Datenschutzrecht

1. Kapitel Grundlagen › A. Internationale Grundlagen › III. Europarat

III. Europarat

26

Der 1949 gegründete Europarat hat als Zielsetzung die dauerhafte Sicherung der Demokratie, der Rechtsstaatlichkeit und der Menschenrechte in Europa (Art. 1, 3 der Satzung des Europarats).[1] In Erfüllung dieser Aufgaben erarbeitete der Europarat die Europäische Menschenrechtskonvention (EMRK), die 1950 unterzeichnet wurde und 1953 in Kraft trat. Dem Europarat gehören 47 europäische Staaten an.[2] Er hat maßgeblich zur Entwicklung und Verrechtlichung der Menschenrechte beigetragen. Gerade das Datenschutzrecht zeigt im Übrigen, dass der Europarat auch auf die Entwicklung des Rechts der Europäischen Gemeinschaften eingewirkt hat und nunmehr auf das der Europäischen Union einwirkt.

27

Fallbeispiel 1 Anonyme Kontaktanzeige – Datenschutz nach Art. 8 EMRK

Eine unbekannte Person stellte eine Bekanntschaftsanzeige auf einer Dating-Seite im Internet ein.[3] Diese Anzeige enthielt

In der Anzeige wurde behauptet, dass der Beschwerdeführer eine intime Beziehung mit einem Jungen seines Alters oder einer älteren Person suche mit dem Ziel „to show him the way“. Die Anzeige auf der Dating-Seite erfolgte ohne Wissen des Beschwerdeführers. Dieser erhielt erst Kenntnis, als ihn ein erwachsener Mann per E-Mail kontaktierte und anbot, ihn zu treffen und „then to see what you want“. Unstrittig handelt es sich bei der Veröffentlichung um eine strafbare Handlung. Der Vater des Beschwerdeführers beantragte bei der Polizei, die Person zu ermitteln, die die Anzeige ins Internet gestellt hat. Die Polizei ermittelte die dynamische IP-Adresse. Der von der Polizei in Anspruch genommene Internetzugangsanbieter (Service-Provider) weigerte sich indes, die zu der IP-Adresse korrelierenden Bestandsdaten bekannt zu geben. Der Service-Provider berief sich auf den Schutz seiner Berufs- und Geschäftsgeheimnisse und auf die Wahrung des Datenschutzes gemäß den Bestimmungen des nationalen Telekommunikationsgesetzes. Die zuständige Behörde verklagte den Service-Provider vor nationalen Gerichten aller Instanzen auf Bekanntgabe der Bestandsdaten. Das erstinstanzliche Gericht stellte in einer Entscheidung fest, dass im nationalen Recht keine Rechtsgrundlage für die Bekanntgabe von Telekommunikationsdaten bei Verleumdung bestünde. Diese Entscheidung hatte vor allen nationalen Gerichten Bestand. Der Beschwerdeführer verklagt deswegen den Konventionsstaat wegen der Verletzung seines Rechts auf „Privatheit“ (Art. 8 EMRK) durch die nationalen Gerichte vor dem EGMR. Der Beschwerdeführer behauptet, dass der Konventionsstaat die Schutzpflicht für seine Privatheit nicht erfüllt habe.

Ist die Beschwerde begründet?

(Lösung siehe Rn. 41)

Anmerkungen

[1]

Satzung des Europarates v. 5.5.1949, SEV-Nr. 1.

[2]

Abrufbar unter: https://www.coe.int/de/web/portal/47-members-states (Abruf: 12.1.2021).

[3]

Angelehnt an EGMR, Urt. v. 2.12.2008, No. 2872/02, ECHR 2008-V, 125 – K.U./Finnland.

1. Recht auf Achtung des Privatlebens und der Korrespondenz (Art. 8 EMRK)

28

Die Europäische Menschenrechtskonvention (EMRK) stellt einen Meilenstein in der Entwicklung und Durchsetzung der Menschenrechte dar. Bei der EMRK handelt es sich um einen völkerrechtlichen Vertrag, der die Vertragsstaaten bindet. Einen wesentlichen Schub als internationales Menschenrechtsinstrument in Europa hat die EMRK durch die Einrichtung des ständigen Europäischen Gerichtshofs für Menschenrechte (EGMR) erhalten. Der neue EGMR trat 1998 an die Stelle des bisherigen, komplizierten Kontrollmechanismus, an dem die Europäische Menschenrechtskommission, der Ministerrat und der alte EGMR beteiligt waren. In Deutschland hat die EMRK zwar formell den Rang eines einfachen Gesetzes, jedoch betont das BVerfG, dass andere gesetzliche Bestimmungen der Bundesrepublik im Lichte der EMRK auszulegen sind.[1] Damit steht die EMRK de facto über dem einfachen Gesetz, ohne einen verfassungsrechtlichen Rang zu beanspruchen.

