am 15. Januar 2003 in Betrieb und wird derzeit von den
28 Mitgliedstaaten der EU sowie von Island, Norwegen,
Liechtenstein und der Schweiz genutzt.
Der Europäische Datenschutzbeauftragte (EDPS) über‑
wacht die Verarbeitung personenbezogener Daten im
Zentralsystem der Datenbank einschließlich der Über‑
mittlung von Daten daraus an die Mitgliedstaaten. Die
Datenschutzbehörden der Mitgliedstaaten überwachen
die Verarbeitung von Daten durch die einzelstaatlichen
Behörden sowie die Übermittlung dieser Daten an das
Zentralsystem. Um einen gemeinsamen Ansatz bei der
Datenschutzkontrolle zu gewährleisten, versammeln
sich Vertreter des EDPS und der Aufsichtsbehörden aus
den Anwenderstaaten mindestens zweimal pro Jahr in
der Eurodac-Datenschutzaufsichtsgruppe, derzeit unter
dem Vorsitz Schwedens. An den Beratungen und Tätig‑
keiten dieser Gruppe nehme ich regelmäßig teil.
Im Berichtszeitraum führte die gemeinsame Gruppe
eine u. a. koordinierte Untersuchung dahingehend
durch, wie in den Eurodac-Anwenderländern die
Wahrnehmung der Rechte der Betroffenen sicherge‑
stellt wird. Ein Bericht hierzu mit Empfehlungen wird
voraussichtlich 2019 veröffentlicht. Ferner setzte die
Gruppe ihre Arbeiten zur vorzeitigen Löschung von
Fingerabdrücken in Eurodac (Art. 13 der europäischen
Verordnung 603/2013) fort, so dass der diesbezügliche
Bericht ebenfalls 2019 erscheinen dürfte.
2.3 Abschluss der Revision
der Datenschutz-Konvention 108
Die Globalisierung des Datenverkehrs hat nicht nur
eine Modernisierung des Datenschutzrechts der
Europäischen Union erforderlich gemacht. Auch der
Europarat hat sich seit dem Jahre 2009 mit der Revision
des „Übereinkommens zum Schutz des Menschen bei
der automatischen Verarbeitung personenbezogener
Daten“ (Konvention 108) aus dem Jahre 1981 befasst.
Das Änderungsprotokoll wurde durch den Ministerrat
des Europarats am 18. Mai 2018 angenommen.
Die Konvention 108 des Europarats stammt aus dem Jahr
1981 und war das erste rechtsverbindliche zwischen‑
staatliche Übereinkommen zum Datenschutz. Sie enthält
die wichtigsten Grundsätze des Datenschutzrechts und
ist sowohl auf den privaten als auch auf den öffentlichen
Sektor anwendbar. Angesichts der gewaltigen techno‑
logischen Entwicklungen war eine Modernisierung der
Konvention 108 einschließlich ihres Zusatzprotokolls
aus dem Jahr 2001 erforderlich. Der über mehrere Jahre
dauernde Prozess konnte durch Verabschiedung des
Protokolls zur Änderung des Übereinkommens zum
Schutz des Menschen bei der automatischen Verarbei‑
44
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
tung personenbezogener Daten im Mai 2018 erfolgreich
abgeschlossen werden. Während der Erarbeitung habe
ich an den Sitzungen des Beratenden Ausschusses als
Beobachter teilgenommen (Artikel 18 der Konvention).
Neben den 47 Mitgliedstaaten des Europarats, zu denen
alle EU-Mitgliedstaaten sowie eine Reihe weiterer Staa‑
ten wie etwa die Russische Föderation, die Türkei, die
Schweiz und Norwegen gehören, haben bereits Uruguay,
Mauritius, Senegal, Tunesien, Kap Verde und jüngst
Mexiko die Konvention 108 ratifiziert. Die Konvention 108
hat damit – weit über Europa hinaus – Bedeutung für die
globale Entwicklung des Datenschutzrechts.
Durch das Änderungsprotokoll wurde die Konvention
108 mit den datenschutzrechtlichen Grundprinzipien,
den Betroffenenrechten und Pflichten der verantwort‑
lichen Stelle an die Grundsätze der Datenschutz-Grund‑
verordnung angepasst, so dass die notwendige Kohärenz
zwischen der Konvention und dem neuen EU-Rechts‑
rahmen erreicht werden konnte. Insbesondere werden
die Unterzeichnerstaaten verpflichtet, die Betroffenen‑
rechte zu stärken. Diese sollen z. B. das Recht erhalten,
Kenntnis von der Art und Weise der Datenverarbeitung
zu erlangen und dieser widersprechen zu können.
Ferner ist eine Meldepflicht für Verantwortliche bei
Verletzungen des Datenschutzes an die Aufsichtsbehörde
einzuführen. Auch die Schaffung von unabhängigen Auf‑
sichtsbehörden, die über Kontroll- und Sanktionsbefug‑
nisse bei Datenschutzverstößen verfügen und zu Zwecken
der Umsetzung der Konvention miteinander kooperieren,
ist für alle Konventionsstaaten verpflichtend.
2.4 Europäische Datenschutz
konferenz
Die jährliche Frühjahrskonferenz („Spring Conference“)
der europäischen Datenschutzbeauftragten befasste
sich in den Jahren 2017 und 2018 vor allem mit den
Entwicklungen zur Umsetzung der europäischen Datenschutz-Grundverordnung und der Modernisierung der
Konvention 108 sowie mit den aufsichtsrechtlichen
Befugnissen der Datenschutzbehörden.
Die europäische Datenschutzkonferenz dient dem Ge‑
danken- und Erfahrungsaustausch von Vertretern aller
Datenschutzaufsichtsbehörden aus Europa, der Europäi‑
schen Kommission, des Europarats sowie der OECD.
Bei der Frühjahrskonferenz 2017 in Limassol (Zypern)
wurde neben Umsetzungsfragen zur DSGVO vor allem
die Frage diskutiert, wie Bürger und Unternehmen
für einen effektiven Schutz personenbezogener Daten
sensibilisiert werden können. Unter anderem wurden
eine Beteiligung von Verbraucherschutzverbänden als