40 Jahre Europäische Datenschutzkonvention | Hintergrund aktuell | bpb.de

Seit 2007 wird der Europäische Datenschutztag jährlich am 28. Januar begangen. Der Tag nimmt Bezug auf den 28. Januar 1981, an dem der Interner Link: Europarat vor 40 Jahren das Externer Link: Übereinkommen Nr. 108 "zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten" angenommen hatte. Das auch als Datenschutzkonvention bezeichnete Abkommen war das erste rechtsverbindliche und internationale Instrument zum Schutz personenbezogener Daten. Zwei Jahre, bevor das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung anerkannte und acht Jahre, bevor das "World Wide Web" präsentiert wurde, garantierte die Konvention, dass die "Rechte und Grundfreiheiten" eines jeden einzelnen "bei der automatischen Verarbeitung personenbezogener Daten geschützt werden". Entsprechend dem damaligen Stand der Technik wurden zudem Regelungen für den grenzüberschreitenden Datenverkehr aufgestellt. Die Unterzeichnerstaaten verpflichteten sich, entsprechende Gesetze im nationalen Recht zu verankern.

Zu den wichtigsten Prinzipien, die in der Datenschutzkonvention festgeschrieben wurden, gehörte die Datenbeschaffung nach Treu und Glauben und auf rechtmäßige Weise. Das bedeutet zum Beispiel, dass Personendaten nicht heimlich ohne Wissen der Betroffenen beschafft werden dürfen, ohne dass diese gegen ein Gesetz verstoßen haben. Auch das Gebot der Zweckbindung – Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden – ist in der Konvention festgeschrieben ebenso eine Auskunftspflicht gegenüber den Betroffenen.

Das Übereinkommen wurde 1981 zunächst von sieben Ländern (Österreich, Dänemark, Frankreich, Deutschland, Luxemburg, Schweden, Türkei) unterzeichnet und trat 1985 in Kraft. Inzwischen haben nicht nur alle Externer Link: 47 Mitgliedstaaten des Europarats, zu denen die EU-Mitgliedstaaten sowie eine Reihe weiterer Länder wie etwa Russland oder die Schweiz gehören, sondern auch Staaten außerhalb Europas wie Mexiko oder Tunesien die Konvention ratifiziert.

Um den Datenschutz weiter zu harmonisieren und zu stärken, wurde die Datenschutzkonvention im Jahr 2001 und 2018 um Zusatzprotokolle erweitert, die unter anderem alle Konventionsstaaten dazu verpflichten, unabhängige Kontrollstellen zu schaffen, die über die Einhaltung des Datenschutzes wachen.

DSGVO trat 2016 in Kraft

Die EU selbst verabschiedete 1995 die Richtlinie zum Externer Link: "Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr", in der Mindeststandards für den Datenschutz definiert wurden. Europäische Richtlinien haben jedoch keine unmittelbare Rechtsgeltung in den Mitgliedstaaten, sie müssen in nationales Recht umgesetzt werden.

Da in den letzten Jahren Ausmaß und Qualität der elektronischen Datenverarbeitung stark zugenommen haben, verabschiedete die EU 2016 die Externer Link: Datenschutzgrundverordnung (DSGVO) – das bis dato umfassendste Regulierungswerk zum Datenschutz in Europa. EU-Verordnungen haben unmittelbare Rechtsgeltung in den Mitgliedstaaten, sie sind vergleichbar mit Gesetzen, die für die gesamte EU gelten. Um den Mitgliedstaaten Zeit zur Anpassung der nationalen Gesetze zu geben, wurde eine Übergangsfrist von zwei Jahren vereinbart, bevor sie am 25. Mai 2018 in Kraft trat. In dieser Zeit sollten sich auch Unternehmen, Institutionen, Vereine und Verbände auf die neue Rechtslage vorbereiten können. Jeder, der persönliche Daten verarbeitet, ist an diese Verordnung gebunden, sie betrifft also nicht nur Konzerne wie Google oder Facebook.

Gebot der Datensparsamkeit und Zweckbindung

Interner Link: Die DSGVO regelt die Erhebung und Verarbeitung von personenbezogenen Daten. So müssen Websitebetreiber aktiv die Zustimmung der Nutzer und Nutzerinnen zur Datenverarbeitung einholen, es gilt zudem das Gebot der Datensparsamkeit und Zweckbindung. Für die Aufsichtsbehörden legt die DSGVO das Marktortprinzip fest: Unternehmen werden dort beaufsichtigt, wo sie ihre europäische Hauptniederlassung haben.

Trotz anfänglicher Umsetzungsprobleme zieht der Mitte 2020 vorgelegte Evaluationsbericht der EU-Kommission ein überwiegend positives Fazit zur DSGVO. Der Externer Link: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, lobt, dass durch die Einführung der DSGVO generell das Bewusstsein für Datenschutz gestiegen sei. Unternehmen und Institutionen, die gegen die DSGVO verstoßen, müssen nun mit empfindlichen Geldbußen rechnen, die mehrere Prozent des weltweiten Jahresumsatzes ausmachen können.

Ergänzende Regelungen in Arbeit

Einige Gesetze, welche die DSGVO ergänzen sollen, stehen noch aus. Auf europäischer Ebene wird seit Anfang 2017 über eine ePrivacy-Verordnung verhandelt, die unter anderem das Tracking mit Interner Link: Cookies und den Schutz persönlicher Daten bei internetbasierten Kommunikationsdiensten wie WhatsApp und iMessage regulieren soll. Die deutsche EU-Ratspräsidentschaft versuchte im vergangenen Herbst eine Einigung zu erzielen, scheiterte jedoch mit dem Vorhaben.

Auf Bundesebene wird derzeit erörtert, wie die personenbezogenen Daten von Beschäftigten im Arbeitsumfeld geschützt werden können. Ein vom Bundesministerium für Arbeit und Soziales (BMAS) einberufener Beirat erörtert derzeit, ob gesetzliche Änderungen für den Beschäftigtendatenschutz sinnvoll sind, beispielsweise um den Einsatz von Interner Link: Künstlicher Intelligenz am Arbeitsplatz und bei der Personalauswahl zu regulieren.

Unabhängig davon wird derzeit auf europäischer Ebene auch über das Verhältnis zwischen Kryptographie und Sicherheitspolitik diskutiert. Der Externer Link: EU-Ministerrat hatte im November eine Resolution verabschiedet, wonach die europäischen Staaten zu einer neuen Abwägung zwischen dem "Recht auf Verschlüsselung" für Privatpersonen und Unternehmen und dem "Schutz vor Verschlüsselung" für Strafverfolgungsbehörden kommen sollen, zum Beispiel bei Messengern. Ziel ist es, dass staatliche Institutionen in Sonderfällen Zugang zu Ende-zu-Ende-Verschlüsselungen bekommen sollen. Die Innenministerinnen und -minister der EU streben eine breite gesellschaftliche Debatte zu diesem Thema an.

Mehr zum Thema:

• Interner Link: Was steht in der Europäischen Datenschutz-Grundverordnung?

• Interner Link: Dossier: Democracy- im Rausch der Daten

• Interner Link: 27. Januar 1977: Das Bundesdatenschutzgesetz wird verabschiedet

• Interner Link: Erklärfilm: Der Weg der Daten

• Interner Link: Matthias Schulze: Going Dark? Dilemma zwischen sicherer, privater Kommunikation und den Sicherheitsinteressen von Staaten (APUZ 46-47/2017)