Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Transkript

1 Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M.

2 Agenda I. Organisatorisches II. Literaturempfehlung III. Grundlagen 1. Historisches zum Datenschutzrecht 2. Anknüpfungspunkte in der Gegenwart 3. Rechtlicher Regelungsrahmen 4. Aufbau des BDSG 5. Anwendungsbereich des BDSG

3 IV. Zulässigkeit der Datenerhebung 1. Verbotsgesetz mit Erlaubnisvorbehalt 2. Vorrang des Direkterhebungsgrundsatzes 3. Arten der Verwendung von Daten 4. Erlaubnisnormen im BDSG 5. Einwilligung nach 4a BDSG 6. Erlaubnisnormen außerhalb des BDSG

4 I. Organisatorisches Kontakt Termine: Ziele, Klausur ; ; ; (wird verlegt Informationen folgen); (wird verlegt Informationen folgen); Literatur, Zeitschriften, Fundstellen 4

5 II. Literaturempfehlung Kommentare (Auswahl) - Gola/Schomerus: 12. Auflage 2015, 677 Seiten, EUR 65,00 - Simitis: 8. Auflage 2014, 2072 Seiten EUR 198,00 - Taeger: (einschließlich TKG/TMG Datenschutz) 2. Auflage 2013, 1688 Seiten, EUR 238,00 - Bergmann: Loseblatt-Sammlung (Kommentierung BDSG und Landesdatenschutzgesetze), Stand Juli 2015, 3640 Seiten, 3 Ordner, EUR 96,00 - Giesen: Kommentar zum Sächsischen Datenschutzgesetz, 2011, 456 Seiten, EUR 78,00 5

6 Literaturempfehlung Lehrbücher Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, 5. Auflage 2012 Kühling/Seidel/Siviridis, Datenschutzrecht; 3. Auflage 2015 Wolff/Brink, Datenschutzrecht in Bund und Ländern, 1. Auflage 2013 Zeitschriften DuD Datenschutz und Datensicherheit ZD Zeitschrift für Datenschutz DANA Die Datenschutznachrichten Datenschutz-Berater RDV Recht der Datenverarbeitung 6

7 III. Grundlagen 1. Historisches zum Datenschutz Zeitalter vor der EDV -uralte Datenschutz-Bereiche: Priester, Ärzte, Anwälte - Unverletzlichkeit der Wohnung (Schutz der Privatsphäre) - Post- und Briefgeheimnis - Fernmeldegeheimnis 7

8 Historisches zum Datenschutz 8 EDV Zeitalter

9 2. Anknüpfungspunkte in der Gegenwart Die fortschreitende technische Entwicklung in der automatisierten Datenverarbeitung führt zu steigenden Gefahren des Datenmissbrauchs. Es fallen immer mehr Daten an, die nahezu unbegrenzt gespeichert, verknüpft und ausgewertet werden können. Der Einzelne wird dadurch in seinen Persönlichkeits- und Freiheitsrechten beeinträchtigt, insbesondere wenn er nicht weiß, wer welche Daten über ihn hat, was dieser mit ihnen machtundanwenersieweitergibt. 9

10 Anknüpfungspunkte in der Gegenwart Datenschutzskandale 10

11 Anknüpfungspunkte in der Gegenwart Folgen von Datenschutzverstößen - Image-Schäden - Intervention der Datenschutz-Aufsicht - Bußgeld-/ Strafverfahren - Gewinnabschöpfung - Schadensersatz - Konflikte mit dem Betriebsrat - Wettbewerbsrechtliche Konsequenzen (Abmahnungen, Unterlassungsklagen) 11

12 Anknüpfungspunkte in der Gegenwart 12

13 Anknüpfungspunkte in der Gegenwart 13

14 3. Rechtlicher Regelungsrahmen EU-Recht Datenschutzrichtlinie 95/46/EG vom E-Commerce-RL 2000/31/EG vom EG-Verordnung 45/2001 zum Datenschutz durch EG- Institutionen vom E-Kommunikations-DS-RL 2002/58/EG Cookie-Richtlinie 2009/136/EG EU-Datenschutz-Grundverordnung (DSGVO) vom

15 Rechtlicher Regelungsrahmen Artikel 8 Grundrechts-Charta der EU Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. 15

16 Rechtlicher Regelungsrahmen 16

17 Rechtlicher Regelungsrahmen 17

18 4. Aufbau des BDSG 18

19 Aufbau des BDSG Wettbewerbsunternehmen: weitgehende Anwendbarkeit der Vorschriften für die nicht-öffentlichen Stellen 19

20 Aufbau des BDSG Die Grundprinzipien 20

21 5. Anwendungsbereich des BDSG Definition: 3 Abs. 1 BDSG 21

22 Anwendungsbereich des BDSG (für nicht-öffentliche Stellen, vereinfacht) 22

23 Personenbezogene Daten Anwendungsbereich des BDSG sind Einzelangaben über persönliche (z.b. Familienverhältnisse, politische und religiöse Anschauungen, Beruf, Vorstrafen, Fotografien etc.) oder sachliche (finanzielle Verhältnisse, Versicherungen, Urlaubsansprüche und zeiträume etc.) Verhältnisse einer bestimmten oder bestimmbaren Person (Mitarbeiter von Unternehmen, Kunden, Lieferanten oder deren Ansprechpartner) Name Adresse Telefonnummer Wohnverhältnisse Gehalt Geburtsjahr Kreditkartennummer Vermögensverhältnisse 23

