30.09.2015

VfGH: Aus der öffentlichen Verhandlung zu § 28 Abs 2 DSG 2000 (updated)

Ich war bei der heutigen Verhandlung zu diesem Fall (DocFinder) vor Ort, anbei die Fragen des VfGH an die Parteien (aus dem verteilten Bericht des für die Vorbereitung des Falles zuständigen Verfassungsrichters [Referenten] RA Dr. Christoph Herbst). Mein persönlicher Eindruck war, dass es für den § 28 Abs 2 leg cit nicht unbedingt "gut aussieht" (basierend auf den Fragen der Verfassungsrichter) ...

1. Welche Formen der Kommunikation werden vom Begriff der "Aufnahme in eine öffentlich zugängliche Datenanwendung" im Sinne des § 28 Abs. 2 DSG 2000 erfasst? Worin unterscheidet sich der Anwendungsbereich des § 28 Abs. 2 DSG 2000 von jenem des § 28 Abs. 1 DSG 2000?
2. Sofern § 28 Abs. 2 DSG 2000 so auszulegen ist, dass die Erhebung eines Widerspruchs eine unbedingte Löschungsverpflichtung des Auftraggebers bewirkt, die keine Berücksichtigung der Interessen des Auftraggebers oder Dritter zulässt:
a. Steht § 28 Abs. 2 DSG 2000 vor dem Hintergrund der Rechtsprechung des Gerichtshofes der Europäischen Union (vgl. insbesondere EuGH 6.11.2003, Rs. C-101/01, Lindqvist; 24.11.2011, Rs. C-468/10, C-469/10, Asociación Nacional de Establecimientos Financieros de Credito [ASNEF} ua.) im Widerspruch zu den Vorgaben der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABI. L 281/1995, (im Folgenden: Datenschutz-Richtlinie), insbesondere zu Art. 14 Datenschutz-Richtlinie?
b. Ist Art. 14 Datenschutz-Richtlinie unmittelbar anwendbar und wäre daher § 28 Abs. 2 DSG 2000 nicht anzuwenden?
c. Entspricht das in § 28 Abs. 2 DSG 2000 vorgesehene Widerspruchsrecht in allen denkbaren Sachverhaltskonstellationen im Hinblick auf Art. 10 EMRK dem Verhältnismäßigkeitsprinzip?
3. Schließt ein Widerspruch gemäß § 28 Abs. 2 DSG 2000 die Berücksichtigung der Interessen des Auftraggebers bzw. Dritter aus oder normiert die angefochtene Bestimmung - wie die Bundesregierung in ihrer Äußerung ausführt - gegenüber dem Widerspruchsrecht gemäß § 28 Abs. 1 DSG 2000 lediglich eine Beweislastumkehr?
4. Handelt es sich bei der von der Bundesregierung zu § 28 Abs. 2 DSG 2000 eingenommenen Auffassung (vgl Frage 3.) um eine verfassungskonforme (und unionsrechtskonforme) Interpretation?
5. Spielt es für die Frage, ob eine Bestimmung verfassungskonform auszulegen oder wegen Verfassungswidrigkeit aufzuheben ist, eine Rolle, ob es zur angefochtenen Bestimmung eine ständige Rechtsprechung des Obersten Gerichtshofes zur Auslegung dieser Bestimmung gibt?
6. Welche Formen der von Art. 10 EMRK geschützten Kommunikation sind vom Medienprivileg des § 48 DSG 2000 erfasst? Wie sind insbesondere - auch vor dem Hintergrund des Urteils des Gerichtshofes der Europäischen Union vom 16. Dezember 2008, Rs. C-73/07, Tietosuojavaltuutettu - die in § 48 DSG 2000 genannten Begriffe "Medienunternehmen", "Mediendienst" und "publizistische Tätigkeit im Sinne des Mediengesetzes" auszulegen? Ist § 48 DSG 2000 im Anlassfall anwendbar?


Update: Vom VfGH gehoben, siehe hier.

OGH zu einem auf § 84 GOG gestützten (datenschutzrechtlichen) Auskunftsbegehren und § 26 DSG 2000

OGH 31.07.2015, 6 Ob 45/15h
[...] 4.4.2.8. § 26 Abs 1 Satz 3 DSG beschränkt - wie oben dargestellt in Übereinstimmung mit § 1 Abs 3 Z 1 DSG - die Bereiche, über die Auskunft zu erteilen ist. Jedenfalls muss es sich um zu dieser Person verarbeitete Daten - Informationen über eine Person - handeln. Bei den Protokolldaten müsste es sich also um eine personenbezogene Angabe über den Betroffenen handeln (§ 4 Z 1 DSG). Dies wird von der Lehre (vgl Jahnel aaO, 380 f) und wurde im Ergebnis auch von der Datenschutzkommission verneint. § 14 Abs 4 DSG über die Verwendungsbeschränkung sowohl zugunsten des Betroffenen als auch des „Zugreifenden“ als „Betroffenen“ kann wohl entnommen werden, dass die Protokolldaten jedenfalls „über“ den „Zugreifenden“, aber allenfalls „auch“ über den „Betroffenen“ Informationen enthalten könnten (vgl zur weiten auch zweckbezogenen Definition der Art 29 Datenschutzgruppe Jahnel aaO, 129). Grundsätzlich spricht aber viel dafür, dass es sich im Regelfall nur um Daten „über“ die Person des Zugreifenden handelt. Einer abschließenden Klärung bedarf es insoweit nicht.
4.4.2.9. Hier greift jedenfalls der in der Rechtsprechung des Verfassungsgerichtshofs herausgearbeitete Aspekt, dass die Auskunft bei „überwiegenden berechtigten Interessen“ eines „Dritten“ (§ 26 Abs 2 DSG) verweigert werden kann (VfGH 2. 10. 2007, B 227/05 VfSlg 18.230). Bei den Protokolldaten im Sinne des § 14 Abs 2 Z 7 DSG handelt es sich um Daten, die im Rahmen der Datensicherungsmaßnahmen eine den Anordnungen und der Verantwortung des Auftraggebers entsprechende Verarbeitung der Daten von Betroffenen sichern sollen. Allfällige Ansprüche aus der Verletzung des DSG sind gegen den Auftraggeber und nicht gegen den im Rahmen der Anordnungen des Dienstgebers handelnden Bediensteten zu richten. Unter Beachtung dieser Rahmenbedingungen überwiegen aber im Allgemeinen die Interessen des im Rahmen der Anordnungen des Dienstgebers handelnden Bediensteten, der ja weder den Entschluss gefasst hat, diese Datenverwendung vorzunehmen, noch insoweit eigene Interessen verfolgt oder den Inhalt seiner beruflichen Tätigkeit offenlegen möchte (vgl im Übrigen auch § 1 Abs 1 AHG).
4.4.3. Auch eine „Übermittlung“ im Sinne des § 4 Z 12 DSG liegt bei einer bloßen Abfrage eines Dienstnehmers im Rahmen der Anordnungen des Arbeitgebers und dessen Aufgabengebiete nicht vor. Der Dienstnehmer wird insoweit dem Auftraggeber zugerechnet.
4.5. Anders wäre dies etwa dann zu sehen, wenn der Auskunftswerber bereits im Antrag nach § 84 GOG darstellt, dass Justizbedienstete Daten zu privaten Zwecken verwendet haben, weil diese dann nicht mehr als Bedienstete im Auftrag des Auftraggebers verarbeiten (§ 15 Abs 2 DSG) und insoweit jedenfalls von einer Übermittlung im Sinne des § 4 Z 12 DSG auszugehen ist. Die Auftraggeberin wäre jedenfalls verpflichtet, diese Frage auch unter Verwendung der Protokolldaten abzuklären und eine entsprechende Auskunft zu erteilen.
[...]

27.09.2015

VKI: bauMax-Kundenkarten-AGB und Datenübermittlung an Dritte

VKI: bauMax - "Preissäge" Kundenkarte: Wer keine Weitergabe seiner Daten will, sollte der AGB-Änderung von bauMax gleich widersprechen, auch wenn ein Widerspruch nach dem Datenschutzgesetz grundsätzlich jederzeit möglich ist.
Quelle: VKI
Aus den Allgemeinen Geschäftsbedingungen für die bauMax Preissäge-Karte, Stand August 2015 (pdf; Hervorhebung durch mich):
8. Datenschutz
Der Kunde erklärt sich damit einverstanden, dass alle den Kunden betreffende Daten aus der Geschäftsverbindung EDV–unterstützt verarbeitet und aus betrieblich notwendigen Gründen und für die Kontaktaufnahme (Anrufe, elektronische Zusendungen) zu werblichen Zwecken im Sinne des § 107 TKG, insbesondere Newslettern, Werbeaktionen und Gewinnspielen, von bauMax an von bauMax beauftragte Marketingunternehmen weitergegeben werden. Zusätzlich erklärt sich der Kunde damit einverstanden, dass seine Kundendaten im Falle der Übernahme von Märkten von bauMax durch einen Dritten an den jeweilig neuen Betreiber für den selben Zweck und Datenverarbeitungen sowie werbliche Nutzung im selben Umfang wie sie bisher bauMax vorbehalten war, übermittelt und von diesem genutzt werden. Ein Widerruf der Genehmigung ist – auch separat – gegenüber bauMax und/oder dem jeweiligen Erwerber jederzeit zB per Email an kundenclub@baumax.com möglich und hat unter gleichzeitiger Rückgabe der bezogenen Preissäge-Karte zu erfolgen.

Hinzuweisen ist in diesem Zusammenhang auch auf die ständige Rechtsprechung des OGH, wonach eine wirksame Zustimmung u.a. nur dann vorliegt, wenn die Übermittlungsempfänger konkret angeführt werden (was hier nicht vorliegt).

Änderung der Standard- und Muster-Verordnung 2004 (StMV-Novelle 2015)

BGBl II 278/2015: Auf Grund des § 17 Abs. 2 Z 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 83/2013, wird verordnet:
Die Standard- und Muster-Verordnung 2004 – StMV 2004, BGBl. II Nr. 312/2004, zuletzt geändert durch die Verordnung BGBl. II Nr. 514/2013, wird wie folgt geändert:
1. In der Anlage 1 wird im Inhaltsverzeichnis nach dem Eintrag „SA036 Hinweisgebersysteme gemäß § 99g BWG“ der Eintrag „SA037 Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung“ angefügt.
2. In der Anlage 1 wird nach der Standardanwendung „SA036 Hinweisgebersysteme gemäß § 99g BWG“ folgende Standardanwendung samt Überschrift angefügt:
„SA037 Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung
Zweck der Datenanwendung:
Verarbeitung von Daten durch die gesetzlich verpflichteten Stellen und Übermittlung an die Geldwäschemeldestelle des Bundeskriminalamts (§ 4 Abs. 2 Z 1 und 2 des Bundeskriminalamt-Gesetzes (BKA-G), BGBl. I Nr. 22/2002) zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung sowie die Führung archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten. [...]

23.09.2015

CJEU (Opinion of the AG): Schrems v Data Protection Commissioner (Safe Harbor invalid?)

CJEU (Opinion of Advocate General Bot) 23.09.2015, C-362/14 - Maximillian Schrems v Data Protection Commissioner
In today’s Opinion, Advocate General Yves Bot takes the view that the existence of a Commission decision finding that a third country ensures an adequate level of protection of the personal data transferred cannot eliminate or even reduce the national supervisory authorities’ powers under the directive on the processing of personal data. He considers furthermore that the Commission decision is invalid. 
Source: CJEU press release (pdf)

Questions referred:
Whether in the course of determining a complaint which has been made to an independent office holder who has been vested by statute with the functions of administering and enforcing data protection legislation that personal data is being transferred to another third country (in this case, the United States of America) the laws and practices of which, it is claimed, do not contain adequate protections for the data subject, that office holder is absolutely bound by the Community finding to the contrary contained in Commission Decision of 26 July 2000 (2000/520/EC1 ) having regard to Article 7, Article 8 and Article 47 of the Charter of Fundamental Rights of the European Union (2000/C 364/012 ), the provisions of Article 25(6) of Directive 95/46/EC3 notwithstanding?
Or, alternatively, may and/or must the office holder conduct his or her own investigation of the matter in the light of factual developments in the meantime since that Commission Decision was first published?

Not yet published.
III – Conclusion
237. In the light of the foregoing, I propose that the Court should answer the questions referred by the High Court as follows:
Article 28 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, read in the light of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that the existence of a decision adopted by the European Commission on the basis of Article 25(6) of Directive 95/46 does not have the effect of preventing a national supervisory authority from investigating a complaint alleging that a third country does not ensure an adequate level of protection of the personal data transferred and, where appropriate, from suspending the transfer of that data.
Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the Department of Commerce of the United States of America is invalid.
Update: Judgment to be delivered on October 6th 2015, 9:30.

22.09.2015

DS-GVO: Risikobasierter Datenschutz – eine Zwischenbilanz im andauernden Trilog-Verfahren der EU

Christine Wohlwend, elleta AG "Datenschutz-Grundverordnungder Europäischen UnionRisikobasierter Datenschutz – eine Zwischenbilanz im andauernden Trilog-Verfahren der EU" (pdf; August 2015)
Uns als Datenschutzstelle ist es ein grosses Anliegen, Liechtensteinische Unternehmen dabei zu unterstützen, den zukünftigen Anforderungen an den betrieblichen Datenschutz bestmöglich gerecht zu werden. Aus diesem Grund haben wir ein Expertenpapier zum risikobasierten Datenschutz (Risk Based Approach) - ein Reformvorhaben im Rahmen des EWR, das voraussichtlich Ende 2015 verabschiedet wird - und dessen Auswirkungen auf die heimischen Unternehmen in Auftrag gegeben, sagt Philipp Mittelberger, Datenschutzbeauftragter des Fürstentums Liechtenstein.
Quelle: Datenschutzstelle Liechtenstein

Study: Access to Electronic Data by Third-Country Law Enforcement Authorities

Somewhat older (July 2015):
CEPS, Access to Electronic Data by Third-Country Law Enforcement Authorities  - Challenges to EU Rule of Law and Fundamental Rights (pdf); authors: Sergio Carrera, Gloria González Fuster, Elspeth Guild, Valsamis Mitsilegas
This study examines the challenges to European law posed by third-country access to data held by private companies for purposes of law-enforcement investigations in criminal proceedings.  The proliferation of electronic communications is putting cloud-computing companies under severe strain from multiple demands from the authorities to acquire access to such data.
A key challenge for the EU emerges when third-country authorities request access to data held by private companies under EU jurisdiction outside pre-established channels of cooperation, in particular outside Mutual Legal Assistance (MLA) treaties. [...]
Source: CEPS

Study: Big Data and smart devices and their impact on privacy

Study for the LIBE Committee "Big Data and smart devices and their impact on privacy" (PE 536.455; pdf); Authors: Dr Gloria González Fuster, Research Professor at the Vrije Universiteit Brussel (VUB) Dr Amandine Scherrer, European Studies Coordinator and Associate Researcher at the Centre d’Etudes sur les Conflits, Liberté et Sécurité (CCLS). This Study was coordinated by the Centre d’Etudes sur les Conflits, Liberté et Sécurité (CCLS) and the Centre for European Policy Studies (CEPS) and conducted under the scientific supervision of Prof. Didier Bigo (Director of CCLS and Professor at Sciences Po Paris and King’s College London).
Abstract
The numerous debates triggered by the increased collection and processing of personal data for various - and often unaccountable - purposes are particularly vivid at the EU level. Two interlinked, and to some extent conflicting, initiatives are relevant here: the development of EU strategies promoting a data-driven economy and the current reform of the EU personal data protection legal framework in the context of the adoption of a General Data Protection Regulation (GDPR). In this context, and focusing on the development of Big Data practices, smart devices and the Internet of Things (IoT), this Study shows that the high degree of opacity of many contemporary data processing activities directly affects the right of the individuals to know what is being done with the data collected about them. This Study argues that the promotion of a datadriven economy should not underestimate the challenges raised for privacy and personal data protection and that strengthening the rights of digital citizens should be the main focus of the current debates around the GDPR.

17.09.2015

Ö: § 28 Abs 2 DSG 2000 (Widerspruchsrecht) auf dem Prüfstand des VfGH

Das "right to be forgotten" in der österreichischen Ausprägung des § 28 Abs 2 DSG 2000 (siehe dazu ua Forgó/Kastelitz, Das Widerspruchsrecht gemäß § 28 Abs 2 DSG 2000 – eine Analyse, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government (2009) 13 ff; hinsichtlich der europa- und verfassungsrechtlichen Bedenken zustimmend Berka, Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Freiheit und Sicherheit, 18. ÖJT Band I/1 45 f), welches explizit keine Interessenabwägung vorsieht, steht nunmehr auf dem Prüfstand des VfGH, aus der Pressemeldung des VfGH:
Antrag auf Datenlöschung ohne Begründung?
Die 14 Verfassungsrichterinnen und Verfassungsrichter beraten in der Session auch über einen Parteiantrag (eine Gesetzesbeschwerde), in dem es um Datenschutz-Fragen geht.
Ein Internetportal stellt allgemeine Informationen über Ärzte zur Verfügung (wie etwa Name, Praxisadresse, Ordinationszeiten), außerdem kann nach diesen Kriterien in dem Portal gesucht werden.
Vor dem Hintergrund eines Rechtsstreits mit einem Arzt (der nicht in dem Internetportal vorkommen will) haben die Betreiber einen Parteiantrag an den Verfassungsgerichtshof gestellt.
Das Datenschutzgesetz sieht nach der Interpretation des Internetportal-Betreibers nämlich vor, dass „der Betroffene“ gegen „eine öffentlich zugängliche Datenanwendung“ jederzeit „auch ohne Begründung seines Begehrens Widerspruch erheben“ kann. Die Daten müssen dann binnen acht Wochen gelöscht werden.
Die Betreiber des Internetportals halten ein derartiges Löschungsrecht für zu weitgehend und daher verfassungswidrig.
Es würde Onlineforen unmöglich machen und daher gegen das Recht auf Kommunikationsfreiheit verstoßen.
Auch in diesem Verfahren findet eine öffentliche mündliche Verhandlung statt, und zwar am Mittwoch, 30. September, 10.00 Uhr (Verhandlungssaal VfGH, Freyung 8, Eingang Ecke Renngasse, 1010 Wien)


