Auswirkungen der DS-GVO auf deutsches Recht

Transkript

1 Auswirkungen der DS-GVO auf deutsches Recht 4. Münchner Datenschutztag am 18. Februar 2016 Dr. Winfried Veil

2 Gliederung Grundzüge der Datenschutz-Grundverordnung Verfahrensstand Reaktionen Mitgliedstaatlicher Anpassungsprozess Rechtsbereinigung Ausdrückliche Regelungsgebote Ausdrückliche Gestaltungsoptionen Implizite Gestaltungsoptionen Rechtsgrundlagen der Datenverarbeitung Neue oder angepasste Rechtsinstitute Betroffenenrechte Controllerpflichten Risikobasierter Ansatz Lücken und Rechtsfortentwicklung Schutzgut des Datenschutzrechts?

3 Verfahrensstand EU-Datenschutz-Grundverordnung: Januar 2012 März 2014 Juni 2015 Dezember 2015 ca. Juli bis Juli 2018 ab ca. Juli 2018 KOM-Entwurf EP-Standpunkt Allgemeine Ausrichtung im Rat Politische Einigung Inkrafttreten Anpassung nationalen Rechts Geltung in den Mitgliedstaaten DS-GVO plus nationales x

4 Reaktionen Großer Schritt für die Bürgerinnen und Bürger, für die europäische Wirtschaft und für Europa selbst (Thomas de Maizière) Historischer Tag für den Datenschutz... Verhinderung der Flucht in Datenschutzoasen (Heiko Maas) Major step for our Digital Single Market: people will regain control of their data, business will benefit from clear rules (Günther H. Oettinger) Großer Schritt der EU (FAZ) kill off Europe s cloud computing industry (Amazon, Cisco, SAP, u.a.) unintended consequences significantly negative impact (insurance europe) Werden die #BigData US-Konzerne die Gewinner der neuen #EU-Datenschutzregeln? (Stefan Fritz) saved the essential elements of data protection in Europe. Sadly, there is little left on the initial ambition (European Digital Rights EDRI) vague formulations require further clarification. Businesses might try to misuse broad concepts such as legitimate interest strength of this new law will hinge on how supervisors do their job (The European Consumer Organisation BEUC) result fails to strike the proper balance between protecting citizens fundamental rights to privacy and the ability for businesses in Europe to become more competitive. We fear that the text will undermine the ability of businesses in Europe to invest, innovate and create jobs (DigitalEurope) Harmony? What harmony! Disharmony extends to one-third of the Data Protection Regulation (Amberhawk) Vertane Chance (BVD)... bleibt weit hinter dem Anspruch zurück, ein modernes Datenschutzrecht für die digitale Welt zu schaffen. Stattdessen... mehr Rechtsunsicherheit und... mehr bürokratischer Aufwand (BITKOM) Hemmnis für die eigene Geschäftsentwicklung (Bundesverband Deutsche Startups e.v.) concerns remain, some very serious. (Art. 29-Datenschutzgruppe) Datenschutz darf nicht die Oberhand über die wirtschaftliche Verarbeitung der Daten gewinnen. (Angela Merkel) Behinderungsinstrument für die digitale Wirtschaft in Europa (MdEP Axel Voss) Nach der Reform beginnt die Arbeit (Peter Schaar) Nach dem Spiel ist vor dem Spiel (Nikolaus Forgó)

5 Mitgliedstaaten 1. Rechtsbereinigung Datenschutz-Grundverordnung VO ist in den MS unmittelbar anwendbar Abweichungen unzulässig Wiederholungen unzulässig Ausnahme: Mehrebenengesetzgebung Ausnahme: Erwägungsgrund 3a >>> gewaltige Rechtsbereinigung erforderlich

6 Mitgliedstaaten 2. Ausdrückliche Regelungsgebote Neuregelung der Datenschutzaufsicht Verfahren und effektiver gerichtlicher Rechtsschutz für Geldbußen Sanktionen Abwägung zwischen Datenschutz und Meinungsund Informationsfreiheit Ausnahmen zugunsten der Pressefreiheit (Medienprivileg) Besonderes Datenschutzrecht der Kirchen kann erhalten bleiben, muss aber (von den Kirchen) in Einklang mit der DS-GVO gebracht werden.

