EU-Datenschutzgrundverordnung. Thomas Spaeing Vorstandsvorsitzender BvD e.v.

Transkript

1 EU-Datenschutzgrundverordnung Thomas Spaeing Vorstandsvorsitzender BvD e.v.

2 who is Thomas Spaeing, Dipl.Ing./Dipl.Wirtsch.Ing. (FH) Seit 1997 im Bereich Datenschutz tätig bis 2001 als interner DSB Ab 2001 als Inhaber der ds²-unternehmensberatung für Datenschutz & Datensicherheit und Mitglied im BvD Seit 2006 Vorstand des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.v. in Berlin, seit 2008 Vorsitzender des Vorstands Der BvD ist die Interessensvertretung der betrieblichen und behördlichen Datenschutzbeauftragten, entwickelt Qualitätsstandards und führt Fortbildungen durch T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 2

3 Übersicht 1. Zielsetzung der Datenschutzgrundverordnung 2. Wesentliche Inhalte und Auswirkungen 3. Weiterer Ablauf T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 3

4 Zielsetzung der Datenschutzgrundverordnung Ausgangssituation Das europäische Parlament hat die EU-Kommission beauftragt, die schwierige Situation der ungleichen Datenschutzgesetze in der EU zu verbessern, Dazu sollte die Kommission einen geeigneten Vorschlag unterbreiten. Ergebnis ist der Kommissionsentwurf zu Datenschutzgrundverordnung vom Der Entwurf ist unter maßgeblicher Mitarbeit deutscher Kommissionsmitarbeiter entstanden, die zahlreiche Elemente des BDSG in die VO übertragen haben wenn auch nicht unverändert. Dabei wollte man vereinheitlichen, Komplexität abbauen und den Raum für spätere Verbesserungen schaffen. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 4

5 Zielsetzung der Datenschutzgrundverordnung 1. Verbesserung des freien Datenverkehrs zur Förderung von Investitionen in die EU! Grundrechte der Bürger kommen im Kommissionsentwurf kaum vor. Erst der Entwurf des Parlaments holt dies nach und verleiht damit der Verordnung deutlich mehr Gewicht in Sachen Datenschutz! Zahlreiche verbraucherfreundliche Regelungen des Kommissionsentwurfes sind reine Absichtserklärungen. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 5

6 Zielsetzung der Datenschutzgrundverordnung 2. Die uneinheitliche Umsetzung der Datenschutzrichtlinie von 1995 soll beendet werden. Alle Länder sollen einer einheitlichen Datenschutzgesetzgebung unterliegen, insbesondere sollen Unternehmen nicht mehr dort ansässig werden, wo das schwächste Datenschutzgesetz gilt. Offenbar geht es dabei aber eher darum, die Länder einzufangen, die weitergehende Regelungen getroffen haben. Vieles bleibt unkonkret und späteren Konkretisierungen unterworfen (sog. delegierte Rechtsakte der Kommission). Der Parlamentsentwurf versucht dies zu verbessern, indem er die fachliche Bearbeitung der Fragen dem Datenschuzausschuss (bisherige Art. 29 Gruppe) überträgt. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 6

7 Zielsetzung der Datenschutzgrundverordnung 3. Die Kommission zieht die Befugnisse der nationalen Aufsichtsbehörden an sich und will selbst durch delegierte Rechtsakte die offenen Fragen der Verordnung nach und nach regeln. So soll die Ungleichheit der Datenschutzaufsicht beendet werden. Dadurch schränkt sie die Unabhängigkeit der nationalen Aufsichtsbehörden deutlich ein. Der Hauptplayer im Datenschutz würde ein nicht demokratisch legitimiertes Gremium in der EU. Der Parlamentsentwurf schaltet hier den Datenschutzausschuss zwischen, der fachkompetent aus Vertretern der Mitgliedsstaaten besetzt ist. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 7

8 Übersicht 1. Zielsetzung der Datenschutzgrundverordnung 2. Wesentliche Inhalte und Auswirkungen 3. Weiterer Ablauf T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 8

