rating service  security service privacy service
 
2012/04/13 Überarbeitung der Datenschutzkonvention des Europarates
Worum handelt es sich? - Welche Änderungsvorschläge sind zu begrüßen, welche abzulehnen? - Auswirkungen auf das österreichische Datenschutzrecht? - Stellungnahme der ARGE DATEN

Worum handelt es sich bei der Datenschutzkonvention?

Bei dem „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)“ kurz Datenschutzkonvention (DSKonv) oder auch Datenschutzübereinkommen handelt es sich um den ersten völkerrechtlichen Vertrag Europas zur Sicherstellung eines einheitlichen Datenschutzniveaus.

Unterzeichnet wurde die Datenschutzkonvention / das Datenschutzübereinkommen am 28. Jänner 1981 – aus diesem Grund hat der Europarat den 28. Jänner zum europäischen Datenschutztag erklärt.

Durch Österreichs Beitritt in die Europäische Union hat die Datenschutzkonvention national zwar mittlerweile an Bedeutung verloren – da die Mitglieder der Europäischen Union und des Europarates aber nicht ident sind sichert die Datenschutzkonvention international nach wie vor datenschutzrechtliche Mindeststandards.

Die Datenschutzkonvention enthält dabei, ähnlich einer EU-Richtlinie, allgemeine Vorgaben (Richtlinien) die von den Unterzeichnern in nationalen Rechtsvorschriften umgesetzt werden müssen. Wenig überraschen dabei ist, dass die Datenschutzkonvention und die EU-Datenschutzrichtlinie viele Parallelen aufweisen.


Überarbeitung der Datenschutzkonvention

Derzeit arbeitet der Europarat an der Modernisierung der Datenschutzkonvention. Obwohl diese zwar sehr allgemein und technikneutral verfasst ist, können Regelungen aus dem Jahr 1981 im Jahr 2012 - nach mehr als 30 Jahren - nicht mehr zeitgemäß sein.

Die nächste Beratungsrunde über Änderungsvorschläge wird Mitte Juni stattfinden. Zur Vorbereitung der österreichischen Position über die bisher vorliegenden Änderungsvorschläge ersuchte das für die Durchführung der Datenschutzkonvention zuständige Bundeskanzleramt um Stellungnahmen zu den geplanten Änderungen.

Die Liste der geplanten Änderungen ist lang und unter http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_... im Detail abrufbar. Beim Durchlesen der Änderungen wird klar, dass die Datenschutzkonvention zukünftig zahlreiche Regelungen umsetzten soll die bereits in der EU-Datenschutzrichtlinie, und somit dem Datenschutzgesetzt 2000 (DSG 2000) in Österreich in Geltung sind.

Die Stellungnahme der ARGE DATEN zu den geplanten Änderungen befindet sich in englischer Sprache unter: http://ftp.freenet.at/privacy/gesetze/stellungnahme_datenschu.... Nachfolgend sind die Kernaussagen der Stellungnahme zusammengefasst.


Positive Änderungsvorschläge

Sehr zu begrüßen ist das klare durchgängige Bekenntnis zum Schutz grundliegender Menschenrechte wie dem Recht auf freie Meinungsäußerung aber auch dem Recht die Verarbeitung der eigenen personenbezogenen Daten zu kontrollieren (Preamble – DSKonv).

Gleichzeitig soll die Datenschutzkonvention um Begriffsbestimmungen erweitert werden bzw. sollen einige Begriffe in der Datenschutzkonvention entsprechend konkretisiert werden. So soll beispielsweise der Begriff der „Datenverarbeitung“ zukünftig jede Verwendung von Daten umfassen selbst wenn diese nicht automationsunterstützt verarbeitet werden(Art 2 lit c DSKonv).

Weiters soll die Datenschutzkonvention auch um die Begriffe (Daten-)Empfänger sowie Dienstleister erweitert werden (Art 2 lit e und f DSKonv). Die Abgrenzung zwischen Auftraggeber und Dienstleister ist von großer Bedeutung für die Beurteilung der rechtlichen Verantwortung einer Datenverarbeitung. In der Praxis sorgt diese Abgrenzung aber regelmäßig für Unklarheiten da ein zivilrechtlicher Dienstleister im Normalfall datenschutzrechtlicher Auftraggeber und damit für die Verarbeitung der Daten verantwortlich ist. Eine klare gesetzliche Definition ist daher unbedingt notwendig.

Neu hinzukommen soll, dass Auftraggeber jeden Verstoß gegen Datensicherheitsmaßnahmen, der sich ernsthaft auf den Schutz von personenbezogenen Daten auswirken könnte, melden müssen (Art 7 Z 2 DSKonv). Eine ähnliche Bestimmung befindet sich in § 24 Abs 2a DSG 2000.