24 Anwendungsbereich des BDSG Einzelangaben sind Informationen, die sich auf eine bestimmte, d.h. einzelne, natürliche Person beziehen. sind auch Informationen, die einen Bezug zu ihr herstellen, bspw. Ausweis-, Versicherungs-, Telefonnummer. (Gola/Schomerus, BDSG, 8. Aufl., 3 Rdnr. 3) 24

25 Anwendungsbereich des BDSG 25

26 Anwendungsbereich des BDSG 26

27 Anwendungsbereich des BDSG 27

28 Anwendungsbereich des BDSG Ergänzung: Anonymisieren & Pseudonymisieren Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Fließende Übergänge Ziel: Ausschluss oder Erschwerung der Bestimmbarkeit der hinter einem Datum stehenden -Person und damit Personenbezogenheit der Daten Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. 28

29 Anwendungsbereich des BDSG 29

30 Anwendungsbereich des BDSG Vom Datenschutz nicht geschützt werden: die Daten von juristischen Personen, Vereinen, Verbänden etc. die Daten von Toten etc. Daten ohne Personenbezug 30

31 31

32 IV. Zulässigkeit der Datenverarbeitung 1. Verbot mit Erlaubnisvorbehalt 32

33 4 Abs. 1 BDSG Zulässigkeits-Dreiklang Erheben ( 13) Ermächtigungsgrundlage BDSG Alt. 1 Öffentlicher Bereich Speichern Verändern Nutzen ( 14) Übermitteln ( 15, 16) Ermächtigungsgrundlage sonstige Rechtsvorschriften Alt. 2 Beschäftigungsverhältnisse ( 32) Nicht-öffentlicher Bereich Erheben, Speichern, Verändern, Übermitteln für eigene Geschäftszwecke ( 28) Übermittlung an Auskunfteien ( 28a) Scoring ( 28b) Marktforschung ( 30a) Geschäftsmäßiges Erheben, Speichern, Verändern zum Zwecke der Übermittlung ( 29) Einwilligung Alt. 3 Geschäftsmäßiges Erheben, Speichern, Verändern zum Zwecke der Übermittlung in anonymisierter Form ( 30) 33

34 2. Vorrang der Direkterhebung (Direkterhebungsgrundsatz) Erhebung grundsätzlich bei den Betroffenen selbst, d.h. mit Kenntnis und Mitwirkung desselben(vgl. 4 Abs. 2 BDSG). Transparenz- Die Betroffenen sind darüber zu informieren: Wer die datenerhebende Stelle ist (Name, Anschrift, Art des Unternehmens) für welchen Verwendungszweck die Daten bestimmt sind und wer Empfänger der Daten im Falle einer Übermittlung (inkl. Zweck der Übermittlung sowie Art und Umfang der übermittelten Daten) ist. Werden die Daten aus anderen Quellen (z.b. früherer Arbeitgeber, Auskunfteien) entnommen, sind die Betroffenen über die Speicherung und Quelle zu informieren. 34

35 3. Art der Verwendung von Daten 35

36 4. Erlaubnisnormen im BDSG BDSG unterscheidet bei den Regelungen für private Datenverarbeiter( 27 ff.) vom Grundsatz her danach, für welche Zwecke die Datenverarbeitung erfolgt: -Eigene Zwecke: 28 - Fremde Zwecke: 29, 30, 30a (Meldepflicht!) => Aufkunfteien, Adresshandel, Markt-und Meinungsforschung etc. - Für Zwecke des Beschäftigtenverhältnisses 32 die Unterscheidung bei den öffentlichen Stellen des Bundes ( 12 ff.) beschränkt sich auf: -Datenerhebung: 13 - Datenübermittlung: 15, 16 36

37 5. Einwilligung nach 4a BDSG Stichwort: Datenverarbeitungsverbot mit Erlaubnisvorbehalt Rechtsnorm oder Einwilligung fehlt eine Rechtsnorm, die die Datenverarbeitung erlaubt, wird zur Legalisierung die Einwilligung des Betroffenen benötigt damit die Einwilligung die fehlende Rechtsvorschrift zur Datenverarbeitung ersetzen kann, sind folgende Punkte zu beachten: Im Regelfall schriftlich (Schriftform) Freiwillige Entscheidung als Basis (Freiwilligkeit) Hinweis auf den Zweck der Erhebung sowie die Folgen der Nichterteilung (Transparenz) Besondere Hervorhebung der Einwilligung 37

38 Einwilligung nach 4a BDSG Der Betroffene ist über folgende Punkte vorder Erteilung seiner Einwilligung zu unterrichten: Identität der verantwortlichen Stelle Benennung der Art der zu verarbeitenden Daten (Datenkategorien) Zweck der Datenverarbeitung Umfang und Form der Verarbeitung Aufklärung über mögliche Verknüpfungen mit anderen Datenbeständen Bei einer beabsichtigten Datenübermittlung: auch der künftige Datenempfänger Bei Daten gem. 3 Abs. 9 BDSG (besonders sensible Daten) die ausdrückliche Benennung der betroffenen Daten Hinweis auf die Möglichkeit der Verweigerung oder des Widerrufs mit Wirkung für die Zukunft. Aufklärung über die Rechtsfolgen, wenn er die Einwilligung erteilt Aufklärung über die Rechtsfolgen, wenn er die Einwilligung nicht erteilt 38

39 Einwilligung nach 4a BDSG 39