Personenbezogene Daten aus internationaler Perspektive (Definitionsmodell, datenschutzkulturelle Unterschiede in den USA) Berlin, 20.03.2012 RA Dr. Axel Spies, Washington, D.C. 1
"Even though we live in a world in which we share personal information more freely than in the past, we must reject the conclusion that privacy is an outmoded value. It has been at the heart of our democracy from its inception, and we need it now more than ever." Präsident Obama 23.02.2012 2
Privacy 4th Amendment Grundsätzliche Unterschiede Begriff unabh. Bundes - und Landerdatenschutzbehörden Verfassungsanker Datenschutz Verfassungsrang Recht auf inf. Selbstbestimmung IT- Grundrecht 1st Amendment commercial speech U.S. Supreme Court, Untergerichte Federal Trade Commission (Verbraucherschutz) Grenzen Richterrecht Durchsetzung Art. 5, 12, 14 GG Volkszählungsurteil - BVerfG, 1983 3
1. Deutschland 1.1. Deutsches Konzept des Datenschutzes Zielrichtung: Schutz personenbezogener Daten vor Missbrauch und Sicherung des Grundrechte - auch im privaten Rechtsverkehr Rechtsgrundlage: Recht auf informationelle Selbstbestimmung, Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (= IT Grundrecht) Bedeutung: Behörden und Unternehmen sind dafür verantwortlich sicherzustellen, dass jedes Individuum vor unrechtmäßiger Erhebung, Speicherung, Weitergabe oder Vernichtung von personenbezogenen Daten geschützt ist - auch und gerade im Privatrechtsverkehr 4
1.2. Deutsche Definition "Personenbezogene Daten" Definition: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), 3 Abs. 1 BDSG Direkt personenbezogene Daten sind unmittelbar mit einer Person verknüpft (Name, Adresse) anhand indirekter Daten lässt sich eine Person mittelbar identifizieren Beispiele: Matrikelnr., Kfz-Kennzeichen, IP-Adressen (str.!) keine Abstufung zwischen mehr oder weniger schützenwerten Daten 5
1.3. Sensible und nicht sensible Daten Aber: Unterscheidung zwischen sensiblen und nicht sensiblen Daten Sensible Daten: besonders schutzwürdige Daten ( besondere Arten ) natürlicher Personen werden durch spezielle Vorschriften geschützt - 3 Abs. 9 BDSG: Rassische und ethnische Herkunft Politische Meinung religiöse und philosophische Angehörigkeit Gewerkschaftszugehörigkeit Gesundheit Sexualleben Sensible personenbezogene Daten dürfen nur unter besonderen Bedingungen verwendet werden. Einzelne, für sich alleine nicht sensible biometrische Daten können durch Kombination sensibel werden Beispiel: Kombination aus Körpergewicht/Körpergröße kann Rückschlüsse auf die Gesundheit geben und daher sensibel sein 6
2. USA 2.1. Aspekte der U.S.-Privacy, Meilensteine (1) Selbstbestimmung (2) Persönliche Sicherheit (3) Cybersecurity (4) Kontrolle über persönliche Daten (5) Wahrung der Vertraulichkeit Meilensteine: 1974 : Privacy Act - Datenschutz für Bundesbehörden 1996: HIPPA (Health Insurance Portability and Accountability Act) - Gesundheitswesen 1999: Gramm-Leach Bliley Act - Finanzindustrie 2000: Children s Online Privacy Protection Act - Kinderschutz 7
2. USA 2.2.U.S.-Definition der personenbezogenen Daten ("Personally Identifiable Information") Das Datenschutzrecht der USA besitzt keine einheitliche und allgemeingültige Definition über personenbezogene Daten und Datenschutz: PRIVACY IST NICHT GLEICH DATENSCHUTZ USA: Vorwurf: Land ohne Datenschutz? viele Gesetze und Rechtsvorschriften, allerdings kein umfassendes Datenschutzgesetz, keine internen Datenschutzbeauftragten und keine vergleichbare Datenschutzbehörde Datenschutzrecht basiert auf dem "Recht auf Privacy", das dem Bürger Abwehrrechte verleiht Abwehransprüche bei der Verletzung des Datenschutzes bestimmen sich weitgehend nach US-Deliktsrecht (privacy torts) oder nach Spezialgesetzen US-Bundesstaaten haben im kommerziellen Bereich erhebliche Kompetenzen 8
