Schließlich prüft die Artikel-29-Gruppe den „Code of Conduct on privacy for mHealth“, der ein System der
freiwilligen Selbstverpflichtung etabliert und vordringlich Entwickler sowie Hersteller mobiler Gesundheitsanwendungen anspricht. Er wurde der Artikel-29-Gruppe im Juni 2016 vorgelegt. Die Subgroup E-Government ist
derzeit mit den Verfassern des Code of Conduct im Gespräch, um auf Verbesserungen des Datenschutzniveaus
hinzuwirken. Anhand dieses Dokumentes werden die wesentlichen datenschutzrechtlichen Vorgaben für mobile
Anwendungen auf europäischer Ebene abgestimmt (vgl. u. Nr. 1.5).
Datenschutz bei neuen Technologien
Aus der Arbeit der Technology Subgroup der Artikel-29-Gruppe ist insbesondere eine Empfehlung zur Nutzung
von Drohnen (vgl. u. Nr. 10.2.6) zu nennen sowie eine Stellungnahme zur Überarbeitung der ePrivacy-Richtlinie (EU-Datenschutzrichtlinie für elektronische Kommunikation) (vgl. u. Nr. 17.2.4.1).
Koordinierung nationaler Durchsetzungsmaßnahmen
Die Ende 2016 wieder aktivierte Subgroup Enforcement soll sich künftig damit beschäftigen, die anderen Subgroups bei den erforderlichen nationalen Durchsetzungsmaßnahmen zu koordinieren und entsprechende Verfahrensweisen zu harmonisieren. Die erste Aktivität dieser Subgroup galt dem Messenger-Dienst WhatsApp. Nach
dessen Übernahme durch Facebook hat die Artikel-29-Gruppe WhatsApp schriftlich aufgefordert, die Datenübermittlung von personenbezogenen Daten an Facebook für EU-Bürger zu unterlassen. WhatsApp hat entsprechend reagiert und die Datenübermittlung vorrübergehend bis zur endgültigen Klärung der rechtlichen Fragen
gestoppt (vgl. u Nr. 17.3.1).
2.5
Europarat
Fortschritte bei der Revision der Datenschutz-Konvention 108
Die Globalisierung des Datenverkehrs hat nicht nur eine Modernisierung des Datenschutzrechts der Europäischen Union erforderlich gemacht, auch der Europarat befasst sich seit dem Jahre 2009 mit der Revision des
„Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“
(Konvention 108) aus dem Jahre 1981. Im Berichtszeitraum wurden in den Verhandlungen über ein Änderungsprotokoll erhebliche Fortschritte erzielt, eine vollständige Einigung steht indes noch aus.
Nach Abschluss der Beratungen der EU zur Datenschutz-Grundverordnung (vgl. Nr. 1.1) konnten die Arbeiten
an der Überarbeitung der Konvention 108 im Berichtszeitraum erheblich voran gebracht werden (vgl. 24. TB
Nr. 2.4.3). Im Juni 2016 hat das für die Reform der Konvention Nr. 108 des Europarates eingerichtete „Ad-hoc
Committee on Data Protection“ (CAHDATA) einen weitgehend konsentierten Protokollentwurf zur Änderung
der Konvention an die Berichterstattergruppe „Justizielle Zusammenarbeit“ (GR-J) des Europarats weitergeleitet. Dort sollen die wenigen verbliebenen offenen Punkte abschließend verhandelt werden, um die Annahme
durch das Ministerkomitee zu ermöglichen. Trotz intensiver Arbeiten der Berichterstattergruppe konnte bis
Ende 2016 kein vollständiger Konsens über das Änderungsprotokoll erzielt werden. Die Gründe hierfür lagen
unter anderem an der Forderung der Russischen Föderation nach erweiterten Ausnahmeregelungen für Datenverarbeitungen zu Zwecken der nationalen Sicherheit. Zudem bestanden zwischen den EU-Mitgliedstaaten unterschiedliche Auffassungen zur Frage der künftigen Stimmrechtsausübung im Beratenden Konventionsausschuss „T-PD“ durch die Europäische Union und die Modalitäten des Inkrafttretens des Änderungsprotokolls.
Trotz dieser noch offenen Punkte begrüße ich die erheblichen Fortschritte, die bei der Überarbeitung der Konvention erzielt wurden. Dies gilt zunächst für deren Anwendungsbereich, der sich auf den gesamten öffentlichen
und nicht-öffentlichen Bereich erstreckt. Positiv ist herauszustellen, dass die Bundesregierung die Forderung der
Russischen Föderation zur vollständigen Ausnahme von Datenverarbeitungen durch Nachrichtendienste aus
dem Geltungsbereich der Konvention im Ergebnis nicht mitgetragen hat. Positiv ist zudem, dass der materielle
Gehalt des Änderungsprotokolls mit den datenschutzrechtlichen Grundprinzipien, den Betroffenenrechten und
Pflichten
der
verantwortlichen
Stelle
nunmehr
weitgehend
mit
den
Grundsätzen
der
EU-Datenschutzgrundverordnung und der EU-Datenschutzrichtlinie übereinstimmt, so dass die notwendige
Kohärenz zwischen der Konvention und dem neuen EU-Rechtsrahmen erreicht werden konnte. Ein bedeutender
Fortschritt für den Datenschutz stellt ferner die in dem Änderungsprotokoll vorgesehene Verpflichtung der Vertragsparteien dar, auf nationaler Ebene unabhängige Aufsichtsbehörden vorzusehen, die über Kontroll- und
Sanktionsbefugnisse bei Datenschutzverstößen verfügen und zu Zwecken der Umsetzung der Konvention miteinander kooperieren und gegenseitige Amtshilfe leisten sollen.
BfDI 26. Tätigkeitsbericht 2015-2016
– 61 –