28.12.2016

FDA releases final guidance on Cybersecurity in Medical Devices

Postmarket Management of Cybersecurity in Medical Devices (pdf), Guidance for Industry and Food and Drug  Administration Staff Document issued on  December 28,  2016, corresponding blog post

21.12.2016

DSGVO: Berichtigung der deutschen Sprachfassung im Amtsblatt

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, L 314/72 vom 22.11.2016 (pdf hier):

Seite 50, Artikel 28 Absatz 7
Anstatt:
„(7)   Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.“
muss es heißen:
„(7)   Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.“
Seite 51, Artikel 30 Absatz 5
Anstatt:
„(5)   Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.“
muss es heißen:
„(5)   Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“
Seite 52 Artikel 33 Absatz 1
Anstatt:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, …“
muss es heißen:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, …“

OGH zur Kreditwürdigkeitsprüfung ("Bonitätsprüfung") durch Kreditgeber gem. § 7 Abs 1 und 2 VKrG

OGH 25.11.2016, 8 Ob 76/16h
[...] 2. Nach § 7 Abs 1 und 2 VKrG hat der Kreditgeber vor Abschluss des Kreditvertrags die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen zu prüfen, die er – soweit erforderlich – vom Verbraucher verlangt; erforderlichenfalls hat er auch Auskünfte aus einer zur Verfügung stehenden Datenbank einzuholen. Wenn diese Prüfung erhebliche Zweifel an der Fähigkeit des Verbrauchers ergibt, seine Pflichten aus dem Kreditvertrag vollständig zu erfüllen, hat der Kreditgeber den Verbraucher auf diese Bedenken gegen dessen Kreditwürdigkeit hinzuweisen.
Die Warnpflicht soll den Schutz des Verbrauchers vor verantwortungsloser Kreditaufnahme erhöhen, ohne ihn jedoch diesbezüglich zu bevormunden (ua Dehn in Apathy/Iro/Koziol, Österreichisches Bankvertragsrecht IV² Rz 2/51; Heinrich, Anforderungen an die Kreditwürdigkeitsprüfung im Verbraucherrecht, JBl 2014, 363; Leupold/Ramharter, Die Verletzung der Pflicht zur Warnung vor mangelnder Kreditwürdigkeit nach dem VKrG, ÖBA 2011, 469 [475]).
Den Kreditgeber trifft nach den Maßstäben eines sorgfältigen Vertreters seiner Branche nach § 7 Abs 1 VKrG zwar eine aktive Nachforschungspflicht, deren konkretes Ausmaß aber in jedem Fall von den konkreten Umständen des Einzelfalls abhängig ist (ua Heinrich in Schwimann/Kodek, ABGB4 Va § 7 VKrG Rz 14 mwN; EuGH 18. 12. 2014 Rs C-449/13, CA Consumer Finance [Rz 39]). [...]

EuGH: MS dürfen Betreibern keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen

EuGH 21.12.2016, Urteil in den verb Rs C-203/15, Tele2 Sverige AB / Post- och telestyrelsen, und C-698/15, Secretary of State for the Home Department / Tom Watson u.a.

Aus der EuGH-Pressemeldung (pdf; EN):
Die Mitgliedstaaten dürfen den Betreibern elektronischer Kommunikationsdienste keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen (The Members States may not impose a general obligation to retain data on providers of electronic communications services)
Das Unionsrecht untersagt eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. Es steht den Mitgliedstaaten aber frei, vorbeugend eine gezielte Vorratsspeicherung dieser Daten zum alleinigen Zweck der Bekämpfung schwerer Straftaten vorzusehen, sofern eine solche Speicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Speicherung auf das absolut Notwendige beschränkt ist. Der Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten muss von Voraussetzungen abhängig gemacht werden, zu denen insbesondere eine vorherige Kontrolle durch eine unabhängige Stelle und die Vorratsspeicherung der Daten im Gebiet der Union gehören

Aus dem Urteil:
On those grounds, the Court (Grand Chamber) hereby rules:
1. Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter of Fundamental Rights of the European Union, must be interpreted as precluding national legislation which, for the purpose of fighting crime, provides for general and indiscriminate retention of all traffic and location data of all subscribers and registered users relating to all means of electronic communication.
2. Article 15(1) of Directive 2002/58, as amended by Directive 2009/136, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter of Fundamental Rights, must be interpreted as precluding national legislation governing the protection and security of traffic and location data and, in particular, access of the competent national authorities to the retained data, where the objective pursued by that access, in the context of fighting crime, is not restricted solely to fighting serious crime, where access is not subject to prior review by a court or an independent administrative authority, and where there is no requirement that the data concerned should be retained within the European Union.
3. The second question referred by the Court of Appeal (England & Wales) (Civil Division) is inadmissible.

