Ein neuer EU- Datenschutzrahmen Vorschlag der Europäischen Kommission für eine Neuordnung des Datenschutzes Dr. Eckhard Riedl Wien, 6. März 2012 Beirat für Informationsgesellschaft eckhard.riedl@bka.gv.at
Überblick Entwicklung des Datenschutzes Aktuelle Herausforderungen Datenschutz-Grundverordnung Richtlinie für Justiz und Inneres Gremien und Zeitplan Ein neuer EU-Datenschutzrahmen 6. März 2012 2
Entwicklung des Datenschutzes 1970: Erstes Datenschutzgesetz in Deutschland (Hessisches Datenschutzgesetz) 1978: Datenschutzkonvention des Europarates 1978: Datenschutzgesetz (DSG) in Österreich 1995: Datenschutz-Richtlinie 95/46/EG 2000: Datenschutzgesetz 2000 (DSG 2000) Ein neuer EU-Datenschutzrahmen 6. März 2012 3
Entwicklung des Datenschutzes 2002: Richtlinie 2002/58/EG Datenschutzrichtlinie für elektronische Kommunikation 2008: Rahmenbeschluss 2008/977/JI (polizeiliche und justizielle Zusammenarbeit in Strafsachen) Ein neuer EU-Datenschutzrahmen 6. März 2012 4
Entwicklung des Datenschutzes Mitteilung der EU-Kommission vom 4. November 2010 Public Consultation Präsentation des Vorschlags der EU-Kommission für neuen Rechtsrahmen am 25. Jänner 2012 Zwei neue Rechtsakte für den Datenschutz: Datenschutz-Grundverordnung Richtlinie für Justiz und Inneres Ein neuer EU-Datenschutzrahmen 6. März 2012 5
Entwicklung des Datenschutzes Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr Abrufbar unter: http://ec.europa.eu/justice/newsroom/dataprotection/news/120125_en.htm Ein neuer EU-Datenschutzrahmen 6. März 2012 6
Überblick Entwicklung des Datenschutzes Aktuelle Herausforderungen Die Datenschutz-Grundsatzverordnung Richtlinie für Justiz und Inneres Gremien und Zeitplan Ein neuer EU-Datenschutzrahmen 6. März 2012 7
Aktuelle Herausforderungen Neue Grundlagen im Unionsprimärrecht durch den Vertrag von Lissabon Artikel 8 der Grundrechtecharta Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Artikel 16 AEUV Das Europäische Parlament und der Rat erlassen Vorschriften gemäß dem ordentlichen Gesetzgebungsverfahren über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Ein neuer EU-Datenschutzrahmen 6. März 2012 8
Aktuelle Herausforderungen Defizite der Datenschutz-Richtlinie 95/46/EG Vor Durchbruch des Internetzeitalters erlassen Zersplitterung wegen unterschiedlicher Umsetzung in den MS Uneinheitliche Rechtsprechung der Kontrollstellen in den MS Ein neuer EU-Datenschutzrahmen 6. März 2012 9
Aktuelle Herausforderungen Defizite der Datenschutz-Richtlinie 95/46/EG Aufwändiges Registrierungsverfahren Komplexe Verfahren bei staatenübergreifenden Datenanwendungen Durchsetzung von Rechten der Betroffenen (zb Löschungsanspruch bei Facebook) Keine Anwendung im Bereich Justiz und Inneres Ein neuer EU-Datenschutzrahmen 6. März 2012 10
Überblick Entwicklung des Datenschutzes Aktuelle Herausforderungen Die Datenschutz-Grundverordnung Richtlinie für Justiz und Inneres Gremien und Zeitplan Ein neuer EU-Datenschutzrahmen 6. März 2012 11
Grundsatzüberlegungen (Auswahl) Unmittelbar in allen MS gültige Verordnung ersetzt die derzeitige Datenschutz-Richtlinie 95/46/EG Schutz von personenbezogenen Daten natürlicher Personen Einheitliche Durchsetzung von Datenschutzvorschriften in der EU Anwendbarkeit von EU-Vorschriften auf Auftraggeber in Drittstaaten Alleiniger Ansprechpartner für Organisationen ist die nationale Datenschutzbehörde des MS, in dem sie ihre Hauptniederlassung haben. Verbesserte Kontrolle der Betroffenen über ihre Daten ( Recht auf Vergessen werden ) und Recht auf Datenübertragbarkeit Data Breach-Notification Ein neuer EU-Datenschutzrahmen 6. März 2012 12
Begriffsbestimmungen (Artikel 4) Zustimmung nur mehr ausdrücklich (explizite Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist) Definition von genetischen und biometrischen Daten sowie von Gesundheitsdaten Definition des Unternehmens (regelmäßige wirtschaftliche Tätigkeit) und der Hauptniederlassung Ein neuer EU-Datenschutzrahmen 6. März 2012 13
