18.10.2017

First annual report on the functioning of the EU- U.S. Privacy Shield

Today the European Commission publishes its first annual report on the functioning of the EU-U.S. Privacy Shield, the aim of which is to protect the personal data of anyone in the EU transferred to companies in the U.S. for commercial purposes.
Overall the report shows that the Privacy Shield continues to ensure an adequate level of protection for the personal data transferred from the EU to participating companies in the U.S.
Source: Press release; Report and Staff Working Document on the annual review of the functioning of the EU–U.S. Privacy Shield

EuGH: Gerichtszuständigkeit für Klage gg. Veröffentlichung unrichtiger Angaben im Internet

EuGH 17.10.2017, Rs C‑194/16Bolagsupplysningen OÜ
[...] Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Art. 7 Nr. 2 der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass eine juristische Person, deren Persönlichkeitsrechte durch die Veröffentlichung unrichtiger Angaben über sie im Internet und durch das Unterlassen der Entfernung sie betreffender Kommentare verletzt worden sein sollen, Klage auf Richtigstellung der Angaben, auf Verpflichtung zur Entfernung der Kommentare und auf Ersatz des gesamten entstandenen Schadens bei den Gerichten des Mitgliedstaats erheben kann, in dem sich der Mittelpunkt ihrer Interessen befindet. Übt die betreffende juristische Person den größten Teil ihrer Tätigkeit in einem anderen Mitgliedstaat als dem ihres satzungsmäßigen Sitzes aus, kann sie den mutmaßlichen Urheber der Verletzung unter Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs in diesem anderen Mitgliedstaat verklagen.
2. Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 ist dahin auszulegen, dass eine Person, deren Persönlichkeitsrechte durch die Veröffentlichung unrichtiger Angaben über sie im Internet und durch das Unterlassen der Entfernung sie betreffender Kommentare verletzt worden sein sollen, nicht vor den Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet die im Internet veröffentlichten Informationen zugänglich sind oder waren, eine Klage auf Richtigstellung der Angaben und Entfernung der Kommentare erheben kann.

OGH: „Dauerhafter Datenträger“ und E-Banking-Postfach

OGH 28.09.2017, 8 Ob 14/17t (unter Verweis auf EuGH 25.01.2017, C-375/15):
[...] Der Zahlungsdienstleister muss, wenn die Richtlinie 2007/64/EG vorsieht, dass er dem Zahlungsdienstnutzer die betreffenden Informationen mitteilt, diese Informationen von sich aus übermitteln (Rn 48). Von den Zahlungsdienstnutzern kann nämlich vernünftigerweise nicht erwartet werden, dass sie regelmäßig alle elektronischen Kommunikationssysteme abfragen, bei denen sie registriert sind.
Soweit die Klausel 9 vorsieht, dass der Kunde „Mitteilungen und Erklärungen (…) die die Bank dem Kunden zu übermitteln … hat“ im Wege des E-Banking erhält, garantiert dieser Übermittlungsweg nicht, dass die vom Gerichtshof der Europäischen Union für maßgeblich erachteten Kriterien eingehalten werden, weil sie – die Zustimmung des Kunden vorausgesetzt – die Übermittlung in das Postfach, das die Bank innerhalb des E-Banking eingerichtet hat, genügen lässt. Da dieses vom Kunden nur für die Kommunikation mit der Bank genützt wird, bedürfte es zusätzlich einer Mitteilung an den Kunden in einer Form, die seine tatsächliche Kenntnisnahme wahrscheinlich macht.
[...]
Folgende Klausel ist daher unzulässig (Verstoß gegen §§ 29 Abs 1 Z 1 iVm 26 Abs 1 Z 1 ZaDiG):
9. Mitteilungen und Erklärungen (insbesondere Kontonachrichten, Kontoauszüge, Kreditkartenabrechnungen, Änderungsmitteilungen, etc), die die Bank dem Kunden zu übermitteln oder zugänglich zu machen hat, erhält der Kunde, der eBanking vereinbart hat, per Post oder durch Abrufbarkeit oder Übermittlung elektronisch im Wege des B***** eBankings.“
Mehr dazu beim VKI.

17.10.2017

Art 29 WP: Guidelines on data breach notification and profiling under the GDPR

  • Guidelines on Personal data breach notification under Regulation 2016/679, WP 250 (pdf)
  • Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679, WP 251 (pdf)
The Article 29 Working Party welcomes comments on the data breach notification and profiling guidelines. Such comments should be sent to the following addresses by 28 November 2017 at the latest. More here.

