Datenschutzrecht. FH Kiel, Master Studiengang

Transkript

1 Datenschutzrecht FH Kiel, Master Studiengang Grundbegriffe des Datenschutzrechts Goldene Regeln 08. Oktober 2014 Harald Zwingelberg

2 Was sind personenbezogene Daten? siehe 3 Abs. I BDSG Wiederholungsfragen Warum unterscheidet das Datenschutzrecht zunächst nicht zwischen harmlosen und sensiblen personenbezogenen Daten? Lösung: siehe Volkszählungsurteil. Es gibt keine unwichtigen Daten (Verkettung möglich, Kontextverlust der Daten: Adresse in guter Wohngegend oder JVA?) H. Zwingelberg: Datenschutzrecht I 2

3 Grundbegriffe des Datenschutzrechts

4 Anwendungsbereich des BDSG Anwendungsbereich des BDSG, 1 Abs. 2 BDSG: Verarbeitung personenbezogener Daten durch: 1. öffentliche Stellen des Bundes 2. öffentliche Stellen der Länder a) soweit der Datenschutz nicht durch Landesgesetz geregelt ist und b) soweit sie Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden 3. nicht-öffentliche Stellen (Wirtschaft) Ausnahme: persönliche oder familiäre Zwecke (siehe nächste Folie) H. Zwingelberg: Datenschutzrecht I 4

5 Persönliche oder familiäre Tätigkeiten Ausnahme vom Anwendungsbereich des BDSG Persönliche oder familiäre Tätigkeiten, 1 II Nr. 3 BDSG Abgrenzung des Bereichs persönlicher Lebensführung von beruflicher und geschäftlicher Sphäre. Äußerer Rahmen, organisatorische Anlage und inhaltliche Konzeption müssen persönliche/familiäre Zwecksetzung erkennen lassen. Beispiel: Nutzung einer Adressdatei auf PC von Familie und Freunden, private Fotosammlung, Urlaubsbilder. Nicht aber: Mitgliederliste eines Vereins, private Homepage, Social networks 1. Bei intensiven Rechtseingriffen: Abwehransprüche aus BGB möglich 1 zu social networks siehe: H. Zwingelberg: Datenschutzrecht I 5

6 Sonstige Rechtsquellen Grundsatz: Subsidiarität des Bundesdatenschutzgesetzes Telekommunikation: TKG Telemedien: TMG Sozialdatenschutz im SGB (insbes. 67 ff SGB X) Andere Rechtsvorschriften Polizeigesetze, Strafprozessordnung Kunst-Urhebergesetz (KUG) Landesgesetze z.b. Archivgesetze, Polizeigesetze BetrVG, Tarifverträge, Betriebsvereinbarungen Berufsordnungen für Heilberufe, Rechtsanwälte H. Zwingelberg: Datenschutzrecht I 6

7 Subsidiarität des BDSG / LDSG Die allgemeinen Datenschutzgesetze treten gegenüber den bereichsspezifischen Regelungen zurück. Sie sind subsidiär. Das BDSG ist Auffanggesetz, d.h. es greift, wenn keine speziellere Regelung einschlägig ist, 1 III 1 BDSG. Subsidiarität gilt nur für deckungsgleiche Tatbestände. Trifft die andere Norm daher keine Aussage, schränkt sie das BDSG auch nicht ein. Andere Bundesgesetze dürfen hinter dem Schutzniveau des BDSG zurück bleiben, nicht aber untergesetzliche Normen (z.b. Vorordnungen des Bundes, Betriebsvereinbarungen, Tarifverträge). H. Zwingelberg: Datenschutzrecht I 7

8 besondere Arten personenbezogener Daten Besondere Arten personenbezogener Daten, 3 Abs. 9 Rassische und ethnische Herkunft Politische Meinung Religiöse oder philosophische Überzeugung Gewerkschaftszugehörigkeit Gesundheit Sexualleben Besondere Anforderungen Ausdrückliche Einwilligung nach 4a Abs. 3 BDSG Besondere gesetzliche Anforderungen 28 Abs. 6ff. BDSG H. Zwingelberg: Datenschutzrecht I 8

9 Goldene Regeln des Datenschutzrechts

10 Übersicht Grundprinzipien des Datenschutzes (7 goldene Regeln) 1. Rechtmäßigkeit 2. Einwilligung 3. Zweckbindung 4. Erforderlichkeit 5. Transparenz 6. Datensicherheit 7. Kontrolle Quelle: Bizer, DuD 2007, 31 => Zur Lektüre empfohlen! H. Zwingelberg: Datenschutzrecht I 10

