Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten

Völkerrechtlicher Vertrag

Die Europäische Datenschutzkonvention ist ein völkerrechtlicher Vertrag, der den Schutz und den grenzüberschreitenden Austausch personenbezogener Daten regelt. Die offizielle Bezeichnung lautet Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108).

Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
Kurztitel: Europäische Datenschutzkonvention
Titel (engl.): Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
Datum: 28. Januar 1981
Inkrafttreten: 1. Oktober 1985
Fundstelle: Europarat (https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108)
Fundstelle (deutsch): 19. März 1985
(BGBl. II S. 539)
Vertragstyp: Multinational
Rechtsmaterie: Datenschutz
Unterzeichnung: 28. Januar 1981
Ratifikation: 19. Juni 1985

Deutschland: 19. Juni 1985
Liechtenstein: 11. Mai 2004
Österreich: 30. März 1988
Schweiz: 2. Oktober 1997
Luxemburg: 10. Februar 1988
Bitte beachte den Hinweis zur geltenden Vertragsfassung.

Geschichte

Bearbeiten

Die Konvention wurde am 28. Januar 1981 von den damaligen Mitgliedstaaten des Europarats vereinbart und trat am 1. Oktober 1985 in Kraft. Seit 2007 ist aufgrund dieser Unterzeichnung der 28. Januar der Europäische Datenschutztag.

Mit dem Übereinkommen wollten die unterzeichnenden Staaten den Datenschutz im Geltungsbereich der Konvention sicherstellen. Angesichts des zunehmenden grenzüberschreitenden Datenverkehrs sollte innerhalb der Unterzeichnerstaaten ein einheitliches Datenschutzniveau hergestellt werden. Im Hintergrund stand aber auch die Erwägung, dass ein übertriebener Datenschutz den Informationsaustausch zwischen den einzelnen Staaten hemmen könnte.

Die unterzeichnenden Staaten wurden deshalb durch das Übereinkommen verpflichtet, die Rechte und Grundfreiheiten – insbesondere die Persönlichkeitsrechte – der in ihrem Hoheitsgebiet lebenden Menschen bei der automatisierten Verarbeitung personenbezogener Daten zu schützen und zugleich den freien Datentransfer in andere Unterzeichnerstaaten grundsätzlich zu erlauben.

Die Konvention beinhaltet bestimmte elementare Datenschutzprinzipien, die in innerstaatliches Recht umzusetzen waren, darunter den Grundsatz der Datenverarbeitung nach Treu und Glauben, den Zweckbindungsgrundsatz, das Erforderlichkeitsprinzip sowie den Informationsanspruch des Betroffenen. Diese Grundsätze gelten jedoch nur für personenbezogene Daten, die automatisiert – also mit IT-Unterstützung – verarbeitet werden. Personenbezogene Daten, die ausschließlich manuell verarbeitet werden – beispielsweise Mitarbeiterdaten in Personalakten – unterliegen nicht der Europäischen Datenschutzkonvention.

Die Bundesrepublik Deutschland gehörte zu den Erstunterzeichnern, ratifizierte das Übereinkommen allerdings erst am 19. Juni 1985 als fünfter Staat nach Schweden, Frankreich, Spanien und Norwegen. Mit der Ratifizierung durch Deutschland konnte das Übereinkommen in diesen fünf Staaten zum 1. Oktober 1985 in Kraft treten.

In Österreich trat das Übereinkommen am 1. Juli 1988 in Kraft, in der Schweiz am 1. Februar 1998. Mittlerweile sind 55 Staaten der Europäischen Datenschutzkonvention beigetreten (Stand: 14. April 2021), zuletzt Marokko am 28. Mai 2019.[1]

