Lov om personvern

Den personvernlovgivning er den grenen av loven som omhandler databeskyttelse er bekymret.

Oppgaven med personvernlovgivning er å sikre informasjons selvbestemmelse og lovbeskyttede hemmeligheter - spesielt telekommunikasjon hemmelighold - og å skape en balanse mellom data beskyttelse av individet og legitime interesser for allmennheten og staten og private dataprosessorer.

Databeskyttelseslov i vid forstand inkluderer derfor alle lover, avtaler, pålegg og rettsavgjørelser som tjener til å beskytte personvern, forme retten til informasjons selvbestemmelse eller regulere håndtering av hemmeligheter og personopplysninger .

Internasjonal og overnasjonal lov om personvern

forente nasjoner

Den Menneskerettighetserklæringen , kunngjort 10. desember 1948 av generalforsamlingen i FN , festet betydning for menneskers privatliv . Artikkel 12 i menneskerettighetserklæringen sier:

“Ingen kan bli utsatt for vilkårlig innblanding i privatlivet, familien, hjemmet eller korrespondansen [...]. Alle har rett til juridisk beskyttelse mot slik innblanding eller innblanding. "

Selv om erklæringen var og ikke er juridisk bindende, og rettighetene som er angitt i den, utelukkende er av en deklaratorisk art, kan den fremdeles telles blant forløperne eller til og med grunnleggende søyler i overnasjonal databeskyttelseslov.

I september 2005 oppfordret den 27.  internasjonale konferansen for kommisjonærer for databeskyttelse og beskyttelse av personvern FN til å videreutvikle innholdet i rettighetene til personvern og databeskyttelse som menneskerettigheter .

Europarådet

Ikke minst med hensyn til FNs menneskerettighetserklæring som nettopp ble kunngjort, inneholdt den europeiske menneskerettighetskonvensjonen til Europarådet , som ble undertegnet i 1950 og trådte i kraft i 1953, også en forskrift om databeskyttelse - til og med hvis begrepet ennå ikke var i bruk på det tidspunktet. I henhold til artikkel 8 nr. 1 i den europeiske menneskerettighetskonvensjonen har "alle [...] rett til respekt for sitt privat- og familieliv , sitt hjem og hans korrespondanse" . Denne setningen - for å forstås mer erklærende og programmatisk - er fortsatt gyldig i dag; i Tyskland har den samme rang som en føderal lov .

Etter at elektronisk databehandling og dermed databeskyttelse hadde blitt mer og mer viktig på 1970-tallet, utarbeidet Europarådet sin egen konvensjon om databeskyttelse, som ble avtalt i 1981 som konvensjonen for beskyttelse av mennesker med hensyn til automatisk behandling av personopplysninger . Den europeiske databeskyttelseskonvensjonen , som konvensjonen ble kalt i daglig tale, trådte i kraft i 1985. Gjennom konvensjonen forplikter statene som har tilsluttet seg å overholde visse grunnleggende databeskyttelsesprinsipper i automatisert databehandling og å håndheve dem mot tredjeparter i sitt eget suverene territorium.

OECD

I 1980 formulerte Organisasjonen for økonomisk samarbeid og utvikling (OECD) retningslinjer for beskyttelse av personvern og grenseoverskridende bevegelse av personopplysninger . Spesielt er retningslinjene ment å legge til rette for grenseoverskridende utveksling av data. Imidlertid er de bare ikke-bindende anbefalinger og kan nå betraktes som foreldet når det gjelder innhold. OECD-anbefalingene har ingen praktisk relevans.

Den Europeiske Union

Fram til 2000 var EUs databeskyttelseslov primært basert på ideen om å skape og styrke det felles europeiske indre markedet . Ulike nasjonale databeskyttelseslover ble sett på som mulige handelshindringer. Med vedtakelsen av Den europeiske unions charter om grunnleggende rettigheter ble databeskyttelse anerkjent som en grunnleggende rettighet.

EUs standarder for databeskyttelse er basert på Europarådets konvensjon nr. 108 , på EU-instrumenter som General Data Protection Regulation og Data Protection Directive for Police and Criminal Justice, samt relevant rettspraksis ved EU-domstolen menneskerettigheter (EMK) og EU- domstolen (EMD). Det kompetente rådgivende organet har vært European Data Protection Board (EDPB), tilsynsorgan for European Data Protection Supervisor , siden mai 2018 .

