Von der Artikel-29-Gruppe zum Europäischen ... · Bayerisches Landesamt für Datenschutzaufsicht BayLDA 1 Von der Artikel-29-Gruppe zum Europäischen Datenschutzausschuss (EDSA)

Bayerisches Landesamt für Datenschutzaufsicht BayLDA

1

Vo n d e r A r t i k e l - 2 9 - G r u p p e z u m E u r o p ä i s c h e n D a t e n s c h u t z a u s s c h u s s ( E D S A )

– Z u k u n f t u n d B e d e u t u n g d e r „ Wo r k i n g P a p e r s “

A l e x a n d e r F i l i p B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

B v D - H e r b s t k o n f e r e n z D a t e n s c h u t z 2 6 . - 2 7 . 1 0 . 2 0 1 7 , S t u t t g a r t


2

Agenda: §  Auslegungshinweise der Datenschutzbehörden zum

Datenschutzrecht §  Hintergrund: Datenschutz in der EU und Deutschland heute §  Datenschutz in der EU morgen §  Der Europäische Datenschutzausschuss nach der DS-‐GVO §  Kohärenzverfahren §  Auslegungshinweise der Aufsichtsbehörden – heute und morgen §  mit Blick auf die DS-‐GVO kürzlich verabschiedete Leitlinien §  in der Vorbereitung befindliche Leitlinien mit Blick auf die DS-‐GVO §  Wie entsteht eigentlich ein Working Paper? §  Müssen wir künOig mehr „nach Brüssel“ schauen? §  Was ist eigentlich mit „alten“ Working Papers?


3

§  Was unter der DS-‐GVO als rechtmäßig anzusehen ist, ist oO Auslegungssache. Die Aufsichtsbehörden arbeiten an Auslegungshinweisen.

§  Wo und in welcher Form ? •  auf Ebene der einzelnen Aufsichtsbehörde z.B. „Kurzpapiere“ des Bayer.

Landesamts für Datenschutzaufsicht zur DS-‐GVO •  auf naVonaler Ebene: Kurzpapiere der Datenschutzkonferenz (beide zu

finden unter hXps://www.lda.bayern.de/de/datenschutz_eu.html) •  auf europäischer Ebene Leitlinien (Guidelines), derzeit veröffentlicht in

der Form sog. Working Papers der ArDkel-‐29-‐Gruppe

Thema dieses Vortrags


4


5

28 Aufsichtsbehörden in der EU und zusätzlich (mindestens) 18 Aufsichtsbehörden in Deutschland

… sind sich nicht immer einig, sowohl in Deutschland als auch in Europa

Hintergrund: Datenschutz in der EU und in Deutschland heute


6

Art.-‐29-‐Gruppe

18

5

10

19 17 20

8

16 15

21

22

27 1

2 3 4

14

6

7

9

13 12 11

23

24

25

26 EDPS EU-‐KOM

28

Datenschutz in Deutschland und der EU heute Hintergrund: Datenschutz in der EU und in Deutschland heute


7

Art.-‐ 29-‐Gruppe

Future of Privacy Subgroup

Internat. Transfers Subgroup

Technology Subgroup

………… Subgroup

Deutsche Aufsichtsbehörden in jeder Subgroup vertreten durch 1 Mitarbeiter der BfDI +

+ 1 Mitarbeiter einer Aufsichtsbehörde eines Bundeslandes (mit einem Stellvertreter aus einer Aufsichtsbehörde

eines weiteren Bundeslands)

Hintergrund: Datenschutz in der EU und in Deutschland heute

Deutsche Aufsichtsbehörden vertreten durch BfDI + (als Stellvertreter) Leiter einer Länder-‐

Aufsichtsbehörde (derzeit Hamburg)


8

Europäischer Datenschutzausschuss

18

5

10

19 17 20

8

16 15

21

22

27 28/UK

1 2 3 4

14

6

7

9

13 12 11

23

24

25

26 EDPS EU-‐

KOMM

Datenschutz in der EU morgen


9

Der Europäische Datenschutzausschuss („Ausschuss“) nach der DS-‐GVO

Aufgaben des Ausschusses: §  Der Ausschuss gibt eine Stellungnahme ab (…) (Art. 64, Kohärenzverfahren) bei:

