DATENSCHUTZ Session Veranstalter: TYPO3camp Berlin Referent: Rechtsanwalt Ronald Schmidt Ort:SAE Institute Berlin Datum:

technologiebedingte Überwachungs- bzw. Profilbildungsmöglichkeiten bei Verbrauchern, Beschäftigten, Bürgern und Unternehmen EU-Datenschutz-Grundverordnung (DS-GVO) 2016 verabschiedet wird tlw. dt. Datenschutzrecht ändern Mindeststandards und Meldepflichten nach dem neuen IT-Sicherheitsgesetz Ersetzung der nach dem BVerfG nichtigen Regelungen zur Vorratsdatenspeicherung Aktueller Fokus Datenschutzrecht 2

Einführung Historisch kommt Datenschutzrecht aus dem Öffentlichen Recht Rechtsgebiete Privatrecht (BGB, HGB, UrhG, MarkenG) Öffentliches Recht (Verwaltung- und Verfassungsrecht) Strafrecht Rechtssubjekte natürliche Personen (Menschen) juristische Person (GmbH, UG, AG) 3

Checkliste Datenschutzrecht Werden personenbezogene Daten erhoben oder verarbeitet? Ist das durch Rechtsvorschrift erlaubt oder vorgeschrieben? Liegt eine Einwilligung des Betroffenen vor? Andernfalls ist die Datenerhebung und Verarbeitung rechtswidrig 4

Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), § 3 Abs. 1 BDSG 5

EG-Bestimmungen (1) Richtlinie 95/46 EG des Europäische Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutz- Richtlinie) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) 6

EG-Bestimmungen (2) EG-Datenschutz-Grundverordnung - DS-GVO (am beschlossen) Richtlinie des Europäische Parlaments und des Rates über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der RL 2002/58/EG VorratsdatenspeicherungsRL ist grundrechtswidrig EuGH, C-293/12 und C-594/12 d. h. die Speicherung von Kommunikationsdaten ohne Verdacht auf Straftaten ist nicht mit EU-Recht vereinbar 7

EG-Bestimmungen (3) Art. 16 AEUV (ex-Artikel 286 EGV) Vertrag über die Arbeitsweise der Europäischen Union gewährleistet den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 8

Verfassungsrechtliche Grundlagen (1) Seit Inkrafttreten des Vertrags von Lissabon am ist die Grundrechte-Charta rechtsverbindlich, Art. 8 GR-Ch: Das Recht jeder Person auf Schutz der sie betreffenden Daten Recht auf Vergessenwerden - EuGH C-131/12 - Google Spain SL 9

Verfassungsrechtliche Grundlagen (2) Schutz personenbezogener Daten, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Recht auf informationelle Selbstbestimmung Befugnis, über Preisgabe und Verwendung eigener Daten zu bestimmen (BVerfGE 65, 1 - Volkszählungsgesetz) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG 1 BvR 370/07; MMR 2008, 315, Grenzen heimlicher Online-Durchsuchung von Computern) BVerfG, BvR 1215/07 / AntiterrordateiG 10

Datenschutzgesetze Schutz des Einzelnen beim Umgang mit seinen personenbezogene Daten vor Persönlichkeitsrechtsbeeinträchtigen Bundesdatenschutzgesetz (BDSG) Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (BlnDSG) Telemediengesetz (TMG) Abwägung zu weiteren Rechtsgütern 11

Abwägung BGH, Urt. v VI ZR 358/13 Der BGH lehnt den Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal ab Das Recht des Klägers auf informationelle Selbstbestimmung überwiegt das Recht der Beklagten auf Kommunikationsfreiheit nicht 12

BDSG, BlnDSG und TMG Zweckbindung Datenerhebung bzw. -verarbeitung nur zum vorab bestimmten Zweck zulässig Systemdatenschutz Kontrolle der Systemstrukturen bzgl. der Verarbeitung personenbezogener Daten Datensparsamkeit Datenvermeidung 13

Personenbezogene Daten alle Informationen, über die ein Personenbezug hergestellt werden kann, § 3 Abs. 1 BDSG, etwa Name, Geburtsdatum, Adresse, -Adresse (je nach Einzelfall) Telefonnummer, Kreditkarten- und Personalnummer Kundennummer KfZ-Kennzeichen Kontonummer, andere Zahlungsdaten (je nach Einzelfall) Angaben verwendete Hard- und Software IP-Adressen der Webseitennutzer (zur Geolokalisierung, insbes. durch Cookies, je nach Einzelfall) 14

Erhebung, Verarbeitung und Nutzung von Daten Erhebung von Daten, § 3 Abs. 3 BDSG Verarbeitung von Daten, § 3 Abs. 4 BDSG Speicherung (Nr. 1) Veränderung (Nr. 2) Übermittlung (Nr. 3) Sperrung (Nr. 4) Löschung (Nr. 5) 15

Verantwortliche Stelle und Empfänger Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, § 3 Abs. 7 BDSG Empfänger ist jede Person oder Stelle, die Daten erhält, § 3 Abs. 8 BDSG 16

Verbot mit Erlaubnisvorbehalt Datenerhebung und -verarbeitung zulässig nach § 4 Abs. 1 BDSG nur bei: Einwilligung des Betroffenen oder einer Erlaubnisnorm (Gesetz, Tarifvertrag, Betriebsvereinbarung) 17

BDSG auch für Privatunternehmen anwendbar Auch hier gilt: personenbezogenen Daten natürlicher Personen, § 3 Abs. 1 BDSG dürfen grundsätzlich nur unter Einsatz von Datenverarbeitungsanlagen verarbeitet oder genutzt werden, § 1 Abs. 2 Nr. 3 BDSG wenn eine Einwilligung oder gesetzliche Grundlage vorliegt 18

