Entwicklungen im Datenschutz national und europäisch

Transkript

1 Entwicklungen im Datenschutz national und europäisch 6. Münchener Datenschutztag, 7. Juni 2018 Corinna Holländer Referentin für Datenschutzrecht Bundesministerium des Innern, für Bau und Heimat

2 Agenda I. Nationale Entwicklungen: Omnibus -Gesetzgebung 1. Rahmenbedingungen 2. Methode und Vorgehen 3. Beispielen zur Terminologie II. Europäische Entwicklungen 1. Überblick über wichtige EU-Initiativen 2. eprivacy-verordnung: a) Beratungsverlauf b) Warum dauert es so lange? Knackpunkte in den Beratungen Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 2

3 1. Nationale Entwicklungen: Omnibus -Gesetzgebung Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 3

4 I. Nationale Entwicklungen: Omnibus -Gesetzgebung: 1. Rahmenbedingungen Die DS-GVO eine hinkende Verordnung Grundsatz: Eine EU-Verordnung bedarf keiner Umsetzung und gibt den Mitgliedstaaten keine Gestaltungsspielräume ( Vollharmonisierung ) o Artikel 288 AEUV: Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. aber: Die DS-GVO enthält zum Teil zwingenden Regelungsaufträgen und Regelungsoptionen (= hinkende VO) zahlreiche Öffnungsklausen zugunsten des nationalen Gesetzgebers Gestaltungsspielräume v.a. im öffentlichen Bereich (fehlende Binnenmarktrelevanz) vor allem Erhalt und Konkretisierung der Rechtsgrundlagen für öffentliche Stellen, einschließlich Zweckänderungen (Art. 6 II - IV) Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 4

5 I. Nationale Entwicklungen: Omnibus -Gesetzgebung: 2. Methode und Vorgehen 1. Stufe: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU vom 30. Juni 2017 (BDSG 2018) Entlastung der Fachgesetze durch ein Gesetz, das allgemeine Regelungen vor die Klammer zieht; BDSG bleibt Auffangrecht für öffentliche Stellen 2. Stufe: Anpassung des fachspezifischen Datenschutzrechts Anpassung u.a. der AO und der SGB I und X durch das Gesetz zur Änderung des Bundesversorgungsgesetz und anderer Gesetze vom 24. Juli Datenschutz-Anpassungs- und Umsetzungsgesetz durch BMI zurzeit in Ressortabstimmung, > 150 Gesetze andere Fachressorts: übrige Fachgesetze sowie RechtsVO Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 5

6 I. Nationale Entwicklungen: Omnibus -Gesetzgebung: 2. Methode und Vorgehen Anders als das umfassend neu konzipierte BDSG 2018 bleibt das fachspezifische Datenschutzrecht weitestgehend erhalten. Grund: Fachspezifisches Datenschutzrecht regelt häufig spezifische Rechtsgrundlagen im öffentlichen Interesse Ausgestaltung der Betroffenenrechte Hier lässt die DS-GVO den Mitgliedstaaten Gestaltungsspielräume: Art. 6 Abs. 2-4, Art. 9 Abs. 2 und Art. 23 Jedoch umfassende Rechtsbereinigung erforderlich Terminologie muss angepasst werden Verweise auf BDSG a.f. müssen repariert werden Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 6

7 I. Nationale Entwicklungen: Omnibus -Gesetzgebung: 3. Beispiele zur Terminologie Rechtsbereinigung Terminologie Beispiele Fachrecht alt Betroffener verantwortliche Stelle Erheben, Verarbeiten und Nutzen Auftragsdatenverarbeitung Sperrung besondere Arten personenbezogener Daten Fachrecht neu nach DS-GVO betroffene Person Verantwortlicher Verarbeiten Auftragsverarbeitung Einschränkung der Verarbeitung besondere Kategorien personenbezogener Daten Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 7

8 I. Nationale Entwicklungen: Omnibus -Gesetzgebung: 3. Beispiele zur Terminologie Rechtsbereinigung Verweise Beispiele Fachrecht alt technische und organisatorische Maßnahmen nach 9 BDSG Auftragsdatenverarbeitung gemäß 11 BDSG Übermittlung an einen Drittstaat gemäß 4b, 4c BDSG Fachrecht neu nach DS-GVO technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 Auftragsverarbeitung nach Artikel 28 der Verordnung (EU) 2016/679 Übermittlung an einen Drittstaat gemäß Kapitel V der Verordnung (EU) 2016/679 Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 8

9 II. Europäische Entwicklungen Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 9

10 II. Europäische Entwicklungen: 1. Überblick über wichtige EU- Initiativen DatenschutzRL 95/46/EG Rahmenbeschluss 2008/977/JI eprivacyrl RL 2002/58/EG VO 45/2001 für EU DS-GVO RL über Datenverarbeitung durch Polizei und Justiz (JI-RL) eprivacy VO Entwurf Januar 2017 Reform der VO Entwurf Januar 2017 Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 10

