Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science

Transkript

1 Datenschutzrecht (1) Regelt einen Bereich der Persönlichkeitsrechte, das informationelle Selbstbestimmungsrecht: Recht des Einzelnen, grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. nicht im Grundgesetz erwähnt vom BVerfG im Volkszählungsurteil in das Recht auf freie Entfaltung der Persönlichkeit hineininterpretiert verfassungsmäßiger Rang Schützt Menschen vor Gefährdung durch nachteilige Folgen einer Datenverarbeitung Datenschutzrecht (3) Hierarchie gesetzlicher Regelungen EU Datenschutz Grundverordnung (DSGVO) EU Datenschutzrichtlinie für elektr. Kommunikation (EDSRL) und TKG/TMG (demnächst alles ersetzt durch E-Privacy-VO) Bundesdatenschutzgesetz (BDSG) regelt nur in DSGVO nicht Geregeltes Abweichung oder Redundanz zur DSGVO unzulässig [BdFI18, p.11] für Bundesbehörden und Privatwirtschaft Landesdatenschutzgesetze für öffentliche Stellen der Länder (z.b. Hochschulen) Spezialgesetze für Anwendungsgebiete z.b. Telemediengesetz (TMG), Landespolizeigesetz Vor diesem Hintergrund ist das Auffinden der einschlägigen Rechtsgrundlage oftmals die größte Herausforderung auf dem Weg zur Bearbeitung eines datenschutzrechtlichen Problems. [Kühling18, p.94] Dalitz: RGA Kap Dalitz: RGA Kap Datenschutzrecht (2) Datenschutzrecht (3) bezieht sich auf Erhebung, Verarbeitung und Nutzung personenbezogener Daten dazu gehören auch personenbeziehbare Daten, die sich durch Zusatzinformationen zuordnen lassen - Telefonnummer, IM xyz bei Stasi - IP-Adresse ist für den Zugangs-Provider personenbeziehbar, aber auch für Dritte (Auskunftsanspruch TMG 14,2f) IP-Adresse fällt unter Datenschutzrecht greift also auch bei pseudonymisierten Daten, wenn eine Auflösung des Pseudonyms irgendwie möglich ist greift nicht bei - anonymisierten Daten: Zuordnung zu Einzelpersonen nicht mitgespeichert - kumulierten Daten: nur Aggregatwerte je Gruppe gespeichert Hierarchie gesetzlicher Regelungen Ebene EU Bund Länder allgemein DSGVO BDSG LDSGe Lex specialis bereichsspezifisch E Privacy VO (EDSRL) (TKG/TMG) Lex superior - übergeordnetes bricht niedergeordnetes Recht Lex specialis - spezifischeres bricht allgemeineres Recht Lex superior Dalitz: RGA Kap Dalitz: RGA Kap3. -4-