7 Mitgliedstaaten 3. Ausdrückliche Gestaltungsoptionen 68 Öffnungsklauseln = Regelungen, durch die die Mitgliedstaaten berechtigt werden, im nationalen Recht spezifischere und/oder von der DS-GVO abweichende Regelungen zu erlassen

8 Mitgliedstaaten Öffnungsklauseln: Gründe: Erhalt nationaler Souveränität Nichtentscheidung umstrittener Fragen Ignoranz gegenüber komplexen Fragen Fehlender Mut Nutzen: Vermeidung von Rechtsunsicherheit Passgenauere Regelungen für konkrete Verarbeitungssituationen Beibehaltung bewährten bereichsspezifischen Rechts Flexibilität Gefahr: Fortbestand der Fragmentierung des Datenschutzrechts in der EU Widerspruch zum Anwendungsvorrang des EU-Rechts

9 Mitgliedstaaten

10 Mitgliedstaaten 4. Implizite Gestaltungsoptionen Rechtsunsicherheiten, die sich aus einem Nebeneinander der Rechtsordnungen der Union und der MS ergeben MS können berechtigt oder sogar verpflichtet sein, geeignete Durchführungsmaßnahmen auch ohne Ermächtigung durch die Verordnung zu treffen = Implizite Öffnungsklauseln (?)

11 Diregulation? Mitgliedstaaten

12 Rechtsgrundlagen Erstverarbeitung (Art. 6 I): Einwilligung Vertrag Lebenswichtige Interessen des Betroffenen Gesetz: Erfüllung einer rechtlichen Verpflichtung Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe Ausübung öffentlicher Gewalt Berechtigtes Interesse der verantwortlichen Stelle Berechtigtes Interesse eines Dritten

13 Rechtsgrundlagen Erstverarbeitung: Einwilligung clear affirmative action & unambiguous Freiwilligkeit: (-), sofern Datenverarbeitung für die Vertragserfüllung nicht erforderlich (Art. 7 IV) (-), wenn Betroffener keine echte Wahlfreiheit hat und somit nicht in der Lage ist, Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden (EG 32 Satz 4) (-), wenn zwischen Betroffenem und Verarbeiter ein klares Ungleichgewicht besteht (EG 34 Satz 1) (-), wenn zu verschiedenen Datenverarbeitungsvorgängen Einwilligung nicht gesondert erteilt werden kann (EG 34 Satz 2) Vorbehalt der Prinzipienkonformität der Einwilligungserklärung im Übrigen (Art. 7 II 2) Jederzeitige Widerruflichkeit (Art. 7 III) Kinder bis zum vollendeten 16. Lebensjahr bei Internetdiensten nicht einwilligungsfähig (Art. 8 I)

14 Rechtsgrundlagen Erstverarbeitung: berechtigtes Interesse 28 I Nr. 2 BDSG: kein Grund zu der Annahme, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung überwiegt <-> Art. 6 I (f) DS-GVO: sofern nicht Interessen, Grundrechte oder Grundfreiheiten des Betroffenen nicht überwiegen Neu! Abhängig von den berechtigten Erwartungen des Betroffenen (EG 38 Satz 1 und 3) Beispiele: Kunden- oder Dienstverhältnis (EG 38 Satz 2) Verhinderung von Betrug (EG 38 Satz 6) Direktwerbung (EG 38 Satz 7) Interne Verwaltungszwecke innerhalb einer Unternehmensgruppe (EG 38a) Netz- und Informationssicherheit (EG 39)

15 Rechtsgrundlagen Weiterverarbeitung (Art. 5 I (b), 6 IIIa): Einwilligung Gesetz Kompatibilität

16 Rechtsgrundlagen Neu! Kompatibilitätsmodell ersetzt Interessenabwägung Zweck 1 Zweck 2 Interesse 1 Interesse 2 Weiterverarbeitung zulässig, wenn diese mit ursprünglichem Erhebungszweck vereinbar ist. Weiterverarbeitung zulässig, wenn zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich und Interesse des Betroffenen überwiegt nicht.