Zuletzt soll die Datenschutzkonvention die Notwendigkeit einer unabhängigen Datenschutzaufsichtsbehörde verdeutlichen. Nicht nur dass diese unabhängig und deren Mitarbeiter weisungsfrei sein sollen, soll durch die Europaratsmitglieder ebenfalls sichergestellt werden, dass dieser ausreichende finanzielle, technische und personelle Ressourcen zur Verfügung stehen (Art 12bis Z 3 und 4 DSKonv). Eine derartige Datenschutzaufsichtsbehörde kann sich Österreich im Moment nur Wünschen – die Datenschutzkommission ist schließlich hoffnungslos unterfinanziert und somit überlastet.


Handlungsbedarf!

Äußerst befremdlich ist, dass die Datenschutzkonvention den Begriff der personenbezogenen Daten insofern aufweichen möchte, als dass Daten nicht mehr personenbezogen sein sollen,sofern sich diese nur durch unverhältnismäßig hohen Aufwand einer Person zuordnen lassen (Art 2 lit a DSKonv).

Wie der Begriff „personenbezogen“ zum Ausdruck bringt sind Daten personenbezogen sobald diese sich auf eine Person beziehen – der Aufwand der notwendig ist um den Bezug herzustellen kann und darf bei der Beurteilung des Personenbezugs keine Rolle spielen. Solange sich Daten einer Person zuordnen lassen sind diese als personenbezogen zu qualifizieren.

Die für die Datenschutzkonvention geplante Formulierung würde ein äußerst bedenkliches Signal für den Schutz von personenbezogenen Daten darstellen sowie darüber hinaus zu Unsicherheit führen und damit Spielraum für Interpretationen schaffen. Ab wann ein Aufwand unverhältnismäßig erscheint lässt sich schließlich nicht abschließend beurteilen. Dieser Änderungsvorschlag ist daher entschieden abzulehnen.

Ebenfalls abzulehnen ist die unklare Aufteilung der Verantwortung zwischen Auftraggeber und Dienstleist in Bezug auf zu ergreifende Sicherheitsmaßnahmen (Art 7 DSKonv). Während es technisch Sinn macht, dass ein Dienstleister bestimmte Sicherheitsmaßnahmen ergreift muss sichergestellt sein, dass rechtlich der Auftraggeber für die Einhaltung von Sicherheitsmaßnahmen verantwortlich ist. So ist es auch in der EU-DatenschutzRL vorgesehen (Art 17 EU-DatenschutzRL). Unklarheiten in Bezug auf die rechtliche Verantwortlichkeit führen schließlich nur dazu, dass sich am Ende keiner verantwortlich fühlt. Weiters sollten Sicherheitsmaßnahmen bei jeder Verarbeitung von Daten ergriffen werden müssen – nicht bloß in den wenigen in Artikel 7 DSKonv genannten Fällen.

Gleiches gilt für die vorgesehenen Risikoanalysen die zukünftig vor der Verarbeitung von Daten die ein besonderes Risiko für Betroffenen bergen (z.B. sensible Daten) durchgeführt werden müssen (Artikel 8 bis). Auch hier sollte eindeutig aus dem Vertragstext hervorgehen, dass rechtlich der Auftraggeber die Verantwortung für die Durchführung der Analyse trägt – unabhängig davon wer diese technisch durchführt.

Letztlich besteht bei beim in der Datenschutzkonvention geregelten Auskunftsrecht konkretisierungsbedarf (Art 8 DSKonv). Anhand der derzeitigen Formulierung ist nicht sicher gestellt, dass Betroffene über konkrete Empfänger ihrer Daten informiert werden müssen. Die derzeit vorgesehene Formulierung könnte ebenfalls derart interpretiert werden, dass lediglich mögliche Empfängerkreise beauskunftet werden müssen.


Fazit

Die geplanten Änderungen an der Datenschutzkonvention würden diese im Großen und Ganzen an die EU-Datenschutzrichtlinie anpassen und damit auf das Niveau des Rechtsverständnisses von 1995 bringen. Verbesserungen wie diese in der geplanten EU-Datenschutzverordnung zu finden sind sucht man in der Datenschutzkonvention aber vergebens. In Summe sind die geplanten Änderungen jedenfalls zu begrüßen auch wenn hie und da noch Verbesserungsbedarf besteht.

mehr --> EU-Verordnung Datenschutz - Harte Zeiten für Datenschutzmuffel
mehr --> Europäischer Datenschutztag - kein Grund zum Feiern
mehr --> Europarat: Überarbeitung der Datenschutzkonvention
Archiv --> RIS: Datenschutzübereinkommen
Archiv --> ARGE DATEN: Comment to the intended modernization of the Council of Europe Data Protection Convention
andere --> Europarat: Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
andere --> Wikipedia: Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten
andere --> Europarat: Der Europarat in Kürze
andere --> Wikipedia: Europarat
andere --> EU-Datenschutzrichtlinie

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster