EU-Datenschutzrecht. Vorlesung am Felix Bieker, LL.M.Eur

Transkript

1 EU-Datenschutzrecht Vorlesung am Felix Bieker, LL.M.Eur

2 Überblick I. Kurzeinführung Europarecht II. EU-Vorschriften zum Datenschutz 1. Artikel 7 und 8 Grundrechte-Charta 2. Datenschutz-Richtlinie 95/46/EG 3. E-Privacy-Richtlinie 2002/58/EG 4. Datenschutz-Grundverordnung (EU) 2016/679 III. Aktuelle Probleme 1. Anwendbarkeit auf internationale Sachverhalte 2. Datentransfer in Drittstaaten (Schrems) 3. Recht auf Vergessenwerden (Google Spain) EU-Datenschutzrecht 2

3 I. Kurzeinführung Europarecht

4 Grundprinzipien des Europarechts EU ist kein Staat, aber auch mehr als Internationale Organisation (z.b. Vereinte Nationen): Mitgliedstaaten (MS) übertragen Kompetenzen an EU EU kann selbst in MS unmittelbar geltendes Recht setzen (supranational) Europarecht ist autonome Rechtsordnung Besteht aus Primärrecht (AEUV, EUV, GRC) und Sekundärrecht (hauptsächlich VO, RL) Begriffe aus nationalem Recht nicht übertragbar Europarecht hat Vorrang vor nationalem Recht EU-Datenschutzrecht 4

5 Primärrecht EUV: allgemeine Regelungen AEUV: detaillierte Regelungen GRC: Grundrechtskatalog Sekundärrecht Recht der EU Verordnung: gilt unmittelbar in MS, keine Umsetzung notwendig Richtlinie: für MS verbindlich, muss in nationales Recht umgesetzt werden Beschluss EU-Datenschutzrecht 5

6 Wichtigste Organe Europäischer Rat ( EU-Gipfel ) Staats- und Regierungschefs der MS Legt Leitlinien fest Rat der EU ( Ministerrat ) Fachminister der Regierungen der MS Ko-Gesetzgeber mit EP Europäisches Parlament (EP) Direkt gewählt von Bevölkerung Ko-Gesetzgeber und Kontrolle der Kommission Kommission Europäischer Rat schlägt Präsident vor, von EP gewählt Initiativrecht bei Gesetzgebung EU-Datenschutzrecht 6

7 Rechtsetzung und Ausführung Setzung von Sekundärrecht i.d.r. nach ordentlichem Gesetzgebungsverfahren: 1. Kommission legt Gesetzesvorschlag vor 2. EP nimmt Stellung 3. Rat nimmt Stellung 4. Einigung oder Änderungen in Trilogverfahren 5. Annahme oder Ablehnung Ausführung i.d.r. durch die Mitgliedstaaten im Rahmen ihrer eigenen Verwaltung EU-Datenschutzrecht 7

8 Gerichtshof der Europäischen Union Hat Auslegungs-/ Verwerfungsmonopol für Europarecht EU und nationale Rechtsordnungen interagieren miteinander Rechtsstreits vor nationalen Gerichte werfen oft europarechtliche Fragen auf, die EuGH vorgelegt werden müssen Urteile des EuGH beziehen sich nicht nur auf konkreten Fall, sondern sind allgemeingültige Auslegung der relevanten Vorschriften, gelten für alle MS EuGH legt oft richterrechtliche Anforderungen nieder und gestaltet EU-Recht konkret aus EU-Datenschutzrecht 8

9 II. EU-Vorschriften zum Datenschutz

10 1. Entwicklung Unterschiedliche Vorschriften der MS zum Datenschutz behinderten Handel, daher Harmonisierung der nationalen Vorschriften Datenschutz-Richtlinie 95/46/EG Vorschriften des BDSG/LDSG mussten an Datenschutz- Richtlinie angepasst werden, aber nutzen auch eingeräumten Spielraum und gehen teilweise darüber hinaus Nach Änderung des Primärrechts 2009 eigene Rechtsgrundlage für umfassende Regulierung in AEUV Weitergehende Harmonisierung gewünscht, daher Arbeit an Verordnung von EU-Datenschutzrecht 10

