Datenschutzrecht. FH Kiel, Master Studiengang

Transkript

1 Datenschutzrecht FH Kiel, Master Studiengang Vorstellung, Vorlesungsinhalte, Allgemeine Grundlagen des Datenschutzrechts 01. Oktober 2014 Harald Zwingelberg

2 Vorstellung (das ULD und dessen Aufgaben) Übersicht Organisatorisches (Prüfungsleistung, Literatur) Vorlesungsinhalte Geschichte des Datenschutzes Entstehungsgeschichte, Hintergründe BVerfG Volkszählungsurteil BVerfG Online-Durchsuchung verfassungsrechtliche Verankerung, Grundrechte, Datenschutz im Rechtssystem Goldene Regeln des Datenschutzrechts H. Zwingelberg: Datenschutzrecht I 2

3 Dozententeam: Mitarbeiter des ULD Organisatorisches I Prüfungsleistung: Klausur. Wird zu 1/3 in die Modulnote eingerechnet. Modulnote wird durch Prof. Reimers erteilt. Klausurvorbereitung und Klausurstellung durch das Dozententeam. Klausur wird in den Räumen des ULD geschrieben. 3

4 Organisatorisches II: Material Die Folien der Veranstaltungen werden auf der Seite des ULD zur Verfügung gestellt Gesetzestexte: Dürfen für die Klausur verwendet werden. Unterstreichungen und Hervorhebungen sind erlaubt. Ebenso Paragraphenverweise in der Form => 3 VIII oder siehe 3 VIII nicht aber Anmerkungen mit Wörtern oder Text. Gesetzessammlung des ULD, 5. Auflage, BDSG: H. Zwingelberg: Datenschutzrecht I 4

5 Organisatorisches III: Termine die Teilnehmer der Lehrveranstaltung Betr. Datenschutz und Datensicherheit sollen an folgenden Mittwochs-Vortragsveranstaltungen teilnehmen: 15. Oktober :30 Uhr-20:00 Uhr: Dr. André Hojka (Vater Gruppe), Prof. Dr. Walter Reimers: Schutz der Privatsphäre am eigenen Rechner 19. November :30 Uhr-20:00 Uhr: Pierre Lukas und Swer Rieger (Consist Software Solutions GmbH): Big Data Ich sehe was, was du nicht siehst 21. Januar :30 Uhr-20:00 Uhr: Dr. Thomas Pfeiffer (Verfassungsschutz NRW): Erlebniswelt Rechtsextremismus im Internet 29.Oktober :00-18:30 Uhr: o Sebastian Schreiber (SySS GmbH), Live Hacking - so brechen Hacker in IT-Netze ein o Prof. Dr. Thomas Wilke (CAU), "Überwachung durch die NSA - Hat die moderne Kryptographie etwas entgegenzusetzen?" o Dr. Thilo Weichert (ULD), Die Antwort Europas auf die US-amerikanische Missachtung des Datenschutzes H. Zwingelberg: Datenschutzrecht I 5

6 Vorstellung des ULD Rechtliche Grundlagen in 32 ff LDSG Name: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts (AöR) Leiter Dr. Thilo Weichert Datenschutzbeauftragter Schleswig-Holsteins, 2. Amtszeit Aufsichtsbehörde im nicht-öffentlichen Bereich (Privatwirtschaft) im Sinne von 38 BDSG, 39 II LDSG Überwacht Einhaltung der Datenschutzvorschriften bei den öffentlichen Stellen, 39 I LDSG H. Zwingelberg: Datenschutzrecht I 6

7 Kernaufgaben des ULD Geregelt in 39 ff LDSG, 16 IFG-SH KontrolleEinhaltung der Datenschutzvorschriften bei öffentlichen Stellen, 39 I LDSG Aufsichtsbehörde im nicht-öffentlichen Bereich: Kontrolleder Ausführung des BDSG und weiterer DS-Gesetze, 39 II LDSG Beratungder obersten Landesbehörden und sonstiger öffentlicher Stellen in Datenschutzfragen, 39 III LDSG Erstellung von Gutachtenund Berichterstattung gegenüber dem Landtag, Fraktionen und Landesregierung sowie jährlicher Tätigkeitsbericht, 39 IV LDSG Anrufungdurch jedermann, der annimmt, dass datenschutzrechtliche Vorschriften verletzt wurden, 40 LDSG H. Zwingelberg: Datenschutzrecht I 7

