einführung in das datenschutzrecht wintersemester 2016/2017 › uploads › vorlesungen › fh ›...
TRANSCRIPT
Einführung in das Datenschutzrecht Wintersemester 2016/2017
1. Vorlesung:
Organisatorisches, Einführung und Grundrechte
27.09.2016
Folien: Christian Prietz, Eva Schlehahn
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 2
Organisatorisches
• Vorlesungsbeginn: 8:00
• Vorlesungsende: 9:30
• Vorlesungsplan (siehe Folie 3)
• Prüfungsleistung 1: Klausur
Inhalt: Multiple Choice, Freitexte und Fälle
Dauer: 1 Stunde
Zeitraum: 09.01.-28.01.2017
Ort: ULD, Holstenstraße 98, 24103 Kiel
• Prüfungsleistung 2: Voraussichtlich mündliche Prüfung
• Sonstiges (?)
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 3
(Vorläufiger) Vorlesungsplan
• 27.09.16 - Einführung: Organisatorisches und Grundrechte (Eva Schlehahn)
• 04.10.16 - Gesetzessystematik und Grundbegriffe (Christian Prietz)
• 11.10.16 - Rechtmäßigkeit, Einwilligung und Zweckbindung (Christian Prietz)
• 18.10.16 - Erforderlichkeit, Transparenz, Datensicherheit und Kontrolle (Christian Prietz)
• 25.10.16 - IT-Sicherheit, Informationssicherheitsmanagementsystem (ISMS – Christian Prietz)
• 01.11.16 - Informationszugang, IZG (Andreas Schlisske)
• 22.11.16 - Telemediengesetz + Wiederholung (Henry Krasemann)
• 29.11.16 - Kundendatenschutz (Eva Schlehahn)
• 06.12.16 - Arbeitnehmerdatenschutz (Eva Schlehahn)
• 13.12.16 – Auftragsdatenverarbeitung und PET (Harald Zwingelberg)
• 20.12.16 - Datenschutz bei Gefahrenabwehr und Strafverfolgung (Rasmus Robrahn)
• 09.01.-28.01.17 - Klausurzeitraum
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 4
Literatur
Gesetzestexte Textsammlung „Datenschutzrecht in Schleswig-Holstein“
Schwerpunkt: Bundesdatenschutzgesetz (BDSG)
ggf. weitere Gesetze relevant (TMG, IZG etc.)
Lehrbücher
Witt, Datenschutz kompakt und verständlich, Verlag Vieweg und Teubner, 2. Auflage 2010
Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, Oldenbourg Verlag, 5. Auflage 2012
Sammelbände
Schmidt/Weichert (Hrsg.), Datenschutz – Grundlagen, Entwicklungen und Kontroversen, 2012 www.bpb.de/shop/buecher/schriftenreihe/143502/datenschutz
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 5
Kontakt
• Christian Prietz
E-Mail: [email protected]
• https://www.datenschutzzentrum.de/vorlesungen
Vorlesungsfolien
sonstige Informationen (Vorlesungsplan, Klausurtermin etc.)
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 6
Kurzvorstellung ULD
IT Labor
Modell-
projekte
Verwaltung
Wirtschaft
Bürger
Primäre
Adressaten: Wirtschaft,
Wissenschaft,
Verwaltung
Bildung
DATEN-
SCHUTZ-
AKADEMIE
Aufsicht
Beratung
Gütesiegel
Audit
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 7
Was ist Datenschutz?
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 8
Kleine Geschichte des Datenschutzes • 1970er Jahre: Computer in Verwaltung und Wirtschaft
• 1970: Erstes allg. Datenschutzgesetz der Welt in Hessen
• 1977: Bundesdatenschutzgesetz
• 1978: Landesdatenschutzgesetz Schleswig-Holstein
• 1983: Volkszählungsurteil Recht auf informationelle Selbstbestimmung (RIS)
• 1991: 1. Novellierung des Bundesdatenschutzgesetzes
• 1995: Europäische Datenschutzrichtlinie 1995/46/EG
• 2001: 2. Novellierung des Bundesdatenschutzgesetzes
• 2008: Urteil zur Online-Durchsuchung Grundrecht auf Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer Systeme (GIVIS)
• 2008: Datenschutzskandale
• 2009: 3. Novellierung des Bundesdatenschutzgesetzes
• 2010: Urteil zur Vorratsdatenspeicherung
• 01/2012: Novelliertes LDSG SH in Kraft
• 01/2012: Vorschlag EU-KOM für Reform des EU-DS-Rechtsrahmens
• Seit 06/2013: Affäre um PRISM, Tempora und XKeyScore
• April 2014: Urteil des EuGH zur Richtlinie 2006/24/EG
• Mai 2015: Vorschlag zur Neueinführung einer Speicherpflicht
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 9
Was sind Grundrechte?
