Präsentation vom 22.4.2013 auf der Konferenz "Recht im Netz" von ELSA Heidelberg: Kurzer Abriss der Geschichte des Datenschutzrechts in Deutschland und der EU, Einführung in wesentliche Begriffe des Datenschutzes, Darstellung des Alternativentwurfs von Härting/Schneider, Diskussionspunkte für ein Alternativmodell zum Datenschutz fernab von BDSG, Datenschutzrichtlinie und Datenschutz-Grundverordnung
5. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
5
Was?
• Informationen, Personenbezug, Beteiligte
• Herausforderungen = SoMoClo & Big Data
• Datenschutz 1.0 = Selbstbestimmung
• Datenschutz 2.0 = DSRL und BDSG
• Datenschutz 2.5 = DS-GVO
• Datenschutz 3.0 = ?
• Fazit und Ausblick
6. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
6
Abkürzungen (1)
• DSRL = Datenschutzrichtlinie
– Richtlinie 95/46/EG vom 24.10.1995 zum Schutz
natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien
Datenverkehr
• BDSG = Bundesdatenschutzgesetz
7. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
7
Abkürzungen (2)
• DS-GVO = Datenschutz-Grundverordnung
– Vorschlag für eine Verordnung zum Schutz
natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien
Datenverkehr [KOM(2012) 11]
• AE DS-GVO = Alternativentwurf zur DS-GVO
– Alternativentwurf zur DS-GVO von
Härting/Schneider (01/13), http://goo.gl/UvCAY
8. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
8
INFORMATIONEN, PERSONENB
EZUG, BETEILIGTE
9. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
9
Informationen
• Informationen
– Wetter
– Pegelstand Rhein
– Döner Preis
– Quote für „Biete Rostlaube, Suche Traumauto“
– Anzahl Rechtsanwälte bei LLR
• Informationen = alle denkbaren Angaben
10. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
10
personenbezogene Daten (1)
• personenbezogene Daten (pbD) =
Informationen zu einer natürlichen Person
– Name
– Facebook-Account
– Arbeitgeber
– Einkommen
• pbD machen natürliche Person zum
Betroffenen
11. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
11
personenbezogene Daten (2)
• Differenzierung zwischen
– „normalen“ pbD = alle pbD
– besondere Arten pbD, § 3 Abs. 9 BDSG
– „42a“ pbD, § 42a S. 1 BDSG
• besondere Arten pbD, § 3 Abs. 9 BDSG
• pbD unter Berufsgeheimnis
• pbD zu Straftaten/Ordnungswidrigkeiten
• pbD zu Bank-/Kreditkartenkonten
12. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
12
bestimmte Person
• Personenbezug bei bestimmter Person
– Unmittelbare Zuordnung einer Information zu
einer Person
• Name (Frau X)
• E-Mail-Adresse (mit Namensnennung)
• Familienstand (Kind von Y)
• Berufliche Tätigkeit (Rechtsanwalt Z)
13. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
13
bestimmbare Person (1)
• Personenbezug bei bestimmbarer Person
– DSRL: „*…+ als bestimmbar wird eine Person
angesehen, die direkt oder indirekt identifiziert
werden kann“
– AE DS-GVO: „*…+ alle Informationen, die *…+
indirekt auf eine natürliche Person verweisen“
14. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
14
bestimmbare Person (2)
• Personenbezug bei bestimmbarer Person
– DS-GVO: „*…+ natürliche Person, die *…+ indirekt
mit Mitteln bestimmt werden kann, die der für
die Verarbeitung Verantwortliche oder jede
sonstige natürliche oder juristische Person nach
allgemeinem Ermessen aller Voraussicht nach
einsetzen würde“
15. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
15
bestimmbare Person (3)
• relative Theorie
– Bestimmbarkeit für verantwortliche Stelle
• absolute Theorie
– Bestimmbarkeit für „irgendwen“
– Auffassung der Aufsichtsbehörden
16. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
16
Anonymisierung
• Beseitigung des Personenbezugs
• Voraussetzung:
– Daten können nicht mehr oder nur mit einem
unverhältnismäßig großen Aufwand an
Zeit, Kosten und Arbeitskraft einer bestimmten
oder bestimmbaren natürlichen Person
zugeordnet werden
• Problem: Big Data
17. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
17
Pseudonymisierung
• Verstecken des Personenbezugs
• Voraussetzung:
– Ersetzen von Identifikationsmerkmalen durch ein
Kennzeichen zu dem Zweck, die Bestimmung des
Betroffenen auszuschließen oder wesentlich zu
erschweren
• pseudonymisierte pbD bleiben pbD
18. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
18
Beteiligte
• Beteiligte
– Betroffener = Subjekt
– Verantwortliche Stelle = Adressat
– Auftragsdatenverarbeiter = „Teil“ der
verantwortlichen Stelle
– Dritter = alle anderen
– Empfänger = jeder, der pbD erhält
19. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
19
Arbeitnehmer?
• Arbeitnehmer kann sein …
– … Betroffener (gegenüber Arbeitgeber)
– … Verantwortliche Stelle („CRM on his own“)
– … Auftragsdatenverarbeiter („ByoD“)
– … Empfänger (Arbeitgeberwechsel)
– … Dritter (Datendiebstahl)
20. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
20
Datenschutz vs. Privacy
• Europa
– Datenschutz = Regelung des Umgangs mit pbD
– Datensicherheit = technische Realisierung des
Datenschutzes
• USA
– Privacy = Schutz der Privatsphäre
– Data Security = Datensicherheit (wie Europa)
– Data Privacy = neue Entwicklung
22. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
22
Social Media
• Erhebung/Nutzung pbD durch Plattformen
– Google (Google+, YouTube, Keep, Mail, Picasa)
– Facebook (Home)
– Twitter (Music)
• Einbindung Social-Plugins in Websites
– 2-Click-Lösung?
• Enterprise 2.0 = unternehmensintern
23. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
23
Mobile
• Smart Devices = Smartphones, Tablets
• Erhebung/Nutzung pbD durch
– Hersteller Betriebssystem
– Hersteller/Verkäufer Apps
• pbD sind u.a.
– Geo-Daten (Lokalisierungsdienste)
– Kommunikationsdaten (Telefon, Mail, Kontakte)
24. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
24
Cloud Computing
• IaaS, PaaS, SaaS = pbD in der Cloud
– icloud.com
– office365.com
– dropbox.com
• Virtualisierung aller Informationen
• Übermittlung pbD in Drittländer
– Safe Harbor?
25. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
25
Big Data
• „Gewinnung und Nutzung relevanter
Erkenntnisse aus qualitativ
vielfältigen, unterschiedlich
strukturierten, sich schnell ändernden
Informationen ungeahnten Ausmaßes“
• Beispiele:
– Verbindungsdaten (TK), Logistikdaten (RFID)
– Verbrauchsdaten, Verschreibungsdaten (Medizin)
26. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
26
Grenzenlosigkeit
• pbD kennen keine Grenzen
• Problem: Verantwortliche Stelle (Konzern)
• Problem: Anwendbares Recht
• Problem: Zuständige Aufsichtsbehörde
27. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
27
autonomes Kirchenrecht
• Art. 140 GG i.V.m. Art. 137 Abs. 3 S. 2 WRV:
„Jede Religionsgesellschaft ordnet und verwaltet
ihre Angelegenheiten selbständig innerhalb der
Schranken des für alle geltenden Gesetzes.“
– DSG-EKD (http://goo.gl/g5OxX)
– KDO (http://goo.gl/Ro6UG)
28. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
28
DATENSCHUTZ 1.0
Recht auf informationelle
Selbstbestimmung
29. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
29
Grundgesetz
• Art. 2 Abs. 1 GG (APR):
„Jeder hat das Recht auf die freie Entfaltung seiner
Persönlichkeit, soweit er nicht die Rechte anderer
verletzt *…+.“
• Art. 1 Abs. 3 GG:
„Die Würde des Menschen ist unantastbar. Sie zu
achten und zu schützen ist Verpflichtung aller
staatlichen Gewalt.
30. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
30
Erstes Datenschutzgesetz
• Hessen 1970: weltweit erstes DSG
– maschinelle Datenverarbeitung durch Behörden
– Schutz durch geeignete personelle und
technische Vorkehrungen vor unbefugter
Einsichtnahme, Veränderung, Löschung, Abruf
– Verpflichtung auf Datengeheimnis
– Berichtigungs-/Unterlassungsansprüche
– weisungsfreier Datenschutzbeauftragter
31. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
31
Erstes BDSG
• Bund 1977: Bundesdatenschutzgesetz
– für Bundesbehörden und private Unternehmen
– Verbot mit Erlaubnisvorbehalt
– Betroffenenrechte (Auskunft, Löschung u.a.)
– Verpflichtung auf Datengeheimnis
– Auftragsdatenverarbeitung
– Datenschutzbeauftragter für Unternehmen
– Straf- und Bußgeldvorschriften
32. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
32
Volkszählungsurteil (1)
• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.
– Recht auf informationelle Selbstbestimmung als
Bestandteil des APR
• abzugrenzen vom Recht auf Gewährleistung der
Vertraulich und Integrität informationstechnischer
Systeme, BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07
– „Befugnis des Einzelnen, grundsätzlich selbst
über die Preisgabe und Verwendung seiner
persönlichen Daten zu bestimmen“
33. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
33
Volkszählungsurteil (2)
• BVerfG, Urt. 15.12.1983 – 1 BvR 209/83 u.a.
– Eingriffe nur
• im „überwiegenden Allgemeininteresse“
• bei verfassungsgemäßer gesetzlicher Grundlage
• unter Beachtung des Gebots der Normenklarheit
• und des Grundsatzes der Verhältnismäßigkeit
• mit organisatorischen und verfahrensrechtlichen
Vorkehrungen gegen Gefahren für das APR
34. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
34
DATENSCHUTZ 2.0
EU-Datenschutzrichtlinie und BDSG
35. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
35
DSRL und BDSG
• DSRL
– Richtlinie 1996 = Mindeststandard
– DSRL entspricht in weiten Teilen BDSG (1990)
und umgekehrt
• z.T. abweichende Begrifflichkeiten im BDSG
• z.T. überschießende Regulierung im BDSG
– EuGH 2011 = Vollharmonisierungswirkung
• Grundsatz: Verbot mit Erlaubnisvorbehalt
39. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
39
DATENSCHUTZ 2.5
EU-Datenschutz-Grundverordnung
40. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
40
DS-GVO
• Entwurf vom Januar 2012
– 139 Erwägungsgründe
– 91 Artikel
– Ziel: Vollharmonisierung
• Inkrafttreten vorgesehen für 2014
• Übergangsfrist zwei Jahre bis 2016
• weiterhin: Verbot mit Erlaubnisvorbehalt
41. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
41
Öffnungsklauseln
• in den Grenzen der DS-GVO für
– Presse und Kunst (Art. 80 DS-GVO)
– Beschäftigtendatenschutz (Art. 82 DS-GVO)
– Kirchen (Art. 85 DS-GVO)
42. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
42
Gestaltungsvorgaben
• Art. 23 Abs. 1 DS-GVO:
– Privacy by Design
• „datenschutzfreundliches Design“
• unter Berücksichtigung des Stands der Technik und
der Implementierungskosten
– Privacy by Default
• „datenschutzfreundliche Voreinstellungen“
43. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
43
Kinderdaten
• Verarbeitung von Kinder pbD, Art. 8 DS-GVO
– Abs. 1: „Für die Zwecke dieser Verordnung ist die
Verarbeitung von pbD eines Kindes bis zum
vollendeten dreizehnten Lebensjahr, dem direkt
Dienste der Informationsgesellschaft angeboten
werden, nur rechtmäßig, wenn und insoweit die
Einwilligung hierzu durch die Eltern *…+ erteilt
wird. Der *…+ Verantwortliche unternimmt *…+
angemessene Anstrengungen, um eine
nachprüfbare Einwilligung zu erhalten.“
44. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
44
„Vergessen werden“ (1)