2 Historie (1) Deutschland 1970 weltweit erstes Datenschutzgesetz in Hessen (nur öffentliche Verwaltung) 1977 erstes Bundesdatenschutzgesetz (auch Privatwirtschaft) 1983 Volkszählungsurteil des BVerG gab Datenschutz Verfassungsrang durch Bezug auf das in GG 2,1 garantierte Recht auf freie Entfaltung der Persönlichkeit Dalitz: RGA Kap Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Historie (3) Europäische Union 1995 Datenschutzrichtlinie (DSRL) vom EuGH 2003 vollharmonisierende Wirkung attestiert: nationale Gesetze dürfen weder nach oben, noch nach unten abweichen 2002 E-Privacy-Richtlinie (EDSRL) regelt den Bereich der elektronsichen Komminikation 2006 Vorratsdatenspeicherungsrichtlinie schnellstes Rechtssetzungsverfahren in Geschichte der EU 2014 vor dem EuGH gescheitert 2018 Datenschutz-Grundverordnung (DSGVO) verdrängt nationale Gesetze (VO statt RL) Marktortprinzip, hohe Strafen möglich geplant: E-Privacy-Verordnung (E-Privacy-VO) Dalitz: RGA Kap ersetzt EDSRL, ist aber Verordnung TKG/TMG müssen dann ersetzt werden durch neues Gesetz, das nur noch Lücken der E-Privacy-VO füllt Historie (2) Deutschland 1990 Neufassung des BDSG bezog auch Datenerhebung mit ein Verstärkung der Zweckbindung weitergehende Auskunfts- und Widerspruchsrechte Stärkung Kontrollinstanzen (Datenschutzbeauftragte, Aufsichtsbehörden) 2001 weitere Novellierung BDSG Umsetzung EU-Richtlinie 95/46/EG auch bei Erhebung Verbot (mit Erlaubnisvorbehalt) Grundsatz der Direkterhebung beim Betroffenen strengerer Schutz für besondere Arten personenbezogener Daten Regelungen für Video-Überwachung 2007 Telemediengesetz (TMG) ersetzt die drei Gesetze TDG, TDDSG, MdStV regeln Datenschutzfragen bemerkenswerte Ausnahme vom Schutz personenbezogener Daten in 14: (...) soweit dies (...) zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist BDSG nur noch Ergänzung zu EU DSGVO Dalitz: RGA Kap DSGVO: Grundsätze (1) Rechtmäßigkeit (1) Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn (oder-verknüpfung!) sie ist zur Erfüllung eines Vertrags erforderlich z.b. Kontaktdaten, Kontodaten Betroffener muss Vertragspartner sein es gibt eine rechtliche Verpflichtung EU-VOs und nationale Gesetze können Verarbeitungen vorschreiben Beispiel: Vorratsdatenspeicherung Schutz lebenswichtiger Interessen es besteht ein berechtigtes Interesse des Verarbeiters, sofern nicht die Interessen des Betroffenen überwiegen (Interessanabwägung, s.u.) der Betroffene hat eingewilligt (s.u.) Dalitz: RGA Kap3. -8-

3 DSGVO: Grundsätze (2) Rechtmäßigkeit (2) Einwilligung Schriftform nicht erfoderlich, sondern muss eine unmissverständliche Willensbekundung sein nur Opt-In zulässig muss vom Verarbeiter nachgewiesen werden muss jederzeit widerrufbar sein Koppelungsverbot freiwillige Einwilligung darf nicht mit Vertragserfüllung gekoppelt werden (beachte: Vertragserfüllung erlaubt DV ohnehin) Modell Bezahlen mit Daten ist damit nicht zulässig, wenn diese Bezahlung zur Voraussetzung gemacht wird In der Praxis ist es für private Verantwortliche in der Regel vorzugswürdig, Datenverarbeitungen über eine Interessenabwägung nach DGSVO Art. 6,1f rechtfertigen zu können. [...] kann es [aber] aus Gründen der Rechtssicherheit geboten sein, eine Einwilligung der betroffenen Person einzuholen. [Kühling18, p.156] DSGVO: Grundsätze (4) Transparenz Anforderungen an Datenschutzerklärung (EG 39 der DSGVO): leicht zugänglich und verständlich und in klarer und einfacher Sprache welche Daten in welchem Umfang verarbeitet werden Verarbeitungszweck Rechtsgrundlage der Verarbeitung Kontaktdaten Verantwortlicher Betroffenenrechte (z.b. Widerspruch) und wie sie wahrgenommen werden können Dalitz: RGA Kap Dalitz: RGA Kap DSGVO: Grundsätze (3) Rechtmäßigkeit (3) Interessenabwägung berechtigtes Interesse unklarer Begriff, Erwägungsgründe nennen aber Beispiele: Direktwerbung, konzerninterne Datentransfers Sicherheitsinteressen (z.b. Videoüberwachung Tankstelle) trotzdem bleibt Rechtsunsicherheit im Einzelfall Abwägung durch Gericht mit unsicherem Ausgang Beispiel: Saarländisches OLG (Az.: 1 U 62/01 vom ) sah in der Übermittlung eines (geringfügigen) Zahlungsversäumnis an Schufa ein berechtigtes Interesse der Allgemeinheit an der Aufrechterhaltung der Funktionsfähigkeit des Kreditinformationssystems Pseudonymisierung verschiebt Interessenabwägung zugunsten des Verarbeiters [Kühling18, p.122] Betroffener hat Widerspruchsrecht und muss über die verfolgten berechtigten Interessen informiert werden DSGVO: Grundsätze (5) Zweckbindung Datenverarbeitung nur für den Zweck zulässig, für den die Daten erhoben wurden Zweck muss bereits bei Erhebung festgelegt sein Zweck muss hinreichend bestimmt sein Verarbeitung muss für den Zweck tatsächlich erforderlich sein Ausnahmen von der Zweckbindung (Art. 5,1b): Archivzwecke wissenschaftliche oder historische Forschung statistische Zwecke Listenprivileg des alten BDSG nicht mehr spezifiziert Dalitz: RGA Kap Dalitz: RGA Kap

