Die neue Datenschutzbehörde IHK Darmstadt 27. März 2012

Transkript

1 Die neue Datenschutzbehörde IHK Darmstadt 27. März 2012 Wilhelm Rydzy Gustav-Stresemann-Ring Wiesbaden Telefon 0611 / poststelle@datenschutz.hessen.de

2 Grundrecht auf informationelle Selbstbestimmung Recht des Einzelnen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen Einzelner muss wissen können, wer was wann und bei welcher Gelegenheit über ihn weiß Seite 2

3 Einschränkungen Überwiegendes Allgemeininteresse Gesetzliche Grundlage Normenklarheit Verhältnismäßigkeit Verfahrens- und organisationsrechtliche Schutzvorkehrungen Seite 3

4 Verbot mit Erlaubnisvorbehalt 4 Abs. 1 BDSG Verarbeitung personenbezogener Daten nur zulässig, soweit Gesetzlich erlaubt oder Der Betroffene eingewilligt hat ( 4a) Seite 4

5 Personenbezogene Daten Voraussetzung für Anwendbarkeit datenschutzrechtlicher Vorschriften Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 Abs. 1 BDSG) Seite 5

6 Zweckbindung Personenbezogene Daten dürfen grundsätzlich nur für den Zweck weiterverarbeitet werden, für den sie erhoben wurden. Zwecke sind bei der Erhebung konkret festzulegen ( 28 Abs. 1 Satz 2) Seite 6

7 Erbebung beim Betroffenen 4 Abs. 2 Personenbezogene Daten sind grundsätzlich beim Betroffenen zu erheben. Informationspflichten Seite 7

8 Rechte des Betroffenen Auskunftsanspruch 34 BDSG Einsicht in das Verfahrensverzeichnis der verantwortl. Stelle ( 4g Abs.2), der Aufsichtsbehörde ( 38 Abs. 2) Benachrichtigung über erstmalige Speicherung ( 33) Anspruch auf Berichtigung u. Löschung ( 35) Seite 8

9 Einschränkungen des Anwendungsbereichs des BDSG BDSG gilt nicht für nicht personenbezogene Daten allgemein zugängliche Daten Daten juristischer Personen Daten Verstorbener Datenverarbeitung erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten Seite 9

10 Staatliche Datenschutzaufsicht als organisationsrechtliche Schutzvorkehrung: Bundesverfassungsgericht Volkszählungsurteil 1983 (effektiver Schutz des Rechts auf informationelle Selbstbestimmung erfordert unabhängige ) Undurchsichtigkeit der automatisierten Datenverarbeitung für die Betroffenen vorgezogener Rechtsschutz der Betroffenen Seite 10

11 EU-rechtliche Vorgaben für Kontrollstellen EG-Datenschutzrichtlinie (Art. 28 Abs. 1) Urteil des Europäischen Gerichtshofs vom Umgesetzt durch 24 Abs. 4 Nr. 1 HDSG (Organisationsgewalt der Länder - 38 Abs. 6 BDSG) Seite 11

12 Kontrollbehörde für öffentliche hessische Stellen ( 24 Abs. 1 HDSG) Kontrollbehörde für nicht-öffentliche Stellen in Hessen ( 24 Abs. 4 HDSG) Seite 12

13 Rechtsstellung des HDSB Wahl durch Landtag für Dauer der Wahlperiode ( 21 Abs. 1 u. 4 HDSG) Abberufung nur durch Urteil des Staatsgerichtshofs ( 21 Abs. 4 HDSG) Rederecht im Hess. Landtag ( 21 Abs. 5) Oberste Landesbehörde ( 22 HDSG) Personal u. Sachausstattung wird vom Präsidenten des Landtags zur Verfügung gestellt ( 31 HDSG) Seite 13

14 Aufgaben der Aufsichtsbehörde Kontrolle der Ausführung des BDSG und anderer Datenschutzvorschriften Beratung und Unterstützung des betriebl. DSB und der verantwortl. Stellen Öffentliches Register nach 4d BDSG Genehmigung der Datenübermittlung in Länder außerhalb des EWR - 4c Abs. 2 BDSG Prüfung der Verhaltensregeln - 38a BDSG Seite 14

15 Befugnisse der Aufsichtsbehörde Auskunftsrecht ( 38 Abs. 3 Satz 1 BDSG) Zutrittsrecht ( 38 Abs. 4 Satz 1 BDSG) Prüfungs- und Besichtigungsrecht, Einsichtsrecht ( 38 Abs. 4 Satz 1 und 2 BDSG). Duldungspflicht des Auskunftspflichtigen (Satz 4) Seite 15

