von der artikel-29-gruppe zum europäischen ... · bayerisches landesamt für datenschutzaufsicht...
TRANSCRIPT
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
1
Vo n d e r A r t i k e l - 2 9 - G r u p p e z u m E u r o p ä i s c h e n D a t e n s c h u t z a u s s c h u s s ( E D S A )
– Z u k u n f t u n d B e d e u t u n g d e r „ Wo r k i n g P a p e r s “
A l e x a n d e r F i l i p B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t
B v D - H e r b s t k o n f e r e n z D a t e n s c h u t z 2 6 . - 2 7 . 1 0 . 2 0 1 7 , S t u t t g a r t
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
2
Agenda: § Auslegungshinweise der Datenschutzbehörden zum
Datenschutzrecht § Hintergrund: Datenschutz in der EU und Deutschland heute § Datenschutz in der EU morgen § Der Europäische Datenschutzausschuss nach der DS-‐GVO § Kohärenzverfahren § Auslegungshinweise der Aufsichtsbehörden – heute und morgen § mit Blick auf die DS-‐GVO kürzlich verabschiedete Leitlinien § in der Vorbereitung befindliche Leitlinien mit Blick auf die DS-‐GVO § Wie entsteht eigentlich ein Working Paper? § Müssen wir künOig mehr „nach Brüssel“ schauen? § Was ist eigentlich mit „alten“ Working Papers?
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
3
§ Was unter der DS-‐GVO als rechtmäßig anzusehen ist, ist oO Auslegungssache. Die Aufsichtsbehörden arbeiten an Auslegungshinweisen.
§ Wo und in welcher Form ? • auf Ebene der einzelnen Aufsichtsbehörde z.B. „Kurzpapiere“ des Bayer.
Landesamts für Datenschutzaufsicht zur DS-‐GVO • auf naVonaler Ebene: Kurzpapiere der Datenschutzkonferenz (beide zu
finden unter hXps://www.lda.bayern.de/de/datenschutz_eu.html) • auf europäischer Ebene Leitlinien (Guidelines), derzeit veröffentlicht in
der Form sog. Working Papers der ArDkel-‐29-‐Gruppe
Thema dieses Vortrags
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
4
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
5
28 Aufsichtsbehörden in der EU und zusätzlich (mindestens) 18 Aufsichtsbehörden in Deutschland
… sind sich nicht immer einig, sowohl in Deutschland als auch in Europa
Hintergrund: Datenschutz in der EU und in Deutschland heute
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
6
Art.-‐29-‐Gruppe
18
5
10
19 17 20
8
16 15
21
22
27 1
2 3 4
14
6
7
9
13 12 11
23
24
25
26 EDPS EU-‐KOM
28
Datenschutz in Deutschland und der EU heute Hintergrund: Datenschutz in der EU und in Deutschland heute
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
7
Art.-‐ 29-‐Gruppe
Future of Privacy Subgroup
Internat. Transfers Subgroup
Technology Subgroup
………… Subgroup
Deutsche Aufsichtsbehörden in jeder Subgroup vertreten durch 1 Mitarbeiter der BfDI +
+ 1 Mitarbeiter einer Aufsichtsbehörde eines Bundeslandes (mit einem Stellvertreter aus einer Aufsichtsbehörde
eines weiteren Bundeslands)
Hintergrund: Datenschutz in der EU und in Deutschland heute
Deutsche Aufsichtsbehörden vertreten durch BfDI + (als Stellvertreter) Leiter einer Länder-‐
Aufsichtsbehörde (derzeit Hamburg)
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
8
Europäischer Datenschutzausschuss
18
5
10
19 17 20
8
16 15
21
22
27 28/UK
1 2 3 4
14
6
7
9
13 12 11
23
24
25
26 EDPS EU-‐
KOMM
Datenschutz in der EU morgen
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
9
Der Europäische Datenschutzausschuss („Ausschuss“) nach der DS-‐GVO
Aufgaben des Ausschusses: § Der Ausschuss gibt eine Stellungnahme ab (…) (Art. 64, Kohärenzverfahren) bei:
§ Liste der Verarbeitungsvorgängen, die einer Datenschutz-‐Folgenabschätzung unterliegen
§ Entwurf von Verhaltensregeln (CoC) für mehrere Mitgliedstaaten § Verbindliche interne DatenschutzvorschriOen (BCR) § Standard-‐Datenschutzklauseln von Aufsichtsbehörden § …
§ Um die ordnungsgemäße und einheitliche Anwendung der Verordnung in Einzelfällen sicherzustellen, erlässt der Europäische Datenschutzausschuss in den folgenden Fällen einen verbindlichen Beschluss: (…) (Art. 65, Kohärenzverfahren); ggf. im Dringlichkeitsverfahren (Art. 66)
§ Der Ausschuss stellt die einheitliche Anwendung der DS-‐GVO sicher. Hierzu (…) insbesondere (…) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren (Art. 70)
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
10
§ DefiniDon: Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (ErwGr. 135)
§ Sinn und Zweck: Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Ab-‐s chn iX be s ch r i ebenen Kohä ren z ve r f ah r en s untereinander und gegebenenfalls mit der Kommission zusammen (Art. 63).