4 DSGVO: Grundsätze (6) Datenminimierung Verarbeitung auf das für Zweck Notwendige beschränken Alternativen (z.b. Anonymisierung, Pseudonymisierung) prüfen Speicherbegrenzung Speicherfrist festlegen auf erforderliches Mindestmaß Frist kann auch auf Ereignis bezogen sein (z.b. ein Jahr nach Vertragsende) Rechenschaftspflicht Nachweis der Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung DSGVO: Rechte Betroffener (1) Information Bringschuld des Verarbeiters, also antragsunabhängige Pflicht erfolgt über Datenschutzerklärung oder AGB Informationspflicht bei Direkterhebung: Verantwortlicher und Datenschutzbeauftragter Zweck, Rechtsgrundlage, Speicherdauer Empfänger der Daten (wenn Übermittlung vorgesehen) gegen die Verarbeitung zustehende Rechte Informationspflicht bei Dritterhebung: innerhalb eins Monats wie bei Dirketerhebung, aber zusätzlich noch Datenquelle und Kategorien der erhobenen Daten Ausnahmen (Auswahl): unverhältnismäßig großer Aufwand öffentliche/nationale Sicherheitsinteressen Verfolgung und Verhütung von Straftaten Dalitz: RGA Kap Dalitz: RGA Kap DSGVO: sensible Daten besondere Kategorien personenbezogener Daten (Art 9) Daten, die erhebliche Risken für die Grundrechte bieten rassische und ethnische Herkunft politische Meinungen, religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit biometrische und genetische Daten Gesundheit, Sexualleben strengere Zulässigkeitsvoraussetzungen für Verarbeitung: Arbeitsrecht, Sozialschutz, Gesundheitsversorgung Schutz lebenswichtiger Interessen erhebliches öffentliches Interesse innerhalb politischer, religiöser, gewerkschaftl. Organisationen oder: Einwilligung Verarbeitungsverbot gilt allerdings nicht, wenn die Person die Daten selber öffentlich bekannt gemacht hat Dalitz: RGA Kap DSGVO: Rechte Betroffener (2) Auskunft zweistufiges Verfahren 1 Anfrage, ob Daten der Person verarbeitet 2 Wenn ja: welche Daten auf Antrag sind die Daten als Kopie bereit zu stellen Ausnahmen: offensichtlich unbegründete oder exzessive Anträge Forschungs- und statistische Daten öffentliche Sicherheit und Geheimdienste (BDSG 33) Dalitz: RGA Kap

5 DSGVO: Rechte Betroffener (3) Berichtigung Korrektur unrichtiger Angaben auf Antrag weiterzureichen an Empfänger ( Nachberichtspflicht) Ausnahme (BDSG 28): Archive im öffentlichen Interesse in dem Fall ist statt Änderung der historischen Daten eine Gegendarstellung den Unterlagen hinzuzufügen Widerspruch gegen Direktwerbung bei Verarbeitung aufgrund Interessenabwägung (Art 6,1f) Grund muss besondere Situation der Person sein bei Verarbeitung zu Forschungs- und statistischen Zwecken Grund muss besondere Situation der Person sein nicht zulässig, wenn Zweck im öffentlichen interesse liegt Kontrollinstanzen Europäischer Datenschutz Ausschuss (EDA) vertreten in TK Unternehmen öffentliche Bundesstellen Datenschutzkonferenz (DSK) BfDI LDI NRW LfD NDS... kontrolliert öffentliche Landesstellen private Stellen (Vereine, Unternehmen) Dalitz: RGA Kap Dalitz: RGA Kap DSGVO: Rechte Betroffener (4) Löschung erfolgt nicht auf Antrag, aber Pflicht zur Löschung, wenn Verarbeitung unrechtmäßig Daten für Zweck nicht mehr benötigt Widerspruch aufgrund Besonderheit des Betroffenen berechtigt Aber: Abwägung der Gründe nötig rechtlich unklar (Bsp: Bewertungsportal BGH VI ZR 358/13 und VI ZR 30/17) Nachberichtspflicht wie bei Berichtigung Recht auf Vergessenwerden (neu eingeführt mit DSGVO) Art 17,2 Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Dalitz: RGA Kap Datenschutzbeauftragter (DSB) Pflicht zur Bestellung laut DGSVO Art 37 nur erforderlich, wenn Behörde oder Kerntätigkeit mit Überwachung oder sensiblen Daten zusätzlich laut BDSG 38, wenn (oder-verknüpfung) - ständig 10 Personen damit beschäftigt - Datenschutz-Folgenabschätzung erforderlich (s.u.) - Meinungs- oder Marktforschung, Auskunfteien Aufgaben des DSB Ansprechpartner für Betroffene und Aufsichtsbehörden Beratung/Schulung im Unternehmen Überwachung der Einhaltung Stellung des DSB berichtet der höchsten Leitungsebene kann weitere betriebliche Aufgaben wahrnehmen besonderer Kündigungsschutz Dalitz: RGA Kap

