MMag. Michael Krenn, Kanzlei Simonfay und Salburg Datenschutzrecht im internationalen Vergleich MMag. Michael Krenn Kanzlei Simonfay&Salburg [email protected]

MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Datenschutzrecht im internationalen Vergleich

MMag. Michael KrennKanzlei Simonfay&Salburg

[email protected]: 01 / 403 66 05


Überblick

1. Europarechtliche Rahmenbedingungen

2. Case Studies Europarecht3. Signifikante Unterschiede

zwischen EU-Staaten4. Nationale Rechtsordnungen im

Vergleich


EU-Richtlinien Richtlinie 95/46/EG zum Schutz

natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation


Europarechtliche Rahmenbedingungen

Richtlinien 27 nationale Rechtsordnungen Richtlinie wendet sich an nationalen

Gesetzgeber Verpflichtung zur Umsetzung der RL

ins nationale Recht


Durchsetzung der Richtlinien

„unmittelbare Wirkung“: “indirekt personenbezogene Daten”, Auskunftsrecht

Vertragsverletzungsverfahren: mangelnde Unabhängigkeit deutscher Landesdatenschutzbehörden

Vorabentscheidungsverfahren: ORF Einkommensdaten, Auskunftsrecht Vorratsdaten

Staatshaftung: Geltendmachung von Kosten für SPAM-Löschung gegen Republik Österreich (VfGH A 8/05)


EU-Datenschutzverordnung I

Datenschutzrecht soll durch einheitlichen Rechtsakt harmonisiert werden

Entwurf im Jänner 2012 vorgestellt Neufassung des

Löschungsrechts-“Vergessenwerden“- Verpflichtung gegenüber Dritten

Datenportabilität Profiling- Regelung


EU-Datenschutzverordnung

II Neuregelung der Rechtsbehelfe Beschwerdeverfahren vor

Aufsichtsbehörde und Gerichten optional? Internationale Zuständigkeit sowohl am

Sitzort von Betroffenen als auch des Verarbeiters?

Probleme bei Rechtsanwendung –Kohärenzverfahren

Auswirkungen auf das österreichische Rechtssystem


Welches Recht ist anzuwenden?

- Art. 4 DS-RL: Niederlassungsprinzip- effektive Ausübung einer Tätigkeit mit fester

Einrichtung- Niederlassung im Staatsgebiet- Zuständigkeit aufgrund internationalen

öffentlichen Rechts- Rückgriff auf automatisierte/nicht

automatisierte Mittel im Hoheitsgebiet- Außerhalb der EU Anwendung der nationalen

Bestimmungen


Welches Recht ist anzuwenden?§ 3 DSG österreichisches Recht ist

anzuwenden: Datenverwendung im Inland; auch bei

ausländischem Auftraggeber, falls Sitz in Nicht- EU-Staat

Datenverwendung in einem anderen EU-Staat für österreichische Haupt- oder Zweigniederlassung eines Auftraggebers

österreichisches Recht ist nicht anzuwenden:

Datenverwendung im Inland für Auftraggeber in einem anderen EU-Staat

reine Durchleitung durch Ö


Welches Recht ist anzuwenden ?

K 121.187/0008-DSK/2006: bei nachträglichem Umzug eines Adressverlages in einen anderen Staat keine Zuständigkeit der DSK mehr.

K 121.001/0009-DSK/2005: Sonderreglungen im Bereich des Schengener Übereinkommens: datenschutzrechtliche Rechtsbehelfe sitzunabhängig vor jeder Datenschutzbehörde eines EU-Staats nach nationalem Recht möglich.


Case Studies Datenschutz

1. ORF/Einkommensdaten2. Safe-Harbour3. SWIFT4. Internationaler Datenverkehr -

Standardvertragsklauseln 5. SMS-Dienst über Steuerdaten als

journalistische Berichterstattung?


ORF/Übermittlung von Einkommensdaten (VfGH KR 1/00,

28.11.2003) §8 Bezügebegrenzungsgesetz sah Übermittlung von

Bezügen von ORF-Mitarbeitern an Rechnungshof und Parlament sowie Veröffentlichung vor

Antrag an VfGH aufgrund unmittelbarer Anwendbarkeit der EU-Datenschutz-RL hinsichtlich der Zulässigkeit von Verarbeitungen

Eingriffe laut EuGH nur „angemessen“ und „notwendig“ zulässig

Zweck des effizienten Einsatzes von Budgetmitteln rechtfertigt keine personenbezogene Veröffentlichung von Einkommen


Safe Harbour

Entscheidung der EU-Kommission Wann dürfen Daten aus einem EU-

Mitgliedsstaat an eine US-Organisation übermittelt werden ?

