Deutsche Inkasso-Akademie Workshop Datenschutz Wiesbaden, 18.11.2013 Der Entwurf für eine EU-Datenschutz-Grundverordnung Aktuelle Entwicklungen RA Prof. Dr. Ralf B. Abel 1
Hintergrund: Gesamtrevision des DS-Rechts in Europa Ziele Kommission will bisherige europäische DS-Richtlinie ersetzen: einheitliche(re) Handhabung innerhalb der EU Anpassung an technologischen Fortschritt besseres Datenschutzniveau 2
Hintergrund: Gesamtrevision des DS-Rechts in Europa Vereinheitlichung - Mittel: Europäische Verordnung = unmittelbar geltendes Recht in allen Mitgliedsstaaten - Keine nationale Umsetzung mehr! 3
Gesetzestechnik Auswirkung einer EU-Verordnung auf deutsches Recht Grundsatz: Anwendungsvorrang des EU-Rechts EU-Verordnung Deutsches Recht 4
Gesetzestechnik Auswirkung auf das Datenschutzrecht EU-DS- Grundverordnung BDSG KWG TKG SGB... 5
Gesamtrevision des Datenschutzes in Europa Umsetzungsprozess Kommissionsentwurf vorgelegt am 25. Januar 2012 Stellungnahme EP (LIBE-Ausschuß) 21. Oktober 2013 Stellungnahme des Rats (noch unklar 2015 Gesamtpaket?) Abstimmung EP - Rat Kommission (Trialog) (2014?) Neuwahl EP 2014 Inkrafttreten (2015... )??? 6
Inhaltliche Regelungen 7
Sanktionen Article 79 - LIBE 2a. To anyone who does not comply with the obligations laid down in this Regulation, the supervisory authority shall impose at least one of the following sanctions: a) a warning in writing in cases of first and non-intentional noncompliance; b) regular periodic data protection audits; c) a fine up to 100 000 000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater. 2b. If the controller or the processor is in possession of a valid "European Data Protection Seal" ( ), a fine pursuant to paragraph 2a(c) shall only be imposed in cases of intentional or negligent incompliance. 8
Sanktionen Article 79 - LIBE Administrative Sanktionen der Aufsichtsbehörden: mindestens a) Schriftliche Verwarnung (erstes Vorkommnis + fehlende Absicht) b) Periodisch zu wiederholende planmäßigeaudits; c) Bußgeld bis zu 100.000.000 EUR oder bis zu 5% des weltweiten Jahresumsatzes, je nachdem was größer ist 2b. Bei Verleihung eines "European Data Protection Seal" ( ), Geldbuße nur bei Vorsatz oder Fahrlässigkeit 9
Article 4 - LIBE Umfassende Definition personenbezogener Daten (2) 'personal data' means any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person; (2a) 'pseudonymous data' means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure nonattribution; 10
Rechtsgrundlagen für die Verarbeitung - Verbotsprinzip (Art. 6) Artikel 6 - Kommissionsentwurf Rechtmäßigkeit der Verarbeitung 1. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung... gegeben f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen... 11
Rechtsgrundlagen für die Verarbeitung - Verbotsprinzip (Art. 6) Article 6 Lawfulness of processing 1. Processing of personal data shall be lawful only if and to the extent that at least one of the following applies: (f) processing is necessary for the purposes of the legitimate interests pursued by the a controller or in case of disclosure, by the third party to whom the data is disclosed, and which meet the reasonable expectations of the data subject based on his or her relationship with the controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. 12
Article 6 - Recital Rechtsgrundlagen für die Verarbeitung - Verbotsprinzip (Art. 6) (39a) Provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, the prevention or limitation of damages on the side of the data controller should be presumed as carried out for the legitimate interest of the data controller or in case of disclosure, by the third party to whom the data is disclosed, and as meeting the reasonable expectations of the data subject based on his or her relationship with the controller. The same principle also applies to the enforcement of legal claims against a data subject, such as debt collection or civil damages and remedies. 13
Rechtsgrundlagen für die Verarbeitung: Einwilligung - Einwilligung ist vorrangig - geringere formale Voraussetzungen als BDSG aber: - keine Einwilligung bei erheblichem Ungleichgewicht 14
Einwilligung (1) - weniger als / ähnlich BDSG Artikel 7 - Kommissionsentwurf 1. Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat. 2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äußerlich erkennbar von dem anderen Sachverhalt getrennt werden. 3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 15
Einwilligung (2) - enger als BDSG Artikel 7 4. Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht. 16
Einwilligung Fassung LIBE-Ausschuss Artikel 7 4. Consent shall be purpose-limited and shall lose its validity when the purpose ceases to exist or as soon as the processing of personal data is no longer necessary for carrying out the purpose for which they were originally collected. The execution of a contract or the provision of a service shall not be made conditional on the consent to the processing of data that is not necessary for the execution of the contract or the provision of the service pursuant to Article 6(1), point (b). 17
Rechtsgrundlagen für die Verarbeitung: Gesetzliche Grundlage - Gesetzliche Grundlage nicht explizit erwähnt aber: - abschließende Zulässigkeitsvoraussetzungen in Art. 6, 5 und anderen Vorschriften 18
Einschränkungen für die Verwendung von Daten - Grundsatz (Art. 5 a) Personenbezogene Daten müssen auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden 19
Einschränkungen für die Verwendung von Daten - Zweckbindungsregelungen (Art. 5 b) Personal data must shall be: 5(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes (purpose limitation) 20
Einschränkungen für die Verwendung von Daten - Zweckbindungsregelungen (Art. 5 c) Personenbezogene Daten müssen dem Zweck angemessen sachlich relevant auf das für die Zwecke notwendige Mindestmaß beschränkt sein Sie dürfen nur verarbeitet werden, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können 21