Anmerkung: Siehe auch meine früheren Blogeinträge dazu; insbesondere ist fraglich, ob die unionsrechtlichen Vorgaben der DSRL 95/46/EG diesen "Sonderweg" des österreichischen Gesetzgebers angesichts der weitgehenden "Vollharmonisierung" zulassen, siehe dazu meinen Eintrag "Datenschutz-RL 95/46/EG: Mindeststandards oder Vollharmonisierung?".
Update 30.09.2015: siehe zur öff. Verhandlung hier.

16.09.2015

Aufsatz: Das Recht auf informationelle Selbstbestimmung in Österreich

Grabenwarter, Das Recht auf informationelle Selbstbestimmung im Europarecht und im Verfassungsrecht, AnwBl 2015, 404 (pdf)
Der Verfassungsgerichtshof hat sich jüngst erstmals auf das Recht auf informationelle Selbstbestimmung bezogen. Der folgende Beitrag beleuchtet die damit angesprochenen Rechtspositionen und geht auf die Aufgabenteilung der Gerichte im Datenschutz am Beispiel der Vorratsdatenspeicherung ein. [...]

15.09.2015

Studie: Umsetzung der "Button-Lösung" in Österreich

Umsetzung der Button-Lösung in Österreich (pdf), Durchführung im Auftrag der AK-Wien: Österreichisches Institut für angewandte Telekommunikation Mag. Piotr Luckos, Mag. Bernhard Jungwirth M.Ed. und MMag. Jakob Kalina:
Mit dem am 29. April 2014 beschlossenen Verbraucherrechte-Richtlinie-Umsetzungsgesetz (VRUG) wurde die Verbraucherrechterichtlinie der EU in österreichisches Recht implementiert. Die Bestimmungen traten am 13. Juni 2014 in Kraft und bringen eine ganze Reihe von Neuerungen für KonsumentInnen. Rund ein Jahr nach Inkrafttreten des VRUG soll diese Studie empirisch belegte Hinweise auf den Stand der Umsetzung der in § 8 Abs 1 und 2 FAGG (Check-out-Seite) normierten Vorgaben in Online-Shops, die Waren, Dienstleistungen bzw. digitale Inhalte an KonsumentInnen in Österreich anbieten, geben. [...]

10.09.2015

GDPR: Chapter III, preparation for trilogue (Presidency's compromise suggestions)

Note from Presidency to Delegations dated 4 September 2015: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter III, preparation for trilogue (with Annex: four column table which reflects the Commission proposal, the European Parliament's first reading position and the Council's General Approach as well as compromise suggestions):
[...] 2. Taking into account the General Approach reached on 15th June 2015 which constitutes the basis of the negotiation mandate for the Presidency, taking into account the discussions at the DAPIX meeting of 2nd September 2015, as well as considering the European Parliament’s position on Chapter III, the Presidency has put together compromise suggestions in the 4th column of the document in annex with a view to the next trilogue. The Presidency invites delegations to share their views on these suggestions.
3. The Presidency wishes to underline that provisions relating to the processing of personal data for archiving purposes in the public interest or for scientific, statistical and historical purposes are to be discussed as they appear in Chapter III, notwithstanding further discussions on related issues in Chapter IX at a later stage. [...]
Document source: Statewatch

Report on the Rise of Mobile Tracking Headers ("supercookies") used by Telcos

Access, The Rise of Mobile Tracking Headers: How Telcos Around the World Are Threatening Your Privacy (pdf)
[...] To call attention to the practice and to better understand tracking headers, Access built a tool at Amibeingtracked.com that allows users to test their devices to see if they are being tracked. Since its launch in October 2014, more than 200,000 people from around the world have used the tool, and the results are startling. This report presents results of nearly 180,000 tests conducted in the first six months, along with our major findings about the use of tracking headers worldwide, and it provides our recommendations for governments, carriers, websites, intergovernmental bodies, and researchers.
From the Key Findings:
Carriers in 10 countries around the world, including Canada, China, India, Mexico, Morocco, Peru, the Netherlands, Spain, the United States, and Venezuela, are using tracking headers.
Users cannot block tracking headers, because they are injected by carriers out of reach 
at the network level. 
“Do not track” tools in web browsers do not block the tracking headers. 
Tracking headers can attach to the user even when roaming across international borders. 
Even if tracking headers are not used by the carrier itself to sell advertising, other firms 
can independently identify and use the tracking headers for advertising purposes.