• Recht auf Vergessenwerden, Art. 17 DS-GVO
– Abs. 1: „Die betroffene Person hat das Recht, von
dem für die Verarbeitung Verantwortlichen die
Löschung von sie betreffenden pbD und die
Unterlassung jeglicher weiteren Verbreitung
dieser Daten zu verlangen, *…+“
45. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
45
„Vergessen werden“ (2)
• Recht auf Vergessenwerden, Art. 17 DS-GVO
– Abs. 2: „Hat der in Abs. 1 genannte *…+
Verantwortliche die pbD öffentlich
gemacht, unternimmt er in Bezug auf die Daten, für
deren Veröffentlichung er verantwortlich
zeichnet, alle vertretbaren Schritte, auch technischer
Art, um Dritte, die die Daten verarbeiten, darüber zu
informieren, dass eine betroffene Person von ihnen
die Löschung aller Querverweise auf diese pbD oder
von *…+ Replikationen dieser Daten verlangt.“
46. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
46
„Interoperabilität“ (1)
• Recht auf Datenübertragbarkeit, 18 DS-GVO
– Abs. 1: „Werden pbD elektronisch in einem
strukturierten gängigen elektronischen Format
verarbeitet, hat die betroffene Person das
Recht, von dem *…+ Verantwortlichen eine Kopie
der verarbeiteten Daten in einem von ihr weiter
verwendbaren strukturierten gängigen
elektronischen Format zu verlangen.“
47. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
47
„Interoperabilität“ (2)
• Recht auf Datenübertragbarkeit, 18 DS-GVO
– Abs. 2: „Hat die betroffene Person die pbD zur
Verfügung gestellt und basiert die Verarbeitung
auf einer Einwilligung oder einem Vertrag, hat die
betroffene Person das Recht, diese pbD *…+ in
einem gängigen elektronischen Format in ein
anderes System zu überführen, ohne dabei von
dem Verantwortlichen, dem die pbD entzogen
werden, behindert zu werden.“
49. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
49
Fragen (1)
• Datenschutz und Kommunikationsfreiheit?
• Daten als Eigentum oder Allgemeingut?
• Schutz von pbD im „Schwarz-Weiß-Schema“?
• Gleichwertigkeit aller pbD?
• Verbot oder Erlaubnis?
• Einwilligung als Schutzinstrument?
50. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
50
Fragen (2)
• Transparenz als Schutzinstrument?
• Gesetzes- oder Vollzugsdefizit?
• Zersplitterung und Widersprüche beseitigen?
(Leitlinien Härting/Schneider: http://goo.gl/zVqZP)
51. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
51
AE DS-GVO (1)
• Art. 1 Abs. 3 AE DS-GVO:
– „Der freie Informationsfluss und der freie
Verkehr von Waren und Dienstleistungen in der
Union darf aus Gründen des Schutzes natürlicher
Personen bei der Verarbeitung
personenbezogener Informationen weder
eingeschränkt noch verboten werden.“
52. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
52
AE DS-GVO (2)
• Art. 5 AE DS-GVO:
– „Personenbezogene Informationen dürfen nur
nach Treu und Glauben und unter
Rücksichtnahme auf Persönlichkeitsrechte der
betroffenen Person verarbeitet werden.“
– Erlaubnis mit Verarbeitungsvorgaben
53. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
53
AE DS-GVO (3)
• Art. 6 AE DS-GVO: Verarbeitungsvorgaben für
Unternehmen bei pbD
– Zweckbindung (lit. a)
– Transparenzverpflichtung (lit. b),
Art. 9, 10 AE DS-GVO
– Richtigkeit der Informationen (lit. c)
– keine Verletzung von Betroffenenrechten (lit. d),
Art. 11, 12 AE DS-GVO
54. ELSA Heidelberg Datenschutz 3.0 RA Sascha Kremer
Recht im Netz Workshop 22.4.2013
54
AE DS-GVO (4)
• Art. 7 AE DS-GVO: Beschränkungen für
sensible pbD, Verarbeitung nur bei u.a.
– zweckgebundene Einwilligung
– Erfüllung eines Vertrags mit Betroffenem
– Erfüllung von Pflichten aus dem Arbeitsvertrag
– Erfüllung gesetzlicher Pflichten
– Schutz lebenswichtiger Interessen
– Durchsetzung von Rechtsansprüchen