2.3. Verschiedene Ansätze zur Bestimmung personenbezogener Daten in den USA Tautologischer Ansatz: Personenbezogene Daten kann jede Information sein, die eine Person identifiziert Definition anhand spezifischer Typen: bestimmt personenbezogene Daten anhand einer Liste mit bestimmten Typen von Daten sofern eine Information einer Kategorie dieser Liste zugeordnet werden kann, werden sie per se als personenbezogen betrachtet Beispiele: Soziaversicherungsnummer, Führerscheinnummer, Fingerabdrücke, Kreditkartennummer 9
2.4. "Federal Trade Commission" (FTC) Zuständigkeit: Fusionskontrolle und Verbraucherschutz Aufgabenbereich: Beschwerden seitens Konsumenten gegen Unternehmen Untersuchungen auf Anfrage des Kongresses Durchsetzung von Vorschriften im Wirtschaftsbereich FTC ist keine Datenschutzbehörde nach europäischer Auffassung ZWAR: ABER: Zuständigkeitsbereich weiter gefasst als der einer Wettbewerbsbehörde keine Zugehörigkeit zu einem Ministerium abhängig von Weisungen der Regierung, daher keine Unabhängigkeit i.s.d. EU-RL 95/46/EC Kompetenzen für Teil der Datenschutzaufgaben bei US- Handelskommission, der FCC und der FFIEC keine Spezialisierung auf Datenschutz, auch umfassende Aufgaben im Wettbewerb und Kundenschutz 10
2.5. Unterschiedliche Definitionen Kerry/McCain Bill (Commercial Privacy Bill of Rights) S-779: Nach diesem Entwurf sind folgende Kategorien personenbezogene Daten (PII), Sec. 3 (5) (A): Vor- und Nachname, Postadresse oder Wohnort, E-Mail-Adresse, Telefon- oder Mobilfunknummer, Sozialversicherungsnummer oder andere Identifikationsnummer, Kontonummer, Unique Identifier Information (UII), biometrische Daten einer Person Übergreifende Definition aller geschützten Daten, Sec. 3 (3) (A): PII, UII, sowie "alle Informationen, die gesammelt, genutzt oder gespeichert werden in Verbindung mit PII oder UII, und zwar in der Weise, dass sie vernünftigerweise von der die Information sammelnden Stelle benutzt werden kann, um eine spezifische Person zu identifizieren." Sensible Daten, Sec. 3 (6) (A) und (B): Gesundheitsdaten, Daten einer religiösen Mitgliedschaft und Informationen, deren Aufdeckung "ein erhebliches Risiko von ökonomischen oder physikalischen Schäden" mit sich bringt 11
2.6. The Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule (45 C.F.R. 160.103.) Individuell identifizierbare Gesundheitsinformationen sind Informationen unter allen Gesundheitsinformationen, einschließlich der demographischen Informationen, die von einer Person gesammelt werden, und die von einem Provider im Gesundheitswesen, einem Gesundheitsverzeichnis, einem Arbeitgeber oder einer Zentralkasse im Gesundheitssystem erzeugt oder erhalten werden, und die vergangene, gegenwärtige, oder zukünftige physikalische und mentale Gesundheit oder Zustand einer Person betreffen; die medizinische Versorgung einer Person; oder vergangene, gegenwärtige, oder zukünftige Zahlungen für die medizinische Versorgung einer Person; und die eine Person identifizieren; oder anhand ihrer hinreichenden Grundlage die Person mittels dieser Information identifiziert werden kann 12
2.7. Massachusetts Privacy Act (201 CMR 17.02) "Persönliche Informationen" sind der Vor- und Nachname oder die erste Initiale und der Nachname eines Bewohners von Massachusetts in Kombination mit einer oder mehreren der folgenden Daten, die diesen Bewohner betreffen: Sozialversicherungsnummer; Führerscheinnummer oder Identifikationsnummer; oder Bankkontonummer, oder Kredit- oder Debit-Karten, mit oder ohne Sicherheitscode, Zugangscode, persönlicher Identifikationsnummer oder Passwort, welches Zugang zu dem Bankkonto verschaffen würde; wobei "persönliche Informationen" keine Informationen beinhalten sollen, die von öffentlich erhältlichen Informationen stammen oder von lokalen, bundesstaatlichen oder staatlichen Dokumenten der Regierung, die rechtmäßig der Öffentlichkeit zugänglich gemacht wurden 13