16.10.2017

EMA: Updated guidance on the publication of clinical data

European Medicines Agency, External guidance on the implementation of the European Medicines Agency policy on the publication of clinical data for medicinal products for human use, V1.3, 22/09/2017 (pdf):
This document provides guidance to industry on practical aspects of the implementation of the Agency's policy on the publication of clinical data for medicinal products for human use. It covers guidance on the procedural aspects of the submission of clinical reports, the anonymisation of clinical reports and the identification and redaction of commercially confidential information in clinical reports. It also includes a checklist for the 'Redaction Proposal Document' package. This guidance is revised periodically.
Source: EMA; more on clinical data publication

15.10.2017

Österreichische Datenschutzbehörde aktualisiert DSGVO-Leitfaden (Update)

Leitfaden zur Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, zusammengestellt von Dr. Matthias Schmidl, Stand: Juli 2017 (pdf)
Einige interessante Auszüge, die mir beim neuerlichen Überfliegen aufgefallen sind (wobei ich keinen Vergleich mit der ursprünglichen Fassung vorgenommen habe):

  • Seite 19 ff: Kurzüberblick über das Datenschutz-Anpassungsgesetz 2018
  • Seite 27: Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Voraussichtlich ab August/September 2017 wird eine Schnittstelle zur Verfügung stehen, sodass bestehende DVR-Meldungen in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können (Anmerkung: siehe die neue Export-Funktion).
  • Seite 32 f: Kann ein Datenschutzbeauftragter verantwortlicher Beauftragter nach § 9 VStG sein? Der Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann.
  • Seite 31 f: Was ist eine „öffentliche Stelle“? [...]Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das Datenschutzanpassungsgesetz 2018 heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den Verantwortlichen des öffentlichen Bereichs. Darunter fallen alle Verantwortliche,
    • die in Formen des öffentlichen Rechts eingerichtet sind oder
    • zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung).
 Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. [...]

Update 15.10.2017: Der Leitfaden wurde aktualisiert (Stand Oktober 2017); u.a. mit Ausführungen zur Durchführung einer DSFA bei bereits bestehenden Datenanwendungen (S 29 f).

13.10.2017

Guidelines on Data Protection Impact Assessment: final version

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, WP 248 rev.01:
Page 13: [...] C. What about already existing processing operations? DPIAs are required in some circumstances.
The requirement to carry out a DPIA applies to existing processing operations likely to result in a high risk to the rights and freedoms of natural persons and for which there has been a change of the risks, taking into account the nature, scope, context and purposes of the processing.
A DPIA is not [my emphasis] needed for processing operations that have been checked by a supervisory authority or the data protection official, in accordance with Article 20 of Directive 95/46/EC, and that are performed in a way that has not changed since the prior checking. Indeed, "Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed" (recital 171).
Conversely, this means that any data processing whose conditions of implementation (scope, purpose, personal data collected, identity of the data controllers or recipients, data retention period, technical and organisational measures, etc.) have changed since the prior checking performed by the supervisory authority or the data protection official and which are likely to result in a high risk should be subject to a DPIA. [...]
Siehe dazu nunmehr auch hier (Fassung vom Oktober 2017, Seite 29 f).
Prior version (page 11):
c) What about already existing processing operations? DPIAs are needed for those created after May 2018 or that change significantly.
The requirement to carry out a DPIA applies to processing operations meeting the criteria in Article 35 and initiated after the GPDR becomes applicable on 25 May 2018.
WP29 strongly recommends to carry out DPIAs for processing operations already underway prior to May 2018. In addition, where necessary, “the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operation” (Article 35(11)21).

BTW: The revised version contains a new example for a processing operation "likely" requiring a DPIA: Storage for archiving purpose of pseudonymised personal sensitive data concerning vulnerable data subjects of research projects or clinical trials

06.10.2017

Präsentation: Datenschutz im Gesundheitsbereich (in Österreich) - Herausforderungen durch DSGVO und DSG

Gestern habe ich eine Präsentation auf der Jahrestagung betrieblicher Datenschutz 2017 der Arge Daten gehalten, die hier (pdf) abrufbar ist (aufgrund der Kürze der zur Verfügung stehenden Zeit handelt es sich nur um eine subjektive Auswahl an Themen).

