NomosPraxis. Das neue Datenschutzrecht der EU. Nomos. Albrecht Jotzo. Grundlagen Gesetzgebungsverfahren Synopse

Transkript

1 NomosPraxis Albrecht Jotzo Das neue Datenschutzrecht der EU Grundlagen Gesetzgebungsverfahren Synopse Nomos

2 NomosPraxis Jan Philipp Albrecht, LL.M. Europäisches Parlament, Brüssel Dr. Florian Jotzo Christian-Albrechts-Universität zu Kiel Das neue Datenschutzrecht der EU Grundlagen Gesetzgebungsverfahren Synopse Nomos

3 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN Auflage 2017 Nomos Verlagsgesellschaft, Baden-Baden Gedruckt in Deutschland. Alle Rechte, auch die des Nachdrucks von Auszügen, der fotomechanischen Wiedergabe und der Übersetzung, vorbehalten.

4 Vorwort Nach ihrem Inkrafttreten stellt die Datenschutz-Grundverordnung ohne jeden Zweifel die wichtigste Rechtsquelle für den Datenschutz dar. Sie regelt die Verarbeitung personenbezogener Daten im größten Binnenmarkt der Welt und entwickelt durch ihr Marktortprinzip und die Anreize für Drittstaaten eine globale Richtwirkung. Bis zum 25. Mai 2018 müssen sich nun alle Stellen, die personenbezogene Daten verarbeiten und dies in einem Mitgliedstaat der Europäischen Union bzw. im Kontext des gemeinsamen Marktes der Europäischen Union tun, auf die neuen Regeln einstellen. Dieser Prozess wird zu einer höheren Wahrnehmung des Datenschutzes in den betroffenen Unternehmen, Vereinen und Behörden führen. Auf Datenschutzbeauftragte in den Betrieben sowie Beratungskanzleien kommt vor allem in der Anfangszeit eine erhöhte Aufmerksamkeit und Aufgabenlast zu. Dennoch stellt die neue Datenschutz- Grundverordnung keine zusätzliche Kosten- und Bürokratiebelastung dar, sondern sorgt im Gegenteil für einen erheblichen Abbau von Bürokratie und Rechtsunsicherheit. Mit ihr werden die bislang 28 unterschiedlichen mitgliedstaatlichen Rechtsordnungen durch ein einheitliches EU-Recht ersetzt und dessen Anwendung mittels eines ausgeklügelten Konsistenzmechanismus harmonisiert. Zudem stellt ein zukunftsfester, vertrauensschaffender Datenschutz für Unternehmen schon heute einen erheblichen Wettbewerbsvorteil im Markt dar. Durch die Dynamik, die die Datenschutz- Grundverordnung auslöst, wird es in Zukunft ein Nachteil von existenzieller Bedeutung sein, wenn ein Unternehmen nicht frühzeitig auf gute Datenschutzstandards umgestellt hat. Das Handbuch Das neue Datenschutzrecht der EU richtet sich an Datenschutzbeauftragte in Unternehmen, Vereinen und Behörden sowie externe Berater ebenso wie an Verbraucherschutzverbände, Rechtswissenschaftler und eine interessierte Öffentlichkeit zum Thema Datenschutz. Es soll einen Überblick darüber bieten, wie die neue ab 25. Mai 2018 direkt anzuwendende Verordnung der Europäischen Union über den Schutz personenbezogener Daten aufgebaut ist und welche Hintergründe sich hinter den jeweiligen Bestimmungen verbergen. Zudem vermittelt es einen ersten Einblick in die Änderungen zum bisherigen Datenschutzrecht, der EU-Richtlinie zum Datenschutz von 1995 und deren Umsetzung in den einschlägigen Bundesgesetzen, wie dem Bundesdatenschutzgesetz (BDSG). Leserinnen und Leser sollen in der Lage sein, nach der Lektüre dieses Handbuchs einfach zu erklären, wo der konkrete Handlungsbedarf im jeweiligen Tätigkeitsbereich liegt und welche neuen Rechte Verbraucherinnen und Verbraucher in Zukunft auf welchem Wege wahrnehmen können. Die Reform des Europäischen Datenschutzrechts war eines der ambitioniertesten und diskutiertesten Vorhaben der Europäischen Union. Nach dem Inkrafttreten des Vertrags von Lissabon wurde im Primärrecht der EU nicht nur eine horizontale Regelungsermächtigung bzw. ein Regelungsauftrag in Art. 16 des Vertrages über die Arbeitsweisen der EU aufgenommen, sondern auch die Charta der Grundrechte der Europäischen Union, mit den ausdrücklich darin vorgesehenen Grundrechten auf Privatsphäre (Art. 7) und Datenschutz (Art. 8), für verbindlich erklärt. Die in dieser 7

