Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz aus EU-Sicht Nikolaus Forgó

Veröffentlicht von:Christin Breiner Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutz aus EU-Sicht Nikolaus Forgó"—  Präsentation transkript:

1 Datenschutz aus EU-Sicht Nikolaus Forgó nikolaus.forgo@informationsrecht.at

2 Disclaimer „A law professor is someone smart enough to get a Ph.D., but too crazy to make a living.“

3 Rechtsgrundlagen Völkerrechtliche Grundlagen –(zB Übereinkommen des Europarats vom 28. Januar 1981) –EMRK EU-Grundrechtecharta EU-Richtlinie(n) EU-Verordnung Allgemeine DSG von Bund und Ländern Besondere Gesetze (Melderecht, Hochschulrecht, Verfassungsschutz, etc.)

4 Rechtlicher Rahmen bisher Europa –Grundrechtecharta –DSRL –DS in el. Kommunikation –E-Commerce RL –(Signatur RL) –Vorratsdaten- speicherung Deutschland –BDSG –TMG (früher TDDSG und MDStV) –TKG –Informationsfreiheits- gesetz(e) –De-Mail-Gesetz –Vorratsdaten-speicherung –Länder-DSG –Judikatur

5 Rechtlicher Rahmen demnächst Europa –Grundrechtecharta –DSGVO –DSRL –DS in el. Kommunikation ? –E-Commerce RL ? –Signatur RL –Vorratsdaten- speicherung ? Deutschland –BDSG –TMG (früher TDDSG und MDStV) –TKG –Informationsfreiheits- gesetz(e) –De-Mail-Gesetz –Länder-DSG –Judikatur

6 Nationales (deutsches) Recht BDSG Ländergesetze – zB Niedersächsisches Datenschutzgesetz (NDSG) in der Fassung vom 29. Januar 2002 (Nds. GVBl. S. 22 – VORIS 20600 02 –), geändert durch Artikel 11 des Gesetzes vom 16. Dezember 2004 (Nds. GVBl. S. 634)

7 Vorgeschichte Volkszählungsurteil vom 15. 12. 1983 –Grundrecht auf informationelle Selbstbestimmung –Keine Differenzierung zwischen sensiblen und nicht sensiblen Daten –Der Einzelne soll selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen können.

8 Deutsche nationale Besonderheiten Grundrecht auf informationelle Selbstbestimmung (keine unmittelbare Drittwirkung) Subsidiäre Anwendbarkeit des BDSG Anonymisieren und Pseudonymisieren legal definiert (§ 3 VI, Via BDSG) Strenge Zweckidentität (nicht Zweckvereinbarkeit) Verbot der nationalen Kennziffer Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

9 Nationale Besonderheit II: Beauftragter für den Datenschutz Bei nichtöffentlichen Stellen (§ 4f I BDSG) Immer, wenn Vorabkontrolle unterliegend Intern oder extern (§ 4f II Satz 2 BDSG)

10 Datenschutzbeauftragter II Erforderliche Fachkunde und Zuverlässigkeit (§ 4f II BDSG) Unmittelbar der Leitung unterstellt (§ 4 III BDSG) Verschwiegenheitspflicht (§ 4 f IV BDSG) Bei bestelltem Datenschutzbeauftragtem entfällt Meldepflicht (§ 4d II BDSG) an Aufsichtsbehörde

11 Aufgaben Hinwirken auf die Einhaltung des BDSG Kontrolle der Einhaltung des BDSG Vorabkontrolle riskanter automatisierter Verarbeitungen (4d VI BDSG)

12 Bundesbeauftragte für den Datenschutz

13

14 Neuordnung des europäischen Datenschutzrechts

15 Zentrales Versprechen One Continent, one Law

16 16

17 Kommissionsvorschläge KOM(2012) 11 endgültig Datenschutzgrund- verordnung KOM(2012) 10 endgültig Richtlinie hinsichtlich Datenschutzes in Polizei und Justiz

18 Everyone Personal data fair Purpose-related Consent User Rights Ex ante control by independent authorities Grundrechtecharter

19 Datenschutzgrundverordnung Unmittelbar anwendbar Weiterhin „all or nothing approach“ Weiterhin (im Grundsatz) Verbot mit Erlaubnisvorbehalt Zahlreiche Grundkategorien bleiben + PR- Begleittheater –Right to be forgotten Auch substantielle Veränderungen –Datenschutzbeauftragter –Data Portability

20 Ziele Vereinheitlichung Ausweitung des Anwendungsbereichs (Art. 3) Stärkung der Verantwortlichkeit Neue Betroffenenrechte –Recht auf Vergessenwerden (Art. 17) –Data Portability (Art. 18) Technologieneutralität und –flexibilität Datenschutzbeauftragter Privacy by design/privacy by default (Art. 23) Data Breach Notification (Art. 31/32) Erhöhung der Srafrahmen (Art. 79)