11 Rechtmäßigkeit Kern: Datenverarbeitung ist verboten, sofern nicht erlaubt in Gesetz oder via Einwilligung 4 Bundesdatenschutzgesetz (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Jede Datenverarbeitung bedarf einer Rechtsgrundlage Gesetz 28 Abs. 1 Satz 1 Nr. 1 Andere Rechtsvorschrift Einwilligung SGB, TKG, TMG, BerufsO H. Zwingelberg: Datenschutzrecht I 11

12 Rechtmäßigkeit Rechtfertigung: Einwilligung oder gesetzliche Grundlage Umgang mit personenbezogenen Daten Erlaubt durch..? U N Z Informierte Einwilligung N e i n Spezialgesetz Bund N e i n Spezialgesetz Land N e i n TarifV, BetriebsVB, Satzung N e i n BDSG N e i n U L Ä S Ja Ja Ja Ja Ja S I ZULÄSSIG G Quelle: nach Tinnefeld, 2005 H. Zwingelberg: Datenschutzrecht I 12

13 Rechtmäßigkeit Was ist wichtig? Jede Datenverarbeitung ist verboten, es sei denn sie ist erlaubt durch spezielle Normen, Einwilligung oder das BDSG bzw. LDSG, 4 I BDSG. Jedes Stadium der Datenverarbeitung bedarf einer Rechtsgrundlage. H. Zwingelberg: Datenschutzrecht I 13

14 Einwilligung 4a Bundesdatenschutzgesetz Eine Einwilligung ist eine Willensbekundung der/des Betroffenen, die freiwillig, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person zustimmt, dass die sie betreffenden personenbezogenen Daten erhoben, verarbeitet oder/und genutzt werden. H. Zwingelberg: Datenschutzrecht I 14

15 Information Welche Daten werden verarbeitet? Wer verarbeitet? Zu welchem Zweck? Freiwilligkeit Kopplungsverbot Lockvogelangebote Wirtschaftliche Abhängigkeit Arbeitsverhältnis Einsichtsfähigkeit entscheidet nicht Geschäftsfähigkeit Formalien Hervorhebung der Einwilligungserklärung Schriftlichkeit Regelfall Schriftform Einwilligung seit 2009: 28 IIIb + eindeutige Regelung Vertragsabschluss nicht abhängig von Einwilligung seit 2009: 28 IIIa + oder schriftl. Bestätigung + oder Protokollierung Ausnahmen: elektronischer Rechtsverkehr, Telefonbanking, H. Zwingelberg: Datenschutzrecht I 15

16 Einwilligung Widerruflichkeit der Einwilligung neu 2009: 28 IV + Klarstellung: Pflicht zur Unterrichtung + Keine strengere Form für Widerruf als für den Vertragsschluss Ab jetzt und für die Zukunft (ex nunc) (+) Für die Vergangenheit (ex tunc) (-) H. Zwingelberg: Datenschutzrecht I 16

17 Problemfall: Zu weit gefasste Einwilligung Einwilligung Soweit gesetzliche Rechtsgrundlage vorliegt, ist auf diese zurückzugreifen. Im privaten Bereich: gesetzlicher Tatbestand ist zu benennen. Andernfalls wird der Betroffene über die Reichweite der Einwilligung und Widerruf getäuscht. Der Rückgriff auf den gesetzlichen TB ist dann nach Treu und Glauben ausgeschlossen. Im öffentlichen Bereich: Soweit Einwilligung eingeholt wird, muss eine Verweigerung auch rechtlich und tatsächlich akzeptiert werden können. H. Zwingelberg: Datenschutzrecht I 17

18 Was ist wichtig? Die Einwilligung muss informiert und freiwillig erfolgen. Die Einwilligung ist grundsätzlich schriftlich zu erteilen oder schriftlich zu bestätigen. Die Einwilligung ist mit Wirkung für die Zukunft widerruflich. H. Zwingelberg: Datenschutzrecht I 18

19 Zweckbindung Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. 28 Abs. 1 Satz 2 Bundesdatenschutzgesetz Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. H. Zwingelberg: Datenschutzrecht I 19

20 Zweckbindung Festlegung des Verwendungszwecks vor Erhebung der Daten Erhebung, 28 Abs. 1 S. 2 BDSG Als Empfänger, 28 Abs. 5 BDSG Eigene Geschäftszwecke, 28 BDSG Fremde Geschäftszwecke, 29 BDSG Vertragszweck Hauptfall der Datenverarbeitung ist die Vertragserfüllung Zweckbindung des 28 Abs. 1 Nr. 1 Bundesdatenschutzgesetz: Begründung, Durchführung oder Beendigung eines Schuldverhältnisses (Vertrag) Besondere Zweckbindung Datenschutzkontrolle, 31 BDSG Logfiles, Zugriffsprotokolle, Backupmedien H. Zwingelberg: Datenschutzrecht I 20

