DS-GVO: Was kommt, was bleibt? Grundzüge des BDSG-Nachfolgegesetzes Datenschutz in der Medizin – Update 2016 Berlin, 10. November 2016 Dr. Jost Onstein Referent im Bundesministerium des Innern

Regelungsziele der DS-GVO: I. Die DS-GVO: Regelungsziele Art. 1 Abs. 1 DS-GVO „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ Regelungsziele der DS-GVO: Modernisierung und Harmonisierung des Datenschutzrechts Vergleichsmaßstab: Datenschutzrichtlinie 95/46/EG Absender | Titel 18.09.2018

Modernisierung des europäischen Datenschutzrechts, z.B. durch… I. Die DS-GVO: Regelungsziele Modernisierung des europäischen Datenschutzrechts, z.B. durch… … Stärkung der Betroffenenrechte … höhere Anforderungen an den technologischen Datenschutz … Stärkung der Selbstregulierung (Zertifizierung, Codes of Conduct) … Stärkung der Befugnisse der Datenschutzaufsicht Absender | Titel 18.09.2018

Harmonisierung des europäischen Datenschutzrechts, z.B. durch … I. Die DS-GVO: Regelungsziele Harmonisierung des europäischen Datenschutzrechts, z.B. durch … …Einbeziehung von Anbietern aus Drittstaaten (Marktortprinzip) …einheitlicher Ansprechpartner für Wirtschaft (One Stop-Shop) …einheitlicher Datenschutz-Vollzug (Europäischer DS-Ausschuss) … aber vor allem durch: Rechtsinstrument der EU-Verordnung Art. 288 AEUV: „Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat“ Absender | Titel 18.09.2018

Harmonisierung durch das Rechtsinstrument der EU-Verordnung I. Die DS-GVO: Regelungsziele Harmonisierung durch das Rechtsinstrument der EU-Verordnung Aufhebung des nationalen Datenschutzrechts als Konsequenz? Nein, denn DS-GVO trifft keine abschließende Regelung: über 50 Öffnungsklausen zugunsten des nationalen Gesetzgebers in den 99 Artikeln der DS-GVO z.T. zwingend umzusetzen bis Anwendbarkeit DSGVO (Regelungsaufträge) z.T. steht Aktivierung und deren Zeitpunkt MS frei (Regelungsoptionen) (nur) i.R. dieser Gestaltungsspielräume besteht nationales Datenschutzrecht fort („DS-GVO-Ergänzungsgesetz“) Absender | Titel 18.09.2018

„Baukasten des Datenschutzrechts“ II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? „Baukasten des Datenschutzrechts“ BDSG DS-GVO Rechtsgrundlagen §§ 13 – 16; §§ 28 – 32; § 4a; §§ 4 b, c; §§ 40, 41; … Kapitel II, V, IX Betroffenenrechte §§ 19 – 21, §§ 33 - 35 Kapitel III Betreiberpflichten §§ 4d – 4g; § 9; § 11; § 18; … Kapitel IV Datenschutzaufsicht §§ 22 – 26, 38 Kapitel VI, VII Haftung, Sanktionen, Rechtsschutz §§ 7, 8; §§ 43, 44 Kapitel VIII Absender | Titel 18.09.2018

Rechtsgrundlagen (RGL) der Datenverarbeitung II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Rechtsgrundlagen (RGL) der Datenverarbeitung Vorgaben DS-GVO Norm Rechtsgrundlagen in DS-GVO unmittelbar geregelt Mitgliedstaaten können schaffen/beibehalten… RGL zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe RGL für zweckändernde Weiterverarbeitungen RGL für besondere Verarbeitungssituationen RGL für die Verarbeitung „sensibler“ Daten Art. 6 I, Art. 9 II Art. 6 II, III i.V.m. Art. 6 I lit. c), e) Art. 6 IV Art. 85ff. Art. 9 II lit. b), g) – j) Folgen für das deutsche Datenschutzrecht, insb. BDSG RGL der Einwilligung, Vertrag, Interessenabwägung sind zu streichen Erhalten (ggf. modifiziert) bleiben können RGL… für öffentliche Stellen (Datenverarbeitung im „öffentl. Interesse“) für nicht-öffentliche Stellen nur, sofern Art. 6 I c) oder e) erfüllt für zweckändernde Weiterverarbeitungen für besondere Verarbeitungssituationen für die Verarbeitung „sensibler“ Daten §§ 4a, 28ff. BDSG,FachR §§ 13 – 16, FachR Ggf. FachR z.B. § 14 II BDSG, FachR z.B. § 32 BDSG, FachR z.B. § 13 II BDSG, FachR Absender | Titel 18.09.2018

Rechtsgrundlagen (RGL) der Datenverarbeitung II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Rechtsgrundlagen (RGL) der Datenverarbeitung erhebliche Gestaltungsspielräume im öffentlichen Bereich Datenverarbeitung „im öffentlichen Interesse“ i.S.d. Art. 6 Abs. 1 lit. e) DS-GVO geringe Gestaltungsspielräume im nicht-öffentlichen Bereich weitgehende Harmonisierung auf europäischer Ebene Leitgedanke „freier Datenverkehr“ Rechtsvereinheitlichung (auch) zugunsten der Wirtschaft Absender | Titel 18.09.2018

Betroffenenrechte Vorgaben DS-GVO Norm II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Betroffenenrechte Vorgaben DS-GVO Norm Betroffenenrechte in DS-GVO unmittelbar und abschließend geregelt Mitgliedstaaten können Betroffenenrechte… aus übergeordneten Belangen beschränken, z.B. öffentl. Sicherheit oder sonstige wichtiger Ziele des allg. öffentl. Interesses; Schutz der Rechte u Freiheiten anderer Personen bei DV zu privilegierten Zwecken (Archive, Forschung, Statistik) unter erleichterten Bedingungen einschränken insb. Art. 13 - 22 Art. 23 Art. 89 II, III Folgen für das deutsche Datenschutzrecht, insb. BDSG Keine positive Regelung der Betroffenenrechte mehr möglich Einschränkungen im nationalen Recht möglich, insb. durch (modifizierenden) Erhalt der bestehenden Einschränkungen zugunsten öffentlicher und nicht-öffentlicher Stellen §§ 19ff., 33ff., FachR Absender | Titel 18.09.2018

Betreiberpflichten Vorgaben DS-GVO Norm II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Betreiberpflichten Vorgaben DS-GVO Norm Betreiberpflichten in DS-GVO unmittelbar geregelt, u.a. technisch-organisatorische Maßnahmen, Datensicherheit Privacy by Design/by Default Auftragsverarbeitung Verzeichnis von Verarbeitungstätigkeiten Meldung von „Datenschutzpannen“ Datenschutz-Folgeabschätzung Konsultationspflicht mit der zuständigen Aufsichtsbehörde Bestellung betrieblicher/behördlicher Datenschutzbeauftragter insb. Art. 24 – 39 Art. 24, 32 Art. 25 Art. 28 Art. 30 Art. 33, 34 Art. 35 Art. 36 Art. 37 Folgen für das deutsche Datenschutzrecht, insb. BDSG Mit den Vorgaben der DS-GVO korrelierende Vorschriften entfallen, ua Technische und organisatorische Maßnahmen Datenvermeidung und Datensparsamkeit Auftragsdatenverarbeitung Meldepflichten, Verfahrensverzeichnis Informationspflicht b. unrechtmäßiger Kenntniserlangung v. Daten Vorabkontrolle Datenschutzbeauftragte (Ausn.: Verschwiegenheit, Kündigungs-schutz, zusätzl. Voraussetzung für Bestellung betriebl. DSB) § 9 BDSG § 3a BDSG § 11 BDSG §§ 4d, e; § 4g II BDSG § 42a BDSG § 4d V BDSG § 4f, g BDSG Absender | Titel 18.09.2018