11 2. Datenschutz im Primärrecht Kein Recht auf informationelle Selbstbestimmung Artikel 7 GRC schützt Privatleben Begriff des Privatlebens nicht abschließend definiert, erfasst viele unterschiedliche Bereiche Erfasst auch Verarbeitung personenbezogener Daten, die einen Bezug zum Privatleben aufweisen Artikel 8 GRC schützt personenbezogene Daten Jede Verarbeitung von personenbezogenen Daten ist Eingriff EU-Datenschutzrecht 11

12 Rechtfertigung von Eingriffen Muss Wesensgehalt der Grundrechte achten Artikel 7 GRC: kein Zugriff auf Inhalte von elektronischer Kommunikation Artikel 8 GRC: Mindestanforderungen an Datenschutz und Datensicherheit Einwilligung Rechtsgrundlage, die Anforderungen an Verhältnismäßigkeit erfüllt EU-Datenschutzrecht 12

13 3. Datenschutz im Sekundärrecht Datenschutz-Richtlinie 95/46/EG Ist in BDSG/LDSG umgesetzt, bei Abweichungen gilt RL Begriffe (personenbezogene Daten, Datenverarbeitung, besondere Arten von Daten, etc.) und Konzepte (Rechtmäßigkeit, Einwilligung, Zweckbindung, etc.) sind gleich E-Privacy-Richtlinie 2002/58/EG Bezieht sich auf Telekommunikation/Internetdienste Regelt u.a. Einsatz von Cookies In Deutschland u.a. in BDSG, TKG und TMG umgesetzt Wird zur Zeit überarbeitet EU-Datenschutzrecht 13

14 Datenschutz-Grundverordnung (EU) 2016/679 Ist in Kraft getreten, aber erst ab Mai 2018 anwendbar Ersetzt grdsl. nationale Vorschriften Aber enthält Öffnungsklauseln und Spielräume für MS, die diese in nationalem Recht umsetzen Grundprinzipien bleiben erhalten Neue Vorschriften: One-Stop-Shop für Unternehmen und Betroffene (Zuständigkeiten der Aufsichtsbehörden) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Datenschutz by Design und by Default (Art. 25 DSGVO) EU-Datenschutzrecht 14

15 III. Aktuelle Probleme des EU- Datenschutzrechts

16 1. Anwendbarkeit auf Internationale Sachverhalte 1 Abs. 2 u. 5 BDSG i.v.m. Art. 4 DS-RL Bei Verarbeitung durch verantwortliche Stellen mit Sitz oder im Rahmen einer Niederlassung in Deutschland Bei Verarbeitung im Inland durch Stellen mit Sitz außerhalb EU Nicht bei Verarbeitung im Inland durch Stellen mit Sitz in der EU und ohne Niederlassung in Deutschland EU-Datenschutzrecht 16

17 Beispielsfall 1 (Google and Google Spain) US-amerikanischer Webseitenbetreiber betreibt Suchmaschine auf spanisch mit spanischer TLD und hat Niederlassung in E, die Werbeflächen auf dieser verkauft und sich u.a. dadurch finanziert. Personenbezogene Daten, die bei der Nutzung der Website anfallen, werden von der Muttergesellschaft in den USA verarbeitet. EU-Datenschutzrecht 17

18 Artikel 4 Anwendbares einzelstaatliches Recht (1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. [ ] EU-Datenschutzrecht 18

19 Beispielsfall 1 (Google and Google Spain) US-amerikanischer Webseitenbetreiber betreibt Suchmaschine auf spanisch mit spanischer TLD und hat Niederlassung in E, die Werbeflächen auf dieser verkauft und sich u.a. dadurch finanziert. Personenbezogene Daten, die bei der Nutzung der Website anfallen, werden von der Muttergesellschaft in den USA verarbeitet. EuGH: Verarbeitung muss nur im Rahmen einer Niederlassung erfolgen, Finanzierung ist ausreichender Anknüpfungspunkt Spanisches Datenschutzrecht anwendbar EU-Datenschutzrecht 19

20 Beispielsfall 2 (Weltimmo) Webseitenbetreiber mit Sitz in SK betreibt auch Website auf ungarisch, mit ungarischer TLD und hat Vertreter in H. EU-Datenschutzrecht 20

