Datenschutz und Datensicherheit Datenschutz bei internationalen Sachverhalten & Informationszugangsrecht 25. Juni 2014 Harald Zwingelberg
Datenschutz bei Internationalen Sachverhalten Harald Zwingelberg, ULD 2
Grundlagen: Richtlinie 95/46/EG Datenschutzrichtlinie Rechtsgrundlagen Datenschutz Richtlinie 2002/58/EG Datenschutzrichtlinie für elektronische Kommunikation Ziele Wahrung der Privatsphäre: Schutz der natürlichen Person Funktionieren Binnenmarkt: Ermöglichung des freien Verkehrs mit personenbezogenen Daten Im Entstehen: Grundverordnung zum Datenschutz. Durch Neuwahl des EU Parlaments derzeit auf Eis. Könnte wesentliche Verbesserungen bringen aber beeinflusst durch sehr aktives Lobbying der Wirtschaft Harald Zwingelberg, ULD 3
Wann gilt das BDSG?: Anwendungsbereich BDSG Bei Datenerhebung /-verarbeitung durch verantwortliche Stellen mit Sitz in Deutschland Bei Datenerhebung /-verarbeitung im Inland durch Stellen mit Sitz außerhalb EU und EWR (Drittstaat), 1 (5) BDSG Wann gilt das BDSG nicht? Bei Datenerhebung /-verarbeitung im Inland durch Stellen mit Sitz in der EU oder EWR, 1 (5) BDSG (es sei denn, es besteht eine Niederlassung in Deutschland) Ziel freier Waren- und Dienstleistungsverkehr in der EU. Vereinheitlichung soll Datenschutz als Barriere beseitigen Harald Zwingelberg, ULD 4
Anwendungsbereich BDSG Verantwortliche Stelle Sitz im Inland belegen (auch Niederlassung) Sitz innerhalb der EU oder EWR belegen Sitz außerhalb der EU oder EWR belegen Erhebt, verarbeitet, nutzt pb Daten im Inland (D) BDSG ( 1 Abs. 2; 1 Abs. 5 S. 1 2. HS) Nationales DatenschutzG des Sitzstaats BDSG ( 1 Abs. 5 S. 2) Erhebt, verarbeitet, nutzt pb Daten im Ausland BDSG s.o. Nationales DatenschutzG des Sitzstaats Ohne EU-Bezug: Nationales DatenschutzG des Sitzstaats Harald Zwingelberg, ULD 5
Datenübermittlung In 4b BDSG: Übermittlung personenbezogener Daten in EU oder EWR und in Drittstaaten In 4c BDSG: Ausnahmen Erlaubnisnormen zur Übermittlung wenn ein angemessenes Datenschutzniveau nicht gewährleistet ist (u.a. Einwilligung, Vertragserfüllung, Übermittlung ist lebenswichtig für den Betroffenen) Harald Zwingelberg, ULD 6
Datentransfer innerhalb der EU oder EWR Geregelt in: 4b Abs. 1 BDSG => es gelten dieselben Regeln und Anforderungen wie im Inland Es gelten auch für Übermittlung innerhalb von Konzernen die 28 bis 30 BDSG Noch einmal: Es gibt kein Konzernprivileg im BDSG oder der Richtlinie! Anforderungen wie an eine Datenübermittlung im Inland bezweckt die Harmonisierung des Datenschutz-Standards Harald Zwingelberg, ULD 7
Geregelt in: 4b Abs. 2, Abs. 3 BDSG Datentransfer in Drittstaaten I Zulässig wenn Rechtsgrundlage besteht ( 28-30 und 15 (1) und 16 (1)) und angemessenes Datenschutzniveau besteht oder eine Ausnahme nach 4c greift und kein schutzwürdiges Interesse des Betroffenen entgegensteht, 4b II 2 Schutzwürdiges Interesse an Ausschluss der Übermittlung? insbesondere, wenn im Drittstaat kein angemessenes Datenschutzniveau gemäß 4b III besteht (heranzuziehen: Kommissionsentscheidung oder Genehmigung Aufsichtsbehörde 4c (2)) Harald Zwingelberg, ULD 8