9 Die korrekte Bezeichnung: VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 9

10 KAPITEL I ALLGEMEINE BESTIMMUNGEN KAPITEL II GRUNDSÄTZE ÜBERBLICK KAPITEL III RECHTE DER BETROFFENEN PERSON KAPITEL IV FÜR DIE VERARBEITUNG VERANTWORTLICHER UND AUFTRAGSVERARBEITER KAPITEL V ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER ODER AN INTERNATIONALE ORGANISATIONEN KAPITEL VI UNABHÄNGIGE AUFSICHTSBEHÖRDEN KAPITEL VII ZUSAMMENARBEIT UND KOHÄRENZ KAPITEL VIII RECHTSBEHELFE, HAFTUNG UND SANKTIONEN KAPITEL IX VORSCHRIFTEN FÜR BESONDERE DATENVERARBEITUNGSSITUATIONEN KAPITEL X DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKTE KAPITEL XI SCHLUSSBESTIMMUNGEN T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 10

11 Verbot mit Erlaubnistatbestand bleibt erhalten! Dieser Eckpfeiler des deutschen Datenschutzes wurde in zahlreichen Beratungsrunden in Kommission und Parlament den Vertretern der Mitgliedsstaaten erläutert und nahegebracht, um dann auch im Kommissionsentwurf verankert zu werden. Zur großen Überraschung der EU-Akteure wurde dann ausgerechnet in Deutschland 2012 durch Initiative des BMI eine weitergehende Modernisierung des Datenschutzes ohne Verbot mit Erlaubnisvorbehalt propagiert. Eine namhafte deutsche Hochschule hat sich des Themas angenommen und kreative neue Wege für den Datenschutz entwickelt mit Fördergeldern von GOOGLE. Bis heute kocht diese Diskussion immer mal wieder auf. Der Parlamentsentwurf stärkt diesen Grundsatz. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 11

12 Definition Personenbezogene Daten / Einwilligung Das Parlament konkretisiert die Definition der personenbezogenen Daten und erläutert den Bereich der Pseudonymisierung/Anonymisierung genauer. Folge: Anonymisierte Daten unterfallen nicht der VO. Die Einwilligung kann nur wirksam werden, wenn zwischen den Parteien kein Ungleichgewicht zu Ungunsten des Betroffenen besteht (u.u. wie auch im Beschäftigungsverhältnis). Das Parlament hat hier den Zweck wieder eingeführt, für den die Einwilligung erteilt wird. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 12

13 Recht auf Vergessen werden Diese Regelung zielt darauf ab, Betroffenendaten durch den Anbieter eines Dienstes wieder löschen zu lassen, auch bei den Stellen, an die er die Daten weitergegeben hat. Eine schöne Idee, die bislang technisch nicht umsetzbar ist, da jede öffentliche Information, jedes Datum beliebig verbreitet wird und diese Verbreitung durch den Anbieter selbst kaum kontrolliert werden kann. Zudem wird die Umsetzung dieser Forderung Kosten verursachen, die durch die meist kostenlosen Datensammeldienste kaum gedeckt werden. Der Parlamentsentwurf macht daraus die Pflicht zur Löschung unrechtmäßig erhobener Daten. Ob diese Regelung mehr ist, als eine Absichtserklärung wird sich in der Praxis zeigen. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 13

14 Recht auf Datenportabilität Diese für die Internetwirtschaft gedachte Regelung stellt zahlreiche Unternehmen im Industriebereich vor einige Hürden. Wie soll man dem Kunden dessen Daten aus SAP übergeben, damit er diese bei einem anderen Unternehmen in Oracle Aplications einlesen kann? Passt eher bei Sozialen Netzwerken. Diese Regelung soll laut Parlament aufgehen in der Regelung zum Recht auf Datenzugang. Die Daten sollen digital verfügbar gemacht werden, wie im Rahmen einer Auskunft. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 14

15 Transparenzpflichten / Informationspflicht Veröffentlichung der Datenschutz-Strategie, Pflicht zur Darstellung des berechtigten Interesses, Dauer der Speicherung, Hinweis auf zust. Aufsichtsbehörde. Die Auskunft an den Betroffenen soll laut Parlamentsentwurf auch digital erfolgen (wie ggf. die Anfrage). Hier stellt sich in der Praxis die Frage der Authentifizierung. Wie wird sichergestellt, dass der Anfragende auch tatsächlich echt ist? Wenn die Auskunft an die falsche Person geht, greift u.u. ggf. schon die Pflicht zur Data Breach Notification, der Informationspflicht bei Datenschutzpannen! Hier hat das Parlament ein öffentliches Register der Vorfälle bei der Aufsichtsbehörde eingeführt. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 15

