Das Grundrecht auf Datenschutz und die neue EU

Das Grundrecht auf Datenschutz und die neue EU Datenschutz-Grund. VO W. Kotschy Karl Renner Institut, 7. April 2016

„Gegenstand und Ziele“ der Grund. VO Art. 1 : …… (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesonderen Recht auf Schutz personenbezogener Daten. ……

Das Grundrecht auf Datenschutz (1) Europäischen Menschenrechtskonvention: Art. 8 Recht auf Achtung des Privat und Familienlebens 1. Jedermann hat Anspruch auf Achtung seines Privat und Familienlebens, seiner Wohnung und seines Briefverkehrs. 2. Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft zum Schutz bestimmter öff. Interessen (die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral) oder Rechte und Freiheiten anderer notwendig ist

Das Grundrecht auf Datenschutz (2) • Charta der Grundrechte der Europäischen Union: „Artikel 8 Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. “

Verhältnis zueinander? • Art. 52 Abs. 3 der Charta: (3) Soweit diese Charta Rechte enthält, die den durch die Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten garantierten Rechten entsprechen, haben sie die gleiche Bedeu tungund Tragweite, ihnen in Tragweite wie sie der genannten Konvention verliehen wird. Diese Bestimmung steht dem nicht entgegen, dass das Recht der Union einen weiter gehenden Schutz gewährt. Schutzniveau nach der EMRK ist Mindestschutzniveau nach EU Recht

Stellung des Grundrechts auf Datenschutz in der gesamten Rechtsordnung? • Grundrecht auf Datenschutz ist kein vorbehaltsloses Grundrecht (wie etwa das Folterverbot oder das Zensurverbot): „Das Recht auf Datenschutz ist kein absolutes Recht, sondern muss im Verhältnis zu seiner gesellschaftlichen Funktion gesehen werden. . “ werden (Eu. GH C 92/09 und C 93/09 u. v. a. m) • Muss mit öffentlichen Interessen und insbesondere auch mit den Grundrechten der anderen Individuen (z. B. Ausübung der Meinungsfreiheit oder Erwerbsfreiheit) ins Gleichgewicht gebracht werden • Art. 8 (2) EMRK gibt Hinweis, an Hand welcher Kriterien der Ausgleich gefunden werden muss: Notwendigkeit des Eingriffs nach dem Wertesystem einer demokratischen Gesellschaftsordnung hinzu kommt das in der Judikatur des EGMR entwickelte Verhältnismäßigkeitsgebot

Interessensausgleich nach der Art. 6 (1) der Grund. VO • Zunächst so wie in der geltenden DS Richtlinie = Ausgleich • im Wege der Privatautonomie der Betroffenen: Zustimmung oder Vertrag (Art. 6 (1) lit. a und b) • Zugunsten der lebenswichtigen Interessen der Betroffenen (Art. 6 (1) lit. d) • zugunsten öffentlicher Interessen: durch gesetzliche Verpflichtung zur Datenverwendung oder Betrauung mit der Besorgung öffentlicher Aufgaben (Art. 6 (1) lit. c und e) • zugunsten privater Interessen anderer (als des Betroffenen): • Datenverwendung zur Wahrung der berechtigten Interessen des Auftraggebers oder eines Dritten erlaubt, sofern nicht die (Daten)Schutzinteressen der Betroffenen überwiegen (Art. 6 (1) lit. f)

Ergibt sich eine Änderung für die österr. Rechtslage? • JEIN: durch die gewählte Rechtsform der EU Verordnung wirkt Text nun unmittelbar Verdrängt österr. Formulierung des Art. 8 Abs. 1 DSG 2000, wonach „überwiegende berechtigte Interessen“ an der Verarbeitung nachgewiesen werden mussten Nunmehr müssen überwiegende berechtigte Schutzinteressen der Betroffenen nachgewiesen werden

Beweislast? • Für „normale“ Datenschutz Beschwerde des Betroffenen gibt es keine spezielle Beweislastregel: Wer etwas behauptet, muss die zur Entscheidung berufene Behörde davon überzeugen • Bei „Widerspruch“ nach Art. 19 der Grund. VO trägt der Auftraggeber die Beweislast: „Der für die Verarbeitung Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, • er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, nachweisen die Interessen, Interessen Rechte und Freiheiten der betroffenen Person überwiegen, oder • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. “ • Das Recht auf Widerspruch ist allerdings bedingt durch die Geltendmachung von „Gründen, die sich aus der besonderen Situation der Betroffenen ergeben“ ? ?

