Einführung ins Datenschutzrecht

Transkript

1 Einführung ins Datenschutzrecht Henry Krasemann CAU-Vorlesung (Folien teilweise von Harald Zwingelberg) Organisatorisches I: Material Die Folien der Veranstaltungen werden auf der Seite zur Verfügung gestellt Gesetzestexte auf /gesetze/: Dürfen auch für die Klausur verwendet werden. Unterstreichungen und Hervorhebungen sind erlaubt. Ebenso Paragraphenverweise in der Form => 3 VIII nichtaber Anmerkungen mit Wörtern oder Text. 2 1

2 Organisatorisches II Prüfungsleistung: Klausur über alle Bestandteile der Veranstaltung Anteil Datenschutzrecht an der Gesamtleistung: 2/3 Üblicher Aufbau im Datenschutzrecht: Freitext- Fragen, Multiple Choice, evtl. ein kleiner Fall Es wird voraussichtlich eine Übungsklausur im Rahmen der Übungen gestellt und besprochen. 3 Literaturhinweise zur Vertiefung (Kauf für Vorlesung oder Klausur nicht erforderlich): Literatur Hoeren-Skript: 4 2

3 Kurzvorstellung: Was macht das ULD? Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Öffentl. Verwaltungen Unternehmen Bürger, Kunden, Patienten Wirtschaft, Wissenschaft, Verwaltung 5 Projekte Identitätsmanagement PrimeLife, PRIME und FIDIS Europäisches Datenschutz-Gütesiegl - EuroPriSe Anonymität im Internet - AN.ON Datenschutz in Online-Spielen DOS Audit für Biobanken bdc-audit Datenschutz in Bürgerportalen Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Datenschutzanforderungen für die Forschung PRISE Virtuelles Datenschutzbüro 3

4 Warum gibt es Datenschutzrecht? 8 4

5 Entwicklung des Datenschutzes I Anfang der 70er Jahre: Computer in Verwaltung und Wirtschaft 1970: erstes Datenschutzgesetz in Hessen als erstes allgemeines Datenschutzgesetz der Welt 1977: Bundesdatenschutzgesetz Einführung von Datenschutzbeauftragten Automatisierte Datenverarbeitung Schutz personenbezogener Daten 1978: Landesdatenschutzgesetz Schleswig-Holstein 1981: alle Bundesländer haben ein LDSG 1983: Volkszählungsurteil 9 Volkszählungsurteil BVerfGE 65, 1: Anlass Verfassungsbeschwerde gegen Volkszählungsgesetz Melderegisterabgleich, Vermischung administrativer und statistischer Funktionen Wesentliche Inhalte: Die automatisierte Datenverarbeitung birgt die Möglichkeit der Auswertung und Verknüpfung von Datenbeständen, die an verschiedenen Orten vorhanden sind: keine belanglosen Informationen Möglich wird damit eine vollständige Offenlegung der Privatsphäre der Bürger (Stichwort: gläserner Bürger ) [Es] wird der Schutz des Einzelnen gegen unbegrenzte Erhebung [ ] seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen: => Recht auf informationelle Selbstbestimmung 10 5

6 Informationelle Selbstbestimmung Herleitung des Grundrechts Art. 1, Abs. 1 GG: Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Art. 2, Abs. 1 GG: "Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt." Inhalt der Informationellen Selbstbestimmung 1. Recht der Selbstbestimmung über die Preisgabe und Verwendung eigener Daten zu bestimmen 2. Schutz der Privatsphäre 3. Freie Entfaltung der Persönlichkeit 4. Aufrechterhaltung fairer Kommunikationsverhältnisse 11 BVerfG Online-Durchsuchung Schutz infomationstechn. Systeme Bundesverfassungsgericht 27. Feb Sachverhalt: Verfassungsschutzgesetz NRW sah Möglichkeit der Online-Durchsuchung vor. Urteil: Gesetz ist verfassungswidrig weil unverhältnismäßig, Schwere des Eingriffs muss besonders schwerwiegende Gefahr gegenüberstehen Eingriffsvoraussetzungen: Tatsächliche Anhaltspunkte für konkrete Gefahr für ein überragend wichtiges Rechtsgut (Leib, Leben, Freiheit der Person, Bestand des Rechtsstaates) Ein Ermächtigungsgesetz muss vorsehen: richterliche Anordnung Vorkehrungen für Schutz des Kernbereichs privater Lebensführung Erhebung aus laufendem Telekommunikationsvorgang unterfällt Art. 10 GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 12 6