8 Serviceaufgaben des ULD Beratung der Bürgerinnen und Bürger über Fragen des Datenschutzes, 43 I LDSG Zertifizierung durch Audit / Gütesiegel, 43 II LDSG Beurteilung von Datenschutzkonzepten von öffentlichen Stellen, 43 II LDSG Fortbildungsveranstaltungen: WAK, Uni Kiel, FH Kiel Datenschutzakademie, 43 III LDSG Auf Anfrage: Beratung nichtöffentlicher Stellen, 43 III LDSG H. Zwingelberg: Datenschutzrecht I 8

9 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Öffentl. Verwaltungen Unternehmen Bürger, Kunden, Klienten, Patienten Wirtschaft, Wissenschaft, Verwaltung H. Zwingelberg: Datenschutzrecht I 9

10 Literaturhinweise zur Vertiefung (Kauf für Vorlesung oder Klausur nicht erforderlich): Literatur Lehrbuch zum Datenschutzrecht von Kühling/Seidel/Sivridis, 2011 Kommentar zum BDSG: Gola / Schomerus Referenzwerk: Simitis Kommentar zum BDSG H. Zwingelberg: Datenschutzrecht I 10

11 Vorlesungsinhalte I Lernziele - Datenschutzrelevante Probleme erkennen - einfache Fragestellen in der Praxis selbst beantworten können - Problembewusstsein, um rechtzeitig Dritte einzubinden - Vorbereitung für eine Tätigkeit als Datenschutzbeauftragter Datenschutzrecht (allgemein) Sieben Grundregeln des Datenschutzrechts 1. Rechtmäßigkeit 2. Einwilligung 3. Erforderlichkeit 4. Zweckbindung 5. Transparenz 6. Datensicherheit 7. Kontrolle H. Zwingelberg: Datenschutzrecht I 11

12 Vorlesungsinhalte II Besonderes Datenschutzrecht Betrieblicher Datenschutz, Datenschutzbeauftragte Rechtliche Sicherheitsanforderungen, Vertraulichkeitsschutz Arbeitnehmerdatenschutz Kundendatenschutz Sozial- und Medizindatenschutz Datenschutz im Bereich Telemedien, Telekommunikation Identitätsmanagement (Authentizität), IdM-Infrastruktur Europäischer Datenschutz Zertifizierung und Gütesiegel Erörterung aktueller Entwicklungen im Datenschutz H. Zwingelberg: Datenschutzrecht I 12

13 Wie geht es diese Stunde weiter? Grundbegriffe, Terminologie personenbezogene Daten verantwortliche Stelle Geschichte des Datenschutzes Volkszählungsurteil Jüngere Entwicklungen (BVerfG-Urteile, Skandale, aktuelle Gesetzesänderungen und - vorhaben) Datenschutz im Rechtssystem Grundprinzipien des Datenschutzes ( Goldene Regeln ) H. Zwingelberg: Datenschutzrecht I 13

14 Datenschutz ein Randthema? H. Zwingelberg: Datenschutzrecht I 14

15 Personenbezogene Daten Was Bedeutet der Begriff Datenschutz? Schutz von Daten? Schutz der Person, deren Daten verarbeitet werden! u.a. H. Zwingelberg: Datenschutzrecht I 15

16 Personenbezogene Daten Personenbezogene Daten, 3 I BDSG Natürliche Person Kein Schutz für juristischer Personen mangels Menschenwürde. Aber: Schutz der natürlichen Person hinter der juristischen Person (Unternehmer) Kein Schutz Verstorbener Einzelangaben über persönliche oder sachliche Verhältnisse Es gibt kein belangloses Datum unter den Bedingungen der automatischen Datenverarbeitung (Volkszählungsurteil). Alle Informationen, die über die Bezugsperson etwas aussagen. Bestimmte oder bestimmbare Person (Betroffener), 3 I BDSG Aus den Angaben muss sich ergeben, dass sie sich auf Person beziehen. H. Zwingelberg: Datenschutzrecht I 16

17 Anonymisierung, Pseudonymisierung Rechtsfolgen BDSG / LDSG nicht anwendbar für anonyme Daten BDSG anwendbar aber erweiterte Verarbeitungsbefugnisse bei pseudonymen Daten H. Zwingelberg: Datenschutzrecht I 17