Passend dazu: Datenschutzrat verlangt von Justizministerium Gesamtübersicht über Vorratsdatennutzung

19.12.2016

European Supervisory Authorities: Discussion Paper on the Use of Big Data by Financial Institutions

Joint Committee Discussion Paper on the Use of Big Data by Financial Institutions (pdf)
[...] The ESAs have assessed potential benefits and risks linked to the use of Big Data by financial institutions, with a view to determining at a later stage which, if any, regulatory and/or supervisory actions may be needed to mitigate the risks while at the same time harnessing the potential benefits. The ESAs are issuing this Discussion Paper in order to receive feedback from stakeholders on this preliminary high-level assessment. [...]
EBA, EIOPA, and ESMA (the ESAs) welcome comments on this Discussion Paper on the Use of Big Data by Financial Institutions and in particular on the specific questions set out herein. 
Source: ESMA

EU Commission amends Decisions on standard contractual clauses and adequacy decisions

In the light of  CJEU Case C-362/14 Maximillian Schrems v Data Protection Commissioner, the EU Commission amends Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU and 2011/61/EU and Implementing Decisions 2012/484/EU and 2013/65/EU as well as Decisions 2001/497/EC and 2010/87/EU:
  • COMMISSION IMPLEMENTING DECISION (EU) 2016/2297 of 16 December 2016 amending Decisions 2001/497/EC and 2010/87/EU on standard contractual clauses for the transfer of personal data to third countries and to processors established in such countries, under Directive 95/46/EC of the European Parliament and of the Council
  • COMMISSION IMPLEMENTING DECISION (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council

Art. 29 WP: Opinion on amendment proposals in Standard Contractual Clauses and adequacy decisions

Article 29 Working party, Opinion 04/2016 on European Commission amendments proposals related to the powers of Data Protection Authorities in Standard Contractual Clauses and adequacy decisions (WP 241)

EU: Study on Big Data in Public Health, Telemedicine and Healthcare (incl. policy recommendations)

A Study on Big Data in Public Health, Telemedicine and Healthcare (pdf; written by Gesundheit Österreich Forschungs- und Planungs GmbH), financed by the Commission's Health Programme, has been published today.
It identifies examples of the use of Big Data in Health, and puts forward recommendations covering 10 relevant fields: awareness raising, education and training, data sources, open data and data sharing, applications and purposes, data analysis, governance of data access and use, standards, funding and financial resources, and legal and privacy aspects. [...]
Source: European Commission press release

ENISA: Report on Smart Hospitals and Smart Health Services/Infrastructures

ENISASmart Hospitals - Security and Resilience for Smart Health Service and Infrastructures (pdf)
This study proposes key recommendations for hospital information security executives and industry to enhance the level of information security in Smart Hospitals. Through the identification of assets and the related threats when IoT components are supporting a healthcare organisation the report described the Smart Hospital ecosystem and its specific objectives. Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, this document identifies mitigation techniques and good practices. [...]
Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, the study proposes key recommendations primarily for hospital executives. Namely hospitals should:
  • Establish effective enterprise governance for cyber security
  • Implement state-of-the-art security measures
  • Provide specific IT security requirements for IoT components in the hospital
  • Invest in NIS products
  • Establish an information security sharing mechanism
  • Conduct risk assessment and vulnerability assessment
  • Perform penetration testing and auditing
  • Support multi-stakeholder communication platforms (ISACs)
The study also makes recommendations for industry representatives in order to enhance the level of information security in smart hospitals. Namely industry players should:
  • Incorporate security into existing quality assurance systems
  • Involve third parties (healthcare organisations) in testing activities
  • Consider applying medical device regulation to critical infrastructure components
  • Support the adaptation of information security standards to healthcare [...]


Source: ENISA

17.12.2016

Report on Health Wearable Devices in the Big Data Era

The report, Health Wearable Devices in the Big Data Era: Ensuring Privacy, Security, and Consumer Protection, provides an overview and analysis of the major features, key players, and trends that are shaping the new consumer-wearable and connected-health marketplace.
Source: Center for Digital Democracy

15.12.2016

Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability)

From the press release:
Consistent with its 2016 Action Plan decided in February 2016, the WP29 adopted during the December plenary:
To complement  this, the WP29 welcomes any additional comments that  stakeholders may have on the adopted guidelines until the end of January  2017. The comments on guidelines can be sent  to the following addresses: JUST-ARTICLE29WP-SEC@ec.europa.eu and presidenceg29@cnil.fr.
Finally, the guidelines on Data Protection Impact Assessments and Certification will be ready in 2017.
Source: Article 29 WP

14.12.2016

Leak: draft EU Commission communication on the Data Economy

Leak: draft EU Commission communication on the Data Economy (free data flows, ownership, liability etc):
http://www.euractiv.com/wp-content/uploads/sites/2/2016/12/data-communication.pdf (pdf; source: Euractiv)

OGH: Verbreitung herabsetzender Äußerungen Dritter mittels Facebook

OGH 24.10.2016, 6 Ob 52/16i
Verbreitet jemand eine herabsetzende Äußerung eines Dritten gegenüber einem Politiker/einer Politikerin (hier über seine Facebookseite) und bringt er seine Zustimmung dazu zum Ausdruck, so ist er für diese Äußerung auch selbst verantwortlich. Mangels Tatsachensubstrats scheidet auch eine Satire aus.
Quelle: Pressemeldung OGH

13.12.2016

BayLDA: Der One Stop Shop in der DSGVO

Kurz-Papier "Der One Stop Shop" (pdf):
Die DS-GVO führt das Konzept des One Stop Shop [OSS] ein, wenn es um sog. grenzüberschreitende Verarbeitung personenbezogener Daten geht. Das bedeutet: Bei grenzüberschreitender Verarbeitung ist die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Für Unternehmen hat das den Vorteil, dass sie wegen ein und derselben Verarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen.
Quelle: BayLDA

