29.10.2015

VfGH: Gänzliches Verbot für Verwendung gentechnischer Analysen durch private Versicherer verfassungswidrig

VfGH 8.10.2015, G 20/2015-13, G 281/2015-8 (pdf):
I. 1. Die Wortfolgen "und Versicherern" und "oder Versicherungsnehmern oder Versicherungswerbern" in § 67 des Bundesgesetzes, mit dem Arbeiten mit gentechnisch veränderten Organismen, das Freisetzen und Inverkehrbringen von gentechnisch veränderten Organismen und die Anwendung von Genanalyse und Gentherapie am Menschen geregelt werden (Gentechnikgesetz – GTG), BGBl. Nr. 510/1994, idF BGBl. I Nr. 127/2005, sowie der letzte Satz in § 11a Abs. 1 des Bundesgesetzes vom 2. Dezember 1958 über den Versicherungsvertrag (Versicherungsvertragsgesetz – VersVG), BGBl. Nr. 2/1959, idF BGBl. I Nr. 34/2012, werden als verfassungswidrig aufgehoben.
2. Die Aufhebung tritt mit Ablauf des 31. Dezember 2016 in Kraft.
3. Frühere gesetzliche Bestimmungen treten nicht wieder in Kraft.
4. Der Bundeskanzler ist zur unverzüglichen Kundmachung dieser Aus-sprüche im Bundesgesetzblatt I verpflichtet.
II. Der Antrag des Verbands der Versicherungsunternehmen Österreichs wird zurückgewiesen. [...]

[...] Gegen die Zulässigkeit der Erhebung und Verwendung genetischer Analysen des Typs 1 (§ 65 Abs. 1 Z 1 GTG) durch den Versicherer kann auch nicht das Recht auf ("genetische") Privatsphäre (Art. 8 EMRK) oder das Recht auf Datenschutz (§ 1 DSG 2000) ins Treffen geführt werden. Zum Zeitpunkt, zu dem der Versicherungswerber/Versicherungsnehmer die genetische Analyse des Typs 1 (§ 65 Abs. 1 Z 1 GTG) durchführen lässt, ist ihm voraussetzungsgemäß die bestehende Krankheit bereits auf Grund einer "konventionellen" Untersuchung bekannt; der Versicherungswerber/Versicherungsnehmer ist nach § 16 VersVG verpflichtet, dem Versicherer diese ihm bereits bekannte Krankheit anzuzeigen (bzw. darf der Versicherer nach Maßgabe des § 11a VersVG diese personenbezogenen Gesundheitsdaten ermitteln und verwenden). Weiters lassen Ergebnisse von genetischen Analysen des Typs 1 keine Rückschlüsse auf die genetische Disposition Dritter zu.
Es ist daher nach Ansicht des Verfassungsgerichtshofes nicht zu erkennen, inwiefern die Verpflichtung des Versicherungswerbers zur Preisgabe der Ergebnisse einer genetischen Analyse des Typs 1 (iSd § 65 Abs. 1 Z 1 GTG) das verfassungsgesetzlich gewährleistete Recht auf Privatheit gemäß Art. 8 EMRK oder auf Datenschutz gemäß § 1 DSG 2000 verletzen könnte.
Die durch das ausnahmslose Verbot des § 67 GTG iVm § 11a VersVG bewirkte Ungleichbehandlung von Ergebnissen konventioneller Untersuchungen und von genetischen Analysen des Typs 1 iSd § 65 Abs. 1 Z 1 GTG ist somit sachlich nicht gerechtfertigt.
2.3.3. Da die angefochtenen Wortfolgen in § 67 GTG und der letzte Satz in § 11a Abs. 1 VersVG ein umfassendes, dh. undifferenziertes Verbot für jegliche Verwendung der Ergebnisse aus genetischen Analysen statuiert, verstoßen die angefochtenen Bestimmungen gegen den Gleichheitssatz. [...]