21 Diskussion im Parlament –Albrecht: 350 Änderungsvorschläge –3133 Änderungsanträge

22 Ändert sich irgendetwas? Einige (wenige) Fragen

23 Ändert sich irgendetwas? Einige (wenige) Fragen (1)

24 Zur Erinnerung: Richtlinie Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum 1.) Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum 2.) freien Datenverkehr

25 Verordnung VERORDNUNG (EU) 2016/… DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom … 1.) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, 2.) zum freien Datenverkehr und 3.) zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung

26 Ändert sich irgendetwas? Einige (wenige) Fragen (2)

27 All or Nothing Personenbezug (?)

28 Spaß am Gerät … Ist eine IP-Adresse ein personenbezogenes Datum? Ist eine IPv6-Adresse ein personenbezogenes Datum? Sind genetische Daten (stets) personenbezogene Daten? Ist Geoinformation personenbezogen? Sind aggregierte Daten personenbezogen? Sind verschlüsselte Daten personenbezogen? …

29 DSGVO (Art. 4 I) "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels, zu einer Kennnummer, Zuordnung zu einer Kennung wie einem Namen, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; 95/46/EC (Art. 2 a)) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

30 EG 26 DSGVO (sogar die Nummer bleibt gleich ) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke. It depends.

31 All or Nothing Personenbezug –Aber: Ausdrückliche Aufnahme der Pseudonymisierung –EG 28: „Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der "Pseudonymisierung" in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.“ –Definition in Art. 4 Nr. 5  „indirekt personenbezogen“ –„die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;“

32 Folgen Erleichterung bei Zweckänderung (!) –Zwar weiterhin Grundsatz der Zweckbindung (Art. 5 Abs. 1 b)) –Aber: Kriterium Zweckvereinbarkeit –Art. 6 Abs. 4 „Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten […], so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem […] e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

33 Folgen (2) Verpflichtende Datensicherheitsmaßnahme –Art. 25, Privacy by Design –Art. 32, Sicherheit der Verarbeitung Möglicher, verbindlicher Industriestandard (Art. 40, Verhaltensregeln) uU verpflichtend bei wissenschaftl./statistischen Weiterverarbeitungen (Art. 89)

34 Ändert sich irgendetwas? Einige (wenige) Fragen (3)

35 Räumlicher Anwendungsbereich

36 Art. 3 Abs. 1 Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union  DSGVO anwendbar  unabhängig davon, ob die Verarbeitung selbst in der Union stattfindet

37 Art. 3 Abs. 2 Keine Niederlassung/kein Auftragsdatenverarbeiter in der EU –Aber Betroffener in der EU + Datenverarbeitung im Zusammenhang mit –Anbieten von Waren oder Dienstleistungen an EU- Personen, unabhängig, ob entgeltlich –Beobachtung des Verhaltens betroffener Personen, soweit Verhalten in der EU –  Anwendbarkeit der DSGVO  Kodifiziertes Google Spain

38 Ändert sich irgendetwas? Einige (wenige) Fragen (4)

39 Definitionen

40 Zahlreiche Neuerungen (1) Profiling, Art. 4 Nr. 4 Einwilligung (!) –Art. 4 Nr. 11 –jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

41 Zahlreiche Neuerungen (2) Genetische Daten, Art. 4 Nr. 13 Biometrische Daten, Art. 4 Nr. 14 Gesundheitsdaten, Art. 4 Nr. 15 betroffene Aufsichtsbehörde, Art. 4 Nr. 22 –a) der Verantwortliche oder der Auftragsverarbeiter ist im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen –b) diese Verarbeitung hat oder kann haben erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde –c) eine Beschwerde wurde bei dieser Aufsichtsbehörde eingereicht Federführende Aufsichtsbehörde (Art. 56)  Zusammenarbeit nach Art. 60  Kohärenzverfahren, Art. 64  Streitbeilegung, Art. 65

42 Ändert sich irgendetwas? Einige (wenige) Fragen (5)

43 Grundsätze

44 Art. 5 Abs. 1 Zweckbindung (abgeschwächt) Datenvermeidung/-sparsamkeit Richtigkeitsgewähr Datensicherheit nunmehr ausdrücklich bei den Grundsätzen genannt ! + Verbot mit Erlaubnisvorbehalt (Art. 6) + Unterscheidung sensible/nicht sensible Daten (Art. 9, 10) + Verbot automatisierter Entscheidungen (Art. 22)

45 Verschärfte Dokumentationspflichten (Art. 5 Abs. 2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").

46 Ändert sich irgendetwas? Einige (wenige) Fragen (6)

47 Verbot mit Erlaubnisvorbehalt (Art. 6) Art. 6 Abs. 1 f) – Verarbeitung zulässig, wenn die Verarbeitung ist –zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, –insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

48 Ändert sich irgendetwas? Einige (wenige) Fragen (7)