21 Artikel 4 Anwendbares einzelstaatliches Recht (1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. [ ] Erwägungsgrund (19) Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich. EU-Datenschutzrecht 21

22 Beispielsfall 2 (Weltimmo) Webseitenbetreiber mit Sitz in SK betreibt auch Website auf ungarisch, mit ungarischer TLD und hat Vertreter in H. EuGH: Niederlassung setzt effektive und tatsächliche Ausübung einer Tätigkeit mittels fester Einrichtung voraus Rechtsform ist gleichgültig Betreiben einer Website ist effektive und tatsächliche Tätigkeit Auch einzelner Vertreter kann Anforderung erfüllen Ungarisches Datenschutzrecht ist anwendbar EU-Datenschutzrecht 22

23 Beispielsfall 3 US-amerikanischer Anbieter betreibt soziales Netzwerks auf deutsch, mit deutscher TLD und hat Niederlassung in D, die Werbeflächen auf dieser verkauft und sich u.a. dadurch finanziert. Nutzer schließen Vertrag mit irischer Niederlassung, die die personenbezogenen Daten der Nutzer im Rahmen einer Auftragsverarbeitung an den Mutterkonzern in die USA weiterleitet. EU-Datenschutzrecht 23

24 Artikel 4 Anwendbares einzelstaatliches Recht (1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält. [ ] EU-Datenschutzrecht 24

25 VG Hamburg: irische Niederlassung ist verantwortliche Stelle, anders als bei Google Spain ist EU-Datenschutzrecht anwendbar, daher keine Lücke A.A.: Auch Niederlassung in D, da laut DS-RL Recht in allen MS in denen Niederlassung besteht einzuhalten, verkennt Art. 4 Abs. 1 lit. a S. 2 DS-RL Antwort bleibt offen, erst letzte Instanz muss an EuGH vorlegen EU-Datenschutzrecht 25

26 Art. 3 DSGVO: Bei Verarbeitung im Rahmen der Tätigkeit einer Niederlassung in EU (auch wenn tatsächliche Verarbeitung außerhalb der EU erfolgt) Bei Verarbeitung durch nicht in EU niedergelassenen Verantwortlichen, wenn Personen in EU Waren oder Dienstleistungen angeboten werden Verhalten von Personen beobachtet wird, die sich in der EU aufhalten EU-Datenschutzrecht 26

27 2. Datentransfer in Drittstaaten Damit Schutz durch EU-Datenschutzrecht nicht einfach umgangen wird, ist auch Übertragung von Daten in Drittstaaten geregelt Anknüpfungspunkt ist, dass auch Übertragung von Daten ein Verarbeiten ist und damit der DS-RL unterliegt Kommission hat Adäquanz-Entscheidungen u.a. getroffen für Argentinien Kanada Schweiz Israel Neuseeland EU-Datenschutzrecht 27

28 Nicht für USA! Aber Safe-Harbour-Entscheidung: Angemessenheit vermutet, wenn Safe Harbour- Grundsätze zum Datenschutz eingehalten werden Organisationen zertifizieren sich selbst Weitgehende Einschränkungen für Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Wahrnehmung gesetzlicher Aufgaben EU-Datenschutzrecht 28

29 Nachdem US-Überwachungsprogramme bekannt wurden klagte Schrems gegen irischen Datenschutzbeauftragten, der nicht gegen Facebook Irland vorging Kommission muss regelmäßig und streng prüfen, ob noch angemessenes Schutzniveau besteht Grundsätze gelten nur für US-Organisationen, nicht staatliche Stellen Keine Einschränkung der Ausnahmen bzgl. Erforderlichkeit oder Verhältnismäßigkeit EU-Datenschutzrecht 29

30 Kein Rechtsschutz gegen Eingriffe staatlicher Stellen Verletzt Artikel 47 EU-GRC Tragweite und Anwendung von Maßnahmen unklar Keine Mindestanforderungen an Schutz der Daten vor Missbrauch Erlaubt generellen Zugriff auf Kommunikationsinhalte Schwerwiegende Verletzung von Artikel 7 und 8 EU-GRC Folge: Safe Harbour Entscheidung nichtig EU-Datenschutzrecht 30