Zulässige Datenverarbeitung nach Zweck des Schuldverhältnisses, § 28 BDSG (1) Schuldverhältnis zwischen dem Verarbeiter und Betroffenen z. B. Kunden- und Arbeitnehmerdaten soweit Verarbeitung zur Durchführung eines Vertrages erforderlich, ist das im Rahmen des bestimmten Zweckes zulässig 19

Zulässige Datenverarbeitung nach Zweck des Schuldverhältnisses, § 28 BDSG (2) Kundendaten dürfen nicht auf Vorrat gesammelt werden Kundendaten für ein Preisausschreiben dürfen nicht zu sonstigen Werbezwecken genutzt werden Nach Abwicklung eines Auftrags sind die Verbraucher-Daten zu löschen 20

Technische und organisatorische Maßnahmen, § 9 BDSG (1) DV haben erforderliche technische und organisatorische Maßnahmen zu treffen, um die Ausführung des Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 21

Technische und organisatorische Maßnahmen, § 9 BDSG (2) Anlage zu § 9 BDSG benennt: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle 22

Zulässigkeit der Auftragsdatenverarbeitung z. B. Outsourcing von Scandienstleistungen Zulässigkeit für öffentliche Stellen des Bundes und nicht-öffentliche Stellen, § 11 BDSG Zulässigkeit für öffentliche Stellen der Länder § 3 BlnDSG Auftraggeber bleibt die allein verantwortliche Stelle 23

Auftragsdatenverarbeitung - Geschäftsbesorgungsvertrag schriftliche Vereinbarung Regelungsinhalten, § 3 BlnDSG, § 11 Abs. 2 Satz 2 BDSG Vereinbarung der Kontrollpflichten, § 3 Abs. 4 BlnDSG, § 11 Abs. 2 Satz 4 BDSG 24

Bußgeld für unvollständige Auftragsdatenvereinbarung BayLDA hat erstmals hohe Bußgelder nach §§ 11, 43 I Nr. 2b BDSG für eine unvollständige Vereinbarung verhängt, da in den Aufträgen mit den Datenverarbeitern konkrete technisch-organisatorischen Schutzmaßnahmen fehlten pauschale Aussagen und Wiederholungen des Gesetzestextes nicht reichten PM Bayerisches Landesamt für Datenschutzaufsicht v

Telemediengesetz bereichsspezifisches Datenschutzrecht für die Nutzung von personenbezogenen Daten datenschutzrechtliche Bestimmungen, §§ a TMG Verwendung personenbezogener Daten ist grundsätzlich verboten zulässig, wenn Nutzer einwilligt oder Ermächtigungsgrundlage vorliegt § 12 Abs. 2 TMG 26

Relevanz datenschutzrechtlicher Vorschriften des TMG Anbieter, z. B. von Webseiten, die personenbezogene Nutzerdaten verwenden, etwa zur Registrierung, Bestellungsabwicklung, News-Letter, Wahrung berechtigter eigener Interessen, etc. Access-, Host- und Contentprovider 27

28 Arten von Datenschutzerklärungen einfache Datenschutzerklärung wenn die Kundendaten nur zur Abwicklung der Bestellung ohne Registrierung verwendet werden (keine sensiblen Zahlungsdaten, Cookies, Newsletter) ansonsten: qualifizierte Datenschutzerklärung: z.B. bei Speicherung der Kundendaten unter einem Benutzernamen (Kundenkonto) oder zu Werbezwecken ->für diese Verwendungszwecke muss explizit eine Einverständniserklärung des Betroffenen eingeholt werden

Datenschutz - Grundverordnung (DS-GVO 1) Am durch das Europäische Parlament beschlossen in Kraft ab 06/2016 wirkt nach 2 Jahren in der EU einheitlich und direkt (Übergangszeit von 2 Jahren ab Inkrafttreten Ziel einheitliches und hohes Datenschutzniveau Neureglung Drittstaatentransfer 29

DS-GVO (2) Beweislast für verordnungskonformes Verhalten beim Unternehmen Strengere Regeln bei der Verarbeitung von Daten von Mitarbeitern, Kunden und Geschäftspartnern Bei Verstößen drohen hohe Geldbußen Daneben ist ggf. auch ein immaterieller Schaden zu ersetzen 30

DS-GVO (3) Bei Forderungen Dritter und Bußgeldern müssen die Unternehmen nachweisen, dass sie die Vorgaben der DS-GVO erfüllen Erfordernis umfassender Maßnahmen zur Umsetzung der DS-GVO und deren Risikoanalyse 31

DS-GVO (4) Einwilligung positiv bejahende Handlung informiert & frei Kopplungsverbot 32

DS-GVO (5) Individuelle Datenschutzrechte –Auskunft Art. 15 DS-GVO –Korrektur Art. 16 DS-GVO –Löschung Art. 17 DS-GVO „Recht auf Vergessen“, erstmals in Google v. Spain 2014 –Recht auf Datenübertragbarkeit Art. 18 II a DS-GVO –Recht auf Widerspruch zur Datenverarbeitung Art. 19 DS-GVO 33

DS-GVO (6) Sanktionen Verletzung administrativer Pflichten: <€ ,- Verletzung von Prinzipien, Betroffenenrechten, Drittstaatentransfers: <€ ,- + nationale straf- und Zivilrechtsansprüche Ab wann darf ein Kind in die Verarbeitung seiner Daten einwilligen? Mitgliedstaaten können selbst wählen zwischen Jahren 34

Vielen Dank für Ihre Aufmerksamkeit 35