23.12.2015

Ö: Änderung der Datenschutzangemessenheits-Verordnung (DSAV-Novelle 2015)

Anpassung aufgrund des Safe Harbor-Urteils des EuGH:
449. Verordnung des Bundesministers für Kunst und Kultur, Verfassung und Medien, mit der die Datenschutzangemessenheits-Verordnung – DSAV geändert wird (DSAV-Novelle 2015), BGBl II 449/2015:
Auf Grund des § 12 Abs. 2 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 83/2013, in der Fassung der Kundmachung BGBl. I Nr. 132/2015, wird verordnet:
Die Datenschutzangemessenheits-Verordnung – DSAV, BGBl. II Nr. 521/1999, zuletzt geändert durch die Verordnung BGBl. II Nr. 213/2013, wird wie folgt geändert:
1. § 1 Abs. 2 Z 1 entfällt; die bisherigen Z 2 und 3 erhalten die Ziffernbezeichnungen „1." und „2.".

Bislang lautete § 1 Abs 2 Z 1 wie folgt:
Die Übermittlung und Überlassung von Daten aus Datenanwendungen an Empfänger in Drittstaaten bedarf dann keiner Genehmigung der Datenschutzbehörde, wenn die Übermittlung oder Überlassung in einen der folgenden Staaten entsprechend der angeführten Voraussetzungen erfolgt:
1. Vereinigte Staaten von Amerika, entsprechend der Entscheidung 2000/520/EG der Kommission gemäß der Richtlinie 95/46/EG über die Angemessenheit des von den Grundsätzen des „sicheren Hafens" und der diesbezüglichen „Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. Nr. L 215 vom 25.08.2000 S. 7, in der Fassung der Berichtigung ABl. Nr. L 115 vom 25.04.2001 S. 14, [...]

22.12.2015

In-depth analysis: The data protection regime in China

The data protection regime in China (pdf):
Abstract: This in-depth analysis was commissioned by the European Parliament's Policy Department for Citizens' Rights and Constitutional Affairs at the request of the LIBE Committee. One cannot talk of a proper data protection regime in China, at least not as it is perceived in the EU. The international data protection fundamentals that may be derived from all relevant regulatory instruments in force today, namely the personal data processing principles and the individual rights to information, access and rectification, are not unequivocally granted under Chinese law. An efficient enforcement mechanism, also required under European standards, is equally not provided for. China has no comprehensive data protection act but several relevant sectorial laws that, under a combined reading together with basic criminal and civil law provisions, may add up to a data protection 'cumulative effect'. This assertion is examined and assessed in the analysis that follows. A list of realistic policy recommendations has been drawn up in order to establish whether China's recent data protection effort is part of a persistent, yet concise, policy.

ENISA: Three studies on PbD, PETs and Cyber Security

  • ENISA, Privacy by design in big data: An overview of privacy enhancing technologies in the era of big data analytics (pdf): The extensive collection and further processing of personal information in the context of big data analytics has given rise to serious privacy concerns, especially relating to wide scale electronic surveillance, profiling, and disclosure of private data. In order to allow for all the benefits of analytics without invading individuals’ private sphere, it is of utmost importance to draw the limits of big data processing and integrate the appropriate data protection safeguards in the core of the analytics value chain. ENISA, with the current report, aims at supporting this approach, taking the position that, with respect to the underlying legal obligations, the challenges of technology (for big data) should be addressed by the opportunities of technology (for privacy).
  • ENISA, Online privacy tools for the general public - Towards a methodology for the evaluation of PETs for internet & mobile users (pdf); ENISA has published a study in the area of PETs for the protection of online privacy (online privacy tools) with two main objectives: a) to define the current level of information and guidance that is provided to the general public and b) to provide a proposal for an assessment model for online privacy tools that could bring more assurance in their use, supporting their wider adoption by internet and mobile users.                 
  • ENISA, Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches (pdf): This study aims to present the regulatory and non-regulatory approaches of EU Member States as well as EEA and EFTA countries to share information on cyber incidents, the different sector regulation challenges of managing cyber security issues, and their key practices in addressing them. The study identifies three types of approaches to share information on cyber security incidents: 1) traditional regulation; 2) alternative forms of regulation, such as self- and co-regulation; 3) other approaches to enable information sharing, such as information and education schemes.

16.12.2015

Gutachten zur zivilrechtlichen Verantwortlichkeit von Internet-Service Providern in BRD, USA, UK etc.

