Читать книгу Datenschutzrecht - Jürgen Kühling - Страница 22
2. Datenschutz-Konvention des Europarats
Оглавление32
Im Europarat war man sich der durch die moderne Datenverarbeitungstechnologie entstandenen Gefahren für das Persönlichkeitsrecht des Einzelnen früh bewusst. Nach zwei Entschließungen des Ministerkomitees zur Verarbeitung personenbezogener Daten im nichtöffentlichen (1973)[1] und im öffentlichen (1974)[2] Bereich wurde 1981 das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Datenschutz-Konvention, Straßburger Vertrag – K108)[3] zur Unterzeichnung durch die Mitgliedstaaten ausgelegt. Das Übereinkommen trat 1985 in Kraft.
33
Im Gegensatz zu den Leitlinien der OECD ist die Datenschutz-Konvention des Europarats für die zeichnenden Staaten nach Ratifikation durch die Mitgliedstaaten für die Signatare völkerrechtlich verbindlich und ihr ist im nationalen Recht Wirkung zu verschaffen. Damit handelt sich bei der Konvention um das bislang einzige völkerrechtlich verbindliche Abkommen im Bereich des Datenschutzrechts.[4]
34
In materieller Hinsicht beanspruchen die Vorgaben der Konvention nach Art. 3 Abs. 1 K108 sowohl im öffentlichen als auch im privaten Bereich der Datenverarbeitung Geltung. Das heißt also, dass die Bestimmungen nicht danach differenzieren, ob eine öffentliche Stelle (der BND, die Universität etc.) oder ein Privater (ein Telekommunikationsunternehmen, ein Internet-Shop-Betreiber etc.) Daten verarbeitet. Die Konvention beschränkt sich jedoch auf die automatische Verarbeitung personenbezogener Daten natürlicher Personen. Die Anwendung der Konvention auch auf die manuelle Datenverarbeitung und auf juristische Personen ist den Mitgliedstaaten gemäß Art. 3 Abs. 2 lit. b und c K108 unbenommen. Die Konvention formuliert auch heute noch gültige Grundprinzipien des Datenschutzes:
| – | die eingeschränkte, d.h. rechtmäßige und nach Treu und Glauben erfolgende Erhebung und Verarbeitung personenbezogener Daten (Art. 5 lit. a K108), |
| – | die Zweckbindung der Datenerhebung und Datenverarbeitung (Art. 5 lit. b K108), |
| – | den Verhältnismäßigkeitsgrundsatz bei der Erhebung und Verarbeitung (Art. 5 lit. c K108), |
| – | das Prinzip der Datenqualität (Art. 5 lit. d K108) und |
| – | den Grundsatz der frühestmöglichen Anonymisierung personenbezogener Daten (Art. 5 lit. e K108). |
35
Neben diesen gemäß Art. 10 K108 sanktionsbewehrten Verarbeitungsgrundsätzen trifft die Konvention auch Regelungen zur Datensicherheit (Art. 7 K108) und zum Umgang mit sensiblen Daten, also etwa Gesundheitsdaten (Art. 6 K108). Die Rechte der betroffenen Person sind in Art. 8 K108 normiert. Sie umfassen ein Auskunftsrecht, das Recht auf Berichtigung und Löschung sowie die Einräumung eines Rechtsmittels, das die betroffene Person in die Lage versetzt, ihre Rechtsposition durchzusetzen. Schließlich regelt die Konvention auch die grenzüberschreitende Übermittlung personenbezogener Daten zwischen Vertragsstaaten (Art. 12 K108). Dies ist gewissermaßen das Herzstück der Konvention, da sie den Konventionsstaaten als Gegenleistung für ihre Harmonisierungsbemühungen die Möglichkeit eines ungehinderten grenzüberschreitenden Datenaustauschs eröffnet. Daher dürfen die Konventionsstaaten den grenzüberschreitenden Verkehr personenbezogener Daten nicht allein zum Zweck des Schutzes des Persönlichkeitsrechts verbieten oder von einer Genehmigung abhängig machen. Hiervon darf gemäß Art. 12 Abs. 3 der Konvention abgewichen werden, wenn die nationale Rechtsordnung für bestimmte personenbezogene Daten besondere Vorschriften enthält und der Empfängerstaat keinen gleichwertigen Schutz gewährt oder es zu verhindern gilt, dass personenbezogene Daten über einen Vertragsstaat in das Hoheitsgebiet einer Nichtvertragspartei weitergegeben werden. Diese beiden Konstellationen stellen jedoch Ausnahmefälle dar. In der Regel bleibt es beim freien Datentransfer.[5] Die Übermittlung personenbezogener Daten in einen nicht den Konventionsbestimmungen unterliegenden Staat ist in Art. 2 des Zusatzprotokolls zur Datenschutz-Konvention[6] geregelt. Dieser bestimmt, dass personenbezogene Daten in einen Nichtvertragsstaat nur dann übermittelt werden dürfen, wenn dieser ein angemessenes Schutzniveau gewährleistet. Sofern das nationale Recht dies vorsieht, dürfen Daten auch in Staaten ohne angemessenes Schutzniveau weitergegeben werden, wenn spezifische Interessen der betroffenen Person oder wichtige öffentliche Interessen dies gebieten. Eine Übermittlung ist auch dann zulässig, wenn die verantwortliche übermittelnde Stelle Garantien (z.B. aus Vertragsklauseln) bietet, die von der zuständigen nationalen Behörde für ausreichend befunden werden.
