EU-Datenschutzgrundverordnung Auswirkungen auf die Länder. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden

Transkript

1 BvD-Symposium 2015 Auswirkungen der EU-DSGVO auf die Länder am Beispiel Bayerns Ministerialrat Michael Will, Leiter des Referats Datenschutz, behördlicher Datenschutzbeauftragter im Bayerischen Staatsministerium des Ländervertreter für die Beratungen der Datenschutz-Grundverordnung in der Ratsarbeitsgruppe Datenschutz und Informationsaustausch (DAPIX)

2 Auswirkungen auf die Länder I. Auswirkungen auf den Datenschutz im öffentlichen Bereich II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden III. Ausblick 2

3 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Reformziele Ersetzt die EG-Datenschutzrichtlinie aus dem Jahr 1995, aber Fortführung der bisherigen Architektur (insbes. Anwendungsbereich, Vollharmonisierung) Allgemeine und unmittelbare Verbindlichkeit (Art. 288 Abs. 2 AEUV) als EU-Verordnung ersetzt mitgliedstaatliche Umsetzung, nationale Spielräume weg. Grundverordnung? Globale Durchsetzung von EU-Datenschutzstandards Europäisierung des Vollzugs 3

4 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Bewährte Elemente Regelungsgegenstand: Verarbeitung personenbezogener Daten Verbotsprinzip, Daten m. besonderem Schutz Grundprinzipien, insbes. Zweckänderung Adressaten controller, processor, joint controller Sonderregelungen für besondere Bereiche (Medien, Kirchen, Wissenschaft u.a.) und spezifische Konflikte (Medien, Gerichtsbarkeit, Berufsgeheimnisschutz u.a.) 4

5 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Neue Elemente (Öffentlicher Bereich) Schutzgüter personenbezogene Daten und freier Datenverkehr, nicht Persönlichkeitsrechte (z.t.) Datenschutz durch Technik Meldepflicht bei Datenschutzpannen Datenschutzfolgenabschätzung statt Vorabkontrolle/Freigabe Aufgabenverlagerungen vom Datenschutzbeauftragten zur Datenschutzbehörde Verbindliche Eingriffsbefugnisse, Bußgeld bleibt Option 5

6 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Spielräume für nationale Gesetzgebung Beschränkungen der unmittelbaren Verbindlichkeit durch Schnittstellen, Regelungsaufträge, Öffnungsklauseln und Abweichungsbefugnisse Bestands- und Entwicklungsgarantie für das nationales Datenschutzrecht im öffentlichen Bereich ( spezifische Anforderungen präziser bestimmen, Art. 1 Abs. 2 a, EG 35 a DSGRV- Ratsfassung) bereichsspezifisches Recht zusätzlich gesichert durch Art DSGRV (Sonderfall: Sozialdatenschutz, Art. 82 a DSGRV-EP) Aber: Fortbestand der Generalklauseln im allgemeinen Datenschutzrecht str. (Art. 6 Abs. 3 DSGRV) 6

7 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Spielräume für nationale Gesetzgebung Regelungspflichten bzw. -aufträge z.b. für Meinungsäußerungs- und Informationsfreiheit (Art. 80,80 a,80 aa DSGRV-Rat) Abweichungsbefugnisse gem. Art. 21 DSGRV BayDSG 2015 <-> Gesetz zur Durchführung und Abweichung von der Datenschutzgrundverordnung

8 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Neue Elemente: Meldepflichten bei Datenschutzpannen Bislang Informationspflicht nach 42a BDSG nur im nichtöff. Bereich, TKG und SGB, allenfalls Folgenbeseitigungsgrundsätze Art. 31 Abs. 1 DSGRV: Benachrichtigung der Aufsichtsbehörde bei Verletzung pbd ohne unangemessene Verzögerung, möglichst nach 24h (KOM)/unverzüglich (EP) /möglichst nach 72 h (Rat) in allen Fällen (KOM/EP), bei Fällen mit hohem Risiko für die Grundrechte und Grundfreiheiten (Rat) ggf. Register-Veröffentlichung (EP) Art. 31 Abs. 2, 32 DSGRV: Benachrichtigung der Betroffenen 8

9 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Neue Elemente: Datenschutzfolgenabschätzung 1/2 Art. 33: bei DV mit konkreten bzw. hohen Risiken f. Grundfreiheiten Rat: z.b. Diskriminierung, ID-Diebstahl od.-betrug, finanz. Verlust, Rufschädigung, Umkehr einer Pseudonymisierung, Verlust d. Vertraulichkeit od. v. Berufsgeheimnissen od. andere erhebl. wirtschaft. und gesellschaftl. Nachteile KOM: u.a. weiträumige Überwachung, umfangreiche Dateien, Daten v. Kindern genet. od biometrische Daten Rechtsfolge: Beschreibung der DV, von Schutzmaßnahmen, Bewertung des Risikos 9