29

Die Konvention enthält als Grundrechtsdokument aus dem Jahr 1950 kein eigenes Datenschutzgrundrecht. Grundlage für den Datenschutz ist stattdessen das in Art. 8 Abs. 1 EMRK garantierte Recht auf Achtung des Privatlebens und der Korrespondenz. Schon früh hat die Europäische Menschenrechtskommission im Zusammenhang mit nationalen Volkszählungen aus Art. 8 Abs. 1 EMRK ein Recht auf den Schutz personenbezogener Daten entwickelt und es dem Schutzbereich der Privatsphäre zugeordnet.[2] Der Begriff der Korrespondenz wurde von den Konventionsorganen ebenfalls weit ausgelegt. Geschützt ist die Vertraulichkeit der Individualkommunikation, wenn zu Kommunikationszwecken Dritte (z.B. Telekommunikationsanbieter) in den Vorgang einbezogen werden. Der Schutzbereich umfasst demzufolge auch E-Mails, Telefongespräche und die Internet-Telefonie.[3] Ferner sind der Inhalt der Individualkommunikation sowie die Kommunikationsumstände (z.B. Verkehrsdaten) Teil des Schutzes der Privatsphäre.[4] Demnach wird in der Sache ein Datenschutzgrundrecht anerkannt, ohne dass dieses wie in Deutschland mit dem Recht auf informationelle Selbstbestimmung als eigenständige Emanation aus dem allgemeinen Recht auf Achtung des Privatlebens und der Korrespondenz eine gesonderte Bezeichnung erlangt hat. Gleichwohl entspricht in der Tendenz der Schutz der Achtung des Privatlebens dem allgemeinen Datenschutzgrundrecht (Recht auf informationelle Selbstbestimmung), während der Schutz der Korrespondenz dem Telekommunikationsgeheimnis (Fernmeldegeheimnis) entspricht.

30

Jede Erhebung, Speicherung, Weitergabe oder sonstige Verarbeitung personenbezogener Daten stellt dabei einen Eingriff in dieses Recht dar und muss gerechtfertigt werden.[5] Gemäß Art. 8 Abs. 2 EMRK muss der Eingriff gesetzlich geregelt sein. Die Rechtmäßigkeit des Eingriffs setzt des Weiteren voraus, dass ein legitimes, in Abs. 2 näher bestimmtes Ziel verfolgt wird. Schließlich darf der Eingriff nicht gegen den Grundsatz der Verhältnismäßigkeit verstoßen. Er muss mithin geeignet, erforderlich und angemessen sein. Das Recht der betroffenen Personen auf Schutz ihrer personenbezogenen Daten muss mit den öffentlichen Interessen, die für einen Eingriff sprechen, abgewogen werden.[6] Wenngleich der EGMR einem für die Konventionspraxis typischen kasuistischen Ansatz folgt und dogmatisch nicht immer überzeugt,[7] hat er bei der Prüfung der Rechtfertigung eines Eingriffs in den Menschenrechtsgehalt des Art. 8 Abs. 1 EMRK eine an den Teilbereichen des Schutzgehalts orientierte Systematik entwickelt. Zwar lässt die Rechtsprechung beispielsweise bei der Telefonüberwachung und der Speicherung von Verbindungsdaten offen, ob diese Eingriffe dem Recht auf Schutz personenbezogener Daten, mithin dem Teilbereich des Schutzes der Privatsphäre, oder dem Schutz der Vertraulichkeit der vermittelten Kommunikation, also dem Schutz der Korrespondenz, zuzuordnen sind.[8] Für beide Schutzbereiche hat der EGMR jedoch strukturgleiche, erhöhte Anforderungen an die Rechtfertigung eines Eingriffs aufgestellt. Während der EGMR den staatlichen Stellen einen weiten Beurteilungsspielraum bzw. eine weite Einschätzungsprärogative hinsichtlich der Legitimität des verfolgten Ziels und Zwecks belässt,[9] stellt er an die grundsätzlich erforderliche gesetzliche Rechtsgrundlage hohe Anforderungen.[10] Das zum Eingriff ermächtigende Gesetz muss besonders deutlich und genau sein. Dem Bestimmtheitsgebot misst der EGMR insbesondere bei heimlichen Eingriffen eine für die Beurteilung der Angemessenheit des Eingriffs entscheidende Bedeutung zu. Gleichfalls ausschlaggebend sind Vorkehrungen gegen Datenmissbrauch und die Möglichkeit der betroffenen Person, Auskunft zu den über sie gesammelten Daten zu verlangen.[11] Das Gesetz hat zu bestimmen, wer welche Daten zu welchem Zweck verarbeiten darf, wie lange solche Daten aufbewahrt werden dürfen und wie diese Vorgaben kontrolliert werden.[12] Schließlich spielen auch der Aussagegehalt und die Verwendungsmöglichkeiten der Daten eine Rolle bei der durchzuführenden Abwägung.[13] Gesundheitsdaten dürfen beispielsweise nur unter engen Voraussetzungen verarbeitet und genutzt werden.[14]