12.12.2016

Leaked draft ePrivacy Regulation

Leaked draft ePrivacy Regulation (pdf), Source: Politico

EuGH: Inkassobüro kann als "Kreditvermittler" iSd Art 3 lit f VerbraucherkrediteRL einzustufen sein

EuGH 08.12.2016, C-127/15 - VKI/Inko, mehr dazu beim VKI.
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
1.      Art. 2 Abs. 2 Buchst. j der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates ist dahin auszulegen, dass eine Vereinbarung über einen neuen Tilgungsplan, die über ein Inkassobüro zwischen einem Kreditgeber und einem säumigen Verbraucher geschlossen wird, nicht „unentgeltlich“ im Sinne dieser Bestimmung ist, wenn sich der Verbraucher darin verpflichtet, den Gesamtbetrag des Kredits zu zahlen sowie Zinsen und Kosten, die im ursprünglichen Vertrag über die Gewährung des Kredits nicht vorgesehen waren.
2.      Art. 3 Buchst. f und Art. 7 der Richtlinie 2008/48 sind dahin auszulegen, dass ein Inkassobüro, das für einen nicht getilgten Kredit im Namen des Kreditgebers einen neuen Tilgungsplan vereinbart, aber nur in untergeordneter Funktion als Kreditvermittler beteiligt ist, was zu prüfen Sache des vorlegenden Gerichts ist, als „Kreditvermittler“ im Sinne von Art. 3 Buchst. f anzusehen ist und nicht der in den Art. 5 und 6 der Richtlinie aufgestellten Verpflichtung unterliegt, dem Verbraucher vorvertragliche Informationen zu erteilen. 

BRD: Dt. Anwaltverein - Stellungnahme zur Frage des „Eigentums“ an Daten und Informationen

Stellungnahme (Nr. 75/2016) des Deutschen Anwaltvereins vom 25.11.2016 durch den Ausschuss Informationsrecht zur Frage des „Eigentums“ an Daten und Informationen (pdf)
Der DAV befasst sich mit der Frage des „Eigentums“ an Daten und Informationen, gibt einen Überblick zur in Deutschland geltenden Rechtslage und warnt vor übereilter Gesetzgebung auf europäischer Ebene.
Quelle: Newsroom DAV

Weitere aktuelle Stellungnahmen: SN 81/16: Datenschutz und Mandatsgeheimnis; SN 84/16: Datenschutz-Anpassungs- und -Umsetzungsgesetz

07.12.2016

UNESCO: “Privacy, free expression and transparency: redefining their new boundaries in the digital age”

This publication [pdf] examines the crucial challenges of balancing the fundamental rights of privacy and freedom of expression, and the related value of transparency, in an online context. It was commissioned following UNESCO’s new approach to Internet issues as set out in the Connecting the Dots Outcome Document adopted by UNESCO’s 195 Member States in November 2015. [...] The study was commissioned by UNESCO and authored by Joseph Cannataci, Bo Zhao, Gemma Torres Vives, Shara Monteleone, Jeanne Mifsud Bonnici and Evgeni Moyakine, from the STeP (Security, Technology and e-Privacy) – Research Group in the University of Groningen. UNESCO thanks the financial support of the Ministry of Foreign Affairs of the Netherlands. [...] 

DSG 2000: OGH u.a. zum Gebot des gelindesten Mittels, Datenübermittlung u. berechtigte Interessen

OGH 27.06.2016, 6 Ob 191/15dAuszüge und Rechtssätze:
Der erkennende Senat hält die in der Entscheidung 6 Ob 148/00h zwischen dem Recht auf Geheimhaltung (§ 1 Abs 1 DSG 2000) und dem Recht auf Auskunft, Richtigstellung und Löschung (§ 1 Abs 3 DSG 2000) nicht differenzierende Auffassung im Hinblick auf den Wortlaut des § 1 Abs 1 und 3 DSG 2000 nicht aufrecht. Spricht doch Absatz 1 allgemein von „Daten“ und Absatz 3 aber von Daten, die zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh ohne Automationsunterstützung geführten „Dateien“ bestimmt sind. Die Entscheidung 6 Ob 148/00h stützt sich vor allem auf eine Interpretation der Datenschutzrichtlinie (RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Diese Richtlinie verbietet es indes den Mitgliedstaaten nicht, einen bereits bestehenden, über den Anwendungsbereich der Datenschutzrichtlinie hinausgehenden Rechtsschutz zu gewähren (vgl Rosenmayr-Klemenz, Zum Schutz manuell verarbeiteter Daten durch das DSG 2000, ecolex 2001, 639). Das schon nach dem DSG 1978 unabhängig von der Art der Verarbeitung der Daten gewährte Recht auf Geheimhaltung (vgl VfSlg 12.194/1989) wurde durch das DSG 2000 nicht geändert (Rosenmayr-Klemenz aaO).
Das Recht auf Geheimhaltung gemäß § 1 Abs 1 DSG 2000 beschränkt sich nicht auf personenbezogene Daten, die in einer Datei aufscheinen.
--
Beschränkungen des Grundrechts auf Datenschutz durch private Auftraggeber bedürfen keiner ausdrücklichen gesetzlichen Grundlage. Als Voraussetzung für die Zulässigkeit des Eingriffs in das Grundrecht auf Datenschutz, der nicht von einer staatlichen Behörde im Rahmen ihrer hoheitlichen Befugnisse erfolgt, kann auch nur eine Abwägung zwischen den „berechtigten“ Interessen des Eingreifenden und dem Geheimhaltungsinteresse des Betroffenen im Einzelfall durchzuführen sein, wobei die Interessen des Eingreifenden überwiegen müssen. „Berechtigte“ Interessen sind von der Rechtsordnung anerkannte Interessen. Dies setzt voraus, dass die Datenverwendung rechtlich angeordnet oder anerkannt ist, eine (verfassungs‑, einfachgesetzliche oder auf vertraglicher Vereinbarung beruhende) rechtliche Basis aufweisen kann oder für die Durchsetzung von Rechtspositionen erforderlich ist. Innerhalb dieses Rahmens kommen auch wirtschaftliche Interessen in Betracht.
--
§ 7 Abs 2 Z 2 DSG verpflichtet den Empfänger vor der Übermittlung im Hinblick auf den (rechtmäßigen) Zweck der Übermittlung, wenn dies nicht außer Zweifel steht, glaubhaft zu machen, dass er tatsächlich selbst die gesetzliche Zuständigkeit oder rechtliche Befugnis besitzt. Der Empfänger hat seine rechtliche Befugnis initiativ glaubhaft zu machen. Die Beurteilung, ob die Glaubhaftmachung gelungen ist oder ob keine Zweifel vorliegen, obliegt dem Übermittler. Daneben muss jedoch auch die Übermittlung von Daten aus eigenem Antrieb des Übermittlers zu einem rechtmäßigen Zweck an einen Empfänger zulässig sein, der tatsächlich über die gesetzliche Zuständigkeit oder rechtliche Befugnis verfügt. Entscheidend ist nicht, ob der Übermittler vor der Übermittlung Zweifel an der Zuständigkeit oder Befugnis des Empfängers hatte oder haben musste, sondern dass die Übermittlung an einen im Hinblick auf den Übermittlungszweck tatsächlich befugten Empfänger erfolgt.
Beisatz: Bei einem Unterlassungsanspruch nach § 32 Abs 2 DSG trifft nach allgemeinen Regeln grundsätzlich den Kläger die Beweislast, dass der Beklagte eine Übermittlung an im Hinblick auf den Übermittlungszweck rechtlich nicht befugte Empfänger vorgenommen hat. Der Kläger kann gemäß § 26 Abs 1 DSG vom Beklagten auch Auskunft über die Empfänger der Übermittlung verlangen.
--
Das Gebot des gelindesten Mittels ist nicht als grundsätzliches Abwehrrecht des Betroffenen gegen die Verwendung von EDV‑Systemen durch Dritte zu verstehen. Personenbezogene Daten dürfen bei Vorliegen eines legitimen Verwendungszwecks, bei Nichtverletzung schutzwürdiger Geheimhaltungsinteressen und bei Achtung der Verhältnismäßigkeit stets in jenem Ausmaß verwendet werden, der zur Verfolgung dieses Ziels erforderlich ist. Es ist nicht zu prüfen, ob der Verwendungszweck durch konventionelle Maßnahmen des Auftraggebers (also ohne automationsunterstützte Datenverarbeitungssysteme) erreicht werden könnte.

EuGH: Empfehlungen an die nationalen Gerichte bezüglich der Vorlage von Vorabentscheidungsersuchen

Empfehlungen an die nationalen Gerichte bezüglich der Vorlage von Vorabentscheidungsersuchen (ABl 2016/C 439/01); Recommendations to national courts and tribunals, in relation to the initiation of preliminary ruling proceedings

Study: Cyber Security Strategy for the (EU) Energy Sector

Cyber Security Strategy for the Energy Sector
Summary: This study is provided by the Policy Directorate at the request of the ITRE Committee. The EU energy infrastructure is transitioning into a decentralised, digitalised smart energy system. Already, energy operations are increasingly becoming the target of cyber-attacks with potentially catastrophic consequences. Development of energy specific cyber security solutions and defensive practices are therefore essential. Urgent action is required, including empowering a coordination body, to promote sharing of incident information, development of best practice and relevant standards. (pdf; PE 587.333)
Authors : David Healey (Analysys Mason Limited), Sacha Meckler (nalysys Mason Ltd.), Usen Antia (nalysys Mason Ltd.) and Edward Cottle (nalysys Mason Ltd.)

CIPL: White Paper on the One-Stop-Shop (GDPR)

"The One-Stop-Shop and the Lead DPA as Co-operation Mechanisms in the GDPR", CIPL GDPR Interpretation and Implementation Project, November 2016 (pdf)
This paper is produced by the Centre for Information Policy Leadership at Hunton & Williams LLP (“CIPL”) as part of its project (“CIPL GDPR Project”) on the consistent interpretation and implementation of the GDPR.
Source: Press release

BRD: Rechtsgutachten zur Kontrolle der Daten bei vernetzten und automatisierten Pkw

Rechtsgutachten von Baum, Reiter & Collegen im Auftrag des vzbv (Langfassung; pdf):
[...] Im vorliegenden Rechtsgutachten wird im Auftrag des vzbv untersucht, wie der Anspruch von Verbrauchern auf Datensouveränität und Kontrolle der eingesetzten Software und Programmierungen im Auto durch Rechtsanpassungen und Gesetzesinitiativen durchgesetzt werden kann. Ebenso wird geprüft, durch welche gesetzgeberischen Maßnahmen die Einhaltung von Datenschutz und –sicherheit in den Rechtsgrundlagen für die Zulassungsverfahren und für die technische Prüfung von Pkw sichergestellt werden kann. Darüber hinaus ist Gegenstand des Gutachtens die Frage, wie die während der Fahrt generierten personenbezogenen Daten gegenüber Dritten geschützt werden können und die Vorgaben der Datenschutz-Grundverordnung umzusetzen sind. [...]
Quelle: Verbraucherzentrale Bundesverbands (vzbv), Pressemeldung