31 Hamburgischer Datenschutzbeauftragter hat im Juni 2016 Bußgelder gegen Adobe, Punica und Unilever verhängt, da sie Datentransfer sich weiterhin unter auf Berufung Safe Harbour auf Safe beriefen Harbour ist unzulässig Aber EU-Datenschutzrichtlinie hat weitere Rechtsgrundlagen für Datentransfer (P): Einwilligung (-) (P): BCR und Standardvertragsklauseln auch von Überwachungspraxis betroffen Betrifft nicht Fälle, in denen zur Vertragserfüllung Daten übertragen werden müssen! Betrifft nur Fälle, in denen Anbieter Daten im eigenen Interesse überträgt, z.b. Auftragsverarbeitung EU-Datenschutzrecht 31

32 Vize-Präsident der Kommission für den Digitalen Binnenmarkt am EU-Datenschutzrecht 32

33 Enthält Privacy Shield-Grundsätze zum Datenschutz Deutlich ausführlichere Regelungen (P): (P): (P): (P): Fehlende Rechtskraft der Beschränkungen der Geheimdiensttätigkeiten Weiterhin Ausnahme für nationale Sicherheit, etc. Ausdrücklich auch Massenüberwachung vorgesehen Auch Rechtsschutz nicht umfassend EU-Datenschutzrecht 33

34 Kommission wird Privacy Shield wohl verabschieden EuGH wird Privacy Shield verwerfen Treffen einer Adäquanz-Entscheidung ist schwierig, da kein adäquater Schutz in USA Datenübermittlung in USA muss grundlegend umgestaltet werden, um rechtliche Anforderungen zu erfüllen EU-Datenschutzrecht 34

35 3. Das Recht auf Vergessenwerden (Google und Google Spain) Von EuGH in Google und Google Spain entwickelt Ausgangspunkt waren Recht auf Berichtigung, Löschung oder Sperrung von Daten gem. Artikel 12 DS-RL und Widerspruchsrecht gem. Artikel 14 DS-RL Auch DSGVO enthält in Artikel 17 Recht auf Vergessenwerden, ist aber nicht deckungsgleich; entspricht eher allgemeinem Löschungsanspruch Ist Google verpflichtet Suchergebnisse, die zu Informationen über Privatleben von Personen führen, nach gewisser Zeit zu löschen? EU-Datenschutzrecht 35

36 Verarbeitung durch Google stützt sich auf Artikel 7 lit. f DS- RL, also berechtigte Interessen Diese müssen mit Grundrechten der betroffenen Person abgewogen werden Suche anhand von Namen ist schwerer Eingriff in Recht auf Privatleben, der nicht allein durch wirtschaftliche Interessen gerechtfertigt werden kann Abwägung zwischen Interesse der betroffenen Person an Schutz des Privatlebens und Interesse der Öffentlichkeit an Information EU-Datenschutzrecht 36

37 Ist nicht davon abhängig, dass Quelle der Veröffentlichung in Anspruch genommen wird Für Veröffentlichung Verantwortlicher muss nicht zwangsläufig EU-Recht unterliegen oder kann von Anwendung der DS-RL befreit sein (insb. bei journalistischen Zwecken gem. Artikel 9 DS-RL) Zudem erleichtert Suchmaschine das Auffinden der Informationen erheblich Auch wenn Verarbeitung ursprünglich rechtmäßig war, kann sich dies mit Zeitablauf ändern und ist dann nicht mehr mit Artikel 6 Abs. 1 lit. c-e DS-RL vereinbar EU-Datenschutzrecht 37

38 Folgen: Suchmaschinenbetreiber müssen Anträge bewerten und umsetzen Google sperrt nur Ergebnisse seiner Seiten mit europäischen TLD; auf google.com aus betreffendem MS Französische Aufsichtsbehörde (CNIL) verhängte Bußgeld gegen Google, verlangt globale Sperrung Google klagt gegen Bescheid vor französischem Gericht EU-Datenschutzrecht 38

39 Vielen Dank für die Aufmerksamkeit! Felix Bieker, LL.M.Eur Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein EU-Datenschutzrecht 39