Datenschutz Die EU-DS-GVO

Transkript

1 10. IT-Sicherheitstag 20. September 2016 Datenschutz Die EU-DS-GVO Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

2 Motivation

3 Die aktuelle Lage

4 Digitale Grundrechte im Schützengraben Data-Warehouse, Datamining, Adresshandel, Scoring RFID-Chips und Bionik die Intelligenz der Technik: ubique computing Smart Metering Internetüberwachung ( , Cookies, Ortung, GPS etc.) Barcodes.

5 Grundrechte im Schützengraben Bewegungsprofile (Maut, Handyortung, Gesichtserkennung z.b. an örtlichen Plätzen, Kennzeichenregistrierung, Funkzellenüberwachung, GPS, PRISM ) der Mensch als Datensammlung: Genetik, Gesundheits- Card biometrische Datenbanken (Finger, Iris, Gesicht,) IP-Adress-Erfassung- und Speicherung digitaler Fingerprint von Computern und Smartphones Vorratsdatenspeicherung (nicht nur bei Providern) INDECT-Überwachungs- und Sicherheitssysteme selbst entscheidende Algorithmen..

6 Risiken für das Grundrecht Privatsphäre zunehmende Kontrolle bzw. Manipulation abnehmende Transparenz Bequemlichkeit Privatsphäre

7 die Zukunft??

8 Die Konsequenz

9 Die aktuelle Lage

10 Die Europäische Datenschutz-Grundverordnung

11 Europäische Datenschutz-Grundverordnung VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung DS-GVO)

12 Ziele der DS-GVO Kontrolle über Daten im Sinne der digitalen Grundrechte globale Standards für Datenschutz Optimierung des modernen digitalen Binnenmarktes - Harmonisierung (EUR 2,3 Milliarden Einsparungen durch Vereinheitlichung unterschiedlicher Datenschutzregeln) - Vereinfachung (EUR 130 Millionen Einsparung durch Abschaffung von Meldepflichten) - kein Forum-Shopping (Datenverarbeitung in Mitgliedsstaat mit weniger strengem Datenschutzrecht) - One-Stop-Shop (eine zuständige Aufsichtsbehörde für Unternehmen in der Europäischen Union) - Kooperationverpflichtung der Datenschutzaufsichtsbehörden - Konsistenz der Anwendung des Datenschutzrechts

13 Wirkungen der DS-GVO Art. 99: Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat. die DS-GVO ist eine Regelung mit unmittelbarer innerstaatlicher Geltung -> sog. Durchgriffswirkung grundsätzliche Vollharmonisierung (tendenziell weniger im öffentlichen Bereich) ersetzt nationales Datenschutzrecht, führt grds. zur Unanwendbarkeit entgegenstehender nationaler Regelungen und zur Überflüssigkeit inhaltlich gleicher Regelungen Öffnungsklauseln für nationalen Gesetzgeber in bestimmten Bereichen daher Richtlinien- Charakter im öffentlichen Bereich Zweijährige Anpassungsphase für Rechtsbereinigung und Folgeänderungen

14 Anwendbarkeit der DS-GVO alle Datenverarbeiter und Auftragsverarbeiter sowohl öffentliche als auch nicht-öffentliche Stellen automatisierte und nichtautomatisierte Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung innerhalb der EU (s. a. Google Spain./. AEPD EuGH, Urteil v , Az. C-131/12) auch Datenverarbeiter in Drittstaaten (Marktort-Prinzip) sofern Betroffene innerhalb der EU ansässig sind den Betroffenen in der EU Waren und Dienstleistungen angeboten werden deren Datenverarbeitung der Beobachtung von Verhalten in der EU dient

15 Öffnungsklauseln - Überblick Quelle: Veil, CR-online 1. Februar 2016 Onecontinent, onedataprotectionlaw? 02/01/ one-continent-one-data-protection-law/

16 Öffnungsklauseln ca nationale Öffnungsklauseln: bei Rechtsgrundlagen der Datenverarbeitung für spezifischere nationale Regelungen für Ausnahmen von Betroffenenrechten für andere Fälle DS-GVO Befugnis der Mitgliedstaaten für spezifische und/oder abweichende Regelungen Verpflichtung der Mitgliedstaaten zum Tätigwerden Weitere konkretisierende Maßnahmen