21 Änderung des Verwendungszwecks Zweckänderung nur zulässig mit Legitimation (Gesetz, Einwilligung) 28 Abs. II, III BDSG Übermittlung/Nutzung zu anderen Zweck: Wahrung berechtigter Interessen eines Dritten Öffentliche Sicherheit Werbung, Markt- und Meinungsforschung Listenprivileg, 28 III S. 2 BDSG Forschung komplett neu 2009: 28 II, III H. Zwingelberg: Datenschutzrecht I 21

22 Zweckänderung Gesetzliche Grundlagen bei eigenen (Geschäfts-) Zwecken Verwendung zu Werbezwecken Listenprivileg: 28 Abs. 2 S. 2 BDSG 2009 Listenmäßig zusammengefasste Daten Für eigene Angebote, an Gewerbe, für Spenden Kein Widerspruch und Widerspruchsbelehrung opt-out ( 28 Abs. 4 BDSG) Bei Weitergabe: Stelle, die Daten erhoben hat muss aus Werbung hervorgehen komplett neu 2009: 28 II, III H. Zwingelberg: Datenschutzrecht IÍ 22

23 Zweckänderung Gesetzliche Grundlagen bei eigenen (Geschäfts-) Zwecken Verwendung zu anderen Zwecken 28 Abs. 2 Bundesdatenschutzgesetz Berechtigtes Interesse ( 28 Abs. 1 Nr. 2) oder allgemein zugänglich ( 28 Abs. 1 Nr. 3) Kein Grund zur Annahme schutzwürdiger Interessen der Betroffenen ( 28 Abs. 1 Nr. 2) insbesondere kein Widerspruch ( 28 Abs. 4) H. Zwingelberg: Datenschutzrecht I 23

24 Zweckbindung Zweckbindung bei der Erfüllung fremder (Geschäfts-) Zwecken Übermittlung für Werbung, Markt und Meinungsforschung, Adresshandel und Auskunfteien neu IV 2010: 28a, 28b Beispiele: Auskunfteien (Schufa), Adresshandel (Schober) Übermittlung in anonymisierter Form 30 BDSG Beispiel: Meinungsforschung (Infratest) H. Zwingelberg: Datenschutzrecht I 24

25 Was ist wichtig? Personenbezogene Daten dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden (Zweckbindung). Der wichtigste Regelfall der Zweckbindung ist die Verwendung für Zwecke der Vertragserfüllung. Die Zweckänderung der Verwendung bedarf einer gesonderten Legitimation durch eine Vorschrift des Datenschutzrechts oder die Einwilligung der Betroffenen. Der wichtigste Regelfall der Zweckänderung ist die Verwendung von Kundendaten für Werbezwecke. H. Zwingelberg: Datenschutzrecht I 25

26 Erforderlichkeit Die Datenverarbeitung ist auf den für Ihren Erhebungszweck notwendigen Umfang zu begrenzen. Art Umfang Dauer der Datenverarbeitung H. Zwingelberg: Datenschutzrecht I 26

27 Tatbestandsmerkmal z.b. 28 Abs. 1 Nr. 2 Bundesdatenschutzgesetz erforderlich Einzelfallbetrachtung: Interessenabwägung Datenerhebung muss für Zweckerfüllung unverzichtbar sein Keine Datenerhebung auf Vorrat Datensparsamkeit 3a Bundesdatenschutzgesetz Gestaltung von Verarbeitungssystemen Erforderlichkeit neu 2009: 3a + als Zielvorgabe im Gesetz H. Zwingelberg: Datenschutzrecht I 27

28 Erforderlichkeit Löschung / Sperrung, 35 BDSG Personenbezogene Daten müssen gelöscht werden, wenn Speicherung unzulässig [Verknüpfung mit 4, 4a, 28 ff] sensible Daten nach 3 Abs. 9, deren Richtigkeit nicht bewiesen Kenntnis für Zwecke der Speicherung nicht mehr erforderlich ( 28) Prüfung nach 4 Jahren die Erforderlichkeit nicht mehr festgestellt werden kann => Prüfpflicht für Auskunfteien, 35 II Nr. 4 BDSG 6b: Videoüberwachung Keine Löschung, sondern Sperrung, wenn Aufbewahrungsfristen entgegenstehen (z.b. handels- oder steuerrechtliche Aufbewahrungsfristen: 257 Handelsgesetzbuch, _147 Abgabenordnung, 10 Berufsordnung-Ärzte) durch Löschung schutzwürdige Interessen des Betroffenen (!) beeinträchtigt würden unverhältnismäßig hoher Aufwand für Löschung (eng auszulegen) H. Zwingelberg: Datenschutzrecht I 28

