internationales (deutsches) datenschutzrecht nikolaus forgó [email protected]
TRANSCRIPT
Disclaimer
„A law professor is someone smart enough to get a Ph.D., but too crazy to make a living.“
Rechtsgrundlagen
• Völkerrechtliche Grundlagen – (zB Übereinkommen des Europarats vom 28.
Januar 1981)– EMRK, EU-Grundrechtecharta
• EU-Richtlinie(n), (EU-Verordnung)• Allgemeine DSG von Bund und Ländern• Besondere Gesetze (Melderecht,
Hochschulrecht, Verfassungsschutz, etc.)
Rechtlicher Rahmen• Europa
– Grundrechtecharta– DSRL– DS in el. Kommunikation– E-Commerce RL– Signatur RL– Vorratsdaten-
speicherung
– Citizens‘ rights– Better regulation
• Deutschland– BDSG– TMG (früher TDDSG
und MDStV)– TKG– Informationsfreiheits-
gesetz(e)– De-Mail-Gesetz
– Länder-DSG– Judikatur
Nationales (deutsches) Recht
• BDSG• Ländergesetze – zB Niedersächsisches
Datenschutzgesetz (NDSG) in der Fassung vom 29. Januar 2002 (Nds. GVBl. S. 22 – VORIS 20600 02 –), geändert durch Artikel 11 des Gesetzes vom 16. Dezember 2004 (Nds. GVBl. S. 634)
Vorgeschichte
• Volkszählungsurteil vom 15. 12. 1983– Grundrecht auf informationelle
Selbstbestimmung– Keine Differenzierung zwischen sensiblen und
nicht sensiblen Daten– Der Einzelne soll selbst über die Preisgabe
und Verwendung seiner personenbezogenen Daten bestimmen können.
Deutsche nationale Besonderheiten
• Grundrecht auf informationelle Selbstbestimmung (keine unmittelbare Drittwirkung)
• Subsidiäre Anwendbarkeit des BDSG• Anonymisieren und Pseudonymisieren legal
definiert (§ 3 VI, Via BDSG)• Strenge Zweckidentität (nicht
Zweckvereinbarkeit)• Verbot der nationalen Kennziffer• Bundesbeauftragter für den Datenschutz und die
Informationsfreiheit
Nationale Besonderheit II:Beauftragter für den Datenschutz
• Bei nichtöffentlichen Stellen (§ 4f I BDSG)• Immer, wenn Vorabkontrolle unterliegend • Intern oder extern (§ 4f II Satz 2 BDSG)
Datenschutzbeauftragter II
• Erforderliche Fachkunde und Zuverlässigkeit (§ 4f II BDSG)
• Unmittelbar der Leitung unterstellt (§ 4 III BDSG)
• Verschwiegenheitspflicht (§ 4 f IV BDSG)• Bei bestelltem Datenschutzbeauftragtem
entfällt Meldepflicht (§ 4d II BDSG) an Aufsichtsbehörde
Aufgaben
• Hinwirken auf die Einhaltung des BDSG • Kontrolle der Einhaltung des BDSG• Vorabkontrolle riskanter automatisierter
Verarbeitungen (4d VI BDSG)
Bundesbeauftragte für den Datenschutz
Neuordnung des europäischen Datenschutzrechts
14
Kommissionsvorschläge
• KOM(2012) 11 endgültig
• Datenschutzgrund-verordnung
• KOM(2012) 10 endgültig
• Richtlinie hinsichtlich Datenschutzes in Polizei und Justiz
Everyone Personal data
fair Purpose-related Consent
User Rights
Ex ante control by independent authorities
Grundrechtecharter
Datenschutzgrundverordnung• Unmittelbar anwendbar• Weiterhin „all or nothing approach“• Weiterhin (im Grundsatz) Verbot mit
Erlaubnisvorbehalt• Zahlreiche Grundkategorien bleiben + PR-
Begleittheater– Right to be forgotten
• Auch substantielle Veränderungen– Datenschutzbeauftragter– Data Portability
Ziele• Vereinheitlichung• Ausweitung des Anwendungsbereichs (Art. 3)• Stärkung der Verantwortlichkeit• Neue Betroffenenrechte
– Recht auf Vergessenwerden (Art. 17)– Data Portability (Art. 18)
• Technologieneutralität und –flexibilität• Datenschutzbeauftragter• Privacy by design/privacy by default (Art. 23)• Data Breach Notification (Art. 31/32)• Erhöhung der Srafrahmen (Art. 79)
• Diskussion im Parlament– Albrecht: 350 Änderungsvorschläge– 3133 Änderungsanträge
Themen
• Verantwortliche Stelle?• Anwendbares Recht?• Übermittlung?• Übermittlung in Drittstaaten?• Datensicherheitsmaßnahmen?
21. 10. 2013
"This evening's vote is a breakthrough for data protection rules in Europe, ensuring that they are up to the the challenges of the digital age. This legislation introduces overarching EU rules on data protection, replacing the current patchwork of national laws", commented rapporteur for the general data protection regulation, Jan Philipp Albrecht (Greens/EFA, DE), after the vote.”
http://www.europarl.europa.eu/news/en/news-room/content/20131021IPR22706/html/Civil-Liberties-MEPs-pave-the-way-for-stronger-data-protection-in-the-EU
25. 10. 2013
Rat, 24./25. 10. 2013
It is important to foster the trust of citizens and businesses in the digital economy. The timely adoption of a strong EU
General Data Protection framework and the Cyber-security Directive is essential for the completion of the Digital Single
Market by 2015.
Come back in 2015
Come back in 2015(or 2016)
(or …)
Aktuellster Stand
https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Synopse_DS-GVO_KOMM-EU-Parlament-Rat_160623TK.pdf
Einige (wenige) Fragen
All or Nothing
Personenbezug (?)
Grumberg, Wuppertal
Spaß am Gerät …
• Ist eine IP-Adresse ein personenbezogenes Datum?
• Ist eine IPv6-Adresse ein personenbezogenes Datum?
• Sind genetische Daten (stets) personenbezogene Daten?
• Ist Geoinformation personenbezogen?
• Sind aggregierte Daten personenbezogen?
• Sind verschlüsselte Daten personenbezogen?
• …
DSGVO (LIBE-Fassung)• (2) 'personal data' means any
information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person;
95/46/EC• (a) 'personal data' shall mean
any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
• (23) The principles of data protection should apply to any information concerning an identified or identifiable natural person. To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used either by the controller or by any other person to identify or single out the individual directly or indirectly. To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development. The principles of data protection should therefore not apply to anonymous data, which is information that does not relate to an identified or identifiable natural person. This Regulation does therefore not concern the processing of such anonymous data, including for statistical and research purposes.
all the means reasonably likely to be used
Scio me nihil scire.
All or Nothing
Personenbezug (?)
'pseudonymous data' means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution;
‘encrypted data’ means personal data, which through technological protection measures is rendered unintelligible to any person who is not authorised to access it;
‘encrypted data’ means personal data, which through technological protection measures is rendered unintelligible to any person who is not authorised to access it;
Article 13aStandardised information policies
1. Where personal data relating to a data subject are collected, the controller shall provide the data subject with the following particulars before providing information pursuant to Article 14: […]
(f) whether personal data are retained in encrypted form.
?
Art. 13a
2. The particulars referred to in paragraph 1 shall be presented pursuant to Annex X in an aligned tabular format, using text and symbols, in the following three columns:
?
Datensicherheit
Art. 30, Kommissionsvorschlag
appropriate technical andorganisational measures
a level of security appropriate to the risks represented by the processing
having regard to the state of the art and the costs of their implementation
The Commission shall be empowered to adopt delegated acts
Art. 30, LIBE
taking into account the results of a data protection impact assessment pursuant to Article 33
???
at least
[…] protect personal data stored or transmitted against accidental or unlawful destruction, or accidental loss or alteration, and unauthorised or unlawfulstorage, processing, access or disclosure;
Richtlinie
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
Derzeit umfassend in Diskussion !
Ziele• Grundrechtsschutz• (Rechtsharmonisierung)• Binnenmarkt
• Art. 1 (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
• (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.
Konzept der Verantwortlichkeit
GrundsatzEG 30) Die Verarbeitung personenbezogener Daten ist nur
dann rechtmäßig, wenn sie auf der Einwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf den Abschluß oder die Erfüllung eines für die betroffene Person bindenden Vertrags, zur Erfüllung einer gesetzlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, in Ausübung hoheitlicher Gewalt oder wenn sie im Interesse einer anderen Person erforderlich ist, vorausgesetzt, daß die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen.
Schutzbereich• Art. 2 im Sinne dieser Richtlinie bezeichnet der Ausdruck a) "personenbezogene Daten" alle Informationen über eine bestimmte
oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
Kein Datenschutzrecht für jur. Personen nach europ. und deutschem Recht
Keine Differenzierung direkt/indirekt personenbezogene Daten
Anders Österreich
Düsseldorfer-Kreis
Anforderungen• IP-Adresse kein Pseudonym iSd TMG [?]• Widerspruch• Keine Zusammenführung mit sonstigen
Nutzerdaten• Hinweis-/Informationspflichten• Keine Nutzerprofile unter voller Verwendung
der IP-Adresse ohne Einwilligung• Geolokalisierung mitbetroffen• Achtung bei Drittanbietern
Auftragsdatenverarbeitung
IP Adresse personenbezogen?• § 3 I BDSG „Personenbezogene Daten sind Einzelangaben über
persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“
• Art. 2 a RL 95/46/EG : „"personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;“
• EG 26: „Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.“
IP Adresse personenbezogen?• AG München, MMR 2008, 860: „IP-Adressen sind
keine personenbezogenen Daten i.S.d. BDSG, da ihnen die notwendige Bestimmbarkeit fehlt.“
• AG Berlin Mitte, ZUM 2008, 83 und LG Berlin, ZUM 2008, 70: „Internetprotokolladressen (IP-Adressen) sind personenbezogene Daten im Sinne des § TMG § 15 Abs. TMG § 15 Absatz 1 TMG und dürfen nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert werden, soweit hierfür keine gesetzliche Rechtfertigung gemäß § TMG § 15 TMG vorliegt.“
• Vgl. Meyerdierks, MMR 2009, 8
Aber: EuGH C 70/10RZ 51:
„Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um geschützte personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“
Aber
• Sonderfall?• Beklagt war Access-Provider wegen
Sperrung des Zugangs zu Peer-to-Peer Netzwerken
• Aussage bezieht sich also auf eigene Kunden des Access-Providers
Abert
Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) Datenschutz-Richtlinie - dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zu-griff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
À propos EuGH• EuGH C 518-07• Die Bundesrepublik Deutschland hat gegen ihre
Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG […] verstoßen, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt hat.
C-614/10
• 1. Die Republik Österreich hat dadurch gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, dass sie nicht alle Vorschriften erlassen hat, die erforderlich sind, damit die in Österreich bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genügt, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt hat, wonach
• – das geschäftsführende Mitglied der Datenschutzkommission ein der Dienstaufsicht unterliegender Bundesbediensteter ist,
• – die Geschäftsstelle der Datenschutzkommission in das Bundeskanzleramt eingegliedert ist und
• – der Bundeskanzler über ein unbedingtes Recht verfügt, sich über alle Gegenstände der Geschäftsführung der Datenschutzkommission zu unterrichten.
Konzept der Verantwortlichkeit• d) "für die Verarbeitung Verantwortlicher" die natürliche
oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;
Konzept der Verantwortlichkeit
Art. 6 II: (2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 [Grundsätze für die Qualität der Daten] zu sorgen.
Grundsätze (Art. 6)• 1) Die Mitgliedstaaten sehen vor, daß personenbezogene Daten• a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;• b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit
diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen;
• c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;
• d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden;
• e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Daten vor, die über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden.
• (2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.
Unterscheidung der Datenkategorien
• „normale“ Daten• Sensible Daten
– Grundsatz: Art. 8 (1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.
– Abschließende Aufzählung zulässiger Ausnahmen
Nicht sensible Daten
• Zulässig, wenn– Einwilligung oder– Erforderlich für
• vertragl. Beziehung• Rechtliche Pflicht• Wahrung lebenswichtiger Interessen betroffener Personen• Öffentliches Interesse/öffentliche Gewalt• berechtigten Interesse des für die Verarbeitung
Verantwortlichen, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen
Sensible Daten• Regel: Verarbeitungsverbot (Art. 8 I)• Ausnahmen (Art. 8 II):
– a) Ausdrückliche Einwilligung;– b) Arbeitsrecht– c) lebenswichtige Interessen (wenn Einw. nicht möglich);– d) die Verarbeitung erfolgt durch eine politisch, philosophisch, religiös
oder gewerkschaftlich ausgerichtete Einrichtung, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden;
– e) Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.
Weitere Ausnahmen
• Gesundheitsvorsorge u. ä. (Art. 8 III)• Wichtiges öff. Interesse (Art. 8 IV)• Strafregister nur unter behördl. Aufsicht
(Art. 8 V) Mitteilung an Kommission (Art. 8 VI)
Nationale Kenziffer (Art. 8 VII)
Informationspflichten• Artikel 10:• a) Identität des für die Verarbeitung Verantwortlichen und
gegebenenfalls seines Vertreters,• b) Zweckbestimmungen der Verarbeitung, für die die Daten
bestimmt sind,• c) weitere Informationen, beispielsweise betreffend• - die Empfänger oder Kategorien der Empfänger der Daten,• - die Frage, ob die Beantwortung der Fragen obligatorisch oder
freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
• - das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
• sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
Informationspflichten II
• Art. 11 im Fall, dass Daten nicht direkt beim Datenbetroffenen erhoben wurden
ua. Information über Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreter
Betroffenenrechte
• Auskunft (Art. 12)• frei und ungehindert in angemessenen
Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten
• U.a. eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;
Betroffenenrechte II
• Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht;
• c) die Gewähr, daß jede Berichtigung, Löschung oder Sperrung, die entsprechend Buchstabe b) durchgeführt wurde, den Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmöglich erweist oder kein unverhältnismäßiger Aufwand damit verbunden ist. [?]
Betroffenenrechte III• Widerspruchsrechte (Art. 14)• a) [...] jederzeit aus überwiegenden,
schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widerspruch einlegen zu können, daß sie betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen entgegenstehenden Bestimmung.
• b) auf Antrag kostenfrei gegen eine vom für die Verarbeitung Verantwortlichen beabsichtigte Verarbeitung sie betreffender Daten für Zwecke der Direktwerbung Widerspruch einzulegen [...].
Kontrolle
• Kontrollstelle (Art. 18; 28)• Meldepflicht bei Datenverbund (Art. 18)
inhaltlich determiniert (Art. 19) Vorabkontrolle (Art. 20) Register (Art. 21)
Drittstaaten
• Grundsatz: nur bei Gewährleistung eines angemessenen Schutzniveaus (Art. 25 I)
• Ausnahmen (Art. 26)• Abstrakte Stellungnahmen zum
Schutzniveau durch Art. 29-Gruppe (Art. 30) Entscheidung der Kommission
Übermittlung in Drittland
• Angemessenes Datenschutzniveau (Art. 25)
• Ausnahmen: Art. 26 Art. 29 Gruppe• Siehe
http://europa.eu.int/comm/justice_home/fsj/privacy/index_de.htm
Judikatur
„Safe Harbor“
• EuGH, C‑362/14, 6. Oktober 2015• Max Schrems• „Europe vs. Facebook“
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.
2. Die Entscheidung 2000/520 ist ungültig.
EuGH, C-101/01Lindqvist
• Ms. Lindqvist– Employee– Catechist in Alseda– Attended a Web-Programing Course– Created a Website in order to faciliate access to information for
her candidates of confirmation
Facts II• Content of the website
– Informationen about Ms. Lindqvist– Her husband– 16 colleagues (opartly named)– Funny descriptions about their professions– Passing mention that one of the colleagues was
declared diseases due to a leg injury– Immediate deletion after complaints
Facts III
Criminal procedure because the data procession was not registered at the data protection authority
Fine of 4000 Svedish Crowns
Legal Questions
• Internet Website as Data Processing?• Exception of Art. 3 II applicable?• Sensitive Data? (art. 8 I)• transmission of such data from the territory of
one Member State to that of another Member State?
• Freedom of Speech?• Dir. 95/46/EC only as a minimum requirement?
Art. 3 II
• 2. This Directive shall not apply to the processing of personal data:
• […]• - by a natural person in the course of a
purely personal or household activity.
Legal Questions
• Internet Website as Data Processing? +
• Exception of Art. 3 II applicable? –
• Sensitive Data? (art. 8 I) +
• Transmission of such data from the territory of one Member State to that of another Member State?
–• Freedom of Speech?
–• Dir. 95/46/EC only as a minimum requirement?
–
EGMR
• COPLAND v. THE UNITED KINGDOM• (Application no. 62617/00)• 3 Juli 2007 • Unzulässigkeit der Überwachung des
Internetverhaltens bei ungeregelter Privatnutzung
Findings48. Accordingly, as there was no domestic law regulating monitoring at the relevant time, the interference in this case was not “in accordance with the law” as required by Article 8 § 2 of the Convention. The Court would not exclude that the monitoring of an employee's use of a telephone, e-mail or internet at the place of work may be considered “necessary in a democratic society” in certain situations in pursuit of a legitimate aim. However, having regard to its above conclusion, it is not necessary to pronounce on that matter in the instant case.
Sachverhalt
• Finnische Krankenschwester arbeitet in öffentlichem Krankenhaus
• HIV-Therapie im selben Krankenhaus• (Möglicherweise) unzureichend
gesicherter Zugang zu Patientendaten für das Personal
• Zugriffe auf PHR nur unzureichend dokumentiert
Verletzung von Art. 8 EMRK ?
For the Court, what is decisive is that the records system in place in the hospital was clearly not in accordance with the legal requirements contained in section 26 of the Personal Files Act, a fact that was not given due weight by the domestic courts. [...] There has therefore been a violation of Article 8 of the Convention.
Vorratsdatenspeicherung
RICHTLINIE 2006/24/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG
Grundlage
• Zur Erinnerung Richtlinie 2002/58/EG– Datensicherheit (Art. 4)– Grundsatz der Vertraulichkeit (Art. 5)– Löschungsverpflichtung für
Verkehrsdaten, die nicht für Abrechnungszwecke benötigt werden (Art. 6)
BVErfG, MMR 2010, 356• Vorratsdatenspeicherung verfassungswidrig, aber• „Eine nur mittelbare Nutzung der Daten zur
Erteilung von Auskünften durch die TK-Diensteanbieter über die Inhaber von Internetprotokolladressen ist auch unabhängig von begrenzenden Straftaten- oder Rechtsgüterkatalogen für die Strafverfolgung, Gefahrenabwehr und die Wahrnehmung nachrichtendienstlicher Aufgaben zulässig. Für die Verfolgung von Ordnungswidrigkeiten können solche Auskünfte nur in gesetzlich ausdrücklich benannten Fällen von besonderem Gewicht erlaubt werden.“
„Eine sechsmonatige, vorsorglich anlasslose Speicherung von Telekommunikationsverkehrsdaten durch private Diensteanbieter […] ist mit Art. 10 GG nicht schlechthin unvereinbar; auf einen etwaigen Vorrang dieser Richtlinie kommt es daher nicht an.“
Ergebnisse
• §§ 113 a und b TKG, 100 g Abs. 1 S. 1 StPO wegen Verstoßes gegen das Telekommunikationsgeheimnis nach Art. 10 Abs. 1 GG nichtig
• Aber: Vorratsdatenspeicherung nicht automatisch verfassungswidrig
• Detaillierte Ausführungen zur Datensicherheit
neuer Anlauf?
BVerfG, Vorratsdatenspeicherung
• „Hinsichtlich der Datensicherheit bedarf es Regelungen, die einen besonders hohen Sicherheitsstandard normenklar und verbindlich vorgeben. Es ist jedenfalls dem Grunde nach gesetzlich sicherzustellen, dass sich dieser an dem Entwicklungsstand der Fachdiskussion orientiert, neue Erkenntnisse und Einsichten fortlaufend aufnimmt und nicht unter dem Vorbehalt einer freien Abwägung mit allgemeinen wirtschaftlichen Gesichtspunkten steht.“
• § 9 BDSG nicht ausreichend• „Das Fehlen hinreichender Sicherheitsstandards im TKG kann auch
§ BDSG § 9 BDSG i.V.m. der zugehörigen Anlage nicht ausgleichen. Unbeschadet ihrer z.T. abstrakt hohen Standards bleibt diese Norm, die ohnehin nur subsidiär anwendbar ist […] zu allg., um in hinreichend spezifischer und verlässlicher Weise die besonders hohen Sicherheitsstandards bzgl. der nach § TKG § 113a TKG zu speichernden Daten sicherzustellen.
www.verfassungsklage.at
Sind die Art. 3 bis 9 der Richtlinie 2006/24/EG mit Art. 7, 8 und 11 der Charta der Grundrechte der Europäischen Union vereinbar?
EuGH, C‑293/12 und C‑594/12
„Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG ist ungültig.“
https://www.vfgh.gv.at/cms/vfgh-site/attachments/1/5/8/CH0006/CMS1409900579500/
vds_schriftliche_entscheidung.pdf
EuGH C‑73/07, 16. Dezember 2008
• Finnischer Sachverhalt• Zeitschrift mit (so gut wie ausschließlich)
Steuerdaten namentlich bekannter Personen
• Auch SMS-Dienst• Steuerdaten (nach finnischem Recht)
öffentliche Daten Verarbeitung personenbezogener
Daten?
• 1. Art. 3 Abs. 1 der Richtlinie 95/46/EG […] ist dahin auszulegen, dass eine Tätigkeit, bei der die Daten natürlicher Personen bezüglich ihres Einkommens aus Erwerbstätigkeit und Kapital und ihres Vermögens auf der Grundlage öffentlicher Dokumente der Steuerbehörden erfasst und zum Zweck der Veröffentlichung verarbeitet werden, in einem Druckerzeugnis, in alphabetischer Reihenfolge und nach Einkommenskategorien aufgeführt, in Form umfassender, nach Gemeinden geordneter Listen veröffentlicht werden, […] als „Verarbeitung personenbezogener Daten“ im Sinne dieser Vorschrift anzusehen ist.
• 3. [Eine derartige] Verarbeitung personenbezogener Daten, die Behördendateien mit personenbezogenen Daten betrifft, die nur in Medien veröffentlichtes Material als solches enthalten, fällt in den Anwendungsbereich der Richtlinie 95/46.
Österreich?§ 1 DSG 2000§ 1. (1) Jedermann hat, insbesondere auch im
Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
EuGH, Urt. v. 9. 11. 2010C-92/09, C-93/09
Erste datenschutzrechtliche Entscheidung unter Anwendung der Grundrechtecharta
Beachtung des Verhältnismäßigkeitsgebots
EuGH, C 131-12
Right to be forgotten
Sachverhalt
• Spanischer Professor• Zulässige Onlineveröffentlichung aus 1998• 2010 noch abrufbar • Begehren auf Löschung
1. Art. 2 Buchst. b und d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte oder dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, sofern die Informationen personenbezogene Daten enthalten, als „Verarbeitung personenbezogener Daten“ im Sinne von Art. 2 Buchst. b der Richtlinie 95/46 einzustufen ist und dass der Betreiber dieser Suchmaschinen als für diese Verarbeitung „Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen ist.
2. Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 ist dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.
3. Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass der Suchmaschinenbetreiber zur Wahrung der in diesen Bestimmungen vorgesehenen Rechte, sofern deren Voraussetzungen erfüllt sind, dazu verpflichtet ist, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu dieser Person zu entfernen, auch wenn der Name oder die Informationen auf diesen Internetseiten nicht vorher oder gleichzeitig gelöscht werden und gegebenenfalls auch dann, wenn ihre Veröffentlichung auf den Internetseiten als solche rechtmäßig ist.
4. Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass im Rahmen der Beurteilung der Anwendungsvoraussetzungen dieser Bestimmungen u. a. zu prüfen ist, ob die betroffene Person ein Recht darauf hat, dass die Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird, wobei die Feststellung eines solchen Rechts nicht voraussetzt, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entsteht. Da die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, überwiegen diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit am Zugang zu der Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche. Dies wäre jedoch nicht der Fall, wenn sich aus besonderen Gründen – wie der Rolle der betreffenden Person im öffentlichen Leben – ergeben sollte, dass der Eingriff in die Grundrechte dieser Person durch das überwiegende Interesse der breiten Öffentlichkeit daran, über die Einbeziehung in eine derartige Ergebnisliste Zugang zu der betreffenden Information zu haben, gerechtfertigt ist.
Noch eine aktuelle Entscheidung …
EuGh, C‑201/14, 1. Oktober 2015Die Art. 10, 11 und 13 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.
Und noch eine Entscheidung …• EuGH, C‑230/14, 1. Oktober 2015• Slowakische Gesellschaft vertreibt in Ungarn
Webseite zur Immobilienvermittlung• „Grenzwertiges“ Geschäftsmodell• Übermittlung personenbezogener Daten an
Inkassobüro• Ungarische Datenschutzbehörde schreitet
ein und bestraft Anwendbares Recht? Zuständige
Kontrollstelle?
Zukunftsthema Datensicherheit
BVerfG – Urteil vom 27. Februar 2008
• Das allgemeine Persönlichkeitsrecht (Art. 2 I i.V.m. Art.1 I GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
• § 5 Abs. 2 Nr. 11 VSG NRW ist verfassungswidrig
• Online-Durchsuchungen sind aber unter strengen Voraussetzungen möglich
Neues Grundrecht (1 BvR 370/07)• Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme • „Die heimliche Infiltration eines informationstechnischen Systems,
mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen. “
Danke!
KontaktNikolaus ForgóInstitut für RechtsinformatikLeibniz Universität HannoverJuristische FakultätKönigsworther Platz 1D-30167 HannoverTel: + 49 511 762 8159Fax: + 49 511 762 8290E-Mail: [email protected]://www.iri.uni-hannover.de
und
Universitätslehrgang für Informations- und MedienrechtUniversität Wien Campus der Universität WienSpitalgasse 2, Hof 1Eingang 1.14.11090 Wien