31

Die Rechtsprechung des EGMR hat die Eigenständigkeit und Bedeutung des Rechts auf den Schutz der personenbezogenen Daten erkannt und weist große Parallelen zur Rechtsprechung des BVerfG auf, sowohl von der angewandten Prüfungsstruktur als auch vom gewährten Schutzniveau her.[15] So stellt der EGMR auch fest, dass das Recht auf den Schutz personenbezogener Daten nicht schrankenlos gewährleistet werden kann, sondern insbesondere mit den Konventionsrechten anderer in Einklang gebracht werden muss. Dementsprechend ist der EGMR mittlerweile dazu übergegangen, ausdrücklich Schutzpflichten des Staates in Fällen anzuerkennen, in denen sich ausschließlich Private gegenüberstehen. Der Staat missachtet seine Schutzpflicht etwa dann, wenn er eine Rechtslage aufrechterhält, die die Identifizierung einer Privatperson aus datenschutzrechtlichen Gründen verhindert, obwohl die zur Identifizierung und zur Aufklärung der Straftat benötigten Daten beim Internetzugangsanbieter vorliegen. Im konkreten Fall konnte ein in seinem Privatleben empfindlich gestörter Minderjähriger nicht gegen den Täter vorgehen, weil die nationalstaatliche Rechtslage eine Verwendung vorliegender personenbezogener Daten zur Identifizierung des Täters nicht erlaubte. Dies stellt nach Ansicht des EGMR eine Verletzung der Schutzpflicht des Konventionsstaates dar.[16]

Anmerkungen

[1]

BVerfG, Beschl. v. 26.3.1987, 2 BvR 589/79 u.a. = BVerfGE 74, 358 (370) – Unschuldsvermutung; Urt. v. 4.5.2011, 2 BvR 2365/09 u.a. = BVerfGE 128, 326 = NJW 2011, 1931, Leitsatz 2 – EGMR Sicherungsverwahrung.

[2]

EKMR, Urt. v. 6.10.1982, No. 9702/82, DR 30, 239 (241) – X. v. Vereinigtes Königreich; Marauhn/Meljnik, in: Grote/Marauhn (Hrsg.), EMRK/GG, Band I, 2. Aufl. 2013, Kap. 16 Rn. 24.

[3]

Vgl. EGMR, Urt. v. 6.9.1978, No. 5029/71, Ser. A 28, Nr. 37 – Klass u.a./Deutschland; Urt. v. 2.8.1984, No. 8691/79, Ser. A 82, Nr. 64 – Malone/Vereinigtes Königreich; Urt. v. 24.4.1990, No. 11105/84, Ser. A 176-B, Nr. 8, 25 – Huvig/Frankreich; Urt. v. 22.10.2002, No. 47114/99 – Taylor-Sabori/Vereinigtes Königreich.

[4]

Grabenwarter/Pabel, EMRK, 6. Aufl. 2016, § 22 Rn. 10; Marauhn/Meljnik, in: Grote/Marauhn (Hrsg.), EMRK/GG, Band I, 2. Aufl. 2013, Kap. 16 Rn. 28; Uerpmann-Wittzack/Jankowska-Gilberg, MMR 2008, 83 (87).