Charter of Fundamental Rights

I 2000, stats- og regjerings EUs medlemsstater proklamerte Den europeiske unions charter om grunnleggende rettigheter . Artikkel 7 i pakt garanterer alle "retten til respekt for privat- og familielivet, hjemmet og kommunikasjonen". Artikkel 8 i charteret fastsetter også en rett til beskyttelse av personopplysninger. Databeskyttelse ble dermed uttrykkelig anerkjent som en grunnleggende rettighet på EU-nivå . Den Lisboa-traktaten gjorde charteret om grunnleggende rettigheter bindende lovgivning for EU og medlemslandene.

Artikkel 16 nr. 1 i traktaten om Den europeiske unions virkemåte foreskriver at enhver person har rett til beskyttelse av personopplysninger om dem.

Retningslinjer

Den Rådet for Den europeiske union og Europaparlamentet derfor vedtatt direktiv 95/46 / EF i 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av data (databeskyttelse direktivet ), som ble beregnet for å harmonisere nivået på databeskyttelse innenfor Det europeiske økonomiske samarbeidsområdet . Den tyske føderale lovgiveren hadde ikke noe travelt med å implementere dette direktivet: Det var først i 2001, seks år etter at databeskyttelsesdirektivet trådte i kraft, at Federal Data Protection Act ble tilpasset kravene i direktivet.

Databeskyttelsesdirektivet ble supplert i 1997 av direktiv 97/66 / EF om behandling av personopplysninger og beskyttelse av personvern i telekommunikasjonssektoren (direktivet om databeskyttelse for telekommunikasjon ). ISDN-retningslinjen, som retningslinjen 97/66 / EG ble kalt i folkemunne, hadde ikke lang levetid. Den overveldende tekniske utviklingen innen telekommunikasjon , særlig spredningen av mobiltelefoner og internettilgang , samt den økende bruken av e-post , gjorde det snart nødvendig å revidere direktivet.

Derfor vedtok Europaparlamentet og Rådet i 2002 direktiv 2002/58 / EF om behandling av personopplysninger og beskyttelse av personvern i elektronisk kommunikasjon , som erstattet direktivet om databeskyttelse for telekommunikasjon.

Direktiv 2006/24 / EF om lagring av data, som trådte i kraft i 2006, hører ikke under databeskyttelsesloven i streng forstand . Dette direktivet forplikter EU-landene til å ha data som genereres eller behandles ved levering av offentlig tilgjengelige elektroniske kommunikasjonstjenester lagret i reserve . Det kan derfor sees mer på som en databehandlingsrett.

Andre rettslige handlinger

I 2000 ble forordning (EF) nr. 45/2001 vedtatt. Det regulerer databeskyttelse når personopplysninger behandles av institusjoner og organer i EU.

Den rammebeslutning 2008/977 / JHA 2008 gjelder beskyttelse av personopplysninger som behandles innenfor rammen av politisamarbeid og rettslig samarbeid i straffesaker. Det måtte implementeres i nasjonal lov innen 27. november 2010.

Som en del av en generell databeskyttelsesreform var 27. april 2016, den grunnleggende personvernproblematikken , ifølge hvilken personverndirektivet fra 1995 utløper.

Praktisk betydning hadde mellom EU og USA avtalt Safe Harbor-avtalen . Det tillot overføring av personopplysninger fra EUs territorium til USA, forutsatt at datamottakeren oppfylte visse databeskyttelseskriterier. Microsoft og Amazon.de benyttet seg av dette alternativet . 6. oktober 2015 erklærte imidlertid EU-domstolen Safe Harbor-avtalen som ugyldig. Avtalen ga dermed ikke lenger et juridisk grunnlag for dataoverføring til USA. 12. juli 2016 besluttet imidlertid EU-kommisjonen å betrakte EU-US Privacy Shield som tilsvarer databeskyttelsesnivået i EU.

Nasjonal personvernlov

Tyskland

Tysk databeskyttelseslov bestemmes i stor grad av folketellingen fra den føderale forfatningsdomstolen i 1983. Den grunnleggende retten til informasjons selvbestemmelse som ble anerkjent for første gang i folketellingen og de detaljerte kravene som den føderale konstitusjonelle domstolen har pålagt lovgiveren med hensyn til begrensningene til denne grunnleggende retten, har gjenspeiles i alle lovbestemmelser om databeskyttelse .

The Basic Law for Forbundsrepublikken Tyskland i 1949 (GG) inneholder viktige personvernbestemmelser med grunnleggende retten til å opprettholde hemmelighold av bokstaver , post og telekommunikasjon . Imidlertid kommer det ikke med uttalelser om lovgivningsmessig kompetanse , dvs. om spørsmålet om den føderale regjeringen eller statene er ansvarlige for databeskyttelsesloven. I mangel av en kompetansetildeling har delstatene i utgangspunktet lovgivningsmessig kompetanse ( artikkel 70 nr. 1 i grunnloven). Forbunds konstitusjonelle domstol har imidlertid besluttet at den føderale regjeringen kan utstede databeskyttelsesforskrifter når den "ikke med rimelighet kan regulere en sak som er tildelt den for lovgivning uten å regulere databeskyttelsesbestemmelsene. Det er et tilfelle av såkalt lovgivningskompetanse i kraft av faktakontekst .

