Binnenmarkt” (DBM-Strategie der EU-Kommission) 2) Datenschutz-Grundverordnung 3) Sonderfall: Einwilligung 4) Für Webworker wichtige Einzelfragen DSGVO – eine erste Einführung für Webworker DSGVO – eine erste Einführung WebJustiz.de
Ziele der DBM-Strategie: ➢ Besserer Online-Zugang für Verbraucher und Unternehmen zu Waren und Dienstleistungen in ganz Europa ➢ Regeln für den grenzüberschreitenden elektronischen Handel, denen Verbraucher und Unternehmen vertrauen können ➢ Verhinderung von ungerechtfertigtem Geoblocking ➢ Besserer Zugang zu digitalen Inhalten ➢ Reduzierung des Mehrwertsteuer-bedingten Verwaltungsaufwands und Abbau der Hindernisse bei Auslandsgeschäften ➢ Schaffung der richtigen Bedingungen für florierende digitale Netze und Dienste ➢ Bedarfsgerechte Telekommunikationsvorschriften ➢ “Mediengesetzgebung für das 21. Jahrhundert” ➢ Bedarfsgerechtes Regulierungsumfeld für Online-Plattformen und Mittler ➢ Bekämpfung illegaler Inhalte im Internet ➢ Stärkung des Vertrauens und der Sicherheit bei digitalen Diensten und beim Umgang mit personenbezogenen Daten ➢ Bestmögliche Ausschöpfung des Wachstumspotenzials der digitalen Wirtschaft ➢ Aufbau einer Datenwirtschaft (“Big-Data-Sektor”) ➢ Steigerung der Wettbewerbsfähigkeit durch Interoperabilität und Normung ➢ Inklusive digitale Gesellschaft ➢ Elektronische Behördendienste (“e-Goverment”) ➢ Schaffung des digitalen Binnenmarktes (“Bestmögliche Ausschöpfung des Wachstumspotenzials der europäischen digitalen Wirtschaft”) ➢ Schaffung eines günstigen Investitionsklimas im digitalen Binnenmarkt ➢ Effektive Steuerung des digitalen Binnenmarktes “Strategie für einen digitalen Binnenmarkt” DSGVO – eine erste Einführung WebJustiz.de
Bisher: Richtlinen → geben einen Rahmen vor, der von den Mitgliedstaaten umgesetzt werden muss ➢ Geplant: Verordnungen → gelten in den allen EU-Mitgliedstaaten unmittelbar → die EU-Mitgliedstaaten können allenfalls noch aufgrund punktueller Öffnungsklauseln zu einzelnen, genau definierten Themen eigene (Ausführungs-)Vorschriften erlassen. ➢ Datenschutz-Grundverordnung ➢ ersetzt die EU-Datenschutzrichtlinie 95/46/EG ➢ erlassen 2016, anwendbar ab 25. Mai 2018) ➢ “Delegierte Verordnung” (Durchführungs-VO) steht noch aus. ➢ EPrivacy-Verordnung ➢ ersetzt die e-Datenschutz-Richtlinie 2002/58/EG (ePrivacy-Richtlinie, Cookie-Richtlinie) ➢ im Gesetzgebungsverfahren… ➢ geplantes Inkrafttreten zusammen mit der DSGVO ➢ Spezielle Regelungen ➢ für den Bereich der Justiz und der Polizei und Sicherheitsbehörden ➢ für die Organe, Einrichtungen und sonstige Stellen der EU Datenschutz im Rahmen der DBM-Strategie DSGVO – eine erste Einführung WebJustiz.de
EU Deutschland Verfassung Grundrechte • auf informationelle Selbstbestimmung • auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Derzeit EU-Datenschutzrichtlinie 95/46/EG e-Datenschutz-Richtlinie 2002/58/EG ... Bundesdatenschutzgesetz Telemediengesetz ... EU-Recht gibt nur einen Handlungsrahmen vor, der von den einzelnen Mitgliedsstaaten umgesetzt werden muss. Maßgebend ist die jeweilige nationale Bestimmung → BDSG, TMG WebJustiz.de
eine erste Einführung EU Deutschland Verfassung • Art. 8 Abs. 1 GrundrechteCharta • Art. 16 Abs. 1 AEUV Ab 25. Mai 2018 • Datenschutz- Grundverordnung • EPrivacy-VO (kommt noch) • Delegierte DS-VO (kommt noch) Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnUG-EU) → Neufassung des BDSG Die EU-Verordnungen gelten unmittelbar in der gesamten EU Punktuelle Öffnungsklauseln für die nationalen Gesetzgeber WebJustiz.de
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ➢ Verkündet: 4. Mai 2016 ➢ Inkrafttreten: 24. Mai 2016 ➢ Anzuwenden ab: 25. Mai 2018 ➢ Geltungsbereich: Gesamte EU EU-Datenschutz–Grundverordnung DSGVO – eine erste Einführung WebJustiz.de
Grundfreiheiten natürlicher Personen ➢ insb. Schutz personenbezogener Daten ➢ unabhängig von seinem Aufenthaltsort. ➢ Förderung der Wirtschaft ➢ Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedsstaaten ➢ Gewährleistung des Binnenmarktes ➢ Harmonisierung der bisherigen einzelstaatlichen Vorschriften EU-DSGVO - Ziele DSGVO – eine erste Einführung WebJustiz.de
➢ Treu und Glauben ➢ Transparenz ➢ Verarbeitung in einer für die Betroffenen nachvollziehbaren Weise ➢ Integrität und Vertraulichkeit ➢ Gewährleistung angemessener Sicherheit personenbezogener Daten ➢ Schutz vor unbefugter oder unrechtmäßiger Verarbeitung ➢ Schutz vor unbeabsichtigtem Verlust ➢ Schutz vor unbeabsichtigter Zerstörung oder Schädigung ➢ Durch geeignete technische und organisatorische Maßnahmen Grundsätze - Datenverarbeitung DSGVO – eine erste Einführung WebJustiz.de
nur solange möglich sein, wie für den Verarbeitungszweck erforderlich; ➢ Längere Speicherung ist nur zulässig für ➢ im öffentlichen Interesse liegende Archivzwecke, ➢ wissenschaftliche oder historische Forschungszwecke, ➢ statistische Zwecke. ➢ Ggfs. ist eine Pseudonymisierung erforderlich. Grundsätze - Datenspeicherung DSGVO – eine erste Einführung WebJustiz.de
ist für die Einhaltung dieser Grundsätze verantwortlich, ➢ muss deren Einhaltung nachweisen können. Grundsätze – Rechenschaftspflicht DSGVO – eine erste Einführung WebJustiz.de
identifizierbare natürliche Person beziehen; ➢ Identifizierbar = natürliche Person angesehen, die ➢ direkt oder indirekt identifiziert werden kann, ➢ insbesondere mittels Zuordnung zu einer Kennung wie ➢ Namen, ➢ Kennnummer, ➢ Standortdaten, Online-Kennung oder ➢ einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Begrifflichkeiten – Personenbezogene Daten DSGVO – eine erste Einführung WebJustiz.de
Vorgang oder ➢ jede solche Vorgangsreihe ➢ im Zusammenhang mit personenbezogenen Daten ➢ Beispiele: ➢ Erheben oderErfassen, ➢ Organisation oder Ordnen, ➢ Speicherung, Anpassung oder Veränderung, ➢ Auslesen, Abfragen, oder Verwendung, ➢ Offenlegung durch Übermittlung, Verbreitung oder andere Form der Bereitstellung, ➢ Abgleich oder Verknüpfung, ➢ Einschränkung, Löschen oder Vernichtung. Begrifflichkeiten – Verarbeitung DSGVO – eine erste Einführung WebJustiz.de
Daten um ➢ bestimmte Aspekte einer natürlichen Person ➢ zu bewerten, ➢ insbesondere um Aspekte vorherzusagen ➢ bezüglich Arbeitsleistung, ➢ wirtschaftliche Lage, ➢ Gesundheit, ➢ persönliche Vorlieben, ➢ Interessen, ➢ Zuverlässigkeit oderVerhalten, ➢ Aufenthaltsort oder Ortswechsel Begrifflichkeiten – Profiling DSGVO – eine erste Einführung WebJustiz.de
personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, ➢ sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und ➢ technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; Begrifflichkeiten – Pseudonymisierung DSGVO – eine erste Einführung WebJustiz.de
die nach bestimmten Kriterien zugänglich sind, ➢ unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Begrifflichkeiten – Dateisystem DSGVO – eine erste Einführung WebJustiz.de
andere Stelle, die ➢ allein oder gemeinsam mit anderen ➢ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; ➢ Besondere Kriterien sind möglich, wenn Zwecke und Mittel der Verarbeitung gesetzlich vorgegeben sind. Begrifflichkeiten – Verantwortlicher DSGVO – eine erste Einführung WebJustiz.de
andere Stelle, die ➢ personenbezogene Daten ➢ im Auftrag des Verantwortlichen verarbeitet Begrifflichkeiten – Auftragsverarbeiter DSGVO – eine erste Einführung WebJustiz.de
andere Stelle, ➢ der personenbezogene Daten offengelegt werden, ➢ unabhängig davon, ob es sich um einen Dritten handelt oder nicht. ➢ Kein Empfänger sind Behörden, ➢ die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten. Begrifflichkeiten – Empfänger DSGVO – eine erste Einführung WebJustiz.de
andere Stelle, ➢ außer ➢ der betroffenen Person, ➢ dem Verantwortlichen, ➢ dem Auftragsverarbeiter und ➢ den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Begrifflichkeiten – Dritter DSGVO – eine erste Einführung WebJustiz.de
in informierter Weise und ➢ unmissverständlich abgegebene ➢ Willensbekundung ➢ in Form einer Erklärung oder ➢ einer sonstigen eindeutigen bestätigenden Handlung, ➢ mit der die betroffene Person zu verstehen gibt, ➢ dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Begrifflichkeiten – Einwilligung DSGVO – eine erste Einführung WebJustiz.de
unrechtmäßig, ➢ zur Vernichtung, zum Verlust, zur Veränderung, ➢ zur unbefugten Offenlegung von bzw. ➢ zum unbefugten Zugang zu personenbezogenen Daten ➢ führt, die ➢ übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Begrifflichkeiten – Verletzung des Schutzes personenbezogener Daten DSGVO – eine erste Einführung WebJustiz.de
für Unternehmen ➢ mit Sitz außerhalb der EU ➢ die sich an EU-Bürger wenden ➢ Öffnungsklauseln für nationale Gesetzgeber ➢ Art. 48 → Aufsichtsbehörden ➢ Art. 90 → Auskunftpflichten gegenüber Aufsichtsbehörden ➢ … EU-DSGVO – Örtlicher Geltungsbereich DSGVO – eine erste Einführung WebJustiz.de
ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie ➢ für die nichtautomatisierte Verarbeitung personenbezogener Daten, die ➢ in einem Dateisystem gespeichert sind oder ➢ gespeichert werden sollen. ➢ Ausnahmen: ➢ privater Schriftverkehr ➢ privates Anschriftenverzeichnis ➢ private Nutzung sozialer Netze ➢ private Online-Tätigkeit EU-DSGVO – Sachlicher Anwendungsbereich DSGVO – eine erste Einführung WebJustiz.de
Vorrang ➢ “Fun-Fact”: Enthält zwar nur noch Ergänzungsregelungen, ist aber deutlich umfangreicher als das bisherige, alles regelnde BDSG ➢ Enthält ergänzende Regelungen zu ➢ sensitiven Daten ➢ Beschäftigtendatenschutz ➢ Datenverarbeitung bei Verbraucherkrediten ➢ Scoring- und Bonitätsauskünften ➢ Informationspflichten ➢ Löschpflichten ➢ Profiling DSAnUG-EU – Das “neue” BDSG DSGVO – eine erste Einführung WebJustiz.de
Erfüllung gesetzlicher Pflichten ➢ z.B. Aufbewahrungspflichten ➢ Schutz lebenswichtiger Interessen von Menschen ➢ z.B. in der Medizin ➢ berechtigten Interessen ➢ Marketing und Direktwerbung ➢ IT-Sicherheit ➢ Compliance ➢ Beschäftigtenkontrolle EU-DSGVO – Ist die Datenverarbeitung erlaubt? DSGVO – eine erste Einführung WebJustiz.de
eines anderen Erlaubnisgrunde ➢ Ist die betroffene Person einwilligungsfähig? ➢ Ab 16 Jahre. ➢ Wurde die Einwilligung freiwillig abgegeben? ➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung; ➢ Kein Verstoß gegen das Koppelungsverbot? ➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden, ➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist. ➢ Sind die notwendigen Belehrung erfolgt? ➢ Belehrung über das Widerrufsrecht ➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung ➢ Ist die Einwilligungserklärung unmissverständlich? ➢ Schlüssige Erkklärung ➢ Opt-In → Opt-Out ist nicht ausreichend! ➢ Ist die Einwilligung nachweisbar? ➢ Schriftform oder ➢ elektronisch protokolliert. Einwilligung – Wirksamkeitsvoraussetzungen DSGVO – eine erste Einführung WebJustiz.de
II. Einwilligung III. Datenübermittlung IV. Datentransfer in Drittstaaten V. Auftragsverarbeitung VI. Wartungsarbeiten durch Dienstleister DSGVO – Für Webworker wichtige Einzelfragen DSGVO – eine erste Einführung WebJustiz.de
Internes Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) ➢ muss geführt werden: ➢ von jedem Verantwortlichen ➢ für alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. ➢ schriftlich oder elektronisches Format ➢ Einsichts- und Prüfungsrecht der Aufsichtsbehörde ➢ Ausnahmen: ➢ Unternehmen mit weniger als 250 Mitarbeiter, ➢ sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen, ➢ die Verarbeitung nicht nur gelegentlich erfolgt oder ➢ nicht die Verarbeitung besonderer Datenkategorien einschließt. EU-DSGVO - Verfahrensverzeichnis DSGVO – eine erste Einführung WebJustiz.de
des Verantwortlichen und ggfs. seines Vertreters, ➢ eines etwaigen Datenschutzbeauftragten; ➢ Zwecke der Verarbeitung ➢ Kategorien betroffener Personen und Kategorien personenbezogener Daten ➢ Kategorien von Empfängern, ➢ denen gegenüber personenbezogene Daten offengelegt wurden oder werden ➢ einschließlich Empfäger in Drittländern ➢ Übermittlungen personenbezogener Daten in ein Drittland ➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz ➢ Vorgesehene Löschungsfristen für die verschiedenen Datenkategorien (wenn möglich) ➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen ➢ Verfahrensverzeichnis - Inhalt DSGVO – eine erste Einführung WebJustiz.de
des Auftragsverarbeiters ➢ Jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, ➢ eines etwaigen Datenschutzbeauftragten; ➢ Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; ➢ Übermittlungen personenbezogener Daten in ein Drittland ➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz ➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen Verfahrensverzeichnis – für Auftragsverarbeiter DSGVO – eine erste Einführung WebJustiz.de
Erfüllung gesetzlicher Pflichten ➢ z.B. Aufbewahrungspflichten ➢ Schutz lebenswichtiger Interessen von Menschen ➢ z.B. in der Medizin ➢ berechtigten Interessen ➢ Marketing und Direktwerbung ➢ IT-Sicherheit ➢ Compliance ➢ Beschäftigtenkontrolle EU-DSGVO – Ist die Datenverarbeitung erlaubt? DSGVO – eine erste Einführung WebJustiz.de
eines anderen Erlaubnisgrunde ➢ Ist die betroffene Person einwilligungsfähig? ➢ Ab 16 Jahre. ➢ Wurde die Einwilligung freiwillig abgegeben? ➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung; ➢ Kein Verstoß gegen das Koppelungsverbot? ➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden, ➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist. ➢ Sind die notwendigen Belehrung erfolgt? ➢ Belehrung über das Widerrufsrecht ➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung ➢ Ist die Einwilligungserklärung unmissverständlich? ➢ Schlüssige Erkklärung ➢ Opt-In → Opt-Out ist nicht ausreichend! ➢ Ist die Einwilligung nachweisbar? ➢ Schriftform oder ➢ elektronisch protokolliert. Einwilligung – Wirksamkeitsvoraussetzungen DSGVO – eine erste Einführung WebJustiz.de
