ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
1
Datenschutz 3.0
Sascha KremerLLR LegerlotzLaschet Rechtsanwälte
22.4.2013
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
2
WER?
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
3
Wer?
• Sascha Kremer– Rechtsanwalt/Partner, LLR (www.llr.de)– Geschäftsführer LLR DSC GmbH (www.llrdsc.de)– externer Datenschutzbeauftragter (TÜV)– Lehrbeauftragter HHU Düsseldorf
• Rechtsgebiete, insb.– IT-(Vertrags-)Recht– Datenschutzrecht
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
4
WAS?
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
5
Was?
• Informationen, Personenbezug, Beteiligte• Herausforderungen = SoMoClo & Big Data• Datenschutz 1.0 = Selbstbestimmung• Datenschutz 2.0 = DSRL und BDSG• Datenschutz 2.5 = DS-GVO• Datenschutz 3.0 = ?• Fazit und Ausblick
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
6
Abkürzungen (1)
• DSRL = Datenschutzrichtlinie– Richtlinie 95/46/EG vom 24.10.1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
• BDSG = Bundesdatenschutzgesetz
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
7
Abkürzungen (2)
• DS-GVO = Datenschutz-Grundverordnung– Vorschlag für eine Verordnung zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [KOM(2012) 11]
• AE DS-GVO = Alternativentwurf zur DS-GVO– Alternativentwurf zur DS-GVO von
Härting/Schneider (01/13), http://goo.gl/UvCAY
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
8
INFORMATIONEN, PERSONENBEZUG, BETEILIGTE
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
9
Informationen
• Informationen– Wetter– Pegelstand Rhein– Döner Preis– Quote für „Biete Rostlaube, Suche Traumauto“– Anzahl Rechtsanwälte bei LLR
• Informationen = alle denkbaren Angaben
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
10
personenbezogene Daten (1)
• personenbezogene Daten (pbD) = Informationen zu einer natürlichen Person– Name– Facebook-Account– Arbeitgeber– Einkommen
• pbD machen natürliche Person zum Betroffenen
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
11
personenbezogene Daten (2)
• Differenzierung zwischen– „normalen“ pbD = alle pbD– besondere Arten pbD, § 3 Abs. 9 BDSG– „42a“ pbD, § 42a S. 1 BDSG• besondere Arten pbD, § 3 Abs. 9 BDSG• pbD unter Berufsgeheimnis• pbD zu Straftaten/Ordnungswidrigkeiten• pbD zu Bank-/Kreditkartenkonten
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
12
bestimmte Person
• Personenbezug bei bestimmter Person– Unmittelbare Zuordnung einer Information zu
einer Person• Name (Frau X)• E-Mail-Adresse (mit Namensnennung)• Familienstand (Kind von Y)• Berufliche Tätigkeit (Rechtsanwalt Z)
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
13
bestimmbare Person (1)
• Personenbezug bei bestimmbarer Person– DSRL: „[…] als bestimmbar wird eine Person
angesehen, die direkt oder indirekt identifiziert werden kann“
– AE DS-GVO: „[…] alle Informationen, die […] indirekt auf eine natürliche Person verweisen“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
14
bestimmbare Person (2)
• Personenbezug bei bestimmbarer Person– DS-GVO: „[…] natürliche Person, die […] indirekt
mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
15
bestimmbare Person (3)
• relative Theorie– Bestimmbarkeit für verantwortliche Stelle
• absolute Theorie– Bestimmbarkeit für „irgendwen“– Auffassung der Aufsichtsbehörden
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
16
Anonymisierung
• Beseitigung des Personenbezugs• Voraussetzung:– Daten können nicht mehr oder nur mit einem
unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden
• Problem: Big Data
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
17
Pseudonymisierung
• Verstecken des Personenbezugs• Voraussetzung:– Ersetzen von Identifikationsmerkmalen durch ein
Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren
• pseudonymisierte pbD bleiben pbD
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
18
Beteiligte
• Beteiligte– Betroffener = Subjekt– Verantwortliche Stelle = Adressat– Auftragsdatenverarbeiter = „Teil“ der
verantwortlichen Stelle– Dritter = alle anderen– Empfänger = jeder, der pbD erhält
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
19
Arbeitnehmer?
• Arbeitnehmer kann sein …– … Betroffener (gegenüber Arbeitgeber)– … Verantwortliche Stelle („CRM on his own“)– … Auftragsdatenverarbeiter („ByoD“)– … Empfänger (Arbeitgeberwechsel)– … Dritter (Datendiebstahl)
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
20
Datenschutz vs. Privacy
• Europa– Datenschutz = Regelung des Umgangs mit pbD– Datensicherheit = technische Realisierung des
Datenschutzes• USA– Privacy = Schutz der Privatsphäre– Data Security = Datensicherheit (wie Europa)– Data Privacy = neue Entwicklung
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
21
HERAUSFORDERUNGEN
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
22
Social Media
• Erhebung/Nutzung pbD durch Plattformen– Google (Google+, YouTube, Keep, Mail, Picasa)– Facebook (Home)– Twitter (Music)
• Einbindung Social-Plugins in Websites– 2-Click-Lösung?
• Enterprise 2.0 = unternehmensintern
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
23
Mobile
• Smart Devices = Smartphones, Tablets• Erhebung/Nutzung pbD durch– Hersteller Betriebssystem– Hersteller/Verkäufer Apps
• pbD sind u.a.– Geo-Daten (Lokalisierungsdienste)– Kommunikationsdaten (Telefon, Mail, Kontakte)
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
24
Cloud Computing
• IaaS, PaaS, SaaS = pbD in der Cloud– icloud.com– office365.com– dropbox.com
• Virtualisierung aller Informationen• Übermittlung pbD in Drittländer– Safe Harbor?
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
25
Big Data
• „Gewinnung und Nutzung relevanter Erkenntnisse aus qualitativ vielfältigen, unterschiedlich strukturierten, sich schnell ändernden Informationen ungeahnten Ausmaßes“
• Beispiele:– Verbindungsdaten (TK), Logistikdaten (RFID)– Verbrauchsdaten, Verschreibungsdaten (Medizin)
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
26
Grenzenlosigkeit
• pbD kennen keine Grenzen• Problem: Verantwortliche Stelle (Konzern)• Problem: Anwendbares Recht• Problem: Zuständige Aufsichtsbehörde
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
27
autonomes Kirchenrecht
• Art. 140 GG i.V.m. Art. 137 Abs. 3 S. 2 WRV:„Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes.“– DSG-EKD (http://goo.gl/g5OxX) – KDO (http://goo.gl/Ro6UG)
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
28
DATENSCHUTZ 1.0
Recht auf informationelle Selbstbestimmung
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
29
Grundgesetz
• Art. 2 Abs. 1 GG (APR):„Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt […].“
• Art. 1 Abs. 3 GG:„Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
30
Erstes Datenschutzgesetz
• Hessen 1970: weltweit erstes DSG– maschinelle Datenverarbeitung durch Behörden– Schutz durch geeignete personelle und
technische Vorkehrungen vor unbefugter Einsichtnahme, Veränderung, Löschung, Abruf
– Verpflichtung auf Datengeheimnis– Berichtigungs-/Unterlassungsansprüche– weisungsfreier Datenschutzbeauftragter
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
31
Erstes BDSG
• Bund 1977: Bundesdatenschutzgesetz– für Bundesbehörden und private Unternehmen– Verbot mit Erlaubnisvorbehalt– Betroffenenrechte (Auskunft, Löschung u.a.)– Verpflichtung auf Datengeheimnis– Auftragsdatenverarbeitung– Datenschutzbeauftragter für Unternehmen– Straf- und Bußgeldvorschriften
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
32
Volkszählungsurteil (1)
• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.– Recht auf informationelle Selbstbestimmung als
Bestandteil des APR• abzugrenzen vom Recht auf Gewährleistung der
Vertraulich und Integrität informationstechnischer Systeme, BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07
– „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
33
Volkszählungsurteil (2)
• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.– Eingriffe nur• im „überwiegenden Allgemeininteresse“• bei verfassungsgemäßer gesetzlicher Grundlage• unter Beachtung des Gebots der Normenklarheit• und des Grundsatzes der Verhältnismäßigkeit• mit organisatorischen und verfahrensrechtlichen
Vorkehrungen gegen Gefahren für das APR
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
34
DATENSCHUTZ 2.0
EU-Datenschutzrichtlinie und BDSG
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
35
DSRL und BDSG
• DSRL– Richtlinie 1996 = Mindeststandard– DSRL entspricht in weiten Teilen BDSG (1990)
und umgekehrt• z.T. abweichende Begrifflichkeiten im BDSG• z.T. überschießende Regulierung im BDSG
– EuGH 2011 = Vollharmonisierungswirkung• Grundsatz: Verbot mit Erlaubnisvorbehalt
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
36
Zuordnung
• Öffentliches Recht– Befugnisse der Aufsichtsbehörden, § 38 BDSG
• Strafrecht– §§ 43, 44 BDSG
• Zivilrecht– Haftung, § 7 BDSG– Ansprüche Betroffener, §§ 34, 35 BDSG
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
37
Gesetzliche Erlaubnis
• BDSG– insb. § 28 Abs. 1 S. 1 Nr. 1, Nr. 2 BDSG
• Spezialgesetz, z.B.– Sozialdaten: §§ 67 ff. SGB X– Telekommunikationsdaten: §§ 91 ff. TKG– Telemediendaten: §§ 11 ff. TMG
• Betriebsvereinbarung
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
38
Einwilligung
• Anforderungen:– Einwilligungsfähigkeit• nicht: Geschäftsfähigkeit
– (regelmäßig entbehrliche) Schriftlichkeit– Freiwilligkeit• Problem: Über-/Unterordnungsverhältnis
– Bestimmtheit– Informiertheit
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
39
DATENSCHUTZ 2.5
EU-Datenschutz-Grundverordnung
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
40
DS-GVO
• Entwurf vom Januar 2012– 139 Erwägungsgründe– 91 Artikel– Ziel: Vollharmonisierung
• Inkrafttreten vorgesehen für 2014• Übergangsfrist zwei Jahre bis 2016• weiterhin: Verbot mit Erlaubnisvorbehalt
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
41
Öffnungsklauseln
• in den Grenzen der DS-GVO für– Presse und Kunst (Art. 80 DS-GVO)– Beschäftigtendatenschutz (Art. 82 DS-GVO)– Kirchen (Art. 85 DS-GVO)
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
42
Gestaltungsvorgaben
• Art. 23 Abs. 1 DS-GVO:– Privacy by Design • „datenschutzfreundliches Design“• unter Berücksichtigung des Stands der Technik und
der Implementierungskosten
– Privacy by Default• „datenschutzfreundliche Voreinstellungen“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
43
Kinderdaten
• Verarbeitung von Kinder pbD, Art. 8 DS-GVO– Abs. 1: „Für die Zwecke dieser Verordnung ist die
Verarbeitung von pbD eines Kindes bis zum vollendeten dreizehnten Lebensjahr, dem direkt Dienste der Informationsgesellschaft angeboten werden, nur rechtmäßig, wenn und insoweit die Einwilligung hierzu durch die Eltern […] erteilt wird. Der […] Verantwortliche unternimmt […] angemessene Anstrengungen, um eine nachprüfbare Einwilligung zu erhalten.“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
44
„Vergessen werden“ (1)
• Recht auf Vergessenwerden, Art. 17 DS-GVO– Abs. 1: „Die betroffene Person hat das Recht, von
dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden pbD und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, […]“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
45
„Vergessen werden“ (2)
• Recht auf Vergessenwerden, Art. 17 DS-GVO– Abs. 2: „Hat der in Abs. 1 genannte […]
Verantwortliche die pbD öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese pbD oder von […] Replikationen dieser Daten verlangt.“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
46
„Interoperabilität“ (1)
• Recht auf Datenübertragbarkeit, 18 DS-GVO– Abs. 1: „Werden pbD elektronisch in einem
strukturierten gängigen elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem […] Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen.“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
47
„Interoperabilität“ (2)
• Recht auf Datenübertragbarkeit, 18 DS-GVO– Abs. 2: „Hat die betroffene Person die pbD zur
Verfügung gestellt und basiert die Verarbeitung auf einer Einwilligung oder einem Vertrag, hat die betroffene Person das Recht, diese pbD […] in einem gängigen elektronischen Format in ein anderes System zu überführen, ohne dabei von dem Verantwortlichen, dem die pbD entzogen werden, behindert zu werden.“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
48
DATENSCHUTZ 3.0
?
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
49
Fragen (1)
• Datenschutz und Kommunikationsfreiheit?• Daten als Eigentum oder Allgemeingut?• Schutz von pbD im „Schwarz-Weiß-Schema“?• Gleichwertigkeit aller pbD?• Verbot oder Erlaubnis?• Einwilligung als Schutzinstrument?
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
50
Fragen (2)
• Transparenz als Schutzinstrument?• Gesetzes- oder Vollzugsdefizit?• Zersplitterung und Widersprüche beseitigen?
(Leitlinien Härting/Schneider: http://goo.gl/zVqZP)
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
51
AE DS-GVO (1)
• Art. 1 Abs. 3 AE DS-GVO:– „Der freie Informationsfluss und der freie
Verkehr von Waren und Dienstleistungen in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Informationen weder eingeschränkt noch verboten werden.“
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
52
AE DS-GVO (2)
• Art. 5 AE DS-GVO:– „Personenbezogene Informationen dürfen nur
nach Treu und Glauben und unter Rücksichtnahme auf Persönlichkeitsrechte der betroffenen Person verarbeitet werden.“
– Erlaubnis mit Verarbeitungsvorgaben
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
53
AE DS-GVO (3)
• Art. 6 AE DS-GVO: Verarbeitungsvorgaben für Unternehmen bei pbD– Zweckbindung (lit. a)– Transparenzverpflichtung (lit. b),
Art. 9, 10 AE DS-GVO– Richtigkeit der Informationen (lit. c)– keine Verletzung von Betroffenenrechten (lit. d),
Art. 11, 12 AE DS-GVO
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
54
AE DS-GVO (4)
• Art. 7 AE DS-GVO: Beschränkungen für sensible pbD, Verarbeitung nur bei u.a.– zweckgebundene Einwilligung– Erfüllung eines Vertrags mit Betroffenem– Erfüllung von Pflichten aus dem Arbeitsvertrag– Erfüllung gesetzlicher Pflichten– Schutz lebenswichtiger Interessen– Durchsetzung von Rechtsansprüchen
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
55
FAZIT UND AUSBLICK
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
56
?
?
ELSA Heidelberg Datenschutz 3.0 RA Sascha KremerRecht im Netz Workshop 22.4.2013
57
Vielen Dank für Ihre Aufmerksamkeit!
Rechtsanwalt Sascha KremerMail: [email protected] Festnetz: 0221/55400170
Mobil: 0177/3026626Fax: 0221/55400192