6 DSGVO: Pflichten des Verarbeiters (1) Dokumentationspflicht (Art. 30) für Stellen mit 250 Mitarbeiter, es sei denn es werden sensible Daten verarbeitet es besteht Riskio für Freiheit und Rechte Betroffener oder (!) die Verarbeitung erfolgt nicht nur gelegentlich unklar, wann Entbindung überhaupt greift Dokumentation nur intern (keine Einsicht für Betroffene) kann aber von Aufsichtsbehörde angefordert werden Verzeichnis von Verarbeitungstätigkeiten Angaben ähnlich wie Datenschutzerklärung, aber aufgegliedert nach den Einzelnen Verarbeitungstätigkeiten Musterformular vom LDI NRW bereitgestellt DSGVO: Pflichten des Verarbeiters (3) Datenschutz-Folgenabschätzung (Art. 35) bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen; genannte Beispiele: Profiling zur Entscheidungsfindung umfangreiche Verarbeitung sensibler Daten systematische umfangreiche Überwachung öffentlicher Bereiche Vorgehen beschrieben in [DSK-5], dazu gehören: Beschreibung Zwecke und Notwendigkeit Modellierung der Risikoquellen Risikobeurteilung Darstellung der Restrisiken bleibt hohes Restrisiko, muss Aufsichtsbehörde konsultiert werden, die Auflagen machen kann Dalitz: RGA Kap Dalitz: RGA Kap DSGVO: Pflichten des Verarbeiters (2) Meldepflicht (Art. 33) bei Datenschutzpannen Beispiele in EG 85: Identitätsdiebstahl/-betrug, finanzielle Verluste unbefugte Aufhebung Pseudonymisierung Leaken von Daten unter Berufsgeheimnis innerhalb von 72h der Aufsichtsbehörde zu melden bei hohen Risiken sind auch Betroffene zu informieren BDSG 43,4 versucht Konflikt mit Selbstbelastungsfreiheit zu vermeiden, indem Meldung nicht in Bußgeldverfahren gegen den Meldenden verwendet werden darf TKG & TMG (1) Abgrenzung der beiden Gesetze Telekommunikationsgesetz (TKG) regelt Dienste, die ganz oder überwiegend im Übertragen von Signalen über Telekommunikationsnetze bestehen im Vordergrund steht also die Transportleistung. Bsp: Telefonanschluss Telemediengesetz (TMG) regelt alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste sind früher getrennte Gesetze für Teledienste (Waren- und Dienstleistungsangebote) und Telemedien (redaktionelle Berichte) seit 2007 im TMG zusammengeführt kurioserweise nennt Gesetzesbegründung ausdrücklich Internet-Zugang als Telemediendienst Internet-Access-Provider unterliegen beiden Gesetzen Dalitz: RGA Kap Dalitz: RGA Kap