5 Vorwort Funktion erste EU-Kommissarin für Grundrechte und Justiz, Viviane Reding, ergriff diese Neuerung als Chance, die allgemeine Datenschutzrichtlinie von 1995 einer grundlegenden Reform zu unterwerfen. Hauptsächlich um fehlende Bezüge zum Internetzeitalter zu ergänzen und der unterschiedlichen Umsetzung und Interpretation der Regeln in den EU-Mitgliedstaaten entgegen zu wirken. Nach einem historisch aufwändigen Gesetzgebungsprozess mit etwa 4000 Änderungsanträgen im Europäischen Parlament in den Jahren 2012 bis 2014 sowie zähen Verhandlungen zwischen den Mitgliedstaaten bis Sommer 2015 und in Folge dessen zwischen den drei EU-Gesetzgebungsinstitutionen Kommission, Europäischen Parlament und Rat wurde deutlich über fünf Jahre nach dem formellen Beginn des Gesetzgebungsverfahrens Ende 2015 eine Einigung auf das einheitliche EU-Datenschutzgesetz erzielt. Die als Datenschutz-Grundverordnung bekannt gewordene EU-Verordnung zum Datenschutz wird mit wenigen sachlich begrenzten Ausnahmebereichen ab dem 25. Mai 2018 den Umgang mit personenbezogenen Daten in allen EU-Mitgliedstaaten weitgehend einheitlich regeln. Das vorliegende Buch soll hierbei Orientierung in der komplexen Materie eines unmittelbar anwendbaren EU-Gesetzes sowie eine Einordnung der Änderungen zum bisherigen Datenschutzrecht bieten. Hierzu werden an den entsprechenden Stellen Gesetzesformulierungen gegenübergestellt und die Änderungen durch den EU-Gesetzgeber konkret erklärt und mit Hintergründen aus dem Gesetzgebungsverfahren und den zahlreichen Debatten dazu ergänzt. Besonderer Dank gebührt Antonia Latsch, Clara Fecke und Ralf Bendrath, die uns bei der Erstellung dieses Handbuchs durch hilfreiche Hinweise unterstützt haben. Gleiches gilt für Herrn Prof. Dr. Haimo Schack für die rasche und sorgfältige Durchsicht des Manuskripts. Danken wollen wir auch unseren Partnerinnen Julia Löffler und Alexa Jotzo für ihre Unterstützung und ihren liebevollen Rückhalt. Brüssel/Hamburg, im August 2016 Jan Philipp Albrecht Florian Jotzo 8

6 Inhaltsverzeichnis Vorwort... 7 Abkürzungsverzeichnis Literaturverzeichnis Dokumente der Institutionen der EU und ihrer Einrichtungen Dokumente der Art. 29-Datenschutzgruppe Einleitung Teil 1: Von der Richtlinie zur Grundverordnung A. Das europäische Datenschutzrecht vor der Reform B. Ziele der Reform I. Schaffung eines Rechtsrahmens für die digitale Welt II. Harmonisierung im Binnenmarkt der EU III. Stärkung der Rechte der Betroffenen IV. Anpassung an die Veränderungen im Primärrecht C. Der steinige Weg der Reform D. Kompetenz der Union und Konsequenzen der Verordnung I. Kompetenz der Union II. Konsequenzen der Verordnung Teil 2: Grundsätze der DSGVO A. Rechtmäßigkeit der Datenverarbeitung B. Verarbeitung nach Treu und Glauben und Transparenz C. Zweckbindung D. Datensparsamkeit und Speicherbegrenzung E. Richtigkeit und Aktualität F. Integrität und Vertraulichkeit G. Grundsatz der Verantwortlichkeit H. Unabhängige Kontrolle Teil 3: Allgemeine Bestimmungen A. Begriffsbestimmungen B. Anwendungsbereich I. Sachlicher Anwendungsbereich Verarbeitung personenbezogener Daten