7 Personenbezogene Daten Was Bedeutet der Begriff Datenschutz? Schutz von Daten? Schutz der Person, deren Daten verarbeitet werden! (Art. 32 DSGVO) 13 Personenbezogene Daten Personenbezogene Daten, 3 I BDSG / Art. 4 Nr. 1 DSGVO Natürliche Person Kein Schutz für juristischer Personen mangels Menschenwürde. Aber: Schutz der natürlichen Person hinter der juristischen Person (Unternehmer) Ggf. postmortales Persönlichkeitsrecht? Einzelangaben über persönliche oder sachliche Verhältnisse Es gibt kein belangloses Datum unter den Bedingungen der automatischen Datenverarbeitung (Volkszählungsurteil). Alle Informationen, die über die Bezugsperson etwas aussagen. Bestimmte oder bestimmbare Person (Betroffener) Aus den Angaben muss sich ergeben, dass sie sich auf Person beziehen. 14 7

8 Persönliche oder familiäre Tätigkeiten Ausnahme vom Anwendungsbereich des BDSG Persönliche oder familiäre Tätigkeiten, 1 II Nr. 3 BDSG / Art. 2 Abs. 2 c DSGVO Abgrenzung des Bereichs persönlicher Lebensführung von beruflicher und geschäftlicher Sphäre. Äußerer Rahmen, organisatorische Anlage und inhaltliche Konzeption müssen persönliche/familiäre Zwecksetzung erkennen lassen. Beispiel: Nutzung einer Adressdatei auf PC von Familie und Freunden, private Fotosammlung, Urlaubsbilder. Nicht aber: Mitgliederliste eines Vereins, private Homepage, Social networks. Bei intensiven Rechtseingriffen: Abwehransprüche aus BGB möglich 15 Anonymisierung, Pseudonymisierung Rechtsfolgen BDSG / LDSG / DSGVO nicht anwendbar für anonyme Daten Gesetze anwendbar aber erweiterte Verarbeitungsbefugnisse bei pseudonymen Daten 16 8

9 Personenbezogenes Datum? 3 I BDSG / Art. 4 Nr. 1 DSGVO Einzelangaben über Persönliche und sachliche Verhältnisse Einer identifizierten oder identifizierbaren natürlichen Person Pseudonymisierung? Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen Bestimmbarkeit über Zuordnungsregel noch gegeben, damit liegt weiterhin Personenbezug vor. (juristisch umstritten: z.b. dynamische IP-Adressen) Anonymisierung? Verändern von personenbezogenen Daten derart, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht oder nur unter unverhältnismäßig großem Aufwand an Zeit, Kosten, Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können Kein Personenbezug mehr! Rechtsfolge: Anonyme Daten / pseudonyme Daten zu denen der verarbeitenden Stelle die Zuordnungsregel unbekannt ist (umstritten), sind keinen personenbezogenen Daten mehr: Erleichterung der Datenverarbeitung! 17 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Beschaffen von Daten über Betroffenen Es ist eine gezieltes Beschaffen erforderlich. Daher kein Erheben, wenn ein Informant einer Behörde unaufgefordert etwas mitteilt, Stichwort: aufgedrängte Information. (Dann aber meist Nutzen ) Grundsatz der Direkterhebung: Daten sind bei dem Betroffenen selbst zu erheben, 4 II 1 BDSG. Ohne Kenntnis des Betroffenen dürfen Daten nur im engen Rahmen gesetzlicher Vorschriften erhoben werden, soweit dies zwingend erforderlich ist für den Zweck und Direkterhebung nur mit unverhältnismäßigem Aufwand möglich Informations- und Unterrichtungspflichten sind vor der Erhebung zu beachten. 18 9