7 TKG & TMG (2) Datenschutz im TKG (1) Kommunikationsinhalt Fernmeldegeheimnis Grundrecht nach GG Art 10 genauer spezifiziert in 88 TKG Einschränkung in 110 TKG: Anbieter muss Möglichkeiten zum Überwachen bzw. Abhören der Kommunikation vorhalten; darf aber nur auf richterliche Anordnung eingesetzt werden Verkehrsdaten nach 96 TKG sind das die Daten der Anschlusskennung, Standort, Zeitpunkt und Dauer der Verbindung, Kennung des Kommunikationspartners, übertragene Datenmengen sind nach Beendigung der Verbindung zu löschen, außer sie sind für die durch andere gesetzliche Vorschriften begründeten Zwecke erforderlich Diensteanbieter darf sie darüber hinaus nur nutzen zu Abrechnung, Einzelverbindungsnachweis und zur Behebung von Störungen und Missbrauch, aber auch (mit Einwilligung und anonymisiert) zu Vermarktungszwecken TKG & TMG (4) Datenschutz im TMG 15 erlaubte das Anlegen von Nutzungsprofilen ( Profiling) für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien mussten pseudonymisiert werden und durften nicht mit Angaben über den Träger des Pseudonyms zusammengeführt werden Widerspruchsrecht des Nutzers Weitergabe ebenfalls erlaubt zum Zwecke der Marktforschung widersprüchliche Auffassung zur jetzigen Rechtslage: DSK: für Nutzerprofile immer Einwilligung erforderlich [Kühling18, p.172f]: Interessenabwägung ( unklar) geplante eprivacy-verordnung: Cookies/Fingerprinting zum Tracking benötigt Einwilligung, kann aber über Browsereinstellung erteilt werden Dalitz: RGA Kap Dalitz: RGA Kap TKG & TMG (3) Datenschutz im TKG (2) Vorratsdatenspeicherung 2007 von CDU/SPD Mehrheit als 113a in TKG eingefügt verlangte anlasslose sechs monatige Speicherung von: Telefonaten: Anrufer, Empfänger, Start/Ende, Standort s: Adressen Sender/Empfänger, IP-Adresse Abrufer, Zeitpunkt Internetzugang: Start/Ende, Anschlusskennung, zugewiesene IP-Adresse Daten nur von Ermittlungsbehörden nutzbar zur Verfolgung von Straftaten Privatpersonen können über Trick an die Daten kommen: Strafanzeige nebst Einsicht in die Ermittlungsakten früher beliebter Weg der Musik- und Filmindustrie bei vermuteten Urheberrechtsverletzungen; seit 2008 direkter Auskunftsanspruch laut EUGH besonders schwerwiegender Eingriff in Grundrechte: Dalitz: RGA Kap vom Bundesverfassungsgericht gestoppt wegen Verletzung von GG Art 10,1 (Brief-, Post- & Fernmeldegeheimnis) 2014 vom EuGH zugrundeliegende EU-Richtlinie für unzulässig erklärt 2015 von CDU/SPD erneut verabschiedet mit Speicherfrist 4-10 Wochen 2017 von OVG NRW für unvereinbar mit europäischem Recht befunden derzeit bis zu rechtskräftigen Urteil ausgesetzt TKG & TMG (5) TMG 14,2 (analog für Nutzerprofile) Auf Anordnung der zuständigen Stellen darf (= muss, nach [Hoeren07]) der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist. in mehrfacher Hinsicht bemerkenswert [Hoeren07]: Dalitz: RGA Kap Verwendung des ideologischen Begriffs geistiges Eigentum, das es juristisch gar nicht gibt. So bleibt unklar, welche immateriellen Monopolrechte damit gemeint sind (Markenrecht, Urheberrecht, Leistungsschutzrecht, Patentrecht,...?) Gleichsetzung von Staatsschutzinteresse und privatem Interesse in Bezug auf Einhaltung urheberrechtlicher oder patentrechtlicher Privilegien führt im Zusammenhang mit der EU-Enforcement-Richtlinie 2004/48/EG zur Durchsetzung der Rechte am geistigen Eigentum zu umfangreicher Auskunftspflicht von Providern und Internetdiensten über die Internetnutzung ihrer Kunden

8 Literatur [Kühling18] J. Kühling, M. Klar, F. Sackmann: Datenschutzrecht. 4. Auflage, C.F. Müller, 2018 [BdFI18] Der Bundesbeauftragte für den Datenschutz: DSGVO-BDSG - Text und Erläuterung.Juni 2018 [DSK-5] Datenschutzbehörden des Bundes und der Länder: Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO. DSK Kurzpapier Nr. 5, 24. Juni 2017 [Hoeren07] Thomas Hoeren: Das Telemediengesetz. Neue Juristische Wochenschrift 12/2007, pp Dalitz: RGA Kap