18 Personenbezogenes Datum? 3 I BDSG Einzelangaben über Persönliche und sachliche Verhältnisse Einer bestimmten oder bestimmbaren natürlichen Person Pseudonymisierung? Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen Bestimmbarkeit über Zuordnungsregel noch gegeben, damit liegt weiterhin Personenbezug vor. (juristisch umstritten: z.b. dynamische IP-Adressen) Anonymisierung? Verändern von personenbezogenen Daten derart, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht oder nur unter unverhältnismäßig großem Aufwand an Zeit, Kosten, Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können Kein Personenbezug mehr! Rechtsfolge: Anonyme Daten / pseudonyme Daten zu denen der verarbeitenden Stelle die Zuordnungsregel unbekannt ist (umstritten), sind keinen personenbezogenen Daten mehr: Erleichterung der Datenverarbeitung! H. Zwingelberg: Datenschutzrecht I 18

19 Big Data Durch die Zusammenführung von Datenbeständen ist eine Anonymisierung nahezu unmöglich geworden. Z.B. können Bewegungsdaten, IP-Adressen mit timestamps etc. zur Verkettung genutzt werden und sobald einer der verketteten Datensätze einer Person zuzuordnen ist, ist der Datensatz nicht mehr anonym. Wie mit dieser Entwicklung in der rechtlichen Bewertung umzugehen ist, ist noch unklar. H. Zwingelberg: Datenschutzrecht I 19

20 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Beschaffen von Daten über Betroffenen Es ist eine gezieltes Beschaffen erforderlich. Daher kein Erheben, wenn ein Informant einer Behörde unaufgefordert etwas mitteilt, Stichwort: aufgedrängte Information. (Dann aber meist Nutzen ) Grundsatz der Direkterhebung: Daten sind bei dem Betroffenen selbst zu erheben, 4 II 1 BDSG. Ohne Kenntnis des Betroffenen dürfen Daten nur im engen Rahmen gesetzlicher Vorschriften erhoben werden, soweit dies zwingend erforderlich ist für den Zweck und Direkterhebung nur mit unverhältnismäßigem Aufwand möglich Informations- und Unterrichtungspflichten sind vor der Erhebung zu beachten. H. Zwingelberg: Datenschutzrecht I 20

21 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Speichern: jedes Fixieren von Daten (aufschreiben, speichern auf el. Datenträger, Entgegennehmen eines beschriebenen Datenträgers). Kein Speichern bei kurzzeitigem Zwischenspeichern Verändern: Das personenbezogene Datum erhält einen neuen Informations- und Aussagegehalt Übermitteln: Bekanntgabe an einen Dritten Sperren: Kennzeichnen von Daten, um weitere Verarbeitung einzuschränken. Z.B. nach Widerruf, während Aufbewahrungsfristen Löschen: Handlung, die dazu führt, dass Daten unkenntlich werden (Schreddern, Überschreiben) =>Anders als in der EU-DSRL im BDSG keine einheitliche Verwendung eines umfassenden Verarbeitungsbegriffs H. Zwingelberg: Datenschutzrecht I 21

22 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Jede Verwendung personenbezogener Daten, die keine Verarbeitung ist. Auffangtatbestand für nicht aufgezählte Vorgänge z.b. Weitergabe an empfangende Stelle, die nicht Dritte sondern nur Empfänger ist. Kein Nutzen ist Verwendung von Daten, die sich nicht auf den Personenbezug erstreckt (Statistik) Duplizieren, Kopieren, Auszüge anfertigen Weitergabe an Auftragsdatenverarbeiter (kein Dritter) H. Zwingelberg: Datenschutzrecht I 22

23 Verarbeitungsbegriff Verarbeiten isd Datenschutzrichtlinie automatisierte Verarbeitung, 3 II 1 BDSG weiter Verarbeitungsbegriff Erheben, 3 III BDSG Verarbeiten, 3 IV BDSG enges Verständnis nach BDSG Nutzen, 3 V BDSG Speichern, 3 IV Nr. 1 BDSG Verändern, 3 IV Nr. 2 BDSG Übermitteln, 3 IV Nr. 3 BDSG Sperren, 3 IV Nr. 1 BDSG Löschen, 3 IV Nr. 5 BDSG H. Zwingelberg: Datenschutzrecht I 23

24 Entwicklung des Datenschutzes I Anfang der 70er Jahre: Computer in Verwaltung und Wirtschaft 1970: erstes Datenschutzgesetz in Hessen als erstes allgemeines Datenschutzgesetz der Welt 1977: Bundesdatenschutzgesetz Einführung von Datenschutzbeauftragten Automatisierte Datenverarbeitung Schutz personenbezogener Daten 1978: Landesdatenschutzgesetz Schleswig-Holstein 1981: alle Bundesländer haben ein LDSG 1983: Volkszählungsurteil H. Zwingelberg: Datenschutzrecht I 24

