14.02.2018

Österreich: Sektorspezifische Datenschutz-Anpassungsgesetze (Ministerialentwürfe)

13.02.2018

Art.29WP: Revised Guidelines on data breach and profiling

Today, the Article 29 Working Party has published revised versions (pdf) of its
- Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01) as well as
- Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

Update: The Article 29 Working Party welcomes comments on the (draft) Guidelines on the accreditation of certification bodies (WP261), see here for more.

BRD: Datenschutzkonferenz zum Verarbeitungsverzeichnis (samt Muster)

Die deutsche Datenschutzkonferenz (DSK) hat (aktualisierte) "Hinweise zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO" erstellt (pdf).
- Muster Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher gem. Artikel 30 Abs. 1 DS-GVO (docx)
- Muster Übersicht von Verarbeitungstätigkeiten Auftragsverarbeiter gem. Artikel 30 Abs. 2 DS-GVO (docx)

12.02.2018

10.02.2018

Art-29-Datenschutzgruppe: Überblick über die bestehenden u. künftigen Leitlinien


Quelle: Europ. Kommission, http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52018DC0043&from=DE
Zu beachten ist, dass laut der o.a. Liste der Eindruck entstehen könnte, dass nur die "finalen" Leitlinien  ("Angenommen am ...") verfügbar sind, die Entwürfe ("Laufende Arbeiten") sind jedoch tlw. auch bereits verfügbar. Abrufbar sind die Leitlinien hier: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360 und hier http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1310&tpa_id=6936 (Entwürfe in Konsultation)

Open Data Protection Study on legal barriers to open data sharing

Wiebe, Andreas; Dietrich, Nils (Eds.), Open Data Protection - Study on legal barriers to open data sharing - Data Protection and PSI
This study analyses legal barriers to data sharing in the context of the Open Research Data Pilot, which the European Commission is running within its research framework programme Horizon 2020. [...]

05.02.2018

Vermischtes zur DSGVO (Infopflichten, Betriebsrat, DSFA etc.)

02.02.2018

EuGH (Generalanwalt): Religionsgemeinschaft und Datenschutz

EuGH, Schlussanträge des Generalanwalts vom 1.2.2018, C-25/17
1.        Ist die Gemeinschaft der Zeugen Jehovas zur Einhaltung der unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten zu verpflichten, weil ihre Mitglieder, wenn sie ihrer Verkündigungstätigkeit von Tür zu Tür nachgehen, veranlasst sein können, Notizen anzufertigen, die den Inhalt ihrer Gespräche und insbesondere die religiöse Orientierung der von ihnen besuchten Personen wiedergeben? Dies ist im Wesentlichen die Frage, um die es im vorliegenden Vorabentscheidungsersuchen geht.

IV.    Ergebnis
74.      Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Korkein hallinto-oikeus (Oberstes Verwaltungsgericht, Finnland) wie folgt zu beantworten:
1.      Eine von Tür zu Tür durchgeführte Verkündigungstätigkeit wie die im Ausgangsverfahren in Rede stehende fällt nicht unter die Ausnahme gemäß Art. 3 Abs. 2 erster und zweiter Gedankenstrich der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
2.      Art. 3 Abs. 1 in Verbindung mit Art. 2 Buchst. c der Richtlinie 95/46 ist dahin auszulegen, dass eine Sammlung personenbezogener Daten, die von den Mitgliedern einer Religionsgemeinschaft im Rahmen einer Tätigkeit wie der im Ausgangsverfahren in Rede stehenden auf Basis einer bestimmten geografischen Aufteilung in nicht automatisierter Weise erhoben werden und dem Zweck dienen, erneute Besuche von Personen vorzubereiten, mit denen ein spiritueller Dialog aufgenommen wurde, eine Datei darstellen kann.
3.      Art. 2 Buchst. d der Richtlinie 95/46 ist dahin auszulegen, dass eine Religionsgemeinschaft, die eine Verkündigungstätigkeit organisiert, bei der personenbezogene Daten erhoben werden, als für die Verarbeitung Verantwortliche angesehen werden kann, auch wenn sie auf die von ihren Mitgliedern erhobenen personenbezogenen Daten selbst keinen Zugriff hat. Hinsichtlich der Bestimmung des „für die Verarbeitung Verantwortlichen“ im Sinne der Richtlinie 95/46 ist nicht vorauszusetzen, dass schriftliche Anweisungen existieren, sondern es ist – gegebenenfalls anhand eines Indizienbündels – festzustellen, ob der Verantwortliche in der Lage ist, einen tatsächlichen Einfluss auf die Erhebung und Verarbeitung der personenbezogenen Daten auszuüben; dies zu prüfen ist Sache des vorlegenden Gerichts.

31.01.2018

Österr. Datenschutzbehörde aktualisiert DSGVO-Leitfaden

Datenschutzbehörde, Leitfaden zur DSGVO, aktualisiert Jänner 2018 (zusammengestellt von Dr. Schmidl)

30.01.2018

BayLDA: Synopse zur ePrivacy-VO

Das BayLDA hat den Stand des Gesetzgebungsverfahrens zur ePrivacy-Verordnung in einer Synopse (pdf) zusammengestellt.
Aus der Pressemeldung des BayLDA (pdf):
Das Europäische Parlament nahm den Beschluss des federführenden LIBE-Ausschusses mit zahlreichen Ände-rungsanträgen am 26. Oktober 2017 an. Es wird nun die Reaktion des Europäisches Rates erwartet. Ursprünglich sollte die neue ePrivacy-Verordnung zusammen mit der DS-GVO ab dem 25. Mai 2018 gelten und das Daten-schutzniveau in Europa einheitlich regeln. Dieser Zeitplan wurde nun korrigiert. Der Trilog, d.h. die abschließende gemeinsame Verhandlung des Entwurfsverfassers, der Europäischen Kommission, mit den Gesetzgebern, dem Europäischen Parlament und dem Europäischen Rat, wird in der zweiten Hälfte des Jahres 2018 erwartet. Mit ei-ner Verabschiedung der Verordnung ist frühestens zum Jahresende 2018 zu rechnen. [...] Die Synopse des BayLDA soll einen Überblick über den aktuellen Stand des Gesetzgebungsverfahrens vermitteln. Sobald auch der Europäische Rat seinen Vorschlag veröffentlicht hat, wird diese Synopse fortgeschrieben.