Grundrechte
• sind subjektive öffentliche Rechte mit Verfassungsrang
• sind im Grundgesetz in den Artikeln 1 – 19 geregelt
• binden Legislative, Exekutive und Judikative als unmittelbar geltendes Recht
• dürfen nur eingeschränkt werden, wenn dies durch ein Parlamentsgesetz legitimiert wird
• dürfen auch durch ein Parlamentsgesetz nicht beliebig eingeschränkt werden (Verhältnismäßigkeitsgrundsatz, keine Einzelfallgesetze, Zitiergebot, Wesensgehaltsgarantie, Bestimmtheitsgrundsatz etc.)
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 10
Funktionen der Grundrechte
Grundrechte
Objektivrechtliche Funktion
Subjektives Abwehrrecht
des Bürgers gegen den
Staat
Schutzpflicht
des Staates
Mittelbare Drittwirkung der
Grundrechte
Effektive Verfahren zum
Schutz der Grundrechte
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 11
Grundrechtstypen, Verfassungsbeschwerde
• Zu unterscheiden sind insbesondere Freiheitsgrundrechte und Gleichheitsgrundrechte
• Hinsichtlich der Frage nach der Grundrechtsträgerschaft unterscheidet man Jedermannsgrundrechte und Deutschengrundrechte
• Die Verletzung eines Grundrechts kann vor dem Bundesverfassungsgericht (BVerfG) mit einer Verfassungsbeschwerde gerügt werden
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 12
Grundrechtsprüfung
• Schutzbereich
Sachlich (Schutzgut)
Persönlich (Grundrechtsträger)
• Eingriff
Zurechenbare Beeinträchtigung durch Hoheitsträger (Gesetz, Verwaltungsakt, Gerichtsurteil etc.)
• Verfassungsrechtliche Rechtfertigung
Schranken (Einschränkbarkeit)
Schranken-Schranken (Relativierung der Einschränk-barkeit, vom Gesetzgeber zu beachtende Grenzen)
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 13
Grundrecht auf informationelle Selbstbestimmung
(RIS)
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 14
RIS Entstehungsgeschichte
1982 beschlossen Bundestag und -rat das „Volkszählungsgesetz 1983“: Durchführung einer umfassenden Volkszählung im April 1983
Gegen die geplante Volkszählung regte sich Widerstand in der Bevölkerung (Angst vor dem „gläsernen Bürger“)
Gegen das Volkszählungsgesetz wurden mehrere Verfassungsbeschwerden erhoben
Bildquellen:
http://www.wdr.de
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 15
RIS Volkszählungsurteil des Bundesverfassungsgerichts
vom 15.12.1983
Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.
Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen …, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 16
RIS Volkszählungsurteil des Bundesverfassungsgerichts
vom 15.12.1983 (2)
Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.
Verhinderung von Einschüchterungseffekten
[…] gibt es unter den Bedingungen der automatischen Datenverarbeitung kein "belangloses" Datum mehr.
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 17
RIS Schutzbereich
Sachlicher Schutzbereich
Schutz vor unbefugter Verarbeitung personenbezogener Daten durch staatliche Stellen.
Persönlicher Schutzbereich
RIS schützt natürliche Personen (= lebende Menschen).
Kein Schutz juristischer Personen durch das RIS (h.M.)
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 18
RIS Dogmatische Herleitung des RIS
RIS = spezielle Ausprägung des allg. Persönlichkeitsrechts des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG
Artikel 1 Grundgesetz (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. [...]
Artikel 2 Grundgesetz (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. [...]
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 19
RIS Eingriff
= Jede staatliche Maßnahme, die die Verfügungsbefugnis des Einzelnen über die Preisgabe und Verwendung seiner persönlichen Daten beeinträchtigt.
Kein Eingriff liegt vor, wenn der Betroffene in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch staatliche Stellen eingewilligt hat.
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 20
RIS Verfassungsrechtliche Rechtfertigung
•Verfassungsmäßige gesetzliche Grundlage, die
im überwiegenden Allgemeininteresse erforderlich ist,
dem Grundsatz der Normenklarheit entspricht,
dem Verhältnismäßigkeitsgrundsatz entspricht,
dem Zweckbindungsgrundsatz entspricht.