Update 09.01.2017: Änderung des Gentechnikgesetzes und des Versicherungsvertragsgesetzes, BGBl I 112/2016 vom 30.12.2016

VfGH: § 28 Abs 2 Datenschutzgesetz 2000 (Widerspruchsrecht) als verfassungswidrig aufgehoben (Docfinder.at)

VfGH 8.10.2015, G 264/2015
I. § 28 Abs. 2 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, idF BGBl. I Nr. 133/2009, wird als verfassungswidrig aufgehoben.
II. Die Aufhebung tritt mit Ablauf des 31. Dezember 2016 in Kraft.
III. Frühere gesetzliche Bestimmungen treten nicht wieder in Kraft.
IV. Der Bundeskanzler ist zur unverzüglichen Kundmachung dieser Aussprüche im Bundesgesetzblatt I verpflichtet.
Aus dem Erkenntnis:
2.1.4 [...] Mit der Ausübung des Widerspruchsrechts gemäß § 28 Abs. 2 DSG 2000 kann der Betroffene jede Art der fortgesetzten Zugänglichmachung von Information in einer öffentlichen Datenanwendung in Zusammenhang mit seiner Person unterbinden, ganz unabhängig davon, ob es sich dabei etwa um Angaben zur Person des Betroffenen, zu seinen Lebensumständen, seinem persönlichen Hintergrund oder seiner beruflichen Tätigkeit, oder ob es sich etwa um Fakten, um Tatsachenbehauptungen oder um Werturteile über den Betroffenen handelt. Damit ist etwa die Aufnahme in ein öffentlich zugängliches Telefon- oder Adressverzeichnis ebenso erfasst wie eine kritische Auseinandersetzung mit der Tätigkeit eines namentlich genannten Politikers auf einer Internetseite.
2.1.5. Die angefochtene Regelung des § 28 Abs. 2 DSG 2000, die dem von einer Aufnahme in eine öffentlich zugängliche Datenanwendung Betroffenen pauschal ein unbedingtes Widerspruchsrecht einräumt, ohne dass eine Abwägung der Interessen des Betroffenen einerseits und jener des Auftraggebers und der Öffentlichkeit andererseits stattfindet, erlaubt in den vom Medienprivileg des § 48 DSG 2000 nicht erfassten Konstellationen, in denen das Widerspruchsrecht gemäß § 28 Abs. 2 DSG 2000 ausgeübt werden kann, keine Berücksichtigung der Besonderheiten des Einzelfalls, die beispielsweise darin bestehen können, dass die in der Datenanwendung veröffentlichte Information von besonders großem Interesse für die Allgemeinheit ist, etwa auf Grund der Rolle, die die betroffene Person im öffentlichen Leben spielt. Eine solche Interessenabwägung ist jedoch auf Grund von Art. 10 EMRK verfassungsrechtlich geboten, um einen angemessenen Ausgleich zwischen den widerstreitenden, häufig auch grundrechtlich geschützten Interessen herzustellen [...] Der in § 28 Abs. 2 DSG 2000 normierte Eingriff in das Recht auf Meinungsäußerungs- und Informationsfreiheit ist daher unverhältnismäßig. [...]
Anmerkung: Siehe im Blog bereits hier und hier, meine dort getroffene Einschätzung hat sich bestätigt; siehe auch den Kurzbeitrag meines ehemaligen Chefs, Prof. Dr. Forgó hier (IRI-Blog, Uni Hannover).
UpdateBGBl I 132/2015, Kundmachung des Bundeskanzlers über die Aufhebung des § 28 Abs. 2 Datenschutzgesetz 2000 durch den Verfassungsgerichtshof
Update 2: Siehe auch die Besprechung der EGMR-Entscheidung Włodzimierz KUCHARCZYK betreffend ein Bewertungsportal von Lehofer, mit Anmerkung zum Außerkrafttreten des § 28 Abs 2 DSG 2000 iVm Art 11 GRC.
Update 3: Dt. Bundesgerichtshof konkretisiert Pflichten des Betreibers eines Ärztebewertungsportals (jameda.de), VI ZR 34/15, Urteil vom 1. März 2016, Pressemeldung
Update 4: OGH 27.06.2016, 6 Ob 48/16a - www.docfinder.at II (u.a.: Die gemäß § 27 Abs 1 ÄrzteG geführte Ärzteliste der Österreichischen Ärztekammer ist hinsichtlich der in dieser Gesetzesstelle genannten Daten öffentlich, also jedermann zugänglich und erfüllt damit die Funktion eines öffentlichen Registers, in dem jedermann jederzeit nachprüfen kann, wer zur Ausübung des ärztlichen Berufs und in welcher Form berechtigt ist. 
Mangelnder grundrechtlicher Schutz schließt nicht notwendigerweise den speziellen Schutz durch einfachgesetzliche Regelungen aus, was insbesondere im Zusammenhang mit § 28 DSG 2000 zu berücksichtigen ist. Nach § 8 Abs 2 DSG 2000 sind zulässigerweise veröffentlichte Daten keineswegs vom Anwendungsbereich der einfachgesetzlichen Regelungen des Datenschutzgesetzes 2000 ausgenommen. Bei allgemeiner Verfügbarkeit von Daten werden zwar schutzwürdige Geheimhaltungsinteressen nicht verletzt, die weiteren Voraussetzungen der (einfachgesetzlichen) Zulässigkeitsprüfung müssen aber sehr wohl erfüllt sein, wie etwa das Vorliegen der rechtlichen Befugnis des Auftraggebers (§ 7 Abs 1 DSG 2000), die Verhältnismäßigkeitsprüfung des § 7 Abs 3 DSG 2000 oder die Einhaltung der allgemeinen Grundsätze des § 6 DSG 2000.)

