Dipl. Informatiker Werner Hülsmann. Die Europäische Datenschutzgrundverordnung

Ähnliche Dokumente
Kritische Anmerkungen zur Volkszählung 2011

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Diplom Informatiker Werner Hülsmann: Kurzinfo Betriebliche/r Datenschutzbeauftragte/r Bestellung Stellung im Unternehmen Aufgaben Extern / Intern

Das Beispiel ELENA: Sichere Verschlüsselung ist möglich! Aber ist sie auch politisch gewollt?

Grundzüge des Datenschutzes

Einführung in die Datenerfassung und in den Datenschutz

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung

GDD Pariser Str Bonn Tel.:

Datenschutz und Privacy in der Cloud

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

IT-Sicherheit und Datenschutz im Cloud Computing

90. Konferenz der Datenschutzbeauftragten des Bundes und der Länder. Ergebnisprotokoll

(

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg

Vorschlag einer europäischen Datenschutzverordnung aus Sicht der Beschäftigten

Brauchen wir ein Arbeitnehmerdatenschutzgesetz. von Christoph Hupe

Grundlagen des Datenschutz

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz in Deutschland Beurteilung aus behördlicher Perspektive

Dr. Eva Souhrada-Kirchmayer. 27. Mai Status Quo

DATENSCHUTZ NEU? INFORMATION ZUR EUROPÄISCHEN DATENSCHUTZGRUNDVERORDNUNG

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen

Nutzung von Kundendaten

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes

Bayerisches Landesamt für Datenschutzaufsicht

Aktiver Datenschutz mit dem Bundesdatenschutzgesetz (BDSG)

Datenschutz-Agenda 2016 Peter Schaar Europäische Akademie für Informationsfreiheit und Datenschutz

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin

SAP/NT-Konferenz für Betriebs- und Personalräte

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Datenschutzunterweisung kompakt

Ein neuer EU- Datenschutzrahmen

Mit einem Fuß im Knast?!

Systematisches Scannen von WLAN-Datennetzen durch den Google-Konzern

Sie haben etwas Einmaliges zu vergeben: Ihr Vertrauen

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter

Direktmarketing und Datenschutz

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

Rechtsbehelfe im Datenschutz Die Rolle der Datenschutzbeauftragten

Internationaler Datenschutz / Europäischer Datenschutz - Schutzgefälle. IT-Anwaltskonferenz , Berlin RA Thomas Zerdick, LL.M.

NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT. Fachanwalt für Arbeitsrecht Christian Willert Berlin,

Datenverwendung und Datenweitergabe - was ist noch legal?

Der betriebliche Datenschutzbeauftragte

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Bericht und Antrag des Datenschutzausschusses

Die Hintergründe der EU-Datenschutzgrundverordnung und die Bedeutung für die Datenschutzbeauftragten in Deutschland

Konzepte der Selbstkontrolle der Industrie

Firmeninformation zum Datenschutz

Beschäftigtendatenschutz im Lichte der EU-Datenschutzreform. Christian Wachter #DNP September 2014

Guter Datenschutz schafft Vertrauen

Datenschutzbeauftragte

Europäischer Datenschutzbeauftragter Transparenz der EU-Verwaltung: Ihr Recht auf Zugang zu Dokumenten

HEUKING KÜHN LÜER WOJTEK Datenschutz Europa Was kommt auf die Schweiz zu?

Workshop 4: Europäische Datenschutzgrundverordnung - Konsequenzen für die Informationsverarbeitung im deutschen Gesundheitswesen

Datenschutz in der Bildung

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Privacy Respecting Incident Management - die Datenschutzsicht

Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Zur Kontrolle von Datenerhebung und -nutzung durch global agierende Soziale Netzwerke

Informationelle Fremdbestimmung durch große Internetanbieter

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Datenschutz: Quo Vadis?