05.12.2016

Deutsche Datenschutzaufsichtsbehörden prüften Wearables

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen. […] Im Rahmen der Zuständigkeit werden die Datenschutzaufsichtsbehörden nun an die Hersteller herantreten und diese dazu auffordern, die Mängel zu beseitigen.
Quellen: Pressemitteilungen der Datenschutzaufsichtsbehörden aus Bayern, Brandenburg, Hessen, Niedersachsen, Schleswig-Holstein und Nordrhein-Westfalen sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 05.12.2016

FTC: Putting [Privacy et al.] Disclosures to the Test

FTC, Putting Disclosures to the Test

30.11.2016

The General Data Protection Regulation - A survival guide

Note to myself: Linklaters, The General Data Protection Regulation - A survival guide (pdf):
"This guide sets out the key changes under the Regulation, as well as providing a “to do”
list and answers to many of the questions we have received from our clients about it."

23.11.2016

BRD: 2. Fassung d. "Datenschutz-Anpassungs- u. -UmsetzungsG" (RefE)

Referentenentwurf des Bundesministeriums des Innern vom 23.11.2016 - Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
Siehe auch die kritische Stellungnahme der Deutsche Vereinigung für Datenschutz e.V.; siehe auch beim BvD e.V.; Heise

CIPL Issues White Paper on the DPO’s Role under the GDPR

On November 17, 2016, the Centre for Information Policy Leadership (“CIPL”) at Hunton & Williams LLP issued a white paper on "Ensuring the Effectiveness and Strategic Role of the Data Protection Officer under the General Data Protection Regulation" (CIPL GDPR Interpretation and Implementation Project November 2016) (pdf):
Excerpt from the Executive Summary: [...] This CIPL paper on “Ensuring the Effectiveness and Strategic Role of the Data Protection Officer under the General Data Protection Regulation” examines the requirements for the appointment of a DPO and the nature, function and scope of the DPO role under the GDPR. The GDPR outlines key parameters and requirements for the DPO role, underscoring its significance in a wider data privacy accountability context. However, there are some areas that may present challenges for organisations, or require clarification, interpretation and guidance to ensure an effective implementation of the DPO role. This paper examines these areas and makes suggestions regarding implementation and interpretation as well as further guidance by the WP29. An overarching goal of the recommendations in this paper is to encourage a flexible interpretation of the DPO requirements to make them work for large multinational organisations, as well as SMEs, start-ups, NGOs and public authorities. [...]
Source: Press release

Österreich: Datenschutzrat verweist bereits jetzt auf DSGVO (Datenschutz-Folgenabschätzung)

Man beachte das neue Design des Webauftritts, hier geht es zur Pressemeldung:
[...] Neuerdings verweist der Datenschutzrat in seinen Stellungnahmen auf die neue EU-Datenschutz-Grundverordnung. Mit dieser neuen Verordnung wird ab Mai 2018 die derzeit geltende Form der Meldepflicht an das Datenverarbeitungsregister entfallen und an deren Stelle die Datenschutz-Folgenabschätzung eingeführt. "In diesem Sinne wird angeregt, bei kommenden Vorhaben schon jetzt zu prüfen, ob im Rahmen der allgemeinen Folgenabschätzungen die Datenschutz-Folgenabschätzung vorweg genommen werden kann", betont Maier. "Nachdem die künftige Regelung auch schon derzeit betriebene Datenanwendungen betreffen kann, wird angeraten, auch diese Datenanwendungen einer entsprechenden Prüfung zu unterziehen."
Von einer Datenschutz-Folgenabschätzung sind nicht nur der Bund, sondern auch Gebietskörperschaften wie Bundesländer, Städte und Gemeinden betroffen, sofern sie Datenanwendungen im eigenen Wirkungsbereich geregelt haben, so der Vorsitzende des Datenschutzrates abschließend.

OGH: Eindringen in fremde IT-Systeme verstößt gegen UWG

OGH 25.10.2016, 4 Ob 165/16t
Die Klägerin und die Beklagte erzeugen und vertreiben Ticket- und Eintrittssysteme für Skigebiete, Stadien und ähnliche Einrichtungen. Die Klägerin speichert die bei der Nutzung dieser Systeme gewonnenen Daten für ihre Kunden auf eigenen Servern ab; die Kunden können dann über das Internet mit Benutzername und Passwort darauf zugreifen. Ein Mitarbeiter der Beklagten entdeckte eine Sicherheitslücke im System der Klägerin und verschaffte sich Zugang zu den Daten. Er stellte Ausdrucke her und verwendete sie im Gespräch mit potentiellen Kunden als Beleg für Sicherheitsmängel bei der Klägerin.
Der Oberste Gerichtshof bestätigte eine Einstweilige Verfügung, mit der die Vorinstanzen der Beklagten die Nutzung dieser Daten untersagt hatten. Es handle sich dabei (auch) um Geschäftsgeheimnisse der Klägerin, zu denen sich die Beklagte rechtswidrig Zugang verschafft habe. Die Verwendung der Daten verstoße daher gegen § 11 UWG. Dass eine Sicherheitslücke vorgelegen sei, ändere nichts daran, dass die Daten erkennbar nicht für die Allgemeinheit bestimmt gewesen seien. Da die Einstweilige Verfügung schon aus diesem Grund zu Recht bestand, war nicht mehr zu prüfen, ob die Vorgangsweise der Beklagten auch gegen das Datenschutzgesetz oder andere Bestimmungen des UWG verstoßen hatte.
Quelle: Pressemeldung OGH