10 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Speichern: jedes Fixieren von Daten (aufschreiben, speichern auf el. Datenträger, Entgegennehmen eines beschriebenen Datenträgers). Kein Speichern bei kurzzeitigem Zwischenspeichern Verändern: Das personenbezogene Datum erhält einen neuen Informations- und Aussagegehalt Übermitteln: Bekanntgabe an einen Dritten Sperren: Kennzeichnen von Daten, um weitere Verarbeitung einzuschränken. Z.B. nach Widerruf, während Aufbewahrungsfristen Löschen: Handlung, die dazu führt, dass Daten unkenntlich werden (Schreddern, Überschreiben) =>DSGVO: Art. 4 Nr. 2 Auch Erheben davon erfasst 19 Stadien der Datenverarbeitung Erheben => Verarbeiten => Nutzen Jede Verwendung personenbezogener Daten, die keine Verarbeitung ist. Auffangtatbestand für nicht aufgezählte Vorgänge z.b. Weitergabe an empfangende Stelle, die nicht Dritte sondern nur Empfänger ist. Kein Nutzen ist Verwendung von Daten, die sich nicht auf den Personenbezug erstreckt (Statistik) Duplizieren, Kopieren, Auszüge anfertigen Weitergabe an Auftragsdatenverarbeiter (kein Dritter) 20 10

11 Wie funktioniert das Datenschutzrecht? Sieben Goldene Regeln des Datenschutzes Rechtmäßigkeit Gesetz, Einwilligung, Vertrag, Dienst- oder Betriebsvereinbarung Einwilligung Informiert und freiwillig Zweckbindung Verwendung nur für Erhebungszweck Erforderlichkeit und Datensparsamkeit Verarbeitung nur soweit für Erhebungszweck erforderlich Transparenz und Betroffenenrechte Unterrichtung über Verwendung, Auskunfts-/Berichtigungs-/Löschrechte Datensicherheit Technische und organisatorische Maßnahmen Kontrolle Interner / externer Datenschutzbeauftragter; Audit 22 11

12 Rechtmäßigkeit Kern: Datenverarbeitung ist verboten, sofern nicht erlaubt in Gesetz oder via Einwilligung 4 Bundesdatenschutzgesetz / Art. 5 Abs. 1 a) und Art. 6 DSGVO -Verarbeitung nur mit Gesetz / Einwilligung Jede Datenverarbeitung bedarf einer Rechtsgrundlage Gesetz 28 Abs. 1 S. 1 Nr. 1 BDSG Andere Rechtsvorschrift SGB, TKG, TMG, BerufsO Einwilligung 23 Was ist wichtig? Rechtmäßigkeit Jede Datenverarbeitung ist verboten, es sei denn sie ist erlaubt durch spezielle Normen, Einwilligung oder das BDSG bzw. LDSG bzw. DSGVO Jedes Stadium der Datenverarbeitung bedarf einer Rechtsgrundlage

13 Einwilligung 4a Bundesdatenschutzgesetz / Art. 7 DSGVO Eine Einwilligung ist eine Willensbekundung der/des Betroffenen, die freiwillig, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person zustimmt, dass die sie betreffenden personenbezogenen Daten erhoben, verarbeitet oder/und genutzt werden. 25 Die Einwilligung muss informiert und freiwillig erfolgen. Was ist wichtig? Die Einwilligung ist grundsätzlich schriftlich zu erteilen oder schriftlich zu bestätigen. Die Einwilligung ist mit Wirkung für die Zukunft widerruflich

