23.12.2015

Ö: Änderung der Datenschutzangemessenheits-Verordnung (DSAV-Novelle 2015)

Anpassung aufgrund des Safe Harbor-Urteils des EuGH:
449. Verordnung des Bundesministers für Kunst und Kultur, Verfassung und Medien, mit der die Datenschutzangemessenheits-Verordnung – DSAV geändert wird (DSAV-Novelle 2015), BGBl II 449/2015:
Auf Grund des § 12 Abs. 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 83/2013, in der Fassung der Kundmachung BGBl. I Nr. 132/2015, wird verordnet:
Die Datenschutzangemessenheits-Verordnung – DSAV, BGBl. II Nr. 521/1999, zuletzt geändert durch die Verordnung BGBl. II Nr. 213/2013, wird wie folgt geändert:
1. § 1 Abs. 2 Z 1 entfällt; die bisherigen Z 2 und 3 erhalten die Ziffernbezeichnungen „1." und „2.".

Bislang lautete § 1 Abs 2 Z 1 wie folgt:
Die Übermittlung und Überlassung von Daten aus Datenanwendungen an Empfänger in Drittstaaten bedarf dann keiner Genehmigung der Datenschutzbehörde, wenn die Übermittlung oder Überlassung in einen der folgenden Staaten entsprechend der angeführten Voraussetzungen erfolgt:
1. Vereinigte Staaten von Amerika, entsprechend der Entscheidung 2000/520/EG der Kommission gemäß der Richtlinie 95/46/EG über die Angemessenheit des von den Grundsätzen des „sicheren Hafens" und der diesbezüglichen „Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. Nr. L 215 vom 25.08.2000 S. 7, in der Fassung der Berichtigung ABl. Nr. L 115 vom 25.04.2001 S. 14, [...]

22.12.2015

In-depth analysis: The data protection regime in China

The data protection regime in China (pdf):
Abstract: This in-depth analysis was commissioned by the European Parliament's Policy Department for Citizens' Rights and Constitutional Affairs at the request of the LIBE Committee. One cannot talk of a proper data protection regime in China, at least not as it is perceived in the EU. The international data protection fundamentals that may be derived from all relevant regulatory instruments in force today, namely the personal data processing principles and the individual rights to information, access and rectification, are not unequivocally granted under Chinese law. An efficient enforcement mechanism, also required under European standards, is equally not provided for. China has no comprehensive data protection act but several relevant sectorial laws that, under a combined reading together with basic criminal and civil law provisions, may add up to a data protection 'cumulative effect'. This assertion is examined and assessed in the analysis that follows. A list of realistic policy recommendations has been drawn up in order to establish whether China's recent data protection effort is part of a persistent, yet concise, policy.

ENISA: Three studies on PbD, PETs and Cyber Security

  • ENISA, Privacy by design in big data: An overview of privacy enhancing technologies in the era of big data analytics (pdf): The extensive collection and further processing of personal information in the context of big data analytics has given rise to serious privacy concerns, especially relating to wide scale electronic surveillance, profiling, and disclosure of private data. In order to allow for all the benefits of analytics without invading individuals’ private sphere, it is of utmost importance to draw the limits of big data processing and integrate the appropriate data protection safeguards in the core of the analytics value chain. ENISA, with the current report, aims at supporting this approach, taking the position that, with respect to the underlying legal obligations, the challenges of technology (for big data) should be addressed by the opportunities of technology (for privacy).
  • ENISA, Online privacy tools for the general public - Towards a methodology for the evaluation of PETs for internet & mobile users (pdf); ENISA has published a study in the area of PETs for the protection of online privacy (online privacy tools) with two main objectives: a) to define the current level of information and guidance that is provided to the general public and b) to provide a proposal for an assessment model for online privacy tools that could bring more assurance in their use, supporting their wider adoption by internet and mobile users.                 
  • ENISA, Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches (pdf): This study aims to present the regulatory and non-regulatory approaches of EU Member States as well as EEA and EFTA countries to share information on cyber incidents, the different sector regulation challenges of managing cyber security issues, and their key practices in addressing them. The study identifies three types of approaches to share information on cyber security incidents: 1) traditional regulation; 2) alternative forms of regulation, such as self- and co-regulation; 3) other approaches to enable information sharing, such as information and education schemes.

16.12.2015

Gutachten zur zivilrechtlichen Verantwortlichkeit von Internet-Service Providern in BRD, USA, UK etc.

Schweizerisches Institut für Rechtsvergleichung, "Gutachten zur zivilrechtlichen Verantwortlichkeit von Internet-Service Providern in Deutschland, Frankreich, Dänemark, dem Vereinigten Königreich und den Vereinigten Staaten von Amerika" (pdf):
Die vorliegende Studie untersucht im Auftrag des Bundesamtes für Justiz die zivilrechtliche Verantwortlichkeit im weiteren Sinne (d.h. neben reparatorischen Ansprüchen wie Schadenersatz oder auch Publikation von Urteilen auch negatorische Ansprüche [Unterlassung] und Informationsansprüche der betroffenen Personen) von Plattformbetreibern und Internet-Providern. Die Studie soll zu Handen der interdepartementalen Arbeitsgruppe „Providerhaftung“ die Beurteilung der bestehenden Schweizer Regelungen im Hinblick auf eine allfällige Revision erleichtern. Dabei behandelt die Studie das europäische Recht sowie das deutsche, französische, englische, dänische und US-amerikanische Recht. [...]

Zum Hintergrund:
Das schweizerische Zivilrecht enthält keine spezifische Regelung der Verantwortlichkeit von Internetprovidern. Ein am Freitag vom Bundesrat verabschiedeter Bericht stellt nun fest, dass der geltende rechtliche Rahmen ausreicht, um die zivilrechtliche Verantwortlichkeit der Internetprovider zu erfassen. Der Bundesrat hält daher eine allgemeine gesetzliche Regelung im Bereich der Providerhaftung derzeit nicht für angebracht. [...]
Quelle: Pressemeldung Bundesrat; siehe auch den Bericht des Bundesrates (pdf)

General Data Protection Regulation - final compromise text (updated)

  • Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - final compromise text (pdf)
  • Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data - final compromise text (pdf)
Source: Statewatch
Update: See here (Parliament/LIBE) for "official" consolidated versions of the Regulation and the Directive.
Update 2: Consolidated version of the GDPR dated 28 January 2016: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [first reading] - Political agreement (pdf; No. 5455/16)
EP Press release 17.12.2015:
Press conference
On Monday 21 December at 14.00 there will be a joint press conference on the data protection package with Ms Marju Lauristin (S&D, EE), Mr Jan Philipp Albrecht (Greens/EFA, DE - rapporteur on the regulation), Commissioner Vera Jourová and justice minister Félix Braz for the Luxembourg Presidency of the Council.
Next steps
The informal agreement on the regulation will be voted by the full house in spring 2016 (probably March or April). After the entry into force of the regulation, member states will have two years to apply its provisions.

13.12.2015

Article: The role of anonymisation and pseudonymisation under the EU data privacy rules (and more)

Esayas S. Y., “The role of anonymisation and pseudonymisation under the EU data privacy rules: beyond the‘all or nothing’ approach”, in European Journal of Law and Technology, Vol 6, No 2, 2015.
Bessant C., “The application of Directive 95/46/EC and the Data Protection Act 1998 when an individual posts photographs of other individuals online”, in European Journal of Law and Technology, Vol 6, No 2, 2015.
More here: European Journal of Law and Technology (EJLT)

Aufsatz: Ausgewählte zivilprozessuale Besonderheiten im Anwendungsbereich des DSG 2000

Mag. Paulus Papst, Ausgewählte zivilprozessuale Besonderheiten im Anwendungsbereich des DSG 2000, AnwBl 2015, 583
Dieser Beitrag bietet einen Überblick über die zivilprozessualen Möglichkeiten im Zusammenhang mit datenschutzrechtlichen Verfahren

11.12.2015

OGH: Veröffentlichung höchstgerichtlicher Entscheidungen und Datenschutz

OGH 28.10.2015, 9 Ob 51/15p - ausreichende Anonymisierung durch "Namensverkürzung" auf die Initialen?
[...] 3. Die Veröffentlichung höchstgerichtlicher Entscheidungen liegt im öffentlichen Interesse: Einerseits erschließt sie dem Rechtssuchenden eine neben dem Gesetz bestehende Rechtsquelle, indem sie die Auslegung von Gesetzen durch die Rechtsprechung und damit das angewandte praktizierte Recht bekannt macht (Präjudizienfunktion). Andererseits ermöglicht die Publikation gerichtlicher Entscheidungen die Kenntnisnahme durch die Öffentlichkeit (Öffentlichkeitsprinzip) und wird so in Verbindung mit der Eröffnung von Diskussions- und Kritikmöglichkeit zu einem wesentlichen Faktor der Rechtsstaatlichkeit (s Felzmann/Danzl/Hopf, Oberster Gerichtshof², § 15 OGHG Anm 4; Hopf, Zugänglichkeit der Entscheidungen des Obersten Gerichtshofs, in FS Schneider 497 [499 ff]).
Die Veröffentlichung erfolgt auf gesetzlicher Grundlage: [...]
Gemäß § 15 Abs 4 OGHG sind in der Entscheidungsdokumentation Justiz Namen, Anschriften und erforderlichenfalls auch sonstige Orts- und Gebietsbezeichnungen, die Rückschlüsse auf die betreffende Rechtssache zulassen, durch Buchstaben, Ziffern oder Abkürzungen so zu anonymisieren, dass die Nachvollziehbarkeit der Entscheidung nicht verloren geht. Mit der Bestimmung soll einerseits sichergestellt werden, dass im Interesse des Personenschutzes der Parteien, Zeugen und „sonstigen Beteiligten“ eine entsprechende Anonymisierung der Entscheidungen zu erfolgen hat (RV 525 BlgNR 21. GP S 11), andererseits aber auch verhindert werden, dass das Textdokument wegen der Anonymisierung nicht mehr verständlich ist (Felzmann/Danzl/Hopf, Oberster Gerichtshof², § 15 OGHG Anm 7).
Die genannten Autoren vertreten, dass die Bestimmung, durch die eine ausreichende Unkenntlichmachung sichergestellt werden soll, im Standardfall eine Anonymisierung durch Reduktion des Familiennamens auf den Anfangsbuchstaben sowie Entfall der Berufsbezeichnung und der gesamten Anschrift der betroffenen Person erlaubt. Unter Umständen kann es notwendig sein, auch den Vornamen einer Person zu anonymisieren, insbesondere dann, wenn dieser eher selten oder im gegebenen Zusammenhang sonst auffällig ist. Im Einzelfall können aber auch noch weitergehende Schritte zur Anonymisierung erforderlich sein, wenn die Identität der Person sonst aus der Entscheidung hervorginge.
4. Im vorliegenden Fall ist danach zu prüfen, ob die Identität der Beschwerdeführerin durch die Reduktion ihres vollständigen Namens und ihrer Anschrift auf den im Rechtsinformationssystem des Bundes (RIS) ausgewiesenen Titel und die jeweils ersten Buchstaben des Vor- und des Nachnamens iSd § 15 Abs 4 OGHG ausreichend anonymisiert wurde. [...]
Da aber alleine mit der Anführung des Titels und der Initialen der Beschwerdeführerin ihre Identität noch nicht bestimmbar ist, wurde diese iSd § 15 Abs 4 OGHG ausreichend anonymisiert. Die Veröffentlichung der Rechtssache erfolgte damit in Entsprechung der in § 15 Abs 1 OGHG vorgesehenen Verpflichtung. Schutzwürdige Geheimhaltungsinteressen der Beschwerdeführerin an ihrem Titel und den Anfangsbuchstaben ihres Namens iSd § 1 Abs 1 DSG 2000 sind folglich zu verneinen. [...]

Proposed Directive on network and information security (NIS) across the EU

Note from Presidency to Council dated 8 Dec 2015: Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union - Presidency report on the state of play of trilogues (pdf)
[...] Notably concerning the timeline: Member States will transpose the Directive in their national legislation within 21 months and will carry out the identification of operators of essential services during additional 6 months.
5. The Presidency's aim is to present the agreed text for approval by the Permanent Representatives Committee (Coreper) on 18 December. This will be followed by the legallinguistic revision by quality advisors of both institutions early next year. To conclude the procedure, formal adoption by both the Council and the Parliament is required.
Source: Statewatch
European Commission - Press release: Commission welcomes agreement to make EU online environment more secure - Negotiators of the European Parliament, the Council and the Commission have agreed on the first EU-wide legislation on cybersecurity.

01.12.2015

GDPR: Consolidated Draft as of 27.11.2015

Note dated 27 November 2015 from Presidency to Permanent Representatives Committee, Preparation for trilogue - whole Regulation (14481/15, pdf):
In view of the meeting of the Committee of Permanent Representatives on 2 December 2015, delegations will find in Annex a consolidated version of the General Data Protection Regulation. [...]

Additional documents (inter alia covering administrative fines, data breaches, DPO) available from Statewatch here.

30.11.2015

Ö: Literaturhinweis - Jahnel, Jahrbuch Datenschutzrecht 2015

Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2015 (2015), Verlag NWV (Inhaltsverzeichnis, pdf):
Das Jahrbuch Datenschutzrecht 2015 enthält Beiträge zu den aktuellen Fragen des Datenschutzrechts, nämlich zur Aufhebung der Safe-Harbor-Entscheidung durch den EuGH und zum Auskunftsrecht bei Videoüberwachungen, welches durch ein Judikat des VwGH erheblich eingeschränkt wurde. Grundlegend untersucht werden darüber hinaus das Verhältnis von Persönlichkeitsschutz, Bildnisschutz und Datenschutz, die Datensicherheitsmaßnahmen nach § 14 DSG und die Frage des Datenschutzrechts bei Unternehmenstransaktionen. Ein weiterer Beitrag macht deutlich, dass auch politische Parteien im Rahmen ihrer Wahlkampagnen auf sozialen Medien gut beraten sind, die Vorgaben des Datenschutzrechts zu beachten. Abgerundet wird das Jahrbuch durch eine praktische und aktuelle Judikaturübersicht zum Datenschutzrecht in Form von systematisch geordneten Leitsätzen.
Quelle: NWV

GDPR: Presidency debriefing, Preparation for trilogue

Note dated 20.11.2015 from Presidency to Permanent Representatives Committee: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [First reading] [pdf; 14319/15]:
- Presidency debriefing on the outcome of the trilogue
- Preparation for trilogue - Chapters I, VI, VII, VIII, IX, X and XI
[This note contains] a comparative table which compares in 4 columns the Commission proposal, the position of the European Parliament in 1st reading, the Council’s General Approach and compromises tentatively agreed at previous trilogues as well as compromise suggestions by the Presidency. Text marked in brackets will be discussed by the Permanent Representatives Committee separately.
Presidency debriefing  [pdf; 14318/15]:
[...] 5. In the context of the European Council’s objective to conclude the reform by the end of the
year, the Presidency submits for examination with a view to confirmation to the Permanent
Representatives Committee compromise suggestions on the main outstanding issues relating
to Chapters I, VI, VII, VIII, IX, X and XI of the draft General Data Protection Regulation. On
the basis of the outcome of this examination, the Presidency will engage in trilogue with the European Parliament with the aim to find an early second reading agreement.
[...] PRESIDENCY COMPROMISE SUGGESTIONS
The Presidency invites the Permanent Representatives Committee to focus the discussion on the following main outstanding issues where further input is needed. [...]

Source: Statewatch

19.11.2015

Code of Practice on Secondary Use of Medical Data in Scientific Research Projects

Code of Practice on Secondary Use of Medical Data in Scientific Research Projects [pdf]:
This Code of Practice aims to provide a set of harmonised rules applicable to secondary use of medical data. It is intended to be useful to research projects involving multiple legal entities established in one or more EU member countries. Secondary use of data occurs when data is used for a purpose different from the purpose for which the data was initially collected. Enabling secondary use of medical data by healthcare professionals and researchers is important to improve the quality of health care and research effectiveness. At the same time, it is important to protect patient privacy and to ensure that no harm is done to a patient through the use of the data. [...]

06.11.2015

EU Commission: Guidance on the Transfer of Personal Data from the EU to the USA

COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL [pdf] on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14 (Schrems)
Press release; excerpts from the Q&A:
Why is the Commission issuing a Communication?
As long as the negotiations are not finalised, companies need to comply with the ruling and rely on alternative transfer tools where available. The Commission's explanatory communication analyses the consequences of the judgement and sets out the alternative mechanisms for transfers of personal data to the US. The Commission will also continue to work closely with the independent data protection authorities to ensure a uniform application of the ruling.
What can companies use instead of the Safe Harbour?
In the meantime, before the reviewed Safe Harbour is agreed, transatlantic data flows between companies can continue to flow using other mechanisms for international transfers of personal data available under EU data protection law.
These other mechanisms include:
  • Standard contractual clauses with companies across the Atlantic, which specify data protection obligations and are approved by the Commission.
  • Binding Corporate Rules for transfers within a multinational corporate group, and which are approved by national DPAs.
Data protection rules also include derogations under which data can be transferred on the basis of:
  • Conclusion or performance of a contract [including pre-contractual situations, e.g. in order to book a flight or hotel room in the U.S., personal data may be transferred;
  • Establishment, exercise or defence of legal claims;
  • If there is no other ground, the free and informed consent of the individual. 
Where do the negotiations towards a safer Safe Harbour stand?
On the Recommendations on transparency, enforcement and redress (1 to 11), there is agreement in principle, but the Commission is still discussing how to ensure that these commitments are binding enough to fully meet the requirements of the Court. [...]

05.11.2015

Paper: Quantitative analysis of privacy compromising mechanisms on websites

Timothy Libert, Exposing the Hidden Web: An Analysis of Third-Party HTTP Requests on One Million Websites (pdf)
Abstract: This article provides a quantitative analysis of privacy compromising mechanisms on one million popular websites. Findings indicate that nearly nine in ten websites leak user data to parties of which the user is likely unaware of; over six in ten websites spawn third-party cookies; and over eight in ten websites load Javascript code from external parties onto users’ computers. Sites which leak user data contact an average of nine external domains, indicating users may be tracked by multiple entities in tandem. By tracing the unintended disclosure of personal browsing histories on the web, it is revealed that a handful of American companies receive the vast bulk of user data. Finally, roughly one in five websites are potentially vulnerable to known NSA spying techniques at the time of analysis. 

Update 06.11.2015: Also intriguing: [...] We found that many mobile apps transmitted potentially sensitive user data to third-party domains, especially a user’s current location, email, and name. [...] Who Knows What About Me? A Survey of Behind the Scenes Personal Data Sharing to Third Parties by Mobile Apps by Jinyan Zang, Krysta Dummit, James Graves, Paul Lisker, and Latanya Sweeney

04.11.2015

Düsseldorfer Kreis: Orientierungshilfe Datenschutzanforderungen an Smart-TV-Dienste

Orientierungshilfe zu den Datenschutzanforderungen an Smart-TV-Dienste (PDF; Stand:
September 2015, Version 1.0)
[...] Diese Orientierungshilfe richtet sich an die Anbieter von Smart-TV-Diensten, insbesondere Gerätehersteller, Portalbetreiber, App-Anbieter, Anbieter von Empfehlungsdiensten und von HbbTV-Angeboten. Sie enthält nach Beschreibung der relevanten Begriffe (Kapitel 2) einen kurzen Überblick über die Struktur der Smart-TV-Nutzung einschließlich der beteiligten Anbieter (Kapitel 3), der gesetzlichen Grundlagen für die jeweilige Kommunikation (Kapitel 4 bis 6) und daraus folgend eine Darstellung der konkreten datenschutzrechtlichen und technisch-organisatorischen Anforderungen an Smart-TV-Dienste (Kapitel 7). [...]

29.10.2015

VfGH: Gänzliches Verbot für Verwendung gentechnischer Analysen durch private Versicherer verfassungswidrig

VfGH 8.10.2015, G 20/2015-13, G 281/2015-8 (pdf):
I. 1. Die Wortfolgen "und Versicherern" und "oder Versicherungsnehmern oder Versicherungswerbern" in § 67 des Bundesgesetzes, mit dem Arbeiten mit gentechnisch veränderten Organismen, das Freisetzen und Inverkehrbringen von gentechnisch veränderten Organismen und die Anwendung von Genanalyse und Gentherapie am Menschen geregelt werden (Gentechnikgesetz – GTG), BGBl. Nr. 510/1994, idF BGBl. I Nr. 127/2005, sowie der letzte Satz in § 11a Abs. 1 des Bundesgesetzes vom 2. Dezember 1958 über den Versicherungsvertrag (Versicherungsvertragsgesetz – VersVG), BGBl. Nr. 2/1959, idF BGBl. I Nr. 34/2012, werden als verfassungswidrig aufgehoben.
2. Die Aufhebung tritt mit Ablauf des 31. Dezember 2016 in Kraft.
3. Frühere gesetzliche Bestimmungen treten nicht wieder in Kraft.
4. Der Bundeskanzler ist zur unverzüglichen Kundmachung dieser Aus-sprüche im Bundesgesetzblatt I verpflichtet.
II. Der Antrag des Verbands der Versicherungsunternehmen Österreichs wird zurückgewiesen. [...]

[...] Gegen die Zulässigkeit der Erhebung und Verwendung genetischer Analysen des Typs 1 (§ 65 Abs. 1 Z 1 GTG) durch den Versicherer kann auch nicht das Recht auf ("genetische") Privatsphäre (Art. 8 EMRK) oder das Recht auf Datenschutz (§ 1 DSG 2000) ins Treffen geführt werden. Zum Zeitpunkt, zu dem der Versicherungswerber/Versicherungsnehmer die genetische Analyse des Typs 1 (§ 65 Abs. 1 Z 1 GTG) durchführen lässt, ist ihm voraussetzungsgemäß die bestehende Krankheit bereits auf Grund einer "konventionellen" Untersuchung bekannt; der Versicherungswerber/Versicherungsnehmer ist nach § 16 VersVG verpflichtet, dem Versicherer diese ihm bereits bekannte Krankheit anzuzeigen (bzw. darf der Versicherer nach Maßgabe des § 11a VersVG diese personenbezogenen Gesundheitsdaten ermitteln und verwenden). Weiters lassen Ergebnisse von genetischen Analysen des Typs 1 keine Rückschlüsse auf die genetische Disposition Dritter zu.
Es ist daher nach Ansicht des Verfassungsgerichtshofes nicht zu erkennen, inwiefern die Verpflichtung des Versicherungswerbers zur Preisgabe der Ergebnisse einer genetischen Analyse des Typs 1 (iSd § 65 Abs. 1 Z 1 GTG) das verfassungsgesetzlich gewährleistete Recht auf Privatheit gemäß Art. 8 EMRK oder auf Datenschutz gemäß § 1 DSG 2000 verletzen könnte.
Die durch das ausnahmslose Verbot des § 67 GTG iVm § 11a VersVG bewirkte Ungleichbehandlung von Ergebnissen konventioneller Untersuchungen und von genetischen Analysen des Typs 1 iSd § 65 Abs. 1 Z 1 GTG ist somit sachlich nicht gerechtfertigt.
2.3.3. Da die angefochtenen Wortfolgen in § 67 GTG und der letzte Satz in § 11a Abs. 1 VersVG ein umfassendes, dh. undifferenziertes Verbot für jegliche Verwendung der Ergebnisse aus genetischen Analysen statuiert, verstoßen die angefochtenen Bestimmungen gegen den Gleichheitssatz. [...]

Update 09.01.2017: Änderung des Gentechnikgesetzes und des Versicherungsvertragsgesetzes, BGBl I 112/2016 vom 30.12.2016

VfGH: § 28 Abs 2 Datenschutzgesetz 2000 (Widerspruchsrecht) als verfassungswidrig aufgehoben (Docfinder.at)

VfGH 8.10.2015, G 264/2015
I. § 28 Abs. 2 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, idF BGBl. I Nr. 133/2009, wird als verfassungswidrig aufgehoben.
II. Die Aufhebung tritt mit Ablauf des 31. Dezember 2016 in Kraft.
III. Frühere gesetzliche Bestimmungen treten nicht wieder in Kraft.
IV. Der Bundeskanzler ist zur unverzüglichen Kundmachung dieser Aussprüche im Bundesgesetzblatt I verpflichtet.
Aus dem Erkenntnis:
2.1.4 [...] Mit der Ausübung des Widerspruchsrechts gemäß § 28 Abs. 2 DSG 2000 kann der Betroffene jede Art der fortgesetzten Zugänglichmachung von Information in einer öffentlichen Datenanwendung in Zusammenhang mit seiner Person unterbinden, ganz unabhängig davon, ob es sich dabei etwa um Angaben zur Person des Betroffenen, zu seinen Lebensumständen, seinem persönlichen Hintergrund oder seiner beruflichen Tätigkeit, oder ob es sich etwa um Fakten, um Tatsachenbehauptungen oder um Werturteile über den Betroffenen handelt. Damit ist etwa die Aufnahme in ein öffentlich zugängliches Telefon- oder Adressverzeichnis ebenso erfasst wie eine kritische Auseinandersetzung mit der Tätigkeit eines namentlich genannten Politikers auf einer Internetseite.
2.1.5. Die angefochtene Regelung des § 28 Abs. 2 DSG 2000, die dem von einer Aufnahme in eine öffentlich zugängliche Datenanwendung Betroffenen pauschal ein unbedingtes Widerspruchsrecht einräumt, ohne dass eine Abwägung der Interessen des Betroffenen einerseits und jener des Auftraggebers und der Öffentlichkeit andererseits stattfindet, erlaubt in den vom Medienprivileg des § 48 DSG 2000 nicht erfassten Konstellationen, in denen das Widerspruchsrecht gemäß § 28 Abs. 2 DSG 2000 ausgeübt werden kann, keine Berücksichtigung der Besonderheiten des Einzelfalls, die beispielsweise darin bestehen können, dass die in der Datenanwendung veröffentlichte Information von besonders großem Interesse für die Allgemeinheit ist, etwa auf Grund der Rolle, die die betroffene Person im öffentlichen Leben spielt. Eine solche Interessenabwägung ist jedoch auf Grund von Art. 10 EMRK verfassungsrechtlich geboten, um einen angemessenen Ausgleich zwischen den widerstreitenden, häufig auch grundrechtlich geschützten Interessen herzustellen [...] Der in § 28 Abs. 2 DSG 2000 normierte Eingriff in das Recht auf Meinungsäußerungs- und Informationsfreiheit ist daher unverhältnismäßig. [...]
Anmerkung: Siehe im Blog bereits hier und hier, meine dort getroffene Einschätzung hat sich bestätigt; siehe auch den Kurzbeitrag meines ehemaligen Chefs, Prof. Dr. Forgó hier (IRI-Blog, Uni Hannover).
UpdateBGBl I 132/2015, Kundmachung des Bundeskanzlers über die Aufhebung des § 28 Abs. 2 Datenschutzgesetz 2000 durch den Verfassungsgerichtshof
Update 2: Siehe auch die Besprechung der EGMR-Entscheidung Włodzimierz KUCHARCZYK betreffend ein Bewertungsportal von Lehofer, mit Anmerkung zum Außerkrafttreten des § 28 Abs 2 DSG 2000 iVm Art 11 GRC.
Update 3: Dt. Bundesgerichtshof konkretisiert Pflichten des Betreibers eines Ärztebewertungsportals (jameda.de), VI ZR 34/15, Urteil vom 1. März 2016, Pressemeldung
Update 4: OGH 27.06.2016, 6 Ob 48/16a - www.docfinder.at II (u.a.: Die gemäß § 27 Abs 1 ÄrzteG geführte Ärzteliste der Österreichischen Ärztekammer ist hinsichtlich der in dieser Gesetzesstelle genannten Daten öffentlich, also jedermann zugänglich und erfüllt damit die Funktion eines öffentlichen Registers, in dem jedermann jederzeit nachprüfen kann, wer zur Ausübung des ärztlichen Berufs und in welcher Form berechtigt ist. 
Mangelnder grundrechtlicher Schutz schließt nicht notwendigerweise den speziellen Schutz durch einfachgesetzliche Regelungen aus, was insbesondere im Zusammenhang mit § 28 DSG 2000 zu berücksichtigen ist. Nach § 8 Abs 2 DSG 2000 sind zulässigerweise veröffentlichte Daten keineswegs vom Anwendungsbereich der einfachgesetzlichen Regelungen des Datenschutzgesetzes 2000 ausgenommen. Bei allgemeiner Verfügbarkeit von Daten werden zwar schutzwürdige Geheimhaltungsinteressen nicht verletzt, die weiteren Voraussetzungen der (einfachgesetzlichen) Zulässigkeitsprüfung müssen aber sehr wohl erfüllt sein, wie etwa das Vorliegen der rechtlichen Befugnis des Auftraggebers (§ 7 Abs 1 DSG 2000), die Verhältnismäßigkeitsprüfung des § 7 Abs 3 DSG 2000 oder die Einhaltung der allgemeinen Grundsätze des § 6 DSG 2000.)

25.10.2015

Report: Privacy Bridges - Transatlantic Privacy Solutions (updated)

Report: Privacy Bridges - EU and US Privacy Experts in Search of Transatlantic Privacy Solutions (pdf):
Globalization and technological advances pose common challenges to providing a progressive, sustainable model for protecting privacy in the global Internet environment. Tensions between different legal systems such as the European Union and the United States result in loss of confidence on the part of users and confusions by commercial entities. The goal of this report is to identify practical steps to bridge gaps between the existing approaches to data privacy of the European Union (EU) and the United States (US), in a way that produces a high level of protection, furthering the interests of individuals and increasing certainty for commercial organizations. These "privacy bridges" are designed to advance strong privacy values in a manner that respects the substantive and procedural differences between the two jurisdictions. While our focus is privacy protection in the transatlantic region, we hope that some, if not most, of these privacy bridges may prove useful in other
regions as well. This report emerged from a series of in-person meetings and discussions among a group of independent EU and US experts in the field of privacy and data protection. This group was convened on the initiative of Jacob Kohnstamm, chairman of the Dutch Data Protection Authority, and jointly organized by the Massachusetts Institute of Technology Cybersecurity and Internet Policy Research Initiative, and the University of Amsterdam's Institute for Information Law. We present ten privacy bridges that will both foster stronger transatlantic collaboration and advance privacy protection for individuals.

Update: In a statement issued today [28 Oct 2015] at the International Data Protection and Privacy Conference, the organizations criticized a just-released “Bridges” report that primarily recommended a continuation of industry self-regulation to address privacy, which the organizations said was a “failed policy” and “remarkably out of touch with the current legal reality." The statement is available at here. (pdf)
Source: Privacy International

24.10.2015

NIST: Report "De-Identification of Personal Information"

NIST Report (author: Simson L. Garfinkel) entitled "De-Identification of Personal Information" (pdf), inter alia covering de-Identifying medical imagery, genetic information and biological materials

Abstract: De-identification removes identifying information from a dataset so that individual data cannot be linked with specific individuals. De-identification can reduce the privacy risk associated with collecting, processing, archiving, distributing or publishing information. De-identification thus attempts to balance the contradictory goals of using and sharing personal information while protecting privacy. Several U.S laws, regulations and policies specify that data should be de-identified prior to sharing. In recent years researchers have shown that some de-identified data can sometimes be re-identified. Many different kinds of information can be de-identified, including structured information, free format text, multimedia, and medical imagery. This document summarizes roughly two decades of de-identification research, discusses current practices, and presents opportunities for future research.
Another finding worth highlighting: "Currently, there is no scientific consensus on the minimum size of a genetic sequence necessary for re-identification. There is also no consensus on an appropriate mechanism to make deidentified genetic information available to researchers without the need to execute a data use agreement that would prohibit re-identification." 

16.10.2015

Art. 29 WP: Statement on the implementation of the CJEU's Safe Harbor judgement

Article 29 Data Protection Working Party - STATEMENT on the implementation of the judgement of the Court of Justice of the European Union of 6 October 2015 in the Maximilian Schrems v Data Protection Commissioner case (C-362/14; pdf):
[...] In the meantime, the Working Party will continue its analysis on the impact of the CJEU judgment on other transfer tools. During this period, data protection authorities consider that Standard Contractual Clauses and Binding Corporate Rules can still be used. In any case, this will not prevent data protection authorities to investigate particular cases, for instance on the basis of complaints, and to exercise their powers in order to protect individuals.
If by the end of January 2016, no appropriate solution is found with the US authorities and depending on the assessment of the transfer tools by the Working Party, EU data protection authorities are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions. [...]

14.10.2015

Study by Prof. Boehm: A comparison between US and EU data protection legislation for law enforcement purposes

Study by Prof. Dr. Franziska Boehm: "A comparison between US and EU data protection legislation for law enforcement purposes" (pdf)
Abstract
This study was commissioned by the European Parliament's Policy Department for Citizens' Rights and Constitutional Affairs at the request of the LIBE Committee. The study compares US and the EU legal frameworks on data protection in the field of law enforcement. It reviews US and EU principal legal sources of data protection legislation in the law enforcement and national security context and identifies rights available to individuals. The study further considers newly introduced or proposed US laws such as the USA FREEDOM Act and the Draft Judicial Redress Act and reviews its compatibility with EU data protection standards.

06.10.2015

Draft Data Protection Directive: Council will try to agree its negotiating position

JUSTICE and HOME AFFAIRS COUNCIL, Thursday 8 and Friday 9 October in Luxembourg
The Council will try to agree its negotiating position on the draft data protection directive [Proposal for a directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data - General Approach, which is intended to replace the 2008 data protection framework decision]. The draft directive establishes rules for the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. [...]
Source: Council background brief (pdf); Statewatch

CJEU: Commission’s US Safe Harbour Decision is invalid (updated)

CJEU 23.09.2015, C-362/14 (PDF; DE) - Maximillian Schrems v Data Protection Commissioner
[...] On those grounds, the Court (Grand Chamber) hereby rules:
  1. Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data as amended by Regulation (EC) No 1882/2003 of the European Parliament and of the Council of 29 September 2003, read in the light of Articles 7, 8 and 47 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that a decision adopted pursuant to that provision, such as Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46 on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce, by which the European Commission finds that a third country ensures an adequate level of protection, does not prevent a supervisory authority of a Member State, within the meaning of Article 28 of that directive as amended, from examining the claim of a person concerning the protection of his rights and freedoms in regard to the processing of personal data relating to him which has been transferred from a Member State to that third country when that person contends that the law and practices in force in the third country do not ensure an adequate level of protection.
  2. Decision 2000/520 is invalid.
From the CJEU's press release (pdf): This judgment has the consequence that the Irish supervisory authority is required to examine Mr Schrems’ complaint with all due diligence and, at the conclusion of its investigation, is to decide whether, pursuant to the directive, transfer of the data of Facebook’s European subscribers to the United States should be suspended on the ground that that country does not afford an adequate level of protection of personal data.

Ein Überblick über die Reaktionen (DE) hier bei Netzpolitik.
- Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Pressemeldung: [...] Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen. Es ist zu prüfen, ob und inwieweit Datentransfers in die USA auszusetzen sind. Dies gilt auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden. Die Aufsichtsbehörden werden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits muss die USA drängen, ein angemessenes Datenschutzniveau herzustellen. [...]

- Österr. Datenschutzbehörde: Zur Ungültigerklärung der Safe Harbor-Entscheidung der Europäischen Kommission durch den EuGH: [...] Die Europäische Kommission hat in ihrer offiziellen Stellungnahme zur Safe-Harbor-Entscheidung vom 6. Oktober 2015 unter anderem festgehalten, dass ein Transfer personenbezogener Daten in die USA auch in Zukunft auf Mechanismen wie Standardvertragsklauseln (2001/497/EG, 2004/915/EG oder 2010/87/EG) und Binding Corporate Rules (Verbindliche unternehmensinterne Vorschriften) gestützt werden kann. Die Datenschutzbehörde behält sich (diesbezüglich) im Rahmen des Genehmigungsverfahrens aber die Beurteilung des im Empfängerstaat geltenden angemessenen Datenschutzniveaus gemäß § 13 Abs. 2 DSG 2000 im Einzelfall vor. [...]

- Article 29 Working Party, The Court of Justice of the European Union invalidates the EU Commission Safe Harbor Decision, press release (pdf)

- From the Speaking points of First Vice-President Timmermans and Commissioner Jourová First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems)
[...] Now, you'll ask me how data flows can continue without the Safe Harbour in the meantime.
The EU data protection rules provide for several other mechanisms that provide safeguards for international transfers of personal data, for instance through standard data protection clauses in contracts between companies exchanging data across the Atlantic or binding corporate rules for transfers within a corporate group.
Also the Data protection rules include derogations under which data can be transferred on the basis of:
  • performance of a contract [e.g. If you book a hotel in the U.S., my personal data are transferred there in order to fulfil the contract];
  • Important public interest grounds [e.g. cooperation between authorities in the fight against fraud, cartels, etc.];
  • The vital interest of the data subject [e.g. it means in urgent life or death situations, personal data such as medical records can be transferred internationally in the person's own interest]; or
  • Or if there is no other ground, the free and informed consent of the individual. [...]
- Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 (pdf)

02.10.2015

Art. 29 WP: Comments in response to W3C's public consultation on "Tracking Compliance and Scope"

Article 29 Data Protection Working Party comments in response to W3C's public consultation on the W3C Last Call Working Draft, 14 July 2015, Tracking Compliance and Scope, 1 October 2015 (pdf):

[...] In conclusion, we feel that whilst an individual data controller could demonstrate compliance with the EU legal framework through a bespoke interpretation of a DNT signal, the aforementioned gaps between the DNT compliance level and what is required by the EU legal framework undermine the usefulness of the standard in a broad European context. The Draft DNT Compliance Specification would fall short of the expectations of EU regulators, data controllers, and users for a granular solution for expressing valid consent through browser settings that would be compliant with the EU legal framework. [...]

CJEU: data transfers between public administrative bodies

CJEU 1.10.2015, C‑201/14 - Bara (press release here [pdf]: Persons whose personal data are subject to transfer and processing between two public administrative bodies must be informed in advance):
[...] On those grounds, the Court (Third Chamber) hereby rules:
Articles 10, 11 and 13 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, on the protection of individuals with regard to the processing of personal data and on the free movement of such data, must be interpreted as precluding national measures, such as those at issue in the main proceedings, which allow a public administrative body of a Member State to transfer personal data to another public administrative body and their subsequent processing, without the data subjects having been informed of that transfer or processing.

CJEU: Applicable law and scope of territorial powers of DPA

CJEU 1.10.2015, C‑230/14 - Weltimmo (press release here: [pdf]: Data protection legislation of a Member State may be applied to a foreign company which exercises in that State, through stable arrangements, a real and effective activity):
[...] On those grounds, the Court (Third Chamber) hereby rules:
1. Article 4(1)(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as permitting the application of the law on the protection of personal data of a Member State other than the Member State in which the controller with respect to the processing of those data is registered, in so far as that controller exercises, through stable arrangements in the territory of that Member State, a real and effective activity — even a minimal one — in the context of which that processing is carried out.
In order to ascertain, in circumstances such as those at issue in the main proceedings, whether that is the case, the referring court may, in particular, take account of the fact (i) that the activity of the controller in respect of that processing, in the context of which that processing takes place, consists of the running of property dealing websites concerning properties situated in the territory of that Member State and written in that Member State's language and that it is, as a consequence, mainly or entirely directed at that Member State, and (ii) that that controller has a representative in that Member State, who is responsible for recovering the debts resulting from that activity and for representing the controller in the administrative and judicial proceedings relating to the processing of the data concerned.
By contrast, the issue of the nationality of the persons concerned by such data processing is irrelevant.
2. Where the supervisory authority of a Member State, to which complaints have been submitted in accordance with Article 28(4) of Directive 95/46, reaches the conclusion that the law applicable to the processing of the personal data concerned is not the law of that Member State, but the law of another Member State, Article 28(1), (3) and (6) of that directive must be interpreted as meaning that that supervisory authority will be able to exercise the effective powers of intervention conferred on it in accordance with Article 28(3) of that directive only within the territory of its own Member State. Accordingly, it cannot impose penalties on the basis of the law of that Member State on the controller with respect to the processing of those data who is not established in that territory, but should, in accordance with Article 28(6) of that directive, request the supervisory authority within the Member State whose law is applicable to act.
3. Directive 95/46 must be interpreted as meaning that the term 'adatfeldolgozás' (technical manipulation of data), used in the Hungarian version of that directive, in particular in Articles 4(1)(a) and 28(6) thereof, must be understood as having the same meaning as that of the term 'adatkezelés' (data processing).

30.09.2015

VfGH: Aus der öffentlichen Verhandlung zu § 28 Abs 2 DSG 2000 (updated)

Ich war bei der heutigen Verhandlung zu diesem Fall (DocFinder) vor Ort, anbei die Fragen des VfGH an die Parteien (aus dem verteilten Bericht des für die Vorbereitung des Falles zuständigen Verfassungsrichters [Referenten] RA Dr. Christoph Herbst). Mein persönlicher Eindruck war, dass es für den § 28 Abs 2 leg cit nicht unbedingt "gut aussieht" (basierend auf den Fragen der Verfassungsrichter) ...

1. Welche Formen der Kommunikation werden vom Begriff der "Aufnahme in eine öffentlich zugängliche Datenanwendung" im Sinne des § 28 Abs. 2 DSG 2000 erfasst? Worin unterscheidet sich der Anwendungsbereich des § 28 Abs. 2 DSG 2000 von jenem des § 28 Abs. 1 DSG 2000?
2. Sofern § 28 Abs. 2 DSG 2000 so auszulegen ist, dass die Erhebung eines Widerspruchs eine unbedingte Löschungsverpflichtung des Auftraggebers bewirkt, die keine Berücksichtigung der Interessen des Auftraggebers oder Dritter zulässt:
a. Steht § 28 Abs. 2 DSG 2000 vor dem Hintergrund der Rechtsprechung des Gerichtshofes der Europäischen Union (vgl. insbesondere EuGH 6.11.2003, Rs. C-101/01, Lindqvist; 24.11.2011, Rs. C-468/10, C-469/10, Asociación Nacional de Establecimientos Financieros de Credito [ASNEF} ua.) im Widerspruch zu den Vorgaben der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABI. L 281/1995, (im Folgenden: Datenschutz-Richtlinie), insbesondere zu Art. 14 Datenschutz-Richtlinie?
b. Ist Art. 14 Datenschutz-Richtlinie unmittelbar anwendbar und wäre daher § 28 Abs. 2 DSG 2000 nicht anzuwenden?
c. Entspricht das in § 28 Abs. 2 DSG 2000 vorgesehene Widerspruchsrecht in allen denkbaren Sachverhaltskonstellationen im Hinblick auf Art. 10 EMRK dem Verhältnismäßigkeitsprinzip?
3. Schließt ein Widerspruch gemäß § 28 Abs. 2 DSG 2000 die Berücksichtigung der Interessen des Auftraggebers bzw. Dritter aus oder normiert die angefochtene Bestimmung - wie die Bundesregierung in ihrer Äußerung ausführt - gegenüber dem Widerspruchsrecht gemäß § 28 Abs. 1 DSG 2000 lediglich eine Beweislastumkehr?
4. Handelt es sich bei der von der Bundesregierung zu § 28 Abs. 2 DSG 2000 eingenommenen Auffassung (vgl Frage 3.) um eine verfassungskonforme (und unionsrechtskonforme) Interpretation?
5. Spielt es für die Frage, ob eine Bestimmung verfassungskonform auszulegen oder wegen Verfassungswidrigkeit aufzuheben ist, eine Rolle, ob es zur angefochtenen Bestimmung eine ständige Rechtsprechung des Obersten Gerichtshofes zur Auslegung dieser Bestimmung gibt?
6. Welche Formen der von Art. 10 EMRK geschützten Kommunikation sind vom Medienprivileg des § 48 DSG 2000 erfasst? Wie sind insbesondere - auch vor dem Hintergrund des Urteils des Gerichtshofes der Europäischen Union vom 16. Dezember 2008, Rs. C-73/07, Tietosuojavaltuutettu - die in § 48 DSG 2000 genannten Begriffe "Medienunternehmen", "Mediendienst" und "publizistische Tätigkeit im Sinne des Mediengesetzes" auszulegen? Ist § 48 DSG 2000 im Anlassfall anwendbar?


Update: Vom VfGH gehoben, siehe hier.

OGH zu einem auf § 84 GOG gestützten (datenschutzrechtlichen) Auskunftsbegehren und § 26 DSG 2000

OGH 31.07.2015, 6 Ob 45/15h
[...] 4.4.2.8. § 26 Abs 1 Satz 3 DSG beschränkt - wie oben dargestellt in Übereinstimmung mit § 1 Abs 3 Z 1 DSG - die Bereiche, über die Auskunft zu erteilen ist. Jedenfalls muss es sich um zu dieser Person verarbeitete Daten - Informationen über eine Person - handeln. Bei den Protokolldaten müsste es sich also um eine personenbezogene Angabe über den Betroffenen handeln (§ 4 Z 1 DSG). Dies wird von der Lehre (vgl Jahnel aaO, 380 f) und wurde im Ergebnis auch von der Datenschutzkommission verneint. § 14 Abs 4 DSG über die Verwendungsbeschränkung sowohl zugunsten des Betroffenen als auch des „Zugreifenden“ als „Betroffenen“ kann wohl entnommen werden, dass die Protokolldaten jedenfalls „über“ den „Zugreifenden“, aber allenfalls „auch“ über den „Betroffenen“ Informationen enthalten könnten (vgl zur weiten auch zweckbezogenen Definition der Art 29 Datenschutzgruppe Jahnel aaO, 129). Grundsätzlich spricht aber viel dafür, dass es sich im Regelfall nur um Daten „über“ die Person des Zugreifenden handelt. Einer abschließenden Klärung bedarf es insoweit nicht.
4.4.2.9. Hier greift jedenfalls der in der Rechtsprechung des Verfassungsgerichtshofs herausgearbeitete Aspekt, dass die Auskunft bei „überwiegenden berechtigten Interessen“ eines „Dritten“ (§ 26 Abs 2 DSG) verweigert werden kann (VfGH 2. 10. 2007, B 227/05 VfSlg 18.230). Bei den Protokolldaten im Sinne des § 14 Abs 2 Z 7 DSG handelt es sich um Daten, die im Rahmen der Datensicherungsmaßnahmen eine den Anordnungen und der Verantwortung des Auftraggebers entsprechende Verarbeitung der Daten von Betroffenen sichern sollen. Allfällige Ansprüche aus der Verletzung des DSG sind gegen den Auftraggeber und nicht gegen den im Rahmen der Anordnungen des Dienstgebers handelnden Bediensteten zu richten. Unter Beachtung dieser Rahmenbedingungen überwiegen aber im Allgemeinen die Interessen des im Rahmen der Anordnungen des Dienstgebers handelnden Bediensteten, der ja weder den Entschluss gefasst hat, diese Datenverwendung vorzunehmen, noch insoweit eigene Interessen verfolgt oder den Inhalt seiner beruflichen Tätigkeit offenlegen möchte (vgl im Übrigen auch § 1 Abs 1 AHG).
4.4.3. Auch eine „Übermittlung“ im Sinne des § 4 Z 12 DSG liegt bei einer bloßen Abfrage eines Dienstnehmers im Rahmen der Anordnungen des Arbeitgebers und dessen Aufgabengebiete nicht vor. Der Dienstnehmer wird insoweit dem Auftraggeber zugerechnet.
4.5. Anders wäre dies etwa dann zu sehen, wenn der Auskunftswerber bereits im Antrag nach § 84 GOG darstellt, dass Justizbedienstete Daten zu privaten Zwecken verwendet haben, weil diese dann nicht mehr als Bedienstete im Auftrag des Auftraggebers verarbeiten (§ 15 Abs 2 DSG) und insoweit jedenfalls von einer Übermittlung im Sinne des § 4 Z 12 DSG auszugehen ist. Die Auftraggeberin wäre jedenfalls verpflichtet, diese Frage auch unter Verwendung der Protokolldaten abzuklären und eine entsprechende Auskunft zu erteilen.
[...]

27.09.2015

VKI: bauMax-Kundenkarten-AGB und Datenübermittlung an Dritte

VKI: bauMax - "Preissäge" Kundenkarte: Wer keine Weitergabe seiner Daten will, sollte der AGB-Änderung von bauMax gleich widersprechen, auch wenn ein Widerspruch nach dem Datenschutzgesetz grundsätzlich jederzeit möglich ist.
Quelle: VKI
Aus den Allgemeinen Geschäftsbedingungen für die bauMax Preissäge-Karte, Stand August 2015 (pdf; Hervorhebung durch mich):
8. Datenschutz
Der Kunde erklärt sich damit einverstanden, dass alle den Kunden betreffende Daten aus der Geschäftsverbindung EDV–unterstützt verarbeitet und aus betrieblich notwendigen Gründen und für die Kontaktaufnahme (Anrufe, elektronische Zusendungen) zu werblichen Zwecken im Sinne des § 107 TKG, insbesondere Newslettern, Werbeaktionen und Gewinnspielen, von bauMax an von bauMax beauftragte Marketingunternehmen weitergegeben werden. Zusätzlich erklärt sich der Kunde damit einverstanden, dass seine Kundendaten im Falle der Übernahme von Märkten von bauMax durch einen Dritten an den jeweilig neuen Betreiber für den selben Zweck und Datenverarbeitungen sowie werbliche Nutzung im selben Umfang wie sie bisher bauMax vorbehalten war, übermittelt und von diesem genutzt werden. Ein Widerruf der Genehmigung ist – auch separat – gegenüber bauMax und/oder dem jeweiligen Erwerber jederzeit zB per Email an kundenclub@baumax.com möglich und hat unter gleichzeitiger Rückgabe der bezogenen Preissäge-Karte zu erfolgen.

Hinzuweisen ist in diesem Zusammenhang auch auf die ständige Rechtsprechung des OGH, wonach eine wirksame Zustimmung u.a. nur dann vorliegt, wenn die Übermittlungsempfänger konkret angeführt werden (was hier nicht vorliegt).

Änderung der Standard- und Muster-Verordnung 2004 (StMV-Novelle 2015)

BGBl II 278/2015: Auf Grund des § 17 Abs. 2 Z 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 83/2013, wird verordnet:
Die Standard- und Muster-Verordnung 2004 – StMV 2004, BGBl. II Nr. 312/2004, zuletzt geändert durch die Verordnung BGBl. II Nr. 514/2013, wird wie folgt geändert:
1. In der Anlage 1 wird im Inhaltsverzeichnis nach dem Eintrag „SA036 Hinweisgebersysteme gemäß § 99g BWG“ der Eintrag „SA037 Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung“ angefügt.
2. In der Anlage 1 wird nach der Standardanwendung „SA036 Hinweisgebersysteme gemäß § 99g BWG“ folgende Standardanwendung samt Überschrift angefügt:
„SA037 Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung
Zweck der Datenanwendung:
Verarbeitung von Daten durch die gesetzlich verpflichteten Stellen und Übermittlung an die Geldwäschemeldestelle des Bundeskriminalamts (§ 4 Abs. 2 Z 1 und 2 des Bundeskriminalamt-Gesetzes (BKA-G), BGBl. I Nr. 22/2002) zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung sowie die Führung archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten. [...]

23.09.2015

CJEU (Opinion of the AG): Schrems v Data Protection Commissioner (Safe Harbor invalid?)

CJEU (Opinion of Advocate General Bot) 23.09.2015, C-362/14 - Maximillian Schrems v Data Protection Commissioner
In today’s Opinion, Advocate General Yves Bot takes the view that the existence of a Commission decision finding that a third country ensures an adequate level of protection of the personal data transferred cannot eliminate or even reduce the national supervisory authorities’ powers under the directive on the processing of personal data. He considers furthermore that the Commission decision is invalid. 
Source: CJEU press release (pdf)

Questions referred:
Whether in the course of determining a complaint which has been made to an independent office holder who has been vested by statute with the functions of administering and enforcing data protection legislation that personal data is being transferred to another third country (in this case, the United States of America) the laws and practices of which, it is claimed, do not contain adequate protections for the data subject, that office holder is absolutely bound by the Community finding to the contrary contained in Commission Decision of 26 July 2000 (2000/520/EC1 ) having regard to Article 7, Article 8 and Article 47 of the Charter of Fundamental Rights of the European Union (2000/C 364/012 ), the provisions of Article 25(6) of Directive 95/46/EC3 notwithstanding?
Or, alternatively, may and/or must the office holder conduct his or her own investigation of the matter in the light of factual developments in the meantime since that Commission Decision was first published?

Not yet published.
III – Conclusion
237. In the light of the foregoing, I propose that the Court should answer the questions referred by the High Court as follows:
Article 28 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, read in the light of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that the existence of a decision adopted by the European Commission on the basis of Article 25(6) of Directive 95/46 does not have the effect of preventing a national supervisory authority from investigating a complaint alleging that a third country does not ensure an adequate level of protection of the personal data transferred and, where appropriate, from suspending the transfer of that data.
Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the Department of Commerce of the United States of America is invalid.
Update: Judgment to be delivered on October 6th 2015, 9:30.

22.09.2015

DS-GVO: Risikobasierter Datenschutz – eine Zwischenbilanz im andauernden Trilog-Verfahren der EU

Christine Wohlwend, elleta AG "Datenschutz-Grundverordnungder Europäischen UnionRisikobasierter Datenschutz – eine Zwischenbilanz im andauernden Trilog-Verfahren der EU" (pdf; August 2015)
Uns als Datenschutzstelle ist es ein grosses Anliegen, Liechtensteinische Unternehmen dabei zu unterstützen, den zukünftigen Anforderungen an den betrieblichen Datenschutz bestmöglich gerecht zu werden. Aus diesem Grund haben wir ein Expertenpapier zum risikobasierten Datenschutz (Risk Based Approach) - ein Reformvorhaben im Rahmen des EWR, das voraussichtlich Ende 2015 verabschiedet wird - und dessen Auswirkungen auf die heimischen Unternehmen in Auftrag gegeben, sagt Philipp Mittelberger, Datenschutzbeauftragter des Fürstentums Liechtenstein.
Quelle: Datenschutzstelle Liechtenstein

Study: Access to Electronic Data by Third-Country Law Enforcement Authorities

Somewhat older (July 2015):
CEPS, Access to Electronic Data by Third-Country Law Enforcement Authorities  - Challenges to EU Rule of Law and Fundamental Rights (pdf); authors: Sergio Carrera, Gloria González Fuster, Elspeth Guild, Valsamis Mitsilegas
This study examines the challenges to European law posed by third-country access to data held by private companies for purposes of law-enforcement investigations in criminal proceedings.  The proliferation of electronic communications is putting cloud-computing companies under severe strain from multiple demands from the authorities to acquire access to such data.
A key challenge for the EU emerges when third-country authorities request access to data held by private companies under EU jurisdiction outside pre-established channels of cooperation, in particular outside Mutual Legal Assistance (MLA) treaties. [...]
Source: CEPS

Study: Big Data and smart devices and their impact on privacy

Study for the LIBE Committee "Big Data and smart devices and their impact on privacy" (PE 536.455; pdf); Authors: Dr Gloria González Fuster, Research Professor at the Vrije Universiteit Brussel (VUB) Dr Amandine Scherrer, European Studies Coordinator and Associate Researcher at the Centre d’Etudes sur les Conflits, Liberté et Sécurité (CCLS). This Study was coordinated by the Centre d’Etudes sur les Conflits, Liberté et Sécurité (CCLS) and the Centre for European Policy Studies (CEPS) and conducted under the scientific supervision of Prof. Didier Bigo (Director of CCLS and Professor at Sciences Po Paris and King’s College London).
Abstract
The numerous debates triggered by the increased collection and processing of personal data for various - and often unaccountable - purposes are particularly vivid at the EU level. Two interlinked, and to some extent conflicting, initiatives are relevant here: the development of EU strategies promoting a data-driven economy and the current reform of the EU personal data protection legal framework in the context of the adoption of a General Data Protection Regulation (GDPR). In this context, and focusing on the development of Big Data practices, smart devices and the Internet of Things (IoT), this Study shows that the high degree of opacity of many contemporary data processing activities directly affects the right of the individuals to know what is being done with the data collected about them. This Study argues that the promotion of a datadriven economy should not underestimate the challenges raised for privacy and personal data protection and that strengthening the rights of digital citizens should be the main focus of the current debates around the GDPR.

17.09.2015

Ö: § 28 Abs 2 DSG 2000 (Widerspruchsrecht) auf dem Prüfstand des VfGH

Das "right to be forgotten" in der österreichischen Ausprägung des § 28 Abs 2 DSG 2000 (siehe dazu ua Forgó/Kastelitz, Das Widerspruchsrecht gemäß § 28 Abs 2 DSG 2000 – eine Analyse, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government (2009) 13 ff; hinsichtlich der europa- und verfassungsrechtlichen Bedenken zustimmend Berka, Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Freiheit und Sicherheit, 18. ÖJT Band I/1 45 f), welches explizit keine Interessenabwägung vorsieht, steht nunmehr auf dem Prüfstand des VfGH, aus der Pressemeldung des VfGH:
Antrag auf Datenlöschung ohne Begründung?
Die 14 Verfassungsrichterinnen und Verfassungsrichter beraten in der Session auch über einen Parteiantrag (eine Gesetzesbeschwerde), in dem es um Datenschutz-Fragen geht.
Ein Internetportal stellt allgemeine Informationen über Ärzte zur Verfügung (wie etwa Name, Praxisadresse, Ordinationszeiten), außerdem kann nach diesen Kriterien in dem Portal gesucht werden.
Vor dem Hintergrund eines Rechtsstreits mit einem Arzt (der nicht in dem Internetportal vorkommen will) haben die Betreiber einen Parteiantrag an den Verfassungsgerichtshof gestellt.
Das Datenschutzgesetz sieht nach der Interpretation des Internetportal-Betreibers nämlich vor, dass „der Betroffene“ gegen „eine öffentlich zugängliche Datenanwendung“ jederzeit „auch ohne Begründung seines Begehrens Widerspruch erheben“ kann. Die Daten müssen dann binnen acht Wochen gelöscht werden.
Die Betreiber des Internetportals halten ein derartiges Löschungsrecht für zu weitgehend und daher verfassungswidrig.
Es würde Onlineforen unmöglich machen und daher gegen das Recht auf Kommunikationsfreiheit verstoßen.
Auch in diesem Verfahren findet eine öffentliche mündliche Verhandlung statt, und zwar am Mittwoch, 30. September, 10.00 Uhr (Verhandlungssaal VfGH, Freyung 8, Eingang Ecke Renngasse, 1010 Wien)


Anmerkung: Siehe auch meine früheren Blogeinträge dazu; insbesondere ist fraglich, ob die unionsrechtlichen Vorgaben der DSRL 95/46/EG diesen "Sonderweg" des österreichischen Gesetzgebers angesichts der weitgehenden "Vollharmonisierung" zulassen, siehe dazu meinen Eintrag "Datenschutz-RL 95/46/EG: Mindeststandards oder Vollharmonisierung?".
Update 30.09.2015: siehe zur öff. Verhandlung hier.

16.09.2015

Aufsatz: Das Recht auf informationelle Selbstbestimmung in Österreich

Grabenwarter, Das Recht auf informationelle Selbstbestimmung im Europarecht und im Verfassungsrecht, AnwBl 2015, 404 (pdf)
Der Verfassungsgerichtshof hat sich jüngst erstmals auf das Recht auf informationelle Selbstbestimmung bezogen. Der folgende Beitrag beleuchtet die damit angesprochenen Rechtspositionen und geht auf die Aufgabenteilung der Gerichte im Datenschutz am Beispiel der Vorratsdatenspeicherung ein. [...]

15.09.2015

Studie: Umsetzung der "Button-Lösung" in Österreich

Umsetzung der Button-Lösung in Österreich (pdf), Durchführung im Auftrag der AK-Wien: Österreichisches Institut für angewandte Telekommunikation Mag. Piotr Luckos, Mag. Bernhard Jungwirth M.Ed. und MMag. Jakob Kalina:
Mit dem am 29. April 2014 beschlossenen Verbraucherrechte-Richtlinie-Umsetzungsgesetz (VRUG) wurde die Verbraucherrechterichtlinie der EU in österreichisches Recht implementiert. Die Bestimmungen traten am 13. Juni 2014 in Kraft und bringen eine ganze Reihe von Neuerungen für KonsumentInnen. Rund ein Jahr nach Inkrafttreten des VRUG soll diese Studie empirisch belegte Hinweise auf den Stand der Umsetzung der in § 8 Abs 1 und 2 FAGG (Check-out-Seite) normierten Vorgaben in Online-Shops, die Waren, Dienstleistungen bzw. digitale Inhalte an KonsumentInnen in Österreich anbieten, geben. [...]

10.09.2015

GDPR: Chapter III, preparation for trilogue (Presidency's compromise suggestions)

Note from Presidency to Delegations dated 4 September 2015: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter III, preparation for trilogue (with Annex: four column table which reflects the Commission proposal, the European Parliament's first reading position and the Council's General Approach as well as compromise suggestions):
[...] 2. Taking into account the General Approach reached on 15th June 2015 which constitutes the basis of the negotiation mandate for the Presidency, taking into account the discussions at the DAPIX meeting of 2nd September 2015, as well as considering the European Parliament’s position on Chapter III, the Presidency has put together compromise suggestions in the 4th column of the document in annex with a view to the next trilogue. The Presidency invites delegations to share their views on these suggestions.
3. The Presidency wishes to underline that provisions relating to the processing of personal data for archiving purposes in the public interest or for scientific, statistical and historical purposes are to be discussed as they appear in Chapter III, notwithstanding further discussions on related issues in Chapter IX at a later stage. [...]
Document source: Statewatch

Report on the Rise of Mobile Tracking Headers ("supercookies") used by Telcos

Access, The Rise of Mobile Tracking Headers: How Telcos Around the World Are Threatening Your Privacy (pdf)
[...] To call attention to the practice and to better understand tracking headers, Access built a tool at Amibeingtracked.com that allows users to test their devices to see if they are being tracked. Since its launch in October 2014, more than 200,000 people from around the world have used the tool, and the results are startling. This report presents results of nearly 180,000 tests conducted in the first six months, along with our major findings about the use of tracking headers worldwide, and it provides our recommendations for governments, carriers, websites, intergovernmental bodies, and researchers.
From the Key Findings:
Carriers in 10 countries around the world, including Canada, China, India, Mexico, Morocco, Peru, the Netherlands, Spain, the United States, and Venezuela, are using tracking headers.
Users cannot block tracking headers, because they are injected by carriers out of reach 
at the network level. 
“Do not track” tools in web browsers do not block the tracking headers. 
Tracking headers can attach to the user even when roaming across international borders. 
Even if tracking headers are not used by the carrier itself to sell advertising, other firms 
can independently identify and use the tracking headers for advertising purposes.

What is a tracking header?
Although tracking headers are popularly called “supercookies,” “zombie cookies,” or “perma-cookies,” these terms are inaccurate. Cookies are injected locally and can be manipulated by end users in a web browser. Tracking headers are in fact not cookies at all because they are injected at the network level, out of the reach of the user. A more accurate term would be Carrier-Injected HTTP Header. For the sake of simplicity, and to avoid creating yet another acronym, we will refer to “Carrier-Injected HTTP Headers” as simply “tracking headers” throughout this report.

09.09.2015

Norwegian data protection authority issues anonymisation guide

Somewhat older (what a pity that my Norwegian is a bit ... ehem ... rusty nowadays ... remembers me of my studies in Oslo ages ago: Prof Jon Bing and others, my very first encounter with data protection at the Senter for rettsinformatikk):
The Norwegian data protection authority (Datatilsynet) issued, on 24 August 2015, a guide (pdf; 'the Guide') relating to the anonymisation of personal information. The Guide provides practical guidance for data controllers on the considerations to be made prior to anonymising data and highlights Datatilsynet's opinion on the effectiveness of different anonymisation methods. [...]
Source: DataGuidance

Results of the 2015 Global Privacy Enforcement Network Sweep

The third Global Privacy Enforcement Network (GPEN) Privacy Sweep demonstrates the ongoing commitment of privacy enforcement authorities to work together to promote privacy protection around the world.
Twenty-nine privacy enforcement authorities in 21 countries participated in this year’s Sweep, which took place May 11-15, 2015. That’s up from 26 participating authorities last year. Over the course of the week, participants visited 1,494 websites and mobile applications (apps) that were either targeted at or popular among children. The aim: to determine whether apps and websites are collecting personal information from children, what personal information is being collected, whether protective controls exist to effectively limit the collection and whether the information could be easily deleted. [...]