[5]

EGMR, Urt. v. 24.4.1990, No. 11801/85, Ser. A 176-A, Nr. 26 – Kruslin/Frankreich; Urt. v. 25.3.1998, No. 23224/94, ECHR 1998-II, 524, Nr. 51 – Kopp/Schweiz; Urt. v. 16.2.2000, No. 27798/95, ECHR 2000-II, 58, Nr. 44 – Amann/Schweiz.

[6]

EGMR, Urt. v. 25.2.1997, No. 22009/93, ECHR 1997-I, 347, Nr. 95 – Z./Finland; Urt. v. 28.1.2003, No. 44647 ECHR 2003-I, 123, Nr. 79 – Peck; ausführlich Grabenwarter/Pabel, EMRK, 6. Aufl. 2016, § 22 Rn. 45.

[7]

Uerpmann-Wittzack/Jankowska-Gilberg, MMR 2008, 83 (86 f.).

[8]

EGMR, Urt. v. 6.9.1978, No. 5029/71, Ser. A 28, Nr. 41 – Klass u.a./Deutschland; Urt. v. 2.8.1984, No. 8691/79, Ser. A 82, Nr. 64 – Malone/Vereinigtes Königreich; Urt. v. 15.6.1992, No. 12433/86, Ser. A 238, Nr. 39 – Lüdi/Schweiz; Urt. v. 16.2.2000, No. 27798/95, ECHR 2000-II, 58, Nr. 44 – Amann/Schweiz; Urt. v. 3.4.2007, No. 62617/00 = EuGRZ 2007, 415, Nr. 41 – Copland/Vereinigtes Königreich; vgl. Urt. v. 16.6.2016 – 49176/11 – Versini-Campinchi u. Crasnianski/Frankreich = NJW 2017, 3577, Nr. 49.

[9]

Uerpmann-Wittzack, in: Ehlers (Hrsg.), Europäische Grundrechte und Grundfreiheiten, 4. Aufl. 2014, § 3 Rn. 24; Uerpmann-Wittzack/Jankowska-Gilberg, MMR 2008, 83 (87); Meyer-Ladewig/Nettesheim, in: Meyer-Ladewig/Nettesheim/v. Raumer (Hrsg.), EMRK, 4. Aufl. 2017, Art. 8 Rn. 109; Gersdorf, in: Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, 29. Ed. 2020, Art. 8 EMRK Rn. 58.

[10]

Grabenwarter/Pabel, EMRK, 6. Aufl. 2016, § 22 Rn. 39; Meyer-Ladewig/Nettesheim, in: Meyer-Ladewig/Nettesheim/v. Raumer (Hrsg.), EMRK, 4. Aufl. 2017, Art. 8 Rn. 34; Gersdorf, in: Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, 29. Ed. 2020, Art. 8 EMRK Rn. 53 f.

[11]

EGMR, Urt. v. 2.8.1984, No. 8691/79, Ser. A 82, Nr. 67 – Malone/Vereinigtes Königreich; Urt. v. 24.4.1990, No. 11801/85, Ser. A 176-A, Nr. 30 – Kruslin/Frankreich; Urt. v. 25.3.1998, No. 23224/94, ECHR 1998-II, 524, Nr. 64 – Kopp/Schweiz; Urt. v. 16.2.2000, No. 27798/95, ECHR 2000-II, 58, Nr. 52 ff. – Amann/Schweiz; Urt. v. 3.4.2007, No. 62617/00 = EuGRZ 2007, 415, Nr. 47 f. – Copland/Vereinigtes Königreich; Urt. v. 16.10.2018 – 70288/13 – Visy/Slowakei = NJW 2019, 2291, Nr. 39; Urt. v. 19.6.2018 – 35252/08 – Centrum för Rättvisa/Schweden = NVwZ 2018, 1457, Nr. 104, 107; Johlen, in: Stern/Sachs (Hrsg.), Europäische Grundrechte-Charta, 2016, Art. 8 Rn. 15 u. Fn. 27.

[12]

EGMR, Urt. v. 16.3.1987, No. 9248/81, Ser. A 116, Nr. 48 – Leander/Schweden; Urt. v. 16.2.2000, No. 27798/95, ECHR 2000-II, 58, Nr. 76 ff. – Amann/Schweiz.

