Einführung in das Datenschutzrecht Wintersemester 2017/2018

Transkript

1 Einführung in das Datenschutzrecht Wintersemester 2017/ Vorlesung: Einführung, Organisatorisches und Grundrechte Folien: Christian Prietz, Eva Schlehahn

2 Vorlesungsbeginn: 8:30 Vorlesungsende: 10:00 Vorlesungsplan (siehe Folie 3) Prüfungsleistung 1: Klausur Inhalt: Multiple Choice, Freitexte und Fälle Dauer: 1 Stunde Datum: wird noch mitgeteilt Ort: ULD, Holstenstraße 98, Kiel Organisatorisches Prüfungsleistung 2: Voraussichtlich mündliche Prüfung Sonstiges (Vorlesungsort?) Datenschutzrecht FH Kiel 2

3 (Vorläufiger) Vorlesungsplan Einführung, Organisatorisches und Grundrechte (Eva Schlehahn) Gesetzessystematik und Grundbegriffe (Christian Prietz) Rechtmäßigkeit, Einwilligung und Zweckbindung (Eva Schlehahn) Erforderlichkeit, Transparenz, Datensicherheit und Kontrolle (Christian Prietz) Kundendatenschutz (Eva Schlehahn) Auftragsdatenverarbeitung und DPbD (Harald Zwingelberg) Telemediengesetz und soziale Netzwerke (Henry Krasemann) Informationsfreiheit und Informationszugangsgesetz (Benjamin Bremert) Informationsmanagementsysteme (ISMS) (Christian Prietz) Klausur: Datum wird noch mitgeteilt Datenschutzrecht FH Kiel 3

4 Gesetzestexte Textsammlung Datenschutzrecht in Schleswig-Holstein Schwerpunkt: Bundesdatenschutzgesetz (BDSG) ggf. weitere Gesetze relevant (TMG, IZG etc.) Lehrbücher Literatur Witt, Datenschutz kompakt und verständlich, Verlag Vieweg und Teubner, 2. Auflage 2010 Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, Oldenbourg Verlag, 5. Auflage 2012 Sammelbände Schmidt/Weichert (Hrsg.), Datenschutz Grundlagen, Entwicklungen und Kontroversen, Datenschutzrecht FH Kiel 4

5 Kontakt Christian Prietz Vorlesungsfolien sonstige Informationen (Vorlesungsplan, Klausurtermin etc.) Datenschutzrecht FH Kiel 5

6 Kurzvorstellung ULD Aufsicht Beratung Bildung IT Labor Modellprojekte Gütesiegel Audit DATEN- SCHUTZ- AKADEMIE Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Datenschutzrecht FH Kiel 6

7 Was ist Datenschutz? Datenschutzrecht FH Kiel 7

8 Kleine Geschichte des Datenschutzes 1970er Jahre: Computer in Verwaltung und Wirtschaft 1970: Erstes allg. Datenschutzgesetz der Welt in Hessen 1977: Bundesdatenschutzgesetz 1978: Landesdatenschutzgesetz Schleswig-Holstein 1983: Volkszählungsurteil Recht auf informationelle Selbstbestimmung (RIS) 1991: 1. Novellierung des Bundesdatenschutzgesetzes 1995: Europäische Datenschutzrichtlinie 1995/46/EG 2001: 2. Novellierung des Bundesdatenschutzgesetzes 2008: Urteil zur Online-Durchsuchung Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GIVIS) 2008: Datenschutzskandale 2009: 3. Novellierung des Bundesdatenschutzgesetzes 2010: Urteil zur Vorratsdatenspeicherung 01/2012: Novelliertes LDSG SH in Kraft 01/2012: Vorschlag EU-KOM für Reform des EU-DS-Rechtsrahmens Seit 06/2013: Affäre um PRISM, Tempora und XKeyScore April 2014: Urteil des EuGH zur Richtlinie 2006/24/EG Mai 2015: Neueinführung einer Speicherpflicht (Umsetzung ausgesetzt, Klagen anhängig) April 2016: Reform des Europ. Datenschutzrechts: Datenschutzgrundverordnung + JI-Richtlinie Juli 2017: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU oder BDSG-Neu) Datenschutzrecht FH Kiel 8

