35
Neben diesen gemäß Art. 10 K108 sanktionsbewehrten Verarbeitungsgrundsätzen trifft die Konvention auch Regelungen zur Datensicherheit (Art. 7 K108) und zum Umgang mit sensiblen Daten, also etwa Gesundheitsdaten (Art. 6 K108). Die Rechte der betroffenen Person sind in Art. 8 K108 normiert. Sie umfassen ein Auskunftsrecht, das Recht auf Berichtigung und Löschung sowie die Einräumung eines Rechtsmittels, das die betroffene Person in die Lage versetzt, ihre Rechtsposition durchzusetzen. Schließlich regelt die Konvention auch die grenzüberschreitende Übermittlung personenbezogener Daten zwischen Vertragsstaaten (Art. 12 K108). Dies ist gewissermaßen das Herzstück der Konvention, da sie den Konventionsstaaten als Gegenleistung für ihre Harmonisierungsbemühungen die Möglichkeit eines ungehinderten grenzüberschreitenden Datenaustauschs eröffnet. Daher dürfen die Konventionsstaaten den grenzüberschreitenden Verkehr personenbezogener Daten nicht allein zum Zweck des Schutzes des Persönlichkeitsrechts verbieten oder von einer Genehmigung abhängig machen. Hiervon darf gemäß Art. 12 Abs. 3 der Konvention abgewichen werden, wenn die nationale Rechtsordnung für bestimmte personenbezogene Daten besondere Vorschriften enthält und der Empfängerstaat keinen gleichwertigen Schutz gewährt oder es zu verhindern gilt, dass personenbezogene Daten über einen Vertragsstaat in das Hoheitsgebiet einer Nichtvertragspartei weitergegeben werden. Diese beiden Konstellationen stellen jedoch Ausnahmefälle dar. In der Regel bleibt es beim freien Datentransfer.[5] Die Übermittlung personenbezogener Daten in einen nicht den Konventionsbestimmungen unterliegenden Staat ist in Art. 2 des Zusatzprotokolls zur Datenschutz-Konvention[6] geregelt. Dieser bestimmt, dass personenbezogene Daten in einen Nichtvertragsstaat nur dann übermittelt werden dürfen, wenn dieser ein angemessenes Schutzniveau gewährleistet. Sofern das nationale Recht dies vorsieht, dürfen Daten auch in Staaten ohne angemessenes Schutzniveau weitergegeben werden, wenn spezifische Interessen der betroffenen Person oder wichtige öffentliche Interessen dies gebieten. Eine Übermittlung ist auch dann zulässig, wenn die verantwortliche übermittelnde Stelle Garantien (z.B. aus Vertragsklauseln) bietet, die von der zuständigen nationalen Behörde für ausreichend befunden werden.
36
Im Ergebnis normiert die Konvention damit ein angemessenes Datenschutzniveau innerhalb der Konventionsstaaten und ermöglicht dadurch den freien Datenaustausch innerhalb der Konventionsstaaten, wohingegen das „Verlassen“ des Konventionsraums strengeren Anforderungen unterworfen werden darf. Das vom Komitee der Ministerbeauftragten 2001 zur Unterzeichnung aufgesetzte Zusatzprotokoll verlangt schließlich die Schaffung einer oder mehrerer Kontrollstellen, die ihre näher bestimmten Aufgaben in völliger Unabhängigkeit wahrnehmen. Damit soll die effektive Durchsetzung der materiell-rechtlichen Vorgaben institutionell abgesichert werden. Waren es die Leitlinien der OECD, die dem Datenschutz in thematischer Hinsicht zum internationalen Durchbruch verhalfen, so wurde mit dem Inkrafttreten der völkerrechtlich verbindlichen Datenschutz-Konvention des Europarats Rechtsgeschichte geschrieben. Erstmals verpflichteten sich Staaten untereinander, grundsätzliche Datenerhebungs- und Datenverarbeitungsregeln zu achten und – im Falle des Verstoßes – zu sanktionieren. Der Druck auf die Mitgliedstaaten, im Bereich des Datenschutzes regelnd einzugreifen, wurde damit deutlich erhöht. Der Ansatz der Konvention, den freien Datenaustausch auf der Basis eines gemeinsamen Standards zu ermöglichen, sollte auch die Rechtsetzung der damaligen Europäischen Gemeinschaft (EG) maßgeblich beeinflussen. Dabei diente die Datenschutz-Konvention des Europarats als Vorlage für die erste allgemeine Datenschutzrichtlinie der EG.