17 Rechtsgrundlagen Zulässigkeit der zweckändernden Weiterverarbeitung nach BDSG zum Vergleich: Öffentliche Stellen: Einwilligung ( 14 II Nr. 2) Rechtsvorschrift bzw. Erfüllung einer gesetzlichen Verpflichtung ( 14 II Nr. 1) Offensichtliches Interesse des Betroffenen ( 14 II Nr. 3) Abwehr von Nachteilen/Gefahren für Gemeinwohl oder öffentliche Sicherheit ( 14 II Nr. 6) Strafverfolgung und vollstreckung ( 14 II Nr. 7) Abwehr von schwerwiegenden Beeinträchtigungen der Rechte einer anderen Person ( 14 II Nr. 8) Allgemein zugänglichen Daten ( 14 II Nr. 5) Befugnis zur Veröffentlichung ( 14 II Nr. 5) Durchführung wissenschaftlicher Forschung ( 14 II Nr. 9)

18 Rechtsgrundlagen Zulässigkeit der der zweckändernden Weiterverarbeitung nach BDSG zum Vergleich: Nicht-öffentliche Stellen: Einwilligung ( 4 I) Rechtsvorschrift bzw. Erfüllung einer gesetzlichen Verpflichtung ( 4 I) Wahrung berechtigter Interessen des Controllers ( 28 II Nr. 1 i.v.m. I Nr. 2) Wahrung berechtigter Interessen eines Dritten ( 28 II Nr. 2 a)) Allgemein zugängliche Daten ( 28 II Nr. 1 i.v.m. I Nr. 3) Befugnis zur Veröffentlichung ( 28 II Nr. 1 i.v.m. I Nr. 3) Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung ( 28 II Nr. 3) Listendaten für Zwecke der Werbung ( 28 III 2 Nr. 1)

19 Rechtsgrundlagen Weiterverarbeitung Bei privilegierten Zwecken gesetzliche Vermutung für Kompatibilität: im öffentlichen Interesse liegende Archivzwecke wissenschaftliche oder historische Forschungszwecke statistische Zwecke Neu! Bei nicht-privilegierten Zwecken Kompatibilitätsprüfung: a) Verbindung zwischen Zweck der Erhebung und Zweck der Weiterverarbeitung b) Kontext der Erhebung c) Art der personenbezogenen Daten d) Mögliche Folgen der Weiterverarbeitung für den Betroffenen e) Angemessene Schutzmaßnahmen

20 Rechtsgrundlagen Weiterverarbeitung Neu! Sofern die Weiterverarbeitung kompatibel ist, ist keine zusätzliche Rechtsgrundlage erforderlich (EG 40). Neu! Bei fehlender Kompatibilität ist Weiterverarbeitung unzulässig. Neu! Pflicht zur Benachrichtigung des Betroffenen über jede Weiterverarbeitung vor der Weiterverarbeitung.

21 Rechtsgrundlagen Weiterverarbeitung Bei einem Widerspruch des Betroffenen gilt: Neu! Sofern Erstverarbeitung aufgrund öffentlichen oder berechtigten Interesses erfolgt, ist Weiterverarbeitung nur zulässig, wenn der Controller (bislang: der Betroffene) zwingende schutzwürdige Gründe nachweist. Sofern Weiterverarbeitung zu Zwecken der Direktwerbung erfolgen soll, ist sie nicht zulässig. Neu! Sofern Weiterverarbeitung zu privilegierten Zwecken erfolgen soll, ist sie nur zulässig, wenn sie zur Erfüllung einer im öffentlichen Interesse liegende Aufgabe erforderlich ist (bislang: Interessenabwägung).