9 Grundrechte Was sind Grundrechte? sind subjektive öffentliche Rechte mit Verfassungsrang sind im Grundgesetz in den Artikeln 1 19 geregelt binden Legislative, Exekutive und Judikative als unmittelbar geltendes Recht dürfen nur eingeschränkt werden, wenn dies durch ein Parlamentsgesetz legitimiert wird dürfen auch durch ein Parlamentsgesetz nicht beliebig eingeschränkt werden (Verhältnismäßigkeitsgrundsatz, keine Einzelfallgesetze, Zitiergebot, Wesensgehaltsgarantie, Bestimmtheitsgrundsatz etc.) Datenschutzrecht FH Kiel 9

10 Funktionen der Grundrechte Grundrechte Objektivrechtliche Funktion Subjektives Abwehrrecht des Bürgers gegen den Staat Schutzpflicht des Staates Mittelbare Drittwirkung der Grundrechte Effektive Verfahren zum Schutz der Grundrechte Datenschutzrecht FH Kiel 10

11 Grundrechtstypen, Verfassungsbeschwerde Zu unterscheiden sind insbesondere Freiheitsgrundrechte und Gleichheitsgrundrechte Hinsichtlich der Frage nach der Grundrechtsträgerschaft unterscheidet man Jedermannsgrundrechte und Deutschengrundrechte Die Verletzung eines Grundrechts kann vor dem Bundesverfassungsgericht (BVerfG) mit einer Verfassungsbeschwerde gerügt werden Datenschutzrecht FH Kiel 11

12 Grundrechtsprüfung Schutzbereich Sachlich Persönlich (Schutzgut) (Grundrechtsträger) Eingriff Zurechenbare Beeinträchtigung durch Hoheitsträger (Gesetz, Verwaltungsakt, Gerichtsurteil etc.) Verfassungsrechtliche Rechtfertigung Schranken = Bestimmt Einschränkbarkeit des Gesetzes Schranken-Schranken = Relativierung dieser Einschränkbarkeit, vom Gesetzgeber zu beachtende Grenzen Datenschutzrecht FH Kiel 12

13 Grundrecht auf informationelle Selbstbestimmung (RIS) Datenschutzrecht FH Kiel 13

14 Entstehungsgeschichte RIS 1982 beschlossen Bundestag und -rat das Volkszählungsgesetz 1983 : Durchführung einer umfassenden Volkszählung im April 1983 Gegen die geplante Volkszählung regte sich Widerstand in der Bevölkerung (Angst vor dem gläsernen Bürger ) Gegen das Volkszählungsgesetz wurden mehrere Verfassungsbeschwerden erhoben Bildquellen: Datenschutzrecht FH Kiel 14

15 Volkszählungsurteil des Bundesverfassungsgerichts vom RIS Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Datenschutzrecht FH Kiel 15

16 Volkszählungsurteil des Bundesverfassungsgerichts vom (2) RIS Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Verhinderung von Einschüchterungseffekten [ ] gibt es unter den Bedingungen der automatischen Datenverarbeitung kein "belangloses" Datum mehr. Datenschutzrecht FH Kiel 16

17 Schutzbereich RIS Sachlicher Schutzbereich Schutz vor unbefugter Verarbeitung personenbezogener Daten durch staatliche Stellen. Persönlicher Schutzbereich RIS schützt natürliche Personen (= lebende Menschen). Kein Schutz juristischer Personen durch das RIS (h.m.) Datenschutzrecht FH Kiel 17

18 Dogmatische Herleitung des RIS RIS RIS = spezielle Ausprägung des allg. Persönlichkeitsrechts des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG Artikel 1 Grundgesetz (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. [...] Artikel 2 Grundgesetz (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. [...] Datenschutzrecht FH Kiel 18

19 Eingriff RIS = Jede staatliche Maßnahme, die die Verfügungsbefugnis des Einzelnen über die Preisgabe und Verwendung seiner persönlichen Daten beeinträchtigt. Kein Eingriff liegt vor, wenn der Betroffene in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch staatliche Stellen eingewilligt hat. Datenschutzrecht FH Kiel 19

20 Verfassungsrechtliche Rechtfertigung RIS Verfassungsmäßige gesetzliche Grundlage, die im überwiegenden Allgemeininteresse erforderlich ist, dem Grundsatz der Normenklarheit entspricht, dem Verhältnismäßigkeitsgrundsatz entspricht, dem Zweckbindungsgrundsatz entspricht. Gesetzgeber muss organisatorische und verfahrensrechtliche Vorkehrungen treffen, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken. Datenschutzrecht FH Kiel 20