10 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Neue Elemente: Datenschutzfolgenabschätzung 2/2 Art. 33 Abs. 4 (KOM/Rat): Unterrichtung der Betroffenen ( holt Meinung ein ) Aber: Art. 33 Abs. 5 (KOM/Rat): Durchführung der Folgenabschätzung bei DV in Erfüllung gesetzlicher Verpflichtungen oder öffentlicher Interessen steht im Ermessen der der Mitgliedstaaten, ggf. Genehmigungsvorbehalt (Art. 34 Abs. 7a /Rat) Art. 34 Abs. 2 (str.): Pflicht zur Konsultation der Aufsichtsbehörde bei Folgeabschätzungen, die ein hohes Risiko ergeben 10

11 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Neue Elemente: Aufgabenverlagerungen vom Datenschutzbeauftragten zur Datenschutzbehörde Mehrheit der MS strikt gegen verbindl. Verankerung behördl./betriebl. Datenschutzbeauftragter, überlässt MS Verpflichtung Nur bei KOM und EP Ansätze zu deren Integration und für Bestellungsanreize (z.b. Art. 34 Abs. 2/EP). Trilog: lfd. Suche nach Schnittmengen, z.b. verpflichtende Bestellung bei öff. Stellen 11

12 I. Auswirkungen auf den Datenschutz im öffentlichen Bereich Neue Elemente: Verbindliche Eingriffsbefugnisse, Bußgeld bleibt Option: keine Unterscheidung zwischen öffentlichem und nichtöffentlichem Bereich bei Eingriffsbefugnissen (Art. 53 Abs. 1 a/rat: u.a. auch Untersagungsbefugnisse) Folgefragen für Rechtsschutz und Eingaben, z.b. individueller Anspruch auf Untersagung auch bei DV von öff. Stellen. Bußgeldsanktionierung im öffentlichen Bereich nur im Rahmen nationaler Regelungen (Art. 79 Abs. 3 b/rat, str.) 12

13 EU-Datenschutz-Grundverordnung II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden Regelungen der innerstaatlichen und innereuropäischen Zuständigkeiten der Datenschutzbehörden 1/6 Innerstaatliche Zuständigkeiten: Neutralität der DSGRV gegenüber föderalen Strukturen (Art. 46 Abs. 1 DSGRV) Zuständigkeitsgrundsatz: Territiorialprinzip (vgl. Art. 291 Abs. 1 AEUV) Außenverhältnis der MS: Pflicht zur Konzentration der Außenvertretung (Kontaktstelle, Sitz im EU-Datenschutzausschuss) und zur Einhaltung der Kohärenz (Art. 46 Abs. 3, Art. 64 Abs. 3, EW 93 DSGRV-Rat) Aber: f. private, grenzüberschreitende EU-DV: federführende Aufsichtsbehörde (AB) am Ort der Hauptniederlassung einziger Ansprechpartner (Art.51,51a Abs. 1 und 3 DSGRV-Rat) 13

14 EU-Datenschutz-Grundverordnung II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden Regelungen der innerstaatlichen und innereuropäischen Zuständigkeiten der Datenschutzbehörden 2/6 Befassungs- und Beteiligungsrechte der betroffenen AB, z.b. mit einer Beschwerde befassten Aufsichtsbehörden (Art.51a Abs. 2, Art. 54 a ff. DSGRV-Rat) Behörde unterrichtet unverzüglich federführende Behörde über Angelegenheit; diese muss innerhalb drei Wochen entscheiden ob Verfahren nach Artikel 54a einleitet u. dabei berücksichtigen, ob Unternehmen Niederlassung hat (Art. 51a Abs. 2 b/rat) 14

15 EU-Datenschutz-Grundverordnung II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden Regelungen der innerstaatlichen und innereuropäischen Zuständigkeiten der Datenschutzbehörden 3/6 Ermittlungsverfahren nach Artikel 54a: Zusammenarbeit zwischen federführender Behörde (fab) und anderen betroffenen Behörden (bab) fab arbeitet mit anderen bab zusammen und bemüht sich dabei, einen Konsens zu erzielen; fab und bab tauschen Informationen; Amtshilfe und gemeinsame Maßnahmen (z.b. Durchführung von Untersuchung, Überwachung von Maßnahme bzgl. Unternehmen in anderem EU-MS) 15

16 EU-Datenschutz-Grundverordnung II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden Regelungen der innerstaatlichen und innereuropäischen Zuständigkeiten der Datenschutzbehörden 4/6 Entscheidungsverfahren nach Artikel 54a: fab: übermittelt Informationen legt Beschlussentwurf zur Stellungnahme vor trägt Standpunkten Rechnung bab: Können Einspruch einlegen (4 Wochen Frist, sonst Zustimmungsfiktion);falls fab nicht zustimmt: Verfahren nach Art 57, falls zustimmt: neuer Beschluss, 16

17 EU-Datenschutz-Grundverordnung II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden Regelungen der innerstaatlichen und innereuropäischen Zuständigkeiten der Datenschutzbehörden 5/6 Vollzugsverfahren nach Artikel 54a: fab: erlässt Beschluss; teilt Hauptniederlassung/einziger Niederlassung mit; Informiert andere Behörden und Europäischen Datenschutzausschuss bab: unterrichtet Beschwerdeführer bei Abhilfe, bei Nichtabhilfe eigener Beschluss gegenüber Bf. und Unterrichtung des DV (Art. 54 a Abs. 4b/Rat), bei gemischten Entscheidungen ergänzende Beschlüsse von fab und bab (Art. 54 a 4bb/Rat) Dringlichkeitsverfahren nach Art. 61: Schutz Interessen der sofort einstweilige Maßnahmen 17

