Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013

ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
1
Datenschutz 3.0
Sascha Kremer
LLR LegerlotzLaschet Rechtsanwälte
22.4.2013

2
WER?

3
Wer?
• Sascha Kremer
– Rechtsanwalt/Partner, LLR (www.llr.de)
– Geschäftsführer LLR DSC GmbH (www.llrdsc.de)
– externer Datenschutzbeauftragter (TÜV)
– Lehrbeauftragter HHU Düsseldorf
• Rechtsgebiete, insb.
– IT-(Vertrags-)Recht
– Datenschutzrecht

4
WAS?

5
Was?
• Informationen, Personenbezug, Beteiligte
• Herausforderungen = SoMoClo & Big Data
• Datenschutz 1.0 = Selbstbestimmung
• Datenschutz 2.0 = DSRL und BDSG
• Datenschutz 2.5 = DS-GVO
• Datenschutz 3.0 = ?
• Fazit und Ausblick

6
Abkürzungen (1)
• DSRL = Datenschutzrichtlinie
– Richtlinie 95/46/EG vom 24.10.1995 zum Schutz
natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien
Datenverkehr
• BDSG = Bundesdatenschutzgesetz

7
Abkürzungen (2)
• DS-GVO = Datenschutz-Grundverordnung
– Vorschlag für eine Verordnung zum Schutz
natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien
Datenverkehr [KOM(2012) 11]
• AE DS-GVO = Alternativentwurf zur DS-GVO
– Alternativentwurf zur DS-GVO von
Härting/Schneider (01/13), http://goo.gl/UvCAY

8
INFORMATIONEN, PERSONENB
EZUG, BETEILIGTE

9
Informationen
• Informationen
– Wetter
– Pegelstand Rhein
– Döner Preis
– Quote für „Biete Rostlaube, Suche Traumauto“
– Anzahl Rechtsanwälte bei LLR
• Informationen = alle denkbaren Angaben

10
personenbezogene Daten (1)
• personenbezogene Daten (pbD) =
Informationen zu einer natürlichen Person
– Name
– Facebook-Account
– Arbeitgeber
– Einkommen
• pbD machen natürliche Person zum
Betroffenen

11
personenbezogene Daten (2)
• Differenzierung zwischen
– „normalen“ pbD = alle pbD
– besondere Arten pbD, § 3 Abs. 9 BDSG
– „42a“ pbD, § 42a S. 1 BDSG
• besondere Arten pbD, § 3 Abs. 9 BDSG
• pbD unter Berufsgeheimnis
• pbD zu Straftaten/Ordnungswidrigkeiten
• pbD zu Bank-/Kreditkartenkonten

12
bestimmte Person
• Personenbezug bei bestimmter Person
– Unmittelbare Zuordnung einer Information zu
einer Person
• Name (Frau X)
• E-Mail-Adresse (mit Namensnennung)
• Familienstand (Kind von Y)
• Berufliche Tätigkeit (Rechtsanwalt Z)

13
bestimmbare Person (1)
• Personenbezug bei bestimmbarer Person
– DSRL: „*…+ als bestimmbar wird eine Person
angesehen, die direkt oder indirekt identifiziert
werden kann“
– AE DS-GVO: „*…+ alle Informationen, die *…+
indirekt auf eine natürliche Person verweisen“

14
• Personenbezug bei bestimmbarer Person
– DS-GVO: „*…+ natürliche Person, die *…+ indirekt
mit Mitteln bestimmt werden kann, die der für
die Verarbeitung Verantwortliche oder jede
sonstige natürliche oder juristische Person nach
allgemeinem Ermessen aller Voraussicht nach
einsetzen würde“

15
• relative Theorie
– Bestimmbarkeit für verantwortliche Stelle
• absolute Theorie
– Bestimmbarkeit für „irgendwen“
– Auffassung der Aufsichtsbehörden

16
Anonymisierung
• Beseitigung des Personenbezugs
• Voraussetzung:
– Daten können nicht mehr oder nur mit einem
unverhältnismäßig großen Aufwand an
Zeit, Kosten und Arbeitskraft einer bestimmten
oder bestimmbaren natürlichen Person
zugeordnet werden
• Problem: Big Data

17
Pseudonymisierung
• Verstecken des Personenbezugs
• Voraussetzung:
– Ersetzen von Identifikationsmerkmalen durch ein
Kennzeichen zu dem Zweck, die Bestimmung des
Betroffenen auszuschließen oder wesentlich zu
erschweren
• pseudonymisierte pbD bleiben pbD

18
Beteiligte
• Beteiligte
– Betroffener = Subjekt
– Verantwortliche Stelle = Adressat
– Auftragsdatenverarbeiter = „Teil“ der
verantwortlichen Stelle
– Dritter = alle anderen
– Empfänger = jeder, der pbD erhält

19
Arbeitnehmer?
• Arbeitnehmer kann sein …
– … Betroffener (gegenüber Arbeitgeber)
– … Verantwortliche Stelle („CRM on his own“)
– … Auftragsdatenverarbeiter („ByoD“)
– … Empfänger (Arbeitgeberwechsel)
– … Dritter (Datendiebstahl)

20
Datenschutz vs. Privacy
• Europa
– Datenschutz = Regelung des Umgangs mit pbD
– Datensicherheit = technische Realisierung des
Datenschutzes
• USA
– Privacy = Schutz der Privatsphäre
– Data Security = Datensicherheit (wie Europa)
– Data Privacy = neue Entwicklung

21
HERAUSFORDERUNGEN

22
Social Media
• Erhebung/Nutzung pbD durch Plattformen
– Google (Google+, YouTube, Keep, Mail, Picasa)
– Facebook (Home)
– Twitter (Music)
• Einbindung Social-Plugins in Websites
– 2-Click-Lösung?
• Enterprise 2.0 = unternehmensintern

23
Mobile
• Smart Devices = Smartphones, Tablets
• Erhebung/Nutzung pbD durch
– Hersteller Betriebssystem
– Hersteller/Verkäufer Apps
• pbD sind u.a.
– Geo-Daten (Lokalisierungsdienste)
– Kommunikationsdaten (Telefon, Mail, Kontakte)

24
Cloud Computing
• IaaS, PaaS, SaaS = pbD in der Cloud
– icloud.com
– office365.com
– dropbox.com
• Virtualisierung aller Informationen
• Übermittlung pbD in Drittländer
– Safe Harbor?

25
Big Data
• „Gewinnung und Nutzung relevanter
Erkenntnisse aus qualitativ
vielfältigen, unterschiedlich
strukturierten, sich schnell ändernden
Informationen ungeahnten Ausmaßes“
• Beispiele:
– Verbindungsdaten (TK), Logistikdaten (RFID)
– Verbrauchsdaten, Verschreibungsdaten (Medizin)

26
Grenzenlosigkeit
• pbD kennen keine Grenzen
• Problem: Verantwortliche Stelle (Konzern)
• Problem: Anwendbares Recht
• Problem: Zuständige Aufsichtsbehörde

27
autonomes Kirchenrecht
• Art. 140 GG i.V.m. Art. 137 Abs. 3 S. 2 WRV:
„Jede Religionsgesellschaft ordnet und verwaltet
ihre Angelegenheiten selbständig innerhalb der
Schranken des für alle geltenden Gesetzes.“
– DSG-EKD (http://goo.gl/g5OxX)
– KDO (http://goo.gl/Ro6UG)

28
DATENSCHUTZ 1.0
Recht auf informationelle
Selbstbestimmung

29
Grundgesetz
• Art. 2 Abs. 1 GG (APR):
„Jeder hat das Recht auf die freie Entfaltung seiner
Persönlichkeit, soweit er nicht die Rechte anderer
verletzt *…+.“
• Art. 1 Abs. 3 GG:
„Die Würde des Menschen ist unantastbar. Sie zu
achten und zu schützen ist Verpflichtung aller
staatlichen Gewalt.

30
Erstes Datenschutzgesetz
• Hessen 1970: weltweit erstes DSG
– maschinelle Datenverarbeitung durch Behörden
– Schutz durch geeignete personelle und
technische Vorkehrungen vor unbefugter
Einsichtnahme, Veränderung, Löschung, Abruf
– Verpflichtung auf Datengeheimnis
– Berichtigungs-/Unterlassungsansprüche
– weisungsfreier Datenschutzbeauftragter

31
Erstes BDSG
• Bund 1977: Bundesdatenschutzgesetz
– für Bundesbehörden und private Unternehmen
– Verbot mit Erlaubnisvorbehalt
– Betroffenenrechte (Auskunft, Löschung u.a.)
– Verpflichtung auf Datengeheimnis
– Auftragsdatenverarbeitung
– Datenschutzbeauftragter für Unternehmen
– Straf- und Bußgeldvorschriften

