Der Europarat überarbeitet sein Übereinkommen zum Schutz personenbezogener Daten („Konvention Nr. 108“) und verfolgt dabei zwei Hauptziele:

  • Bekämpfung der datenschutzrechtlichen Probleme infolge der Nutzung der neuen Informations- und Kommunikationstechnik (IKT) und
  • Stärkung des Überwachungsmechanismus der Konvention.

Im Zuge der Modernisierung sollen zudem die in unterschiedlichen Teilen der Welt ausgearbeiteten Regelwerke zusammengeführt und ein multilateraler Rahmen geschaffen werden, der flexibel, transparent und robust ist. Dadurch soll der grenzüberschreitende Datenverkehr erleichtert und gleichzeitig Missbrauch durch wirksame Garantien verhindert werden.

 

Das Übereinkommen

Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten wurde am 28. Januar 1981 zur Zeichnung aufgelegt und ist bis heute der einzige bindende internationale Vertrag auf diesem Gebiet. Es steht allen Ländern offen und hat das Potenzial, zu einer internationalen Norm zu werden. Zu den Vertragsstaaten zählen die 47 Mitgliedsstaaten des Europarates sowie Mauritius, der Senegal, Tunesien und Uruguay; Argentinien, Burkina Faso, Kap Verde, Marokko und Mexiko wurden eingeladen, dem Übereinkommen beizutreten.

Den Staaten obliegt es, einige in dem Vertrag verankerte Grundsätze in das innerstaatliche Recht umzusetzen und dadurch sicherzustellen, dass Daten ausschließlich nach gesetzlich vorgesehenen Verfahren und für einen festgelegten Zweck verarbeitet werden, dass die Daten nicht länger als zu diesem Zweck nötig gespeichert werden und dass die Daten nicht über die Zwecke hinausgehen, für die sie gespeichert sind.

Ein Zusatzprotokoll sieht vor, dass die Vertragsparteien unabhängige Kontrollstellen einrichten, um die Achtung der datenschutzrechtlichen Grundsätze zu gewährleisten, und regelt den grenzüberschreitenden Verkehr personenbezogener Daten mit einem Empfänger, der nicht der Hoheitsgewalt einer Vertragspartei des Übereinkommens untersteht.

 

Modernisierungsprozess

Der vom Ausschuss des Übereinkommens 108 erarbeitete Modernisierungsvorschlag wurde in den Jahren 2013 bis 2016 von einem zwischenstaatlichen Ausschuss (Ad-hoc-Ausschuss zum Datenschutz) erarbeitet, welcher dem Ministerkomitee des Europarats einen Entwurf zur Änderung des Protokolls übermittelte.  Im September 2016 wurde Vorschlag zur Diskussion und Annahme an das Ministerkomitee des Europarats, das Exekutivorgan der Organisation, in der die 47 Mitgliedsstaaten vertreten werden, verwiesen. Diese Stelle berät derzeit über den Entwurf. Der Text soll in den kommenden Monaten finalisiert werden, sodass der Vertrags zur Unterzeichnung eröffnet werden kann.

Der überarbeitete Text:

  • bestätigt den Grundsatzcharakter der genannten Vertragsbestimmungen, die allerdings durch eingehendere, sektorspezifische Texte in Form von Empfehlungen oder Richtlinien zu ergänzen sind;
  • zielt darauf ab, die Kohärenz und Vereinbarkeit mit anderen Rechtsrahmen zum Datenschutz zu gewährleisten, besonders mit jenem der EU;
  • behält die in technischer Hinsicht neutralen Bestimmungen bei;
  • bekräftigt den Anspruch des Übereinkommens, eine universelle Norm zu sein.

Im Einklang mit der Philosophie des Übereinkommens beinhalten die Entwürfe für die neuen Bestimmungen allgemeine, einfache und kurze Grundsätze, die den Staaten einen gewissen Spielraum bei der Umsetzung in das innerstaatliche Recht ermöglichen.

 

Innovationen

Die wichtigsten Innovationen beziehen sich auf diese Punkte:

  • Verhältnismäßigkeit (bisher implizit und nur datenbezogen) und insbesondere den Grundsatz der Datenminimierung;
  • Rechenschaftspflicht, besonders für Datenverantwortliche und Datenverarbeiter;
  • Datenschutz durch Technikgestaltung („by design“);
  • Verpflichtung zur Meldung von Verstößen gegen den Datenschutz;
  • Transparenz der Datenverarbeitung;
  • zusätzliche Garantien für die Betroffenen, etwa das Recht, nicht einer Entscheidung unterworfen zu sein, die ausschließlich auf automatischer Verarbeitung beruht und nicht die Meinung des Betroffenen berücksichtigt, das Recht zur Kenntnis der Logik, die als Grundlage für die Verarbeitung dient, sowie das Recht, dagegen Einspruch zu erheben.
  • Möglichkeit für internationale Organisationen dem modernisierten Übereinkommen beizutreten.

Der überarbeitete Text erfordert weiterhin ein „angemessenes Schutzniveau“, wenn personenbezogene Daten Empfängern, die nicht der Hoheitsgewalt einer Vertragspartei des Übereinkommens unterstehen, weitergeleitet oder offengelegt werden. Darüber hinaus wird anerkannt, dass diese Regel die Ausarbeitung von Datenschutzgesetzen auf der ganzen Welt gefördert hat.

 

Stärkung des Überwachungsmechanismus

Die Rolle des Überwachungsausschusses des Übereinkommens, der aus Vertretern der Vertragsparteien zusammengesetzt ist, wird gestärkt.

Die wirksame Anwendung der Datenschutznormen ist für die Glaubwürdigkeit des Übereinkommens entscheidend. In dieser Hinsicht kommt der verstärkten Umsetzung der Konvention mithilfe des Überwachungsmechanismus eine zentrale Bedeutung zu.