Schweizerisches Institut für Rechtsvergleichung, "Gutachten zur zivilrechtlichen Verantwortlichkeit von Internet-Service Providern in Deutschland, Frankreich, Dänemark, dem Vereinigten Königreich und den Vereinigten Staaten von Amerika" (pdf):
Die vorliegende Studie untersucht im Auftrag des Bundesamtes für Justiz die zivilrechtliche Verantwortlichkeit im weiteren Sinne (d.h. neben reparatorischen Ansprüchen wie Schadenersatz oder auch Publikation von Urteilen auch negatorische Ansprüche [Unterlassung] und Informationsansprüche der betroffenen Personen) von Plattformbetreibern und Internet-Providern. Die Studie soll zu Handen der interdepartementalen Arbeitsgruppe „Providerhaftung“ die Beurteilung der bestehenden Schweizer Regelungen im Hinblick auf eine allfällige Revision erleichtern. Dabei behandelt die Studie das europäische Recht sowie das deutsche, französische, englische, dänische und US-amerikanische Recht. [...]

Zum Hintergrund:
Das schweizerische Zivilrecht enthält keine spezifische Regelung der Verantwortlichkeit von Internetprovidern. Ein am Freitag vom Bundesrat verabschiedeter Bericht stellt nun fest, dass der geltende rechtliche Rahmen ausreicht, um die zivilrechtliche Verantwortlichkeit der Internetprovider zu erfassen. Der Bundesrat hält daher eine allgemeine gesetzliche Regelung im Bereich der Providerhaftung derzeit nicht für angebracht. [...]
Quelle: Pressemeldung Bundesrat; siehe auch den Bericht des Bundesrates (pdf)

General Data Protection Regulation - final compromise text (updated)

  • Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - final compromise text (pdf)
  • Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data - final compromise text (pdf)
Source: Statewatch
Update: See here (Parliament/LIBE) for "official" consolidated versions of the Regulation and the Directive.
Update 2: Consolidated version of the GDPR dated 28 January 2016: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [first reading] - Political agreement (pdf; No. 5455/16)
EP Press release 17.12.2015:
Press conference
On Monday 21 December at 14.00 there will be a joint press conference on the data protection package with Ms Marju Lauristin (S&D, EE), Mr Jan Philipp Albrecht (Greens/EFA, DE - rapporteur on the regulation), Commissioner Vera Jourová and justice minister Félix Braz for the Luxembourg Presidency of the Council.
Next steps
The informal agreement on the regulation will be voted by the full house in spring 2016 (probably March or April). After the entry into force of the regulation, member states will have two years to apply its provisions.

13.12.2015

Article: The role of anonymisation and pseudonymisation under the EU data privacy rules (and more)

Esayas S. Y., “The role of anonymisation and pseudonymisation under the EU data privacy rules: beyond the‘all or nothing’ approach”, in European Journal of Law and Technology, Vol 6, No 2, 2015.
Bessant C., “The application of Directive 95/46/EC and the Data Protection Act 1998 when an individual posts photographs of other individuals online”, in European Journal of Law and Technology, Vol 6, No 2, 2015.
More here: European Journal of Law and Technology (EJLT)

Aufsatz: Ausgewählte zivilprozessuale Besonderheiten im Anwendungsbereich des DSG 2000

Mag. Paulus Papst, Ausgewählte zivilprozessuale Besonderheiten im Anwendungsbereich des DSG 2000, AnwBl 2015, 583
Dieser Beitrag bietet einen Überblick über die zivilprozessualen Möglichkeiten im Zusammenhang mit datenschutzrechtlichen Verfahren