Kohärenzverfahren, Art. 63 -‐ 67
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
11
§ Wann Kohärenzverfahren? § bei Nichteinigung der Aufsichtsbehörden im Rahmen
der KooperaVon bei „grenzüberschreitender Verarbeitung“ (Art. 60 Abs. 4)
§ Stellungnahmen in den Fällen des Art. 64 (Genehmigung von BCR u.a.); ggf. im Anschluss noch Streitbeilegungsverfahren nach Art. 65 nöVg § auf Antrag (u.a.) einer Aufsichtsbehörde möglich
bei jeder Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat (Art. 64 Abs. 2)
Kohärenzverfahren, Art. 63 -‐ 67
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
12
Kohärenz-‐verfahren
-‐ Alles klar ?
Quelle: BfDI/BMI
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
13
Art.-‐29-‐Gruppe („WP29“)
Arbeitspapiere
(Working Papers / „WPs“, bisher über 240 an der Zahl)
beratendes Gremium gemäß Art. 29 EG-‐Richtlinie 95/46
Europäischer Datenschutz-‐Ausschuss u.a. Leitlinien, Empfehlungen,
bewährte Verfahren
(Art. 70 DS-‐GVO)
Organ der europäischen Datenschutzbehörden mit
eigener Rechtspersönlichkeit
„Empfehlung“ Art. 70 – „soO law“
Auslegungshinweise der Aufsichtsbehörden – heute und morgen
HEUTE AB 25.05.2018
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
14
Leitlinien zur Datenübertragbarkeit
Leitlinien in Bezug auf Datenschutzbeaukragte
(„DSB“)
Leitlinien für die BesDmmung der federführenden
Aufsichtsbehörde eines Verantwortlichen oder Aukragsverarbeiters
Auslegungshinweise der Aufsichtsbehörden – heute und morgen
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
15
Mit Blick auf die DS-‐GVO kürzlich verabschiedete Leitlinien
Bereits verabschiedet: § WP 242rev.01 – Datenportabilität § WP 243rev.01 – DatenschutzbeauOragter § WP 244rev.01 – federführende Aufsichtsbehörde § WP 248rev.01 – Datenschutz-‐Folgenabschätzung Am 03./04.10.2017 verabschiedet in einer Entwurfs-‐Fassung mit der Eröffnung einer öffentlichen KonsultaDon: § Meldung von Datenschutzverletzungen (Art. 33 f. DS-‐GVO) § Profiling § SankVonen (Art. 83 DS-‐GVO) (hierzu aber wohl keine KonsultaVon)
zu finden auf der Website zur Art.-‐29-‐Gruppe bei der Europäischen Kommission unter hXp://ec.europa.eu/newsroom/just/item-‐detail.cfm?item_id=50083 (ältere Working Papers – bis 2016 – abruoar unter hXp://ec.europa.eu/jusVce/data-‐protecVon/arVcle-‐29/documentaVon/opinion-‐recommendaVon/index_en.htm)
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
16
In der Vorbereitung befindliche Leitlinien mit Blick auf die DS-‐GVO
Weitere derzeit in der Vorbereitung befindliche Leitlinien: § Überarbeitung exisVerender Working Papers der WP29 zu
DatenübermiXlungen in DriXländer: • „Basispapier“ zu ÜbermiXlungen in DriXländer (WP 12); • diverse WPs zu Binding Corporate Rules (WPs 153, 195 u.a.), • Ausnahmetatbestände für ÜbermiXlungen in DriXländer (WP 114)
§ Einwilligung § Transparenz-‐ und InformaVonspflichten nach der DS-‐GVO § ZerVfizierung; AkkrediVerung von ZerVfizierungsstellen § u.a. siehe Arbeitsplan (AcVon Plan) der Art.-‐29-‐Gruppe für 2016 (WP 236, abruoar auf o.g. Website) und für 2017 (PressemiXeilung, hXp://ec.europa.eu/newsroom/document.cfm?doc_id=41387)
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
17
Wie entsteht eigentlich ein Working Paper?
Art.-‐29-‐Gruppe
Future of Privacy Subgroup
Internat. Transfers Subgroup
Technology Subgroup
………… Subgroup
AuOrag
Entwurf
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
18
Wie entsteht eigentlich ein Working Paper?
1. Art.-‐29-‐Gruppe erteilt AuOrag an eine oder mehrere Subgroups 2. Subgroup besVmmt einen oder mehrere BerichterstaXer 3. BerichterstaXer formulieren Entwurf
• i.d.R. sukzessive („Version 1“, „Version 2“ etc.) • zu jeder Version besteht für Subgroup-‐Mitglieder die Möglichkeit,
Änderungsvorschläge einzubringen 4. Entwurf wird in der/den zuständigen Subgroup(s) abschließend diskuVert und
(formlos) angenommen 5. Vorlage des Entwurfs an die Art.-‐29-‐Gruppe („Plenary“) 6. Verabschiedung des Entwurfs durch die Art.-‐29-‐Gruppe 7. Veröffentlichung als Working Paper auf der Website der Art.-‐29-‐Gruppe
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
19
Müssen wir künOig mehr „nach Brüssel“ schauen?
Antwort: Ja, eindeuDg. Deutschland hat hier Nachholbedarf.
Warum hat Deutschland bisher den Blick oO zu wenig auf „Brüssel“ (ArVkel-‐29-‐Gruppe und Working Papers) gerichtet? § (1) Unter BDSG-‐alt / EG-‐Datenschutzrichtlinie gab es keine rechtsverbindlichen
Entscheidungen auf Ebene der Art.-‐29-‐Gruppe. -‐> keine fakVsche Notwendigkeit einer AbsVmmung mit anderen Aufsichtsbehörden!
• Dies ändert sich durch die DS-‐GVO (siehe oben)! § (2) föderale Struktur der deutschen Datenschutzaufsicht – nicht jede deutsche
Aufsichtsbehörden wirkt(e) unmiXelbar durch eigenes Personal in der ArVkel-‐29-‐Gruppe und deren Subgroups mit
• künOig: BfDI als „Gemeinsamer Vertreter“ im EDSA (§ 17 BDSG-‐neu); sein Stellvertreter ist der Leiter der Aufsichtsbehörde eines Bundeslandes
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
20
Müssen wir künOig mehr „nach Brüssel“ schauen?
Allerdings haben die deutschen Datenschutzbehörden in den letzten Jahren die Mitwirkung in der Art.-‐29-‐Gruppe deutlich intensiviert § Überarbeitung der internen Arbeitsprozesse und InformaVonswege „von und nach
Brüssel“ § Ermöglichung effekVver Mitwirkung aller deutschen Datenschutzbehörden durch
laufende InformaVon und KommenVerungsmöglichkeit zu Working Papers und anderen Entscheidungen der Art.-‐29-‐Gruppe
§ Sicherstellung ständiger Stellvertretung in jeder Subgroup § effekVve Vorbereitung der deutschen Spitzenvertreter für die Sitzungen der Art.-‐29-‐
Gruppe durch die Vertreter aus den jeweiligen Subgroups § u. v. m. Herausforderungen bleiben : § Wie soll die „deutsche PosiVon“ bei „work in progress“ herausgebildet werden (z.B. bei
laufender Überarbeitung des Entwurfs eines Working Papers in einer Subgroup?) • ständig neue Beschlussfassung der Datenschutzkonferenz „zu jeder Komma-‐
Änderung“ bei einem entstehenden WP nicht machbar
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
21
Was ist mit den „alten“ Working Papers?
Es gibt über 240 Working Papers der Art.-‐29-‐Gruppe!
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
22
Was ist mit „alten“ Working Papers?
§ WPs als wertvolle Fundgrube zur Auslegung und Anwendung des europäischen Datenschutzrechts
• für Unternehmen und andere Anwender, aber auch für die Aufsichtsbehörden (!)
• WPs zeigen auch die Maßstäbe und Denkweise unserer europäischen Kollegen -‐> Blick „über den deutschen Tellerrand“
• Problem (?): einige neuere WPs gibt es nur auf Englisch § Dort wo die DS-‐GVO Änderungen gegenüber der EG-‐Datenschutzrichtlinie
(DSRL) bringt, muss genau hingeschaut werden, inwieweit das in einem WP Gesagte auf die DS-‐GVO übertragbar ist.
• solche WPs werden sukzessive überarbeitet werden bzw. durch neue Papiere ergänzt, sofern erforderlich
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
23
Was ist mit „alten“ Working Papers?
§ Wo DS-‐GVO keine (maßgeblichen) Änderungen gegenüber DSRL bringt, sind die WPs grundsätzlich noch sehr gut nutzbar.
• Lektüre unbedingt empfehlenswert § WPs decken eine große Breite an datenschutzrechtlichen Fragen aus der DSRL
und z.T. SpezialvorschriOen (z.B. e-‐privacy-‐Richtlinie) ab. • Sowohl wichVge datenschutzrechtliche Grundsatzfragen (z.B. Einwilligung,
Zweckbindung, Abgrenzung „Verantwortlicher“ / „AuOragsverarbeiter“,…) als auch viele Spezialfragen (z.B. Apps, biometrische Daten, Cloud CompuVng,…)
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
24
Was ist mit „alten“ Working Papers?
Einige Beispiele für wichDge WPs mit Auslegungshinweisen zur Rechtslage vor der DS-‐GVO, die nach wie vor (zumindest zum Teil) auch unter der DS-‐GVO nutzbar sind: WP 237 – sog. „European EssenVal Guarantees“ – § Mindest-‐Datenschutzstandard, der bei jedem Eingriff in die „Datenschutz-‐Grundrechte“
gewahrt bleiben muss, auch bei staatlicher (z.B. nachrichtendienstlicher) Überwachung (einschließlich Überwachung durch Sicherheitsbehörden in DriXländern infolge von DatenübermiXlungen in DriXländer):
• Verarbeitung personenbezogener Daten nur aufgrund einer ausdrücklichen und zugänglichen gesetzlichen Grundlage zulässig
• LegiVmer Zweck, Erforderlichkeit und Verhältnismäßigkeit • Kontrollierbarkeit durch unabhängige Aufsicht (z.B. Gericht, Datenschutzbehörde,…) • Rechtsschutzmöglichkeiten für betroffene Personen
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
25
Was ist mit „alten“ Working Papers?
WP 217 – Begriff des „berechVgten Interesses“ WP 216 – Anonymisierung WP 203 – Grundsatz der Zweckbindung § sehr wichVg auch unter der DS-‐GVO WP 202 – Apps auf „intelligenten Endgeräten“ (smart devices) § hier allerdings die Änderungen durch die künOige E-‐Privacy-‐Verordnung beachten WP 196 – Cloud CompuVng § WichVge Grundsatzaussagen z.B. zur Einschaltung von Subunternehmen
(Widerspruchsrecht des AuOraggebers), zu den AuOragskontrollen etc. § möglicherweise Update/Ergänzungen in den nächsten Jahren(?) WP 193 – Biometrie WP 192 – Gesichtserkennung bei Online-‐ und Mobilfunkdiensten
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
26
Was ist mit „alten“ Working Papers?
WP 187 – Einwilligung § derzeit Ergänzung durch neues Papier in Vorbereitung (Anpassung an die DS-‐GVO) WP 183 – Geolokalisierung auf Smart Mobile Devices WP 179 – Begriffe „Verantwortlicher“ / „AuOragsdatenverarbeiter“ § Abgrenzungskriterien nach DSRL (so auch nach DS-‐GVO!): Verantwortlicher ist, wer über
die Zwecke und MiXel der Verarbeitung entscheidet. § gerade für deutsche Anwender sehr interessant:
• in Deutschland bisher eher etwas andere Abgrenzung, insbesondere aufgrund der deutschen SonderkonstrukVon „FunkVonsübertragung“
• „Gemeinsame Verantwortlichkeit“ wird in anderen Mitgliedstaaten recht häufig angenommen (in Deutschland selten, war im BDSG-‐alt nicht explizit erwähnt)
• bisherige deutsche „FunkVonsübertragung“ wohl nicht mehr haltbar, künOig staXdessen oO AuOragsverarbeitung oder „Gemeinsame Verantwortlichkeit“
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
27
Was ist mit „alten“ Working Papers?
WP 160 – Kinder, insbesondere auch im Bereich Schule WP 158 – ÜbermiXlung in die USA aufgrund Anforderung für dorVge zivilrechtliche RechtsstreiVgkeiten (sog. E-‐Discovery) § oO widerstreitende Anforderungen aus US-‐Recht und EU-‐Datenschutzrecht § erhebliche Praxisrelevanz gerade für größere Unternehmen mit US-‐GeschäO WP 153, 154, 155, 195, 204 u.a. – Binding Corporate Rules (BCR) § Basis-‐Anforderungen an BCR nun explizit in Art. 47 DS-‐GVO geregelt (aus den WPs
übernommen) § WPs zu BCR werden derzeit an die DS-‐GVO angepasst, vorrangig WPs 153 und 195
(Veröffentlichung voraussichtlich Ende 2017 / Anfang 2018)
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
28
Was ist mit „alten“ Working Papers?
WP 136 – Begriff „personenbezogene Daten“ § Grundaussagen weiterhin gülVg, z.B.
• Wann ist eine InformaVon auf eine Person beziehbar? -‐> „Inhaltselement“, „Zweckelement“, „Ergebniselement“
• Wann ist eine Person besVmmbar/idenVfizierbar? WP 117 – Whistleblowing WP 89 – Videoüberwachung (stammt allerdings schon aus 2004) WP 56 – Anwendbarkeit des EU-‐Datenschutzrechts auf Websites außerhalb der EU § allerdings durch DS-‐GVO und künOige E-‐Privacy-‐VO z. T. überholt
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
29
Was ist mit „alten“ Working Papers?
Fazit: § Der Blick geht künOig noch mehr nach Brüssel, zu den Leitlinien des EDSA § Für deutsche Anwender gibt es durchaus Nachholbedarf, auch hinsichtlich der
bisherigen Working Papers. § Working Papers zeigen: Die „deutsche Sichtweise“ (sofern es diese gibt) ist
nicht immer idenVsch mit der vorherrschenden Sichtweise in Europa. § Deutsche Aufsichtsbehörden haben ihre Arbeitsverfahren und
InformaVonsflüsse bezüglich der Art.-‐29-‐Gruppe deutlich überarbeitet. • Zweck: „mehr Einfluss in Brüssel“, vor allem auch auf den Inhalt von
Working Papers und künOigen Leitlinien
Bayerisches Landesamt für Datenschutzaufsicht BayLDA
30
Vielen Dank für Ihre Aufmerksamkeit
Alexander Filip, Referatsleiter beim BayLDA
www.lda.bayern.de