25.10.2015

Report: Privacy Bridges - Transatlantic Privacy Solutions (updated)

Report: Privacy Bridges - EU and US Privacy Experts in Search of Transatlantic Privacy Solutions (pdf):
Globalization and technological advances pose common challenges to providing a progressive, sustainable model for protecting privacy in the global Internet environment. Tensions between different legal systems such as the European Union and the United States result in loss of confidence on the part of users and confusions by commercial entities. The goal of this report is to identify practical steps to bridge gaps between the existing approaches to data privacy of the European Union (EU) and the United States (US), in a way that produces a high level of protection, furthering the interests of individuals and increasing certainty for commercial organizations. These "privacy bridges" are designed to advance strong privacy values in a manner that respects the substantive and procedural differences between the two jurisdictions. While our focus is privacy protection in the transatlantic region, we hope that some, if not most, of these privacy bridges may prove useful in other
regions as well. This report emerged from a series of in-person meetings and discussions among a group of independent EU and US experts in the field of privacy and data protection. This group was convened on the initiative of Jacob Kohnstamm, chairman of the Dutch Data Protection Authority, and jointly organized by the Massachusetts Institute of Technology Cybersecurity and Internet Policy Research Initiative, and the University of Amsterdam's Institute for Information Law. We present ten privacy bridges that will both foster stronger transatlantic collaboration and advance privacy protection for individuals.

Update: In a statement issued today [28 Oct 2015] at the International Data Protection and Privacy Conference, the organizations criticized a just-released “Bridges” report that primarily recommended a continuation of industry self-regulation to address privacy, which the organizations said was a “failed policy” and “remarkably out of touch with the current legal reality." The statement is available at here. (pdf)
Source: Privacy International

24.10.2015

NIST: Report "De-Identification of Personal Information"

NIST Report (author: Simson L. Garfinkel) entitled "De-Identification of Personal Information" (pdf), inter alia covering de-Identifying medical imagery, genetic information and biological materials

Abstract: De-identification removes identifying information from a dataset so that individual data cannot be linked with specific individuals. De-identification can reduce the privacy risk associated with collecting, processing, archiving, distributing or publishing information. De-identification thus attempts to balance the contradictory goals of using and sharing personal information while protecting privacy. Several U.S laws, regulations and policies specify that data should be de-identified prior to sharing. In recent years researchers have shown that some de-identified data can sometimes be re-identified. Many different kinds of information can be de-identified, including structured information, free format text, multimedia, and medical imagery. This document summarizes roughly two decades of de-identification research, discusses current practices, and presents opportunities for future research.
Another finding worth highlighting: "Currently, there is no scientific consensus on the minimum size of a genetic sequence necessary for re-identification. There is also no consensus on an appropriate mechanism to make deidentified genetic information available to researchers without the need to execute a data use agreement that would prohibit re-identification." 

16.10.2015

Art. 29 WP: Statement on the implementation of the CJEU's Safe Harbor judgement

Article 29 Data Protection Working Party - STATEMENT on the implementation of the judgement of the Court of Justice of the European Union of 6 October 2015 in the Maximilian Schrems v Data Protection Commissioner case (C-362/14; pdf):
[...] In the meantime, the Working Party will continue its analysis on the impact of the CJEU judgment on other transfer tools. During this period, data protection authorities consider that Standard Contractual Clauses and Binding Corporate Rules can still be used. In any case, this will not prevent data protection authorities to investigate particular cases, for instance on the basis of complaints, and to exercise their powers in order to protect individuals.
If by the end of January 2016, no appropriate solution is found with the US authorities and depending on the assessment of the transfer tools by the Working Party, EU data protection authorities are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions. [...]