22 Neues Neu! Neue oder angepasste Regelungen: Erhöhte Transparenzerfordernisse Datenportabilität Datenschutz by design und by default Data breach -Notifikationen Datenschutzfolgenabschätzung Vorabkonsultation der Aufsichtsbehörden Rechtsgrundlagen für Codes of Conduct und Zertifizierungen Risikobasierter Ansatz Scharfe Sanktionen

23 Verbot & Vorsorge 34 Verarbeiterpflichten Einholung der Einwilligung Beachtung der Schutzvorschriften bei der Verarbeitung personenbezogener Daten eines Kindes Beachtung der Schutzvorschriften bei der Verarbeitung besonderer Datenkategorien Beachtung der Vorgaben für eine transparente Information und Kommunikation Unterrichtung der betroffenen Person Auskunftserteilung Herausgabe einer Kopie Berichtigung unrichtiger Daten Vervollständigung unvollständiger Daten Löschung und De-listing personenbezogener Daten Vornahme von Verarbeitungsbeschränkungen Mitteilung von Berichtigungen, Löschungen, Verarbeitungsbeschränkungen Datenportabilität Beachtung des Widerspruchsrechts Verbot automatisierter Einzelentscheidung und Profiling Vornahme angemessener Maßnahmen und Rechenschaftspflicht hierzu Datenschutz by design und by default Beachtung der Vorgaben für joint controllers Benennung eines Vertreters Beachtung der Vorgaben für die Auftragsdatenverarbeitung Dokumentation Zusammenarbeit mit den Aufsichtsbehörden Beachtung der Vorgaben für die Datensicherheit Benachrichtigung der Aufsichtsbehörden bei data breaches Benachrichtigung des Betroffenen bei data breaches Vornahme von Datenschutzfolgenabschätzungen Vorherige Konsultation der Datenschutzaufsichtsbehörden Benennung eines Datenschutzbeauftragten Beachtung der Regelungen für die Drittstaatenübermittlung Beachtung der Sonderregelungen für die Datenverarbeitung im Beschäftigungskontext Beachtung der Sonderregelungen für die Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken Beachtung der Sonderregelungen für die Datenverarbeitung zu wissenschaftlichen und historischen Forschungszwecken Beachtung der Sonderregelungen für die Datenverarbeitung zu statistischen Zwecken Beachtung von Geheimhaltungsvorschriften

24 Betroffenenrechte Recht auf Information (14 und 14a) Recht auf Auskunft (15 I bis Ib) Neu! Recht auf Erhalt einer Kopie (15 IIa) Recht auf Berichtigung und Vervollständigung (16) Recht auf Löschung (17) Recht auf Verarbeitungsbeschränkung (17a) Recht auf Benachrichtigung bei Inanspruchnahme eines Betroffenenrechts (17b) Neu! Recht auf Datenübertragbarkeit (18) Widerspruchsrecht (19) Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu werden (20) Recht auf Benachrichtigung über data breaches (32)

25 Betroffenenrechte Keine Ausnahmen von den Betroffenenrechten in der DS-GVO <-> Dagegen Ausnahmen im BDSG: Pflicht zur Archivierung/Aufbewahrung Zwecke der Datensicherung Unverhältnismäßiger Aufwand Zwecke der Datenschutzkontrolle Übermittlung an Behörden des Sicherheitsbereichs Ordnungsgemäße Erfüllung der Aufgaben der verantwortlichen Stelle Gefährdung der öffentlichen Sicherheit oder Ordnung Nachteile für das Wohl des Bundes oder eines Landes Geheimhaltungsvorschriften/Geschäftsgeheimnis Wissenschaftlichen Forschung Allgemein zugängliche Daten Erhebliche Gefährdung der Geschäftszwecke >>> Ausnahmen müssen im nationalen Recht noch geschaffen werden (Vorgaben des Art. 21 sind zu beachten!)