16.11.2016

GDD: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

Die veröffentlichte "GDD-Praxishilfe DS-GVO I - Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung" (pdf) der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) gibt einen Überblick über die Regelungen zur Bestellung von Datenschutzbeauftragten sowie deren Aufgaben und Stellung nach der DSGVO.

BRD: 92. Konferenz der unabhängigen Datenschutzbehörden - Standard-Datenschutzmodell V1.0 (SDM)

Ergebnisse der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 9./10. November 2016 in Kühlungsborn
[...] Einen praktikablen Weg, rechtliche Vorgaben des geltenden Datenschutzrechts und zukünftig auch der EU-Datenschutzgrundverordnung in angemessene technische und organisatorische Maßnahmen umzusetzen, soll das Standard-Datenschutzmodell (SDM) eröffnen. Die Konferenz hat das SDM beraten und die Veröffentlichung der aktuellen Version [Anm. V1.0] als Erprobungsfassung beschlossen. Das SDM soll sowohl in der eigenen Kontroll- und Beratungspraxis als auch bei der Planung und beim Betrieb von Datenverarbeitungen durch verantwortliche Stellen im öffentlichen und nicht-öffentlichen Bereich erprobt werden. Das SDM wird von einer Arbeitsgremium der Konferenz laufend fortentwickelt. [...]
Quelle: Pressemeldung Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern; Tagungsband AK Technik-Workshop 2015: „Das Standard-Datenschutzmodell – der Weg vom Recht zur Technik"

Bundestag: Datenschutz bei vernetzten Fahrzeugen und Gesundheits-Apps


  • Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Renate Künast, Dr. Konstantin von Notz, Nicole Maisch, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN – Drucksache 18/10108 – Verbraucherschutz bei Gesundheits-Apps (pdf)

EuGH (Schlussanträge): Telefonverzeichnisse, Informationspflicht und Einwilligung (E-Privacy-RL)

EuGH (Schlussanträge des GA) 9.11.2016, Rs C‑536/15, Tele 2:
18. By its second question, the national court essentially asks the Court whether it is contrary to Article 25(2) of the Universal Service Directive and, in particular, the principle of non-discrimination to which the latter refers, for an undertaking that has received a request to make available its subscribers’ personal data to draw a distinction, when obtaining its subscribers’ consent, based on the Member State in which the telephone directory service and/or telephone directory enquiry service is provided.
19. In other words, if the request for information to be made available referred to in Article 25(2) of the Universal Service Directive is made by a telephone directory enquiry operator and/or a telephone directory operator providing its services in a Member State other than the subscriber’s Member State of residence, may that request be made to depend on the granting of specific consent by the subscriber?

IV – Conclusion
51. In the light of the foregoing, I therefore propose that the Court give the following answer to the second question submitted by the College van Beroep voor het bedrijfsleven (Administrative Court of Appeal for Trade and Industry):
On a proper construction of Article 25(2) of Directive 2002/22/EC of the European Parliament and of the Council of 7 March 2002 on universal service and users’ rights relating to electronic communications networks and services (Universal Service Directive), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, and Article 12 of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), as amended by Directive 2009/136, it is contrary to those provisions for an undertaking that has received a request for its subscribers’ personal data to be made available to draw a distinction, when obtaining its subscribers’ consent, according to the Member State in which the telephone directory service and/or telephone directory enquiry service is offered, provided, however, that such data is intended to be used for purposes identical to those for which it was collected with a view to its first publication.

That undertaking must therefore ensure that, when the subscription contract is signed, subscribers receive clear, precise information on the different aspects of the processing of their data and, in particular, on the supply of such data for the purpose of its publication in a telephone directory or of its use by a telephone directory enquiries service in a Member State other than the subscriber’s Member State of residence.

11.11.2016

EU-U.S. Privacy Shield: Klagegründe veröffentlicht

​EuGH, Klage eingereicht am 16.9
2016 — Digital Rights Ireland/Kommission, Rechtssache T-670/16 --(betreffend  Durchführungsbeschluss (EU) 2016/1250 der Kommission)
EN: Plea and main arguments

06.11.2016

BayLDA: Datenübermittlungen in Drittstaaten unter der DSGVO

​Die DS-GVO bringt für Datenübermittlungen in Nicht-EU-Staaten mehr Flexibilität als bislang. So kommen künftig auch genehmigte Verhaltensregeln (Codes of Conduct, CoC) und genehmigte Zertifizierungsmechanismen als Grundlage für derartige Übermittlungen in Betracht. Das Problem von Datenzugriffen ausländischer Behörden bedarf jedoch weiterer Klärung, auch seitens der Aufsichtsbehörden. Das Kurzpapier des BayLDA zu diesem Thema kann hier (pdf) heruntergeladen werden. Quelle: Bayerisches Landesamt für Datenschutzaufsicht

04.11.2016

ICO: Privacy notices under the EU General Data Protection Regulation

Somewhat older: ICO, Privacy notices, transparency and control - A code of practice on communicating privacy information to individuals, 7 October 2016
[...] This code of practice is designed as a good practice document to help you collect and use personal information fairly and transparently and give individuals appropriate control and choice over their data, including in a digital context. It focuses on drafting and communicating clear privacy notices that ensure that individuals know how information about them will be used, and that they understand the impact it will have on them. [...]