§  Liste der Verarbeitungsvorgängen, die einer Datenschutz-‐Folgenabschätzung unterliegen

§  Entwurf von Verhaltensregeln (CoC) für mehrere Mitgliedstaaten §  Verbindliche interne DatenschutzvorschriOen (BCR) §  Standard-‐Datenschutzklauseln von Aufsichtsbehörden §  …

§  Um die ordnungsgemäße und einheitliche Anwendung der Verordnung in Einzelfällen sicherzustellen, erlässt der Europäische Datenschutzausschuss in den folgenden Fällen einen verbindlichen Beschluss: (…) (Art. 65, Kohärenzverfahren); ggf. im Dringlichkeitsverfahren (Art. 66)

§  Der Ausschuss stellt die einheitliche Anwendung der DS-‐GVO sicher. Hierzu (…) insbesondere (…) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren (Art. 70)


10

§  DefiniDon: Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (ErwGr. 135)

§  Sinn und Zweck: Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Ab-‐s chn iX be s ch r i ebenen Kohä ren z ve r f ah r en s untereinander und gegebenenfalls mit der Kommission zusammen (Art. 63).

Kohärenzverfahren, Art. 63 -‐ 67


11

§  Wann Kohärenzverfahren? §  bei Nichteinigung der Aufsichtsbehörden im Rahmen

der KooperaVon bei „grenzüberschreitender Verarbeitung“ (Art. 60 Abs. 4)

§  Stellungnahmen in den Fällen des Art. 64 (Genehmigung von BCR u.a.); ggf. im Anschluss noch Streitbeilegungsverfahren nach Art. 65 nöVg §  auf Antrag (u.a.) einer Aufsichtsbehörde möglich

bei jeder Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat (Art. 64 Abs. 2)

Kohärenzverfahren, Art. 63 -‐ 67


12

Kohärenz-‐verfahren

-‐ Alles klar ?

Quelle: BfDI/BMI


13

Art.-‐29-‐Gruppe („WP29“)

Arbeitspapiere

(Working Papers / „WPs“, bisher über 240 an der Zahl)

beratendes Gremium gemäß Art. 29 EG-‐Richtlinie 95/46

Europäischer Datenschutz-‐Ausschuss u.a. Leitlinien, Empfehlungen,

bewährte Verfahren

(Art. 70 DS-‐GVO)

Organ der europäischen Datenschutzbehörden mit

eigener Rechtspersönlichkeit

„Empfehlung“ Art. 70 – „soO law“

Auslegungshinweise der Aufsichtsbehörden – heute und morgen

HEUTE AB 25.05.2018


14

Leitlinien zur Datenübertragbarkeit

Leitlinien in Bezug auf Datenschutzbeaukragte

(„DSB“)

Leitlinien für die BesDmmung der federführenden

Aufsichtsbehörde eines Verantwortlichen oder Aukragsverarbeiters

Auslegungshinweise der Aufsichtsbehörden – heute und morgen


15

Mit Blick auf die DS-‐GVO kürzlich verabschiedete Leitlinien

Bereits verabschiedet: §  WP 242rev.01 – Datenportabilität §  WP 243rev.01 – DatenschutzbeauOragter §  WP 244rev.01 – federführende Aufsichtsbehörde §  WP 248rev.01 – Datenschutz-‐Folgenabschätzung Am 03./04.10.2017 verabschiedet in einer Entwurfs-‐Fassung mit der Eröffnung einer öffentlichen KonsultaDon: §  Meldung von Datenschutzverletzungen (Art. 33 f. DS-‐GVO) §  Profiling §  SankVonen (Art. 83 DS-‐GVO) (hierzu aber wohl keine KonsultaVon)

zu finden auf der Website zur Art.-‐29-‐Gruppe bei der Europäischen Kommission unter hXp://ec.europa.eu/newsroom/just/item-‐detail.cfm?item_id=50083 (ältere Working Papers – bis 2016 – abruoar unter hXp://ec.europa.eu/jusVce/data-‐protecVon/arVcle-‐29/documentaVon/opinion-‐recommendaVon/index_en.htm)