Datenschutzaufsicht Vorgaben DS-GVO Norm II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Datenschutzaufsicht Vorgaben DS-GVO Norm Zuständigkeit, Aufgaben, Befugnisse in DS-GVO unmittelbar geregelt Mitgliedstaaten müssen völlige Unabhängigkeit der Aufsichtsbehörden sicherstellen bei mehreren nat. Aufsichtsbehörden eine Aufsichtsbehörde zum Vertreter im Europäischen Datenschutzausschuss bestimmen i.R. der Vorgaben der DS-GVO die Einzelheiten der Ernennung und Errichtung (z.B. Amtszeit, Qualifikationen) regeln Art. 57-59 Art. 52 Art. 51 III Art. 53, 54 Folgen für das deutsche Datenschutzrecht, insb. BDSG Anpassung der Vorschriften erforderlich zur Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie der Aufsichtsbehörden der Länder im nicht-öffentlichen Bereich Benennung einer Aufsichtsbehörde zum gemeinsamen Vertreter im Europäischen Datenschutzausschuss und Verfahren der nationalen Willensbildung §§ 22 – 26 BDSG § 38 BDSG Neu Absender | Titel 18.09.2018

Haftung, Sanktionen, Rechtsschutz II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Haftung, Sanktionen, Rechtsschutz Vorgaben DS-GVO Norm Schadensersatz: in DS-GVO unmittelbar und abschließend geregelt Sanktionen: DS-GVO regelt allg. Bedingungen für Geldbußen einschl. Höhe (bis 4 % des Jahresumsatzes oder 20 Mio. €) Mitgliedstaaten müssen schaffen Strafrechtliche Sanktionen Bußgeldverfahren und Rechtsschutz gegen Geldbußen Art. 82 Art. 83 Art. 84 Art. 83 VIII Folgen für das deutsche Datenschutzrecht, insb. BDSG Schadensersatz: Regelungen sind zu streichen Bußgelder: Bußgeldvorschriften sind zu streichen Bußgeldverfahren in entspr. Anwendung des OWiG Strafvorschriften: können modifiziert erhalten bleiben §§ 7, 8 BDSG § 43 BDSG, ggf. FachR Neu § 44 BDSG, ggf. FachR Absender | Titel 18.09.2018

Ergebnis: Die Struktur des BDSG wandelt sich grundlegend II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Ergebnis: Die Struktur des BDSG wandelt sich grundlegend weniger Rechtsgrundlagen (nur in Ergänzung zu DS-GVO) Betroffenenrechte nur in Einschränkung der DS-GVO weniger Betreiberpflichten (nur in Ergänzung zu DS-GVO) neue institutionelle Regelungen (Datenschutzaufsicht) neue verfahrensrechtliche Regelungen (Geldbußen, Rechtschutz) Absender | Titel 18.09.2018

II. DS-GVO und nationales Datenschutzrecht – Was kommt? Was bleibt? Ergebnis: Weitgehender Erhalt des bereichsspezifischen Datenschutzrechts FachR kann Fachrecht regelt Datenverarbeitung „im öffentlichen Interesse“ (Öffnungsklausel Art. 6 I lit. e) i.V.m. II, III DS-GVO) Erhalt des hohen fachspezifischen Datenschutzniveaus wesentliches Ziel der DEU-Verhandlungen zur DS-GVO DS-GVO kann in 99 Artikeln nicht all das regeln, wofür in Deutschland Hunderte von spezifischen Rechtsnormen bestehen In jedem Fall notwendig: umfassende Rechtsbereinigung Verweise in BDSG, Terminologie 18.09.2018

Bundesministerium des Innern Alt-Moabit 140, 10557 Berlin Dr. Jost Onstein Referent für Datenschutzrecht – Tel.: 030 18681 - 10736 Email: jost.onstein@bmi.bund.de Absender | Titel 18.09.2018