Berliner Beauftragter für Datenschutz und Informationsfreiheit IMI datenschutzgerecht nutzen! Schulung zum Binnenmarktinformationssystem IMI, IT Dienstleistungszentrum Berlin, 6./11. Juni 2012 1
Warum überhaupt Datenschutz? IMI ist datenschutzfreundliche Anwendung keine unsichere Ad hoc Kommunikation zwischen Behörden (z.b. per Telefon, E Mail oder Fax) mehr keine Datenbank zur langfristigen Speicherung Kommission und IMI Koordinatoren haben keinen Zugriff auf die über das System ausgetauschten Daten der Dienstleister 2
Warum überhaupt Datenschutz? aber: IMI birgt auch Datenschutzrisiken! erheblicher Umfang personenbezogener Daten Austausch auch sensibler (besonders schutzwürdiger Daten (z.b. Angaben zur Gesundheit, Straftaten, Disziplinarverfahren etc.) schnelle, unkomplizierte Kommunikation mehr Daten als erforderlich (Routineanfragen) zentrale Speicherung sämtlicher Anfragen (Kontrollverlust) Vorwarnungsmechanismus (Gefahrenabwehr) 3
Was habe ich damit zu tun? Kommission ist (nur) Betreiberin des Systems zuständige Behörde ist für Datenverarbeitung in IMI selbst verantwortlich Übermittlung von Daten setzt Rechtsgrundlage voraus (keine Berufung auf Amtshilfe) IMI Verordnung Verarbeitungsbefugnisse finden sich in bereichsspezifischen oder allgemeinen Datenschutzgesetzen (vgl. 12 i.v.m. 14 BlnDSG, 15 i.v.m. 4b BDSG) enge Verarbeitungsschranken bei sensiblen Daten (Hinweis) Beschränkung auf bestimmte Bereiche des Binnenmarktrechts (Berufsqualifikations und DienstleistungsRL) Nicht alles was technisch möglich ist, ist auch rechtlich zulässig! 4
Welche Datenschutzgrundsätze tze muss ich beachten? Grundsatz der Erforderlichkeit Verarbeitung muss für Aufgabenerfüllung der Behörde zwingend notwendig sein, d.h.: vorformulierten Fragenkatalog nutzen, nicht mehr Fragen als unbedingt erforderlich stellen, Fragen präzise beantworten (keine überflüssigen Angaben), besondere Vorsicht bei Freitextfeldern, Dateianhängen (Anlagen), sensiblen Daten und Daten zu Dritten (Schwärzungen möglich?) keine routinemäßigen Zuverlässigkeitsprüfungen! 5
Welche Datenschutzgrundsätze tze muss ich beachten? Grundsatz der Zweckbindung Beschränkung auf gesetzlich festgelegten Erhebungszweck keine Weiterverarbeitung zu anderen Zwecken (z.b. kommerzielle Nutzung) 6
Transparenz der Datenverarbeitung Benachrichtigung über Datenverarbeitung in IMI Pflicht der zuständigen Behörden (vgl. 16 Abs. 2 BlnDSG) gegenüber den betroffenen Personen (Dienstleistern) zum Zeitpunkt der Datenerhebung über Einsatz von IMI, Zweckbestimmung der Datenverarbeitung, Empfänger der Daten etc. z.b. in Antragsformular oder über online zugängliche Datenschutzerklärung (vgl. Webangebot der Kommission) 7
Transparenz der Datenverarbeitung Recht auf Auskunft über in IMI gespeicherte Daten, Zweck und Rechtsgrundlage der Verarbeitung, Empfänger etc. (vgl. 16 Abs. 1 BlnDSG) gegenüber jeder an einer Anfrage beteiligten Behörde Antrag auch ggü. Einheitlichem Ansprechpartner möglich (EA Gesetz) 8
Dauer der Datenspeicherung regelmäßige Löschfrist sechs Monate nach dem formellen Abschluss eines Informationsaustauschs Kommission beabsichtigt längere Speicherung Änderungen der Fristen mit IMI VO 9
Dauer der Datenspeicherung frühere Löschung möglich! wenn Daten für Amtshilfevorgang nicht mehr erforderlich Beantragung durch zuständige Behörde vor Ablauf der regelmäßigen Löschfrist (online über IMI) Zustimmung durch andere Behörde (online) Löschung durch Kommission binnen zehn Arbeitstagen Speicherung personenbezogener Daten außerhalb von IMI (in Verwaltungsvorgang) idr noch zulässig 10
Vorwarnungsmechanismus Kreis der zugangsberechtigten Behörden ist beschränkt (Funktion muss separat aktiviert werden) strikte Erforderlichkeitsprüfung (über Kontroll Liste) Kreis der Vorwarnungsempfänger ist beschränkt in der Regel nur Niederlassungsmitgliedstaat weitere Prüfung durch Vorwarnungskoordinator Kommission erhält Zugang zu allen Vorwarnungen, aber ohne personenbezogene Daten Aufhebung der Vorwarnung, sobald Risiko nicht mehr besteht (Löschung personenbezogener Daten spätestens 6 Monate nach Aufhebung) 11
Noch Fragen? Leitlinien für die Anwendung der Datenschutzvorschriften bei IMI (Anlage zur Empfehlung der Kommission vom 26.3.2009) Bericht der Kommission über den Stand des Datenschutzes im Binnenmarkt Informationssystem vom 22.4.2010 http://ec.europa.eu/internal_market/imi net/data_protection_de.html Bezirkliche Datenschutzbeauftragte Berliner Beauftragter für Datenschutz und Informationsfreiheit http://www.datenschutz berlin.de 12
Vielen Dank für f r Ihre Aufmerksamkeit! Kontakt: Ursula Zabel Telefon: (030) 13889 0 / 408 E Mail: zabel@datenschutz berlin.de WWW: http://www.datenschutz berlin.de 13