14.10.2015

Study by Prof. Boehm: A comparison between US and EU data protection legislation for law enforcement purposes

Study by Prof. Dr. Franziska Boehm: "A comparison between US and EU data protection legislation for law enforcement purposes" (pdf)
Abstract
This study was commissioned by the European Parliament's Policy Department for Citizens' Rights and Constitutional Affairs at the request of the LIBE Committee. The study compares US and the EU legal frameworks on data protection in the field of law enforcement. It reviews US and EU principal legal sources of data protection legislation in the law enforcement and national security context and identifies rights available to individuals. The study further considers newly introduced or proposed US laws such as the USA FREEDOM Act and the Draft Judicial Redress Act and reviews its compatibility with EU data protection standards.

06.10.2015

Draft Data Protection Directive: Council will try to agree its negotiating position

JUSTICE and HOME AFFAIRS COUNCIL, Thursday 8 and Friday 9 October in Luxembourg
The Council will try to agree its negotiating position on the draft data protection directive [Proposal for a directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data - General Approach, which is intended to replace the 2008 data protection framework decision]. The draft directive establishes rules for the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. [...]
Source: Council background brief (pdf); Statewatch

CJEU: Commission’s US Safe Harbour Decision is invalid (updated)

CJEU 23.09.2015, C-362/14 (PDF; DE) - Maximillian Schrems v Data Protection Commissioner
[...] On those grounds, the Court (Grand Chamber) hereby rules:
  1. Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data as amended by Regulation (EC) No 1882/2003 of the European Parliament and of the Council of 29 September 2003, read in the light of Articles 7, 8 and 47 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that a decision adopted pursuant to that provision, such as Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46 on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce, by which the European Commission finds that a third country ensures an adequate level of protection, does not prevent a supervisory authority of a Member State, within the meaning of Article 28 of that directive as amended, from examining the claim of a person concerning the protection of his rights and freedoms in regard to the processing of personal data relating to him which has been transferred from a Member State to that third country when that person contends that the law and practices in force in the third country do not ensure an adequate level of protection.
  2. Decision 2000/520 is invalid.
From the CJEU's press release (pdf): This judgment has the consequence that the Irish supervisory authority is required to examine Mr Schrems’ complaint with all due diligence and, at the conclusion of its investigation, is to decide whether, pursuant to the directive, transfer of the data of Facebook’s European subscribers to the United States should be suspended on the ground that that country does not afford an adequate level of protection of personal data.

Ein Überblick über die Reaktionen (DE) hier bei Netzpolitik.
- Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Pressemeldung: [...] Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen. Es ist zu prüfen, ob und inwieweit Datentransfers in die USA auszusetzen sind. Dies gilt auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden. Die Aufsichtsbehörden werden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits muss die USA drängen, ein angemessenes Datenschutzniveau herzustellen. [...]

- Österr. Datenschutzbehörde: Zur Ungültigerklärung der Safe Harbor-Entscheidung der Europäischen Kommission durch den EuGH: [...] Die Europäische Kommission hat in ihrer offiziellen Stellungnahme zur Safe-Harbor-Entscheidung vom 6. Oktober 2015 unter anderem festgehalten, dass ein Transfer personenbezogener Daten in die USA auch in Zukunft auf Mechanismen wie Standardvertragsklauseln (2001/497/EG, 2004/915/EG oder 2010/87/EG) und Binding Corporate Rules (Verbindliche unternehmensinterne Vorschriften) gestützt werden kann. Die Datenschutzbehörde behält sich (diesbezüglich) im Rahmen des Genehmigungsverfahrens aber die Beurteilung des im Empfängerstaat geltenden angemessenen Datenschutzniveaus gemäß § 13 Abs. 2 DSG 2000 im Einzelfall vor. [...]