What is a tracking header?
Although tracking headers are popularly called “supercookies,” “zombie cookies,” or “perma-cookies,” these terms are inaccurate. Cookies are injected locally and can be manipulated by end users in a web browser. Tracking headers are in fact not cookies at all because they are injected at the network level, out of the reach of the user. A more accurate term would be Carrier-Injected HTTP Header. For the sake of simplicity, and to avoid creating yet another acronym, we will refer to “Carrier-Injected HTTP Headers” as simply “tracking headers” throughout this report.

09.09.2015

Norwegian data protection authority issues anonymisation guide

Somewhat older (what a pity that my Norwegian is a bit ... ehem ... rusty nowadays ... remembers me of my studies in Oslo ages ago: Prof Jon Bing and others, my very first encounter with data protection at the Senter for rettsinformatikk):
The Norwegian data protection authority (Datatilsynet) issued, on 24 August 2015, a guide (pdf; 'the Guide') relating to the anonymisation of personal information. The Guide provides practical guidance for data controllers on the considerations to be made prior to anonymising data and highlights Datatilsynet's opinion on the effectiveness of different anonymisation methods. [...]
Source: DataGuidance

Results of the 2015 Global Privacy Enforcement Network Sweep

The third Global Privacy Enforcement Network (GPEN) Privacy Sweep demonstrates the ongoing commitment of privacy enforcement authorities to work together to promote privacy protection around the world.
Twenty-nine privacy enforcement authorities in 21 countries participated in this year’s Sweep, which took place May 11-15, 2015. That’s up from 26 participating authorities last year. Over the course of the week, participants visited 1,494 websites and mobile applications (apps) that were either targeted at or popular among children. The aim: to determine whether apps and websites are collecting personal information from children, what personal information is being collected, whether protective controls exist to effectively limit the collection and whether the information could be easily deleted. [...]

DANA mit Schwerpunktthema "Rote Linien zur EU-DSGVO“ als gratis Download

Die neue Ausgabe der Datenschutznachrichten (DANA) 03/2015 ist erschienen. Sie beschäftigt sich mit dem Schwerpunktthema "Rote Linien zur EU-DSGVO". Das Heft bietet neben den üblichen deutschen und internationalen Datenschutzmeldungen und Meldungen zur Rechtsprechung folgende Beiträge:
• Einführung in das Thema von Dr. Thilo Weichert "Europas Datenschutz"
• Essays zu den roten Linien von verschiedenen Organisationen und Personen (BfDI, BvD, Digitalcourage, Digitale Gesellschaft, FIfF, GDD, Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Prof. Douwe Korff, Peter Schaar, vzbv, Prof. Dr. Peter Wedde)
• Pressemitteilung des EU-Datenschutzbeauftragten "Ein neues Kapitel für den Datenschutz"
• Resolution des Evangelischen Kirchentags "Rettet unsere Grundrechte"
• Aufsatz von Jörg Pohle "Zweckbindung revisited"
Quelle: Pressemeldung Deutsche Vereinigung für Datenschutz DVD

OGH u.a. zur "gebotenen Sorgfalt" gem § 6 Abs 2 Z 3a MedienG (Facebook-Kommentar)