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am in Hamburg-Harburg. Petra Schulze

BDSG - Interpretation

IT-Compliance und Datenschutz. 16. März 2007

Datenschutz in der betrieblichen Praxis

Der Entwurf zu einem Beschäftigtendatenschutz

Gesünder mit Apps und Co? Datenschutzrechtliche Anforderungen

Wie verhindern wir den gläsernen Kunden? Datenschutz beim Smart Metering

Datenschutz und Marketing Konflikt und Chance

Proseminar. Ethische Aspekte der Informationsverarbeitung. Thema 5:

Datenflut und Datenschutz - Rechtsfragen

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

Stellungnahme des Europäischen Datenschutzbeauftragten

Winfried Rau Tankstellen Consulting

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Gesetzliche Grundlagen des Datenschutzes

Datenschutz und Meinungsfreiheit Regulierung von Medieninhalten durch das BDSG?

EUpdate #4: Datenschutz

Die geplante EU-Datenschutzverordnung

Was kümmern mich meine Daten!? Generationenfrage? von Tim-Oliver Hinz und Natalie Ishchenko

1/ RISER Konferenz zum Europäischen Meldewesen am 10. / 11. Mai Neue EU-Datenschutzverordnung -

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der

Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen der Datenschutz-Richtlinie im Bereich von Justiz und Inneres

Webinar Betrieblicher Datenschutz

- Vertrauen durch Transparenz

Merkblatt zum Datenschutz

Secorvo. Partner und Unterstützer

Stellungnahme des FIfF e.v. zur Datenschutz-Grundverordnung

Datenschutz und Datensicherheit im Handwerksbetrieb

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN

Transkript:

Dipl. Informatiker Werner Hülsmann Die Europäische Datenschutzgrundverordnung () Werner Hülsmann 2015 Werner Hülsmann 1982 1988 Studium der Informatik an der TU Darmstadt Schwerpunkt Datenschutzrecht 1988 1991 Softwareentwickler bei der Telenorma GmbH, Frankfurt (Main) 1992 1999 Wissenschaftlicher Mitarbeiter und Referatsleiter Technik beim Landesbeauftragten für den Datenschutz der Freien Hansestadt Bremen 1999 2001 Datenschutz- und Technologieberatung bei ForBIT e.v. in Hamburg (Beratung von Betriebs- und Personalräten) Seit 1999 Inhaber der Firma IT-SEC-Consult.de - Datenschutz- und IT-Sicherheitsberatung jetzt Datenschutzconsulting.eu (www.d-s-c.info) 2001 2003 Projektmanager Dataprotection bei der Telegate AG (Martinsried) Seit 2004 Kooperationspartner des virtuellen Datenschutzbüros 2004 Gründung von Datenschutzwissen.de Organisation und Leitung von Datenschutzseminaren Seit 2004 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich/technisch) 1993 2009 Vorstandsmitglied im Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.v. - www.fiff.de Seit 03/2010 Mitglied des Beirats des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.v. 2003 2009 und seit 2104 Vorstandsmitglied der Deutschen Vereinigung für Datenschutz (DVD) e.v., Bonn - www.datenschutzverein.de Werner Hülsmann 2015 2 von 26

Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung Werner Hülsmann 2015 3 von 26 Wir wollen...... dass Informationstechnik im Dienst einer lebenswerten Welt steht. Deshalb warnen wir die Öffentlichkeit vor Entwicklungen in unserem Fachgebiet, die wir für schädlich halten; setzen wir möglichen Gefahren eigene Vorstellungen entgegen; kämpfen wir gegen den Einsatz der Informationstechnik zur Kontrolle und Überwachung; engagieren wir uns für eine Abrüstung der Informatik in militärischen Anwendungen; fördern wir die Entwicklung von ökologisch verträglichen Wirtschaftskreisläufen mit Hilfe von Informationstechnik;... Werner Hülsmann 2015 4 von 26