And another one: Overview of the General Data Protection Regulation (GDPR), 13 October 2016

Deutsche Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Gemeinsam mit neun anderen deutschen Datenschutzaufsichtsbehörden nimmt die Landesbeauftragte für den Datenschutz Niedersachsen den Einsatz von Cloud Computing und andere Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland in den Fokus. Die in dieser Woche beginnende Schwerpunktprüfung soll insbesondere die Unternehmen dafür sensibilisieren, dass durch den Einsatz vieler gängiger IT-Anwendungen eine Daten-übermittlung in Drittländer stattfindet, was einer gesonderten Rechtsgrundlage bedarf. [...]
Quelle: Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 03.11.2016. Siehe auch hier beim BayLDA (Prüffragen: docx), die Anzahl geprüfter verantwortlicher Stellen beträgt laut BayLDA iinsgesamt 500.

Österreich: Jahrbuch Datenschutzrecht 2016 (hg. v. Prof. Jahnel) erschienen

Inhaltsverzeichnis (pdf), aus der Verlagswerbung:
"Das Jahrbuch Datenschutzrecht 2016 enthält - wie jedes Jahr - zahlreiche Beiträge zu den ganz aktuellen Fragen des Datenschutzrechts, diesmal ua zum neuen „EU-US-Datenschutzschild", zur Datenverarbeitung im Zusammenhang mit „Smart Cars", der biometrischen Gesichtserkennung und der Steuerung des Datenverkehrs im Internet. Einen weiteren Schwerpunkt bildet das Thema „Big Data" und Datenschutz.
Ausführlich besprochen werden die Aufhebung des Widerspruchsrechts in § 28 Abs 2 DSG durch den VfGH und das fundamentale „Google Spain und Google"-Urteil des EuGH. Besonders hervorzuheben ist schließlich noch ein fundierter und dennoch kompakter Überblick über die wesentlichen Inhalte der kommenden Datenschutz-Grundverordnung (DS-GVO).
Abgerundet wird das Jahrbuch durch eine praktische und aktuelle Judikaturübersicht zum Datenschutzrecht in Form von systematisch geordneten Leitsätzen.
"

29.10.2016

Art. 29 WP sends letters to Yahoo (stolen data) and Whatsapp (ToS)

- Letter from the Art. 29 WP regarding WhatsApp updated Terms of Service and Privacy Policy
- Letter from the Art. 29 WP to Yahoo regarding user data stolen in 2014
- Press release (CNIL): The Article 29 Working Party (WP29) addressed, on October 27, 2016 a letter to WhatsApp regarding the update of its Terms of Service and Privacy Policy announced last August and a letter to Yahoo regarding the data breach occurred in 2014 and the scanning of customer emails for intelligence purposes. [...]

DSGVO: Entwurf Berichtigung/Corrigendum I verfügbar

http://data.consilium.europa.eu/doc/document/ST-12399-2016-INIT/en/pdf

28.10.2016

Vorträge der DSRI-Herbstakademie online verfügbar

Die Vorträge der DSRI-Herbstakademie sind nunmehr online, der Tagungsband ist auch bereits verfügbar (und empfehlenswert). Aufgrund der Dichte an Vorträgen zur DSGVO handelt es sich mE um Pflichtlektüre.
Im Folgenden eine kleine Auswahl zur DSGVO:

24.10.2016

BayLDA: Kurzüberblick zur Einwilligung gemäß DSGVO u. Weitergeltung erteilter Einwilligungen

Bayerisches Landesamt für Datenschutzaufsicht: Die Einwilligung nach der DS-GVO ist als eine Rechtmäßigkeitsvoraussetzung für die Verarbeitung personenbezogener Daten nur wirksam, wenn sie freiwillig und - bezogen auf einen bestimmten Fall - informiert abgegeben wird. Welche Änderungen sich künftig hierbei ergeben und wie insbesondere mit bereits nach dem BDSG erteilten Einwilligungen umgegangen werden muss, hat das BayLDA in einem kurzem Papier (pdf) zusammengefasst.
Quelle: BayLDA

Update: Auftragsverarbeitung nach der DS-GVO https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

23.10.2016

BayLDA: “IT-Manager" nicht als Datenschutzbeauftragter geeignet

Unternehmen, die personenbezogene Daten verarbeiten, sind unter bestimmten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtet. Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Das  Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einem solchen Fall eine Geldbuße gegen ein Unternehmen ausgesprochen.
Quelle: BayLDA Pressemitteilung (pdf)

19.10.2016

EuGH: Urteil in der Rs Breyer - dynamische IP-Adresse und Personenbezug/Speicherung

EuGH 19.10.2016, Rs C-582/14, Patrick Breyer / Bundesrepublik Deutschland
Aus der Pressemeldung:
Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.
Zur Vorgeschichte siehe hier und hier.
Update: Urteilsberichtigung durch Beschluss vom 06.12.2016, mehr bei Heise.de