16

In der Vorbereitung befindliche Leitlinien mit Blick auf die DS-‐GVO

Weitere derzeit in der Vorbereitung befindliche Leitlinien: §  Überarbeitung exisVerender Working Papers der WP29 zu

DatenübermiXlungen in DriXländer: •  „Basispapier“ zu ÜbermiXlungen in DriXländer (WP 12); •  diverse WPs zu Binding Corporate Rules (WPs 153, 195 u.a.), •  Ausnahmetatbestände für ÜbermiXlungen in DriXländer (WP 114)

§  Einwilligung §  Transparenz-‐ und InformaVonspflichten nach der DS-‐GVO §  ZerVfizierung; AkkrediVerung von ZerVfizierungsstellen §  u.a. siehe Arbeitsplan (AcVon Plan) der Art.-‐29-‐Gruppe für 2016 (WP 236, abruoar auf o.g. Website) und für 2017 (PressemiXeilung, hXp://ec.europa.eu/newsroom/document.cfm?doc_id=41387)


17

Wie entsteht eigentlich ein Working Paper?

Art.-‐29-‐Gruppe

Future of Privacy Subgroup

Internat. Transfers Subgroup

Technology Subgroup

………… Subgroup

AuOrag

Entwurf


18

Wie entsteht eigentlich ein Working Paper?

1.  Art.-‐29-‐Gruppe erteilt AuOrag an eine oder mehrere Subgroups 2.  Subgroup besVmmt einen oder mehrere BerichterstaXer 3.  BerichterstaXer formulieren Entwurf

•  i.d.R. sukzessive („Version 1“, „Version 2“ etc.) •  zu jeder Version besteht für Subgroup-‐Mitglieder die Möglichkeit,

Änderungsvorschläge einzubringen 4.  Entwurf wird in der/den zuständigen Subgroup(s) abschließend diskuVert und

(formlos) angenommen 5.  Vorlage des Entwurfs an die Art.-‐29-‐Gruppe („Plenary“) 6.  Verabschiedung des Entwurfs durch die Art.-‐29-‐Gruppe 7.  Veröffentlichung als Working Paper auf der Website der Art.-‐29-‐Gruppe


19

Müssen wir künOig mehr „nach Brüssel“ schauen?

Antwort: Ja, eindeuDg. Deutschland hat hier Nachholbedarf.

Warum hat Deutschland bisher den Blick oO zu wenig auf „Brüssel“ (ArVkel-‐29-‐Gruppe und Working Papers) gerichtet? §  (1) Unter BDSG-‐alt / EG-‐Datenschutzrichtlinie gab es keine rechtsverbindlichen

Entscheidungen auf Ebene der Art.-‐29-‐Gruppe. -‐> keine fakVsche Notwendigkeit einer AbsVmmung mit anderen Aufsichtsbehörden!

•  Dies ändert sich durch die DS-‐GVO (siehe oben)! §  (2) föderale Struktur der deutschen Datenschutzaufsicht – nicht jede deutsche

Aufsichtsbehörden wirkt(e) unmiXelbar durch eigenes Personal in der ArVkel-‐29-‐Gruppe und deren Subgroups mit

•  künOig: BfDI als „Gemeinsamer Vertreter“ im EDSA (§ 17 BDSG-‐neu); sein Stellvertreter ist der Leiter der Aufsichtsbehörde eines Bundeslandes


20

Müssen wir künOig mehr „nach Brüssel“ schauen?