7 Inhaltsverzeichnis 2. Ausnahmen a) Abgrenzung zu anderen Reglungsbereichen b) Ausschließlich private oder familiäre Tätigkeit II. Räumlicher Anwendungsbereich C. Rechtmäßigkeit der Datenverarbeitung I. Rechtsgrundlagen der Verarbeitung Einwilligung Vertrag Rechtliche Verpflichtung und öffentliches Interesse Wahrung lebenswichtiger Interessen Überwiegendes berechtigtes Interesse II. Weiterverarbeitung III. Besondere Situationen Sensible Daten Daten über strafrechtliche Verurteilungen und Straftaten Automatisierte Einzelentscheidungen und Profilbildung Schutz von Kindern Wissenschaftliche und historische Forschung, Archive und Statistiken Teil 4: Individuelle Datenschutzrechte A. Grundlagen B. Rechte der Betroffenen I. Information II. Auskunft III. Berichtigung, Löschung und Einschränkung der Verarbeitung IV. Datenübertragbarkeit V. Widerspruch C. Einschränkungen der Rechte Teil 5: Verantwortlichkeit und Pflichten A. Grundlagen B. Pflichten des Verantwortlichen I. Datenschutz durch Technikgestaltung und Voreinstellung II. Dokumentationspflichten III. Datensicherheitsmaßnahmen IV. Meldung und Benachrichtigung von Datenschutzverletzungen V. Datenschutz-Folgenabschätzung VI. Vorabkonsultation VII. Datenschutzbeauftragte VIII. Benennung eines Vertreters in der Union... 96

8 Inhaltsverzeichnis C. Auftragsverarbeitung D. Verhaltensregeln und Zertifizierungen Teil 6: Transfers in Drittländer A. Grundlagen B. Angemessenheitsbeschluss der Kommission C. Geeignete Garantien I. Standarddatenschutzklauseln II. Verbindliche interne Datenschutzvorschriften III. Andere Garantien D. Ausnahmen I. Einwilligung II. Vertrag mit oder im Interesse des Betroffenen III. Wichtige Gründe des öffentlichen Interesses IV. Durchsetzung von Rechtsansprüchen V. Weitere Ausnahmen E. Übermittlungen auf Grundlage drittstaatlicher Anordnungen und Urteile Teil 7: Aufsichtsbehörden A. Grundlagen B. Unabhängigkeit C. Aufbau, Aufgaben und Befugnisse der Aufsicht D. Zuständigkeit I. Sachliche Zuständigkeit II. Räumliche Zuständigkeit E. Zusammenarbeit der Aufsichtsbehörden I. Zusammenarbeit im One-Stop-Shop und Streitbeilegung II. Zusammenarbeit im Europäischen Datenschutzausschuss Teil 8: Rechtsbehelfe, Haftung und Sanktionen A. Grundlagen B. Verwaltungsrechtliches Vorgehen I. Beschwerde bei der Aufsichtsbehörde II. Gerichtliches Vorgehen Klage gegen rechtlich bindende Beschlüsse der Aufsichtsbehörden, Art. 78 Abs. 1 DSGVO Klage bei Untätigkeit der Aufsichtsbehörde im Beschwerdeverfahren, Art. 78 Abs. 2 DSGVO

9 Inhaltsverzeichnis 3. Klage gegen hoheitlich Tätige Nichtigkeitsverfahren, Art. 263 AEUV C. Zivilrechtliches Vorgehen I. Ansprüche der Betroffenen Schadensersatzansprüche Weitere Ansprüche II. Prozessuale Durchsetzung D. Verwaltungs- und strafrechtliche Sanktionen I. Verwaltungsrechtliche Geldbußen II. Weitere Sanktionen und Strafrecht Teil 9: Öffnungsklauseln für mitgliedstaatliche Regeln A. Grundlagen B. Presse-, Meinungs- und Informationsfreiheit C. Ausführlicher Beschäftigtendatenschutz D. Individuelle Rechte bei wissenschaftlicher und historischer Forschung, Archiven und Statistiken... E. Aufsichtsbehördliche Befugnisse bei Berufsgeheimnisträgern F. Aufsicht bei Kirchen und Religionsgemeinschaften Teil 10: Schlussbestimmungen A. Delegierte und implementierende Rechtsakte B. Inkrafttreten und Anwendungszeitpunkt C. Berichtspflicht D. Andere EU-Rechtsakte mit Datenschutzbestimmungen Synopse Anhang 1: Anhang 2: Anhang 3: Mitteilung der Kommission vom 4. November 2010 an das Europäische Parlament und den Rat Gesamtkonzept für den Datenschutz in der Europäischen Union, KOM (2010) Schlussfolgerungen des Rates vom 15. Februar 2011 zur Mitteilung der Kommission an das Europäische Parlament und den Rat Gesamtkonzept für den Datenschutz, 5980/4/11 REV 4... Entschließung des Europäischen Parlaments vom 6. Juli 2011 zur Mitteilung der Kommission an das Europäische Parlament und den Rat Gesamtkonzept für den Datenschutz, 2011/2025(INI)... Stichwortverzeichnis