OGH 29.04.2015, 15 Os 14/15w (15 Os 15/15t):
Nach der mit der Mediengesetznovelle 2005 (BGBl I 2005/49) eingefügten Bestimmung des § 6 Abs 2 Z 3a MedienG besteht ein Entschädigungsanspruch nach Abs 1 leg cit nicht, wenn es sich um die Abrufbarkeit auf einer Website handelt, ohne dass der Medieninhaber oder einer seiner Mitarbeiter oder Beauftragten die gebotene Sorgfalt außer Acht gelassen hat. [...]
Bei Bestimmung der gebotenen Sorgfalt sind einerseits ua die Vielfalt an Websites, auf denen Äußerungen Dritter zugänglich gemacht werden, die rasche Entwicklung der elektronischen Medien, deren technischen Gegebenheiten, die Verkehrsauffassung und die Besonderheiten des Internets zu berücksichtigen (EBRV 784 BlgNR 22. GP 9). Andererseits sind die Sorgfaltsanforderungen - unter Anlegung eines objektiv-individuellen Maßstabs - auf die Diversität real existierender Medieninhaber abzustimmen; so wird von einem professionellen Betreiber einer Website, der auch ein wirtschaftliches Interesse an in seinem Medium veröffentlichten Kommentaren hat, ein höherer Kenntnisstand hinsichtlich der einschlägigen Gesetzgebung und Rechtsprechung und somit eine raschere Reaktion zu erwarten sein als von einer Privatperson, die auf ihrem Facebook-Profil ein „Gästebuch“ eingerichtet hat (vgl EGMR 10. 10. 2013, 64569/09 Delfi AS/Estland, NL 2013, 340). Schließlich ist - unter dem Blickwinkel des Art 10 MRK - auf den Beitrag, den Diskussionsforen im Internet zu einer offenen und lebendigen Diskussion gesellschaftlich wichtiger Fragen in einer demokratischen Öffentlichkeit leisten, Bedacht zu nehmen (Berka in Berka/Heindl/Höhne/Noll, MedienG³ § 6 Rz 43; Delfi AS gegen Estland, NL 2013, 340). Insofern kann auch - entgegen der von der Generalprokuratur vertretenen Ansicht - aus der für eine bestimmte Sachverhaltskonstellation geschaffenen Bestimmung des § 16 ECG nicht im Wege eines Größenschlusses auf - im Vergleich zum Diensteanbieter (§ 3 ECG) - generell höhere Sorgfaltsanforderungen für den Medieninhaber (§ 1 Abs 1 Z 8 MedienG) geschlossen werden. [...]
 3. Die sodann zur Einhaltung der von § 6 Abs 2 Z 3a MedienG geforderten Sorgfalt erforderliche Entfernung des die Persönlichkeitsrechte des Antragstellers verletzenden Inhalts der Website hat unverzüglich zu erfolgen, wobei darunter nicht sofortiges, sondern Handeln ohne schuldhafte Verzögerung zu verstehen ist (EBRV 784 BlgNR 22. GP 9; EBRV zum ECG 817 BlgNR 21. GP 35; Berka, aaO § 6 Rz 43; Zankl, aaO Rz 239). [...]

EuGH (Schlussanträge): Geldwäsche und Datenschutz

EuGH, Schlussanträge vom 03.09.2015, Rs C-235/14 - Safe Interenvios 
[...] Sorgfaltspflichten gegenüber Kunden und der Schutz personenbezogener Daten (Frage 3 a und b)
120. Mit Frage 3 b fragt das vorlegende Gericht im Wesentlichen danach, ob die Mitgliedstaaten durch die Richtlinie über personenbezogene Daten daran gehindert sind, im Zusammenhang mit von Kreditinstituten angewandten verstärkten Sorgfaltspflichten gegenüber Kunden Zahlungsinstitute zur Mitteilung von die Identität ihrer Kunden betreffenden Daten an Kreditinstitute zu verpflichten, die mit ihnen in direktem Wettbewerb stehen. Frage 3 a ist ähnlich, obwohl sie sich weder auf konkrete Bestimmungen des Unionsrechts noch auf das Wettbewerbsverhältnis zwischen dem Zahlungsinstitut und den Kreditinstituten bezieht (sondern dagegen vielmehr auf Daten, die die Empfänger der über die Konten von Safe übermittelten Gelder betreffen).
[...] 123. Für erfasste Rechtspersonen, wie Kreditinstitute und Zahlungsinstitute, kann eine Notwendigkeit zur Erhebung und Überprüfung zumindest ihre eigenen Kunden betreffender Daten entweder nach der Geldwäscherichtlinie oder, wenn sie strengeren Vorschriften unterliegen, wie nach Art. 5 dieser Richtlinie zulässig, nach sonstigen Regelungen des nationalen Rechts bestehen, die mit dem Unionsrecht im Einklang stehen. Soweit hiermit eine Verarbeitung personenbezogener Daten verbunden ist, die in den Anwendungsbereich der Richtlinie über personenbezogene Daten fallen (die Geldwäscherichtlinie ist in dieser Hinsicht wenig konkret), finden grundsätzlich die Anforderungen beider Richtlinien Anwendung. Dies bestätigt der 33. Erwägungsgrund der Geldwäscherichtlinie für die Weitergabe von Informationen nach Art. 28. Gleiches gilt für den 48. Erwägungsgrund, der sich auf die Wahrung der Grundrechte bezieht und somit auch auf den Schutz personenbezogener Daten nach Art. 8 der Charta.
124. Ich sehe keine Grundlage dafür, unter „dem Kunden“ in Art. 8 Abs. 1 Buchst. a(56) oder Art. 13 auch den/die Kunden des Kunden der erfassten Rechtsperson zu verstehen. Diese Bestimmungen betreffen im Wesentlichen das Verhältnis einer erfassten Rechtsperson zu ihrem/ihren Kunden und die im Kontext dieses Verhältnisses abgewickelten Transaktionen. Richtig ist natürlich, dass Art. 13 Abs. 4 Buchst. c Maßnahmen anführt, um die Herkunft des Vermögens und der Gelder zu ermitteln, die im Rahmen einer Geschäftsbeziehung oder Transaktion mit politisch exponierten Personen, die in einem anderen Mitgliedstaat oder in einem Drittland ansässig sind, eingesetzt werden. Das Vorabentscheidungsersuchen enthält aber keinerlei Hinweis darauf, dass das hier der Fall ist.
125. Gleichwohl denke ich, dass die Geldwäscherichtlinie nationalen Regelungen nicht zwingend entgegensteht, die eine erfasste Rechtsperson, soweit dies gerechtfertigt ist, verpflichten oder ermächtigen, Informationen über die Kunden ihres Kunden einzuholen. Informationen über diese Kunden könnten für die Bewertung relevant sein, ob bei dem Kunden der erfassten Rechtsperson, ihren Transaktionen und Geschäftsbeziehungen ein Risiko der Geldwäsche oder der Terrorismusfinanzierung besteht.
126. Ich kann mich daher nicht der Ansicht anschließen, dass eine erfasste Rechtsperson im Sinne der Geldwäscherichtlinie niemals nach nationalem Recht ermächtigt oder verpflichtet werden darf, sich um die Einholung von Informationen über die Kunden ihrer eigenen Kunden zu bemühen, um Geldwäsche oder Terrorismusfinanzierung zu verhindern. Auch dürfte die Richtlinie über personenbezogene Daten, insbesondere Art. 7, einer Verarbeitung personenbezogener Daten in einem solchen Fall nicht entgegenstehen.
127. Solche nationalen Regelungen müssen jedoch auch mit anderen unionsrechtlichen Verpflichtungen dieses Mitgliedstaats, insbesondere den Anforderungen der Richtlinie über personenbezogene Daten sowie Art. 8 und Art. 52 Abs. 1 der Charta, im Einklang stehen.