36
Im Ergebnis normiert die Konvention damit ein angemessenes Datenschutzniveau innerhalb der Konventionsstaaten und ermöglicht dadurch den freien Datenaustausch innerhalb der Konventionsstaaten, wohingegen das „Verlassen“ des Konventionsraums strengeren Anforderungen unterworfen werden darf. Das vom Komitee der Ministerbeauftragten 2001 zur Unterzeichnung aufgesetzte Zusatzprotokoll verlangt schließlich die Schaffung einer oder mehrerer Kontrollstellen, die ihre näher bestimmten Aufgaben in völliger Unabhängigkeit wahrnehmen. Damit soll die effektive Durchsetzung der materiell-rechtlichen Vorgaben institutionell abgesichert werden. Waren es die Leitlinien der OECD, die dem Datenschutz in thematischer Hinsicht zum internationalen Durchbruch verhalfen, so wurde mit dem Inkrafttreten der völkerrechtlich verbindlichen Datenschutz-Konvention des Europarats Rechtsgeschichte geschrieben. Erstmals verpflichteten sich Staaten untereinander, grundsätzliche Datenerhebungs- und Datenverarbeitungsregeln zu achten und – im Falle des Verstoßes – zu sanktionieren. Der Druck auf die Mitgliedstaaten, im Bereich des Datenschutzes regelnd einzugreifen, wurde damit deutlich erhöht. Der Ansatz der Konvention, den freien Datenaustausch auf der Basis eines gemeinsamen Standards zu ermöglichen, sollte auch die Rechtsetzung der damaligen Europäischen Gemeinschaft (EG) maßgeblich beeinflussen. Dabei diente die Datenschutz-Konvention des Europarats als Vorlage für die erste allgemeine Datenschutzrichtlinie der EG.
37
So früh in der Geschichte des Datenschutzes der Europarat diesen als zukunftsträchtige Regelungsmaterie erkannt hatte, so lange hat er sich Zeit gelassen, die aus dem Jahre 1981 stammenden Regelungen der Datenschutz-Konvention an die Gegebenheiten heutiger Informationserhebung und -verwendung durch moderne Informationstechnologie im globalen Maßstab anzupassen. Erst 2010 begannen erste Diskussionen zur „Modernisierung“ der Konvention. Nach eingehenden Konsultationen und öffentlicher Diskussion wurde am 18.12.2012 ein konkreter Vorschlag zur Anpassung der Datenschutz-Konvention durch das Konsultationskomitee dem Ad-hoc-Datenschutzkomitee des Europarats (CAHDATA) vorgelegt.[7] Dieser nahm nach weiterer Überarbeitung am 3.12.2014 den Entwurf einer neuen Datenschutz-Konvention an und übermittelte diesen an das Ministerkomitee.[8] Der Änderungsentwurf ist zwar zunächst im Ministerkomitee auf lange anhaltende Uneinigkeiten gestoßen.[9]
38
Am 18.5.2018 wurde das Protokoll zur Änderung der Datenschutzkonvention[10] dann aber endlich verabschiedet[11], wenngleich es noch nicht in Kraft getreten ist. Hierzu fehlt es noch an der Ratifizierung durch alle Konventionsparteien.[12]
39
So prägend die erste Datenschutz-Konvention des Europarats für die EG-Datenschutzrichtlinie war, so sehr ist bei der Überarbeitung der Konvention auf die Entwicklungen auf Ebene der EU zu achten gewesen.[13] Denn die EU-Datenschutz-Grundverordnung (DS-GVO) und die EU-Datenschutzrichtlinie für den Polizei- und Justizbereich (DSRL-JI) sind seit dem 25.5.2018 anwendbar. Sollen die Mitgliedstaaten der EU oder die EU als solche in der Lage sein, beiden aktualisierten Datenschutzregimen zuzustimmen, kann auf einen gewissen Gleichklang nicht verzichtet werden.
40
Inhaltlich soll die geänderte bzw. ergänzende Datenschutz-Konvention daher in weiten Teilen die Entwicklung des Datenschutzrechts in der EU nachzeichnen. So wird in der durch das Änderungsprotokoll angepassten Datenschutzkonvention die Beschränkung des Anwendungsbereichs auf die automatisierte Datenverarbeitung aufgegeben (vgl. Art. 1 und 2 lit. c K108-neu). Hingegen wird eine „Haushaltsausnahme“ zugunsten von Datenverarbeitungsvorgängen zu rein persönlichen oder familiären Tätigkeiten eingeführt werden (Art. 3 Abs. 2 K108-neu). Eine weitere Neuerung ist der Fokus auf eine verstärkte Transparenz der Datenverarbeitung durch verbindliche und präzise, an die Datensubjekte weiterzuleitende Angaben (Art. 8 Abs. 1 K108-neu). Von praktischer Relevanz dürfte zudem die leichte Erweiterung der Auskunftsrechte der von einer Datenverarbeitung betroffenen Person sein (Art. 9 K108-neu). Das Protokoll sieht darüber hinaus nunmehr explizit eine Pflicht vor, Datenschutzverstöße bei einer ernsthaften Gefährdung der Persönlichkeitsrechte der betroffenen Personen zumindest den zuständigen Datenschutzbehörden umgehend zu melden (Art. 7 Abs. 2 K108-neu). Die verarbeitenden Stellen müssen, ähnlich wie unter der DS-GVO (siehe dazu → Rn. 356 und 788 f.), die Grundsätze „privacy by design“ und „privacy by default“ beachten, sowie Wirkungsanalysen durchführen (Art. 10 K108-neu). Die neue Fassung der Konvention gibt genaue Hinweise auf die Voraussetzungen eines angemessenen Datenschutzniveaus bei grenzüberschreitenden Übermittlungen personenbezogener Daten (Art. 14 Nr. 3 K108-neu). Die revidierte Konvention bestimmt, dass neben gerichtlichen Sanktionen auch Verwaltungssanktionen vorzusehen sind (Art. 12 K108-neu). Zudem werden die Mitgliedstaaten verpflichtet, sicherzustellen, dass Aufsichtsbehörden sanktionieren und Maßnahmen ergreifen können (Art. 15 K108-neu). Die Konvention wird zudem für den Beitritt der Nichtmitgliedstaaten und internationaler Organisationen geöffnet (Art. 27 K108-neu). Strittig sind die Ausnahmemöglichkeiten von den Regelungen zu nationalen Aufsichtsbehörden (Art. 9 Abs. 1 lit. g K108-neu) in Art. 12 Abs. 2 des Entwurfs, die zum Teil als zu weitreichend erachtet werden. Art. 14 Abs. 1 S. 3 K108-neu betrifft die grenzüberschreitende Datenübermittlung und sieht eine Ausnahme zugunsten kollidierender EU-Normen vor, durch welche die Datenübermittlung zwischen EU-Mitgliedstaaten und Drittstaaten erschwert werden könnte. Es wird befürchtet, dies könnte die modernisierte Datenschutzkonvention für Nicht-EU-Mitglieder unattraktiver machen.