18 EU-Datenschutz-Grundverordnung II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden Wesentliche Regelungsaufgaben: Klärung der Zuständigkeit als fab f. grenzüberschreitende private DV mit Hauptniederlassung in DEU; innerstaatliche Konzentrationswirkung oder Abstimmungspflichten ( innerstaatlicher One-Stop-Shop )? Mechanismen für Wahrnehmung der Rechte und Pflichten der bab im Falle einer anderen fab (Pluralismus, Einstimmigkeit, Mehrheitsprinzip, Minderheitenrechte?) Mechanismen zur Sicherstellung des Informationsflusses, der Umsetzung u. Anfechtung von Entscheidungen im Kohärenzverfahren Mechanismen zur Bestimmung eines Vertreters der deutschen Datenschutzbehörden im EDPB (Art. 64 Abs. 3/Rat) und seines Abstimmungsverhaltens 18

19 Art. 54a Co-operation Procedure One Stop Shop Bayerisches Staatsministerium des Art. 57 (2) and (2c) Opinion of EDPB in cross border cases Any concerned DPA of a MS in cases referred to in Art. 51a (1) in cases referred to Art. 51a (2a) shall inform lead DPA on this matter Any DPA of a Member State Issues a draft measure shall refer the matter to Lead Authority Shall submit a draft decision on a measure to if lead DPA decides to deal with the case Shall submit a draft decision to the lead DPA draft decision will be adopted according to 54a (4a), (4b), (4bb) EDPB Shall issue an opinion on the subject matter within one month by simple majority DPA of a Member State Article 57 Consistency Mechanism All concerned DPAs May comment on the draft decision If an concerned DPA expresses a serious and reasoned objection within a period of four weeks Lead DPA does not follows the objection EDPB Adopts a binding decision adressed to the concerneddpas within one month by a two-third majority or simple majority concerned DPAs shall adopt its final decision on the basis of EDPB decision Lead DPA follows the objection Submits to the concerned DPAs revised draft Revised draft subject to procedure in para.3 within a period of two weeks If a concerned DPA has not objected to the draft decision, the lead DPA and the concerned DPAs shall be deemed to be in agreement with this draft decision Lead DPA shall adopt and notify the decision to the main establishment of the controller (4a) Lead DPA informs concerned DPAs and the EDPB DPA to which a complaint has been lodged informs the complainant in case of disagreement between DPAs and lead DPA Art. 54a applies. Where complaint is dissmissed or rejected (4b) DPA to which the complaint was lodged shall adopt the decision and notify it to the complainant shall inform the controller thereof. if it does not intend to follow the opinion Art. 57 (2a) applies: Any DPA concerned, the EDPB or the Commission may communicate the matter to the EDPB Shall take utmost account of the opinion of the EDPB where parts of a complaint are dismissed or rejected (4bb) separate decision shall be adopted Lead DPA adopts the decision for the part concerning controller DPA of complainant adopts the decision for the part concerning dismissal or rejection of the complainant if it agrees shall within two weeks adopt a measure

20 EU-Datenschutz-Grundverordnung II. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden Mögliche Folgefragen der EuGH- Safe Harbor-Entscheidung für die Datenschutz-Grundverordnung, Kap. VI, VII: Untersuchungsbefugnisse bei Beschwerden - Konkurrenz zur lead authority (EuGH Rs. C-362/14, Rn. 57; Art. 51 Abs. 2a und 3 Rats-Dok. 9565/15)? Reichweite der Bindung an EDPB-Entscheidungen, Klagerechte (EuGH, a.a.o., Rn. 65; EW 113 Rats-Dok. 9565/15)? Befugnisse zu Interimsmaßnahmen und Wiederaufgreifen von EDPB-Entscheidungen (Art. 57 Abs. 4, 61 Rats-Dok. 9565/15)? 20

21 III. Ausblick Europäischer Rat 26./ Bayerisches Staatsministerium des die Verabschiedung eines soliden allgemeinen Rahmens für den Datenschutz in der EU (hat) entscheidende Bedeutung für die weitere Entwicklung des Raums der Freiheit, der Sicherheit und des Rechts in den nächsten Jahren 21

22 Oktober: III. Ausblick Kapitel VI und VII (Befugnisse der Aufsichtsbehörden und One-Stop-Shop) Kapitel VIII (Rechtsbehelfe, Haftung und Sanktionen) November : Kapitel I (Allgemeine Bestimmungen) Kapitel IX (Besondere Datenverarbeitungssituationen) Dezember: Kapitel X und XI (Durchführungsrechtsakte und Schlussbestimmungen) xx.yy. 2016: Inkrafttreten, zweijährige Anpassungsfrist 22

23 Auswirkungen der EU-DSGVO auf die Länder am Beispiel Bayerns Danke für Ihre Aufmerksamkeit! Kontakt: 23