4b Abs. 3 BDSG www.datenschutzzentrum.de Berücksichtigung aller Umstände, wie Art der Daten Zweckbestimmung Dauer der Verarbeitung Herkunfts- und Endbestimmungsland Standesregeln für Empfänger Sicherheitsmaßnahmen Datentransfer in Drittstaaten II Angemessenheit Schutzniveau Zugriffsbefugnisse im Empfangsstaat (!?) Gewährleistung der Betroffenenrechte Harald Zwingelberg, ULD 9
Datentransfer in Drittstaaten III Angemessenheit Schutzniveau Rat und Europäisches Parlament haben die Kommission ermächtigt, auf der Grundlage von Artikel 25(6) der Richtlinie 95/46/EG zu entscheiden, ob ein Drittstaat aufgrund von internen Rechtsvorschriften oder eingegangenen internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet Artikel 29 Datenschutz Gruppe (Konferenz aller nationaler Datenschutzbeauftragter in der EU) nimmt Stellung Harald Zwingelberg, ULD 10
Datentransfer in Drittstaaten IV Angemessenheit Schutzniveau Kommission: angemessener Schutz für personenbezogene Daten u.a. in der Schweiz Kanada Argentinien Guernsey, Jersey, Insel Man (?) USA: bei der Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des sicheren Hafens safe harbour rules. Aber sehr problematisch mangels Durchsetzung durch die FTC in den USA. Aufsichtsbehörden sprechen safe harbour zunehmend die Gleichwertigkeit ab. Harald Zwingelberg, ULD 11
Informationszugangsrecht Harald Zwingelberg, ULD 12
Geschichte / Entstehung 2000 Informationsfreiheitsgesetz (IFG) Schleswig-Holstein 2007 Umweltinformationsgesetz S-H (UIG) zwecks Umsetzung einer EU-Richtlinie 19. Januar 2012 Inkrafttreten des Informationszugangsgesetzes des Landes Schleswig- Holstein. Das IZG löst UIG und IFG ab Harald Zwingelberg, ULD 13
Ziel: www.datenschutzzentrum.de Übersicht Ziel und Mittel des Gesetzes: Transparenz der Verwaltungsarbeit (Nur die Exekutive ist Adressat, Ausschluss für Rechtsprechung und gesetzgebende Gewalt im IZG-SH) Mitwirkungsmöglichkeiten für den Einzelnen Stärkere Akzeptanz der Verwaltungsentscheidungen Umsetzung: Freier Zugang zu den bei einer Behörde vorhandenen Informationen Verbreitung dieser Informationen voraussetzungsloser Anspruch Harald Zwingelberg, ULD 14
Verhältnis zum Datenschutz: Beide Rechte resultieren aus dem Recht auf informationelle Selbstbestimmung Es besteht ein Spannungsverhältnis, welches durch das IZG aufgelöst wird Aber auch gegenseitige Bedingung, da das Recht auf informationelle Selbstbestimmung nur dann hinreichend ausgeübt werden kann, wenn ausreichend Informationen vorliegen, vergl. auch 34 BDSG. Harald Zwingelberg, ULD 15
1 Zweck des Gesetzes, Anwendungsbereich (1) Zweck dieses Gesetzes ist es, den rechtlichen Rahmen für den freien Zugang zu Informationen bei informationspflichtigen Stellen sowie für die Verbreitung dieser Informationen zu schaffen. (2) Dieses Gesetz gilt für den Zugang zu Informationen, über die die in 2 Abs. 3 bestimmten informationspflichtigen Stellen verfügen. Anwendungsbereich: alle Informationen Bei informationspflichtigen Stellen Auch Verbreitung ist vom Zweck umfasst Allgemeines Amtsgeheimnis ist damit abgeschafft Harald Zwingelberg, ULD 16
Ablauf eines IZG Antrags- und Verfahrens Anspruch, 3 Antragstellung, 4 Verfahren und Fristen, 5 Ablehnung des Antrags, 1 6, 9, 10 Rechtsschutz, 7, 13 Terminologie, 2 wird an geeigneter Stelle eingeführt 1 steht für Plural Paragraphen Harald Zwingelberg, ULD 17