Allerdings haben die deutschen Datenschutzbehörden in den letzten Jahren die Mitwirkung in der Art.-‐29-‐Gruppe deutlich intensiviert §  Überarbeitung der internen Arbeitsprozesse und InformaVonswege „von und nach

Brüssel“ §  Ermöglichung effekVver Mitwirkung aller deutschen Datenschutzbehörden durch

laufende InformaVon und KommenVerungsmöglichkeit zu Working Papers und anderen Entscheidungen der Art.-‐29-‐Gruppe

§  Sicherstellung ständiger Stellvertretung in jeder Subgroup §  effekVve Vorbereitung der deutschen Spitzenvertreter für die Sitzungen der Art.-‐29-‐

Gruppe durch die Vertreter aus den jeweiligen Subgroups §  u. v. m. Herausforderungen bleiben : §  Wie soll die „deutsche PosiVon“ bei „work in progress“ herausgebildet werden (z.B. bei

laufender Überarbeitung des Entwurfs eines Working Papers in einer Subgroup?) •  ständig neue Beschlussfassung der Datenschutzkonferenz „zu jeder Komma-‐

Änderung“ bei einem entstehenden WP nicht machbar


21

Was ist mit den „alten“ Working Papers?

Es gibt über 240 Working Papers der Art.-‐29-‐Gruppe!


22

Was ist mit „alten“ Working Papers?

§  WPs als wertvolle Fundgrube zur Auslegung und Anwendung des europäischen Datenschutzrechts

•  für Unternehmen und andere Anwender, aber auch für die Aufsichtsbehörden (!)

•  WPs zeigen auch die Maßstäbe und Denkweise unserer europäischen Kollegen -‐> Blick „über den deutschen Tellerrand“

•  Problem (?): einige neuere WPs gibt es nur auf Englisch §  Dort wo die DS-‐GVO Änderungen gegenüber der EG-‐Datenschutzrichtlinie

(DSRL) bringt, muss genau hingeschaut werden, inwieweit das in einem WP Gesagte auf die DS-‐GVO übertragbar ist.

•  solche WPs werden sukzessive überarbeitet werden bzw. durch neue Papiere ergänzt, sofern erforderlich


23


§  Wo DS-‐GVO keine (maßgeblichen) Änderungen gegenüber DSRL bringt, sind die WPs grundsätzlich noch sehr gut nutzbar.

•  Lektüre unbedingt empfehlenswert §  WPs decken eine große Breite an datenschutzrechtlichen Fragen aus der DSRL

und z.T. SpezialvorschriOen (z.B. e-‐privacy-‐Richtlinie) ab. •  Sowohl wichVge datenschutzrechtliche Grundsatzfragen (z.B. Einwilligung,

Zweckbindung, Abgrenzung „Verantwortlicher“ / „AuOragsverarbeiter“,…) als auch viele Spezialfragen (z.B. Apps, biometrische Daten, Cloud CompuVng,…)


24


Einige Beispiele für wichDge WPs mit Auslegungshinweisen zur Rechtslage vor der DS-‐GVO, die nach wie vor (zumindest zum Teil) auch unter der DS-‐GVO nutzbar sind: WP 237 – sog. „European EssenVal Guarantees“ – §  Mindest-‐Datenschutzstandard, der bei jedem Eingriff in die „Datenschutz-‐Grundrechte“

gewahrt bleiben muss, auch bei staatlicher (z.B. nachrichtendienstlicher) Überwachung (einschließlich Überwachung durch Sicherheitsbehörden in DriXländern infolge von DatenübermiXlungen in DriXländer):

•  Verarbeitung personenbezogener Daten nur aufgrund einer ausdrücklichen und zugänglichen gesetzlichen Grundlage zulässig

•  LegiVmer Zweck, Erforderlichkeit und Verhältnismäßigkeit •  Kontrollierbarkeit durch unabhängige Aufsicht (z.B. Gericht, Datenschutzbehörde,…) •  Rechtsschutzmöglichkeiten für betroffene Personen


25


WP 217 – Begriff des „berechVgten Interesses“ WP 216 – Anonymisierung WP 203 – Grundsatz der Zweckbindung §  sehr wichVg auch unter der DS-‐GVO WP 202 – Apps auf „intelligenten Endgeräten“ (smart devices) §  hier allerdings die Änderungen durch die künOige E-‐Privacy-‐Verordnung beachten WP 196 – Cloud CompuVng §  WichVge Grundsatzaussagen z.B. zur Einschaltung von Subunternehmen