11.12.2015

OGH: Veröffentlichung höchstgerichtlicher Entscheidungen und Datenschutz

OGH 28.10.2015, 9 Ob 51/15p - ausreichende Anonymisierung durch "Namensverkürzung" auf die Initialen?
[...] 3. Die Veröffentlichung höchstgerichtlicher Entscheidungen liegt im öffentlichen Interesse: Einerseits erschließt sie dem Rechtssuchenden eine neben dem Gesetz bestehende Rechtsquelle, indem sie die Auslegung von Gesetzen durch die Rechtsprechung und damit das angewandte praktizierte Recht bekannt macht (Präjudizienfunktion). Andererseits ermöglicht die Publikation gerichtlicher Entscheidungen die Kenntnisnahme durch die Öffentlichkeit (Öffentlichkeitsprinzip) und wird so in Verbindung mit der Eröffnung von Diskussions- und Kritikmöglichkeit zu einem wesentlichen Faktor der Rechtsstaatlichkeit (s Felzmann/Danzl/Hopf, Oberster Gerichtshof², § 15 OGHG Anm 4; Hopf, Zugänglichkeit der Entscheidungen des Obersten Gerichtshofs, in FS Schneider 497 [499 ff]).
Die Veröffentlichung erfolgt auf gesetzlicher Grundlage: [...]
Gemäß § 15 Abs 4 OGHG sind in der Entscheidungsdokumentation Justiz Namen, Anschriften und erforderlichenfalls auch sonstige Orts- und Gebietsbezeichnungen, die Rückschlüsse auf die betreffende Rechtssache zulassen, durch Buchstaben, Ziffern oder Abkürzungen so zu anonymisieren, dass die Nachvollziehbarkeit der Entscheidung nicht verloren geht. Mit der Bestimmung soll einerseits sichergestellt werden, dass im Interesse des Personenschutzes der Parteien, Zeugen und „sonstigen Beteiligten“ eine entsprechende Anonymisierung der Entscheidungen zu erfolgen hat (RV 525 BlgNR 21. GP S 11), andererseits aber auch verhindert werden, dass das Textdokument wegen der Anonymisierung nicht mehr verständlich ist (Felzmann/Danzl/Hopf, Oberster Gerichtshof², § 15 OGHG Anm 7).
Die genannten Autoren vertreten, dass die Bestimmung, durch die eine ausreichende Unkenntlichmachung sichergestellt werden soll, im Standardfall eine Anonymisierung durch Reduktion des Familiennamens auf den Anfangsbuchstaben sowie Entfall der Berufsbezeichnung und der gesamten Anschrift der betroffenen Person erlaubt. Unter Umständen kann es notwendig sein, auch den Vornamen einer Person zu anonymisieren, insbesondere dann, wenn dieser eher selten oder im gegebenen Zusammenhang sonst auffällig ist. Im Einzelfall können aber auch noch weitergehende Schritte zur Anonymisierung erforderlich sein, wenn die Identität der Person sonst aus der Entscheidung hervorginge.
4. Im vorliegenden Fall ist danach zu prüfen, ob die Identität der Beschwerdeführerin durch die Reduktion ihres vollständigen Namens und ihrer Anschrift auf den im Rechtsinformationssystem des Bundes (RIS) ausgewiesenen Titel und die jeweils ersten Buchstaben des Vor- und des Nachnamens iSd § 15 Abs 4 OGHG ausreichend anonymisiert wurde. [...]
Da aber alleine mit der Anführung des Titels und der Initialen der Beschwerdeführerin ihre Identität noch nicht bestimmbar ist, wurde diese iSd § 15 Abs 4 OGHG ausreichend anonymisiert. Die Veröffentlichung der Rechtssache erfolgte damit in Entsprechung der in § 15 Abs 1 OGHG vorgesehenen Verpflichtung. Schutzwürdige Geheimhaltungsinteressen der Beschwerdeführerin an ihrem Titel und den Anfangsbuchstaben ihres Namens iSd § 1 Abs 1 DSG 2000 sind folglich zu verneinen. [...]

Proposed Directive on network and information security (NIS) across the EU

Note from Presidency to Council dated 8 Dec 2015: Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union - Presidency report on the state of play of trilogues (pdf)
[...] Notably concerning the timeline: Member States will transpose the Directive in their national legislation within 21 months and will carry out the identification of operators of essential services during additional 6 months.
5. The Presidency's aim is to present the agreed text for approval by the Permanent Representatives Committee (Coreper) on 18 December. This will be followed by the legallinguistic revision by quality advisors of both institutions early next year. To conclude the procedure, formal adoption by both the Council and the Parliament is required.
Source: Statewatch
European Commission - Press release: Commission welcomes agreement to make EU online environment more secure - Negotiators of the European Parliament, the Council and the Commission have agreed on the first EU-wide legislation on cybersecurity.

01.12.2015

GDPR: Consolidated Draft as of 27.11.2015

Note dated 27 November 2015 from Presidency to Permanent Representatives Committee, Preparation for trilogue - whole Regulation (14481/15, pdf):
In view of the meeting of the Committee of Permanent Representatives on 2 December 2015, delegations will find in Annex a consolidated version of the General Data Protection Regulation. [...]

Additional documents (inter alia covering administrative fines, data breaches, DPO) available from Statewatch here.