Wir wollen...... dass Informationstechnik im Dienst einer lebenswerten Welt steht. Deshalb... unterstützen wir die menschengerechte Gestaltung von Arbeitsprozessen; setzen wir uns bei Gestaltung und Nutzung der Informationstechnik für die Gleichberechtigung von Menschen mit Behinderungen ein; arbeiten wir gegen die Benachteiligung von Frauen in der Informatik; wehren wir uns gegen jegliche rassistische und sexistische Nutzung oder andere diskriminierende Nutzung der Informationstechnik; setzen wir der Vorherrschaft der Ökonomie eine humane und ökologische Orientierung entgegen. Werner Hülsmann 2015 5 von 26 Gegründet 1984 als Forum Informatiker für Frieden In den Folgejahren: Thematische Erweiterung und Umbenennung zu Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung Förderung des Fachgebietes Informatik und Gesellschaft in Forschung und Lehre Datenschutz ist für das FIfF ein wichtiges Thema etwa 700 engagierte Menschen aus Wissenschaft und Praxis Sitz in Bremen Werner Hülsmann 2015 6 von 26

Datenschutz - Wie alles begann 1977 1. Bundesdatenschutzgesetz (BDSG) 1983 Volkszählungsurteil des Bundesverfassungsgerichts - Recht auf informationelle Selbstbestimmung 1995 Verabschiedung der EG- Datenschutzrichtlinie (Richtlinie 95/46/EG), diese sollte bis 1998 in allen (damaligen) EU- Ländern umgesetzt werden 2001 Umsetzung in Deutschland Werner Hülsmann 2015 7 von 26 Datenschutz - das Problem in der EU Eine Richtlinie wie die Richtlinie 95/46/EG gilt nicht direkt, sondern muss erst noch von den EU-Ländern in nationales Recht umgesetzt werden Diese Umsetzung geschieht auf unterschiedliche Art und Weise Daher haben wir 27 nationale Datenschutzgesetze (und in Deutschland noch 16 Landesdatenschutzgesetze) mit unterschiedlichen Datenschutzniveau Werner Hülsmann 2015 8 von 26

Datenschutz - Unterschiedliches Niveau Ein Beispiel: In Deutschland ist die unverlangte Zusendung werblicher E-Mail nur ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb. Ein solcher Verstoß kann zwar von Mitbewerbern geahndet werden. Die Betroffenen selbst haben wenig Handhabe In Spanien ist ist die unverlangte Zusendung werblicher E-Mail ein Datenschutzverstoß. Da verhängt die spanische Aufsichtsbehörde auch schon mal ein Bußgeld im fünfstelligen Bereich Werner Hülsmann 2015 9 von 26 Datenschutz in der EU - Die Lösung? Im Januar 2012 veröffentlicht die EU- Kommission (nach entsprechenden Vorarbeiten) einen Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr - Datenschutzgrundverordnung Werner Hülsmann 2015 10 von 26

Datenschutz - durch Verordnung? Eine Verordnung hat für ihre Adressaten eine Direktwirkung Sie muss daher nicht mehr in nationales Recht umgesetzt werden Oft ist bei Verordnungen eine Anpassung nationalen Rechts erforderlich Durch eine würde in der EU einheitliches Datenschutzrecht auf einem einheitlichen Niveau bestehen Werner Hülsmann 2015 11 von 26 - Vorteile Einheitliches Datenschutzniveau in der gesamten EU Firmen können sich in der EU keine Datenschutzschlupflöcher mehr suchen (wie es derzeit Google und Facebook mit Irland vormachen) Die Umsetzung des Datenschutzes wird für in mehreren EU-Ländern tätigen Firmen einfacher, da überall das gleiche Recht gilt Die Betroffenen können sich darauf verlassen, dass im EU-Ausland das gleiche Datenschutzniveau besteht wie in ihrem Land Werner Hülsmann 2015 12 von 26

- Risiken Das durch die in allen 27 EU- Staaten verbindliche Datenschutzniveau könnte deutlich niedriger sein als das derzeitige Datenschutzniveau in Deutschland Die Institution des betrieblichen Datenschutzbeauftragten ist gefährdet Die wirksame Einwilligung als Voraussetzung für die werbliche Ansprache per E-Mail ist gefährdet Werner Hülsmann 2015 13 von 26 - Stand der Planung Bis zum Ministerrat am 15./16 Juni wird eine Einigung im Ministerrat angestrebt. Der letzte Stand der Verhandlungen im Rat findet sich hier: http://statewatch.org/news/2015/jun/eu-council-dp-reg-9398-15.pdf Bis Ende des Jahres: Abschluss des Trilogs (also der Verhandlungen zwischen Rat, Parlament und Kommission Konsolidierte Fassung mit vier Spalten (für Text der Kommission, des Parlaments, des Rates und Bemerkungen: PDF-Datei mit 630 Seiten (4,3 MB) https://extdsb.wordpress.com/2015/04/24/synopse-der-europaischen-datenschutzgrundverordnung-stand-marz- 2015/ Oder kürzer: http://wp.me/p12h24-qw Werner Hülsmann 2015 14 von 26