Fazit • Eigentlich sind beide Formulierungsvarianten nicht optimal: optimal es geht ja sehr oft nicht darum festzustellen, welches Interesse an sich vorrangig ist, sondern darum wie widerstreitende, legitime Interessen durch die Festlegung von gegenseitigen Eingriffsgrenzen und besonderen „Garantien“ (safeguards) so ausbalanciert werden können, dass sie miteinander vereinbar werden, z. B. Sicherheit < > Freiheit Meinungsfreiheit < > Schutz der Privatsphäre etc.

Gefahr der (aus österr. Sicht) geänderten Formulierung? • Eher psychologischer Natur: es könnten Daten auf der Grundlage eines „berechtigten Interesses“ so lange verarbeitet werden, bis jemand Argumente dafür geltend macht, dass überwiegende Schutzinteressen bestehen • Die neuen drakonische Strafen könnten allerdings ein hohes Risiko darstellen und daher abschreckend wirken gegen Datenverwendungen, die nicht aufgrund ernsthafter Prüfung durch den Auftraggeber für zulässig eingestuft wurden

Problem • Wenn gravierende Rechtsunsicherheit über die „richtige Ausbalancierung“ von widerstreitenden privaten Interessen in einer bestimmten Konstellation manifest ist, hätte der Staat nach der EMRK – in der Auslegung durch den EGMR die Pflicht, Schutz zu gewährleisten, was vor allem auch bedeuten kann, dass eine gesetzliche Regelung zu erlassen wäre, die Ausbalancierung vornimmt • Inwieweit dies nach der Grund. VO im privaten Bereich noch möglich ist, ist zumindest fraglich • Eine Regelungspflicht bestünde dann seitens der zuständigen Gremien der EU? ? EU ist nicht Mitglied der EMRK. Aber Art. 16 AEUV ? ? ?

Durchsetzung des Grundrechts auf Datenschutz • Nach Art. 13 EMRK und Art. 47 der Charta muss effektiver gerichtlicher Rechtsschutz bestehen • Nach Art. 8 (3) der Charta muss eine unabhängige Datenschutzbehörde eingerichtet sein • nach Kapitel VIII der Grund. VO muss ein Recht bestehen auf • Beschwerde bei einer Aufsichtsbehörde wegen Verletzung der Grund. VO (Art. 73) • gerichtlichen Rechtsbehelf betr. Tätigkeit einer Aufsichtsbehörde, einschließlich Säumnisbeschwerde (Art. 74) • gerichtlichen Rechtsbehelf gegen Auftraggeber und Dienstleister unábhängig von der Befassung einer Aufsichtsbehörde (Art. 75) • Recht auf Vertretung bei der Streitführung durch eine hiefür anerkannte Organisation (Art. 76 (1)) • Popularklage (auch ohne Beauftragung durch Betroffene) (Art. 76 (2)

Problem • Art. 75: gerichtlicher Rechtsbehelf unabhängig von der Möglichkeit, eine Aufsichtsbehörde anzurufen • Verhältnis von Art. 74 zu Art. 75? • Muss immer ein Gericht auch ohne vorherige Anrufung der Aufsichtsbehörde befasst werden können? ? Wäre in Ö im öffentlichen Bereich nicht gegeben • Art. 75 der Grund. VO ähnlich wie Art. 22 der DS Richtlinie formuliert; dazu Dammann – Simitis: Es muss ein effektiver gerichtlicher Rechtsbehelf bestehen; dieser kann nicht durch die Möglichkeit der Anrufung einer Aufsichtsbehörde ersetzt werden. Die verfahrensrechtliche Ausgestaltung, d. h. alternative oder konsekutive Zuständigkeit bleibt aber dem MS überlassen

Territoriale Zuständigkeit der Aufsichtsbehörden (Art. 51) • Jede Aufsichtsbehörde ist „im Hoheitsgebiet ihres eigenen Mitgliedstaates“ zuständig für die Erfüllung der ihr gemäß der Grund. VO übertragenen Aufgaben (Art. 51 (1)). • Jede Aufsichtsbehörde ist zuständig für die Entgegennahme von Beschwerden von jedermann

One-stop-shop-Verfahren (Art. 51 a Abs. 1) Sonderregelung für „grenzüberschreitende Verarbeitungen“, Verarbeitungen d. s. Verarbeitungen mit Auswirkungen in mehreren MS der EU: • gilt nur für den privaten Bereich • eine Aufsichtsbehörde ist „federführend zuständig“, zuständig und zwar jene, in deren örtlichem und sachlichem Zuständigkeitsbereich der Auftraggeber oder Dienstleister seine (einzige) Niederlassung in der EU hat, oder bei mehreren Niederlassungen in der EU: seine Hauptniederlassung hat (Art. 51 a (1)) • Die übrigen betroffenen Aufsichtsbehörden arbeiten mit der führend zuständigen Behörde im Verfahren nach Art. 54 a (Zusammenarbeitsverfahren) zusammen • Bei Meinungsverschiedenheiten über führende Zuständigkeit: Kohärenzverfahren (Art. 57)!