14 Zweckbindung Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben worden sind. 28 Abs. 1 Satz 2 Bundesdatenschutzgesetz / Art. 5 Abs. 1 b) DSGVO Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer diesen Zwecken nicht vereinbarenden Weise weiterverarbeitet werden 27 Zweckänderung Änderung des Verwendungszwecks nur zulässig mit Legitimation (Gesetz, Einwilligung) Art. 5 Abs. 1 b): Archivzwecke im öffentlichen Interesse Wissenschaftliche oder historische Forschungszwecke Teilweise statistische Zwecke 28 14

15 Erforderlichkeit Die Datenverarbeitung ist auf den für Ihren Erhebungszweck notwendigen Umfang zu begrenzen. Art Umfang Dauer der Datenverarbeitung 29 Erforderlichkeit Art. 5 Abs. 1 c) DSGVO Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ) (Negativ-)Beispiele: Angabe von Telefonnummer, Geburtsdatum bei einem Kauf Verlangen nach polizeilichen Führungszeugnis bei der Bewerbung Antworten auf Gesundheitsfragen bei der Wohnungssuche Zur Ermittlung der Alterstruktur im Unternehmen genügt Statistik der Personalabteilung keine Liste aller Geburtsdaten! 30 15

16 Was ist wichtig? Personenbezogene Daten dürfen nach Art, Umfang und Dauer nur soweit erhoben, verarbeitet und genutzt werden, wie dies zur Erfüllung des jeweiligen Zwecks im Einzelfall für die datenverarbeitende Stelle unverzichtbar ist. Personenbezogene Daten, die nicht mehr erforderlich sind, müssen gelöscht oder bei bestehenden Speicherpflichten aus anderen Gründen gesperrt werden. 31 Transparenz Art. 12 ff. DSGVO Die/der Betroffene muss in der Lage sein zu erfahren, wer welche Art von Daten in welchem Umfang und zu welchem Zweck erhebt, verarbeitet oder nutzt. Allgemeine und besondere Informations- und Benachrichtigungspflichten der verantwortlichen Stelle Art. 13 DSGVO Organisatorische Transparenzverpflichtungen Auskunftsansprüche der Betroffenen (Art. 15 DSGVO) 32 16

17 Was ist wichtig? Personenbezogene Daten sind bei den Betroffenen zu erheben. Dabei sind sie über die Identität der verantwortlichen Stelle, die Art der Daten, den Zweck der Verarbeitung sowie die Kategorien der Empfänger zu unterrichten. Ist die Erhebung nicht direkt bei den Betroffenen erfolgt, sind diese nachträglich davon zu unterrichten. Betroffene haben einen Auskunftsanspruch gegenüber der verantwortlichen Stelle. 33 Datensicherheit Datenschutz ist nur gewährleistet, wenn die personenbezogenen Daten auch technisch und organisatorisch sicher verarbeitet werden. Art. 32 DSGVO (alt: 9 BDSG mit Anlage) Technische Maßnahmen Organisatorische Maßnahmen (innerbetriebliche Organisation) Schutzziele Vertraulichkeit Integrität Verfügbarkeit 34 17

18 Was ist wichtig? Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist durch technische und organisatorische Maßnahmen zu schützen Bei Datenverlust sind die Betroffenen zu unterrichten 35 Kontrolle Die Datenverarbeitung unterliegt einer internen und externen Kontrolle. Externe Kontrolle Aufsichtsbehörden Interne Kontrolle Betrieblicher Datenschutzbeauftragter 4g BDSG / Art. 37 ff. DSGVO und BDSG neu 36 18

19 Welche Normen sind anwendbar? Weltweit OECD 1980: Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten Kein Völkerrecht, sondern nur Empfehlungen Richtlinien zur Verarbeitung personenbezogener Daten in automatisierten Dateien der Generalversammlung der Vereinten Nationen (UN) vom Dezember 1990 Alt: Safe Harbor-Abkommen USA EU Aktuell Privacy Shield 38 19