2.8. Aktuelle Leitlinien in Justiz und Wirtschaft Internationaler Mobilfunkverband GSM Association Internationale Mobile Marketing Association (MMA): Mobile Application Privacy Policy Framework Einigung vor dem kalifornischem Berufungsgerichts ("Federal Court of Appeals") nicht bindende Leitlinien für mehr Transparenz der Verbraucher in der Anwendung von Apps und zur Kontrolle über die Verwendung ihrer Daten freiwillige Leitlinien sollen von App- Entwicklern beachtet werden Verbraucher sollen vor jeder Anwendung im Internet über die Art der gesammelten Daten informiert werden Einigung der sechs größten App- Store-Betreiber mit der kalifornischen Justiz betrifft insbesondere den Download von Apps Nutzer dieser Apps müssen vor Download informiert werden, welche Information über ihn gesammelt wird 14
2.9. Consumer Privacy Bill of Rights Leitlinien der US-Regierung vom 23.02.2012 - für UNTERNEHMEN Ansatz: Datenschutz durch Selbstregulierung soll Nutzern mehr Kontrolle über eigene Datensammlung durch Dritte ermöglichen zur Stärkung des Vertrauens in Datenschutz beim Gesetzgeber einen neuen Entwurf mit Datenschutzbestimmungen erzielen freiwilligen Verhaltensrichtlinien oder -kodizes zur Selbstregulierung Durchsetzung durch die FTC bzw. Safe Harbor bei Einhaltung Definition der "personenbezogenen Daten": alle Daten, einschließlich der Ansammlung von Daten, die mit einer spezifischen Person in Verbindung stehen persönliche Daten können Daten umfassen, die einen spezifischen Computer identifizieren oder andere Geräte, zum Beispiel einen Identifier eines Smart-Phones oder eines gemeinschaftlich genutzten Computers in einer Familie, welcher geeignet ist, ein Nutzerprofil zu erstellen 15
2.10.Grundprinzipien der "Consumer Bill of Rights" 1. Individuelle Kontrolle: Verbraucher haben das Recht zur Kontrolle über die Art der Daten und die Weise ihrer Erhebung durch die Unternehmen Bereitstellung einfach zu handhabender und zugänglicher Mechanismen durch Unternehmen Angebot geeigneter Mittel an den Verbraucher zur Erteilung ihrer Genehmigung zur Datenerhebung, sowie zum späteren Entziehen dieser Genehmigung 2. Transparenz: Verbraucher haben das Recht auf Zugang zu leicht verständlichen und zugänglichen Informationen über die Privatsphäre und Sicherheitspraktiken klare Beschreibung der Art, Weise und des Zeitpunktes der Datenerhebung Angabe des Zwecks bei Weitergabe der Daten an Dritte 16
2.10.Grundprinzipien der "Consumer Bill of Rights" 3. Kontextbezogene Erhebung: Verbraucher haben das Recht, dass Unternehmen personenbezogene Daten nur in dem Kontext erheben, benutzen und weitergeben, in dem der Verbraucher die Daten geliefert hat Anforderungen sind am Alter der Verbraucher und der Vertrautheit mit dem Unternehmen zu messen (höhere Anforderungen bei der Erhebung der Daten von Kindern und Jugendlichen) 4. Sicherheit: Verbraucher haben das Recht auf Sicherung und verantwortungsvollen Umgang ihrer personenbezogenen Daten Unternehmen sollen "angemessene Sicherheitsvorkehrungen bereithalten, um Risiken wie den plötzlichen Datenverlust, unerlaubten Zugriff, Verwendung, Zerstörung, Manipulation und deren unsachgemäße Verbreitung zu kontrollieren." Vorschlag des "Do-Not-Track"-Knopfes, der in Web-Browser und Mobilgeräte eingebaut werden soll, um die Lieferung von Anzeigen anhand des Surfverhaltens des jeweiligen Benutzers zu unterbinden. 17