25 Volkszählungsurteil BVerfGE 65, 1: Anlass Verfassungsbeschwerde gegen Volkszählungsgesetz Melderegisterabgleich, Vermischung administrativer und statistischer Funktionen Wesentliche Inhalte: Die automatisierte Datenverarbeitung birgt die Möglichkeit der Auswertung und Verknüpfung von Datenbeständen, die an verschiedenen Orten vorhanden sind: keine belanglosen Informationen Möglich wird damit eine vollständige Offenlegung der Privatsphäre der Bürger (Stichwort: gläserner Bürger ) [Es] wird der Schutz des Einzelnen gegen unbegrenzte Erhebung [ ] seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen: => Recht auf informationelle Selbstbestimmung H. Zwingelberg: Datenschutzrecht I 25

26 Informationelle Selbstbestimmung Herleitung des Grundrechts Art. 1, Abs. 1 GG: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Art. 2, Abs. 1 GG: "Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt." Inhalt der Informationellen Selbstbestimmung 1. Recht der Selbstbestimmung über die Preisgabe und Verwendung eigener Daten zu bestimmen 2. Schutz der Privatsphäre 3. Freie Entfaltung der Persönlichkeit 4. Aufrechterhaltung fairer Kommunikationsverhältnisse H. Zwingelberg: Datenschutzrecht I 26

27 WH: Recht auf informationelle Selbstbestimmung Recht auf informationelle Selbstbestimmung Teil der Objektiven Werteordnung - Durchdringung der gesamten Rechtsordnung Abwehrrecht des Bürgers gegen Staat Schutzpflicht des Staates Unmittelbare Wirkung zwischen Privaten H. Zwingelberg: Datenschutzrecht I 27

28 Entwicklung des Datenschutzes II Nutzung von Computern bei Behörden und Privaten Beginnende Vernetzung Grenzüberschreitender Datenverkehr nimmt zu 1991: 1. Novellierung des BDSG Informationelle Selbstbestimmung Keine Zweiteilung nicht-öffentlich / öffentlich BDSG als Auffanggesetz gleichermaßen für öffentliche Verwaltung und Privatwirtschaft Seit 1991 Beratungen auf EU-Ebene H. Zwingelberg: Datenschutzrecht I 28

29 Entwicklung des Datenschutzes III Novellierung der Landesdatenschutzgesetze unter Berücksichtigung des Volkszählungsurteils 1995: Europäische Datenschutzrichtlinie 1995/46/EG Informationsfreiheitsgesetz SH Novellierung des BDSG 2001 In Kraft Mai 2001 Gefordert nicht nur Umsetzung der Richtlinie, sondern grundlegende Modernisierung. Modernisierung aber im Geiste von 9/11 nicht mehr durchgeführt. H. Zwingelberg: Datenschutzrecht I 29

30 Entwicklung des Datenschutzes IV 2. Novellierung des BDSG, Modernisierungen; Datensparsamkeit / Datenvermeidung, 3a BDSG Datenschutzaudit, 9a BDSG Videoüberwachung, 6b BDSG Mobile Speicher-/ und Verarbeitungsmedien, 6 c BDSG Sensible Daten Erweiterter Geltungsbereich Privatwirtschaft: 1 Abs. 1 Nr. 3: jede unter Einbeziehung von Datenverarbeitungsanlagen erfolgende Verarbeitung personenbezogener Daten Datenübermittlung in Drittländer: Datenschutzniveau entscheidet IFG des Bundes 2006 H. Zwingelberg: Datenschutzrecht I 30

31 Entwicklung des Datenschutzes V 2008 / 2009 Datenschutz in Bewegung: BVerfG zum Kfz-Kennzeichenabgleich BVerfG zu Online-Durchsuchungen BVerfG zur Vorratsdatenspeicherung EuGH zur Vorratsdatenspeicherung, data retention directive Pressemeldungen über Datenschutzskandale Novelle BDSG I (Auskunfteien, Scoring) ab IV/2010 Novelle BDSG II (Auditgesetz, Adresshandel) ab IX/2009 Novelle BDSG III (Verbraucherdarlehen) ab VI/2010 H. Zwingelberg: Datenschutzrecht I 31