41
Lösung zu Fallbeispiel 1 – Anonyme Kontaktanzeige – Datenschutz nach Art. 8 EMRK (Rn. 27)
| Begründetheit der Beschwerde? | ||||||
| A. | Eröffnung des sachlichen und funktionalen Schutzbereichs des Art. 8 EMRK | |||||
| I. | Sachlicher Schutzbereich | |||||
| → | Art. 8 Abs. 1 EMRK schützt das Privatleben (Privatheit) zur freien Entfaltung der Persönlichkeit | |||||
| → | geschützt sind demnach die Privatheit (Privatsphäre) und personenbezogene Daten | |||||
| → | personenbezogene Daten im Internet veröffentlicht = betrifft Privatleben | |||||
| → | (+) | |||||
| II. | Funktionaler Schutzbereich | |||||
| → | Art. 8 Abs. 1 EMRK beinhaltet auch eine Schutzpflicht des Staates | |||||
| → | Staat ist verpflichtet, Beschwerdeführer vor Eingriffen Dritter zu schützen | |||||
| → | Dritter verletzt durch Veröffentlichung personenbezogener Daten das Recht auf Privatheit des Beschwerdeführers | |||||
| → | (+) | |||||
| B. | Eingriff | |||||
| → | Unterlassen des nationalen Gesetzgebers, Auskunftsansprüche über Bestandsdaten gegen Zugangsanbieter zur Verfolgung von Straftaten zu schaffen | |||||
| → | (+) | [Schutzpflichtenverstoß auch zweistufig prüfbar] | ||||
| C. | Rechtfertigung (Art. 8 Abs. 2 EMRK) | |||||
| I. | Gesetzliche Grundlage | |||||
| → | nationale Datenschutzgesetze vereitelten Auskunft über Bestandsdaten | |||||
| → | (+) | |||||
| II. | Legitimer Zweck | |||||
| 1. | Datenschutzrecht des Dritten als das „Recht anderer“ (Art. 8 Abs. 1 EMRK) | |||||
| 2. | (Meinungs-)Äußerungsfreiheit des Dritten als das „Recht anderer“ (Art. 10 Abs. 1 EMRK) | |||||
| → | (+) | |||||
| III. | Verhältnismäßigkeit | |||||
| 1. | Geeignetheit | |||||
| → | Eingriff ist im Stande, Datenschutzrecht des Dritten zu schützen (+) | |||||
| 2. | Erforderlichkeit | |||||
| → | Kein milderes gleich geeignetes Mittel zum Schutz des Datenschutzrechts des Dritten ersichtlich (+) | |||||
| 3. | Angemessenheit | |||||
| a) | Grenzen des konventionsstaatlichen Beurteilungsspielraums | |||||
| → | Grenze des Beurteilungsspielraums überschritten, wenn konventionsrechtlicher Mindeststandard unterschritten | |||||
| b) | Konventionsrechtlicher Mindeststandard als Ausfluss der Schutzpflicht | |||||
| aa) | Schwere des Eingriffs in das Rechtsgut (Privatheit des Beschwerdeführers) | |||||
| → | Beschwerdeführer minderjährig und besonders schutzbedürftig | |||||
| → | Gefahr, Opfer der Pädophilie und des sexuellen Missbrauchs zu werden | |||||
| → | Gefahr der Störung der geistigen und körperlichen Unversehrtheit und Entwicklung | |||||
| → | Schwerer Eingriff in bedeutendes Rechtsgut | |||||
| bb) | Förderung des Rechtfertigungsrechtsguts (Datenschutzrecht des Täters) | |||||
| → | Datenschutzrecht und Recht auf Privatheit des Dritten werden gefördert | |||||
| → | Förderung nicht grenzenlos | |||||
| cc) | Keine unerfüllbaren oder unverhältnismäßigen Schutzpflichten für den Gesetzgeber | |||||
| → | Hier nicht ersichtlich | |||||
| dd) | Erfüllung der Schutzpflicht | |||||
| → | Abwägung des Schutzbedürfnisses des Beschwerdeführers mit dem des Dritten | |||||
| → | Bei Abwägung zugunsten des Dritten wird Datenschutz zum Tatenschutz | |||||
| → | (–) | |||||
| → | Konventionsrechtlicher Mindeststandard zum Schutz der Rechtsgüter des Art. 8 Abs. 1 EMRK unterschritten | |||||
| → | Angemessenheit (–) | |||||
| → | Verhältnismäßigkeit (–) | |||||
| → | Rechtfertigung (–) | |||||
| D. | Ergebnis Beschwerde ist begründet. |