16 Privacy by Design / Default Hersteller und Anbieter sollen Ihre Dienste so gestalten, dass diese von Beginn an datenschutzfreundlich gestaltet sind (Datensparsamkeit und Zweckbindung). Diese lang bekannte Forderung von Datenschützern hat Eingang in die VO gefunden, ist aber nur wenig mehr als eine Aufforderung. Die Voreinstellungen in Webangeboten sollen einen hohen Datenschutzstandard haben, den der User bei Bedarf absenken kann. Bislang ist es oft genau umgekehrt (z.b. Facebook). T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 16

17 Marktortprinzip und One-stop-shop Durch diese Regelung soll Unternehmen die Wahl des Standortes in der EU in dem Land mit den schwächsten Datenschutzgesetze (Standortprinzip) verwehrt werden. Zukünftig gelten überall dieselben Gesetze. Unternehmen verhandeln nur noch mit Ihrer Aufsichtsbehörde (Sitzland) Betroffen wenden sich an die Datenschutzaufsicht in ihrem Land Die Aufsichtsbehörden bearbeiten die Fälle gemeinsam mit der Kommission (Kohärenzverfahren) hier setzt der Parlamentsentwurf den Datenschutzausschuss ein und begrenzt die Kommnission auf wenige Aufgaben T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 17

18 Marktortprinzip und One-stop-shop Risiken: Die Unternehmen orientieren sich an der schwächsten Datenschutzaufsicht. Wo keine Kontrolle zu erwarten ist, verarbeitet es sich angenehmer. Eine unterbesetzte Aufsichtsbehörde, die bis heute noch keinerlei Aktivitäten entfaltet hat, wird auch durch die Verordnung nicht dazu motiviert. Betroffene warten sehr lange auf die Umsetzung Ihrer Rechte. Das ursprünglich geplante Kohärenzverfahren ließ eine sehr ausufernde Bearbeitung der Beschwerden zwischen den EU-Staaten erwarten. Durch die nun geplante erweiterte Tätigkeit des Datenschutzausschusses könnte sich dies verbessern. Im Gegensatz zur Kommission ist er nur Beratungsgremium des Parlaments, während die nicht demokratisch legitimierte Kommission ohne Fachkenntnisse entscheiden wollte. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 18

19 Betrieblicher/behördlicher Datenschutzbeauftragter Bestellpflicht Ein Datenschutzbeauftragter ist zu bestellen, wenn die verantwortliche Stelle mehr als 500 Personen beschäftigt oder mehr als 500 Personen von der Datenverarbeitung betroffen sind. Dies geht deutlich weiter als der Kommissionsentwurf und entlastet gleichzeitig kleine reine Industrieunternehmen. Aus weiteren Regelungen kann sich die Bestellpflicht ergeben wenn best. Bedingungen erfüllt sind (Profiling, Verarbeitung sensibler Daten, ) Er muss fachkundig sein was das genau bedeutet, soll der Datenschutzaussschuss erarbeiten. Bei Nichtbestellung Dokumentationspflicht und Information der Behörde. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 19

20 Betrieblicher/behördlicher Datenschutzbeauftragter Unabhängigkeit Der Datenschutzbeauftragte wird für die Dauer von mind. vier Jahren bestellt. Damit wird den Forderungen nach einer unabhängigeren Ausübung des Amtes recht gegeben. Die Kommission hatte zwei Jahre vorgesehen. Zudem erhält der Datenschutzbeauftrage eine Verschwiegenheitspflicht, die auch auf seine Assistenen übergeht. Was mit dieser Regelung tatsächlich erreicht wird, bleibt zu beobachten. Ein Aussageverweigerungsrecht soll der DSB nur dann haben, wenn das auch für die verantwotliche Stelle gilt. Der DSB wird der Leitung der verantwortlichen Stelle unterstellt und soll in der Ausübung seiner Tätigkeit weisungsfrei sein. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 20

21 Betrieblicher/behördlicher Datenschutzbeauftragter Aufgaben Beratung der verantwortlichen Stelle, Überprüfung der Datenverarbeitung Schulungen überwachen (durchführen) Prüfung von Auftragsverarbeitungen Durchführung von Risikovorabschätzungen (war im Kommissionsentwurf bei den Aufsichtsbehörden) Sicherstellen der Dokumentation der Verarbeitungen Ansprechpartner für die Aufsichtsbehörde T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 21