16 Anordnung- und Untersagungrechte der Aufsichtsbehörde ( 38 Abs.5) Anordnung von Maßnahmen zur Beseitigung von Datensicherheitsmängeln Anordnung von Maßnahmen zur Beseitig. von materiellen Rechtsverstößen Untersagung der Verarbeitung oder einzelner DV-Verfahren bei schwerwiegenden Verstößen Abberufung des betriebl. DSB Seite 16

17 Datenübermittlungsbefugnisse der Aufsichtsbehörde 38 Abs.1 Informationsaustausch mit anderen Aufsichtsbehörden ( 38 Abs. 1 Satz 4) Unterrichtung des Betroffenen über festgestellte Verstöße ( 38 Abs. 1 Satz 6) Einschaltung der Strafverfolgungsbehörden ( 38 Abs. 1 Satz 6, 44 Abs. 2 Satz 2) Einschaltung der Gewerbeaufsicht (Satz 6) Amtshilfe für Aufsichtsbeh. in Mitgliedstaaten der EU ( 38 Abs. 1 Satz 5) Tätigkeitsbericht ( 38 Abs. 1 Satz 7) Seite 17

18 Anrufung der Aufsichtsbehörde Jedermann hat das Recht zur Anrufung der Aufsichtsbehörde ( 38 Abs.1 Satz 7 i.v.m. 21 Satz 1 BDSG) frist-, form- und kostenfrei nicht nur Betroffene Arbeitnehmer betrieblicher r ( 4g Abs. 1 Satz 2 und 3 BDSG) - Unterrichtungspflicht gegenüber Arbeitgeber streitig Seite 18

19 Sanktionen: Bußgeld- und Strafvorschriften 43 u Bußgeldtatbestände ( 43 BDSG) Abs. 1: Verstöße mit Bußgeldern bis Abs. 2: Verstöße mit Bußgeldern bis Bußgeldtatbestände der 43 Abs. 2 plus weiterer Merkmale = Straftatbestand gem. 44 Abs. 1 BDSG Seite 19

20 Bußgeldtatbestände bis ( 43 Abs. 1 Nr. 1 bis 11 BDSG) Nr. 1 Verstoß gegen Meldepflicht ( 4d,4e) Nr. 2 Verstoß gegen Pflicht zur Bestellung eines betriebl. DSB ( 4f) Nr. 2a Beim autom. Abrufverfahren ist nicht gewährleistet, das Datenübermittlung festgestellt u. geprüft werden kann ( 10 Abs. 4 Satz 3) Nr. 2b Bei AuftragsDV ist Auftrag nicht oder nicht vollständig erteilt oder keine Kontrolle vor Auftragserteilung ( 11 Abs. 2 S. 2 u. 4) Seite 20

21 Bußgeldtatbestände bis Nr. 3 Bei Ansprache zu Werbe-, Markt- u. Meinungsforschungszwecken wurde nicht, nicht richtig oder rechtszeitig über verantwortl. Stelle und Widerspruchsrecht informiert ( 28 Abs. 4 S.2) Nr. 3a Für Widerspruch gegen Werbung wird strenger Form als für Vertrag verlangt. Nr. 4 Dritter nutzt Daten, die er erhalten hat, unzulässigerweise für andere Zwecke ( 28 Abs. 4 Satz 2) Seite 21

22 Bußgeldtatbestände bis Nr. 4a Nach Einmeldung von Negativdaten bei Auskunftei erfolgt Aktualisierungsmeldung nicht, nicht vollständig, nicht rechtzeitig ( 28a Abs. 3 Satz 1) Nr. 7b Verbraucher wird nicht unterrichtet, dass Verbraucherkredit oder entgeltl. Finanzierungshilfe infolge Auskunfteiauskunft abgelehnt wird ( 29 Abs.7 Satz 1) Seite 22

23 Bußgeldtatbestände bis Nr. 8 Benachrichtigung bei erstmaliger Datenspeicherung ist unterblieben ( 33 Abs. 1) Nr. 8a c Verstöße gegen die Auskunftspflicht ( 34) Seite 23