Das Übereinkommen wurde am 8. November 2001 durch das „Zusatzprotokoll zum Europäischen Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr“ (Zusatzprotokoll)[2] ergänzt. Nach seinem Art. 1 sehen die Vertragsstaaten völlig unabhängige Kontrollstellen zur Gewährleistung der Rechte und Grundfreiheiten bei den Verarbeitungen personenbezogener Daten, d. h. staatliche Datenschutzbeauftragte oder -kommissionen, vor. Nach Art. 2 sollen personenbezogene Daten an Drittstaaten oder -organisationen grundsätzlich nur übermittelt werden dürfen, wenn dort ein angemessenes Datenschutzniveau gewährleistet wird, wobei Abweichungen von diesem Grundsatz unter weit gefassten Voraussetzungen zulässig sind. Art. 3 regelt schließlich, dass die Artikel 1 und 2 als Zusatzartikel zum Übereinkommen zu betrachten sind. Das Zusatzabkommen ist für Deutschland am 1. Juli 2004, für Österreich am 1. August 2008 und für die Schweiz am 1. April 2008 in Kraft getreten. Stand 2021 sind es 55 Vertragsstaaten auf vier Kontinenten.[3]

SEV 108+

Bearbeiten

Die Konvention wurde überarbeitet, um sie an die seit 1981 erfolgten technologischen Entwicklungen anzupassen. Angestrebt wurde ein gewisser Gleichklang mit der Rechtsentwicklung in der EU, die sich mit der Datenschutz-Grundverordnung und der Richtlinie (EU) 2016/680 für den Polizei- und Justizbereich[4] weiterentwickelt hat. Im Rahmen eines öffentlichen Konsultationsverfahrens gingen bis Juni 2012 50 Stellungnahmen beim Beratenden Ausschuss der Konvention ein.[5] Dieser empfahl am 30. November 2012 dem Ministerrat seine Änderungsanträge zur endgültigen Beschlussfassung durch einen Ad-hoc-Ausschuss. Mit den vorgeschlagenen Änderungen sollen unter anderem

  • die Beschränkung auf automatisierte Datenverarbeitung aufgegeben,
  • das Prinzip des Gesetzesvorbehalts bei der Datenverarbeitung gestärkt,
  • genetische und biometrische Daten besser geschützt,
  • die Befugnisse der Datenschutz-Aufsichtsbehörden gestärkt und
  • die Konvention für den Beitritt der EU und internationalen Organisationen geöffnet werden.[6]

Die Verhandlungen zur 108+ dauerten sieben Jahre bis 2018. Das Zusatzprotokoll CETS 223[7] wurde am 10. Oktober 2018 zur Signatur freigegeben. Es wird spätestens am 11. Oktober 2023 in Kraft treten, sofern bis dahin mindestens 38 Signatarstaaten beigetreten sind.[8] Deutschland hat es zusammen mit 21 weiteren Signatarstaaten am Tag der Freigabe signiert, aber noch nicht ratifiziert.[9]

Zum 40. Geburtstag der Europäische Datenschutzkonvention forderte der Generalsekretär des Europarates auf dem Europäischen Datenschutztag die restlichen Länder auf, die 108+ zu ratifizieren[3] – derzeit sind es 11 Länder und 32 weitere haben das Zusatzprotokoll bereits unterzeichnet.[8]

Bearbeiten
  1. Chart of signatures and ratifications of Treaty 108. Council of Europe – Treaty Office, 21. April 2021, abgerufen am 21. April 2021 (englisch).
  2. http://www.conventions.coe.int/Treaty/GER/Treaties/Html/181.htm
  3. a b Data protection Day: Secretary General calls on states to join the modernised “Convention 108+”. In: coe.int. 27. Januar 2021, abgerufen am 28. Januar 2021 (Pressemeldung Réf. DC 005(2021)).
  4. Richtlinie (EU) 2016/680 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. In: EUR-Lex.
  5. http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD-BUR_2011_01_%20MOS6%20Results.pdf
  6. http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD(2012)RAP29Abr%20E%20-%20Abridged%20report%20of%20the%2029th%20T-PD%20meeting%20(Strasbourg%2027-30%2011%202012).pdf.
  7. Konsolidierte englische Fassung der überarbeiteten Konvention 108 auf der Seite des Europarats. 18. Mai 2018, abgerufen am 23. September 2021.
  8. a b Chart of signatures and ratifications of Treaty 223. Council of Europe – Treaty Office, 14. April 2021, abgerufen am 14. April 2021 (englisch).
  9. Monika Ermert: Mutter der Datenschutzrichtlinie: Die „108“ wird 40. In: Heise online. 28. Januar 2021. Abgerufen am 28. Januar 2021.