Das neue Datenschutzrecht der EU Ralf Bendrath senior policy advisor Jan Philipp Albrecht MdEP Die EU-Datenschutzreform Warum #EUdataP? – Update der Regeln von 1995 • aber Festhalten an bewährten Prinzipien – Digitaler Binnenmarkt – Vertrauen und Rechtssicherheit – Schlupflöcher schließen – Bessere Durchsetzung – Globaler „Goldstandard“ EU Primärrecht Artikel 16 AEUV (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht. Artikel 8 EU Grundrechte-Charta (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. EU: ordentliche Gesetzgebung Civil Liberties, Justice & Home Affairs Committee Justice & Home Affairs Council of Ministers (LIBE-Ausschuss) (JI-Rat) Hauptverhandler: Hauptverhandler: Jan Philipp Albrecht MdEP Felix Braz, Luxemburger Justizminister Mehr als vier Jahre (plus 2) • • • • • • • • KOM Gesetzesvorschlag: Januar 2012 EP erste Lesung: März 2014 Rat allgemeine Ausrichtung: Juni 2015 Politische Einigung: Dezember 2015 Sprachjuristen, Übersetzungen: April 2016 Veröffentlichung, Inkrafttreten: Mai 2016 Korrigendum: noch ausstehend Anwendung: 25. Mai 2018 3999 Änderungsanträge Die armen Bäume... Kernpunkte I • Definition personenbezogener Daten – IP-Nummern, RFID etc. dabei – „Aussondern“ („single out“) • Sachlicher Anwendungsbereich: – private und öffentliche Stellen – nicht: Strafverfolgung / nationale Sicherheit • Räumlicher Anwendungsbereich – Marktortprinzip • gilt auch für Schweizer Unternehmen, die in der EU Waren und Dienstleistungen anbieten Kernpunkte II • Zweckbindung • Datenminimierung, Speicherbegrenzung • Rechtsgrundlagen: – Einwilligung – Vertrag – rechtliche Verpflichtung – lebenswichtige Interessen – öffentliche Stelle – berechtigte Interessen Berechtigte Interessen • zweistufiger Test – Interessen der Verarbeiter & der Betroffenen • vernünftigerweise absehbar, basierend auf der Beziehung zur verantwortlichen Stelle • Direktwerbung kann legitim sein • Widerspruch immer möglich – auch automatisch (Do Not Track) Kernpunkte IV • Informationspflichten – „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ • Datenübertragbarkeit • Profiling • Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen Risiko-basierter Ansatz • „Eintrittswahrscheinlichkeit und Schwere des Risikos [werden] in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt” • hohes Risiko: mehr Auflagen – Konsultation – Folgenabschätzung – Meldepflicht Durchsetzung • Geldbußen bis zu 4% des Weltumsatzes – Strafrecht weiterhin möglich • Konsistenz – „One-stop shop“ – Europäischer Datenschutzausschuss – letzte Entscheidung dort • Aufsichtsbehörden – ausreichend personelle, technische und finanzielle Ressourcen Drittstaaten? • Angemessenheitsbeschluss – EuGH: „in der Substanz gleichwertig“ – Zugang der Behörden zu personenbezogenen Daten? Klagemöglichkeit? • geeignete Garantien – Standardvertragsklauseln, BCRs, Zertifizierung • Ausnahmen: Einwilligung, Vertrag etc. Danke für die Aufmerksamkeit! [email protected] @bendrath www.janalbrecht.eu #EUdataP
© Copyright 2024 ExpyDoc
