Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

Transkript

1 Die EU-Datenschutz- Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin Prof. Dr. Mark D. Cole Wissenschaftlicher Direktor Institut für Europäisches Medienrecht (EMR) Inhalt I. Entwicklung des EU-Datenschutzrechts II. Inhalte der Datenschutz- III. Smarter oder nicht? 2 1

2 Entwicklung des EU- Datenschutzrechts 1990 Erster Entwurf einer Richtlinie zum Datenschutz (nach Europaratskonvention Nr. 108) 1995 Inkrafttreten der Richtlinie 95/46/EG mit Umsetzung in den Mitgliedstaaten 2002 Ergänzung durch sektorspezifische Richtlinie für elektronische Kommunikation ( e-privacy ) RL 2002/58/EG Probleme des geltenden Rechtsrahmens Technischer Stand von vor bzw. 15 Jahren Flickenteppich in EU-MS bedingt durch Umsetzungsspielräume 3 Entwicklung des EU- Datenschutzrechts Datenschutzreform zwei Teile: Datenschutz- Unmittelbar anwendbar, keine nationale Umsetzung erforderlich (jedoch: Anwendung durch nationale Behörden und Öffnungsklauseln für Mitgliedstaaten) Einheitliche Anwendung (und Auslegung) des Unionsrechts RL zum Datenschutz bei Polizei und Justiz (Strafsachen) Straftatenprävention, Strafverfolgung, Strafvollzug Erster Versuch einer Harmonisierung (aber: Umsetzungspflicht für Mitgliedstaaten) 4 2

3 Entwicklung des EU- Datenschutzrechts Datenschutz-: : Vorschlag der Kommission Verfahren mit (im EP) über 3000 Änderungsanträgen März 2014 EP-Standpunkt; Juni 2015 Ratsposition Trilog-Verhandlungen: Abschluss am April 2016: Annahme Rat und Zustimmung EP (14.4.) Frühjahr / Q2 2016: voraussichtliches Inkrafttreten + 2 Jahre (= 2018): Beginn der Geltung der Vorschriften è 2 Jahre Zeit für Vorbereitung der Anwendung 5 Inhalt I. Entwicklung des EU-Datenschutzrecht II. Inhalte der Datenschutz- III. Smarter oder nicht? 6 3

4 Inhalte der Datenschutz- Allgemeines (Anwendungsbereich, Begriffsdefinitionen) Rechtsgrundlagen/Grundsätze der Datenverarbeitung Rechte des Betroffenen Pflichten des Datenverarbeiters ( Verantwortlicher ) Datenübermittlung an Drittstaaten Unabhängige Aufsichtsbehörden Zusammenarbeit, Europäischer Datenschutzausschuss Rechtsbehelfe, Haftung, Sanktionen Besondere Verarbeitungssituationen (inkl. Recht auf Vergessenwerden, Geheimhaltungspflichten) 7 Inhalte der Datenschutz- Allgemeines Begriff personenbezogene Daten : Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen Identifizierbarkeit einer Person nicht nur über bürgerlichen Namen, sondern auch über andere Merkmale mit Wiedererkennungseffekt Cookies andere Browsermerkmale besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind à z. B. konsumierter Inhalt/Sehgewohnheiten, Ton- und Bildaufzeichnungen zur Sprach-/Gestenerkennung IP-Adresse? 8 4

5 Inhalte der Datenschutz- Allgemeines Marktortprinzip: Niederlassung des Datenverarbeiters in der EU - auch wenn Verarbeitung außerhalb der EU (vgl. bereits Ansätze nach aktueller Rechtslage in Rs. Google Spain beim EuGH) Verarbeitung personenbezogener Daten von Personen in der EU durch Datenverarbeiter im Ausland im Zusammenhang mit Angebot von Waren oder Dienstleistungen oder Verhaltensbeobachtung à im Ergebnis klare Ausweitung und auch Klarstellung 9 Inhalte der Datenschutz- Rechtsgrundlagen/Grundsätze der Datenverarbeitung Einwilligung: immer noch die zentrale (allerdings nicht einzige) Rechtsgrundlage für Datenverarbeitung freiwillig à Keine Koppelung mit anderweitiger Datenverarbeitung für den bestimmten Fall à Keine Generalermächtigung in informierter Weise à ausreichende Aufklärung unmissverständlich à Keine Vermutungswirkung Erklärung oder sonstige eindeutige bestätigende Handlung à Keine Einwilligung durch Unterlassen (z. B. Entfernen von Häkchen) Nachweispflicht für Vorliegen der Einwilligung liegt beim Datenverarbeiter Minderjährigenschutz: Einwilligung der Eltern bei Kindern unter 16 (MS können sogar noch darunter bis zum Alter 13 gehen) 10 5