Lover som uttrykkelig regulerer beskyttelsen av personopplysninger i databehandling, ble ikke vedtatt før på 1970-tallet. Staten Hessen vedtok verdens første databeskyttelseslov i 1970 .

Sannsynligvis det mest kjente tyske settet med regler om databeskyttelse er Federal Data Protection Act , som trådte i kraft i 1978. Det gjelder føderale myndigheter og privat sektor. De seksten tyske føderale statene har sine egne statlige databeskyttelseslover som gjelder for de respektive statlige myndighetene og kommunene . Nordrhein-Westfalen og Saarland har tatt med databeskyttelseslov i artikkel 4 og artikkel 2 i deres statlige konstitusjoner.

Både Federal Data Protection Act og de statlige personvernlovene gjelder bare hvis det ikke eksisterer noen spesifikk databeskyttelseslov for den spesifikke saken . For eksempel må Internett-leverandører overholde de spesielle databeskyttelsesforskriftene i Telemedia- loven når de behandler kundenes personlige data . Hvis internettleverandørene derimot behandler personopplysninger om sine egne ansatte, gjelder den generelle føderale personvernloven - siden det ikke er noen lov om databeskyttelse for ansatte i Tyskland. ( Se også: Arbeidstaker databeskyttelse . ) The Postal Services Data Protection Regulation gjelder for posttjenester . Telekommunikasjon tjenesteleverandører har personvernreglene tillegg til bestemmelser om vern av telekommunikasjon hemmelighold teleloven for å oppfylle.

Bestemmelsene om beskyttelse av sosial hemmelighold nedfelt i sosial lovgivning er av betydelig praktisk betydning . I tillegg til det generelle regelverket om sosial databeskyttelse , som er nedfelt i andre kapittel i bok 10 i sosialkoden (SGB X), er det også detaljerte databeskyttelsesregler i alle andre bøker i sosialkoden .

For offentlige kringkastingsselskaper gjelder spesielle regler både for materiell lovgivning og kontroll på grunn av deres avstand fra staten ( art. 5 GG). På grunn av avstanden fra staten og den konstitusjonelle foreskrevne garantien og strukturen for allmennkringkasting, kan kringkastere ikke kontrolleres av en ”statlig” databeskyttelsesansvarlig, men må utpeke sin egen databeskyttelsesoffiser ved hjelp av autonom kontroll. Denne databeskyttelsesoffiser, Broadcasting Data Protection Officer, er tilsynsmyndighet i henhold til art. 51 EUs GDPR (tidligere kjent som kontrollorgan i henhold til art. 28 paragraf 1 Databeskyttelsesdirektiv 95/46 / EF av 24. oktober 1995) .

I 2008 utviklet den føderale forfatningsdomstolen den grunnleggende retten til å garantere konfidensialitet og integritet til informasjonsteknologiske systemer . Denne grunnleggende retten tjener primært til å beskytte personopplysninger som er lagret eller behandlet i informasjonsteknologisystemer . Denne retten er ikke spesifikt nevnt i grunnloven. Det ble formulert som et spesielt uttrykk for den generelle retten til personlighet av den føderale konstitusjonelle domstolen.

Lov om databeskyttelse som er planlagt for 2009 ble ikke vedtatt av Forbundsdagen.

Genetisk diagnoseloven trådte i kraft i februar 2010 . Dette regulerer håndtering av genetiske data.

Østerrike

Kjerneloven om databeskyttelse i Østerrike er regulert av Data Protection Act 2000 (DSG 2000). Denne loven implementerer EUs databeskyttelsesdirektiv. Opprinnelsen til 2000-loven er lik den i de andre EU-landene. I utgangspunktet planla lovgiveren å begrense seg til endring av den gamle personvernloven. Men da ble erkjennelsen fanget på at EUs retningslinjer for databeskyttelse bringer et mangfold av innovasjoner, slik at en enkel endring ikke kan være i samsvar med retningslinjen. Så en ny lov var blitt nødvendig. § 1 DSG 2000 garanterer en grunnleggende rett til databeskyttelse. Konfidensialiteten til personopplysninger er faktisk beskyttet dersom det er en interesse som er verdig å beskytte, særlig med hensyn til art. 8 EMK. Derfor blir den grunnleggende retten også sett på som et supplement til art. 8 EMK. Personlig er fysiske og juridiske personer beskyttet. Grunnretten er ikke ubegrenset. Intervensjoner kan rettferdiggjøres med samtykke fra vedkommende eller en overordnet interesse i databehandling. Kjernen i østerriksk personvernlov er prinsippet om forbud med forbehold om tillatelse . Dette er resultat av § 7 Abs. 1 DSG 2000 i. V. m. § 8 , § 9 DSG 2000. I følge dette er databehandling fundamentalt ulovlig, med mindre det er begrunnelse.