17 Mitgliedstaatliche Regelungen (Auszug) MÜSSEN Akkreditierung der Zertifizierungsstellen (Art. 43) Regelung der Aufsichtsbehörde Verfahrensregeln für Geldbußen Festlegung von strafrechtlichen Sanktionen (Art. 84) Regelung zu One-Stop-Shop- / Kohärenzverfahren Medienprivileg: Grundrecht auf Datenschutz ist mit der Meinungsund Informationsfreiheit in Einklang zu bringen (Art. 85) Angleichung im besonderem Datenschutzrecht der Kirchen (Art. 91) KÖNNEN spezifischere Anforderungen an die Verarbeitungen (insbes. Art. 6 Abs. 2) Betroffenenrechte im öffentlichen Interesse (Art. 23) Datenschutzbeauftragter (Art. 37) Zugang zu amtlichen Dokumenten (Art. 86) nationale Kennzeichen (Art. 87) Arbeitnehmerdatenschutz (Art. 88) historische, statistische, wissenschaftliche Zwecke (Art. 89) Berufsgeheimnisträger (Art. 90)

18 Kontrolle und Durchsetzung Nationale Gerichte Auslegung der DS-GVO und nationaler Datenschutz-Vorschriften Vorlage zum EuGH EuGH Auslegung der DS-GVO Kontrolle der Kommissionsentscheidungen Europäischer Datenschutzausschuss Interpretation der DS-GVO Koordination der Zusammenarbeit evtl. Kassation s. Art der EU DS-GVO (verbindliche Beschlüsse) Kommission Überwachung der Umsetzung der DS-GVO Erlass delegierter Rechtsakte Mitgliedsstaaten Ergänzung und Modifikation des Rechtsrahmens Aufsichtsbehörden Überwachung der Umsetzung des Datenschutzes (Zusammenarbeit) evtl. Vorlage zum EuGH

19 Perspektiven EuGH Kommission Datenschutz-Ausschuss DS- DS-GVO GVO 27 nationale Anpassungsgesetze 28 X nationales 27 X nationales Recht

20 Aufbau und Inhalt der Datenschutz-Grundverordnung

21 Aufbau der DS-GVO DS-GVO 173 Erwägungsgründe 99 Artikel Europäische Umsetzung durch Kohärenz und Kommission Durchsetzung durch Bußgeld und Sanktionen zum Vergleich: BDSG 48 Paragrafen DSG M-V 45 Paragrafen Kontrolle durch DSB und Aufsicht Garantien durch Standards und Zertifizierung Organisatorische und technische Absicherung Transparenz Intervention Zulässigkeit

22 Beteiligte (Vergleich DS-GVO / BDSG) Aufsichtsbehörde BDSG: Aufsichtsbehörde Verantwortlicher (Controller) BDSG: Verantwortliche Stelle Betroffene Person BDSG: Betroffener Dritter/Empfänger BDSG: Dritter/Empfänger Auftragsverarbeiter (Processor) BDSG: Auftragnehmer

23 Begriffsbestimmungen Artikel 4 DS-GVO: 26 Begriffsbestimmungen von 1) Personenbezogene Daten bis 26) Internationale Organisation Grundsätzlich entsprechen die Definitionen den bisherigen aus der EU-DS-Richtlinie und den daraus im BDSG abgeleiteten Definitionen

24 Begriffsbestimmungen neue Begriffe in Art. 4 DS-GVO: Verletzung des Schutzes personenbezogener Daten genetische, biometrische, Gesundheitsdaten Unternehmen, Unternehmensgruppe, Hauptniederlassung Vertreter verbindliche unternehmensinterne Datenschutzvorschriften Aufsichtsbehörde, betroffene Aufsichtsbehörde grenzüberschreitende Verarbeitung personenbezogener Daten maßgeblicher und begründeter Einspruch Dienst der Informationsgesellschaft internationale Organisation neue Terminologien und Instrumente Kinder gemeinsam Verantwortliche Datenschutz-Folgenabschätzung Vergessenwerden Einschränkung der Verarbeitung Datenübertragbarkeit Profiling vorherige Konsultation Zertifizierung Kohärenzverfahren