Einschränkungen für die Verwendung von Daten - Zweckänderung (Art. 6 Abs. 4 - LIBE) Ist der Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten erhoben wurden, nicht vereinbar, muss auf die Verarbeitung mindestens einer der in Absatz 1 Buchstaben a bis e genannten Gründe zutreffen. Dies gilt insbesondere bei Änderungen von Geschäftsund allgemeinen Vertragsbedingungen. 22
Einschränkungen für die Verwendung von Daten - Widerspruchsrecht (Art.19 - LIBE) aus Gründen, die sich aus der besonderen Situation des Betroffenen ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten gem. Artikel 6 Abs. 1 Buchstaben d, e und f, sofern der für die Verarbeitung Verantwortliche nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die gegenüber den Interessen/Grundrechten/Grundfreiheiten des Betroffenen überwiegen. 23
Einschränkungen für die Verwendung von Daten - Widerspruchsrecht (Art.19 - LIBE) 2. Where the processing of personal data is processed for direct marketing purposes is based on points (d), (e) and (f) of Article 6(1), the data subject shall have at any time and without any further justification, the right to object free of charge in general or for any particular purpose to the processing of their personal data for such marketing. This right shall be explicitly offered to the data subject in an intelligible manner and shall be clearly distinguishable from other information. 24
Ansprüche auf Löschung (ex Recht, vergessen zu werden ) - Engere Löschungspflichten beim Verarbeiter als im BDSG, Art. 17 - Löschungspflicht bei Widerspruch faktisch ex tunc - Anweisung zur Löschung an Dritte - Verpflichtung zur Einführung von Löschungsroutinen 25
Ansprüche auf Löschung ( Recht, vergessen zu werden ) Löschroutinen (Art. 5 (e) - LIBE) Personal data shall be: (e) kept in a form which permits direct or indirect identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the data will be processed solely for historical, statistical or scientific research or for archive purposes ( ) and if a periodic review is carried out to assess the necessity to continue the storage, and if appropriate technical and organizational measures are put in place to limit access to the data only for these purposes (storage minimisation); 26
Umfassende Definition personenbezogener Daten - Uferlose Anwendbarkeit der GVO - Faktisch keine Anonymisierung möglich/ Pseudonymisierung kaum umsetzbar Konsequenz: Wegfall von Strukturdaten (Marketing, Analyse, Bonitätsprüfung, Erkenntnisgewinn, z.b. bei Planung, im Versicherungswesen, hinsichtlich Compliance-Anforderungen etc.) 27
Einschränkungen für die Verwendung von Daten - Einschränkung des Profiling (Art. 20) Grundsatz: Eine natürliche Person hat das Recht, nicht einer auf einer rein automatisierten Verarbeitung von Daten basierenden Maßnahme unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in maßgeblicher Weise beeinträchtigt und deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder in der Analyse beziehungsweise Voraussage etwa ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Situation, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens besteht. 28
Article 20 - Profiling - LIBE 1. Without prejudice to the provisions in Article 6 every natural person shall have the right to object to profiling in accordance with Article 19. The data subject shall be informed about the right to object to profiling in a highly visible manner. 5. Profiling which leads to measures producing legal effects concerning the data subject or does similarly significantly affect the interests, rights or freedoms of the concerned data subject shall not be based solely or predominantly on automated processing and shall include human assessment, including an explanation of the decision reached after such an assessment. The suitable measures to safeguard the data subject's legitimate interests shall include the right to obtain human assessment and an explanation of the decision reached after such assessment. 29
Bewertungs- und Genehmigungspflicht Vorabbewertung (Data Impact Assessment - Art. 33) Bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. 30
Bewertungs- und Genehmigungspflicht Vorabbewertung (Data Impact Assessment - Art. 33) Sie enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge eine Bewertung der Risiken geplante Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden. 31
Bewertungs- und Genehmigungspflicht Vorabbewertung (Data Impact Assessment - Art. 33) - LIBE Der für die Verarbeitung Verantwortliche holt die Meinung der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. 32
Bewertungs- und Genehmigungspflicht Vorabbewertung (Compliance Review - Art. 33a) - LIBE - Überprüfungspflicht spätestens alle 2 Jahre - Dokumentationspflicht 33
Bewertungs- und Genehmigungspflicht Genehmigungspflicht - Art. 34 - LIBE Zurateziehung der Aufsichtsbehörde oder des bdsb (Art. 34 Abs. 2), wenn - hohe konkrete Risiken festgestellt werden - die Aufsichtsbehörde/ der bdsb es für erforderlich hält Verbotsmöglichkeit durch Aufsichtsbehörde (Art. 34 Abs. 3, 46)! Einzelheiten zu konkreten Risiken durch Kommission 34
Datenschutzbeauftragter Datenschutzbeauftragter (Art. 35-37) - Bestellungspflicht (nur noch) - ab 5000 Betroffene pro Jahr - bei besonders sensiblen Verarbeitungen - Begrenzungsmöglichkeit der Bestellung auf - vier Jahre / Mitarbeiter oder - zwei Jahre / Externer (Art. 35 Abs.7) 35
Vielen Dank für Ihre Aufmerksamkeit! Prof. Dr. Ralf B. Abel Rechtsanwalt Externer Datenschutzbeauftragter Verbandsbeauftragter für den Datenschutz beim Bundesverband Deutscher Inkasso-Unternehmen Akkreditierter Sachverständiger (Recht) beim ULD Kiel ehem. Lehrstuhl für Öffentliches Recht, Informations- und Datenschutzrecht Fakultät Wirtschaftsrecht - FH Schmalkalden (em.) Kanzlei Prof. Abel Oktaviostr. 129, 22043 Hamburg prof.abel(at)t-online.de 36