Men databeskyttelse er også forankret i generell østerriksk sivil lov. I østerriksk sivil lov har personlige rettigheter høy prioritet. Seksjon 16 ABGB er en del av den opprinnelige tilstanden til moderne østerriksk privatrett. Denne generelle klausulen er inngangsporten for sivilrettslig beskyttelse av personlige rettigheter og dermed også for databeskyttelse.

Den generelle databeskyttelsesforordningen har hatt direkte anvendelse som en EU-forskrift i alle EU-land siden 25. mai 2018, men den inneholder mange åpningsklausuler og gir den nasjonale lovgiveren et visst spillerom. For å implementere disse åpningsklausulene og handlingsrommet ble det vedtatt to endringer i databeskyttelsesloven i Østerrike (i tillegg til justeringer i mange vesentlige lover): "Data Protection Adjustment Act 2018" og "Data Protection Deregulation Act 2018".

Sveits

I Sveits er databeskyttelse regulert både på føderalt nivå og i kantonene. Hvis data behandles av føderale myndigheter eller privatpersoner, gjelder Federal Data Protection Act . Hvis kantonmyndigheter derimot behandler personopplysninger, er databeskyttelsesloven basert på kantonbestemmelsene.

På grunn av de føderale strukturene i Sveits og den konstitusjonelle kompetansefordelingen mellom den føderale regjeringen og kantonen, er kantonene autonome innen databeskyttelse og er ikke underlagt noen overordnet kontroll fra den føderale regjeringen. Dermed er det 27 personvernlover og like mange personvernmyndigheter i Sveits.

Kanon lov

Innenfor den romersk-katolske kirken har bekjennelseshemmeligheten vært en generelt anerkjent databeskyttelsesregel som også er respektert av staten siden 1200-tallet . Bekjennelseshemmeligheten forplikter imidlertid bare pastoren. I 1983 inkluderte Codex Iuris Canonici forbudet mot å krenke “enhver persons rett til å beskytte sitt eget privatliv”. Denne regelen gjelder for alle medlemmer av den katolske troen.

I tillegg til disse mer generelle reglene, er det et detaljert sett med regler for alle romersk-katolske institusjoner i Tyskland, rekkefølgen om kirkelig databeskyttelse . Innholdet i ordningen er basert på Federal Data Protection Act . I Nordrhein-Westfalske bispedømmer utføres tilsyn med databeskyttelse av det katolske datasikringssenteret .

EKD Data Protection Act gjelder institusjoner i den evangeliske kirken . Akkurat som pålegg om kirkelig databeskyttelse, viser EKD Data Protection Act også paralleller til Federal Data Protection Act.

Kritikk av databeskyttelsesloven

Gjeldende personvernlov kan bare delvis oppfylle formålet i dag. Dens grunnleggende strukturer er basert på databeskyttelseskonseptet fra 1970-tallet, som igjen er basert på datidens elektroniske databehandling . Dette var preget av sentral datalagring på mainframes , begrenset lagringskapasitet og en relativt liten gruppe - for det meste statlige - databehandlere.

Statens personvernlov har bare delvis tatt hensyn til den tekniske utviklingen de siste 30 årene og med en betydelig forsinkelse. Tekniske innovasjoner som kan svekke databeskyttelsen - for eksempel Internett , videoovervåking , biometri , RFID - er ikke eller bare utilstrekkelig regulert av loven. Mange lovendringer har ikke klart å endre det.

