Einführung in das Datenschutzrecht Wintersemester 2014/ Vorlesung: Rechtmäßigkeit, Einwilligung und Zweckbindung Christian Prietz

Transkript

1 Einführung in das Datenschutzrecht Wintersemester 2014/ Vorlesung: Rechtmäßigkeit, Einwilligung und Zweckbindung Christian Prietz

2 Wiederholung- und Vertiefungsfragen (WuV) Was wird durch das sog. Fernmeldegeheimnis geschützt? Lässt sich eine gesetzlich angeordnete, anlasslose Speicherung von Telekommunikationsverkehrsdaten durch private Diensteanbieter mit Artikel 10 GG vereinbaren? Datenschutzrecht FH Kiel Christian Prietz 2

3 Wiederholung- und Vertiefungsfragen (WuV) Was ist der Zweck des Bundesdatenschutzgesetzes und wer wird durch seine Regelungen geschützt? Wie wird ein personenbezogenes Datum definiert? Gibt es personenbezogene Daten, die vom BDSG als besonders (wenig) schutzbedürftig klassifiziert werden? Datenschutzrecht FH Kiel Christian Prietz 3

4 Erheben, 3 Abs. 3 BDSG Erheben, Verarbeiten, Nutzen = (zielgerichtetes) Beschaffen von Daten über den Betroffenen Verarbeiten, 3 Abs. 4 BDSG = Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten Nutzen, 3 Abs. 5 BDSG = jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt Datenschutzrecht FH Kiel Christian Prietz 4

5 Verarbeitungsschritte Speichern, 3 Abs. 4 Nr. 1 BDSG Verändern, 3 Abs. 4 Nr. 2 BDSG führt zu einem neuen / geänderten Informationsgehalt Übermitteln, 3 Abs. 4 Nr. 3 BDSG Weitergabe/Veröffentlichung Bereithalten zum Abruf Sperren, 3 Abs. 4 Nr. 4 BDSG Löschen, 3 Abs. 4 Nr. 5 BDSG Datenschutzrecht FH Kiel Christian Prietz 5

6 Persönlicher Anwendungsbereich des BDSG 1 Abs. 2 BDSG nennt die Regelungsadressaten des BDSG: 1. öffentliche Stellen des Bundes 2. öffentliche Stellen der Länder a) soweit der Datenschutz nicht durch Landesgesetz geregelt ist und b) soweit sie Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden 3. nicht-öffentliche Stellen (insbes. Privatwirtschaft) Datenschutzrecht FH Kiel Christian Prietz 6

7 Nicht-öffentliche Stellen Bundesdatenschutzgesetz auf nicht-öffentliche Stellen gem. 1 Abs. 2 Nr. 3 BDSG - nur - anwendbar, wenn Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (vgl. 3 Abs. 2 S. 1 BDSG) oder Verarbeitung personenbezogener Daten in oder aus nicht automatisierten Dateien (vgl. 3 Abs. 2 S. 2 BDSG) und Datenverarbeitung erfolgt nicht ausschließlich für persönliche oder familiäre Tätigkeiten Datenschutzrecht FH Kiel Christian Prietz 7

8 Nicht-öffentliche Stellen (II) Fall 6 Physiotherapeut A betreibt eine Datenbank, in der Namen und Adressen seiner Patienten abgelegt sind. Rechtsanwältin B speichert Kontaktdaten ehemaliger Kommilitonen im Adressbuch von MS Outlook. Ist der persönliche Anwendungsbereich des BDSG eröffnet? Datenschutzrecht FH Kiel Christian Prietz 8

9 Begriff der verantwortlichen Stelle 3 Bundesdatenschutzgesetz (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Datenverarbeitung für sich oder Datenverarbeitung im Auftrag 11 BDSG Schriftlicher Auftrag Weisungsgebundenheit Technische und organisatorische Maßnahmen Bsp.: Auslagerung von Rechenzentrumsleistungen (Hosting) Datenschutzrecht FH Kiel Christian Prietz 9

10 Die 7 Goldenen Regeln des Datenschutzes Recht mäßig keit Ein willi gung Zweck bin dung Erfor derlich keit Trans pa renz Daten sicher heit Kon trol le

11 Rechtmäßigkeit Verbot mit Erlaubnisvorbehalt 4 Bundesdatenschutzgesetz (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Jede Datenverarbeitung bedarf einer Rechtsgrundlage Bundesdatenschutzgesetz z. B. 28 Abs. 1 Satz 1 Nr. 1 BDSG Bereichsspezifische Regelung z. B. 14 Telemediengesetz Einwilligung des Betroffenen Datenschutzrecht FH Kiel Christian Prietz 11

12 Was ist wichtig? Die Verarbeitung personenbezogener Daten ist nur auf der Grundlage einer gesetzlichen Ermächtigung, eines Vertrages, betrieblichen Regelung oder der Einwilligung der/des Betroffenen zulässig Datenschutzrecht FH Kiel Christian Prietz 12

13 Einwilligung 4a Bundesdatenschutzgesetz Eine Einwilligung ist eine Willensbekundung der/des Betroffenen, die freiwillig, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person zustimmt, dass personenbezogenen Daten über sie erhoben, verarbeitet oder genutzt werden. Datenschutzrecht FH Kiel Christian Prietz 13

14 Einwilligung Information Welche Daten werden verarbeitet? Wer verarbeitet die Daten? Zu welchem Zweck? Freiwilligkeit Kopplungsverbot 28 Abs. 3b BDSG Wirtschaftliche Abhängigkeit Arbeitsverhältnis Datenschutzrecht FH Kiel Christian Prietz 14