•Gesetzgeber muss organisatorische und verfahrensrechtliche Vorkehrungen treffen, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 21
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme (GIVIS)
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 22
GIVIS Entstehungsgeschichte
BGH im Januar 2007:
Die Strafprozessordnung bietet keine Ermächtigungsgrundlage für eine heimliche Online-Durchsuchung informationstechnischer Systeme § 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen Rechtsgrundlage für Online-Durchsuchung
Dagegen: Einlegung von Verfassungsbeschwerden beim
BVerfG
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 23
GIVIS Urteil des Bundesverfassungsgerichts vom 27.02.2008
§ 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen ist verfassungswidrig.
Das allgemeine Persönlichkeitsrecht umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Eine heimliche Online-Durchsuchung eines solchen Systems stellt einen Eingriff in dieses Grundrecht dar und ist nur unter engen Voraussetzungen zulässig.
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 24
GIVIS
Dogmatische Herleitung von GIVIS
Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist wie das Grundrecht auf informationelle Selbstbestimmung eine Ausprägung des allgemeinen Persönlichkeitsrechts.
GIVIS soll neuartigen Gefährdungen durch den technischen Fortschritt (hier: moderne Informationstechnik) begegnen und einen lückenlosen Persönlichkeitsschutz gewährleisten.
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 25
GIVIS Schutzbereich
Informationstechnisches System
Systeme, die allein oder in technischen Vernetzungen personenbezogene Daten in einem Umfang und einer Vielfalt enthalten können, dass ein Zugriff einen Einblick in wesentliche Teile der Lebensgestaltung oder gar den Erhalt eines aussagekräftigen Persönlichkeitsbilds ermöglicht.
Vertraulichkeit und Integrität
Vertraulichkeit: Schutz vor Kenntnisnahme von Daten durch Dritte
Integrität: Schutz vor Schäden auf dem Rechner und vor Manipulation von Daten
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 26
GIVIS Eingriff
= Zugriff auf ein informationstechnisches System
• einmaliger und punktueller Zugriff zwecks Anfertigung einer Kopie des Systems (Online-Durchsicht) oder
• Zugriff zwecks längerer Überwachung des informationstechnischen Systems (Online-Überwachung)
Unterschiedliche Möglichkeiten der technischen Realisierung (Trojaner, Backdoors, Zero-Day-Exploit, Keylogger, etc.)
Nur Schutz vor heimlicher oder aber auch vor (erzwungener) offener Infiltration eines informationstechnischen Systems?
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 27
GIVIS Verfassungsrechtliche Rechtfertigung
•Gesetzesvorbehalt
•Gesetzeszweck: Gefahrenabwehr oder Strafverfolgung
•Bestimmtheit des Gesetzes
•Verhältnismäßigkeit Heimliche Infiltration eines informationstechnischen Systems nur
zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen.
Heimliche Infiltration ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen.
Zur Infiltration ermächtigendes Gesetz muss Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung treffen.
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 28
GIVIS
Kernbereich privater Lebensgestaltung
•Bei heimlicher Überwachung müssen gesetzliche Vorkehrungen zum Schutz des aus Art. 1 Abs. 1 GG abgeleiteten Kernbereichs privater Lebensgestaltung getroffen werden.
•Begriff des Kernbereichs: Möglichkeit, ohne Angst vor staatlicher Überwachung innere Vorgänge (z. B. Gefühle, Überlegungen, Ansichten) höchstpersönlicher Art zum Ausdruck zu bringen
www.datenschutzzentrum.de
Datenschutzrecht – FH Kiel – Christian Prietz 29
GIVIS
Kernbereich privater Lebensgestaltung
•Kernbereich = nicht überschreitbare Grenze, die in der Menschenwürde des Artikels 1 Abs. 1 GG wurzelt
•Zweistufiger Kernbereichsschutz
1. Stufe (Erhebungsphase): Erhebung von Kernbereichsdaten ist möglichst zu vermeiden
2. Stufe: (Auswertungsphase) Falls doch: Erhobene Daten mit Kernbereichsbezug müssen unverzüglich gelöscht werden. Ihre Weitergabe und Verwertung ist auszuschließen.
www.datenschutzzentrum.de
Vielen Dank für Ihre Aufmerksamkeit!
Datenschutzrecht – FH Kiel – Christian Prietz 30
Noch Fragen?
Vorlesungsfolien bald zu finden unter:
https://www.datenschutzzentrum.de/vorlesungen