- Ein Beispiel Betriebliche Datenschutzbeauftragte oder keine betrieblichen Datenschutzbeauftragten Das ist hier die Frage! - vgl. Seite 375 im oben genannten 630-Seiten-Dokument EU-Kommission und EU-Parlament: Verbindliche Regelung in der Unterschiedliche Ausgestaltung der Verpflichtung EU-Rat Freiwillige Bestellung oder wo EU- oder nationales Recht dies vorsieht => ungleiches Niveau der Datenschutzkontrolle und Umsetzung je nach nationalem Recht Werner Hülsmann 2015 15 von 26 - Stellungnahme des FIfF Das FIfF unterstützt den vorgelegten Entwurf der EU-Kommission für eine Datenschutz- Grundverordnung zur Modernisierung des Datenschutzes vom 25. Januar 2012. Eine solche Initiative war überfällig! Wir begrüßen insbesondere den erweiterten Schutz der Bürgerinnen und Bürger der europäischen Union durch das Marktortprinzip, das Unternehmen, die ihre Dienste in der EU anbieten, dazu verpflichtet, sich bei der Verarbeitung von personenbezogenen Daten an die Regeln der Verordnung zu halten, Werner Hülsmann 2015 16 von 26

- Das FIfF begrüßt die Präzisierung des Einwilligungs-Begriffs, insbesondere die explizite und eindeutige Einwilligung sowie das Recht auf Widerruf und Widerspruch, die Stärkung von Datenschutz-Grundsätzen wie des Verbots mit Erlaubnisvorbehalt, der Zweckbindung, der Erforderlichkeit, der Datensparsamkeit, umfassenderen Informationsund Auskunftsrechten, Transparenzpflichten und besonderen Anforderungen an die Verarbeitung personenbezogener Daten von Kindern, Werner Hülsmann 2015 17 von 26 - Das FIfF begrüßt die Stärkung des Datenschutzes durch Technik und durch Datenschutz-freundliche Voreinstellungen, das Recht auf Datenübertragbarkeit, die Verpflichtung der für die Datenverarbeitung Verantwortlichen, sicherzustellen, dass die Bestimmungen der Verordnung umgesetzt werden, die Unabhängigkeit und die Stärkung der Befugnisse von Datenschutzbeauftragten. Werner Hülsmann 2015 18 von 26

Keine Ausnahme der Datenverarbeitung durch Institutionen der EU aus der Verordnung. Auch für sie sollte die Verordnung gelten. Ebenso fordern wir die Einbeziehung der Datenverarbeitung bei Polizei/Justiz in die Verordnung, statt diese von der Datenschutz-Folgenabschätzungen oder vom Grundsatz des eingebauten Datenschutzes (Privacy by Design) auszunehmen Die Beschränkung der Rolle der EU-Kommission im Rahmen des Konformitätsmechanismus (durch delegierte Rechtsakte und Durchführungsbestimmungen), durch den die Kommission als letzte Datenschutzinstanz installiert wird. Werner Hülsmann 2015 19 von 26 Gleichzeitig fordern wir den Erhalt spezialgesetzlicher Regelungen, deren Ausgestaltung aber etwa über nationalstaatliche Gesetze möglich bleiben muss. Beim Beschäftigtendatenschutz sehen wir die Aufgabe der Verordnung darin, einen Mindeststandard festzulegen, dessen Ausgestaltung aber etwa über Betriebsvereinbarungen (oder vergleichbare Instrumente in anderen EU-Staaten) möglich sein muss. Die erweiterten Schutzziele, die neben den klassischen Zielen der Datensicherheit, Integrität, Verfügbarkeit und Vertraulichkeit auch Transparenz, Nicht-Verknüpfbarkeit und Intervenierbarkeit vorsehen, haben sich für Privacy by Design bewährt. Wir fordern, dass sie explizit in die Verordnung aufgenommen werden. Werner Hülsmann 2015 20 von 26

