Ralf Bendrath EU-Datenschutz-Grundverordnung Datenschutzkonferenz 2016 Handelsblatt Fachmedien / Datenschutzberater Düsseldorf, 2.3.2016
Ladies and Gentlement, we did it!
Europa kann noch liefern ... trotz ... aller Unkenrufe zum Zustand der EU, heftig widerstreitender Interessen, des größten Lobbyismus der EU-Geschichte, fast 4000 Änderungsanträgen, fast vier Jahren Gesetzgebungsverfahren, am Ende fast einstimmiges Ergebnis.
Was steht nun drin?
Grundprinzipien I Verordnung statt Richtlinie einheitliches Recht in ganz Europa One-Stop-Shop Wirkungsvolle Durchsetzung Bußgelder bis 4% Jahresweltumsatz Konsistenz-Mechanismus
Geltungsbereich I Art. 2: Materielle Geltung, wie gehabt Automatisierte Verarbeitung nicht: rein privat, EU-Institutionen, GASP, Strafverfolgung, außerhalb EU-Kompetenz Art. 3: Territoriale Geltung Aktivitäten einer Niederlassung in der EU Ort der Verarbeitung egal! Anbieten von Diensten auf dem EU-Markt
Geltungsbereich II Was ist „personal Data“? Art. 4: „any information relating to an identified or identifiable natural person ('data subject‘); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier (…)” Recital 23: „Data which has undergone pseudonymisation (…) should be considered as information on an identifiable natural person.”
Geltungsbereich III Recital 23: “To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly.” “account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development.”
Geltungsbereich IV Recital 23: “The principles of data protection should therefore not apply to anonymous information, that is information which does not relate to an identified or identifiable natural person or to data rendered anonymous in such a way that the data subject is not or no longer identifiable. This Regulation does therefore not concern the processing of such anonymous information, including for statistical and research purposes.”
Grundprinzipien wesentliche Prinzipien von 1995 behalten aber klarer ausformuliert (Art. 5) “lawfulness, fairness and transparency” “purpose limitation” “data minimisation” “accuracy” “storage limitation” “integrity and confidentiality” “accountability” (inspiriert von LDSG Schleswig-Holstein 2012)
Grundlagen der Verarbeitung I Einwilligung: „freely given, specific, informed and unambiguous”, “clear affirmative act“ „unambiguous“ und „explicit“ bei sensiblen Daten Koppelungsverbot, Art. 7(4) Vertrag, vitales Interesse, hoheitliche Aufgabe, gesetzliche Verpflichtung (fast) wie gehabt Mitgliedstaaten können in den letzten zwei Fällen die Verarbeitung genauer spezifizieren
Grundlagen der Verarbeitung II Art. 6: berechtigtes Interesse klarer konturiert “reasonable expectations of data subjects based on the relationship with the controller” Kunden, aber abhängig vom Zweck Betrugsbekämpfung, Direktmarketing, IT-Sicherheit Art. 9: berechtigtes Interesse nicht bei sensiblen Daten
Privilegierte Verarbeitung archiving purposes in the public interest Holocaust-, Stasi-Archive etc. scientific and historical research purposes incl. angewandte Forschung statistical purposes Aggregatdaten als Ergebnis „kompatible Zwecke“ längere Speicherdauer sensible Daten erlaubt durch nationales Gesetz begrenzte Informations- oder Löschpflichten aber Art. 83: Notwendigkeitstest, Pseudonymisierung
Betroffenenrechte Information: kurz & verständlich, Icons Auskunft: maschinenlesbar „Recht auf Vergessenwerden“ Portabilität Widerspruch: automatisiert möglich (DNT) Profiling: Widerspruchsrecht bei Entscheidungen / Maßnahmen
technisch-organisatorische Maßnahmen Data Protection by Design and by Default Sicherheit, Breach Notifications Folgenabschätzung und DPO nur sehr begrenzt verpflichtend Mitgliedstaaten können DPO-Pflicht ausweiten
Verantwortungsprinzip Keine Vorab-Meldung mehr Klarstellungen zu Controller und Processor Codes of Conduct Zertifizierungen gesamtschuldnerische Haftung bei Unklarheit hohe Bußgelder
Transfers in Drittstaaten EuGH Schrems, November 2015: „essentially equivalent“ KOM muss Adequacy aufheben, wenn Beweise vorliegen DPAs nicht von KOM-Entscheidung gebunden Standardvertragsklauseln und BCRs Achtung: alles im Fluss momentan!
Nationale Spielräume Grundlagen der Verarbeitung per Gesetz Meinungsfreiheit Informationsfreiheit nationale ID-Nummern Gen- und Gesundheitsdaten Arbeitnehmerdatenschutz Privilegierte Daten Geheimnisträger, Kirchen DPO-Verpflichtung
Zeitplan bis Mitte März: sprachliche Überarbeitung 21. April 2016: JI-Rat, erste Lesung 23. Mai 2016: LIBE-Auschuss, zweite Lesung 6.-9. Juni 2016: EP-Plenum, zweite Lesung Unterzeichnung, Veröffentlichung in Kraft 20 Tage später Anwendung nach zwei Jahren bis dann: Revision e-Privacy, EU-Institutionen
Danke für die Aufmerksamkeit Kontakt: ralf.bendrath@europarl.europa.eu bendrath.blogspot.com twitter.com/bendrath www.janalbrecht.eu