„Betroffene Aufsichtsbehörde“ • Eine Aufsichtsbehörde ist „betroffen“ im Rahmen grenzüberschreitender Verarbeitungen, weil • der Auftraggeber oder DL eine Niederlássung im territorialen Zuständigkeitsbereich der Aufsichtsbehörde hat, oder weil • Personen im territorialen Zuständigkeitsbereich der Aufsichtsbehörde von der Verarbeitung wesentlich betroffen sind, oder weil • eine Beschwerde bei ihr eingebracht wurde

Modifikation von one-stop-shop (Art. 51 a Abs. 2 a – 2 d) • Wenn eine Aufsichtsbehörde, • eine Beschwerde erhält, oder • eine Überprüfungsmaßnahme wegen Verstoßes gegen die Grund. VO vornimmt, wobei • sie NICHT die one stop shop Aufsichtsbehörde für den betreffenden Auftraggeber oder Dienstleister ist, ist UND • KEIN wesentlicher grenzüberschreitender Bezug vorliegt, muss die einschreitende Behörde die one stop shop Behörde verständigen, die innerhalb von 3 Wochen zu entscheiden hat, ob sie den Fall an sich zieht • Wenn one stop shop Behörde Fall an sich zieht, wird im Verfahren nach Art. 54 a (Zusammenarbeitsverfahren) entschieden • Andernfalls entscheidet die ursprünglich befasste/eingeschrittene Behörde

Zusammenarbeit nach Art. 54 a • Beteiligt sind die „federführende Aufsichtsbehörde“ und alle „betroffenen Aufsichtsbehörden“ ( woher weiß man, wer aller „betroffen“ ist? ) • ff. Aufsichtsbehörde legt allen den Entscheidungsentwurf vor • Wenn kein Einwand Entwurf gilt als angenommen • Der Beschluss ergeht nur an jeweils unterlegene (belastete) Verfahrensparteien obsiegende (nicht belastete) Parteien werden vom Beschluss nur verständigt, und zwar jeweils Auftraggeber/DL durch die one stop shop Behörde, Beschwerdeführer durch die Behörde, bei der die Beschwerde eingebracht wurde unterschiedliche territoriale gerichtliche Zuständigkeit für die Überprüfung des Beschlusses !!

Zusammenarbeit nach Art. 54 a (Fortsetzung) • Legt eine betroffene Aufsichtsbehörde einen begründeten und relevanten Einspruch gegen den Erledigungsentwurf ein, dem sich die ff. Aufsichtsbehörde nicht anschließt, dann ist der Entwurf dem Kohärenzverfahren zu unterziehen

Kohärenzverfahren • Europäischer Datenschutzausschuss (EDSA) als Nachfolger der Art. 29 Gruppe geschaffen; hat Behördencharakter!! • Im Kohärenzverfahren werden einheitliche Beschlüsse der Aufsichtsbehörden zustande gebracht. Betrifft • Bestimmte generelle, rechtserhebliche Akten (Leitlinien…) • Unterlassene Zusammenarbeit • Stellungnahme bei kontroversiellen gemeinsamen Entscheidungen

Kohärenzverfahren (Fortsetzung) • Verbindliche Beschlüsse des EDSA: • Im one stop shop Verfahren bei Meinungsverschieden heiten über den gemeinsamen Beschluss • Bei Meinungsverschiedenheiten über die Zuständigkeit • Bei Unterlassung der Befassung des EDSA mit best. generellen rechtserheblichen Akten (z. B. Standardvertragsklauseln), bzw. bei diesbez. Meinungsverschiedenheiten • Beschlussfassung mit 2/3 Mehrheit – nach erfolglosem Ablauf von 2 Monaten: bloße Mehrheit

Erwägungsgrund 113 • Überstimmte Aufsichtsbehörde kann Klage beim Eu. GH erheben: „Jede natürliche oder juristische Person hat das Recht, unter den in Artikel 263 AEUV genannten Voraussetzungen beim Gerichtshof der Europäischen Union (im Folgenden "Gerichtshof") eine Klage auf Nichtigerklärung eines Beschlusses des Europäischen Datenschutzausschusses zu erheben. Als Adressaten solcher Beschlüsse müssen die betroffenen Aufsichtsbehörden, diese Beschlüsse anfechten möchten, binnen zwei Monaten nach deren Übermittlung gemäß Artikel 263 AEUV Klage erheben. “