Einführung in das Datenschutzrecht Wintersemester 2016/2017 1. Vorlesung: Organisatorisches, Einführung und Grundrechte 27.09.2016 Folien: Christian Prietz, Eva Schlehahn
Vorlesungsbeginn: 8:00 Vorlesungsende: 9:30 Vorlesungsplan (siehe Folie 3) Prüfungsleistung 1: Klausur Inhalt: Multiple Choice, Freitexte und Fälle Dauer: 1 Stunde Zeitraum: 09.01.-28.01.2017 Ort: ULD, Holstenstraße 98, 24103 Kiel Organisatorisches Prüfungsleistung 2: Voraussichtlich mündliche Prüfung Sonstiges (?) Datenschutzrecht FH Kiel Christian Prietz 2
(Vorläufiger) Vorlesungsplan 27.09.16 - Einführung: Organisatorisches und Grundrechte (Eva Schlehahn) 04.10.16 - Gesetzessystematik und Grundbegriffe (Christian Prietz) 11.10.16 - Rechtmäßigkeit, Einwilligung und Zweckbindung (Christian Prietz) 18.10.16 - Erforderlichkeit, Transparenz, Datensicherheit und Kontrolle (Christian Prietz) 25.10.16 - IT-Sicherheit, Informationssicherheitsmanagementsystem (ISMS Christian Prietz) 01.11.16 - Informationszugang, IZG (Andreas Schlisske) 22.11.16 - Telemediengesetz + Wiederholung (Henry Krasemann) 29.11.16 - Kundendatenschutz (Eva Schlehahn) 06.12.16 - Arbeitnehmerdatenschutz (Eva Schlehahn) 13.12.16 Auftragsdatenverarbeitung und PET (Harald Zwingelberg) 20.12.16 - Datenschutz bei Gefahrenabwehr und Strafverfolgung (Rasmus Robrahn) 09.01.-28.01.17 - Klausurzeitraum Datenschutzrecht FH Kiel Christian Prietz 3
Gesetzestexte Textsammlung Datenschutzrecht in Schleswig-Holstein Schwerpunkt: Bundesdatenschutzgesetz (BDSG) ggf. weitere Gesetze relevant (TMG, IZG etc.) Lehrbücher Literatur Witt, Datenschutz kompakt und verständlich, Verlag Vieweg und Teubner, 2. Auflage 2010 Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, Oldenbourg Verlag, 5. Auflage 2012 Sammelbände Schmidt/Weichert (Hrsg.), Datenschutz Grundlagen, Entwicklungen und Kontroversen, 2012 www.bpb.de/shop/buecher/schriftenreihe/143502/datenschutz Datenschutzrecht FH Kiel Christian Prietz 4
Kontakt Christian Prietz E-Mail: uld78@datenschutzzentrum.de https://www.datenschutzzentrum.de/vorlesungen Vorlesungsfolien sonstige Informationen (Vorlesungsplan, Klausurtermin etc.) Datenschutzrecht FH Kiel Christian Prietz 5
Kurzvorstellung ULD Aufsicht Beratung Bildung IT Labor Modellprojekte Gütesiegel Audit DATEN- SCHUTZ- AKADEMIE Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Datenschutzrecht FH Kiel Christian Prietz 6
Was ist Datenschutz? Datenschutzrecht FH Kiel Christian Prietz 7
Kleine Geschichte des Datenschutzes 1970er Jahre: Computer in Verwaltung und Wirtschaft 1970: Erstes allg. Datenschutzgesetz der Welt in Hessen 1977: Bundesdatenschutzgesetz 1978: Landesdatenschutzgesetz Schleswig-Holstein 1983: Volkszählungsurteil Recht auf informationelle Selbstbestimmung (RIS) 1991: 1. Novellierung des Bundesdatenschutzgesetzes 1995: Europäische Datenschutzrichtlinie 1995/46/EG 2001: 2. Novellierung des Bundesdatenschutzgesetzes 2008: Urteil zur Online-Durchsuchung Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GIVIS) 2008: Datenschutzskandale 2009: 3. Novellierung des Bundesdatenschutzgesetzes 2010: Urteil zur Vorratsdatenspeicherung 01/2012: Novelliertes LDSG SH in Kraft 01/2012: Vorschlag EU-KOM für Reform des EU-DS-Rechtsrahmens Seit 06/2013: Affäre um PRISM, Tempora und XKeyScore April 2014: Urteil des EuGH zur Richtlinie 2006/24/EG Mai 2015: Vorschlag zur Neueinführung einer Speicherpflicht Datenschutzrecht FH Kiel Christian Prietz 8
Grundrechte Was sind Grundrechte? sind subjektive öffentliche Rechte mit Verfassungsrang sind im Grundgesetz in den Artikeln 1 19 geregelt binden Legislative, Exekutive und Judikative als unmittelbar geltendes Recht dürfen nur eingeschränkt werden, wenn dies durch ein Parlamentsgesetz legitimiert wird dürfen auch durch ein Parlamentsgesetz nicht beliebig eingeschränkt werden (Verhältnismäßigkeitsgrundsatz, keine Einzelfallgesetze, Zitiergebot, Wesensgehaltsgarantie, Bestimmtheitsgrundsatz etc.) Datenschutzrecht FH Kiel Christian Prietz 9
Funktionen der Grundrechte Grundrechte Objektivrechtliche Funktion Subjektives Abwehrrecht des Bürgers gegen den Staat Schutzpflicht des Staates Mittelbare Drittwirkung der Grundrechte Effektive Verfahren zum Schutz der Grundrechte Datenschutzrecht FH Kiel Christian Prietz 10
Grundrechtstypen, Verfassungsbeschwerde Zu unterscheiden sind insbesondere Freiheitsgrundrechte und Gleichheitsgrundrechte Hinsichtlich der Frage nach der Grundrechtsträgerschaft unterscheidet man Jedermannsgrundrechte und Deutschengrundrechte Die Verletzung eines Grundrechts kann vor dem Bundesverfassungsgericht (BVerfG) mit einer Verfassungsbeschwerde gerügt werden Datenschutzrecht FH Kiel Christian Prietz 11
Schutzbereich Sachlich (Schutzgut) Persönlich (Grundrechtsträger) Eingriff Grundrechtsprüfung Zurechenbare Beeinträchtigung durch Hoheitsträger (Gesetz, Verwaltungsakt, Gerichtsurteil etc.) Verfassungsrechtliche Rechtfertigung Schranken (Einschränkbarkeit) Schranken-Schranken (Relativierung der Einschränkbarkeit, vom Gesetzgeber zu beachtende Grenzen) Datenschutzrecht FH Kiel Christian Prietz 12
Grundrecht auf informationelle Selbstbestimmung (RIS) Datenschutzrecht FH Kiel Christian Prietz 13
Entstehungsgeschichte RIS 1982 beschlossen Bundestag und -rat das Volkszählungsgesetz 1983 : Durchführung einer umfassenden Volkszählung im April 1983 Gegen die geplante Volkszählung regte sich Widerstand in der Bevölkerung (Angst vor dem gläsernen Bürger ) Gegen das Volkszählungsgesetz wurden mehrere Verfassungsbeschwerden erhoben Bildquellen: http://www.wdr.de Datenschutzrecht FH Kiel Christian Prietz 14
Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 RIS Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Datenschutzrecht FH Kiel Christian Prietz 15
Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 (2) RIS Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Verhinderung von Einschüchterungseffekten [ ] gibt es unter den Bedingungen der automatischen Datenverarbeitung kein "belangloses" Datum mehr. Datenschutzrecht FH Kiel Christian Prietz 16
Schutzbereich RIS Sachlicher Schutzbereich Schutz vor unbefugter Verarbeitung personenbezogener Daten durch staatliche Stellen. Persönlicher Schutzbereich RIS schützt natürliche Personen (= lebende Menschen). Kein Schutz juristischer Personen durch das RIS (h.m.) Datenschutzrecht FH Kiel Christian Prietz 17
Dogmatische Herleitung des RIS RIS RIS = spezielle Ausprägung des allg. Persönlichkeitsrechts des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG Artikel 1 Grundgesetz (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. [...] Artikel 2 Grundgesetz (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. [...] Datenschutzrecht FH Kiel Christian Prietz 18
Eingriff RIS = Jede staatliche Maßnahme, die die Verfügungsbefugnis des Einzelnen über die Preisgabe und Verwendung seiner persönlichen Daten beeinträchtigt. Kein Eingriff liegt vor, wenn der Betroffene in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch staatliche Stellen eingewilligt hat. Datenschutzrecht FH Kiel Christian Prietz 19
Verfassungsrechtliche Rechtfertigung RIS Verfassungsmäßige gesetzliche Grundlage, die im überwiegenden Allgemeininteresse erforderlich ist, dem Grundsatz der Normenklarheit entspricht, dem Verhältnismäßigkeitsgrundsatz entspricht, dem Zweckbindungsgrundsatz entspricht. Gesetzgeber muss organisatorische und verfahrensrechtliche Vorkehrungen treffen, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken. Datenschutzrecht FH Kiel Christian Prietz 20
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GIVIS) Datenschutzrecht FH Kiel Christian Prietz 21
Entstehungsgeschichte GIVIS BGH im Januar 2007: Die Strafprozessordnung bietet keine Ermächtigungsgrundlage für eine heimliche Online- Durchsuchung informationstechnischer Systeme 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen Rechtsgrundlage für Online-Durchsuchung Dagegen: Einlegung von Verfassungsbeschwerden beim BVerfG Datenschutzrecht FH Kiel Christian Prietz 22
GIVIS Urteil des Bundesverfassungsgerichts vom 27.02.2008 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen ist verfassungswidrig. Das allgemeine Persönlichkeitsrecht umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Eine heimliche Online-Durchsuchung eines solchen Systems stellt einen Eingriff in dieses Grundrecht dar und ist nur unter engen Voraussetzungen zulässig. Datenschutzrecht FH Kiel Christian Prietz 23
GIVIS Dogmatische Herleitung von GIVIS Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist wie das Grundrecht auf informationelle Selbstbestimmung eine Ausprägung des allgemeinen Persönlichkeitsrechts. GIVIS soll neuartigen Gefährdungen durch den technischen Fortschritt (hier: moderne Informationstechnik) begegnen und einen lückenlosen Persönlichkeitsschutz gewährleisten. Datenschutzrecht FH Kiel Christian Prietz 24
Schutzbereich GIVIS Informationstechnisches System Systeme, die allein oder in technischen Vernetzungen personenbezogene Daten in einem Umfang und einer Vielfalt enthalten können, dass ein Zugriff einen Einblick in wesentliche Teile der Lebensgestaltung oder gar den Erhalt eines aussagekräftigen Persönlichkeitsbilds ermöglicht. Vertraulichkeit und Integrität Vertraulichkeit: Schutz vor Kenntnisnahme von Daten durch Dritte Integrität: Schutz vor Schäden auf dem Rechner und vor Manipulation von Daten Datenschutzrecht FH Kiel Christian Prietz 25
GIVIS Eingriff = Zugriff auf ein informationstechnisches System einmaliger und punktueller Zugriff zwecks Anfertigung einer Kopie des Systems (Online-Durchsicht) oder Zugriff zwecks längerer Überwachung des informationstechnischen Systems (Online-Überwachung) Unterschiedliche Möglichkeiten der technischen Realisierung (Trojaner, Backdoors, Zero-Day-Exploit, Keylogger, etc.) Nur Schutz vor heimlicher oder aber auch vor (erzwungener) offener Infiltration eines informationstechnischen Systems? Datenschutzrecht FH Kiel Christian Prietz 26
Verfassungsrechtliche Rechtfertigung GIVIS Gesetzesvorbehalt Gesetzeszweck: Gefahrenabwehr oder Strafverfolgung Bestimmtheit des Gesetzes Verhältnismäßigkeit Heimliche Infiltration eines informationstechnischen Systems nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Heimliche Infiltration ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Zur Infiltration ermächtigendes Gesetz muss Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung treffen. Datenschutzrecht FH Kiel Christian Prietz 27
GIVIS Kernbereich privater Lebensgestaltung Bei heimlicher Überwachung müssen gesetzliche Vorkehrungen zum Schutz des aus Art. 1 Abs. 1 GG abgeleiteten Kernbereichs privater Lebensgestaltung getroffen werden. Begriff des Kernbereichs: Möglichkeit, ohne Angst vor staatlicher Überwachung innere Vorgänge (z. B. Gefühle, Überlegungen, Ansichten) höchstpersönlicher Art zum Ausdruck zu bringen Datenschutzrecht FH Kiel Christian Prietz 28
GIVIS Kernbereich privater Lebensgestaltung Kernbereich = nicht überschreitbare Grenze, die in der Menschenwürde des Artikels 1 Abs. 1 GG wurzelt Zweistufiger Kernbereichsschutz 1. Stufe (Erhebungsphase): Erhebung von Kernbereichsdaten ist möglichst zu vermeiden 2. Stufe: (Auswertungsphase) Falls doch: Erhobene Daten mit Kernbereichsbezug müssen unverzüglich gelöscht werden. Ihre Weitergabe und Verwertung ist auszuschließen. Datenschutzrecht FH Kiel Christian Prietz 29
Vielen Dank für Ihre Aufmerksamkeit! Noch Fragen? Vorlesungsfolien bald zu finden unter: https://www.datenschutzzentrum.de/vorlesungen Datenschutzrecht FH Kiel Christian Prietz 30