sind also rein programmatisch;
  • soll im Inter­es­se der glo­ba­len Wirt­schaft das Ver­trau­en in den grenz­über­schrei­ten­den Daten­ver­kehr för­dern und einen Stan­dard set­zen, wie die staat­li­che Macht in einer Demo­kra­tie zu begren­zen ist, und
  • gilt für die Beschaf­fung und Ver­wen­dung von Per­so­nen­da­ten im Besitz oder unter der Kon­trol­le pri­vat­wirt­schaft­li­cher Unter­neh­men (inkl. NGOs) zu Zwecken der Straf­ver­fol­gung und der natio­na­len Sicher­heit, und zwar aus­drück­lich auch dann, wenn ein Unter­neh­men Daten her­aus­zu­ge­ben hat, die in einem ande­ren Staat bele­gen sind.

Die Erklä­rung rich­tet sich an die Mit­glied­staa­ten und ver­langt fol­gen­de Mass­nah­men:

  • Der Daten­zu­griff setzt eine ver­bind­li­che, demo­kra­tisch legi­ti­mier­te und aus­rei­chend kla­re Rechts­grund­la­ge vor­aus, die Schutz gegen Miss­brauch und Zweck­ent­frem­dung bietet.
  • Der Daten­zu­griff darf nur bestimm­ten, legi­ti­men Zie­len die­nen und muss ver­hält­nis­mä­ssig und recht­mä­ssig sein. Er darf ins­be­son­de­re nicht der Zen­sur oder Dis­kri­mi­nie­rung dienen.
  • Der Zugriff setzt eine staat­li­che Auto­ri­sie­rung vor­aus. Wenn aus­nahms­wei­se kei­ne Geneh­mi­gung erfor­der­lich ist, müs­sen ande­re Schutz­mass­nah­men greifen.
  • Per­so­nen­da­ten dür­fen nur von berech­tig­ten Per­so­nen ver­wen­det wer­den und nur im Rah­men des Rechts, das Mass­nah­men u.a. zum Schutz der Recht­mä­ssig­keit, Ver­hält­nis­mä­ssig­keit und Daten­rich­tig­keit vorsieht.
  • Es muss Kon­trol­len geben, um Daten­ver­lu­ste oder Miss­bräu­che zu ver­hin­dern, zu ent­decken, zu behe­ben und den Auf­sichts­be­hör­den zu melden.
  • Der Rechts­rah­men muss klar und der Öffent­lich­keit zugäng­lich sein, damit Aus­wir­kun­gen erkannt und geprüft wer­den kön­nen. Die Trans­pa­renz von Zugrif­fen ist ange­mes­sen sicher­zu­stel­len, unter Berück­sich­ti­gung berech­tig­ter Geheimhaltungsanliegen.
  • Die Auf­sicht durch Gerich­te oder unab­hän­gi­ge Behör­den muss neu­tral, wirk­sam, aus­rei­chend dotiert und accoun­ta­ble sein.
  • Ein­zel­per­so­nen haben wirk­sa­me gericht­li­che und ausser­ge­richt­li­che Rechts­be­hel­fe. Es ist aber zuläs­sig, die Infor­ma­ti­on Ein­zel­ner über Zugrif­fe oder Ver­stö­sse einzuschränken.