(Widerspruchsrecht des AuOraggebers), zu den AuOragskontrollen etc. §  möglicherweise Update/Ergänzungen in den nächsten Jahren(?) WP 193 – Biometrie WP 192 – Gesichtserkennung bei Online-‐ und Mobilfunkdiensten


26


WP 187 – Einwilligung §  derzeit Ergänzung durch neues Papier in Vorbereitung (Anpassung an die DS-‐GVO) WP 183 – Geolokalisierung auf Smart Mobile Devices WP 179 – Begriffe „Verantwortlicher“ / „AuOragsdatenverarbeiter“ §  Abgrenzungskriterien nach DSRL (so auch nach DS-‐GVO!): Verantwortlicher ist, wer über

die Zwecke und MiXel der Verarbeitung entscheidet. §  gerade für deutsche Anwender sehr interessant:

•  in Deutschland bisher eher etwas andere Abgrenzung, insbesondere aufgrund der deutschen SonderkonstrukVon „FunkVonsübertragung“

•  „Gemeinsame Verantwortlichkeit“ wird in anderen Mitgliedstaaten recht häufig angenommen (in Deutschland selten, war im BDSG-‐alt nicht explizit erwähnt)

•  bisherige deutsche „FunkVonsübertragung“ wohl nicht mehr haltbar, künOig staXdessen oO AuOragsverarbeitung oder „Gemeinsame Verantwortlichkeit“


27


WP 160 – Kinder, insbesondere auch im Bereich Schule WP 158 – ÜbermiXlung in die USA aufgrund Anforderung für dorVge zivilrechtliche RechtsstreiVgkeiten (sog. E-‐Discovery) §  oO widerstreitende Anforderungen aus US-‐Recht und EU-‐Datenschutzrecht §  erhebliche Praxisrelevanz gerade für größere Unternehmen mit US-‐GeschäO WP 153, 154, 155, 195, 204 u.a. – Binding Corporate Rules (BCR) §  Basis-‐Anforderungen an BCR nun explizit in Art. 47 DS-‐GVO geregelt (aus den WPs

übernommen) §  WPs zu BCR werden derzeit an die DS-‐GVO angepasst, vorrangig WPs 153 und 195

(Veröffentlichung voraussichtlich Ende 2017 / Anfang 2018)


28


WP 136 – Begriff „personenbezogene Daten“ §  Grundaussagen weiterhin gülVg, z.B.

•  Wann ist eine InformaVon auf eine Person beziehbar? -‐> „Inhaltselement“, „Zweckelement“, „Ergebniselement“

•  Wann ist eine Person besVmmbar/idenVfizierbar? WP 117 – Whistleblowing WP 89 – Videoüberwachung (stammt allerdings schon aus 2004) WP 56 – Anwendbarkeit des EU-‐Datenschutzrechts auf Websites außerhalb der EU §  allerdings durch DS-‐GVO und künOige E-‐Privacy-‐VO z. T. überholt


29


Fazit: §  Der Blick geht künOig noch mehr nach Brüssel, zu den Leitlinien des EDSA §  Für deutsche Anwender gibt es durchaus Nachholbedarf, auch hinsichtlich der

bisherigen Working Papers. §  Working Papers zeigen: Die „deutsche Sichtweise“ (sofern es diese gibt) ist

nicht immer idenVsch mit der vorherrschenden Sichtweise in Europa. §  Deutsche Aufsichtsbehörden haben ihre Arbeitsverfahren und

InformaVonsflüsse bezüglich der Art.-‐29-‐Gruppe deutlich überarbeitet. •  Zweck: „mehr Einfluss in Brüssel“, vor allem auch auf den Inhalt von

Working Papers und künOigen Leitlinien


30

Vielen Dank für Ihre Aufmerksamkeit

Alexander Filip, Referatsleiter beim BayLDA

www.lda.bayern.de

Documents

Von der Artikel-29-Gruppe zum Europäischen ... · Bayerisches Landesamt für Datenschutzaufsicht BayLDA 1 Von der Artikel-29-Gruppe zum Europäischen Datenschutzausschuss (EDSA)