Note to myself: Asset deals und Datenschutz

Spät aber doch (ein Thema, welches in Österreich mW nicht immer die erforderliche Beachtung findet):
Das BayLDA hat kürzlich im Falle einer datenschutzrechtlich unzulässigen Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Zuge eines Asset Deals Geldbußen in fünfstelliger Höhe sowohl gegen das veräußernde als auch gegen das erwerbende Unternehmen festgesetzt. „Bei Asset Deals werden personenbezogene Kundendaten bisweilen unter Verstoß gegen das Datenschutzrecht veräußert. Um die Sensibilität der Unternehmen zu erhöhen, werden wir in auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden.“ so Thomas Kranig, Präsident des BayLDA.
Quelle: BayLDA (pdf)
Dazu in Österreich (ohne Anspruch auf Vollständigkeit): Appl, Datenschutzrechtliche Implikationen gesellschaftsrechtlicher Umstrukturierungsmaßnahmen, GeS 2008, 96; Uitz, Datenschutz bei Unternehmenskäufen, in Bauer/Reimer (Hrsg), Handbuch Datenschutzrecht (2009); Dürager, Datenschutz beim Unternehmenskauf - Welche datenschutzrechtlichen Grenzen im Rahmen eines Share Deal oder Asset Deal zu beachten sind, jusIT 2010, 209; Feltl/Mosing, Grundrecht auf Datenschutz bei Verschmelzung und Spaltung, GesRZ 2007, 233; im Vorfeld: Lang, Datenschutz bei Due-Diligence-Prüfungen, ASoK 2015, 42
Update: Fritz, Datenschutzrechtliche Implikationen des Vollzugs von Unternehmenstransaktionen, in Jahnel (Hrsg), Datenschutzrecht, Jahrbuch 2015 (2015) 119; Raith, Datenschutz im Due Diligence Verfahren, in Jahnel (Hrsg) Datenschutzrecht, Jahrbuch 2015, 153.

The EU-US data protection "Umbrella agreement" negotiations are finalised (updated: full text available)

The EU-US data protection "Umbrella Agreement" puts in place a comprehensive high-level data protection framework for EU-US law enforcement cooperation. The Agreement covers all personal data (for example names, addresses, criminal records) exchanged between the EU and the U.S. for the purpose of prevention, detection, investigation and prosecution of criminal offences, including terrorism.
Source: Questions and Answers on the EU-US data protection "Umbrella agreement"
Statement by EU Commissioner Věra Jourová on the finalisation of the EU-US negotiations on the data protection "Umbrella Agreement": ... I am also confident that we will be able to soon conclude our work on strengthening the Safe Harbour Arrangement for exchange of data for commercial purposes. We continue to work with determination with our US counterparts on the final details.
[Note: The opinion of Advocate General Bot in the Max Schrems case  C-362/14 will be delivered on 23 September]
Update 15.09.2015: Full text available (Source: Statewatch)