32
Volkszählungsurteil (1)
• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.
– Recht auf informationelle Selbstbestimmung als
Bestandteil des APR
• abzugrenzen vom Recht auf Gewährleistung der
Vertraulich und Integrität informationstechnischer
Systeme, BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07
– „Befugnis des Einzelnen, grundsätzlich selbst
über die Preisgabe und Verwendung seiner
persönlichen Daten zu bestimmen“

33
Volkszählungsurteil (2)
• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.
– Eingriffe nur
• im „überwiegenden Allgemeininteresse“
• bei verfassungsgemäßer gesetzlicher Grundlage
• unter Beachtung des Gebots der Normenklarheit
• und des Grundsatzes der Verhältnismäßigkeit
• mit organisatorischen und verfahrensrechtlichen
Vorkehrungen gegen Gefahren für das APR

34
DATENSCHUTZ 2.0
EU-Datenschutzrichtlinie und BDSG

35
DSRL und BDSG
• DSRL
– Richtlinie 1996 = Mindeststandard
– DSRL entspricht in weiten Teilen BDSG (1990)
und umgekehrt
• z.T. abweichende Begrifflichkeiten im BDSG
• z.T. überschießende Regulierung im BDSG
– EuGH 2011 = Vollharmonisierungswirkung
• Grundsatz: Verbot mit Erlaubnisvorbehalt

36
Zuordnung
• Öffentliches Recht
– Befugnisse der Aufsichtsbehörden, § 38 BDSG
• Strafrecht
– §§ 43, 44 BDSG
• Zivilrecht
– Haftung, § 7 BDSG
– Ansprüche Betroffener, §§ 34, 35 BDSG

37
Gesetzliche Erlaubnis
• BDSG
– insb. § 28 Abs. 1 S. 1 Nr. 1, Nr. 2 BDSG
• Spezialgesetz, z.B.
– Sozialdaten: §§ 67 ff. SGB X
– Telekommunikationsdaten: §§ 91 ff. TKG
– Telemediendaten: §§ 11 ff. TMG
• Betriebsvereinbarung

38
Einwilligung
• Anforderungen:
– Einwilligungsfähigkeit
• nicht: Geschäftsfähigkeit
– (regelmäßig entbehrliche) Schriftlichkeit
– Freiwilligkeit
• Problem: Über-/Unterordnungsverhältnis
– Bestimmtheit
– Informiertheit

39
DATENSCHUTZ 2.5
EU-Datenschutz-Grundverordnung

40
DS-GVO
• Entwurf vom Januar 2012
– 139 Erwägungsgründe
– 91 Artikel
– Ziel: Vollharmonisierung
• Inkrafttreten vorgesehen für 2014
• Übergangsfrist zwei Jahre bis 2016
• weiterhin: Verbot mit Erlaubnisvorbehalt

41
Öffnungsklauseln
• in den Grenzen der DS-GVO für
– Presse und Kunst (Art. 80 DS-GVO)
– Beschäftigtendatenschutz (Art. 82 DS-GVO)
– Kirchen (Art. 85 DS-GVO)

42
Gestaltungsvorgaben
• Art. 23 Abs. 1 DS-GVO:
– Privacy by Design
• „datenschutzfreundliches Design“
• unter Berücksichtigung des Stands der Technik und
der Implementierungskosten
– Privacy by Default
• „datenschutzfreundliche Voreinstellungen“

43
Kinderdaten
• Verarbeitung von Kinder pbD, Art. 8 DS-GVO
– Abs. 1: „Für die Zwecke dieser Verordnung ist die
Verarbeitung von pbD eines Kindes bis zum
vollendeten dreizehnten Lebensjahr, dem direkt
Dienste der Informationsgesellschaft angeboten
werden, nur rechtmäßig, wenn und insoweit die
Einwilligung hierzu durch die Eltern *…+ erteilt
wird. Der *…+ Verantwortliche unternimmt *…+
angemessene Anstrengungen, um eine
nachprüfbare Einwilligung zu erhalten.“

44
„Vergessen werden“ (1)
• Recht auf Vergessenwerden, Art. 17 DS-GVO
– Abs. 1: „Die betroffene Person hat das Recht, von
dem für die Verarbeitung Verantwortlichen die
Löschung von sie betreffenden pbD und die
Unterlassung jeglicher weiteren Verbreitung
dieser Daten zu verlangen, *…+“

45
„Vergessen werden“ (2)
• Recht auf Vergessenwerden, Art. 17 DS-GVO
– Abs. 2: „Hat der in Abs. 1 genannte *…+
Verantwortliche die pbD öffentlich
gemacht, unternimmt er in Bezug auf die Daten, für
deren Veröffentlichung er verantwortlich
zeichnet, alle vertretbaren Schritte, auch technischer
Art, um Dritte, die die Daten verarbeiten, darüber zu
informieren, dass eine betroffene Person von ihnen
die Löschung aller Querverweise auf diese pbD oder
von *…+ Replikationen dieser Daten verlangt.“

46
„Interoperabilität“ (1)
• Recht auf Datenübertragbarkeit, 18 DS-GVO
– Abs. 1: „Werden pbD elektronisch in einem
strukturierten gängigen elektronischen Format
verarbeitet, hat die betroffene Person das
Recht, von dem *…+ Verantwortlichen eine Kopie
der verarbeiteten Daten in einem von ihr weiter
verwendbaren strukturierten gängigen
elektronischen Format zu verlangen.“

47
„Interoperabilität“ (2)
• Recht auf Datenübertragbarkeit, 18 DS-GVO
– Abs. 2: „Hat die betroffene Person die pbD zur
Verfügung gestellt und basiert die Verarbeitung
auf einer Einwilligung oder einem Vertrag, hat die
betroffene Person das Recht, diese pbD *…+ in
einem gängigen elektronischen Format in ein
anderes System zu überführen, ohne dabei von
dem Verantwortlichen, dem die pbD entzogen
werden, behindert zu werden.“

48
DATENSCHUTZ 3.0
?

49
Fragen (1)
• Datenschutz und Kommunikationsfreiheit?
• Daten als Eigentum oder Allgemeingut?
• Schutz von pbD im „Schwarz-Weiß-Schema“?
• Gleichwertigkeit aller pbD?
• Verbot oder Erlaubnis?
• Einwilligung als Schutzinstrument?

50
Fragen (2)
• Transparenz als Schutzinstrument?
• Gesetzes- oder Vollzugsdefizit?
• Zersplitterung und Widersprüche beseitigen?
(Leitlinien Härting/Schneider: http://goo.gl/zVqZP)

51
AE DS-GVO (1)
• Art. 1 Abs. 3 AE DS-GVO:
– „Der freie Informationsfluss und der freie
Verkehr von Waren und Dienstleistungen in der
Union darf aus Gründen des Schutzes natürlicher
Personen bei der Verarbeitung
personenbezogener Informationen weder
eingeschränkt noch verboten werden.“

52
AE DS-GVO (2)
• Art. 5 AE DS-GVO:
– „Personenbezogene Informationen dürfen nur
nach Treu und Glauben und unter
Rücksichtnahme auf Persönlichkeitsrechte der
betroffenen Person verarbeitet werden.“
– Erlaubnis mit Verarbeitungsvorgaben

53
AE DS-GVO (3)
• Art. 6 AE DS-GVO: Verarbeitungsvorgaben für
Unternehmen bei pbD
– Zweckbindung (lit. a)
– Transparenzverpflichtung (lit. b),
Art. 9, 10 AE DS-GVO
– Richtigkeit der Informationen (lit. c)
– keine Verletzung von Betroffenenrechten (lit. d),
Art. 11, 12 AE DS-GVO

54
AE DS-GVO (4)
• Art. 7 AE DS-GVO: Beschränkungen für
sensible pbD, Verarbeitung nur bei u.a.
– zweckgebundene Einwilligung
– Erfüllung eines Vertrags mit Betroffenem
– Erfüllung von Pflichten aus dem Arbeitsvertrag
– Erfüllung gesetzlicher Pflichten
– Schutz lebenswichtiger Interessen
– Durchsetzung von Rechtsansprüchen

55
FAZIT UND AUSBLICK

56
?
?

57
Vielen Dank für Ihre
Aufmerksamkeit!
Rechtsanwalt Sascha Kremer
Mail: sascha.kremer@llr.de
Festnetz: 0221/55400170
Mobil: 0177/3026626
Fax: 0221/55400192

Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013

Similar to Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013 (12)

Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013