- Article 29 Working Party, The Court of Justice of the European Union invalidates the EU Commission Safe Harbor Decision, press release (pdf)

- From the Speaking points of First Vice-President Timmermans and Commissioner Jourová First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems)
[...] Now, you'll ask me how data flows can continue without the Safe Harbour in the meantime.
The EU data protection rules provide for several other mechanisms that provide safeguards for international transfers of personal data, for instance through standard data protection clauses in contracts between companies exchanging data across the Atlantic or binding corporate rules for transfers within a corporate group.
Also the Data protection rules include derogations under which data can be transferred on the basis of:
  • performance of a contract [e.g. If you book a hotel in the U.S., my personal data are transferred there in order to fulfil the contract];
  • Important public interest grounds [e.g. cooperation between authorities in the fight against fraud, cartels, etc.];
  • The vital interest of the data subject [e.g. it means in urgent life or death situations, personal data such as medical records can be transferred internationally in the person's own interest]; or
  • Or if there is no other ground, the free and informed consent of the individual. [...]
- Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 (pdf)

02.10.2015

Art. 29 WP: Comments in response to W3C's public consultation on "Tracking Compliance and Scope"

Article 29 Data Protection Working Party comments in response to W3C's public consultation on the W3C Last Call Working Draft, 14 July 2015, Tracking Compliance and Scope, 1 October 2015 (pdf):

[...] In conclusion, we feel that whilst an individual data controller could demonstrate compliance with the EU legal framework through a bespoke interpretation of a DNT signal, the aforementioned gaps between the DNT compliance level and what is required by the EU legal framework undermine the usefulness of the standard in a broad European context. The Draft DNT Compliance Specification would fall short of the expectations of EU regulators, data controllers, and users for a granular solution for expressing valid consent through browser settings that would be compliant with the EU legal framework. [...]

CJEU: data transfers between public administrative bodies

CJEU 1.10.2015, C‑201/14 - Bara (press release here [pdf]: Persons whose personal data are subject to transfer and processing between two public administrative bodies must be informed in advance):
[...] On those grounds, the Court (Third Chamber) hereby rules:
Articles 10, 11 and 13 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, on the protection of individuals with regard to the processing of personal data and on the free movement of such data, must be interpreted as precluding national measures, such as those at issue in the main proceedings, which allow a public administrative body of a Member State to transfer personal data to another public administrative body and their subsequent processing, without the data subjects having been informed of that transfer or processing.

CJEU: Applicable law and scope of territorial powers of DPA

CJEU 1.10.2015, C‑230/14 - Weltimmo (press release here: [pdf]: Data protection legislation of a Member State may be applied to a foreign company which exercises in that State, through stable arrangements, a real and effective activity):
[...] On those grounds, the Court (Third Chamber) hereby rules:
1. Article 4(1)(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as permitting the application of the law on the protection of personal data of a Member State other than the Member State in which the controller with respect to the processing of those data is registered, in so far as that controller exercises, through stable arrangements in the territory of that Member State, a real and effective activity — even a minimal one — in the context of which that processing is carried out.
In order to ascertain, in circumstances such as those at issue in the main proceedings, whether that is the case, the referring court may, in particular, take account of the fact (i) that the activity of the controller in respect of that processing, in the context of which that processing takes place, consists of the running of property dealing websites concerning properties situated in the territory of that Member State and written in that Member State's language and that it is, as a consequence, mainly or entirely directed at that Member State, and (ii) that that controller has a representative in that Member State, who is responsible for recovering the debts resulting from that activity and for representing the controller in the administrative and judicial proceedings relating to the processing of the data concerned.
By contrast, the issue of the nationality of the persons concerned by such data processing is irrelevant.
2. Where the supervisory authority of a Member State, to which complaints have been submitted in accordance with Article 28(4) of Directive 95/46, reaches the conclusion that the law applicable to the processing of the personal data concerned is not the law of that Member State, but the law of another Member State, Article 28(1), (3) and (6) of that directive must be interpreted as meaning that that supervisory authority will be able to exercise the effective powers of intervention conferred on it in accordance with Article 28(3) of that directive only within the territory of its own Member State. Accordingly, it cannot impose penalties on the basis of the law of that Member State on the controller with respect to the processing of those data who is not established in that territory, but should, in accordance with Article 28(6) of that directive, request the supervisory authority within the Member State whose law is applicable to act.
3. Directive 95/46 must be interpreted as meaning that the term 'adatfeldolgozás' (technical manipulation of data), used in the Hungarian version of that directive, in particular in Articles 4(1)(a) and 28(6) thereof, must be understood as having the same meaning as that of the term 'adatkezelés' (data processing).