37
So früh in der Geschichte des Datenschutzes der Europarat diesen als zukunftsträchtige Regelungsmaterie erkannt hatte, so lange hat er sich Zeit gelassen, die aus dem Jahre 1981 stammenden Regelungen der Datenschutz-Konvention an die Gegebenheiten heutiger Informationserhebung und -verwendung durch moderne Informationstechnologie im globalen Maßstab anzupassen. Erst 2010 begannen erste Diskussionen zur „Modernisierung“ der Konvention. Nach eingehenden Konsultationen und öffentlicher Diskussion wurde am 18.12.2012 ein konkreter Vorschlag zur Anpassung der Datenschutz-Konvention durch das Konsultationskomitee dem Ad-hoc-Datenschutzkomitee des Europarats (CAHDATA) vorgelegt.[7] Dieser nahm nach weiterer Überarbeitung am 3.12.2014 den Entwurf einer neuen Datenschutz-Konvention an und übermittelte diesen an das Ministerkomitee.[8] Der Änderungsentwurf ist zwar zunächst im Ministerkomitee auf lange anhaltende Uneinigkeiten gestoßen.[9]
38
Am 18.5.2018 wurde das Protokoll zur Änderung der Datenschutzkonvention[10] dann aber endlich verabschiedet[11], wenngleich es noch nicht in Kraft getreten ist. Hierzu fehlt es noch an der Ratifizierung durch alle Konventionsparteien.[12]
39
So prägend die erste Datenschutz-Konvention des Europarats für die EG-Datenschutzrichtlinie war, so sehr ist bei der Überarbeitung der Konvention auf die Entwicklungen auf Ebene der EU zu achten gewesen.[13] Denn die EU-Datenschutz-Grundverordnung (DS-GVO) und die EU-Datenschutzrichtlinie für den Polizei- und Justizbereich (DSRL-JI) sind seit dem 25.5.2018 anwendbar. Sollen die Mitgliedstaaten der EU oder die EU als solche in der Lage sein, beiden aktualisierten Datenschutzregimen zuzustimmen, kann auf einen gewissen Gleichklang nicht verzichtet werden.
40
Inhaltlich soll die geänderte bzw. ergänzende Datenschutz-Konvention daher in weiten Teilen die Entwicklung des Datenschutzrechts in der EU nachzeichnen. So wird in der durch das Änderungsprotokoll angepassten Datenschutzkonvention die Beschränkung des Anwendungsbereichs auf die automatisierte Datenverarbeitung aufgegeben (vgl. Art. 1 und 2 lit. c K108-neu). Hingegen wird eine „Haushaltsausnahme“ zugunsten von Datenverarbeitungsvorgängen zu rein persönlichen oder familiären Tätigkeiten eingeführt werden (Art. 3 Abs. 2 K108-neu). Eine weitere Neuerung ist der Fokus auf eine verstärkte Transparenz der Datenverarbeitung durch verbindliche und präzise, an die Datensubjekte weiterzuleitende Angaben (Art. 8 Abs. 1 K108-neu). Von praktischer Relevanz dürfte zudem die leichte Erweiterung der Auskunftsrechte der von einer Datenverarbeitung betroffenen Person sein (Art. 9 K108-neu). Das Protokoll sieht darüber hinaus nunmehr explizit eine Pflicht vor, Datenschutzverstöße bei einer ernsthaften Gefährdung der Persönlichkeitsrechte der betroffenen Personen zumindest den zuständigen Datenschutzbehörden umgehend zu melden (Art. 7 Abs. 2 K108-neu). Die verarbeitenden Stellen müssen, ähnlich wie unter der DS-GVO (siehe dazu → Rn. 356 und 788 f.), die Grundsätze „privacy by design“ und „privacy by default“ beachten, sowie Wirkungsanalysen durchführen (Art. 10 K108-neu). Die neue Fassung der Konvention gibt genaue Hinweise auf die Voraussetzungen eines angemessenen Datenschutzniveaus bei grenzüberschreitenden Übermittlungen personenbezogener Daten (Art. 14 Nr. 3 K108-neu). Die revidierte Konvention bestimmt, dass neben gerichtlichen Sanktionen auch Verwaltungssanktionen vorzusehen sind (Art. 12 K108-neu). Zudem werden die Mitgliedstaaten verpflichtet, sicherzustellen, dass Aufsichtsbehörden sanktionieren und Maßnahmen ergreifen können (Art. 15 K108-neu). Die Konvention wird zudem für den Beitritt der Nichtmitgliedstaaten und internationaler Organisationen geöffnet (Art. 27 K108-neu). Strittig sind die Ausnahmemöglichkeiten von den Regelungen zu nationalen Aufsichtsbehörden (Art. 9 Abs. 1 lit. g K108-neu) in Art. 12 Abs. 2 des Entwurfs, die zum Teil als zu weitreichend erachtet werden. Art. 14 Abs. 1 S. 3 K108-neu betrifft die grenzüberschreitende