2.10.Grundprinzipien der "Consumer Bill of Rights" 5. Zugang und Genauigkeit: Verbraucher haben das Recht, auf personenbezogene Daten in einem brauchbaren Format zuzugreifen und diese zu korrigieren, in einer Weise, die angemessen zur Vertraulichkeit der Daten ist und zum Risiko auf nachteilige Auswirkungen des Verbraucher, falls ihre Daten fehlerhaft verwendet werden bei der Bestimmung von Maßnahmen muss die Meinungs- und Pressefreiheit, sowie der Grad der Vertraulichkeit der Daten berücksichtigt werden 6. Gezielte Datenerhebung: Verbraucher haben das Recht auf angemessene Grenzen hinsichtlich der personenbezogenen Daten, die Unternehmen erheben und speichern Unternehmen sollen nur so viele personenbezogene Daten erheben, wie sie zu Zwecken unter Beachtung des Kontexts prinzipiell notwendig sind Daten, die nicht mehr benötigt werden, sollen gelöscht oder anonymisiert werden 18
2.10.Grundprinzipien der "Consumer Bill of Rights" 7. Rechenschaftspflicht: Verbraucher haben ein Recht, dass ihre personenbezogenen Daten von Unternehmen behandelt werden, die angemessene Maßnahmen treffen, die die Prinzipien der "Consumer Bill of Rights" wahren Unternehmen sollen gegenüber Vollzugsbehörden und Verbrauchern zur Rechenschaft über die Einhaltung der Prinzipien der "Consumer Bill of Rights" verpflichtet sein Unternehmen sollen Mitarbeiter entsprechend schulen "Unternehmen, die personenbezogene Daten an Dritte weitergeben, sollten zumindest gewährleisten, dass die Empfänger durchsetzbare vertragliche Verpflichtungen übernehmen, sich an diese Prinzipien zu halten, sofern nicht durch Gesetz etwas anderes bestimmt ist." 19
3. Konfliktfelder USA-EU (Beispiel Pretrial Discovery) US Anwälte Discovery Data Data Data Data 20
3. Konfliktfelder USA-EU (Beispiel Pretrial Discovery) blocking statutes discovery requests Data US Anwälte Data Data Data data protection laws 21
3. Konfliktfelder USA-EU (Beispiel Pretrial Discovery) discovery data Data US Anwälte Data Data Data Protective Orders Meet & Confer Filtern vor Ort Zustimmung Anonymisierung 22
4. Wertung und Ausblick -1- Teilweise Annäherung an die gültigen Datenschutzrichtlinien der EU Definition der Daten sehr allgemein und teilweise widersprüchlich Vorschläge der US-Regierung sind nicht konkret und detailliert Vermeidung des Begriffs "Zweckbindung" durch Verwendung des Terminus "gezielte Datenerhebung" (Focused Collection) Problem: unterschiedliche bundesstaatliche Regelungen im Datenschutz über Verstöße und Sanktionen verursachen komplizierte Kompetenzprobleme. Einflussnahme der US-Regierung und Industrie auf Debatte in Brüssel 23
3. Wertung und Ausblick - 2- Unwahrscheinliche Entwicklung: Umfassendes Bundesgesetz in naher Zukunft aufgrund gegebener Machtverhältnisse in den USA (Kerry/ McCain Bill) Transatlantisches Rahmenabkommen zum Datenschutz im Sicherheitsbereich zwischen den USA und Europa. Wahrscheinliche Entwicklung: Von der Industrie entwickelte Verhaltenskodizes, die von der FTC durchgesetzt werden: Durch die Beauftragung der NTIA ("National Telecommunications and Information Administration"), Notice of Inquiry: 29.02.12 Verhaltenskodizes, Kläger können die staatlichen Leitlinien in Datenschutzfällen vor Gericht vorbringen = Gefahr von Class Actions Mehr US-Lobbying, um Dominotherie zu vermeiden. Budget der FTC wird 2013 gekürzt. Kein gutes Zeichen! 24
Kontakt: Dr. Axel Spies, Rechtsanwalt Bingham McCutchen LLP 2020 K Street, N.W. Washington, D.C. 20006 a.spies@bingham.com Phone: 001.202.373.6145 Fax: 001.202.373.6001 25