6 Inhalte der Datenschutz- Rechtsgrundlagen/Grundsätze der Datenverarbeitung Zweckbindung: Erhebung nur für festgelegte, eindeutige und legitime Zwecke Keine Weiterverarbeitung in nicht mit dem ursprünglichen Zweck vereinbarer Weise Datenverarbeiter muss Vereinbarkeit ggf. prüfen; Kriterien u. a. Verbindung zwischen ursprünglichem und neuem Zweck Kontext der Datenerhebung Art der Daten (besonders schützenswerte Daten?) mögliche Folgen der Verarbeitung Garantien wie Verschlüsselung/Pseudonymisierung? 11 Inhalte der Datenschutz- Rechte des Betroffenen Datenportabilität: Möglichkeit der Mitnahme von Daten zu anderem Anbieter Ziel: Keine Lock-in -Effekte Pflicht des (alten) Anbieters, dem Betroffenen seine Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitzustellen Pflicht des (alten) Anbieters, Daten an den neuen Anbieter zu übertragen 12 6

7 Inhalte der Datenschutz- Rechte des Betroffenen Profiling/automatisierte Verarbeitung: Grundsatz: Keine ausschließlich auf automatisierter Datenverarbeitung (inkl. Profiling) basierende Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung ggü. Betroffenen Ausnahmen vom Grundsatz (erlaubte automatisierte Verarbeitung): soweit für Vertragsschluss oder -erfüllung erforderlich wenn aufgrund Rechtsvorschrift unter Wahrung der Betroffenenrechte und -interessen Ausdrückliche Einwilligung 13 Inhalte der Datenschutz- Pflichten des Verarbeiters Privacy by design / Privacy by default (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen): Wirksame technische Umsetzung der Datenschutzgrundsätze (z. B. Datenminimierung) muss schon bei Konzipierung des Dienstes sichergestellt werden Voreinstellung: Nur Erhebung und Verarbeitung der Daten, die für Dienstleistung erforderlich sind 14 7

8 Inhalte der Datenschutz- Pflichten des Verarbeiters Datenschutzbeauftragter (DSB): Bisher: nur auf nationaler Ebene geregelt (z. B. 4f BDSG) Neu: Pflicht zur Benennung eines DSB richtet sich nicht mehr nach Betriebsgröße, sondern nach Intensität der Datenverarbeitung: Kerntätigkeit: Verarbeitung, die aufgrund von Art, Umfang, Zwecken umfangreiche Überwachung erforderlich machen oder Kerntätigkeit: umfangreiche Verarbeitung besonders schutzwürdiger Daten 15 Inhalte der Datenschutz- Datenübermittlung an Drittstaaten Keine direkte Datenübermittlung an ausländische staatliche Stellen Datenübermittlung an ausländische (private) Stellen nur bei angemessenem Datenschutzniveau Angemessenheitsbeschluss der Kommission USA: Safe Harbour-Nachfolgeregelung (EU Privacy Shield) noch nicht in Kraft Geeignete Garantien des Datenverarbeiters und durchsetzbare Rechte im Drittstaat Verbindliche interne Datenschutzvorschriften Im Übrigen nur in Ausnahmefällen, z. B. ausdrückliche Einwilligung nach Aufklärung über Risiken 16 8

9 Inhalt I. Entwicklung des EU-Datenschutzrecht II. Inhalte der Datenschutz- III. Smarter oder nicht? 17 DSGVO Smarter oder nicht? Einheitliche Anwendung in allen Mitgliedstaaten Aber: Öffnungsklauseln für strengere nationale Regeln Einheitliche Auslegung durch Aufsichtsbehörden Zusammenarbeit der Datenschutzbehörden, Kohärenzverfahren One-stop shop: Datenverarbeiter und Betroffene haben jeweils eine einzige Behörde als Ansprechpartner Europäischer Datenschutzausschuss Smart? aus wessen Sicht? Ausdehnung des Anwendungsbereichs ( Datennutzungsdienste!) Grundrechtsschutz des Betroffenen: Einwilligung als zentrale Voraussetzung für Datenverarbeitung Aber: berechtigte Interessen als weitere Rechtsgrundlage und ggf. für Zweckentfremdung à Auslegung der Bestimmungen wichtig für abschließende Beurteilung 18 9

10 Hier finden Sie mehr über das Institut für Europäisches Medienrecht: Franz-Mai-Straße Saarbrücken Deutschland Telefon +49/681/ Telefax +49/681/ Mail Web emr@emr-sb.de europaeisches-medienrecht.de 10