Grundsätze des „sicheren Hafens“, Organisation muss sich gegenüber US-Handelsministerium zur Einhaltung verpflichten.


Datenschutzproblem SWIFT I

Society for Worldwide Interbank Financial Telecommunication: internationale Genossenschaft der Kreditinstitute, Standardisierung des internationalen Zahlungsverkehrs, Verwendung auch für Standardüberweisungen in der EU

Sitz in Belgien, EU-Recht anwendbar Rechenzentrum in den USA Übermittlung an US-Behörden seit 2001


Datenschutzproblem SWIFT II

Bekanntwerden der Datenübermittlung an US-Behörden 2006

Entscheidung K 121.245/0009-DSK 2007: fehlende Rechtsschutzmöglichkeiten durch mangelnde EU-weite Zusammenarbeit

2008 Einigung EU-USA: „Safe-Harbour“-Status für SWIFT- Rechenzentrum

2009: Abkommen EU-USA soll Zugriff auf europäische Überweisungsdaten sichern

Februar 2010: EU-Parlament verweigert Ratifizierung Billigung des Abkommens Juli 2010 Nachgiebigkeit der EU gefährdet Interessen Betroffener Neues Rechenzentrum Schweiz


Internationaler Datenverkehr

genehmigungsfreie/genehmigungspflichtige Überlassung: §§ 12, 13 DSG 2000

Vorgaben der EU-Datenschutzrichtlinie sind zu beachten; Sarbanes- Oxley Act in Widerspruch zu EU-Recht

Problem der Datenübermittlung im Konzernverhältnis Beispiel „whistle-blowing- Daten“ ( DSK K 178.274/0010-DSK/2008, 05.12.2008; K600.074/0002-DVR/2010, 20.1.2010)


Genehmigungsfreier Datenverkehr( §§ 12, 13 DSG 2000)

Übermittlung/Überlassung EU-Staaten, Staaten mit angemessenem Drittschutz (Schweiz, Kanada, Argentinien, „Safe Harbour“ USA, Kanalinseln)

„besondere Dringlichkeit“/lebenswichtiges Interesse

Daten im Inland zulässigerweise veröffentlicht

„Indirekt personenbezogene Daten“ Private/publizistische Zwecke


Genehmigungsfreier Datenverkehr( §§ 12, 13 DSG 2000)

Zustimmung des Betroffenen Vertragserfüllung im Interesse des

Betroffenen Rechtsdurchsetzung bei rechtmäßiger

Ermittlung Österreichische Dienststelle im Ausland Bundesheer, Sicherheitsbehörden Standard/Musterverordnung ausdrückliche gesetzliche Vorschrift


Genehmigungspflicht

Jeder nicht genehmigungsfreie Datenverkehr Genehmigung der DSK ist im Einzelfall zu

erteilen vertragliche Sicherstellung wurde verlangt -

seit DSG-Novelle reicht einseitige Zusicherung

EU-Standardvertragsklauseln sind zu berücksichtigen


EU-Standardvertragsklausel

n Entscheidung der Kommission 2 Versionen optional + Standardvertrag

für Dienstleister wesentlicher Inhalt:

Pflichten für Exporteur/Importeur Drittbegünstigtenklausel: Betroffener

erwirbt Rechte aus Vereinbarung Haftungsklauseln: Exporteur haftet für

Importeur Gerichtsstand und anwendbares Recht:

kann Betroffener aussuchen


Praxisfälle Problem mangelnden Schutzes Betroffener :

DSK K178.234/0008-DSK/2007 Keine Genehmigung bei rechtswidriger

Ermittlung: DSK K178.180/0009-DSK/2005 Keine Genehmigung bei Vorbehalt von

Vertragsänderungen: DSK K178.194/0007-DSK/2005

Keine Genehmigung erforderlich, wenn keine Daten aus Datenanwendungen: DSK K178.074/13-DSK/00


Steuerdaten-SMS als privilegierter Journalismus? (EuGH C-73/07,

16.12.2008)

Veröffentlichung von persönlichen Steuerdaten und Verbreitung per SMS in Finnland