3 IZG-SH Zugangsanspruch, 3 IZG Jede natürliche oder juristische Person hat ein Recht auf freien Zugang zu den Informationen, über die eine informationspflichtige Stelle verfügt. Rechte auf Zugang zu Informationen, die andere Gesetze einräumen, bleiben unberührt. Es besteht ein allgemeines Informationszugangsrecht Es dient der Ausübung demokratischer Partizipation und Kontrolle des Verwaltungshandelns und ist daher Voraussetzungslos Nicht beschränkt auf bestimmte Antragsteller Für natürliche und juristische Personen Öffentliche Stellen als Berechtigte ausgeschlossen, aber Amtshilfe möglich Harald Zwingelberg, ULD 18
3 IZG-SH Zugangsanspruch, 3 IZG Jede natürliche oder juristische Person hat ein Recht auf freien Zugang zu den Informationen, über die eine informationspflichtige Stelle verfügt. Rechte auf Zugang zu Informationen, die andere Gesetze einräumen, bleiben unberührt. Die Behörde muss über die Information verfügen, 2 V IZG-SH Kein Beiziehen, Beschaffen oder Aufarbeiten der Informationen erforderlich, wohl aber das Suchen in eigenen Beständen Keine Pflicht, inhaltliche Richtigkeit zu prüfen Soweit Dritte für die Stelle Daten bereithält, müssen diese herbeigeschafft werden, z.b. wenn Daten für Kontrollbehörde vorgehalten werden Harald Zwingelberg, ULD 19
Zugangsanspruch, 3 IZG IZG ist Mindestschutz Sonstige Informationsrechte gelten daneben und sind teils weitergehender, teils ohne Beschränkungen, haben dann aber auch ggf. besondere Anforderungen 34 BDSG 88 LVwG 147 StPO 406e StPO 299 ZPO 49 OWiG nur für Betroffene nur für Beteiligte soweit Rechtsvorschriften das vorsehen oder nach Ermessen der Behörde Beschuldigte im Strafverfahren Opfer von Straftaten Parteien im Zivilprozess Betroffene im Ordnungswidrigkeitenverfahren Harald Zwingelberg, ULD 20
Antragstellung, 4 IZG Antrag Keine Form, aber soll schriftlich gestellt werden Antrag muss bestimmt genug sein, andernfalls Rückfrage der Behörde Keine Begründung nötig, aber ggf. sinnvoll für Beratung durch Behörde Anspruchsgegner (informationspflichtige Stellen) Behörden des Landes, Kreise, Ämter sonstige jur. Personen des öff. Rechts Personen des priv. Rechts, soweit sie Aufgaben der öff. Verwaltung erledigen Bei Umweltinformationen alle Stellen, die Aufgaben der Umwelt wahrnehmen und der Kontrolle des Landes unterliegen Harald Zwingelberg, ULD 21
Verfahren, 5 IZG Abs. 1 - Ausgestaltung: Wahlrecht Erteilung einer Auskunft oder Zugang zu den Informationen Kopien zulässig Verweis auf öffentliche Quellen zulässig Open Data Auskunftserteilung mündlich, schriftlich oder durch Einsicht Abs. 2: First von einem Montag Frist kann mit Begründung auf zwei Monate verlängert werden Harald Zwingelberg, ULD 22
Verfahren, 5 IZG Sachverhalt Eine Behörde erstellt einen Bescheid und beruft sich dabei auf eine Gerichtsentscheidung unter Bezug auf Gericht, Datum und Aktenzeichen. Die Entscheidung ist nicht in den einschlägigen größeren Datenbanken enthalten. Der Betroffene bittet mit Hinweis auf das IZG bei der Behörde um eine Kopie des Urteils. Diese verweist auf das Gericht, bei dem man eine Urteilskopie gegen Kostenerstattung erhalten könne. Zu Recht? Harald Zwingelberg, ULD 23
