Aktuelle Entwicklungen im Datenschutzrecht Berlin, 14. November 2013 Dr. Annette Demmel Matei Ujica, LL.M. 37 39 Offices in in 18 19 Countries
Wer wir sind Dr. Annette Demmel Matei Ujica, LL.M. 2
und wo wir sind Wir sitzen hier und schauen auf eine der größten Baustellen in Berlin Unter den Linden, U-Bahnlinie 55 3
Geplante EU-Datenschutzreform Ursprungsentwurf der Kommission vom 25.01.2012, vom Parlament geändert am 21.10.2013 EU-Grundverordnung wird in allen Mitgliedsstaaten unmittelbar anwendbar sein Inkrafttreten offen, voraussichtlich noch 2014 Ziel: Anpassung des EU- Datenschutzes an das Internetzeitalter 4 Betroffen: Alle Bürger und Unternehmen sowie öffentliche Stellen Quelle: Europäische Kommission, Eurobarometer 74.3, Ergebnisse für Deutschland, Einstellungen zum Datenschutz und elektronischer Identität in der Europäischen Union
Anwendungsbereich Inhaltlich: Erfasst ist jede automatische Verarbeitung personenbezogener Daten Speicherung in Ablagesystemen Persönlich: Anwendbar auf den für die Verarbeitung Verantwortlichen (wer über die Zwecke, Bedingungen und Mittel der Verarbeitung entscheidet) Anwendbar auf Auftragsverarbeiter (wer die Daten im Auftrag des Verantwortlichen bearbeitet) Räumlich: Verantwortliche Stellen innerhalb der EU, unabhängig davon, wo die Daten verarbeitet werden Verantwortliche Stellen außerhalb der EU, vorausgesetzt dass der Betroffene in der EU ansässig ist und die Verarbeitung dazu dient, ihm in der EU Waren und Dienstleistungen anzubieten oder sein Verhalten zu beobachten. 5
Vollständige Harmonisierung? Gesundheitsdaten Bereichsausnahmen vorgesehen Beschäftigungsverhältnis Verarbeitung durch Behörden andere Gründe des öffentlichen Interesses 6
Zulässige Datenverarbeitung Die Verarbeitung personenbezogener Daten ist zulässig soweit erforderlich für die Erfüllung eines Vertrages mit dem Betroffenen; zur Erfüllung einer gesetzlichen Verpflichtung; den Schutz lebenswichtiger Interessen des Betroffenen; die Wahrnehmung einer öffentlichen Aufgabe; die Wahrung berechtigter Interessen des Verantwortlichen, sofern die Interessen oder Grundrechte des Betroffenen nicht überwiegen. Verarbeitung besonderer personenbezogener Daten grundsätzlich unzulässig. Ausnahmen: Beschäftigungsverhältnis Durchführung eines Vertrages mit dem Betroffenen 7 Einwilligung?.
Einwilligung 8 Quelle: Europäische Kommission, Eurobarometer 74.3, Ergebnisse für Deutschland, Einstellungen zum Datenschutz und elektronischer Identität in der Europäischen Union
Einwilligung Datenverarbeitung kann im Grundsatz auf Einwilligung gestützt werden Ausnahmen o Einwilligung im Beschäftigungsverhältnis nur dann wirksam, wenn freiwillig o andere EU oder nationale Vorschriften können Einwilligung ausschließen Beweislast liebt bei verantwortlicher Stelle Wenn die Einwilligung schriftlich erfolgt, muss sie äußerlich erkennbar vom übrigen Text getrennt werden Text: blabla blabla blabla blabla blabla blabla blabla blabla blabla blabla blabla blabla blabla blabla blabla Einwilligung: Ich willige ein, dass meine personenbezogenen Daten.. 9
Pflichten Privacy by Design: Es sind technische Verfahren zu nutzen, die den Betroffenen den größtmöglichen Schutz bieten z. B. datenschutzfreundliche Voreinstellungen für soziale Netzwerke Dokumentation ersetzt die allgemeinen Meldepflichten über Datenverarbeitung an die Behörden; findet keine Anwendung auf Unternehmen, die pro Jahr Daten von nicht mehr als 5.000 Betroffenen verarbeiten! Kinder Einhaltung von Datenschutzstandards Meldung von Datenschutzverstößen an die Behörden und die Betroffenen Datenschutz Risikoanlayse bestimmter Tätigkeiten Bestellung eines betrieblichen Datenschutzbeauftragten wenn in einem Jahr Daten von mehr als 5.000 Betroffenen verarbeitet werden 10