Verarbeitung personenbezogener Daten von Kindern Definition Kind : Jede Person bis zur Vollendung des achtzehnten Lebensjahrs (Artikel 4) Die Verarbeitung personenbezogener Daten eines Kindes bis zum vollendeten dreizehnten Lebensjahr, dem direkt Dienste der Informationsgesellschaft angeboten werden, ist nur rechtmäßig, wenn und insoweit die Einwilligung hierzu durch die Eltern oder den Vormund des Kindes oder mit deren Zustimmung erteilt wird (Artikel 8). Ein neuer EU-Datenschutzrahmen 6. März 2012 14
Verarbeitung von sensible Daten (Artikel 9) Die Verarbeitung von Daten, aus denen Rasse oder ethnische Herkunft, politische Überzeugungen, Religions- oder Glaubenszugehörigkeit oder Zugehörigkeit zu einer Gewerkschaft hervorgehen, sowie von Daten über die Gesundheit, Daten über das Sexualleben, genetischen Daten oder Daten über Strafurteile oder damit zusammenhängende Sicherungsmaßregeln ist untersagt (ausgenommen explizit genannte Einzelfälle) Ein neuer EU-Datenschutzrahmen 6. März 2012 15
Verarbeitung besonderer Kategorien von personenbezogenen Daten sensible Daten (Artikel 9) Ausnahmen vom Verbot der Verarbeitung besondere Kategorien von personenbezogenen Daten sind insbesondere: Einwilligung Arbeitsrecht Schutz lebenswichtiger Interessen Gesundheitszwecke Verarbeitung von Daten über Strafurteile oder damit zusammenhängende Sicherungsmaßregeln entweder unter behördlicher Aufsicht oder aufgrund einer gesetzlichen oder rechtlichen Verpflichtung Ein neuer EU-Datenschutzrahmen 6. März 2012 16
Weitgehende Neuregelung der Pflichten bei der Aufnahme einer Datenverarbeitung Entfall der allgemeinen Registrierungspflicht von Datenanwendungen zugunsten Dokumentationspflicht in den Unternehmen (Artikel 28) Pflicht des Auftraggebers zur Erstellung einer Datenschutz- Folgenabschätzung und Genehmigung bzw. Zurateziehung der Aufsichtsbehörde Einrichtung verpflichtender Datenschutzbeauftragter Ein neuer EU-Datenschutzrahmen 6. März 2012 17
Weitgehende Neuregelung der Pflichten bei der Aufnahme einer Datenverarbeitung Ersatz der bisherigen Vorabkontrolle durch das Instrument der Datenschutz-Folgenabschätzung (Artikel 33), vorherige Genehmigung und vorherige Zurateziehung (Artikel 34) Verpflichtung des Auftraggebers oder seines Dienstleisters zur Erstellung einer Datenschutz-Folgenabschätzung, bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen. Ein neuer EU-Datenschutzrahmen 6. März 2012 18
Instrument der Datenschutz-Folgenabschätzung (Artikel 33) Konkrete Risiken für die Rechte und Freiheiten betroffener Personen bestehen insbesondere bei: systematischer und umfassender Auswertung persönlicher Aspekte einer natürlichen Person, Verarbeitung von Daten über das Sexualleben, den Gesundheitszustand, die Rasse oder die ethnische Herkunft ua, wenn die betreffenden Daten in großem Umfang verarbeitet werden, weiträumiger Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung, Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische oder biometrische Daten enthalten, sonstigen Verarbeitungsvorgänge, bei denen vorab die Aufsichtsbehörde zu Rate zu ziehen ist. Ein neuer EU-Datenschutzrahmen 6. März 2012 19
Instrument der Datenschutz-Folgenabschätzung (Artikel 33) Inhalte der Datenschutz-Folgeabschätzung: zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen Verfahren zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung der Vorgaben Ein neuer EU-Datenschutzrahmen 6. März 2012 20
Instrument der Datenschutz- Folgenabschätzung (Artikel 33) Wenn die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung steht, insbesondere weil die Risiken unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten. Ein neuer EU-Datenschutzrahmen 6. März 2012 21
Verpflichtende Einrichtung eines Datenschutzbeauftragten durch Auftraggeber oder Dienstleister (Artikel 35 ff) Datenverarbeitung durch eine Behörde oder eine öffentliche Einrichtung Datenverarbeitung durch ein Unternehmen, das 250 oder mehr Mitarbeiter beschäftigt Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von Personen erforderlich machen Ein neuer EU-Datenschutzrahmen 6. März 2012 22