Verfahren, 5 IZG Sachverhalt Eine Behörde erstellt einen Bescheid und beruft sich dabei auf eine Gerichtsentscheidung unter Bezug auf Gericht, Datum und Aktenzeichen. Die Entscheidung ist nicht in den einschlägigen größeren Datenbanken enthalten. Der Betroffene bittet mit Hinweis auf das IZG bei der Behörde um eine Kopie des Urteils. Diese verweist auf das Gericht, bei dem man eine Urteilskopie gegen Kostenerstattung erhalten könne. Zu Recht? Urteil wird der Behörde vorliegen (andernfalls wäre es ja ein Blindzitat) Verweis auf das Gericht, dass die Akten auch hat, ist nach IZG nicht gestattet, vergl. 4 Abs. 3 IZG Behörde muss Urteil innerhalb der Fristen zugänglich machen oder Bescheid erstellen, dass ihr Urteil nicht vorliegt Harald Zwingelberg, ULD 24
Ablehnung: Ablehnung des Antrags, 6, 9, 10 Verwaltungsakt Frist von einem Monat beachten Begründung der Ablehnung erforderlich Widerspruchsbelehrung Schriftlich zu erteilen, wenn ASt. dies wünscht Trennung der Unterlagen, die nach 9 oder 10 nicht zugänglich gemacht werden können Anonymisierung von Unterlagen Schwärzen / Abdecken von vertraulichen Inhalten Eingeschränkte Vorlage Harald Zwingelberg, ULD 25
Ablehnung des Antrags, 6, 9, 10 9 IZG-SH entgegenstehende öffentliche Belange Abwägung erforderlich wenn das Bekanntwerden der Informationen nachteilige Auswirkungen auf die aufgeführten öffentlichen Belange hätten und das öffentliche Interesse an der Bekanntgabe nicht überwiegt Daher: kein möglicher Schaden erforderlich Relevant vor allem 9 I Nr. 3 Vertraulichkeit von Beratungen (Schutz der Beratung und des Entscheidungsprozesses, In der Behörde muss mal laut gedacht werden können ) Aber Abwägung mit öffentlichem Interesse Nach Abschluss des Verfahrens oder der Entscheidung sind die Informationen öffentlich zu machen. Das Ende von Auslegungsfristen z.b. bei B-Plänen schließt späteren Zugang via IZG nicht aus Harald Zwingelberg, ULD 26
Ablehnung des Antrags, 6, 9, 10 10 IZG-SH entgegenstehende private Belange Umfassender Schutz privater Belange Personenbezogene Daten Rechte am geistigen Eigentum Betriebs- und Geschäftsgeheimnisse Beeinträchtigung eines freiwilligen Informanden sofern nicht öffentliche Interessen überwiegen (Abwägung) Hier erfolgt Abwägung zwischen Informationsfreiheit und Datenschutz Betroffene sind vor Entscheidung anzuhören dabei sollte auch um Einwilligung ersucht werden. Wird Einwilligung erteilt, entfällt der Ausschlussgrund Bei Betriebs- und Geschäftsgeheimnissen haben Betroffene der Behörde im Einzelnen verständlich darzulegen, warum ein Geschäftsgeheimnis vorliegt Harald Zwingelberg, ULD 27
Rechtsschutz, 7, 13 Ablehnender Bescheid muss Rechtsschutzmöglichkeiten nennen, 6 IV Bei Fehlen oder falscher Angabe wird Frist für Widerspruch von 1 Monat auf 1 Jahr verlängert Widerspruchsverfahren erforderlich bei Behörden, 7 II IZG-SH Überprüfungsverfahren bei privaten Stellen, 7, III, IV IZG-SH Danach Klage zum Verwaltungsgericht möglich Anrufung des Landesbeauftragten für den Datenschutz, 13 IZG-SH Bei Ablehnung oder unzulässiger Einschränkung des Anspruchs Behörden werden gemäß Aufgaben des ULD auch zum IZG beraten (!) Anrufung des ULD ändert nicht Fristen für Widerspruch / Klage Harald Zwingelberg, ULD 28
Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Harald Zwingelberg hzwingelberg@datenschutzzentrum.de www.datenschutzzentrum.de 0431/988-1284