Das neue Datenschutzrecht der EU Ralf Bendrath senior policy advisor Jan Philipp Albrecht MdEP

Die EU-Datenschutzreform Warum #EUdataP? Update der Regeln von 1995 aber Festhalten an bewährten Prinzipien Digitaler Binnenmarkt Vertrauen und Rechtssicherheit Schlupflöcher schließen Bessere Durchsetzung Globaler „Goldstandard“

EU Primärrecht

Artikel 16 AEUV (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.   (2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht.

Artikel 8 EU Grundrechte-Charta (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

EU: ordentliche Gesetzgebung Civil Liberties, Justice & Home Affairs Justice & Home Affairs Council of Committee Ministers (LIBE-Ausschuss) (JI-Rat) Hauptverhandler: Hauptverhandler: Jan Philipp Albrecht MdEP Felix Braz, Luxemburger Justizminister

Mehr als vier Jahre (plus 2) KOM Gesetzesvorschlag: Januar 2012 EP erste Lesung: März 2014 Rat allgemeine Ausrichtung: Juni 2015 Politische Einigung: Dezember 2015 Sprachjuristen, Übersetzungen: April 2016 Veröffentlichung, Inkrafttreten: Mai 2016 Korrigendum: noch ausstehend Anwendung: 25. Mai 2018

3999 Änderungsanträge

Die armen Bäume...

Kernpunkte I Definition personenbezogener Daten IP-Nummern, RFID etc. dabei „Aussondern“ („single out“) Sachlicher Anwendungsbereich: private und öffentliche Stellen nicht: Strafverfolgung / nationale Sicherheit Räumlicher Anwendungsbereich Marktortprinzip gilt auch für Schweizer Unternehmen, die in der EU Waren und Dienstleistungen anbieten

Kernpunkte II Zweckbindung Datenminimierung, Speicherbegrenzung Rechtsgrundlagen: Einwilligung Vertrag rechtliche Verpflichtung lebenswichtige Interessen öffentliche Stelle berechtigte Interessen

Berechtigte Interessen zweistufiger Test Interessen der Verarbeiter & der Betroffenen vernünftigerweise absehbar, basierend auf der Beziehung zur verantwortlichen Stelle Direktwerbung kann legitim sein Widerspruch immer möglich auch automatisch (Do Not Track)

Kernpunkte IV Informationspflichten Datenübertragbarkeit Profiling „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ Datenübertragbarkeit Profiling Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen

Risiko-basierter Ansatz „Eintrittswahrscheinlichkeit und Schwere des Risikos [werden] in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt” hohes Risiko: mehr Auflagen Konsultation Folgenabschätzung Meldepflicht

Durchsetzung Geldbußen bis zu 4% des Weltumsatzes Konsistenz Strafrecht weiterhin möglich Konsistenz „One-stop shop“ Europäischer Datenschutzausschuss letzte Entscheidung dort Aufsichtsbehörden ausreichend personelle, technische und finanzielle Ressourcen

Drittstaaten? Angemessenheitsbeschluss geeignete Garantien EuGH: „in der Substanz gleichwertig“ Zugang der Behörden zu personenbezogenen Daten? Klagemöglichkeit? geeignete Garantien Standardvertragsklauseln, BCRs, Zertifizierung Ausnahmen: Einwilligung, Vertrag etc.

Danke für die Aufmerksamkeit! ralf.bendrath@europarl.europa.eu @bendrath www.janalbrecht.eu #EUdataP