Aufgaben des Datenschutzbeauftragten (Auswahl) Betroffene haben das Recht, den Datenschutzbeauftragten zu allen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten stehenden Fragen zu Rate zu ziehen und die Wahrnehmung ihrer Rechte beantragen Überwachung der Umsetzung und Anwendung der Datenschutz- Grundverordnung Sicherstellung, dass die Dokumentation vorgenommen wird und Überwachung derselben Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon Überwachung der Datenschutz-Folgenabschätzung sowie Beantragung einer vorherigen Genehmigung beziehungsweise Zurateziehung Ein neuer EU-Datenschutzrahmen 6. März 2012 23
Stärkung der Aufsichtsbehörden (Artikel 46 ff) Jeder Mitgliedstaat trägt dafür Sorge, dass eine oder mehrere Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind. Die Aufsichtsbehörde handelt bei der Erfüllung der ihr übertragenen Aufgaben und Befugnisse völlig unabhängig. Die Mitglieder der Aufsichtsbehörde ersuchen in Ausübung ihres Amtes weder um Weisung noch nehmen sie Weisungen entgegen. Ein neuer EU-Datenschutzrahmen 6. März 2012 24
Stärkung der Aufsichtsbehörden (Artikel 46 ff) Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde mit angemessenen personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und mit der erforderlichen Infrastruktur ausgestattet wird, über eigenes Personal verfügt, das vom Leiter der Aufsichtbehörde ernannt wird und seiner Leitung untersteht, einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt. Ein neuer EU-Datenschutzrahmen 6. März 2012 25
Beschwerde und Rechtsbehelfe (Artikel 73 ff) Jede betroffene Person hat unbeschadet eines anderweitigen administrativen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht mit dieser Verordnung vereinbar ist. Jede natürliche oder juristische Person hat das Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde. Ein neuer EU-Datenschutzrahmen 6. März 2012 26
Sanktionensmöglichkeiten für Aufsichtsbehörden Jede Aufsichtsbehörde ist befugt, verwaltungsrechtliche Sanktionen zu verhängen. Höhe der Geldbuße bemisst sich nach Art, Schwere und Dauer des Verstoßes, seinem vorsätzlichen oder fahrlässigen Charakter, dem Grad der Verantwortung und früheren Verstößen, den eingeführten technischen und organisatorischen Maßnahmen und Verfahren und dem Grad der Zusammenarbeit mit der Aufsichtsbehörde. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 1 Mio. EUR oder im Fall eines Unternehmens bis in Höhe von 2% seines weltweiten Jahresumsatzes. Ein neuer EU-Datenschutzrahmen 6. März 2012 27
One-Stop-Shop-Prinzip Findet die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Niederlassung in der Union statt, wobei der Auftraggeber oder Dienstleister Niederlassungen in mehr als einem Mitgliedstaat hat, so ist die Aufsichtbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des Auftraggebers oder Dienstleisters befindet, für die Aufsicht über dessen Verarbeitungstätigkeit in allen Mitgliedstaaten zuständig. Ein neuer EU-Datenschutzrahmen 6. März 2012 28
Überblick Entwicklung des Datenschutzes Aktuelle Herausforderungen Datenschutz-Grundverordnung Richtlinie für Justiz und Inneres Gremien und Zeitplan Ein neuer EU-Datenschutzrahmen 6. März 2012 29
Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr Ein neuer EU-Datenschutzrahmen 6. März 2012 30
Überblick Entwicklung des Datenschutzes Aktuelle Herausforderungen Datenschutz-Grundverordnung Richtlinie für Justiz und Inneres Gremien und Zeitplan Ein neuer EU-Datenschutzrahmen 6. März 2012 31
Gremien und Zeitplan Derzeit Behandlung beider Vorschläge (VO und RL) in der RAG DAPIX Präsentation und erste Verhandlungsrunde unter dänischer Präsidentschaft am 23./24. Februar 2012 Weitere drei Doppeltage unter dänischer Präsidentschaft Ankündigung der nachfolgenden zypriotischen Präsidentschaft: Schwerpunkt Datenschutz Kommission: Abschluss der Verhandlungen 2012 Aspekt EP-Wahlen im Juni 2014 Ein neuer EU-Datenschutzrahmen 6. März 2012 32
Danke für Ihre Aufmerksamkeit! Dr. Eckhard Riedl Abteilung V/3 Ballhausplatz 2 1014 Wien Tel.: +43 1 531 15-202822 Fax: +43 1 531 09-202822 eckhard.riedl@bka.gv.at www.bka.gv.at