20 Art. 8 EU-Grundrechtecharta Grundrecht auf Datenschutz EG-Datenschutzrichtlinie 95/46/EG Allgemeiner Rahmen Wird gerade überarbeitet Richtlinie 2002/58/EG (überarbeitete Fassung von 2009) Telekommunikation / Internetdienste Richtlinie 2006/24/EG Vorratsdatenspeicherung EU 39 NEU: Datenschutz-Grundverordnung Ab 25. Mai 2018 in Kraft und ersetzt nationale Gesetze Höhere Bußgelder neue Zuständigkeiten ( One-Stop-Shop ) Recht auf Vergessenwerden Meldepflichte Datenschutz by Design / by Default etc

21 Bundesdatenschutzgesetz (BDSG) Allgemeine Datenschutzregelungen Für Bundesbehörden und Privatwirtschaft Landesdatenschutzgesetze Für Landesbehörden Telekommunikationsgesetz (TKG) Telekommunikationsdienste Telemediengesetz (TMG) Telemediendienste (u. a. Webseiten) Sozialgesetzbücher, Strafgesetzbuch Deutschland 41 Grundgesetz: Allg. Pers.R Recht auf informationelle Selbstbestimmung Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme DSGVO BDSG SGB TKG, TMG Datenschutz im Rechtssystem Normenhierarchie LDSG LVwG (= PolizeiG ) 42 21

22 Datenschutz im Rechtssystem Grundrechte: Binden unmittelbar den Staat (Art. 1 Abs. 3 GG) Sind individuelle Abwehrrechte gegen den Staat Bedeuten Schutzpflicht für den Staat Träger: natürliche Personen, (juristische Personen: Art. 19 III GG) Ausstrahlungswirkung ins Privatrecht: Grundrechte wirken als objektive Wertordnung mittelbar auf Rechtsbeziehungen des Privatrechts; Generalklauseln sind verfassungskonform auszulegen Grundrechte sind nicht schrankenlos gewährleistet; Beschränkung nur innerhalb festgelegter Grenzen zulässig 43 Datenschutz im Rechtssystem Grundrechte mit Datenschutzrelevanz Artikel 1 und Artikel 2: Verankerung, allgpersr Artikel 3 GG Allgemeine Gleichbehandlung Artikel 4 GG Glaubens-und Gewissensfreiheit Artikel 5 GG Meinungsfreiheit Artikel 8 Versammlungsfreiheit Artikel 9 Vereinigungsfreiheit Artikel 10 Brief-, Post- und Fernmeldegeheimnis Artikel 13 Unverletzlichkeit der Wohnung 44 22

23 Aufsichtsstellen in Deutschland Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Bundesbehörden Sonderzuweisungen: Telekommunikations- Unternehmen, Postwesen Landesbeauftragte für Datenschutz Landesbehörden Privatwirtschaft mit Sitz im jeweiligen Bundesland 45 Verantwortlichkeiten / Auftragsdatenverarbeitung 23

24 Verantwortlichkeit Verantwortlich Wer personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt Wer andere im Wege der Auftragsdatenverarbeitung für sich tätig werden lässt Auftragsdatenverarbeitung Datenverarbeitung nach Weisung des Auftraggebers Verlängerter Arm des Auftraggebers Beispiel: DV im Rechenzentrum Gegenteil: Übermittlung an einen Dritten / Funktionsübertragung BDSG / Art. 28/29 DSGVO Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

25 Auftragsdatenverarbeitung Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Gilt entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann StGB Keine Auftragsdatenverarbeitung möglich, wenn Verletzung von Privatgeheimnissen Gilt für Geheimnisträger wie: Anwälte, Ärzte, Psychologen, Eheberater, Beratungsstellen, Versicherungen, Steuerberater Problembereiche: Aktenvernichtung, EDV-Wartung etc

26 Vielen Dank! Noch Fragen? Henry Krasemann Tel