25 Grundsätze für die Datenverarbeitung Art. 5 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke und Verbot der Weiterverarbeitung in einer mit diesen Zwecken nicht zu vereinbarenden Weise Rechenschaftspflicht (Accountability): Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß sachlich richtige und ggf. aktuellste Daten, Vorsehen von Maßnahmen zur unverzüglichen Löschung oder Berichtigung von unzutreffenden Daten Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist; geeignete TOM zum angemessenen Schutz der Daten insbes. vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung Verantwortung und Nachweispflicht für die Einhaltung der Prinzipien das bedeutet u. a.: Sicherheitskonzept Datenschutzrichtlinie

26 Prämissen zur Rechtmäßigkeit der Verarbeitung Artikel 6 DS-GVO: Einwilligung Vertrag Durchführung vorvertraglicher Maßnahmen Gesetzliche Verpflichtung (Rechtsgrundlage) Schutz lebenswichtiger Interessen öffentliches Interesse Ausübung hoheitlicher Gewalt Interessensabwägung (nur im privaten Bereich) Zweckänderung nach Abs. 4

27 Einwilligung Artikel 6 Abs. 1a, 7 und 8 DS-GVO freiwillig informiert konkret unmissverständlich klar kopplungsfrei nachweisbar einfach und verständlich für die Zukunft widerrufbar nicht widersprüchlich zur DS-GVO Art. 8 DS-GVO: Sonderregelung für Kinder: - nationaler Spielraum für Altersgrenzen: zwischen 13 und 16 Jahren in

28 Zweckbindung Artikel 6 Abs. 4 DS-GVO Zweckänderung ( Weiterverarbeitung ) ist nur zulässig nach Prüfung der Vereinbarkeit mit dem ursprünglichen Zweck, insbes. hinsichtlich: Verbindung der Zwecke Erhebungszusammenhang besonderer Daten (Art. 9/9a) Folgen der Weiterverarbeitung für Betroffene Vorhandensein angemessener Garantien, z. B. Pseudonymisierung, Verschlüsselung Erwägungsgrund 50 DS-GVO Der Maßstab für die Vereinbarkeit sind nach die vernünftigen Erwartungen der betroffenen Person.

29 Anhaltspunkte für die Vereinbarkeit späterer Verwendungszweck ist bei der ursprünglicher Erhebung bereits impliziert die neue Verwendung ist der absehbar nächste Schritt Vorhersehbarkeit des späteren Verwendungszwecks für den durchschnittlich Betroffenen allgemeine Akzeptanz/Üblichkeit der neuen Verwendung Auswirkungen der späteren Verwendung Ausschluss von Leistungen, Diskriminierung Betroffener Schutzmaßnahmen der verantwortlichen Stelle Anonymisierung, Pseudonymisierung, erhöhte Transparenz

30 Transparente Verarbeitung Artikel 12 DS-GVO Transparenz und Modalitäten der Verarbeitung durch Information (Art. 13, 14 und 34) Mitteilungen bei der Erhebung - beim Betroffenen - nicht beim Betroffenen (im Sinne von Information, Unterrichtung und Aufklärung) Benachrichtigung bei Datenpannen durch Auskunft (Art. 15) Werden Daten verarbeitet? Details zur Darenverarbeitung Details zur Übermittlung Recht auf Kopien durch Intervention (Art ) Berichtigung Löschung Recht auf Vergessenwerden Einschränkung der Verarbeitung Datenübertragung Widerspruch

31 Information bei der Erhebung Erhebung Direkterhebungsgrundsatz fehlt, aber: Erhebung nach Treu und Glauben / transparent beim Betroffenen nicht beim Betroffenen bei Zweckänderung Mitteilung Art. 13 (i. S. V. Unterrichtung und Aufklärung) Ausnahme: wenn und soweit der Betroffene bereits über die Informationen verfügt immer (nach Art. 21): Hinweis auf Widerspruchsrecht bei Direktwerbung Interessensabwägung Profiling Mitteilung Art. 14 (i. S. V. Unterrichtung und Aufklärung) Ausnahme: Kenntnis, unverhältnismäßig, aufgrund von Rechtsregeln, Geheimhaltungspflicht