26 Controllerpflichten Neu! Vornahme technischer und organisatorischer Strategien und Maßnahmen (Art. 22) Neu! Datenschutz by design und by default (Art. 23) Neu! Vorgaben für joint controllers (Art. 24) Neu! Benennung eines Repräsentanten durch Drittstaatsunternehmen (Art. 25) Vorgaben für Auftragsdatenverarbeitung (Art. 26) Zusammenarbeit mit Aufsichtsbehörden (Art. 29) Datensicherheit (Artikel 30)

27 Controllerpflichten Notifikation von data breaches an Behörden (31) Mitteilung von data breaches an Betroffene (32) Neu! Datenschutz-Folgenabschätzung (33) Neu! Vorherige Konsultation der Aufsichtsbehörden (34) Benennung eines Datenschutzbeauftragten (35-37) Beachtung der Sonderregelungen für die Drittstaatenübermittlung (40-45a)

28 Risikobasierter Ansatz Neu! Anpassung datenschutzrechtlicher Pflichten (Skalierung) an die durch die Datenverarbeitung begründete Gefährdungssituation Risikoabhängigkeit des Pflichtenumfangs Pflichtenbegründung bei gesteigertem Risiko (z.b. Datenschutzfolgenabschätzung und Pflicht zur Behördenkonsultation nur bei hohem Risiko) Risikoabhängigkeit der Rechtsgrundlagen? Risikoabhängigkeit der Betroffenenrechte? Risikokriterien: Eintrittswahrscheinlichkeit und Schwere des Risikos

29 Risikobasierter Ansatz Neu! Benennung konkreter Schutzgüter (EG 60a) physische, materielle oder moralische Schädigung Diskriminierung Identitätsdiebstahl oder betrug finanzieller Verlust Rufschädigung Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten unbefugte Aufhebung der Pseudonymisierung andere erhebliche gesellschaftliche oder wirtschaftliche Nachteile

30 Lücken Neu! Keine Regelungen zu: Videoüberwachung Kreditscoring Adresshandel Werbung Beschäftigtendatenschutz Markt- und Meinungsforschung Automatisierte Abrufverfahren Mobile Speicher- und Verarbeitungsmedien

31 Rechtsfortentwicklung Auslegung unbestimmter Rechtsbegriffe durch Empfehlungen (Europäischer Datenschutzausschuss) Delegierte Rechtsakte und Durchführungsrechtsakte der Kommission Standardisierung und Normung im Bereich des technischen Datenschutzes Regulierte Selbstregulierung: Codes of Conduct und Zertifizierungen Entscheidungen der Datenschutzaufsichtsbehörden Rechtsfortbildung durch den EuGH...

32 Sinn und Zweck Informationelle Selbstbestimmung? Digitale Souveränität? Schutzgut Verwertungsrecht an Daten? Privatsphäre Achtung des Privatund Familienlebens, der Wohnung und der Kommunikation Eigentum an Daten?

33 Sinn und Zweck BVerfG ( Volkszählungsurteil ): Das Recht auf informationelle Selbstbestimmung ist nicht schrankenlos gewährleistet. Der Einzelne hat keine absolute Herrschaft über seine Daten. Der Schutz der Privatsphäre kann nur kontextbezogen erfolgen. Personenbezogene Informationen sind gemeinschaftsbezogen, so dass ihr Schutz durch das Allgemeininteresse beschränkt werden kann. Datenschutz wird beschränkt durch die Rechte Dritter und die Rechte des Datenverarbeiters.

34 Conclusio Wir stehen selbst enttäuscht und sehn betroffen...

35

36 36