49 Einwilligung, Art. 7 Nachweispflicht (Abs. 1) Trennungsgebot (Ab. 2) Jederzeitige, einfache Widerrufbarkeit (Abs. 3) Erhöhte Anforderungen an Freiwilligkeit (Abs. 4) –Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. + Verschärfungen bei Minderjährigen (Art. 8)

50 Ändert sich irgendetwas? Einige (wenige) Fragen (8)

51 Betroffenenrechte (Art. 12 ff) Transparenz Auskunft Widerspruch Berichtigung, Löschung (+ Recht auf Vergessenwerden, Art. 17) Data Portability (Art. 20) Privacy Breach Notification (Art. 33, 34)

52 Ändert sich irgendetwas? Einige (wenige) Fragen (9)

53 „Klarere“ Regelung von Privacy by Design Privacy by Default Art. 25 Abs. 1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen

54 Privacy Impact Assessment Art. 35 Unter Einbeziehung des DSB (Art. 35 Abs. 2) Unter Einbeziehung der Aufsichtsbehörde, wenn hohes Risiko (Art. 36) + Förderung von Soft Law – Verhaltensregeln, Zertifizierung (Art. 40 ff.) –Vgl. auch Art. 32 Abs. 3

55 Ändert sich irgendetwas? Einige (wenige) Fragen (10)

56 Datenschutzbeauftragter, Art. 37 Zwingend, wenn –a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird – b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder –c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. Sonst freiwillig

57 Benennungsvoraussetzungen Berufliche Qualifikation –insbesondere Fachwissen, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis hat (Art. 37 Abs. 5) Fähigkeit zur Wahrnehmung der Aufgaben (Art. 37 Abs. 5 iVm Art. 39) Intern oder extern (Art. 37 Abs. 6)

58 Stellung (Art. 38) Unabhängig Weisungsfrei Benachteiligungsschutz Zur Geheimhaltung verpflichtet Schutz vor Interessenskonflikten

59 Aufgaben (Art. 39) Beratung Überwachung Zusammenarbeit mit Aufsichtsbehörde Single Point of Contact für Aufsicht

60 Ändert sich irgendetwas? Einige (wenige) Fragen (11)

61

62 Optionen Angemessenheitsbeschluss bzgl. Drittstaat Geeignete Garantien –Binding Corporate Rules –Dtandardvertragsklauseln

63 Ändert sich irgendetwas? Einige (wenige) Fragen (12)

64 Strafen, Art. 83 < 10 000 000 oder 2 % Umsatz < 20 000 000 oder 4 % Umsatz –u.a. bei Verstößen gegen die Grundsätze (!) und bei Drittstaatenübermittlung

65 Ändert sich irgendetwas? Einige (wenige) Fragen (13) (Epilog mit Berufsempfehlung)

66 Datensicherheit Art. 32 Unter Berücksichtigung –des Stands der Technik, –der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung –sowie der unterschiedlichen Eintrittswahrscheinlichkeit und –Schwere des Risikos –für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete –technische und –organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten

67 + NIS-Richtlinie (!)

68 Danke!

69 Kontakt Nikolaus Forgó Institut für Rechtsinformatik Leibniz Universität Hannover Juristische Fakultät Königsworther Platz 1 D-30167 Hannover Tel: + 49 511 762 8159 Fax: + 49 511 762 8290 E-Mail: nikolaus.forgo@iri.uni-hannover.de http://www.iri.uni-hannover.de und Universitätslehrgang für Informations- und Medienrecht Universität Wien Campus der Universität Wien Spitalgasse 2, Hof 1 Eingang 1.14.1 1090 Wien

Herunterladen ppt "Datenschutz aus EU-Sicht Nikolaus Forgó"

Ähnliche Präsentationen

Die neue europäische Datenschutzverordnung

Die neue europäische Datenschutzverordnung
Zweck des Datenschutzgesetzes

Zweck des Datenschutzgesetzes
Datenschutz?!?!.

Datenschutz?!?!.
Datenschutz als Grundrecht

Datenschutz als Grundrecht
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Verarbeitung von Gesundheitsdaten: Erlaubnistatbestände  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe „Datenschutz.

Verarbeitung von Gesundheitsdaten: Erlaubnistatbestände  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe „Datenschutz.
Vorratsdatenspeicherung Vortrag am 29.10.2008 vor dem HIT-Forum in Duisburg.

Vorratsdatenspeicherung Vortrag am vor dem HIT-Forum in Duisburg.
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Werbung nach der Datenschutzgrundverordnung (DS- GVO)

Werbung nach der Datenschutzgrundverordnung (DS- GVO)
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz

Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
D Grundzüge der Fusionskontrolle

D Grundzüge der Fusionskontrolle
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018

Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018
Vorratsdatenspeicherung

Vorratsdatenspeicherung

Ähnliche Präsentationen

Google-Anzeigen