Rechte des Betroffenen 11 Quelle: Europäische Kommission, Eurobarometer 74.3, Ergebnisse für Deutschland, Einstellungen zum Datenschutz und elektronischer Identität in der Europäischen Union
Rechte des Betroffenen Recht auf Vergessen- Werden Betroffener kann die Löschung seiner Daten und Unterlassung weiterer Verbreitung verlangen Recht auf Datenübertragbarkeit Recht, von den Verantwortlichen eine Kopie der verarbeiteten Daten in gängigem Format zu verlangen. Widerspruchsrecht 12
Sanktionen Ursprüngliche Forderung: Bußgeld von bis zu EUR 1 Mio oder 2 % des jährlichen weltweiten Umsatzes für schwerwiegende Verletzungen neuer Entwurf sieht höhere Bußen von bis zu EUR 100 Mio. und 5 % des jährlichen weltweiten Umsatzes vor 13
PRISM & Co. Der US-Geheimdienst NSA soll nach einem Bericht der "Washington Post" seit 2008 jedes Jahr tausendfach Datenschutzregeln gebrochen oder seine Kompetenzen überschritten haben. Das berichtet das Blatt unter Berufung auf eine interne Untersuchung der NSA und andere streng geheime Dokumente. Diese habe die Zeitung im Sommer von dem früheren NSA-Mitarbeiter Edward Snowden bekommen. 14 Quelle: Spiegel Online
PRISM & Co. Pressemitteilung der deutschen Datenschutzbehörden vom 24.7.2013: vorerst keine neuen Genehmigungen für Datenübermittlungen in die USA, insbesondere für bestimmte Cloud-Dienste Exkurs: Wie funktioniert der US-Transfer nach deutschem Recht? Work arounds? Überprüfung angekündigt, ob alle Übermittlungen auf der Grundlage von Safe Harbor und den EU-Standardvertragsklauseln auszusetzen sind (Abschluss für Ende 2013 erwartet) 15
Exkurs: Wie funktioniert Datentransfer in andere Staaten? Zweistufige Prüfung: 1. Stufe: Datenübermittlung von einer Gesellschaft zu einer anderen muss durch besondere Interessen gerechtfertigt sein, Übermittlungsinteresse muss stärker sein als das Recht der Betroffenen am Ausschluss der Übermittlung 2. Stufe: angemessenes Schutzniveau im Empfängerland a) gegeben in der EU, dem EWR (Norwegen, Liechtenstein, Island) b) gegeben in Kanada, der Schweiz, Argentinien, Israel, Guernsey, Andorra, Färöer Inseln, Australien, Isle of Man, Jersey, Uruguay, Neuseeland c) gegeben bei Safe-Harbor-Zertifizierung in den USA zuzüglich diverser, regelmäßiger Bestätigungen d) gegeben bei Abschluss von EU-Standardvertragsklauseln e) gegeben bei Vereinbarung von Binding Corporate Rules (für gruppeninterne Transfers) Übermittlungen gemäß a) - d) sind nicht grundsätzlich nicht genehmigungspflichtig, wenn ein betrieblicher Datenschutzbeauftragter bestellt ist und die Datenverabeitung vorab geprüft und befürwortet hat 16
Exkurs: Safe Harbor aus deutscher Sicht Datenschutzbehörden fordern bereits seit 2010 die regelmäßige Überprüfung der Garantien des US-Importeurs durch deutsche Unternehmen PRISM hat die Skepsis der Behörden weiter erhöht Politiker fordern Neuverhandlung des Safe-Harbor Abkommens EU Kommission prüft derzeit ein Aussetzen des Abkommens 17