21 Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GIVIS) Datenschutzrecht FH Kiel 21

22 Entstehungsgeschichte GIVIS BGH im Januar 2007: Die Strafprozessordnung bietet keine Ermächtigungsgrundlage für eine heimliche Online- Durchsuchung informationstechnischer Systeme 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen Rechtsgrundlage für Online-Durchsuchung Dagegen: Einlegung von Verfassungsbeschwerden beim BVerfG Datenschutzrecht FH Kiel 22

23 GIVIS Urteil des Bundesverfassungsgerichts vom Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen ist verfassungswidrig. Das allgemeine Persönlichkeitsrecht umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Eine heimliche Online-Durchsuchung eines solchen Systems stellt einen Eingriff in dieses Grundrecht dar und ist nur unter engen Voraussetzungen zulässig. Datenschutzrecht FH Kiel 23

24 GIVIS Dogmatische Herleitung von GIVIS Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist wie das Grundrecht auf informationelle Selbstbestimmung eine Ausprägung des allgemeinen Persönlichkeitsrechts. GIVIS soll neuartigen Gefährdungen durch den technischen Fortschritt (hier: moderne Informationstechnik) begegnen und einen lückenlosen Persönlichkeitsschutz gewährleisten. Datenschutzrecht FH Kiel 24

25 Schutzbereich GIVIS Informationstechnisches System Systeme, die allein oder in technischen Vernetzungen personenbezogene Daten in einem Umfang und einer Vielfalt enthalten können, dass ein Zugriff einen Einblick in wesentliche Teile der Lebensgestaltung oder gar den Erhalt eines aussagekräftigen Persönlichkeitsbilds ermöglicht. Vertraulichkeit und Integrität Vertraulichkeit: Schutz vor Kenntnisnahme von Daten durch Dritte Integrität: Schutz vor Schäden auf dem Rechner und vor Manipulation von Daten Datenschutzrecht FH Kiel 25

26 GIVIS Eingriff = Zugriff auf ein informationstechnisches System einmaliger und punktueller Zugriff zwecks Anfertigung einer Kopie des Systems (Online-Durchsicht) oder Zugriff zwecks längerer Überwachung des informationstechnischen Systems (Online-Überwachung) Unterschiedliche Möglichkeiten der technischen Realisierung (Trojaner, Backdoors, Zero-Day-Exploit, Keylogger, etc.) Nur Schutz vor heimlicher oder aber auch vor (erzwungener) offener Infiltration eines informationstechnischen Systems? Datenschutzrecht FH Kiel 26

27 Verfassungsrechtliche Rechtfertigung GIVIS Gesetzesvorbehalt Gesetzeszweck: Gefahrenabwehr oder Strafverfolgung Bestimmtheit des Gesetzes Verhältnismäßigkeit Heimliche Infiltration eines informationstechnischen Systems nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Heimliche Infiltration ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Zur Infiltration ermächtigendes Gesetz muss Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung treffen. Datenschutzrecht FH Kiel 27

28 GIVIS Kernbereich privater Lebensgestaltung Bei heimlicher Überwachung müssen gesetzliche Vorkehrungen zum Schutz des aus Art. 1 Abs. 1 GG abgeleiteten Kernbereichs privater Lebensgestaltung getroffen werden. Begriff des Kernbereichs: Möglichkeit, ohne Angst vor staatlicher Überwachung innere Vorgänge (z. B. Gefühle, Überlegungen, Ansichten) höchstpersönlicher Art zum Ausdruck zu bringen Datenschutzrecht FH Kiel 28

29 GIVIS Kernbereich privater Lebensgestaltung Kernbereich = nicht überschreitbare Grenze, die in der Menschenwürde des Artikels 1 Abs. 1 GG wurzelt Zweistufiger Kernbereichsschutz 1. Stufe (Erhebungsphase): Erhebung von Kernbereichsdaten ist möglichst zu vermeiden 2. Stufe: (Auswertungsphase) Falls doch: Erhobene Daten mit Kernbereichsbezug müssen unverzüglich gelöscht werden. Ihre Weitergabe und Verwertung ist auszuschließen. Datenschutzrecht FH Kiel 29

30 Vielen Dank für Ihre Aufmerksamkeit! Noch Fragen? Vorlesungsfolien bald zu finden unter: Datenschutzrecht FH Kiel 30