32 Information bei Datenpannen Art. 34 Mitteilung unwahrscheinlich (keine Meldepflicht) Verantwortlicher Risiko für die Rechte und Freiheiten hoch unverzüglich Auftragsverarbeiter (jede Datenpanne) Dokumentation (jede Datenpanne) vorhanden innerhalb 72 Std. Aufwand unverhältnismäßig öffentlich Betroffene Aufsicht Art. 33 Meldung Ausnahmen, wenn: tom zum Schutz der Daten getroffen wurden, insbesondere Verschlüsselung durch nachfolgende tom kein hohes Risiko mehr besteht Art der Verletzung DSB oder anderer Ansprechpartner mögliche Folgen der Verletzung ergriffene Maßnahmen Kategorie und Anzahl Betroffene Kategorie und Anzahl Datensätze Folgen der Datenpanne

33 Auskunftsrecht Auskunft auf Antrag (Art. 15 i.v.m. 12 DS-GVO) Inhalte werden Daten des Anfragenden verarbeitet Zweck der Verarbeitung Datenkategorien Empfänger Speicherdauer Beschwerderecht bei Aufsicht Herkunft bei automatisierter Entscheidung / Profiling: Logik und angestrebte Wirkung der Verarbeitung Unterrichtung über geeignete Garantien beim Drittlandtransfer Recht auf Kopien Mittel/Methode Ausübung des Auskunftsrechts ist zu erleichtern (Art. 12 Abs. 2) ggf. Identitätsfeststellung (Art. 12 Abs. 6) Auskunft erfolgt: ohne unangemessene Verzögerung spätestens innerhalb eines Monats Fristverlängerung um max. 2 Monate unentgeltlich, in Ausnahmen Entgelt auf Basis der Verwaltungskosten schriftlich / andere Form / ggf. elektronisch elektronisch bei elektronischer Antragstellung mündlich nach Identitätsfeststellung

34 Interventionsrecht Weitere Betroffenenrechte gem DS-GVO Recht auf Berichtigung (Art. 16) Recht auf Löschung / Vergessenwerden (Art. 17) Recht auf Einschränkung der Verarbeitung ehemals Sperren (Art. 18) Mitteilungspflicht des Verantwortlichen gegenüber Empfängern bei Maßnahmen im Sinne des Betroffenen (Art. 19) Recht auf Datenübertragbarkeit / Portabilität (Art. 20) Widerspruchsrecht bei Datenverarbeitungen im öffentlichen Interesse / im Interesse des Verantwortlichen / bei Direktwerbung (Art. 21) Recht auf nicht automatisierte Entscheidung (einschließlich Profiling) (Art. 22)

35 Das Schutzkonzept der Datenschutz-Grundverordnung

36 Schutzkonzept der DS-GVO Überwachung durch den Datenschutzbeauftragten (Art DS-GVO) Standards und Zertifizierung (Art DS-GVO) Dokumentation und Nachweise (verschiedene Stellen der DS-GVO) Organisatorische Absicherung (Art , DS-GVO) Technische Absicherung (Art. 25, 32 DS-GVO) Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

37 Technische Aspekte der DS-GVO Privacy by Design Privacy by Default Art. 25

38 Datenschutzorganisation Art. 24 ff Adressat der Regelungen: Verantwortlicher für die Verarbeitung Datenschutzmanagementsystem (nachweisbare Datenschutz-Vorkehrungen) risikobasierter Ansatz Überprüfbarkeit Nachweis durch Zertifizierung möglich weitere Vorgaben zur operativen Datenverarbeitung: Einsatz datenschutzfreundlicher Technologien weitreichende Dokumentationspflichten, u. a. aller Verarbeitungsvorgänge weitreichende Nachweispflichten insbes. nach dem Prinzip der Rechenschaftspflicht [accountability] Datenschutzfolgenabschätzung Konsultationspflicht der Aufsichtsbehörde i. Z. m. der Datenschutzfolgenabschätzung Das Datengeheimnis nach 5 BDSG fehlt!