Cloud: Forderung der deutschen Behörden in 2011 Entschließung der 82. Konferenz am 28./29. September 2011: Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing Voraussetzung der Nutzung: die Pflichten als verantwortliche Stelle müssen weiterhin erfüllt werden, die Umsetzung der Datenschutz- und IT-Sicherheitsanforderungen muss geprüft worden sein Welche Datenschutz- und IT-Sicherheitsanforderung sind zu prüfen? Vertraulichkeit Integrität Verfügbarkeit Kontrollierbarkeit Transparenz Beeinflussbarkeit der Datenverarbeitung. Forderung in der Entschließung: Die Leitung der Daten verarbeitende Stelle muss weiterhin in der Lage sein, die Verantwortung für die eigene Datenverarbeitung zu tragen. 18
Cloud: Umsetzung der Forderungen aus 2011 Der Cloud-Nutzer sollte verlangen die Vorlage offener, transparenter und detaillierter Informationen über die technischen und organisatorischen Maßnahmen einschließlich der Sicherheitskonzeption und die rechtlichen Rahmenbedingungen. 19 den Abschluss transparenter, detaillierter und eindeutiger vertraglicher Regelungen, insbesondere zum Ort der Datenverarbeitung, zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität, zur Interoperabilität, zur Umsetzung der abgestimmten IT-Sicherheits- und Datenschutzmaßnahmen => aktuelle und aussagekräftige Nachweise (z.b. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen)
Cloud: Hilfe bei der Umsetzung Papier: Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Version 1.0 Stand 26.09.2011 http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf 20
Cloud: Erlaubt, geduldet oder unerwünscht? 21 Im Prinzip erlaubt, wenn anonymisierte Daten durch die Cloud nicht reidentifizierbar werden, weil verschiedene Beteiligte über Zusatzwissen verfügen die Einschaltung weiterer Dienstleister vertraglich klar geregelt ist und der Cloud-Nutzer seinen Verpflichtungen als verantwortliche Stelle jederzeit nachkommen kann, insbesondere seine Pflichten zur Löschung, Sperrung und Berichtigung erfüllen kann Auskunftsansprüche der Betroffenen erfüllen kann Zusätzlich: Rechtsgrundlage für die Übermittlung in Drittstaaten Unklar: Verarbeitung sensibler Daten in der Cloud in Drittstaaten erlaubt?
Cloud: Erlaubt, geduldet oder unerwünscht? Auszug aus der Microsoft Datenschutzrichtlinie für Office 365: Änderungen dieser Datenschutzbestimmungen Wir werden diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen an den Diensten [ ] Rechnung zu tragen. [ ] Bei wesentlichen Änderungen an [ ] der Art und Weise, wie Microsoft Ihre Informationen verwendet, benachrichtigen wir Sie darüber [ ] Wir empfehlen Ihnen, diese Datenschutzbestimmungen in regelmäßigen Abständen zu überprüfen, um stets über den Schutz Ihrer Informationen durch Microsoft informiert zu bleiben. Quelle: http://www.microsoft.com/online/legal/v2/?docid=43&langid=de-de (Stand 12. November 2013) 22
Cloud: Erlaubt, geduldet oder unerwünscht? Auszug aus dem Oracle Agreemet für SaaS Ziffer 6.1: [ ] Sie haften für alle Aktivitäten, die unter Verwendung Ihres Benutzernamens, Passworts oder Benutzerkontos [ ] ausgeführt werden [ ]. Ziffer 9.3: Oracle kann Ihr Passwort, Ihr Konto und Ihren Zugriff auf die Services temporär sperren, wenn Sie oder Ihre Nutzer eine der Bestimmungen verletzen, die in den Ziffern [ ] 6 ( Nutzung der Services ) ] dieses Vertrags genannt sind, oder wenn Oracle nach seinem billigen Ermessen der Ansicht ist, dass die Services oder andere dazugehörige Komponenten einer unmittelbaren Gefährdung der Sicherheit oder Funktionstüchtigkeit ausgesetzt sind. [ ] Quelle: SaaS Online Cloud Services Agreement, http://www.oracle.com/us/corporate/contracts/saas-onlinecsa-de-1978862.pdf (Stand 12. November 2013) 23
Thank you! Unter den Linden, Baustelle U55 25