I tillegg anses spesielt tysk personvernlov å være "overregulert, fragmentert, forvirrende og motstridende" ( Alexander Roßnagel ). I dag kan ikke selv eksperter lenger se databeskyttelsesloven i sin helhet. I tillegg er det et "massivt håndhevingsunderskudd i databeskyttelse" ( Johann Bizer ): Brudd på databeskyttelsesforskriftene har vanligvis ingen konsekvenser fordi de berørte personene generelt ikke er klar over voldelig databehandling og de statlige personvernmyndighetene ikke har nødvendige menneskelige ressurser for å håndtere dem Effektiv kontroll av databehandlere.

litteratur

  • Jürgen Kühling, Christian Seidel, Anastasios Sivridis : Databeskyttelseslov. 3. Utgave. Müller, Heidelberg 2015, ISBN 978-3-8114-9486-2 .
  • Lutz Bergmann, Roland Möhrle, Armin Herb: Kommentar til personvernloven. 60. Levering fra august 2020, Boorberg-Verlag, Stuttgart ISBN 978-3-415-00616-4 .
  • Alexander Roßnagel : Håndbok om databeskyttelseslov - De nye grunnlag for virksomhet og administrasjon. Verlag CH Beck, München 2003, ISBN 3-406-48441-7 .
  • Hans H. Wohlgemuth, Jürgen Gerloff: Databeskyttelseslov. En introduksjon med praktiske saker. 3. Utgave. Luchterhand, 2005, ISBN 3-472-02652-9 .
  • Marie-Theres Tinnefeld, Benedikt Buchner, Thomas Petri: Introduksjon til databeskyttelsesloven. Databeskyttelse og informasjonsfrihet fra et europeisk perspektiv. 5. utgave. Oldenbourg 2012, ISBN 978-3-486-59656-4 .
  • Peter Gola , Christoph Klug: Grunnleggende om databeskyttelseslov. 3. Utgave. Verlag CH Beck, München 2003, ISBN 3-406-50197-4 .
  • Ulrich Dammann , Spiros Simitis : Databeskyttelseslov. 9. utgave. Nomos, 2005, ISBN 3-8329-1112-X .
  • Alessandra DiMartino: Databeskyttelse i europeisk lov. 1. utgave. Nomos, 2005, ISBN 3-8329-1203-7 .
  • Alexander Roßnagel , Andreas Pfitzmann , Hansjürgen Garstka : Modernisering av databeskyttelsesloven. Ekspertuttalelse på vegne av det føderale innenriksdepartementet. Berlin 2001.
  • Lutz Grammann: Den nye kirkeloven om databeskyttelse. 2004. (Last ned)
  • Rainer Knyrim: Praxishandbuch Datenschutzrecht - Retningslinjer for korrekt registrering, behandling, overføring, samtykke, outsourcing, reklame og mye mer. 1. utgave. Manz Verlag, Wien 2003.

Magasiner

Individuelle bevis

  1. Europaparlaments- og rådsdirektiv (EU) 2016/680 av 27. april 2016 om beskyttelse av fysiske personer med behandling av personopplysninger av vedkommende myndigheter for å forhindre, etterforske, oppdage eller rettsforfølge straffbare handlinger eller fullbyrdelse av straffer samt gratis trafikk og opphevelse av rådets rammeavgjørelse 2008/977 / RIF . I: Den europeiske unions tidende . L 119, 4. mai 2016, s. 89-131.
  2. EU-direktiv for databeskyttelse i politi og rettsvesen 16. mars 2017.
  3. Håndbok om europeisk databeskyttelseslov 2018-utgave. European Union Agency for Fundamental Rights , Luxembourg 2019.
  4. Forbunds konstitusjonelle domstol, dom av 2. mars 2010, Az. 1 BVR 256/08, par. 201.
  5. idw-online.de
  6. Lover og ordinanser | Statens lov NRW. Hentet 2. september 2020 .
  7. ^ Saarlands regjering: Saarlands grunnlov. I: Offisiell lovsamling. Saarland, åpnet 2. september 2020 .
  8. Stephan Gärtner: Harde negative trekk på testbenken til databeskyttelsesloven. En juridisk sammenligning mellom tysk, engelsk og østerriksk lov. Forlag Dr. Kovac, Hamburg 2011, s. 329.
  9. for hele avsnittet: Stephan Gärtner: Harde negative egenskaper på testbenken til databeskyttelsesloven. En juridisk sammenligning mellom tysk, engelsk og østerriksk lov. Forlag Dr. Kovac, Hamburg 2011, s. 329.
  10. Stephan Gärtner: Vanskelige negative egenskaper på testbenken til databeskyttelsesloven. En juridisk sammenligning mellom tysk, engelsk og østerriksk lov. Forlag Dr. Kovac, Hamburg 2011, s.335.
  11. EUs generelle databeskyttelsesforordning (GDPR). Oversikt over databeskyttelse i Østerrike Østerrikske Chamber of Commerce , 17 mars 2021.
  12. Databeskyttelseslov i Østerrike: GDPR, DSG, "Veiledningen" og andre viktige lover om databeskyttelseslovgivning som er gjeldende i Østerrikes databeskyttelsesmyndighet, Østerrike, åpnet 12. juli 2021.