39 Datenschutzorganisation Dokumentation und Nachweise Art. 5 Abs.2: Art. 7 Abs.1: Nachweis der Einhaltung der Prinzipien rechtmäßiger Verarbeitung Nachweis der Einwilligungen Art. 24 Abs. 1: Nachweis der Datenschutzorganisation Art. 28: Art. 30: Dokumentation von Weisungen (auch für die Drittlandverarbeitung) Verzeichnis der Verarbeitungstätigkeiten und Auftragsverhältnissen Art. 33 Abs. 2: Dokumentation von Sicherheitsvorfällen Art. 35: Datenschutzfolgeabschätzung Art. 49 Abs. 6: Dokumentation geeigneter Drittlandgarantien Dokumentationspflichten führen zur Transparenz, bedeuten aber mehr Aufwand für die verantwortlichen Stellen

40 Datenschutzorganisation Optimierung - Aktualisierung der Maßnahmen Act Plan Riskobewertung - Art, Umfang, Umstände der Verarbeitung - Datenschutzrisiken - Eintrittswahrscheinlichkeit Check Do Überwachung - Erfolgskontrolle - Überprüfung der Maßnahmen Umsetzung - geeignete tom - Datenschutzvorkehrungen

41 Datenschutzbeauftragter Art. 37 bis 39 DS-GVO obligatorisch für: öffentliche Stellen Unternehmen Kerntätigkeit besteht aus Verarbeitungsvorgängen, welche auf Grund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen Verantwortliche / Auftragsverarbeiter, deren Kerntätigkeit aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und 10 der DS-GVO in großem Umfang besteht nationale Öffnungsklausel: eine Nachfolgeregelung zu 4f BDSG ist hier zu erwarten freiwillig für: alle übrigen für die Verarbeitung Verantwortlichen

42 Zusammenarbeit mit Dienstleistern Auftragsdatenverarbeiter gem. 28, 29 DS-GVO die wesentlichen Anforderungen aus dem BDSG bleiben sorgfältige Auswahl (Garantien für geeignete tom) genehmigte Verhaltensregeln (Art. 40) oder genehmigte Zertifizierungsverfahren können als Garantie herangezogen werden Schriftlichkeit ist vorgeschrieben, elektronisches Format zulässig offizielle Vertragsmuster dürfen verwendet werden Unterauftragnehmer nur mit schriftlicher Genehmigung Auftragsverarbeitung im Drittland nur auf Weisung das Bußgeld- und Haftungsrisiko steigt - gesamtschuldnerische Haftung (Erwägungsgrund 146 und Art. 28 Abs. 10)

43 Verantwortung des Auftragsverarbeiters

44 internationaler Datenverkehr 2-Stufen-Modell ( DS-GVO) Stufe I Voraussetzungen nach Art. 5 ff Grundsätze für die Verarbeitung personenbezogener Daten und weitere Rechtmäßigkeitsvoraussetzungen Stufe II Angemessenheitsbeschluss (Art. 45 DS-GVO) geeignete Garantien (Art. 46 DS-GVO) Rechtshilfeabkommen (Art. 48 DS-GVO) Sonderfälle (Art. 49 DS-GVO) Ausnahmen (Art. 49 Abs. 1 h DS-GVO)

45 Aufsichtsbehörden

46 Aufsichtsbehörden (Art. 51 ff DS-GVO) Status/Ausstattung unabhängig weisungsfrei Ernennung sachkundig erfahren qualifiziert im erforderlichem Umfange finanziell, sächlich, strukturell und personell ausgestattet Zuständigkeit, Aufgaben und Befugnisse Territorial oder grenzüberschreitend, wenn federführend Überwachung und Durchsetzung Sensibilisierung/Aufklärung Beratung Kooperation mit anderen Behörden Genehmigungen Standardisierungen

