APEC: Selbstregulierung in Chile

Februar 19th, 2015 | Chile Allgemein, IT-Recht Chile


Art. 1 Abs. 3 der chilenischen Verfassung (Constitución Política de la República – CPR) normiert das sog. Subsidiaritätsprinzip.[1] Nach der chilenischen Verfassung bedeutet das Konzept der Subsidiarität, dass der Staat eine sekundäre Rolle einnimmt und nur dann eingreift bzw. tätig wird, wenn private Unternehmen nicht handeln wollen bzw. können.[2] Damit wird die Entwicklung eines Selbstregulierungssystems ermöglicht und geschützt, das sich in Chile in Form von Verhaltenskodizes manifestiert, mit denen die Sicherheits- und Datenschutzstandards verbessert und die Verlässlichkeit der Akteure gesteigert werden sollen, um auf diese Weise effektiv vorhandene oder potenzielle Risiken inadäquater Praktiken zu minimieren.[3]

Allerdings gibt es in Chile keinen absoluten Rückzug des Staates im Blick auf die typischen Probleme des Umgangs mit personenbezogenen Daten, wie das in den Vereinigten Staaten der Fall ist.[4] Das chilenische Modell der Selbstregulierung dient nicht dem Ersatz staatlicher Rechtsetzung, sondern als ergänzendes Instrument, mit dem sich Praktiken fördern lassen, die sich innerhalb des bestehenden gesetzlichen Rahmens entwickelt und bewährt haben. Letztlich steht immer der Weg zu den Gerichten offen, um Konflikte im Zusammenhang mit der Anwendung des Gesetzes Nr. 19.628 klären zu lassen. Man kann daher in Chile weder von einem Modell der autonomen Selbstregulierung wie in den Vereinigten Staaten üblich, noch von der hoheitlich-imperativen Selbstregulierung sprechen, wie sie in Deutschland existiert, sondern man spricht hier eher von einer hybriden bzw. gemischten Selbstregulierung.


Der APEC Privacy Framework

Das Modell der Selbstregulierung liegt auch dem Privacy Framework der APEC (engl. Asia-Pacific Economic Cooperation – APEC) zugrunde. Das Forum der Asiatisch-Pazifischen Wirtschaftsgemeinschaft ist das wichtigste Forum zur Förderung des wirtschaftlichen Wachstums, Verbesserung der technischen und wirtschaftlichen Zusammenarbeit und Liberalisierung des Handels und der Investitionstätigkeit im asiatisch-pazifischen Raum. Es wurde 1989 auf Initiative Aus­traliens und Japans zur Förderung des Wirtschaftswachstums und des Wohlstands und zur Stärkung der asiatisch-pazifischen Zusammenarbeit gegründet. Die APEC ist die weltweit einzige zwischenstaatliche Wirtschaftsorgani­sation, die auf der Basis nicht-bindender Abkommen nach dem Prinzip des offenen Dialogs und der gleich­berechtigten Meinungen aller Teilnehmer operiert. Die APEC-Mitgliedstaaten sind: Australien, Brunei, Kanada, Chile, China (Volksrepublik), Südkorea, USA, Philippinen, Hongkong, Indonesien, Japan, Malaysia, Mexiko, Neu­seeland, Papua Neu-Guinea, Peru, Russland, Singapur, Taiwan,Thailand, Vietnam.

Der APEC Privacy Framework wurde auf der 16. Ministerkonferenz der APEC am 18. November 2004 in Santiago de Chile verabschiedet. Die Wirtschaften der APEC-Länder haben das auf gemeinsamen Prinzipien beruhende APEC Privacy Framework als ein wichtiges Instrumentarium beschlossen, um Anreize für die Entwicklung angemessener Mechanismen zum Schutz privater Daten zu schaffen und den freien Informationsfluss im asiatisch-pazifischen Wirtschaftsraum zu gewährleisten. In Punkt 2 der Präambel heißt es:

Information and communications technologies, including mobile technologies, that link to the Internet and other information networks have made it possible to collect, store and access information from anywhere in the world. These technologies offer great potential for social and economic benefits for business, individuals and governments, including increased consumer choice, market expansion, productivity, education and product innovation. However, while these technologies make it easier and cheaper to collect, link and use large quantities of information, they also often make these activities undetectable to individuals. Consequently, it can be more difficult for individuals to retain a measure of control over their personal information. As a result, individuals have become concerned about the harmful consequences that may arise from the misuse of their information. Therefore, there is a need to promote and enforce ethical and trust­worthy information practices in on- and off-line contexts to bolster the confidence of individuals and businesses.


Das APEC Privacy Framework bildet den Referenzrahmen für die Regulierung des Umgangs mit personenbezogenen Daten in den Wirtschaften der APEC-Mitglieder. Damit soll ein Datenschutz-Standard geschaffen werden, der ein gemeinsames Schutzniveau gewährleistet und Hür­den beseitigt, die den internationalen Handel zwischen den beteiligten Ländern behindern könnten. In diesem Sinne wird betont, die Verabschiedung des Rahmendokuments im November 2004 sei in der Absicht geschehen, den Schutz der Privatsphäre zu stärken und einen besseren Austausch von Informationen zu ermöglichen. Es handelt sich um ein freiwilliges, multilaterales Compliance-Programm, das die Erfüllung und Beachtung bestimmter Sicherheitsmaß­nahmen bei grenzüberschreitenden Datenübertragungen zwischen Unternehmen aus dem APEC-Wirtschaftsraum beinhaltet.