32 BVerfG Kennzeichenabgleich Bundesverfassungsgericht (BVerfG) vom Sachverhalt: automatisches Erfassen, Speichern von Kennzeichen beim Blitzen in Hessen und S-H Gericht hat Schutzbereich erweitert: Recht auf informat. Selbstbestimmung muss Technik angepasst werden. Speicherung und Verknüpfung ermöglicht Profiling Anlasslose Erfassung hat Einschüchterungseffekte mit Rückwirkung auf Ausübung von Grundrechte Heimlichkeit des Eingriffs erhöht Eingriff, weil kein vorghergehender Rechtsschutz für Bürger möglich ist => Scannen erlaubt, soweit Daten unmittelbar nach Erfassung spurenlos, anonym und ohne Möglichkeit des Personenbezugs ausgesondert werden. H. Zwingelberg: Datenschutzrecht I 32

33 BVerfG Online-Durchsuchung Schutz infomationstechn. Systeme Bundesverfassungsgericht 27. Feb Sachverhalt: Verfassungsschutzgesetz NRW sah Möglichkeit der Online-Durchsuchung vor. Urteil: Gesetz ist verfassungswidrig weil unverhältnismäßig, Schwere des Eingriffs muss besonders schwerwiegende Gefahr gegenüberstehen Eingriffsvoraussetzungen: Tatsächliche Anhaltspunkte für konkrete Gefahr für ein überragend wichtiges Rechtsgut (Leib, Leben, Freiheit der Person, Bestand des Rechtsstaates) Ein Ermächtigungsgesetz muss vorsehen: richterliche Anordnung Vorkehrungen für Schutz des Kernbereichs privater Lebensführung Erhebung aus laufendem Telekommunikationsvorgang unterfällt Art. 10 GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme H. Zwingelberg: Datenschutzrecht I 33

34 BVerfG Online-Durchsuchung Schutz infomationstechn. Systeme Wissenswertes aus der Urteilsbegründung: Nicht zwingend Eingriff in Art 10 GG (Post- und Fernmeldegeheimnis), weil nur der Kommunikationsvorgang selbst geschützt ist. D.h. kein Schutz der bereits empfangenen Daten auf der Festplatte. Nicht zwingend Eingriff in Art. 13 GG (Unverletzlichkeit der Wohnung), soweit nicht in Wohnung eingedrungen wird, um Software zu installieren oder mittels eingebauter Kamera oder Mikrofon die Wohnung überwacht wird. Daher hat BVerfG ein neues Grundrecht formuliert H. Zwingelberg: Datenschutzrecht I 34

35 Datenschutz im Rechtssystem I Grundgesetz: Allg. Pers.R Recht auf informationelle Selbstbestimmung Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme Normenhierarchie BDSG SGB TKG, TMG LDSG LVwG (= PolizeiG ) H. Zwingelberg: Datenschutzrecht I 35

36 Datenschutz im Rechtssystem II Grundrechte: Binden unmittelbar den Staat (Art. 1 Abs. 3 GG) Sind individuelle Abwehrrechte gegen den Staat Bedeuten Schutzpflicht für den Staat Träger: natürliche Personen, (juristische Personen: Art. 19 III GG) Ausstrahlungswirkung ins Privatrecht: Grundrechte wirken als objektive Wertordnung mittelbar auf Rechtsbeziehungen des Privatrechts; Generalklauseln sind verfassungskonform auszulegen Grundrechte sind nicht schrankenlos gewährleistet; Beschränkung nur innerhalb festgelegter Grenzen zulässig H. Zwingelberg: Datenschutzrecht I 36

37 Datenschutz im Rechtssystem III Grundrechte mit Datenschutzrelevanz Artikel 1 und Artikel 2: Verankerung, allgpersr Artikel 3 GG Allgemeine Gleichbehandlung Artikel 4 GG Glaubens- und Gewissensfreiheit Artikel 5 GG Meinungsfreiheit Artikel 8 Versammlungsfreiheit Artikel 9 Vereinigungsfreiheit Artikel 10 Brief-, Post- und Fernmeldegeheimnis Artikel 13 Unverletzlichkeit der Wohnung H. Zwingelberg: Datenschutzrecht I 37

38 BDSG: Regelungen für die Wirtschaft Abschnitte des BDSG: Erster Abschnitt BDSG (Allgemeiner Teil: 1 bis 11 BDSG) Zweiter Abschnitt BDSG (Bundesverwaltung) Dritter Abschnitt BDSG (Wirtschaft: 27 ff. BDSG) Fünfter Abschnitt BDSG (Bußgeld und Strafvorschriften: 43 f BDSG) Abschnitte des LDSG: Keine interne Aufteilung sondern Orientierung am zeitlichen Ablauf der Datenverarbeitung + Sonderregelungen H. Zwingelberg: Datenschutzrecht I 38

39 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Harald Zwingelberg /