Daten durch Dritte ➢ Zulässigkeit der Datenübermittlung: ➢ Einwilligung der Betroffenen? ➢ nach umfassender Information ➢ Zur Vertragserfüllung erforderlich? ➢ Auftragsdatenverarbeitung ➢ Datenübermittlung außerhalb EU / EWR ➢ zusätzliche Anforderungen EU-DSGVO - Datenübermittlung DSGVO – eine erste Einführung WebJustiz.de
Staaten außerhalb von EU/EWR ➢ Drittstaaten mit angemessenem Datenschutzniveau ➢ erfordert einen entsprechenden Beschluss der EU-Kommission ➢ Schweiz, Neuseeland, brit. Kanalinseln, Andorra, Faröer, Argentinien, Uruguay ➢ eingeschränkt: Kanada, Israel ➢ Übrige Drittstaaten: ➢ Binding Corporate Rules (i.d.R. für Webprojekte nicht praktikabel) ➢ EU-“Standardvertragsklauseln” (Gültigkeit könnte problematisch werden) ➢ Einwilligung des Betroffenen (nach umfassender Information) ➢ Sonderfall: Datentransfer in die USA ➢ zusätzlich: EU-US Privacy Shield Datentransfer in Drittstaaten DSGVO – eine erste Einführung WebJustiz.de
wie unter EU-Unternehmen” ➢ Ersatz für “Safe Harbour” ➢ EuGH-Urteil vom 06.10.2015 (“Schrems-Urteil”) ➢ Nur für Datenübermittlung an bestimmte US-Firmen: ➢ Jedes US-Unternehmen kann frei entscheiden, ob es teilnimmt. ➢ Selbstverpflichtung / Selbstzertifizierung ➢ Keine intensive Kontrolle durch US-Administratition oder EU ➢ Teilnehmende Firmen: www.privacyshield.gov EU-US Privacy Shield DSGVO – eine erste Einführung WebJustiz.de
nur “Absichtserklärungen” von USA und EU ➢ Fortbestand der US-Zusagen derzeit zumindest zweifelhaft ➢ Vereinbarkeit mit Schrems-Urteil des EuGH höchst zweifelhaft ➢ Überprüfungsfrist für EU-Kommission endete Juli 2017 ➢ EU-Parlament fordert Nachbesserung / Beendigung ➢ EU-Justizkommissarin droht mit Beendigung, wenn keine signifikante Änderungen erfolgen ➢ EU-Kommission sieht “keine Probleme”. EU-US Privacy Shield - Probleme DSGVO – eine erste Einführung WebJustiz.de
personenbezogenen Daten ➢ durch einen Auftragsverarbeiter (Auftragnehmer) ➢ Nach Weisung der verantwortlichen Stelle (Auftraggeber) ➢ Aufgrund eines Vertrages ➢ schriftlich oder in elektronischer Form Auftragsverarbeitung - Grundlagen DSGVO – eine erste Einführung WebJustiz.de
Dauer, Art und Zweck der Verarbeitung ➢ Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung ➢ Art der personenbezogenen Daten und Kategorien der betroffenen Personen ➢ Umfang der Weisungsbefugnis ➢ Vertraulichkeitsverpflichtung ➢ Kontrollrechte ➢ Sicherstellung durch techn. und organ. Maßnahmen Auftragsdatenverarbeitung – Notw. Regelungen DSGVO – eine erste Einführung WebJustiz.de
Auftraggeber geführt werden ➢ Mit EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter ➢ Anlage ähnlich einem BDSG-Verfahrensverzeichnis Auftragsdatenverarbeitung - Verzeichnis DSGVO – eine erste Einführung WebJustiz.de
Ab EU-DSGVO: Auftraggeber und Auftragsverarbeiter haften beide ➢ Verstoß des Auftragsverarbeiters gegen Weisungen oder vertragliche Bestimmungen: ➢ Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung ➢ Auftragsverarbeiter zum Verantwortlichen Auftragsdatenverarbeitung - Haftung DSGVO – eine erste Einführung WebJustiz.de
mittels automatisierter Verfahren ➢ nur gelegentlicher Fernwartung ➢ Wartung vor Ort ➢ Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen ➢ “Geheimhaltungsvereinbarung” ➢ ist kein Vertrag zur Auftragsdatenvereinbarung! ➢ Rechtslage unter der EU-DSGVO ist noch unklar: ➢ wahrscheinlich (analog zu) Auftragsdatenverarbeitung ➢ Aber: Überlegungen, ob nicht eine Übermittlung vorliegt. Wartungsarbeiten durch Dienstleister DSGVO – eine erste Einführung WebJustiz.de