Auch wenn es nur um einen unverbindlichen Referenzrahmen geht, erweist sich das Dokument als außerordentlich hilfreich im Hinblick auf die praktische Einführung von Standards. Jeder einzelne Paragraf des Regelungsvorschlags ist mit einer Reihe von Kommentaren versehen, die höchst relevante Hinweise für die Umsetzung in ein harmonisiertes System enthalten und sehr nützlich für die Erforschung und Planung von regionalen Lösungsvorschlägen sein können. Zu bedenken ist, dass ein APEC-Dokument nicht allein die lateinamerikanischen Verhältnisse beachten muss, sondern auch andere Regionen des asiatisch-pazifischen Raums einbezieht, die zum Teil weiter entwickelte Rechtssysteme besitzen. Auch die Herkunft aus der Tradition des Common Law ist zu beachten, die zwar nicht etwa aus sich heraus eine Inkompatibilität mit den Rechtsordnungen des romanischen Rechtskreises (dem die meisten lateinamerikanischen Rechts­systeme angehören) impliziert, aber doch ein gewisses Augenmerk auf Abweichungen in der Rechtswirklichkeit der einzelnen Regionen nötig macht.

Das Dokument enthält nicht nur eine Reihe nützlicher Begriffsbestimmungen, sondern stellt auch eine Reihe von Datenschutz-Prinzipien vor:

  • Personal information: Definition und Umfang des Begriffs der „personenbezogenen Daten“
  • Personal information controller: Person oder Organisation, die personenbezogene Daten sammelt, verarbeitet oder nutzt (und nach dem Prinzip „Accountability“ für die Umsetzung der Prinzipien verantwortlich sein soll)
  • Publicly available information: öffentlich zugänglich gemachte personenbezogene Daten
  • Preventing Harm: Schutz vor Datenmissbrauch
  • Notice: Information über die bei der Verarbeitung personenbezogener Daten verwendeten Praktiken und Leitprinzipien (practices and policies)
  • Collection Limitation: Datensparsamkeit
  • Uses of Personal Information: Zweckbindungsgrundsatz
  • Choice: Wahlmöglichkeiten der Betroffenen hinsichtlich Verwendung eigener persönlicher Daten
  • Integrity of Personal Information: Richtigkeit und regelmäßgie Aktualisierung der Daten
  • Security Safeguards: Datensicherheit
  • Access and Correction: Recht auf Auskunft und Berichtigung der Daten



Weiter hat die APEC mit dem Ziel der Implementierung des APEC Privacy Framework im Jahr 2012 die sog. grenzüberschreitenden Privacy-Regeln (engl. Cross Border Privacy Rules – CBPR) er­arbeitet, die in erster Linie dazu dienen, den Schutz der Daten jener Personen zu gewährleisten, die sich zwischen den Wirtschaften der APEC-Länder hin- und herbewegen.
In den Bedingungen werden die Unternehmen aufgefordert, ihre eigenen internen Geschäftsregeln bezüglich der Verfahrensweisen zur Sicherstellung der Vertraulichkeit von grenzüberschreitenden Datentransfers zu erstellen. Bisher nehmen von den APEC-Staaten nur die Vereinigten Staaten, Mexiko, Japan und Kanada an dem CBPR-System teil. Alle APEC-Staaten, darunter auch Chile, haben eine zukünftige Teilnahme geäußert, ein konkreter Beitrittstermin Chiles ist jedoch nicht bekannt.

Der Beitritt in das CBPR-System ist für Unternehmen freiwillig. Nach Eintritt durch Zertifizierung sog. „Accountability Agents“ der APEC sind die Datenschutzregelungen der CBPR jedoch für die Unternehmen verbindlich, auch wenn diese strenger ausfallen als die nationalen Datenschutzregelungen.[4] Es handelt sich bei dem CBPR-System um eine Selbstverpflichtung der Unternehmen für die grenzüberschreitende Übermittlung personenbezogener Daten, festgelegte Regelungen zum Schutz persönlicher Daten einzuhalten und diese durch die jeweiligen Aufsichtsbehörden prüfen und genehmigen zu lassen. Die Kontrolle obliegt den Unternehmen selbst. Datenübermittlungen können bei dem CBPR-System sowohl innerhalb der APEC-Staaten erfolgen als auch an Dritte außerhalb eines Unternehmens.


Quellennachweise:

[1] Art. 1 Abs. 3 CPR, „Der Staat anerkennt und schützt Vermittlungsinstanzen, die aus der Gesellschaft heraus organisiert und gebildet werden, und sichert ihnen angemessene Autonomie zu, um die ihnen eigenen spezifischen Zwecke zu erfüllen.

[2] Abrufbar unter http://www.boell.de/de/2013/09/30/umwelt-und-demokratie-chile-herausforderungen-fuer-die-naechsten-40-jahre (zuletzt abgerufen am 31.12.2014).

[3] Beispielhaft zu nennen ist der seit Januar 2013 existierende Verhaltenskodex der IAB Chile (engl. Interactive Advertising Bureau), der auf 3 wesentlichen Säulen basiert: 1. Ein Verhaltenskodex zur Regulierung von Online-Marketingaktivitäten und zum Schutz personenbezogener Daten mit dem Ziel, die Rechte der Internetnutzer zu sichern. 2. Ein Verfahren zur Beilegung von Konflikten und Bearbeitung von Beschwerden. 3. Ein Sicherheitssiegel.

[4] Voskamp/ Kipker/ Yamato, DuD 2013, S. 454.