DANA mit Schwerpunktthema "Rote Linien zur EU-DSGVO“ als gratis Download

Die neue Ausgabe der Datenschutznachrichten (DANA) 03/2015 ist erschienen. Sie beschäftigt sich mit dem Schwerpunktthema "Rote Linien zur EU-DSGVO". Das Heft bietet neben den üblichen deutschen und internationalen Datenschutzmeldungen und Meldungen zur Rechtsprechung folgende Beiträge:
• Einführung in das Thema von Dr. Thilo Weichert "Europas Datenschutz"
• Essays zu den roten Linien von verschiedenen Organisationen und Personen (BfDI, BvD, Digitalcourage, Digitale Gesellschaft, FIfF, GDD, Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Prof. Douwe Korff, Peter Schaar, vzbv, Prof. Dr. Peter Wedde)
• Pressemitteilung des EU-Datenschutzbeauftragten "Ein neues Kapitel für den Datenschutz"
• Resolution des Evangelischen Kirchentags "Rettet unsere Grundrechte"
• Aufsatz von Jörg Pohle "Zweckbindung revisited"
Quelle: Pressemeldung Deutsche Vereinigung für Datenschutz DVD

OGH u.a. zur "gebotenen Sorgfalt" gem § 6 Abs 2 Z 3a MedienG (Facebook-Kommentar)

OGH 29.04.2015, 15 Os 14/15w (15 Os 15/15t):
Nach der mit der Mediengesetznovelle 2005 (BGBl I 2005/49) eingefügten Bestimmung des § 6 Abs 2 Z 3a MedienG besteht ein Entschädigungsanspruch nach Abs 1 leg cit nicht, wenn es sich um die Abrufbarkeit auf einer Website handelt, ohne dass der Medieninhaber oder einer seiner Mitarbeiter oder Beauftragten die gebotene Sorgfalt außer Acht gelassen hat. [...]
Bei Bestimmung der gebotenen Sorgfalt sind einerseits ua die Vielfalt an Websites, auf denen Äußerungen Dritter zugänglich gemacht werden, die rasche Entwicklung der elektronischen Medien, deren technischen Gegebenheiten, die Verkehrsauffassung und die Besonderheiten des Internets zu berücksichtigen (EBRV 784 BlgNR 22. GP 9). Andererseits sind die Sorgfaltsanforderungen - unter Anlegung eines objektiv-individuellen Maßstabs - auf die Diversität real existierender Medieninhaber abzustimmen; so wird von einem professionellen Betreiber einer Website, der auch ein wirtschaftliches Interesse an in seinem Medium veröffentlichten Kommentaren hat, ein höherer Kenntnisstand hinsichtlich der einschlägigen Gesetzgebung und Rechtsprechung und somit eine raschere Reaktion zu erwarten sein als von einer Privatperson, die auf ihrem Facebook-Profil ein „Gästebuch“ eingerichtet hat (vgl EGMR 10. 10. 2013, 64569/09 Delfi AS/Estland, NL 2013, 340). Schließlich ist - unter dem Blickwinkel des Art 10 MRK - auf den Beitrag, den Diskussionsforen im Internet zu einer offenen und lebendigen Diskussion gesellschaftlich wichtiger Fragen in einer demokratischen Öffentlichkeit leisten, Bedacht zu nehmen (Berka in Berka/Heindl/Höhne/Noll, MedienG³ § 6 Rz 43; Delfi AS gegen Estland, NL 2013, 340). Insofern kann auch - entgegen der von der Generalprokuratur vertretenen Ansicht - aus der für eine bestimmte Sachverhaltskonstellation geschaffenen Bestimmung des § 16 ECG nicht im Wege eines Größenschlusses auf - im Vergleich zum Diensteanbieter (§ 3 ECG) - generell höhere Sorgfaltsanforderungen für den Medieninhaber (§ 1 Abs 1 Z 8 MedienG) geschlossen werden. [...]
 3. Die sodann zur Einhaltung der von § 6 Abs 2 Z 3a MedienG geforderten Sorgfalt erforderliche Entfernung des die Persönlichkeitsrechte des Antragstellers verletzenden Inhalts der Website hat unverzüglich zu erfolgen, wobei darunter nicht sofortiges, sondern Handeln ohne schuldhafte Verzögerung zu verstehen ist (EBRV 784 BlgNR 22. GP 9; EBRV zum ECG 817 BlgNR 21. GP 35; Berka, aaO § 6 Rz 43; Zankl, aaO Rz 239). [...]

EuGH (Schlussanträge): Geldwäsche und Datenschutz

EuGH, Schlussanträge vom 03.09.2015, Rs C-235/14 - Safe Interenvios 
[...] Sorgfaltspflichten gegenüber Kunden und der Schutz personenbezogener Daten (Frage 3 a und b)
120. Mit Frage 3 b fragt das vorlegende Gericht im Wesentlichen danach, ob die Mitgliedstaaten durch die Richtlinie über personenbezogene Daten daran gehindert sind, im Zusammenhang mit von Kreditinstituten angewandten verstärkten Sorgfaltspflichten gegenüber Kunden Zahlungsinstitute zur Mitteilung von die Identität ihrer Kunden betreffenden Daten an Kreditinstitute zu verpflichten, die mit ihnen in direktem Wettbewerb stehen. Frage 3 a ist ähnlich, obwohl sie sich weder auf konkrete Bestimmungen des Unionsrechts noch auf das Wettbewerbsverhältnis zwischen dem Zahlungsinstitut und den Kreditinstituten bezieht (sondern dagegen vielmehr auf Daten, die die Empfänger der über die Konten von Safe übermittelten Gelder betreffen).
[...] 123. Für erfasste Rechtspersonen, wie Kreditinstitute und Zahlungsinstitute, kann eine Notwendigkeit zur Erhebung und Überprüfung zumindest ihre eigenen Kunden betreffender Daten entweder nach der Geldwäscherichtlinie oder, wenn sie strengeren Vorschriften unterliegen, wie nach Art. 5 dieser Richtlinie zulässig, nach sonstigen Regelungen des nationalen Rechts bestehen, die mit dem Unionsrecht im Einklang stehen. Soweit hiermit eine Verarbeitung personenbezogener Daten verbunden ist, die in den Anwendungsbereich der Richtlinie über personenbezogene Daten fallen (die Geldwäscherichtlinie ist in dieser Hinsicht wenig konkret), finden grundsätzlich die Anforderungen beider Richtlinien Anwendung. Dies bestätigt der 33. Erwägungsgrund der Geldwäscherichtlinie für die Weitergabe von Informationen nach Art. 28. Gleiches gilt für den 48. Erwägungsgrund, der sich auf die Wahrung der Grundrechte bezieht und somit auch auf den Schutz personenbezogener Daten nach Art. 8 der Charta.
124. Ich sehe keine Grundlage dafür, unter „dem Kunden“ in Art. 8 Abs. 1 Buchst. a(56) oder Art. 13 auch den/die Kunden des Kunden der erfassten Rechtsperson zu verstehen. Diese Bestimmungen betreffen im Wesentlichen das Verhältnis einer erfassten Rechtsperson zu ihrem/ihren Kunden und die im Kontext dieses Verhältnisses abgewickelten Transaktionen. Richtig ist natürlich, dass Art. 13 Abs. 4 Buchst. c Maßnahmen anführt, um die Herkunft des Vermögens und der Gelder zu ermitteln, die im Rahmen einer Geschäftsbeziehung oder Transaktion mit politisch exponierten Personen, die in einem anderen Mitgliedstaat oder in einem Drittland ansässig sind, eingesetzt werden. Das Vorabentscheidungsersuchen enthält aber keinerlei Hinweis darauf, dass das hier der Fall ist.
125. Gleichwohl denke ich, dass die Geldwäscherichtlinie nationalen Regelungen nicht zwingend entgegensteht, die eine erfasste Rechtsperson, soweit dies gerechtfertigt ist, verpflichten oder ermächtigen, Informationen über die Kunden ihres Kunden einzuholen. Informationen über diese Kunden könnten für die Bewertung relevant sein, ob bei dem Kunden der erfassten Rechtsperson, ihren Transaktionen und Geschäftsbeziehungen ein Risiko der Geldwäsche oder der Terrorismusfinanzierung besteht.
126. Ich kann mich daher nicht der Ansicht anschließen, dass eine erfasste Rechtsperson im Sinne der Geldwäscherichtlinie niemals nach nationalem Recht ermächtigt oder verpflichtet werden darf, sich um die Einholung von Informationen über die Kunden ihrer eigenen Kunden zu bemühen, um Geldwäsche oder Terrorismusfinanzierung zu verhindern. Auch dürfte die Richtlinie über personenbezogene Daten, insbesondere Art. 7, einer Verarbeitung personenbezogener Daten in einem solchen Fall nicht entgegenstehen.
127. Solche nationalen Regelungen müssen jedoch auch mit anderen unionsrechtlichen Verpflichtungen dieses Mitgliedstaats, insbesondere den Anforderungen der Richtlinie über personenbezogene Daten sowie Art. 8 und Art. 52 Abs. 1 der Charta, im Einklang stehen.