11 II. Europäische Entwicklungen: 2. eprivacy-vo: a) Beratungsverlauf KOM : Entwurf einer eprivacy VO Beginn der Beratungen EP Rat : Position für den Trilog Fortschrittsberichte und sowie (17 Monate) : Geltung DS-GVO TK-Rat 8. Juni 2018: politischer Dialog Voraussichtlich 2. Jahreshälfte 2018 Beginn des Trilogs Inkrafttreten voraussichtlich nach Übergangsfrist gute Übersicht über das Gesetzgebungsverfahren: Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 11

12 II. Europäische Entwicklungen: 2. eprivacy-vo: b) Warum dauert es so lange? Knackpunkte in den Beratungen 1. Abgrenzungsproblematik zur EU-Datenschutzgrundverordnung mehrere Ebenen Verhältnis eprivacy-vo und DSGVO: lex specialis Regelungen zu DSGVO, Rückgriff nicht möglich, insbesondere bei Verarbeitungsregelungen ergänzende Regelungen zur DSGVO, Rückgriff möglich eigenständiges Recht bei z.b. jur. Personen Reichtweite der eprivacy-vo, in transmission : KOM Entwurf: after reciept/ Erhalt von elektronischen Kommunikationsinhalten (Art. 7 Abs. 1 S. 1 eprivacy VO) Nur bei Fließen von Daten (techn. Verständnis)? wenn Empfänger Nachricht empfangen bzw. geöffnet hat (Wann erfolgt bei OTT-Diensten ein Erhalt und was soll konkret geschützt werden)? Je nach Schutzkonzept entspr. Ausgestaltung der Verarbeitungsgrundlagen in Art. 6 (Welche Möglichkeiten der Metadatenverarbeitung?) BVerfG für Art. 10 GG: Schutz endet erst, wenn Empfänger Nachricht endgültig in seinen Bereich verbracht hat (Löschung bei Provider) wg. Beherrschungsdefizit; ansonsten würde nur eine Garantie bestehen, der erste Empfänger zu sein und es blieb leere Hülle übrig Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 12

13 II. Europäische Entwicklungen: 2. eprivacy-vo: b) Warum dauert es so lange? Knackpunkte in den Beratungen 2. Begriffsbestimmungen Verweise in den TK-Kodex hinsichtlich der Begriffsbestimmungen, der ebenfalls noch verhandelt wird (Trilog) Verweis für die Einwilligung auf Regelungen in DSGVO (Lösung in Art. 4a bzw. 9 eprivacy VO unvollständig) Problemkreise/Fragen zur Einwilligung Nachweisbarkeit von Einwilligungen (IP-Adresse, Zeitstempel am Endgerät?) Kompatibilität der Rechtssubjekte: eprivacy-vo= Endnutzer und in DSGVO = betroffene Person? Anwendung bei jur. Personen, mutatis mutandis? statische Einwilligung (Offline-Welt) vs. dynamische Einwilligung (Online-Welt) Tauziehen um das Kopplungsverbot (vgl. Auffassung der Art. 29 Gruppe - WP 259, S. 9/10) Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 13

14 II. Europäische Entwicklungen: 2. eprivacy-vo: b) Warum dauert es so lange? Knackpunkte in den Beratungen 3. Regelungen zu Endgeräte und Softwareeinstellungen Art. 8 Abs. 1: Begriff Erforderlichkeit, wenn bisher kein einheitlicher techn. Standard definiert? kein Tatbestand für legitime Interessen mit Abwägung (offen, ob und welche Erlaubnistatbestände weiter ergänzt werden sollen) keine Privilegierung für pseudonyme Verarbeitungen Art. 10: Webbrowser als Torwächter (ErwG 22) und Problemkreise: Wie können Drittanbieter Einwilligungen regenerieren? Benutzerfreundliche Einwilligungen (Whitelisting)? mobile Betriebssysteme/Apps Verhältnis von Art. 8 Abs. 1 und Art. 10? Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 14

15 II. Europäische Entwicklungen: 2. eprivacy-vo: b) Warum dauert es so lange? Knackpunkte in den Beratungen 4. Regelungen zur Aufsicht Art. 18 eprivacy VO: Zuweisung an dieselben Behörden, die für Durchsetzung DS-GVO zuständig sind (Datenschutzaufsichtsbehörden) Anordnungen und Sanktionsmöglichkeiten auch Sachverhalte ohne personenbezogene Daten offene Fragen, Diskussion Zuständigkeit Datenschutzbehörden bisher nur für personenbezogene Daten: Zerschlagung funktionierende Aufsichtsstruktur über Bereiche außerhalb personenbezogener Daten in den MS sinnvoll? Zuständigkeiten innerhalb föderaler Strukturen? Zusammenarbeit von verschiedenen Aufsichtsbehörden (Art. 18 Abs. 2 eprivacy VO) Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 15

16 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Bundesministerium des Innern Alt-Moabit 140, Berlin Tel: Fax: Urheberrechte für alle verwendeten Fotos liegen bei der Referentin. Alle Rechte vorbehalten. Corinna Holländer : Entwicklungen im Datenschutz national und europäisch Seite 16