Vorabentscheidungsverfahren EuGH sieht privilegierten

Jouranlismus Steuerdatenöffentlichkeit in

Skandinavien


signifikante Unterschiede zwischen

EU-Staaten Kontrollstellen/Nationale Behörden Registrierung/Bewilligung von

Datenverarbeitungen Sanktionen Verarbeitung sensibler Daten Umsetzung

Verarbeitungsgrundsätze


Art. 28 Kontrollstelle Kontrollstelle „völlige Unabhängigkeit“, EuGH

C‑518/07, 9.3.2010, Unabhängigkeit der deutschen Landesdatenschutzbehörden

Untersuchungsbefugnisse, Einwirkungsbefugnisse, Klagerecht

Zugang für jede Person Berichtspflicht


Umsetzung des Art. 28

Einheitliche Behörde vs. Föderalisierung/sachliche Aufteilung

Kompetenzen Bestellung/Organisation der

Behörde Bestelldauer und Art der Mitglieder Finanzielle Ausstattung


Einheitliche Behörde vs. Aufsplitterung

Deutschland föderalisiert: eigene Datenschutzbehörde für jedes Bundesland

Finnland: 2-Stufen-System; data protection ombudsman / data protection board

Üblicherweise eine Behörde: allerdings große Unterschiede hinsichtlich Kompetenzen, Bestellung, Zuständigkeitsbereich


Art. 18 Datenschutz-RLPflicht zur Meldung bei der

Kontrollstelle Die Mitgliedstaaten sehen eine Meldung

durch den für die Verarbeitung Verantwortlichen bei der Kontrollstelle vor, bevor eine Verarbeitung zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen durchgeführt wird.

Ausnahmemöglichkeiten: Festlegung von Verarbeitungskategorien, bei

denen die Beeinträchtigung „unwahrscheinlich“ ist.

Bestellung eines Datenschutzbeauftragten („data protection officer“)


Registrierung/Bewilligung von Datenverarbeitungen

Registrierung als Ausnahme: It Selbstregulierung-“data protection

officer“: H, D, SP, Polen, F Registrierung prinzipiell

verpflichtend vorgesehen: alle restlichen EU-Staaten; allerdings breite Ausnahmeregeln


Art. 24 Sanktionen

Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.


Vergleich Strafandrohungen

0

100.000

200.000

300.000

400.000

500.000

600.000

700.000

800.000

900.000

1.000.000

LIT

AU

EN

ES

TL

AN

D

LE

TT

LA

ND

ZY

PE

RN

NIE

DE

RL

AN

DE

RU

MÄ

NIE

N

Öst

erre

ich

BE

LG

IEN

PO

RT

UG

AL

GR

IEC

HE

NL

AN

D

MA

LT

A

BU

LG

AR

IEN

UN

GA

RN

IRL

AN

D

LU

XE

MB

UR

G

PO

LE

N

SL

OW

AK

EI

FR

AN

KR

EIC

H

SL

OW

EN

IEN

TS

CH

EC

H.

RE

PU

BL

IK

SP

AN

IEN

SC

HW

ED

EN

DÄ

NE

MA

RK

Deu

tsch

lan

d

FIN

NL

AN

D

GR

OS

SB

RIT

AN

IEN

ITA

LIE

N

0

1

2

3

4

5

6

7

8

9

10

EUR

Jahre

(c) ARGE DATEN 2011


Vergleich Geldstrafen angedroht - exekutiert

0

100.000

200.000

300.000

400.000

500.000

600.000

700.000

800.000

900.000

1.000.000

LIT

AU

EN

ES

TL

AN

D

LE

TT

LA

ND

ZY

PE

RN

NIE

DE

RL

AN

DE

RU

MÄ

NIE

N

Öst

erre

ich

BE

LG

IEN

PO

RT

UG

AL

GR

IEC

HE

NL

AN

D

MA

LT

A

BU

LG

AR

IEN

UN

GA

RN

IRL

AN

D

LU

XE

MB

UR

G

PO

LE

N

SL

OW

AK

EI

FR

AN

KR

EIC

H

SL

OW

EN

IEN

TS

CH

EC

H.

RE

PU

BL

IK

SP

AN

IEN

SC

HW

ED

EN

DÄ

NE

MA

RK

Deu

tsch

lan

d

FIN

NL

AN

D

GR

OS

SB

RIT

AN

IEN

ITA

LIE

N

0

10.000

20.000

30.000

40.000

50.000

60.000

70.000

80.000

90.000

100.000

[EUR] [EUR]

(c) ARGE DATEN 2011

Deutsche Bahn: 1,116 Mio. EuroZeppelin (Spanien: 1 Mio Euro


Case Studies Sanktionen Bueraeu X (2004): NL,

Informationsdienstleisterbeschafft Daten auf illegalem Wege; 240 Stunden gemeinnützige Arbeit, 1 Jahr bedingte Haftstrafe

Zeppelin (2004): Spanien, Produktionsfirma von „Big Brother“, mangelnde Datensicherheit; Geldstrafe von rd. 1.000.000,- Euro