Ö: Datenschutz-Folgenabschätzung für elektronische Gesundheitsakte in den Gesetzesmaterialien

Auszug aus den Erläuterungen zum Deregulierungsgesetz 2017 (genauer zu den darin enthaltenen Änderungen des Gesundheitstelematikgesetzes 2012):
[...] Zu § 14 Abs. 6:
Gemäß Art. 35 Abs. 3 lit. b der geltenden Datenschutz-Verordnung sind Datenschutz-Folgenabschätzungen erforderlich bei „umfangreiche[n] Verarbeitung[en] besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1“.
Bei der Datenschutz-Folgenabschätzung sind die Risiken den Maßnahmen zur Eindämmung dieser Risiken gegenüberzustellen (Erwägungsgrund 90 DSGVO). Bereits die Erläuterungen zum GTelG 2012 (RV 1936 d. B. XXIV. GP. 4 ff) haben zum Schutz von Gesundheitsdaten umfangreiche Abwägungen zu Risiken, angemessenen Garantien und Datensicherheitsmaßnahmen vorgesehen, sodass sich folgende Datenschutz-Folgenabschätzung ergibt:

DATENSCHUTZ-FOLGENABSCHÄTZUNG FÜR ELGA
SYSTEMATISCHE BESCHREIBUNG der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen 
ELGA-Gesundheitsdaten (§ 2 Z 9 GTelG 2012) sollen in dezentralen Datenspeichern für ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10 GTelG 2012) zeit- und ortsunabhängig zu Gesundheitszwecken gemäß § 9 Z 12 DSG 2000 sowie zur Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 GTelG 2012 zur Verfügung gestellt werden.
BEWERTUNG der Notwendigkeit und Verhältnismäßigkeit
Die im Gesundheitstelematikgesetz 2012 enthaltenen Regelungen über die Ermittlung und Speicherung von Gesundheitsdaten im Rahmen von ELGA dienen einem der in Art. 8 Abs. 2 EMRK genannten Ziele, nämlich dem Schutz der Gesundheit durch die Verbesserung der Verfügbarkeit von und des Zugangs zu ELGA-Gesundheitsdaten für ELGA-Gesundheitsdiensteanbieter (vgl. § 13 Abs. 1 GTelG 2012). Die Notwendigkeit ergibt sich aus dem wichtigen öffentlichen Interesse an der bestmöglichen Gesundheitsversorgung, die ohne eine zeit- und ortsunabhängige Verfügbarkeit von ELGA-Gesundheitsdaten zur Gesundheitsversorgung von ELGA-Teilnehmer/inne/n nicht gegeben ist.
Grundsätzlich bestehen Risiken, allerdings ist deren Eintritt einerseits nicht sehr wahrscheinlich und sind andererseits zahlreiche, wirksame Abhilfemaßnahmen gesetzlich im Gesundheitstelematikgesetz 2012 verankert, sodass die Datenschutz-Folgenabschätzung für ELGA klar positiv und zugunsten von ELGA ausfällt.
RISIKEN
Als Risiken werden insbesondere in Erwägungsgrund 85 der Datenschutz-Grundverordnung unter anderem genannt: [...]

VwGH: Auskunftsrecht und Verschwiegenheitspflichten (ua DSG 2000)

VwGH 18.8.2017, Ra 2015/04/0010 (pdf)
[...] Mit dem im konkreten Fall gegenständlichen Auskunftsbegehren wollte die revisionswerbende Partei  - bezogen auf einen bestimmten Zeitraum - die (Gesamt)höhe der von einer Marktgemeinde an eine Rechtsanwalts-GmbH bezahlten Honorare in Erfahrung bringen; eine genaue Aufschlüsselung, durch die die Kalkulation der Honorarvereinbarung sowie die Art und der Umfang der erbrachten Leistungen offengelegt würde, hat die revisionswerbende Partei dagegen nicht beantragt.
Der VwGH hielt dazu fest, dass dadurch nicht in ein Geschäfts- oder Betriebsgeheimnis der Rechtsanwalts-GmbH eingegriffen und weder die anwaltliche Verschwiegenheitspflicht noch die geschützten Rechte nach dem DSG verletzt werden; dem Auskunftsbegehren der revisionswerbenden Partei steht demnach keine gesetzliche Verschwiegenheitspflicht entgegen.
Quelle: VwGH