Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013

ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013

1

Datenschutz 3.0

Sascha KremerLLR LegerlotzLaschet Rechtsanwälte

22.4.2013


2

WER?


3

Wer?

• Sascha Kremer– Rechtsanwalt/Partner, LLR (www.llr.de)– Geschäftsführer LLR DSC GmbH (www.llrdsc.de)– externer Datenschutzbeauftragter (TÜV)– Lehrbeauftragter HHU Düsseldorf

• Rechtsgebiete, insb.– IT-(Vertrags-)Recht– Datenschutzrecht

http://www.llr.de/

http://www.llrdsc.de/


4

WAS?


5

Was?

• Informationen, Personenbezug, Beteiligte• Herausforderungen = SoMoClo & Big Data• Datenschutz 1.0 = Selbstbestimmung• Datenschutz 2.0 = DSRL und BDSG• Datenschutz 2.5 = DS-GVO• Datenschutz 3.0 = ?• Fazit und Ausblick


6

Abkürzungen (1)

• DSRL = Datenschutzrichtlinie– Richtlinie 95/46/EG vom 24.10.1995 zum Schutz

natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

• BDSG = Bundesdatenschutzgesetz


7

Abkürzungen (2)

• DS-GVO = Datenschutz-Grundverordnung– Vorschlag für eine Verordnung zum Schutz

natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [KOM(2012) 11]

• AE DS-GVO = Alternativentwurf zur DS-GVO– Alternativentwurf zur DS-GVO von

Härting/Schneider (01/13), http://goo.gl/UvCAY

http://goo.gl/UvCAY

http://goo.gl/UvCAY


8

INFORMATIONEN, PERSONENBEZUG, BETEILIGTE


9

Informationen

• Informationen– Wetter– Pegelstand Rhein– Döner Preis– Quote für „Biete Rostlaube, Suche Traumauto“– Anzahl Rechtsanwälte bei LLR

• Informationen = alle denkbaren Angaben


10

personenbezogene Daten (1)

• personenbezogene Daten (pbD) = Informationen zu einer natürlichen Person– Name– Facebook-Account– Arbeitgeber– Einkommen

• pbD machen natürliche Person zum Betroffenen


11

personenbezogene Daten (2)

• Differenzierung zwischen– „normalen“ pbD = alle pbD– besondere Arten pbD, § 3 Abs. 9 BDSG– „42a“ pbD, § 42a S. 1 BDSG• besondere Arten pbD, § 3 Abs. 9 BDSG• pbD unter Berufsgeheimnis• pbD zu Straftaten/Ordnungswidrigkeiten• pbD zu Bank-/Kreditkartenkonten


12

bestimmte Person

• Personenbezug bei bestimmter Person– Unmittelbare Zuordnung einer Information zu

einer Person• Name (Frau X)• E-Mail-Adresse (mit Namensnennung)• Familienstand (Kind von Y)• Berufliche Tätigkeit (Rechtsanwalt Z)


13

bestimmbare Person (1)

• Personenbezug bei bestimmbarer Person– DSRL: „[…] als bestimmbar wird eine Person

angesehen, die direkt oder indirekt identifiziert werden kann“

– AE DS-GVO: „[…] alle Informationen, die […] indirekt auf eine natürliche Person verweisen“


14


• Personenbezug bei bestimmbarer Person– DS-GVO: „[…] natürliche Person, die […] indirekt

mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde“


15


• relative Theorie– Bestimmbarkeit für verantwortliche Stelle

• absolute Theorie– Bestimmbarkeit für „irgendwen“– Auffassung der Aufsichtsbehörden


16

Anonymisierung

• Beseitigung des Personenbezugs• Voraussetzung:– Daten können nicht mehr oder nur mit einem

unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden

• Problem: Big Data


17

Pseudonymisierung

• Verstecken des Personenbezugs• Voraussetzung:– Ersetzen von Identifikationsmerkmalen durch ein

Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren

• pseudonymisierte pbD bleiben pbD


18

Beteiligte

• Beteiligte– Betroffener = Subjekt– Verantwortliche Stelle = Adressat– Auftragsdatenverarbeiter = „Teil“ der

verantwortlichen Stelle– Dritter = alle anderen– Empfänger = jeder, der pbD erhält


19

Arbeitnehmer?

• Arbeitnehmer kann sein …– … Betroffener (gegenüber Arbeitgeber)– … Verantwortliche Stelle („CRM on his own“)– … Auftragsdatenverarbeiter („ByoD“)– … Empfänger (Arbeitgeberwechsel)– … Dritter (Datendiebstahl)


20

Datenschutz vs. Privacy

• Europa– Datenschutz = Regelung des Umgangs mit pbD– Datensicherheit = technische Realisierung des

Datenschutzes• USA– Privacy = Schutz der Privatsphäre– Data Security = Datensicherheit (wie Europa)– Data Privacy = neue Entwicklung


21

HERAUSFORDERUNGEN


22

Social Media

• Erhebung/Nutzung pbD durch Plattformen– Google (Google+, YouTube, Keep, Mail, Picasa)– Facebook (Home)– Twitter (Music)

• Einbindung Social-Plugins in Websites– 2-Click-Lösung?

• Enterprise 2.0 = unternehmensintern


23

Mobile

• Smart Devices = Smartphones, Tablets• Erhebung/Nutzung pbD durch– Hersteller Betriebssystem– Hersteller/Verkäufer Apps

• pbD sind u.a.– Geo-Daten (Lokalisierungsdienste)– Kommunikationsdaten (Telefon, Mail, Kontakte)


24

Cloud Computing

• IaaS, PaaS, SaaS = pbD in der Cloud– icloud.com– office365.com– dropbox.com

• Virtualisierung aller Informationen• Übermittlung pbD in Drittländer– Safe Harbor?


25

Big Data

• „Gewinnung und Nutzung relevanter Erkenntnisse aus qualitativ vielfältigen, unterschiedlich strukturierten, sich schnell ändernden Informationen ungeahnten Ausmaßes“

• Beispiele:– Verbindungsdaten (TK), Logistikdaten (RFID)– Verbrauchsdaten, Verschreibungsdaten (Medizin)


26

Grenzenlosigkeit

• pbD kennen keine Grenzen• Problem: Verantwortliche Stelle (Konzern)• Problem: Anwendbares Recht• Problem: Zuständige Aufsichtsbehörde


27

autonomes Kirchenrecht

• Art. 140 GG i.V.m. Art. 137 Abs. 3 S. 2 WRV:„Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes.“– DSG-EKD (http://goo.gl/g5OxX) – KDO (http://goo.gl/Ro6UG)

http://goo.gl/g5OxX

http://goo.gl/g5OxX

http://goo.gl/Ro6UG

http://goo.gl/Ro6UG


28

DATENSCHUTZ 1.0

Recht auf informationelle Selbstbestimmung


29

Grundgesetz

• Art. 2 Abs. 1 GG (APR):„Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt […].“

• Art. 1 Abs. 3 GG:„Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.


30

Erstes Datenschutzgesetz

• Hessen 1970: weltweit erstes DSG– maschinelle Datenverarbeitung durch Behörden– Schutz durch geeignete personelle und

technische Vorkehrungen vor unbefugter Einsichtnahme, Veränderung, Löschung, Abruf

– Verpflichtung auf Datengeheimnis– Berichtigungs-/Unterlassungsansprüche– weisungsfreier Datenschutzbeauftragter


31

Erstes BDSG

• Bund 1977: Bundesdatenschutzgesetz– für Bundesbehörden und private Unternehmen– Verbot mit Erlaubnisvorbehalt– Betroffenenrechte (Auskunft, Löschung u.a.)– Verpflichtung auf Datengeheimnis– Auftragsdatenverarbeitung– Datenschutzbeauftragter für Unternehmen– Straf- und Bußgeldvorschriften


32

Volkszählungsurteil (1)

• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.– Recht auf informationelle Selbstbestimmung als

Bestandteil des APR• abzugrenzen vom Recht auf Gewährleistung der

Vertraulich und Integrität informationstechnischer Systeme, BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07

– „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“


33

Volkszählungsurteil (2)

• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.– Eingriffe nur• im „überwiegenden Allgemeininteresse“• bei verfassungsgemäßer gesetzlicher Grundlage• unter Beachtung des Gebots der Normenklarheit• und des Grundsatzes der Verhältnismäßigkeit• mit organisatorischen und verfahrensrechtlichen

Vorkehrungen gegen Gefahren für das APR


34

DATENSCHUTZ 2.0

EU-Datenschutzrichtlinie und BDSG


35

DSRL und BDSG

• DSRL– Richtlinie 1996 = Mindeststandard– DSRL entspricht in weiten Teilen BDSG (1990)

und umgekehrt• z.T. abweichende Begrifflichkeiten im BDSG• z.T. überschießende Regulierung im BDSG

– EuGH 2011 = Vollharmonisierungswirkung• Grundsatz: Verbot mit Erlaubnisvorbehalt


36

Zuordnung

• Öffentliches Recht– Befugnisse der Aufsichtsbehörden, § 38 BDSG

• Strafrecht– §§ 43, 44 BDSG

• Zivilrecht– Haftung, § 7 BDSG– Ansprüche Betroffener, §§ 34, 35 BDSG


37

Gesetzliche Erlaubnis

• BDSG– insb. § 28 Abs. 1 S. 1 Nr. 1, Nr. 2 BDSG

• Spezialgesetz, z.B.– Sozialdaten: §§ 67 ff. SGB X– Telekommunikationsdaten: §§ 91 ff. TKG– Telemediendaten: §§ 11 ff. TMG

• Betriebsvereinbarung


38

Einwilligung

• Anforderungen:– Einwilligungsfähigkeit• nicht: Geschäftsfähigkeit

– (regelmäßig entbehrliche) Schriftlichkeit– Freiwilligkeit• Problem: Über-/Unterordnungsverhältnis

– Bestimmtheit– Informiertheit


39

DATENSCHUTZ 2.5

EU-Datenschutz-Grundverordnung


40

DS-GVO

• Entwurf vom Januar 2012– 139 Erwägungsgründe– 91 Artikel– Ziel: Vollharmonisierung

• Inkrafttreten vorgesehen für 2014• Übergangsfrist zwei Jahre bis 2016• weiterhin: Verbot mit Erlaubnisvorbehalt


41

Öffnungsklauseln

• in den Grenzen der DS-GVO für– Presse und Kunst (Art. 80 DS-GVO)– Beschäftigtendatenschutz (Art. 82 DS-GVO)– Kirchen (Art. 85 DS-GVO)


42

Gestaltungsvorgaben

• Art. 23 Abs. 1 DS-GVO:– Privacy by Design • „datenschutzfreundliches Design“• unter Berücksichtigung des Stands der Technik und

der Implementierungskosten

– Privacy by Default• „datenschutzfreundliche Voreinstellungen“


43

Kinderdaten

• Verarbeitung von Kinder pbD, Art. 8 DS-GVO– Abs. 1: „Für die Zwecke dieser Verordnung ist die

Verarbeitung von pbD eines Kindes bis zum vollendeten dreizehnten Lebensjahr, dem direkt Dienste der Informationsgesellschaft angeboten werden, nur rechtmäßig, wenn und insoweit die Einwilligung hierzu durch die Eltern […] erteilt wird. Der […] Verantwortliche unternimmt […] angemessene Anstrengungen, um eine nachprüfbare Einwilligung zu erhalten.“


44

„Vergessen werden“ (1)

• Recht auf Vergessenwerden, Art. 17 DS-GVO– Abs. 1: „Die betroffene Person hat das Recht, von

dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden pbD und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, […]“


45

„Vergessen werden“ (2)

• Recht auf Vergessenwerden, Art. 17 DS-GVO– Abs. 2: „Hat der in Abs. 1 genannte […]

Verantwortliche die pbD öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese pbD oder von […] Replikationen dieser Daten verlangt.“


46

„Interoperabilität“ (1)

• Recht auf Datenübertragbarkeit, 18 DS-GVO– Abs. 1: „Werden pbD elektronisch in einem

strukturierten gängigen elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem […] Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen.“


47

„Interoperabilität“ (2)

• Recht auf Datenübertragbarkeit, 18 DS-GVO– Abs. 2: „Hat die betroffene Person die pbD zur

Verfügung gestellt und basiert die Verarbeitung auf einer Einwilligung oder einem Vertrag, hat die betroffene Person das Recht, diese pbD […] in einem gängigen elektronischen Format in ein anderes System zu überführen, ohne dabei von dem Verantwortlichen, dem die pbD entzogen werden, behindert zu werden.“


48

DATENSCHUTZ 3.0

?


49

Fragen (1)

• Datenschutz und Kommunikationsfreiheit?• Daten als Eigentum oder Allgemeingut?• Schutz von pbD im „Schwarz-Weiß-Schema“?• Gleichwertigkeit aller pbD?• Verbot oder Erlaubnis?• Einwilligung als Schutzinstrument?


50

Fragen (2)

• Transparenz als Schutzinstrument?• Gesetzes- oder Vollzugsdefizit?• Zersplitterung und Widersprüche beseitigen?

(Leitlinien Härting/Schneider: http://goo.gl/zVqZP)

http://goo.gl/zVqZP


51

AE DS-GVO (1)

• Art. 1 Abs. 3 AE DS-GVO:– „Der freie Informationsfluss und der freie

Verkehr von Waren und Dienstleistungen in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Informationen weder eingeschränkt noch verboten werden.“


52

AE DS-GVO (2)

• Art. 5 AE DS-GVO:– „Personenbezogene Informationen dürfen nur

nach Treu und Glauben und unter Rücksichtnahme auf Persönlichkeitsrechte der betroffenen Person verarbeitet werden.“

– Erlaubnis mit Verarbeitungsvorgaben


53

AE DS-GVO (3)

• Art. 6 AE DS-GVO: Verarbeitungsvorgaben für Unternehmen bei pbD– Zweckbindung (lit. a)– Transparenzverpflichtung (lit. b),

Art. 9, 10 AE DS-GVO– Richtigkeit der Informationen (lit. c)– keine Verletzung von Betroffenenrechten (lit. d),

Art. 11, 12 AE DS-GVO


54

AE DS-GVO (4)

• Art. 7 AE DS-GVO: Beschränkungen für sensible pbD, Verarbeitung nur bei u.a.– zweckgebundene Einwilligung– Erfüllung eines Vertrags mit Betroffenem– Erfüllung von Pflichten aus dem Arbeitsvertrag– Erfüllung gesetzlicher Pflichten– Schutz lebenswichtiger Interessen– Durchsetzung von Rechtsansprüchen


55

FAZIT UND AUSBLICK


56

?

?


57

Vielen Dank für Ihre Aufmerksamkeit!

Rechtsanwalt Sascha KremerMail: [email protected] Festnetz: 0221/55400170

Mobil: 0177/3026626Fax: 0221/55400192

mailto:[email protected]

mailto:[email protected]

Date post:	08-Dec-2014
Category:	Technology
Upload:	sascha-kremer
View:	369 times
Download:	1 times

Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013

Technology