Datenschutz in Form von Data Protection by Design und by Default darf nicht erst bei den verarbeitenden Stellen beginnen. Auch die Herstellerinnen und Hersteller von Soft- und Hardware müssen stärker in den Blick genommen werden, z.b. durch Zertifizierungsverfahren. Das Recht auf Vergessen in die Verordnung aufzunehmen, ist eine folgerichtige Idee. Aus technischer Sicht ist eine Umsetzung dieser Idee eine große Herausforderung, die es wahrzunehmen gilt und für die die Hersteller von Soft- und Hardware endlich Lösungen erarbeiten müssen. Werner Hülsmann 2015 21 von 26 Von automatisiertem Profiling geht eine große Gefahr für den Schutz der Privatsphäre und die Informationelle Selbstbestimmung aus. Die Gestaltung der datenverarbeitenden Logik hinter solchen Technologien muss für Techniker und Technikerinnen sowie Nutzerinnen und Nutzer transparent und mögliche Folgen nachvollziehbar sein. Grundsätzlich sollte eine Pflicht zur Anonymisierung bzw. Pseudonymisierung personenbezogener Daten in die Verordnung aufgenommen werden. Da sich die technischen Bedingungen der Verarbeitung personenbezogener Daten ständig ändern setzt sich das FIfF für eine Begrenzung der Gültigkeit einer Einwilligung von maximal vier Jahren ein. Werner Hülsmann 2015 22 von 26

Der Opt-Out-Mechanismus als Ersatz für eine explizite Einwilligung wird gerade auf elektronischem Wege sehr häufig missbraucht. Stattdessen muss das Opt-In- Verfahren, das eine explizite Einwilligung voraussetzt, als Standard festgeschrieben werden. Wir begrüßen die Festschreibung der Unabhängigkeit der Aufsichtsbehörden in der Verordnung, fordern aber, die Bedingungen für die Unabhängigkeit klarer zu definieren. Dazu gehört z.b. die Sicherstellung der finanziellen Ausstattung sowie die Berufung der Leitung durch die Parlamente und nicht durch die Regierungen. Werner Hülsmann 2015 23 von 26 Wir begrüßen ebenso die Festschreibung der Unabhängigkeit der betrieblichen und behördlichen Datenschutzbeauftragten. Dazu ist aber eine Mindestbestelldauer von vier Jahre ebenso erforderlich wie ein mindestens einjähriger Kündigungsschutz nach Ende der Bestellung für die Datenschutzbeauftragten. Die Notwendigkeit der Bestellung eines oder einer Datenschutzbeauftragten sollte nicht von der Beschäftigtenzahl eines Unternehmens abhängen. Viel mehr sollte die Intensität der Nutzung personenbezogener Daten im Unternehmen und die Anzahl der Personen die mit der Verarbeitung betraut oder von der Verarbeitung betroffen sind, ausschlaggebend sein. Werner Hülsmann 2015 24 von 26

Wir fordern die Institutionen der Europäischen Union auf, die Bürgerinnen und Bürger und ihre Rechte zu schützen, und diesem Schutz den Vorrang zu geben vor den Interessen der Wirtschaft am freien Verkehr personenbezogener Daten. Ausführlicher: http://www.fiff.de/themen/stellungnahme%20des%20fiff%20zur%20eu-dsgvo%20an%20die%20ausschuesse.pdf/view oder unter http://t1p.de/fiff-zur-eudsgvo (Groß- und Kleinschreibung beachten) Werner Hülsmann 2015 25 von 26 Noch Fragen? Informationen: http://t1p.de/ http://www.fiff.de Kontakt: Werner Hülsmann E-Mail: werner@fiff.de Tel.: 07531 / 38 00 802 Mobil: 0179 / 14 28 594 Werner Hülsmann 2015 26 von 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback