Dipl. Informatiker Werner Hülsmann Die Europäische Datenschutzgrundverordnung () Werner Hülsmann 2015 Werner Hülsmann 1982 1988 Studium der Informatik an der TU Darmstadt Schwerpunkt Datenschutzrecht 1988 1991 Softwareentwickler bei der Telenorma GmbH, Frankfurt (Main) 1992 1999 Wissenschaftlicher Mitarbeiter und Referatsleiter Technik beim Landesbeauftragten für den Datenschutz der Freien Hansestadt Bremen 1999 2001 Datenschutz- und Technologieberatung bei ForBIT e.v. in Hamburg (Beratung von Betriebs- und Personalräten) Seit 1999 Inhaber der Firma IT-SEC-Consult.de - Datenschutz- und IT-Sicherheitsberatung jetzt Datenschutzconsulting.eu (www.d-s-c.info) 2001 2003 Projektmanager Dataprotection bei der Telegate AG (Martinsried) Seit 2004 Kooperationspartner des virtuellen Datenschutzbüros 2004 Gründung von Datenschutzwissen.de Organisation und Leitung von Datenschutzseminaren Seit 2004 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich/technisch) 1993 2009 Vorstandsmitglied im Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.v. - www.fiff.de Seit 03/2010 Mitglied des Beirats des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.v. 2003 2009 und seit 2104 Vorstandsmitglied der Deutschen Vereinigung für Datenschutz (DVD) e.v., Bonn - www.datenschutzverein.de Werner Hülsmann 2015 2 von 26
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung Werner Hülsmann 2015 3 von 26 Wir wollen...... dass Informationstechnik im Dienst einer lebenswerten Welt steht. Deshalb warnen wir die Öffentlichkeit vor Entwicklungen in unserem Fachgebiet, die wir für schädlich halten; setzen wir möglichen Gefahren eigene Vorstellungen entgegen; kämpfen wir gegen den Einsatz der Informationstechnik zur Kontrolle und Überwachung; engagieren wir uns für eine Abrüstung der Informatik in militärischen Anwendungen; fördern wir die Entwicklung von ökologisch verträglichen Wirtschaftskreisläufen mit Hilfe von Informationstechnik;... Werner Hülsmann 2015 4 von 26
Wir wollen...... dass Informationstechnik im Dienst einer lebenswerten Welt steht. Deshalb... unterstützen wir die menschengerechte Gestaltung von Arbeitsprozessen; setzen wir uns bei Gestaltung und Nutzung der Informationstechnik für die Gleichberechtigung von Menschen mit Behinderungen ein; arbeiten wir gegen die Benachteiligung von Frauen in der Informatik; wehren wir uns gegen jegliche rassistische und sexistische Nutzung oder andere diskriminierende Nutzung der Informationstechnik; setzen wir der Vorherrschaft der Ökonomie eine humane und ökologische Orientierung entgegen. Werner Hülsmann 2015 5 von 26 Gegründet 1984 als Forum Informatiker für Frieden In den Folgejahren: Thematische Erweiterung und Umbenennung zu Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung Förderung des Fachgebietes Informatik und Gesellschaft in Forschung und Lehre Datenschutz ist für das FIfF ein wichtiges Thema etwa 700 engagierte Menschen aus Wissenschaft und Praxis Sitz in Bremen Werner Hülsmann 2015 6 von 26
Datenschutz - Wie alles begann 1977 1. Bundesdatenschutzgesetz (BDSG) 1983 Volkszählungsurteil des Bundesverfassungsgerichts - Recht auf informationelle Selbstbestimmung 1995 Verabschiedung der EG- Datenschutzrichtlinie (Richtlinie 95/46/EG), diese sollte bis 1998 in allen (damaligen) EU- Ländern umgesetzt werden 2001 Umsetzung in Deutschland Werner Hülsmann 2015 7 von 26 Datenschutz - das Problem in der EU Eine Richtlinie wie die Richtlinie 95/46/EG gilt nicht direkt, sondern muss erst noch von den EU-Ländern in nationales Recht umgesetzt werden Diese Umsetzung geschieht auf unterschiedliche Art und Weise Daher haben wir 27 nationale Datenschutzgesetze (und in Deutschland noch 16 Landesdatenschutzgesetze) mit unterschiedlichen Datenschutzniveau Werner Hülsmann 2015 8 von 26
Datenschutz - Unterschiedliches Niveau Ein Beispiel: In Deutschland ist die unverlangte Zusendung werblicher E-Mail nur ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb. Ein solcher Verstoß kann zwar von Mitbewerbern geahndet werden. Die Betroffenen selbst haben wenig Handhabe In Spanien ist ist die unverlangte Zusendung werblicher E-Mail ein Datenschutzverstoß. Da verhängt die spanische Aufsichtsbehörde auch schon mal ein Bußgeld im fünfstelligen Bereich Werner Hülsmann 2015 9 von 26 Datenschutz in der EU - Die Lösung? Im Januar 2012 veröffentlicht die EU- Kommission (nach entsprechenden Vorarbeiten) einen Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr - Datenschutzgrundverordnung Werner Hülsmann 2015 10 von 26
Datenschutz - durch Verordnung? Eine Verordnung hat für ihre Adressaten eine Direktwirkung Sie muss daher nicht mehr in nationales Recht umgesetzt werden Oft ist bei Verordnungen eine Anpassung nationalen Rechts erforderlich Durch eine würde in der EU einheitliches Datenschutzrecht auf einem einheitlichen Niveau bestehen Werner Hülsmann 2015 11 von 26 - Vorteile Einheitliches Datenschutzniveau in der gesamten EU Firmen können sich in der EU keine Datenschutzschlupflöcher mehr suchen (wie es derzeit Google und Facebook mit Irland vormachen) Die Umsetzung des Datenschutzes wird für in mehreren EU-Ländern tätigen Firmen einfacher, da überall das gleiche Recht gilt Die Betroffenen können sich darauf verlassen, dass im EU-Ausland das gleiche Datenschutzniveau besteht wie in ihrem Land Werner Hülsmann 2015 12 von 26
- Risiken Das durch die in allen 27 EU- Staaten verbindliche Datenschutzniveau könnte deutlich niedriger sein als das derzeitige Datenschutzniveau in Deutschland Die Institution des betrieblichen Datenschutzbeauftragten ist gefährdet Die wirksame Einwilligung als Voraussetzung für die werbliche Ansprache per E-Mail ist gefährdet Werner Hülsmann 2015 13 von 26 - Stand der Planung Bis zum Ministerrat am 15./16 Juni wird eine Einigung im Ministerrat angestrebt. Der letzte Stand der Verhandlungen im Rat findet sich hier: http://statewatch.org/news/2015/jun/eu-council-dp-reg-9398-15.pdf Bis Ende des Jahres: Abschluss des Trilogs (also der Verhandlungen zwischen Rat, Parlament und Kommission Konsolidierte Fassung mit vier Spalten (für Text der Kommission, des Parlaments, des Rates und Bemerkungen: PDF-Datei mit 630 Seiten (4,3 MB) https://extdsb.wordpress.com/2015/04/24/synopse-der-europaischen-datenschutzgrundverordnung-stand-marz- 2015/ Oder kürzer: http://wp.me/p12h24-qw Werner Hülsmann 2015 14 von 26
- Ein Beispiel Betriebliche Datenschutzbeauftragte oder keine betrieblichen Datenschutzbeauftragten Das ist hier die Frage! - vgl. Seite 375 im oben genannten 630-Seiten-Dokument EU-Kommission und EU-Parlament: Verbindliche Regelung in der Unterschiedliche Ausgestaltung der Verpflichtung EU-Rat Freiwillige Bestellung oder wo EU- oder nationales Recht dies vorsieht => ungleiches Niveau der Datenschutzkontrolle und Umsetzung je nach nationalem Recht Werner Hülsmann 2015 15 von 26 - Stellungnahme des FIfF Das FIfF unterstützt den vorgelegten Entwurf der EU-Kommission für eine Datenschutz- Grundverordnung zur Modernisierung des Datenschutzes vom 25. Januar 2012. Eine solche Initiative war überfällig! Wir begrüßen insbesondere den erweiterten Schutz der Bürgerinnen und Bürger der europäischen Union durch das Marktortprinzip, das Unternehmen, die ihre Dienste in der EU anbieten, dazu verpflichtet, sich bei der Verarbeitung von personenbezogenen Daten an die Regeln der Verordnung zu halten, Werner Hülsmann 2015 16 von 26
- Das FIfF begrüßt die Präzisierung des Einwilligungs-Begriffs, insbesondere die explizite und eindeutige Einwilligung sowie das Recht auf Widerruf und Widerspruch, die Stärkung von Datenschutz-Grundsätzen wie des Verbots mit Erlaubnisvorbehalt, der Zweckbindung, der Erforderlichkeit, der Datensparsamkeit, umfassenderen Informationsund Auskunftsrechten, Transparenzpflichten und besonderen Anforderungen an die Verarbeitung personenbezogener Daten von Kindern, Werner Hülsmann 2015 17 von 26 - Das FIfF begrüßt die Stärkung des Datenschutzes durch Technik und durch Datenschutz-freundliche Voreinstellungen, das Recht auf Datenübertragbarkeit, die Verpflichtung der für die Datenverarbeitung Verantwortlichen, sicherzustellen, dass die Bestimmungen der Verordnung umgesetzt werden, die Unabhängigkeit und die Stärkung der Befugnisse von Datenschutzbeauftragten. Werner Hülsmann 2015 18 von 26
Keine Ausnahme der Datenverarbeitung durch Institutionen der EU aus der Verordnung. Auch für sie sollte die Verordnung gelten. Ebenso fordern wir die Einbeziehung der Datenverarbeitung bei Polizei/Justiz in die Verordnung, statt diese von der Datenschutz-Folgenabschätzungen oder vom Grundsatz des eingebauten Datenschutzes (Privacy by Design) auszunehmen Die Beschränkung der Rolle der EU-Kommission im Rahmen des Konformitätsmechanismus (durch delegierte Rechtsakte und Durchführungsbestimmungen), durch den die Kommission als letzte Datenschutzinstanz installiert wird. Werner Hülsmann 2015 19 von 26 Gleichzeitig fordern wir den Erhalt spezialgesetzlicher Regelungen, deren Ausgestaltung aber etwa über nationalstaatliche Gesetze möglich bleiben muss. Beim Beschäftigtendatenschutz sehen wir die Aufgabe der Verordnung darin, einen Mindeststandard festzulegen, dessen Ausgestaltung aber etwa über Betriebsvereinbarungen (oder vergleichbare Instrumente in anderen EU-Staaten) möglich sein muss. Die erweiterten Schutzziele, die neben den klassischen Zielen der Datensicherheit, Integrität, Verfügbarkeit und Vertraulichkeit auch Transparenz, Nicht-Verknüpfbarkeit und Intervenierbarkeit vorsehen, haben sich für Privacy by Design bewährt. Wir fordern, dass sie explizit in die Verordnung aufgenommen werden. Werner Hülsmann 2015 20 von 26
Datenschutz in Form von Data Protection by Design und by Default darf nicht erst bei den verarbeitenden Stellen beginnen. Auch die Herstellerinnen und Hersteller von Soft- und Hardware müssen stärker in den Blick genommen werden, z.b. durch Zertifizierungsverfahren. Das Recht auf Vergessen in die Verordnung aufzunehmen, ist eine folgerichtige Idee. Aus technischer Sicht ist eine Umsetzung dieser Idee eine große Herausforderung, die es wahrzunehmen gilt und für die die Hersteller von Soft- und Hardware endlich Lösungen erarbeiten müssen. Werner Hülsmann 2015 21 von 26 Von automatisiertem Profiling geht eine große Gefahr für den Schutz der Privatsphäre und die Informationelle Selbstbestimmung aus. Die Gestaltung der datenverarbeitenden Logik hinter solchen Technologien muss für Techniker und Technikerinnen sowie Nutzerinnen und Nutzer transparent und mögliche Folgen nachvollziehbar sein. Grundsätzlich sollte eine Pflicht zur Anonymisierung bzw. Pseudonymisierung personenbezogener Daten in die Verordnung aufgenommen werden. Da sich die technischen Bedingungen der Verarbeitung personenbezogener Daten ständig ändern setzt sich das FIfF für eine Begrenzung der Gültigkeit einer Einwilligung von maximal vier Jahren ein. Werner Hülsmann 2015 22 von 26
Der Opt-Out-Mechanismus als Ersatz für eine explizite Einwilligung wird gerade auf elektronischem Wege sehr häufig missbraucht. Stattdessen muss das Opt-In- Verfahren, das eine explizite Einwilligung voraussetzt, als Standard festgeschrieben werden. Wir begrüßen die Festschreibung der Unabhängigkeit der Aufsichtsbehörden in der Verordnung, fordern aber, die Bedingungen für die Unabhängigkeit klarer zu definieren. Dazu gehört z.b. die Sicherstellung der finanziellen Ausstattung sowie die Berufung der Leitung durch die Parlamente und nicht durch die Regierungen. Werner Hülsmann 2015 23 von 26 Wir begrüßen ebenso die Festschreibung der Unabhängigkeit der betrieblichen und behördlichen Datenschutzbeauftragten. Dazu ist aber eine Mindestbestelldauer von vier Jahre ebenso erforderlich wie ein mindestens einjähriger Kündigungsschutz nach Ende der Bestellung für die Datenschutzbeauftragten. Die Notwendigkeit der Bestellung eines oder einer Datenschutzbeauftragten sollte nicht von der Beschäftigtenzahl eines Unternehmens abhängen. Viel mehr sollte die Intensität der Nutzung personenbezogener Daten im Unternehmen und die Anzahl der Personen die mit der Verarbeitung betraut oder von der Verarbeitung betroffen sind, ausschlaggebend sein. Werner Hülsmann 2015 24 von 26
Wir fordern die Institutionen der Europäischen Union auf, die Bürgerinnen und Bürger und ihre Rechte zu schützen, und diesem Schutz den Vorrang zu geben vor den Interessen der Wirtschaft am freien Verkehr personenbezogener Daten. Ausführlicher: http://www.fiff.de/themen/stellungnahme%20des%20fiff%20zur%20eu-dsgvo%20an%20die%20ausschuesse.pdf/view oder unter http://t1p.de/fiff-zur-eudsgvo (Groß- und Kleinschreibung beachten) Werner Hülsmann 2015 25 von 26 Noch Fragen? Informationen: http://t1p.de/ http://www.fiff.de Kontakt: Werner Hülsmann E-Mail: werner@fiff.de Tel.: 07531 / 38 00 802 Mobil: 0179 / 14 28 594 Werner Hülsmann 2015 26 von 26