[13]

EGMR, Urt. v. 16.3.1987, No. 9248/81, Ser. A 116, Nr. 48 – Leander/Schweden; Urt. v. 15.6.1992, No. 12433/86, Ser. A 238, Nr. 39 – Lüdi/Schweiz; Urt. v. 16.2.2000, No. 27798/95, ECHR 2000-II, 58, Nr. 44 – Amann/Schweiz; Urt. v. 4.5.2000, No. 28341/95, ECHR 2000-V, 61 – Rotaru/Rumänien; Johlen, in: Stern/Sachs (Hrsg.), Europäische Grundrechte-Charta, 2016, Art. 8 Rn. 14 u. Fn. 26.

[14]

EGMR, Urt. v. 25.2.1997, No. 22009/93, ECHR 1997-I, 347, Nr. 95 ff. – Z./Finland.

[15]

So auch Uerpmann-Wittzack, in: Ehlers (Hrsg.), Europäische Grundrechte und Grundfreiheiten, 4. Aufl. 2014, § 3 Rn. 25. Zur Prüfungsstruktur Gersdorf, in: Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, 29. Ed. 2020, Art. 8 EMRK Rn. 8 f.

[16]

EGMR, Urt. v. 2.12.2008, No. 2872/02, ECHR 2008-V, 125, Nr. 49 – K.U./Finnland; dazu ausführlich → Rn. 41.

2. Datenschutz-Konvention des Europarats

32

Im Europarat war man sich der durch die moderne Datenverarbeitungstechnologie entstandenen Gefahren für das Persönlichkeitsrecht des Einzelnen früh bewusst. Nach zwei Entschließungen des Ministerkomitees zur Verarbeitung personenbezogener Daten im nichtöffentlichen (1973)[1] und im öffentlichen (1974)[2] Bereich wurde 1981 das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Datenschutz-Konvention, Straßburger Vertrag – K108)[3] zur Unterzeichnung durch die Mitgliedstaaten ausgelegt. Das Übereinkommen trat 1985 in Kraft.

33

Im Gegensatz zu den Leitlinien der OECD ist die Datenschutz-Konvention des Europarats für die zeichnenden Staaten nach Ratifikation durch die Mitgliedstaaten für die Signatare völkerrechtlich verbindlich und ihr ist im nationalen Recht Wirkung zu verschaffen. Damit handelt sich bei der Konvention um das bislang einzige völkerrechtlich verbindliche Abkommen im Bereich des Datenschutzrechts.[4]

34

In materieller Hinsicht beanspruchen die Vorgaben der Konvention nach Art. 3 Abs. 1 K108 sowohl im öffentlichen als auch im privaten Bereich der Datenverarbeitung Geltung. Das heißt also, dass die Bestimmungen nicht danach differenzieren, ob eine öffentliche Stelle (der BND, die Universität etc.) oder ein Privater (ein Telekommunikationsunternehmen, ein Internet-Shop-Betreiber etc.) Daten verarbeitet. Die Konvention beschränkt sich jedoch auf die automatische Verarbeitung personenbezogener Daten natürlicher Personen. Die Anwendung der Konvention auch auf die manuelle Datenverarbeitung und auf juristische Personen ist den Mitgliedstaaten gemäß Art. 3 Abs. 2 lit. b und c K108 unbenommen. Die Konvention formuliert auch heute noch gültige Grundprinzipien des Datenschutzes:

35

Neben diesen gemäß Art. 10 K108 sanktionsbewehrten Verarbeitungsgrundsätzen trifft die Konvention auch Regelungen zur Datensicherheit (Art. 7 K108) und zum Umgang mit sensiblen Daten, also etwa Gesundheitsdaten (Art. 6 K108). Die Rechte der betroffenen Person sind in Art. 8 K108 normiert. Sie umfassen ein Auskunftsrecht, das Recht auf Berichtigung und Löschung sowie die Einräumung eines Rechtsmittels, das die betroffene Person in die Lage versetzt, ihre Rechtsposition durchzusetzen. Schließlich regelt die Konvention auch die grenzüberschreitende Übermittlung personenbezogener Daten zwischen Vertragsstaaten (Art. 12 K108). Dies ist gewissermaßen das Herzstück der Konvention, da sie den Konventionsstaaten als Gegenleistung für ihre Harmonisierungsbemühungen die Möglichkeit eines ungehinderten grenzüberschreitenden Datenaustauschs eröffnet. Daher dürfen die Konventionsstaaten den grenzüberschreitenden Verkehr personenbezogener Daten nicht allein zum Zweck des Schutzes des Persönlichkeitsrechts verbieten oder von einer Genehmigung abhängig machen. Hiervon darf gemäß Art. 12 Abs. 3 der Konvention abgewichen werden, wenn die nationale Rechtsordnung für bestimmte personenbezogene Daten besondere Vorschriften enthält und der Empfängerstaat keinen gleichwertigen Schutz gewährt oder es zu verhindern gilt, dass personenbezogene Daten über einen Vertragsstaat in das Hoheitsgebiet einer Nichtvertragspartei weitergegeben werden. Diese beiden Konstellationen stellen jedoch Ausnahmefälle dar. In der Regel bleibt es beim freien Datentransfer.[5] Die Übermittlung personenbezogener Daten in einen nicht den Konventionsbestimmungen unterliegenden Staat ist in Art. 2 des Zusatzprotokolls zur Datenschutz-Konvention[6] geregelt. Dieser bestimmt, dass personenbezogene Daten in einen Nichtvertragsstaat nur dann übermittelt werden dürfen, wenn dieser ein angemessenes Schutzniveau gewährleistet. Sofern das nationale Recht dies vorsieht, dürfen Daten auch in Staaten ohne angemessenes Schutzniveau weitergegeben werden, wenn spezifische Interessen der betroffenen Person oder wichtige öffentliche Interessen dies gebieten. Eine Übermittlung ist auch dann zulässig, wenn die verantwortliche übermittelnde Stelle Garantien (z.B. aus Vertragsklauseln) bietet, die von der zuständigen nationalen Behörde für ausreichend befunden werden.

36

Im Ergebnis normiert die Konvention damit ein angemessenes Datenschutzniveau innerhalb der Konventionsstaaten und ermöglicht dadurch den freien Datenaustausch innerhalb der Konventionsstaaten, wohingegen das „Verlassen“ des Konventionsraums strengeren Anforderungen unterworfen werden darf. Das vom Komitee der Ministerbeauftragten 2001 zur Unterzeichnung aufgesetzte Zusatzprotokoll verlangt schließlich die Schaffung einer oder mehrerer Kontrollstellen, die ihre näher bestimmten Aufgaben in völliger Unabhängigkeit wahrnehmen. Damit soll die effektive Durchsetzung der materiell-rechtlichen Vorgaben institutionell abgesichert werden. Waren es die Leitlinien der OECD, die dem Datenschutz in thematischer Hinsicht zum internationalen Durchbruch verhalfen, so wurde mit dem Inkrafttreten der völkerrechtlich verbindlichen Datenschutz-Konvention des Europarats Rechtsgeschichte geschrieben. Erstmals verpflichteten sich Staaten untereinander, grundsätzliche Datenerhebungs- und Datenverarbeitungsregeln zu achten und – im Falle des Verstoßes – zu sanktionieren. Der Druck auf die Mitgliedstaaten, im Bereich des Datenschutzes regelnd einzugreifen, wurde damit deutlich erhöht. Der Ansatz der Konvention, den freien Datenaustausch auf der Basis eines gemeinsamen Standards zu ermöglichen, sollte auch die Rechtsetzung der damaligen Europäischen Gemeinschaft (EG) maßgeblich beeinflussen. Dabei diente die Datenschutz-Konvention des Europarats als Vorlage für die erste allgemeine Datenschutzrichtlinie der EG.

37

So früh in der Geschichte des Datenschutzes der Europarat diesen als zukunftsträchtige Regelungsmaterie erkannt hatte, so lange hat er sich Zeit gelassen, die aus dem Jahre 1981 stammenden Regelungen der Datenschutz-Konvention an die Gegebenheiten heutiger Informationserhebung und -verwendung durch moderne Informationstechnologie im globalen Maßstab anzupassen. Erst 2010 begannen erste Diskussionen zur „Modernisierung“ der Konvention. Nach eingehenden Konsultationen und öffentlicher Diskussion wurde am 18.12.2012 ein konkreter Vorschlag zur Anpassung der Datenschutz-Konvention durch das Konsultationskomitee dem Ad-hoc-Datenschutzkomitee des Europarats (CAHDATA) vorgelegt.[7] Dieser nahm nach weiterer Überarbeitung am 3.12.2014 den Entwurf einer neuen Datenschutz-Konvention an und übermittelte diesen an das Ministerkomitee.[8] Der Änderungsentwurf ist zwar zunächst im Ministerkomitee auf lange anhaltende Uneinigkeiten gestoßen.[9]