29 Erforderlichkeit Der Grundsatz der Erforderlichkeit knüpft an den jeweils verfolgten Zweck an: Für die Erreichung des festgelegten Zwecks müssen die persönlichen Daten geeignet und erforderlich sein. Verwaltung: nur diejenigen Daten, die für die Erfüllung der Aufgaben erforderlich sind Wirtschaft: grundsätzlich nur diejenigen Daten, die für Abwicklung des Vertrages erforderlich sind (Negativ-)Beispiele: Angabe von Telefonnummer, Geburtsdatum bei einem Kauf Verlangen nach polizeilichen Führungszeugnis bei der Bewerbung Antworten auf Gesundheitsfragen bei der Wohnungssuche Zur Ermittlung der Alterstruktur im Unternehmen genügt Statistik der Personalabteilung keine Liste aller Geburtsdaten! H. Zwingelberg: Datenschutzrecht I 29

30 Was ist wichtig? Personenbezogene Daten dürfen nach Art, Umfang und Dauer nur soweit erhoben, verarbeitet und genutzt werden, wie dies zur Erfüllung des jeweiligen Zwecks im Einzelfall für die datenverarbeitende Stelle unverzichtbar ist. Personenbezogene Daten, die nicht mehr erforderlich sind, müssen gelöscht oder bei bestehenden Speicherpflichten aus anderen Gründen gesperrt werden. H. Zwingelberg: Datenschutzrecht I 30

31 Transparenz Die/der Betroffene muss in der Lage sein zu erfahren, wer welche Art von Daten in welchem Umfang und zu welchem Zweck erhebt, verarbeitet oder nutzt. Allgemeine und besondere Informations- und Benachrichtigungspflichten der verantwortlichen Stelle Organisatorische Transparenzverpflichtungen Auskunftsansprüche der Betroffenen H. Zwingelberg: Datenschutzrecht I 31

32 Transparenz Grundsatz der offenen Erhebung und Direkterhebung Unterrichtungspflichten 4 Abs. 2 Satz 1 Bundesdatenschutzgesetz Inhalt 4 Abs. 3 Bundesdatenschutzgesetz Identität der verantwortlichen Stelle Zweckbestimmung Kategorien von Empfängern Ausnahmen 4 Abs. 2 Bundesdatenschutzgesetz Rechtsvorschrift Art der Aufgabe oder Geschäftszweck Unverhältnismäßiger Aufwand Benachrichtigung 33 Bundesdatenschutzgesetz Nachträgliche Information bei Speicherung ohne Kenntnis der/des Betroffenen H. Zwingelberg: Datenschutzrecht I 32

33 Transparenz Auskunftsanspruch, 34 BDSG!Neuregelung 2010! Inhalt Art und Herkunft der gespeicherten personenbezogenen Daten 2009: Speicherpflicht für Herkunft Empfänger oder Kategorien von Empfängern Zweck der Speicherung Konkretisierung des Auskunftsbegehrens Bezeichnung der zu beauskunftenden Daten z.b. mit Kundenummer Zeitpunkt der Vertragsschlusses H. Zwingelberg: Datenschutzrecht I 33

34 Auskunftserteilung grundsätzlich schriftlich Transparenz neu 2010: 34VI -Auf Verlangen +Textform kostenlos Ausnahme: Nutzung zu wirtschaftlichen Zwecken möglich z.b. Bonitätsauskunft kann auch bei Vermieter vorgelegt werden. neu 2010: 34VIII + 1xjährlich kostenlos H. Zwingelberg: Datenschutzrecht I 34

35 Besondere Informationspflichten 6b BDSG: Videoüberwachung öffentlich zugänglicher Räume Umstand der Beobachtung und verantwortliche Stelle sind erkennbar zu machen 6c BDSG: Einsatz mobiler Speicher- und Verarbeitungsmedien Information durch die ausgebende oder durchführende Stelle über: ihre Identität und Anschrift Funktionsweise des Mediums Art der zu verarbeitenden personenbezogenen Daten Möglichkeit wie Rechte nach 34 und 35 auszuüben sind Maßnahmen bei Verlust oder Zerstörung des Mediums 6a II 2 BDSG: automatisierte Einzelfallentscheidung Transparenz Unterrichtung und Gelegenheit zur individuellen Nachprüfung H. Zwingelberg: Datenschutzrecht I 35