Case Studies Sanktionen Transfer Kundendaten im

Konzerverhältnis(2007): DK, Euro 6.500,- Zeitungen übermitteln gegenseitig Kundendaten

Übermittlung von Gesundheitsdaten (2006): GR, Euro 50.000,-; private Krankenversicherung hat ohne Zustimmung oder Information Gesundheitsdaten von Versicherten erhoben.Strafe erging an Spital und Krankenversicherung


Case Studies Sanktionen Telefonica (2005):

Spanien; gesetzwidrige, konzerninterne Datenübermittlung für Direktmarketing; Euro 420.708,- Geldstrafe

Greek tapping case (2004 - 2007):Griechenland; Abhörskandal von Politikern und Prominenten bei Vodafone; Einsatz eines TrojanerprogrammsEuro 76,000.000,- Strafe für VodafoneEuro 7,360.000,- Strafe für Ericson


Case Studies Sanktionen

CY: Euro 9.000,- für verbotene elektronische Direktwerbung

CZ: Euro 70.000,- Gesundheitsdaten in Hof gefunden D: Deutsche Bahn AG erhält Strafe von Euro

1,123.503,- für „Mitarbeiterprofiling“ D: Lidl erhält Strafe für Mitarbeiterüberwachung in

Höhe von 1,462.000,- D: EUR 200.000,- für HASPA für Weitergabe von

Kundendaten an externe Finanzberater D: “Christstollenskandal” – 1000 Euro Strafe D: “Abwehr” unerbetenen Werbeanrufes mit Pfeife:

800 Euro


Art. 8 DS-RL / sensible Daten

Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.

zahlreiche Ausnahmebestimmungen


Umsetzung sensible Daten

Mindestinhalt EU-weit einheitlich geregelt

Manche Staaten fügen Inhalte hinzu Gr: Sozialhilfe Gr: Vereinsmitgliedschaften Gr, Frankreich, NL, P: Schulden, Finanz Tschechien: biometrische/genetische Daten


Umsetzung Verarbeitungsgrundsätze

sensible Daten

Strenge Zweckbindung: F, Cz, U

Großzügige Ausnahmen: It, Ö, GB


Nationale Rechtsordnungen im Vergleich

Ungarn Tschechien Slowakei Italien Frankreich Großbritannien Schweiz


Grundlagen Ungarn DPA aus 1992: Act on the protection of

personal data and disclosure of public information.

Parliamentary Commissioner for Data Protection and Freedom of Information: Plan zu Ersatz durch “nationale Datenschutzagentur”- Vertragsverletzungsverfahren wegen Unabhängigkeit


Meldepflicht Ungarn Grundsätzlich verpflichtende Registrierung

mit Nummer Mindestinhalt 30 Tage vor Beginn bzw. 8 Tage vor

Änderungen Meldefrist Preliminary review (optionale

Vorabüberprüfung) Ausnahmeregeln: v.a. Verarbeitungen, die

ausschließlich Kunden- und Mitarbeiterdaten betreffen, kirchliche Gemeinschaften, Parteien, wissenschaftliche Forschung ohne personenbezogene Veröffentlichung


Ungarn Informationspflicht grundsätzlich Zustimmungserfordernis für

Datenverwendung Schrifterfordernis der Zustimmung nur

bei sensiblen Daten Sanktionen: Strafrahmen 12 - 43.200,- Euro Recht zur öffentlichen Bekanntgabe

(Prangerfunktion) Datenskandal vor Parlamentswahl 2010 Datenskandal Universität


Überblick Tschechien

Office for Personal Data Protection Anforderungen an Mitgliederbestellung:

Präsident und Inspektoren benötigen Universitätsabschluss, strikte Unvereinbarkeitsbestimmungen (keine Mitgliedschaft in politischer Partei)

Act on Personal Data Protection 2000 Zivilorganisation Iuridicum remdium,

organisiert „Big Brother Award“


Meldepflicht Tschechien

Anmeldeverpflichtung mit Ausnahmen:Keine Meldung bei Erfüllung gesetzlicher Verpflichtungen durch den Verarbeiter

Möglichkeit zur inhaltlichen Überprüfung

Meldefrist 30 Tage Registrierungszertifikat auf Wunsch


Tschechien

Informationspflicht

Zustimmungserfordernis bei sensiblen Daten/Ausnahmen


Sanktionen Tschechien Wirtschaftstreibende: 180.000,- Euro, bei

sensiblen Daten 360.000,- Euro Natürliche Personen: 36.000,- Euro, bei

sensiblen Daten 180.000,- Euro Natürliche Person als Angestellter:

Höchststrafe 3.600,- Euro Reale Situation: meist einige 100,- Euro Baugenossenschaft bekam höchste Strafe

von 20.000,- Euro: Daten von Kunden wurden auf Homepage veröffentlicht.