47 Aufsichtsbehörden weitere Befugnisse (Art. 51 ff DS-GVO) Anweisung Untersuchen Überprüfen Warnen / Verwarnen Beschränken / Verbieten Anordnung Bußgeld Genehmigung Anrufung der Justiz/Klagerecht weitere Befugnisse nach nationalem Recht möglich

48 One Stop Shop Kohärenz/Kooperation Art. 54a Co-operation Procedure AnyconcernedDPA ofa MS in casesreferredtoin Art. 51a (1) in cases referred toart. 51a (2a) shall inform lead DPA on thismatter Art. 57 (2) and(2c) Opinion ofedpb in cross border cases AnyDPA ofa Member State Issues a draft measure shall refer the matter to Lead Authority Shall submit a draft decision on a measure to ifleaddpa decides to deal with the case Shall submit a draft decision to theleaddpa draft decision will be adopted according to 54a (4a), (4b), (4bb) EDPB Shallissuean opinion on the subject matter within one month by simple majority DPA ofa Member State Article 57 Consistency Mechanism EDPB All concerned DPAs May comment on the draft decision If an concerned DPA expresses a serious and reasoned objection within a period of four weeks Lead DPA doesnot follows the objection Adopts a binding decision adressed to the concerneddpas within one month by a two-third majority or simple majority concerned DPAs shall adopt its final decision on the basis of EDPB decision Lead DPA follows the objection Submits to the concerned DPAs revised draft Revised draft subject to procedure in para.3 within a period oftwo weeks If a concerned DPA has not objected to the draft decision, the lead DPA and the concerned DPAs shall bedeemedto bein agreement with this draft decision Lead DPA shalladopt and notify the decision to the main establishment of the controller (4a) Lead DPA informs concerned DPAs andthe EDPB DPA to whicha complaint has been lodged informs the complainant in caseofdisagreement between DPAs andleaddpa Art. 54a applies. Where complaint is dissmissed or rejected(4b) DPA to which the complaint was lodged shall adopt the decision andnotify itto the ifitdoesnot intendto follow the opinion Art. 57 (2a) applies: AnyDPA concerned, the EDPB or the Commission may communicate thematter totheedpb Shall take utmost account of the opinion of the EDPB complainant D A T E N S C H U T Z U N D I N F O R M A T I O N S F rejection R E of the I complainant H E I T shall inform the controller thereof. where parts ofa complaint are dismissed or rejected(4bb) separate decision shall be adopted Lead DPA adopts the decision for the part concerning controller DPA of complainant adopts the decision for the part concerning dismissal or ifitagreesshall within two weeks adopt a measure

49 Kohärenz/Kooperation Europäischer Datenschutzausschuss Streitbeilegung (Art. 65) federführende (betroffene) Aufsichtsbehörde Ziele: Konsens Informationsaustausch Amtshilfe (Art. 61) Gemeinsame Maßnahmen (Art. 62) Betroffene Aufsichtsbehörde, Art. 4 Nr. 22 DS-GVO Stellungnahmen zu Maßnahmen der Aufsichtsbehörden (Art. 64) Maßnahmen zur Sicherstellung der einheitlichen Anwendung der DS-GVO (Art. 70) kann auch mittelbar im Wege delegierter Rechtsakte durch die Kommission oder durch Verhaltensregeln erfolgen gemeinsame Maßnahmen (Art. 62) auf Einladung: unterstützende Aufsichtsbehörde (Art. 62)

50 Durchsetzung

51 Enforcement (Art. 77 ff DS-GVO) I. Rechtswege Beschwerde bei Aufsichtsbehörden Klage gegen Aufsichtsbehörden Klage gegen Verantwortliche, Auftragsverarbeiter oder gemeinsam Verantwortliche (nationaler Spielraum) II. Vertretung Vertretung durch Verband evtl. Verbandsklagerecht (nationaler Spielraum) III. Sanktionen Schadensersatz (materiell und individuell) Bußgeld Strafe (nationaler Spielraum)

52 Haftung

53 Bußgelder

54

55 Der Landesbeauftragte für Datenschutz und Informationsfreiheit M-V Werderstraße 74a Schwerin Telefon: Telefax: Internet: