Internationales (deutsches) Datenschutzrecht

Präsentation zum Thema: "Internationales (deutsches) Datenschutzrecht"—  Präsentation transkript:

1 Internationales (deutsches) Datenschutzrecht
Nikolaus Forgó

2 Disclaimer „A law professor is someone smart enough to get a Ph.D., but too crazy to make a living.“

3 Rechtsgrundlagen Völkerrechtliche Grundlagen
(zB Übereinkommen des Europarats vom 28. Januar 1981) EMRK, EU-Grundrechtecharta EU-Richtlinie(n), (EU-Verordnung) Allgemeine DSG von Bund und Ländern Besondere Gesetze (Melderecht, Hochschulrecht, Verfassungsschutz, etc.)

4 Rechtlicher Rahmen Deutschland Europa BDSG
Grundrechtecharta DSRL DS in el. Kommunikation E-Commerce RL Signatur RL Vorratsdaten-speicherung Citizens‘ rights Better regulation Deutschland BDSG TMG (früher TDDSG und MDStV) TKG Informationsfreiheits-gesetz(e) D -Gesetz Länder-DSG Judikatur

5 Nationales (deutsches) Recht
BDSG Ländergesetze – zB Niedersächsisches Datenschutzgesetz (NDSG) in der Fassung vom 29. Januar 2002 (Nds. GVBl. S. 22 – VORIS –), geändert durch Artikel 11 des Gesetzes vom 16. Dezember 2004 (Nds. GVBl. S. 634)

6 Vorgeschichte Volkszählungsurteil vom 15. 12. 1983
Grundrecht auf informationelle Selbstbestimmung Keine Differenzierung zwischen sensiblen und nicht sensiblen Daten Der Einzelne soll selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen können.

7 Deutsche nationale Besonderheiten
Grundrecht auf informationelle Selbstbestimmung (keine unmittelbare Drittwirkung) Subsidiäre Anwendbarkeit des BDSG Anonymisieren und Pseudonymisieren legal definiert (§ 3 VI, Via BDSG) Strenge Zweckidentität (nicht Zweckvereinbarkeit) Verbot der nationalen Kennziffer Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

8 Nationale Besonderheit II: Beauftragter für den Datenschutz
Bei nichtöffentlichen Stellen (§ 4f I BDSG) Immer, wenn Vorabkontrolle unterliegend Intern oder extern (§ 4f II Satz 2 BDSG)

9 Datenschutzbeauftragter II
Erforderliche Fachkunde und Zuverlässigkeit (§ 4f II BDSG) Unmittelbar der Leitung unterstellt (§ 4 III BDSG) Verschwiegenheitspflicht (§ 4 f IV BDSG) Bei bestelltem Datenschutzbeauftragtem entfällt Meldepflicht (§ 4d II BDSG) an Aufsichtsbehörde

10 Aufgaben Hinwirken auf die Einhaltung des BDSG
Kontrolle der Einhaltung des BDSG Vorabkontrolle riskanter automatisierter Verarbeitungen (4d VI BDSG)

11 Bundesbeauftragte für den Datenschutz

12

13 Neuordnung des europäischen Datenschutzrechts

14

15 Kommissionsvorschläge
KOM(2012) 11 endgültig Datenschutzgrund-verordnung KOM(2012) 10 endgültig Richtlinie hinsichtlich Datenschutzes in Polizei und Justiz

16 Ex ante control by independent authorities
Grundrechtecharter Personal data Everyone User Rights Consent fair Purpose-related Ex ante control by independent authorities

17 Datenschutzgrundverordnung
Unmittelbar anwendbar Weiterhin „all or nothing approach“ Weiterhin (im Grundsatz) Verbot mit Erlaubnisvorbehalt Zahlreiche Grundkategorien bleiben + PR-Begleittheater Right to be forgotten Auch substantielle Veränderungen Datenschutzbeauftragter Data Portability

18 Ziele Vereinheitlichung Ausweitung des Anwendungsbereichs (Art. 3)
Stärkung der Verantwortlichkeit Neue Betroffenenrechte Recht auf Vergessenwerden (Art. 17) Data Portability (Art. 18) Technologieneutralität und –flexibilität Datenschutzbeauftragter Privacy by design/privacy by default (Art. 23) Data Breach Notification (Art. 31/32) Erhöhung der Srafrahmen (Art. 79)

19 Diskussion im Parlament
Albrecht: 350 Änderungsvorschläge 3133 Änderungsanträge

20 Themen Verantwortliche Stelle? Anwendbares Recht? Übermittlung?
Übermittlung in Drittstaaten? Datensicherheitsmaßnahmen?

21

22 "This evening's vote is a breakthrough for data protection rules in Europe, ensuring that they are up to the the challenges of the digital age. This legislation introduces overarching EU rules on data protection, replacing the current patchwork of national laws", commented rapporteur for the general data protection regulation, Jan Philipp Albrecht (Greens/EFA, DE), after the vote.”

23

24 Rat, 24./ It is important to foster the trust of citizens and businesses in the digital economy. The timely adoption of a strong EU General Data Protection framework and the Cyber-security Directive is essential for the completion of the Digital Single Market by 2015.

25 Come back in 2015

26 Come back in 2015 (or 2016) (or …)

27 Aktuellster Stand

28 https://www. lda. bayern

29 Einige (wenige) Fragen

30 All or Nothing Personenbezug (?)

31 Grumberg, Wuppertal

32 Spaß am Gerät … Ist eine IP-Adresse ein personenbezogenes Datum?
Ist eine IPv6-Adresse ein personenbezogenes Datum? Sind genetische Daten (stets) personenbezogene Daten? Ist Geoinformation personenbezogen? Sind aggregierte Daten personenbezogen? Sind verschlüsselte Daten personenbezogen? …

33 DSGVO (LIBE-Fassung) 95/46/EC
(2) 'personal data' means any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person;  (a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;

34 Recital 26 23 (23) The principles of data protection should apply to any information concerning an identified or identifiable natural person. To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used either by the controller or by any other person to identify or single out the individual directly or indirectly. To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development. The principles of data protection should therefore not apply to anonymous data, which is information that does not relate to an identified or identifiable natural person. This Regulation does therefore not concern the processing of such anonymous data, including for statistical and research purposes.

35 all the means reasonably likely to be used

36 Scio me nihil scire.

37 All or Nothing Personenbezug (?)

38 'pseudonymous data' means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution; ‘encrypted data’ means personal data, which through technological protection measures is rendered unintelligible to any person who is not authorised to access it;

39 ‘encrypted data’ means personal data, which through technological protection measures is rendered unintelligible to any person who is not authorised to access it;

40 Article 13a Standardised information policies
Where personal data relating to a data subject are collected, the controller shall provide the data subject with the following particulars before providing information pursuant to Article 14: […] (f) whether personal data are retained in encrypted form.

41 ?

42 Art. 13a 2. The particulars referred to in paragraph 1 shall be presented pursuant to Annex X in an aligned tabular format, using text and symbols, in the following three columns:

43 ?

44 Datensicherheit

45 Art. 30, Kommissionsvorschlag
having regard to the state of the art and the costs of their implementation appropriate technical and organisational measures a level of security appropriate to the risks represented by the processing

46 The Commission shall be empowered to adopt delegated acts

47 Art. 30, LIBE taking into account the results of a data protection impact assessment pursuant to Article 33

48 ??? at least […] protect personal data stored or transmitted against accidental or unlawful destruction, or accidental loss or alteration, and unauthorised or unlawful storage, processing, access or disclosure;

49 Richtlinie Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Derzeit umfassend in Diskussion !

50 Ziele Grundrechtsschutz (Rechtsharmonisierung) Binnenmarkt
Art. 1 (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.

51 Konzept der Verantwortlichkeit

52 Grundsatz EG 30) Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn sie auf der Einwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf den Abschluß oder die Erfüllung eines für die betroffene Person bindenden Vertrags, zur Erfüllung einer gesetzlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, in Ausübung hoheitlicher Gewalt oder wenn sie im Interesse einer anderen Person erforderlich ist, vorausgesetzt, daß die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen.

53 Schutzbereich Art. 2 im Sinne dieser Richtlinie bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind; Kein Datenschutzrecht für jur. Personen nach europ. und deutschem Recht Keine Differenzierung direkt/indirekt personenbezogene Daten Anders Österreich

54 Düsseldorfer-Kreis

55 Anforderungen IP-Adresse kein Pseudonym iSd TMG [?] Widerspruch
Keine Zusammenführung mit sonstigen Nutzerdaten Hinweis-/Informationspflichten Keine Nutzerprofile unter voller Verwendung der IP-Adresse ohne Einwilligung Geolokalisierung mitbetroffen Achtung bei Drittanbietern  Auftragsdatenverarbeitung

56 IP Adresse personenbezogen?
§ 3 I BDSG „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Art. 2 a RL 95/46/EG : „"personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;“ EG 26: „Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.“

57 IP Adresse personenbezogen?
AG München, MMR 2008, 860: „IP-Adressen sind keine personenbezogenen Daten i.S.d. BDSG, da ihnen die notwendige Bestimmbarkeit fehlt.“ AG Berlin Mitte, ZUM 2008, 83 und LG Berlin, ZUM 2008, 70: „Internetprotokolladressen (IP-Adressen) sind personenbezogene Daten im Sinne des § TMG § 15 Abs. TMG § 15 Absatz 1 TMG und dürfen nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert werden, soweit hierfür keine gesetzliche Rechtfertigung gemäß § TMG § 15 TMG vorliegt.“ Vgl. Meyerdierks, MMR 2009, 8

58 Aber: EuGH C 70/10 RZ 51: „Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um geschützte personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“

59 Aber Sonderfall? Beklagt war Access-Provider wegen Sperrung des Zugangs zu Peer-to-Peer Netzwerken Aussage bezieht sich also auf eigene Kunden des Access-Providers

60 Abert

61 Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) Datenschutz-Richtlinie - dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zu-griff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

62 À propos EuGH EuGH C Die Bundesrepublik Deutschland hat gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG […] verstoßen, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt hat.

63 C-614/10

64 1.      Die Republik Österreich hat dadurch gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, dass sie nicht alle Vorschriften erlassen hat, die erforderlich sind, damit die in Österreich bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genügt, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt hat, wonach –        das geschäftsführende Mitglied der Datenschutzkommission ein der Dienstaufsicht unterliegender Bundesbediensteter ist, –        die Geschäftsstelle der Datenschutzkommission in das Bundeskanzleramt eingegliedert ist und –        der Bundeskanzler über ein unbedingtes Recht verfügt, sich über alle Gegenstände der Geschäftsführung der Datenschutzkommission zu unterrichten.

65 Konzept der Verantwortlichkeit
d) "für die Verarbeitung Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;

66 Konzept der Verantwortlichkeit
Art. 6 II: (2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 [Grundsätze für die Qualität der Daten] zu sorgen.

67 Grundsätze (Art. 6) 1) Die Mitgliedstaaten sehen vor, daß personenbezogene Daten a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden; b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen; c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen; d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden; e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Daten vor, die über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden. (2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.

68 Unterscheidung der Datenkategorien
„normale“ Daten Sensible Daten Grundsatz: Art. 8 (1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben. Abschließende Aufzählung zulässiger Ausnahmen

69 Nicht sensible Daten Zulässig, wenn Einwilligung oder Erforderlich für
vertragl. Beziehung Rechtliche Pflicht Wahrung lebenswichtiger Interessen betroffener Personen Öffentliches Interesse/öffentliche Gewalt berechtigten Interesse des für die Verarbeitung Verantwortlichen, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen

70 Sensible Daten Regel: Verarbeitungsverbot (Art. 8 I)
Ausnahmen (Art. 8 II): a) Ausdrückliche Einwilligung; b) Arbeitsrecht c) lebenswichtige Interessen (wenn Einw. nicht möglich); d) die Verarbeitung erfolgt durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Einrichtung, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden; e) Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.

71 Weitere Ausnahmen Gesundheitsvorsorge u. ä. (Art. 8 III)
Wichtiges öff. Interesse (Art. 8 IV) Strafregister nur unter behördl. Aufsicht (Art. 8 V)  Mitteilung an Kommission (Art. 8 VI)  Nationale Kenziffer (Art. 8 VII)

72 Informationspflichten
Artikel 10: a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters, b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind, c) weitere Informationen, beispielsweise betreffend - die Empfänger oder Kategorien der Empfänger der Daten, - die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung, - das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

73 Informationspflichten II
Art. 11  im Fall, dass Daten nicht direkt beim Datenbetroffenen erhoben wurden  ua. Information über Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreter

74 Betroffenenrechte Auskunft (Art. 12)
frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten U.a. eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;

75 Betroffenenrechte II Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht; c) die Gewähr, daß jede Berichtigung, Löschung oder Sperrung, die entsprechend Buchstabe b) durchgeführt wurde, den Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmöglich erweist oder kein unverhältnismäßiger Aufwand damit verbunden ist. [?]

76 Betroffenenrechte III
Widerspruchsrechte (Art. 14) a) [...] jederzeit aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widerspruch einlegen zu können, daß sie betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen entgegenstehenden Bestimmung. b) auf Antrag kostenfrei gegen eine vom für die Verarbeitung Verantwortlichen beabsichtigte Verarbeitung sie betreffender Daten für Zwecke der Direktwerbung Widerspruch einzulegen [...].

77 Kontrolle Kontrollstelle (Art. 18; 28)
Meldepflicht bei Datenverbund (Art. 18)  inhaltlich determiniert (Art. 19)  Vorabkontrolle (Art. 20)  Register (Art. 21)

78 Drittstaaten Grundsatz: nur bei Gewährleistung eines angemessenen Schutzniveaus (Art. 25 I) Ausnahmen (Art. 26) Abstrakte Stellungnahmen zum Schutzniveau durch Art. 29-Gruppe (Art. 30)  Entscheidung der Kommission

79 Übermittlung in Drittland
Angemessenes Datenschutzniveau (Art. 25) Ausnahmen: Art. 26  Art. 29 Gruppe Siehe

80 Judikatur

81 „Safe Harbor“ EuGH, C‑362/14, 6. Oktober 2015 Max Schrems
„Europe vs. Facebook“

82 Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt: 1. Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten. 2. Die Entscheidung 2000/520 ist ungültig.

83 EuGH, C-101/01 Lindqvist Ms. Lindqvist Employee Catechist in Alseda
Attended a Web-Programing Course Created a Website in order to faciliate access to information for her candidates of confirmation

84 Facts II Content of the website Informationen about Ms. Lindqvist
Her husband 16 colleagues (opartly named) Funny descriptions about their professions Passing mention that one of the colleagues was declared diseases due to a leg injury Immediate deletion after complaints

85 Facts III Criminal procedure because the data procession was not registered at the data protection authority Fine of 4000 Svedish Crowns

86 Legal Questions Internet Website as Data Processing?
Exception of Art. 3 II applicable? Sensitive Data? (art. 8 I) transmission of such data from the territory of one Member State to that of another Member State? Freedom of Speech? Dir. 95/46/EC only as a minimum requirement?

87 Art. 3 II 2. This Directive shall not apply to the processing of personal data: […] - by a natural person in the course of a purely personal or household activity.

88 Legal Questions Internet Website as Data Processing?  +
Exception of Art. 3 II applicable?  –

89 Sensitive Data? (art. 8 I)  + Transmission of such data from the territory of one Member State to that of another Member State?  – Freedom of Speech? Dir. 95/46/EC only as a minimum requirement?

90 EGMR COPLAND v. THE UNITED KINGDOM (Application no. 62617/00)
3 Juli 2007 Unzulässigkeit der Überwachung des Internetverhaltens bei ungeregelter Privatnutzung

91 Findings 48. Accordingly, as there was no domestic law regulating monitoring at the relevant time, the interference in this case was not “in accordance with the law” as required by Article 8 § 2 of the Convention. The Court would not exclude that the monitoring of an employee's use of a telephone, or internet at the place of work may be considered “necessary in a democratic society” in certain situations in pursuit of a legitimate aim. However, having regard to its above conclusion, it is not necessary to pronounce on that matter in the instant case.

92

93 Sachverhalt Finnische Krankenschwester arbeitet in öffentlichem Krankenhaus HIV-Therapie im selben Krankenhaus (Möglicherweise) unzureichend gesicherter Zugang zu Patientendaten für das Personal Zugriffe auf PHR nur unzureichend dokumentiert  Verletzung von Art. 8 EMRK ?

94 For the Court, what is decisive is that the records system in place in the hospital was clearly not in accordance with the legal requirements contained in section 26 of the Personal Files Act, a fact that was not given due weight by the domestic courts. [...] There has therefore been a violation of Article 8 of the Convention.

95 Vorratsdatenspeicherung

96 RICHTLINIE 2006/24/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 15
RICHTLINIE 2006/24/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG

97 Grundlage Zur Erinnerung Richtlinie 2002/58/EG
Datensicherheit (Art. 4) Grundsatz der Vertraulichkeit (Art. 5) Löschungsverpflichtung für Verkehrsdaten, die nicht für Abrechnungszwecke benötigt werden (Art. 6)

98 BVErfG, MMR 2010, 356 Vorratsdatenspeicherung verfassungswidrig, aber
„Eine nur mittelbare Nutzung der Daten zur Erteilung von Auskünften durch die TK-Diensteanbieter über die Inhaber von Internetprotokolladressen ist auch unabhängig von begrenzenden Straftaten- oder Rechtsgüterkatalogen für die Strafverfolgung, Gefahrenabwehr und die Wahrnehmung nachrichtendienstlicher Aufgaben zulässig. Für die Verfolgung von Ordnungswidrigkeiten können solche Auskünfte nur in gesetzlich ausdrücklich benannten Fällen von besonderem Gewicht erlaubt werden.“

99 „Eine sechsmonatige, vorsorglich anlasslose Speicherung von Telekommunikationsverkehrsdaten durch private Diensteanbieter […] ist mit Art. 10 GG nicht schlechthin unvereinbar; auf einen etwaigen Vorrang dieser Richtlinie kommt es daher nicht an.“

100 Ergebnisse §§ 113 a und b TKG, 100 g Abs. 1 S. 1 StPO wegen Verstoßes gegen das Telekommunikationsgeheimnis nach Art. 10 Abs. 1 GG nichtig Aber: Vorratsdatenspeicherung nicht automatisch verfassungswidrig Detaillierte Ausführungen zur Datensicherheit  neuer Anlauf?

101 BVerfG, Vorratsdatenspeicherung
„Hinsichtlich der Datensicherheit bedarf es Regelungen, die einen besonders hohen Sicherheitsstandard normenklar und verbindlich vorgeben. Es ist jedenfalls dem Grunde nach gesetzlich sicherzustellen, dass sich dieser an dem Entwicklungsstand der Fachdiskussion orientiert, neue Erkenntnisse und Einsichten fortlaufend aufnimmt und nicht unter dem Vorbehalt einer freien Abwägung mit allgemeinen wirtschaftlichen Gesichtspunkten steht.“ § 9 BDSG nicht ausreichend „Das Fehlen hinreichender Sicherheitsstandards im TKG kann auch § BDSG § 9 BDSG i.V.m. der zugehörigen Anlage nicht ausgleichen. Unbeschadet ihrer z.T. abstrakt hohen Standards bleibt diese Norm, die ohnehin nur subsidiär anwendbar ist […] zu allg., um in hinreichend spezifischer und verlässlicher Weise die besonders hohen Sicherheitsstandards bzgl. der nach § TKG § 113a TKG zu speichernden Daten sicherzustellen.

102

103

104

105 Sind die Art. 3 bis 9 der Richtlinie 2006/24/EG mit Art
Sind die Art. 3 bis 9 der Richtlinie 2006/24/EG mit Art. 7, 8 und 11 der Charta der Grundrechte der Europäischen Union vereinbar?

106 EuGH, C‑293/12 und C‑594/12 „Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG ist ungültig.“

107

108 EuGH C‑73/07, 16. Dezember 2008 Finnischer Sachverhalt
Zeitschrift mit (so gut wie ausschließlich) Steuerdaten namentlich bekannter Personen Auch SMS-Dienst Steuerdaten (nach finnischem Recht) öffentliche Daten  Verarbeitung personenbezogener Daten?

109 1.      Art. 3 Abs. 1 der Richtlinie 95/46/EG […] ist dahin auszulegen, dass eine Tätigkeit, bei der die Daten natürlicher Personen bezüglich ihres Einkommens aus Erwerbstätigkeit und Kapital und ihres Vermögens auf der Grundlage öffentlicher Dokumente der Steuerbehörden erfasst und zum Zweck der Veröffentlichung verarbeitet werden, in einem Druckerzeugnis, in alphabetischer Reihenfolge und nach Einkommenskategorien aufgeführt, in Form umfassender, nach Gemeinden geordneter Listen veröffentlicht werden, […] als „Verarbeitung personenbezogener Daten“ im Sinne dieser Vorschrift anzusehen ist. 3.      [Eine derartige] Verarbeitung personenbezogener Daten, die Behördendateien mit personenbezogenen Daten betrifft, die nur in Medien veröffentlichtes Material als solches enthalten, fällt in den Anwendungsbereich der Richtlinie 95/46.

110 Österreich? § 1 DSG 2000 § 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

111 EuGH, Urt. v C-92/09, C-93/09

112

113 Erste datenschutzrechtliche Entscheidung unter Anwendung der Grundrechtecharta

114 Beachtung des Verhältnismäßigkeitsgebots

115 EuGH, C Right to be forgotten

116 Sachverhalt Spanischer Professor
Zulässige Onlineveröffentlichung aus 1998 2010 noch abrufbar Begehren auf Löschung

117 1.      Art. 2 Buchst. b und d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte oder dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, sofern die Informationen personenbezogene Daten enthalten, als „Verarbeitung personenbezogener Daten“ im Sinne von Art. 2 Buchst. b der Richtlinie 95/46 einzustufen ist und dass der Betreiber dieser Suchmaschinen als für diese Verarbeitung „Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen ist.

118 2.      Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 ist dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.

119 3. Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst
3.      Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass der Suchmaschinenbetreiber zur Wahrung der in diesen Bestimmungen vorgesehenen Rechte, sofern deren Voraussetzungen erfüllt sind, dazu verpflichtet ist, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Internetseiten nicht vorher oder gleichzeitig gelöscht werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Internetseiten als solche rechtmäßig ist.

120 4. Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst
4. Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass im Rahmen der Beurteilung der Anwendungsvoraussetzungen dieser Bestimmungen u. a. zu prüfen ist, ob die betroffene Person ein Recht darauf hat, dass die Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird, wobei die Feststellung eines solchen Rechts nicht voraussetzt, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entsteht. Da die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, überwiegen diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit am Zugang zu der Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche. Dies wäre jedoch nicht der Fall, wenn sich aus besonderen Gründen – wie der Rolle der betreffenden Person im öffentlichen Leben – ergeben sollte, dass der Eingriff in die Grundrechte dieser Person durch das überwiegende Interesse der breiten Öffentlichkeit daran, über die Einbeziehung in eine derartige Ergebnisliste Zugang zu der betreffenden Information zu haben, gerechtfertigt ist.

121 Noch eine aktuelle Entscheidung …
EuGh, C‑201/14, 1. Oktober 2015 Die Art. 10, 11 und 13 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.

122 Und noch eine Entscheidung …
EuGH, C‑230/14, 1. Oktober 2015 Slowakische Gesellschaft vertreibt in Ungarn Webseite zur Immobilienvermittlung „Grenzwertiges“ Geschäftsmodell Übermittlung personenbezogener Daten an Inkassobüro Ungarische Datenschutzbehörde schreitet ein und bestraft  Anwendbares Recht? Zuständige Kontrollstelle?

123 Zukunftsthema Datensicherheit

124 BVerfG – Urteil vom 27. Februar 2008
Das allgemeine Persönlichkeitsrecht (Art. 2 I i.V.m. Art.1 I GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme § 5 Abs. 2 Nr. 11 VSG NRW ist verfassungswidrig Online-Durchsuchungen sind aber unter strengen Voraussetzungen möglich

125 Neues Grundrecht (1 BvR 370/07)
Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.  “

126 Danke!

127 Kontakt Nikolaus Forgó Institut für Rechtsinformatik
Leibniz Universität Hannover Juristische Fakultät Königsworther Platz 1 D Hannover Tel: Fax: und Universitätslehrgang für Informations- und Medienrecht Universität Wien Campus der Universität Wien Spitalgasse 2, Hof 1 Eingang 1090 Wien