15 Einwilligung Formalien Schriftlichkeit Regelfall: Schriftform Ausnahmen: elektronischer Rechtsverkehr, Telefonbanking Hervorhebung der Einwilligungserklärung Widerruflichkeit der Einwilligung Ab jetzt und für die Zukunft (ex nunc) (+) Für die Vergangenheit (ex tunc) (-) Datenschutzrecht FH Kiel Christian Prietz 15

16 Was ist wichtig? Die Einwilligung muss informiert und freiwillig erfolgen Die Einwilligung ist grundsätzlich schriftlich zu erteilen. Ausnahmen sind in begründeten Fällen möglich. Die Einwilligung ist mit Wirkung für die Zukunft widerruflich. Datenschutzrecht FH Kiel Christian Prietz 16

17 Elektronische Einwilligung Beispiel: Abonnieren eines Newsletters 13 TMG (2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass [ ] der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Gem. Abs. 3 muss der Diensteanbieter den Nutzer vor Erklärung der Einwilligung auf das Widerrufsrecht hinweisen. Datenschutzrecht FH Kiel Christian Prietz 17

18 Wiederholung und Vertiefung Rechtmäßigkeit und Einwilligung Erhebung, Verarbeitung und Nutzung personenbezogener Daten Spezialgesetz? nein Sonstige Norm? nein BDSG? nein Einwilligung ja ja ja ja nein Verarbeitung unzulässig Verarbeitung zulässig Datenschutzrecht FH Kiel Christian Prietz 18

19 Zweckbindung Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. Die verantwortliche Stelle muss den Verwendungszweck bereits bei der Erhebung festlegen dieser muss eindeutig und rechtmäßig sein. Datenerhebung nach dem Motto Schau n wir mal ist unzulässig Datenschutzrecht FH Kiel Christian Prietz 19

20 Zweckbestimmung Festlegung des Verwendungszwecks 28 Abs. 1 Satz 2 BDSG Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. Der Betroffene muss bei der Erhebung gem. 4 Abs. 3 Satz 1 BDSG (u. a.) über den Verwendungszweck unterrichtet werden. Datenschutzrecht FH Kiel Christian Prietz 20

21 Zweckbestimmung Wichtiger Zweck: Vertragserfüllung Datenverarbeitung zur Erfüllung eines Vertrags mit dem Betroffenen (vgl. 28 Abs. 1 Satz 1 Nr. 1 BDSG) Erfolgt die Erhebung zur Erfüllung eines Vertrages, dürfen die Daten auf der Grundlage dieser Vorschrift auch nur zur Vertragserfüllung verwendet werden. Typischerweise: Geld gegen Ware Datenschutzrecht FH Kiel Christian Prietz 21

22 Zweckänderung Änderung des Verwendungszwecks Die verantwortliche Stelle benötigt für eine Zweckänderung eine gesonderte Legitimation (Gesetz, Einwilligung) Vgl. etwa 28 Abs. 2 und 3 BDSG: Wahrung berechtigter Interessen eines Dritten Öffentliche Sicherheit und Verfolgung von Straftaten Durchführung wissenschaftlicher Forschung etc. Datenschutzrecht FH Kiel Christian Prietz 22

23 Zweckbindung Verwendungszweck Datenschutzkontrolle & Datensicherung 31 BDSG: Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer DV- Anlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. Hier geht es um Protokoll- und Backup-Daten Besondere Zweckbindung: nur für diese Zwecke Datenschutzrecht FH Kiel Christian Prietz 23

24 Zweckbindung Gewährleistung der Zweckbindung durch technische Maßnahmen Ziffer 8 der Anlage zu 9 BDSG: Hiernach sind Datenverarbeitungsanlagen so zu gestalten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. - Keine physische Trennung (unterschiedliche Hardware) erforderlich - Es genügt eine logische Trennung im Rahmen eines besonderen Berechtigungskonzeptes. Datenschutzrecht FH Kiel Christian Prietz 24

25 Zweckbindung Fall 7 Unternehmen A informiert seine Kunden bei Vertragsschluss u. a. wie folgt: Ihre personenbezogenen Daten verwenden wir zur Erfüllung dieses Vertrages sowie für weitere kommerzielle Zwecke wie beispielsweise die Zusendung unseres jährlichen Warenkatalogs. Genügt diese Formulierung dem Grundsatz der Zweckbindung? Datenschutzrecht FH Kiel Christian Prietz 25

26 Zweckbindung Fall 8 In der IT von Unternehmen B werden regelmäßig Scans gefahren, um die Verfügbarkeit und Belastung von Datenverbindungen zu analysieren. Dürfen diese Daten auch zur Kontrolle der Mitarbeiter verwendet werden? Datenschutzrecht FH Kiel Christian Prietz 26

27 Was ist wichtig? Die verantwortliche Stelle muss den Verwendungszweck von personenbezogenen Daten bereits bei deren Erhebung festlegen. Personenbezogene Daten dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben worden sind (Zweckbindung). Der wichtigste Regelfall der Zweckbindung ist die Verwendung für Zwecke der Vertragserfüllung. Die Zweckänderung der Verwendung bedarf einer gesonderten Legitimation durch eine Vorschrift des Datenschutzrechts oder die Einwilligung der Betroffenen. Datenschutzrecht FH Kiel Christian Prietz 27