38

Am 18.5.2018 wurde das Protokoll zur Änderung der Datenschutzkonvention[10] dann aber endlich verabschiedet[11], wenngleich es noch nicht in Kraft getreten ist. Hierzu fehlt es noch an der Ratifizierung durch alle Konventionsparteien.[12]

39

So prägend die erste Datenschutz-Konvention des Europarats für die EG-Datenschutzrichtlinie war, so sehr ist bei der Überarbeitung der Konvention auf die Entwicklungen auf Ebene der EU zu achten gewesen.[13] Denn die EU-Datenschutz-Grundverordnung (DS-GVO) und die EU-Datenschutzrichtlinie für den Polizei- und Justizbereich (DSRL-JI) sind seit dem 25.5.2018 anwendbar. Sollen die Mitgliedstaaten der EU oder die EU als solche in der Lage sein, beiden aktualisierten Datenschutzregimen zuzustimmen, kann auf einen gewissen Gleichklang nicht verzichtet werden.

40

Inhaltlich soll die geänderte bzw. ergänzende Datenschutz-Konvention daher in weiten Teilen die Entwicklung des Datenschutzrechts in der EU nachzeichnen. So wird in der durch das Änderungsprotokoll angepassten Datenschutzkonvention die Beschränkung des Anwendungsbereichs auf die automatisierte Datenverarbeitung aufgegeben (vgl. Art. 1 und 2 lit. c K108-neu). Hingegen wird eine „Haushaltsausnahme“ zugunsten von Datenverarbeitungsvorgängen zu rein persönlichen oder familiären Tätigkeiten eingeführt werden (Art. 3 Abs. 2 K108-neu). Eine weitere Neuerung ist der Fokus auf eine verstärkte Transparenz der Datenverarbeitung durch verbindliche und präzise, an die Datensubjekte weiterzuleitende Angaben (Art. 8 Abs. 1 K108-neu). Von praktischer Relevanz dürfte zudem die leichte Erweiterung der Auskunftsrechte der von einer Datenverarbeitung betroffenen Person sein (Art. 9 K108-neu). Das Protokoll sieht darüber hinaus nunmehr explizit eine Pflicht vor, Datenschutzverstöße bei einer ernsthaften Gefährdung der Persönlichkeitsrechte der betroffenen Personen zumindest den zuständigen Datenschutzbehörden umgehend zu melden (Art. 7 Abs. 2 K108-neu). Die verarbeitenden Stellen müssen, ähnlich wie unter der DS-GVO (siehe dazu → Rn. 356 und 788 f.), die Grundsätze „privacy by design“ und „privacy by default“ beachten, sowie Wirkungsanalysen durchführen (Art. 10 K108-neu). Die neue Fassung der Konvention gibt genaue Hinweise auf die Voraussetzungen eines angemessenen Datenschutzniveaus bei grenzüberschreitenden Übermittlungen personenbezogener Daten (Art. 14 Nr. 3 K108-neu). Die revidierte Konvention bestimmt, dass neben gerichtlichen Sanktionen auch Verwaltungssanktionen vorzusehen sind (Art. 12 K108-neu). Zudem werden die Mitgliedstaaten verpflichtet, sicherzustellen, dass Aufsichtsbehörden sanktionieren und Maßnahmen ergreifen können (Art. 15 K108-neu). Die Konvention wird zudem für den Beitritt der Nichtmitgliedstaaten und internationaler Organisationen geöffnet (Art. 27 K108-neu). Strittig sind die Ausnahmemöglichkeiten von den Regelungen zu nationalen Aufsichtsbehörden (Art. 9 Abs. 1 lit. g K108-neu) in Art. 12 Abs. 2 des Entwurfs, die zum Teil als zu weitreichend erachtet werden. Art. 14 Abs. 1 S. 3 K108-neu betrifft die grenzüberschreitende Datenübermittlung und sieht eine Ausnahme zugunsten kollidierender EU-Normen vor, durch welche die Datenübermittlung zwischen EU-Mitgliedstaaten und Drittstaaten erschwert werden könnte. Es wird befürchtet, dies könnte die modernisierte Datenschutzkonvention für Nicht-EU-Mitglieder unattraktiver machen.

41

Lösung zu Fallbeispiel 1 – Anonyme Kontaktanzeige – Datenschutz nach Art. 8 EMRK (Rn. 27)