24 Bußgeldtatbestände bis Nr. 10 Von der Aufsichtsbehörde verlangte Auskünfte werden nicht erteilt und Maßnahmen nicht geduldet ( 38 Abs. 3 Satz 1, Abs. 4 Satz 1) Nr. 11 Anordnungen der Aufsichsbehörden werden nicht beachtet ( 38 Abs. 5 Satz 1) Seite 24

25 Bußgeldtatbestände bis Abs. 2 BDSG 43 Abs. 1 Verstöße gegen Verfahrensvorschriften 43 Abs. 2 Verstöße gegen materielle Schutzvorschriften Seite 25

26 Bußgeldtatbestände bis Abs. 2 BDSG Nr. 1 Unbefugtes Erheben und Verarbeiten personenbezogener Daten Nr. 4 Erschleichen personenbezogener Daten durch unrichtige Angaben (Hackerangriffe) Seite 26

27 Bußgeldtatbestände bis Abs. 2 BDSG Nr. 5a Verstoß gegen Kopplungsverbot (Vertragsabschluß nur bei Einwilligung in Werbung) 28 Abs. 3b: Einwilligung unwirksam! Nr. 5b Missachtung des Werbewiderspruchs ( 28 Abs. 4 Satz 1) Verstoß gegen Mitteilungspflicht bei Datenverarbeitungspannen oder Datenklau ( 42a) Seite 27

28 Täter Jedermann, der den Tatbestand erfüllen kann Kein Bußgeldverfahren gegen das Unternehmen als solches möglich Im Einzelfall konkret Verantwortlicher (bei jurist. Personen mit verteilten Verantwortlichkeiten: der Entscheidungsbefugte Begehungsweise: Vorsatz u. Fahrlässigk. Seite 28

29 Ahndungspraxis Restriktive Ahndungspraxis Opportunitätsprinzip (Verzicht selbst bei schweren Verstößen möglich, Abhängig vom Verhalten der verantwortl. Stelle) Höhe Seite 29

30 Strafvorschriften 44 BDSG 42 Abs. 2 plus Begehung gegen Entgelt oder In der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen Antragsdelikt Geldstrafe oder Haft bis 2 Jahre Seite 30

31 Informationspflichten bei Datenverarbeitungspannen ( 42a) Verantwortl. Stelle stellt fest, dass bestimmte Daten Dritten unrechtmäßig zur Kenntnis gelangt sind besondere Arten pers.bezg. Daten ( 3 Abs.9) pers.bezg. Daten, die Berufsgeheimnis unterliegen pers.bezg. Daten, die sich auf strafbare Handlungen oder Owi beziehen pers.bezg. Daten zu Bank- u. Kreditkartenkonten Seite 31

32 Informationspflichten bei Datenverarbeitungspannen ( 42a) Mitwirkung der verantwortl. Stelle bei Kenntniserlangung nicht erforderlich Schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen Gilt auch für TK- und Telemediendaten ( 93a As. 3 TKG, 15a TMG) Seite 32

33 Informationspflichten bei Datenverarbeitungspannen ( 42a) Unverzügliche Benachrichtigung der Betroffenen der Aufsichtsbehörde Zeitpunkt der Benachrichtigung an Betroffene Nach Schließung der Sicherheitslücke Die Strafverfolgung nicht mehr gefährdet wird Zeitpunkt der Benachrichtigung an Aufsichtsbehörde: ohne o.g. Verzögerung Seite 33

34 Informationspflichten bei Datenverarbeitungspannen ( 42a) Inhalt der Benachrichtigung an Betroffene Art der unrechtmäßigen Kenntniserlangung Empfehlungen für Maßnahmen zur Minderung möglicher Nachteile Inhalt der Benachrichtigung an die Aufsichtsbehörde zusätzlich Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung u. ergriffene Maßnahmen Seite 34

35 Informationspflichten bei Datenverarbeitungspannen ( 42a) Wenn Benachrichtigung der Betroffenen unverhältnismäßig Information durch Zeitungsanzeigen (bundesweit u. Halbseitig) oder gleich geeignete Maßnahmen Info auch im Eigeninteresse der verantw.stelle: Vermeidung von Haftungsansprüchen 7 BDSG Verstöße gegen 42a sind bußgeldbewehrt 43 Abs. 2 Nr. 7 BDSG Seite 35

36 Informationspflichten bei Datenverarbeitungspannen ( 42a) Handlungsempfehlung Klärung, ob entsprechend Daten gespeichert sind Verfahren festlegen: Wer beurteilt Informationspflicht? Wer informiert Aufsichtsbehörde Wer benachrichtigt Betroffene Seite 36