22 Auftragsverarbeiter Auftragsdatenverarbeiter heißen zukünftig Auftragsverarbeiter und haben auch eine Verantwortung für die Einhaltung der VO bei der Verabeitung der Daten. Damit wird aber nicht die Verantwortung des Auftraggebers reduziert, sondern eine zusätzliche Verantwortung geschaffen. Die verantwortliche Stelle bleibt nach wie vor voll verantwortlich. Der Auftragsverarbeiter (beispielsweise Plattformanbieter wie die Telekom oder 1&1, ) soll aber vor allem gegenüber kleinen Auftraggebern selbst für die Einhaltung verantwortlich sein. Diese Regelung ist sicher sinnvoll, da hier bislang ein Ungleichgewicht herrschte. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 22

23 Sanktionen Die Verordnung sieht vor, dass Verstöße mit Bußgeldern bis zu 2 % des weltweiten Jahresumsatzes (nicht Gewinn!) eines Unternehmens. Beispielsweise hätte Lidl mit dieser Regelung damals bei einem Jahresumsatz von 30,85 Mrd. Euro rund 617 Mio. Euro zahlen müssen. Das 411-fache des tatsächlichen Bußgelds von 1,5 Mio. Euro (Berichterstatter J.Ph.Albrecht). Es liegt auf der Hand, das diese Größenordnung ein erheblicher Motivator auch für große Unternehmen sein wird. Die tatsächliche Höhe hängt vom Ermessen der zuständigen Aufsichtsbehörde ggf. in Abstimmung mit der Kommission ab. Da die Kommission permanent Ziel der Lobbyarbeit großer Unternehmen ist, bleibt abzuwarten, wie die Größenordnungen tatsächlich aussehen. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 23

24 Übersicht 1. Zielsetzung der Datenschutzgrundverordnung 2. Wesentliche Inhalte und Auswirkungen 3. Weiterer Ablauf T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 24

25 Weiterer Ablauf Die aktuelle Vorlage des LIBE-Ausschusses des EU-Parlaments wird bereits heftig unter Beschuss genommen: Die großen US-Unternehmen sind vom Berichtsentwurf des Berichterstatters enttäuscht. Unternehmensverbände insbesondere aus dem Direktmarketing-Umfeld hatten auf eine deutliche Lockerung des Datenschutzes gehofft. Die Lobbymaschinerie wird wieder auf vollen Touren laufen! Weitere Ausschüsse des Parlaments arbeiten an Berichten zur EU- Datenschutzverordnung, die endgültige Richtung des Parlaments ist daher noch offen. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 25

26 Weiterer Ablauf Bis zum haben die anderen Fraktionen des Parlaments Zeit, ihre Änderungsanträge zu dem vorliegenden Parlamentsentwurf einzureichen. Bis März können die beratenden Ausschüsse ihre Stellungnahmen abgeben. Insbesondere vom Industrieausschuss aber auch von anderen werden Vorschläge für Schwächungen des Datenschutzes erwartet, da in diesen Ausschüssen schwerpunktmäßig die Lobbyarbeit erfolgt. In der letzten Aprilwoche findet dann die Orientierungsabstimmung im Liebe- Ausschuss statt. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 26

27 Weiterer Ablauf Je nach Verhandlungsstand im Rat können dann die Verhandlungen zwischen Rat, Parlament und Kommission im Mai beginnen (sog. Trialog). Allerdings ist hier mit Verzögerungen durch den Rat zu rechnen, welche durch die die Diskussion des BMI erwartet wird (Modernisierung des Datenschutzes geht nicht weit genug). Es gibt Stimmen, dass hier Tendenzen für eine Verschiebung des Themas bestehen, um den Entwurf nicht mehr bis 2014 zur Entscheidung zu bringen. Alle drei Einrichtungen müssen der VO zustimmen. Parlament und Rat per Mehrheitsentscheidung. Wenn das gelingt, dann könnte der Entwurf 2014 in Kraft treten und mit einer zweijährigen Übergangszeit 2016 wirksam werden. T. Spaeing Überblick zur EU-Datenschutzgrundverordnung 27

28 Vielen Dank für Ihre Aufmerksamkeit! ds-quadrat Unternehmensberatung für Datenschutz & Datensicherheit