36 Was ist wichtig? Personenbezogene Daten sind bei den Betroffenen zu erheben. Dabei sind sie über die Identität der verantwortlichen Stelle, die Art der Daten, den Zweck der Verarbeitung sowie die Kategorien der Empfänger zu unterrichten. Ist die Erhebung nicht direkt bei den Betroffenen erfolgt, sind diese nachträglich davon zu unterrichten. Betroffene haben einen Auskunftsanspruch gegenüber der verantwortlichen Stelle. H. Zwingelberg: Datenschutzrecht I 36

37 Datensicherheit Datenschutz ist nur gewährleistet, wenn die personenbezogenen Daten auch technisch und organisatorisch sicher verarbeitet werden. 9 Bundesdatenschutzgesetz und Anlage zum Bundesdatenschutzgesetz Technische Maßnahmen Organisatorische Maßnahmen (innerbetriebliche Organisation) Schutzziele Vertraulichkeit Integrität Verfügbarkeit H. Zwingelberg: Datenschutzrecht I 37

38 Datensicherheit Maßnahmen Anlage zum Bundesdatenschutzgesetz (zu 9 BDSG) Zutrittsschutz Zugangsschutz Zugriffsschutz Schutz bei der Übermittlung Protokollierung Kontrolle des Auftragsdatenverarbeiters Verfügbarkeit der Daten Trennungsgebot H. Zwingelberg: Datenschutzrecht I 38

39 Informationspflicht bei Datenverlust Neu 2009: 42a BDSG Informationspflicht Pflicht Betroffenen und die Behörde zu informieren, bei unrechtmäßiger Übermittlung von besondere Arten personenbezogener Daten Daten die Berufsgeheimnis unterliegen (Arzt, RA) [ ] Bank- und Kreditkartendaten und schwerwiegende Beeinträchtigungen drohen Bußgeldbewährt bis H. Zwingelberg: Datenschutzrecht I 39

40 Ausblick: Schutzziele Integrität Nichtverkettbarkeit Verfügbarkeit Vertraulichkeit Transparenz Intervenierbarkeit Grafik basiert auf: Rost/Pfitzmann, 2009: Schutzziele revisited; in: DuD 2009/06: 353ff. H. Zwingelberg: Datenschutzrecht I 40

41 Ausblick: Schutzziele und goldene Regeln Rechtmäßigkeit Einwilligung Zweckbindung Erforderlichkeit k.a. Transparenz Intervenierbarkeit Nichtverkettbarkeit Nichtverkettbarkeit Transaprenz Transparenz Intervenierbarkeit Datensichrheit Vertraulichkeit Integrität Verfügbarkeit Kontrolle Transparenz Nichtverkettbarkeit Integrität H. Zwingelberg: Datenschutzrecht I 41

42 Was ist wichtig? Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist durch technische und organisatorische Maßnahmen zu schützen Bei Datenverlust sind die Betroffenen zu unterrichten H. Zwingelberg: Datenschutzrecht I 42

43 Kontrolle Die Datenverarbeitung unterliegt einer internen und externen Kontrolle. Externe Kontrolle Aufsichtsbehörden 38 BDSG Interne Kontrolle Betrieblicher Datenschutzbeauftragter 4g BDSG H. Zwingelberg: Datenschutzrecht I 43

44 Externe Kontrolle Aufsichtbehörde 38 Bundesdatenschutzgesetz Befugnisse Unterrichtung der Betroffenen (!) Anzeige bei Bußgeldbehörden und Staatsanwaltschaft Unterrichtung der Gewerbeaufsicht / Kammern Veröffentlichung im Tätigkeitsbericht Untersagung von Verfahren Anordnung technisch und organisatorischer Maßnahmen Abberufung des Datenschutzbeauftragten H. Zwingelberg: Datenschutzrecht I 44

45 Pflichten der kontrollierten Stelle 38 BDSG Auskunftspflicht Duldung der Betretung Duldung von Prüfungen und Besichtigungen Externe Kontrolle Einsichtnahme in geschäftliche Unterlagen Einsicht in Verfahrensverzeichnis, Daten und Programme Sanktionen Ordnungswidrigkeit 43 BDSG Straftat 44 BDSG H. Zwingelberg: Datenschutzrecht I 45

46 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Harald Zwingelberg /