Grundlagen Slowakei Act on Protection of Personal Data 2002

Office for Protection of Personal DataPräsident: Mindestalter 35; 10 Jahre

Erfahrung; Inspektor: Mindestalter 30; 3 Jahre Erfahrung Keine Mitgliedschaft bei politischer Partei Erfahrung in IT muss gegeben sein


Meldepflicht Slowakei Allgemeines Registrierungsschema Spezielles Registrierungsschema:

Übermittlung in Staaten ohne Schutzniveau

DNA-DatenKeine Zustimmung des Betroffenen und

Verarbeitung zugunsten des Auftraggebers Bei speziellem Schema ist Bewilligung

abzuwarten (Vorabkontrolle)


Slowakei Informationspflicht Verarbeitung sensibler Daten

grundsätzlich verboten Ausnahme bei Zustimmung; Zustimmung

hat jedenfalls schriftlich zu erfolgen


Sanktionen Slowakei Höchststrafe Euro 3.000,- für

gesetzwidrige Datenverarbeitung Höchststrafe Euro 15.000,- bei

Verstoß gegen Löschungsverpflichtung

Höchste bisher verhängte Strafe : Euro 6.000,- gegen Stadt Kosice, die Durchsuchung verhinderte


Grundlagen Italien

Data Protection Code 2003 Garante per la peotezione die dati

personale (Garante) Skandal um Online-Steuerdaten Datenskandal Telecom Italia


Meldepflicht Italien Keine grundsätzliche

Anmeldepflicht: Anmeldung ist Ausnahme!!

Ausnahmen: genetische und biometrische Daten; Gesundheitsdaten zu kommerziellen

Zwecken; sensible Daten zu kommerziellen

Zwecken


Einwilligung Italien

grundsätzlich ja, mündlich, bei sensiblen Daten schriftlich

Ausnahmen: Datenverarbeiter erfüllt gesetzliche

Verpflichtung Datenverarbeiter erfüllt vertragliche

Verpflichtung mit dem Betroffenen „überwiegende Interessen“ des

Verarbeiters


Übersicht Frankreich

French Data Protection Act 1978, angepasst 2004

CNIL überwacht privaten und öffentlichen Sektor (Commission nationale de l'informatique et des libertés )

Jahresbericht, starke öffentliche Wahrnehmung


Meldepflicht Frankreich

Anmeldung prinzipiell verpflichtend Bewilligungspflicht bei sensiblen

Daten, Datentransfer in Staaten ohne Schutzniveau; biometrische Daten

Data protection officer: System der Selbstregulierung


Sanktionen Frankreich Aufsteigendes Modell Verwarnung Formelle Beanstandung Beendigung verfügen Höchststrafe Erstverletzung: Euro 150.000,- Höchststrafe weitere Verletzung: Euro

300.000,- Credit Lyonnaise erhielt Strafe von Euro

45.000,- Datenskandal um Radarwarngeräte


Grundlagen Großbritannien

Data Protection Act 1998 Durch Judikatur beschränkter Begriff

geschützter Daten (Fall Durant) “personal or familiy life, business or professional capacity” (widerspricht EU-Recht)

The Information Commissioner Öffentliche “Sexualstraftäterdatei” Skandal um verschwundene Daten-CDs PSN-Hack: 300.000,00 Euro Strafe für

Sony


Meldepflicht GB

Anmeldung ja

Keine Bestätigung/Bewilligung nötig

Keine Anmeldung für Personalverwaltung nötig


Grundlagen Schweiz

Datenschutzgesetz 1992, Teilrevision 2007, in Kraft seit 1.1.2008 / Umsetzung der EU-Datenschutz-RL

Swiss Federal Data Protection Commissioner


Schweiz Informationspflicht war früher nicht

explizit festgelegt, erst durch die Revision 2008 erfolgt

Meldepflicht war nur bei sensiblen Daten, Personalprofilen oder Weitergabe an Dritte vorgesehen, nunmehr Registrierungspflicht erweitert


Resumee Bemühen um ein einheitlichs

Datenschutzniveau in Europa Rechtsordnungen in Europa nach wie

vor zersplittert Geringes Datenschutzniveau in Nicht-

EU-Staaten gefährdet Rechte Betroffener auch innerhalb der EU: „Export“ von Grundrechten oder Vereinheitlichung auf niedriges Niveau ?

Documents

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Datenschutzrecht im internationalen Vergleich MMag. Michael Krenn Kanzlei Simonfay&Salburg [email protected]