14.10.2016

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter gegründet

"Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter -
Privacyofficers.at" (Website "work in progress"): Der unabhängige Verein bezweckt die Förderung und Vertretung der Interessen der betrieblichen und behördlichen Datenschutzbeauftragten Österreichs. Dazu dienen die folgenden Vereinsziele:
  • Schaffung eines aktiven Netzwerkes betrieblicher und behördlicher Datenschutzbeauftragter und sonstiger mit dem Thema Datenschutz Betrauter
  • Entwicklung, Darstellung sowie Förderung des Berufsbildes eines Datenschutzbeauftragten
  • Schaffung einer Plattform zum Informations- und Erfahrungsaustausch
  • Erstellung und Ausarbeitung von fachlichen Anleitungen und Empfehlungen
  • (Best Practice)
  • Entwicklung von Ausbildungsinhalten und Förderung entsprechender Maßnahmen im privaten und öffentlichen Bereich
  • Kooperation mit in- und ausländischen Berufsvereinigungen und internationalen Fachorganisationen aus dem Bereich Datenschutz
Obwohl derzeit in Österreich nicht gesetzlich zwingend vorgesehen, wird die ab dem 25. Mai 2018 in Geltung tretende DSGVO (Art 37 Abs 1) in vielen Fällen die Bestellung von Datenschutzbeauftragten durch Verantwortliche und Auftragsverarbeiter notwendig machen.

Newsletter d. österr. Datenschutzbehörde: Identitätsnachweis nach § 26 Abs. 1 DSG 2000 und online-Auskunftserteilung

Im aktuellen Newsletter 04/2016 (noch nicht online) bespricht die österreichische Datenschutzbehörde (DSB) mehrere Gerichtsentscheidungen, wovon ich zwei herausheben möchte:
  • VwGH 04.07.2016, Ra 2016/04/0014 (zum Identitätsnachweis nach § 26 Abs. 1 DSG 2000 und Nachweis der Vertretung durch einen Rechtsanwalt):
16 [...] Dass die Meldebestätigung nur der gemeldeten Person oder der Person, die die Meldepflicht trifft, auszustellen ist, ändert nichts daran, dass diese öffentliche Urkunde nicht dem Nachweis oder der Feststellung der Identität des Antragstellers dient. [...]
19 Die revisionswerbende Datenschutzbehörde wirft die Rechtsfrage auf, ob einem von einem Rechtsanwalt verfassten Auskunftsbegehren an einen Auftraggeber des privaten Bereichs (§ 5 Abs. 3 DSG 2000) eine Vollmacht beizulegen sei oder bloß die Berufung auf die erteilte Vollmacht ausreiche.20 Wird ein Auskunftswerber von einem Rechtsanwalt vertreten und schreitet dieser für den Auskunftswerber gemäß § 26 Abs. 1 DSG 2000 ein, so ist davon auszugehen, dass neben dem Nachweis der Bevollmächtigung ein weiterer Identitätsnachweis nicht erforderlich ist. So ist der Rechtsanwalt gemäß § 9 Abs. 1 RAO verpflichtet, die übernommenen Vertretungen dem Gesetz gemäß zu führen. Damit verweist diese Bestimmung auf die gesetzlichen Schranken, die auch für die Vertretungstätigkeit des Rechtsanwaltes gelten (vgl. das Urteil des Obersten Gerichtshofes (OGH) vom 10. Februar 2004, 4 Ob 233/03y). In dieser Hinsicht ist der Rechtsanwalt, wenn er gemäß § 26 Abs. 1 DSG 2000 einschreitet, auch verpflichtet, im Sinne dieser Bestimmung die Identität des Auskunftswerbers zu überprüfen.
Strittig ist vorliegend alleine, wie eine solche Bevollmächtigung gegenüber einem (datenschutzrechtlichen) Auftraggeber des privaten Bereichs nachzuweisen ist. [...]
22 § 8 Abs. 1 zweiter Satz RAO erfasst nur die Vertretung des Rechtsanwaltes vor Gerichten und Behörden, nicht jedoch - wie hier - gegenüber privaten Auftraggebern nach dem DSG 2000. Gegenüber diesen ist vor dem Hintergrund der hg. Rechtsprechung, wonach für einen Identitätsnachweis nach § 26 Abs. 1 DSG 2000 ein hoher Grad an Verlässlichkeit zu fordern ist, grundsätzlich die Vorlage eines urkundlichen Nachweises der Bevollmächtigung zu fordern, um einen geeigneten Identitätsnachweis alleine im Wege einer Vertretung durch einen Rechtsanwalt zu erbringen. Im Hinblick auf die zu fordernde Verlässlichkeit kann auch dem Vorbringen der mitbeteiligten Partei in ihrer Revisionsbeantwortung, wonach eine Regelung wie § 8 Abs. 1 zweiter Satz RAO für den privatrechtlichen Bereich nicht notwendig sei, weil dort ein solcher allgemeiner Formzwang für Vollmachten nicht vorgesehen sei, nicht gefolgt werden. [...]
  • DSB 15.06.2016, DSB-D122.471/0007-DSB/2016 (zur Auskunftserteilung durch Online-Zugang; n.rk.): noch nicht im RIS; die DSB kam hier zum Ergebnis, dass eine Auskunftserteilung grds. nicht zwingend in Papierform erfolgen muss.

07.10.2016

Art. 29 WP: Results of the workshop "GDPR/from concepts to operational toolbox/DIY"

Worth reading:
Fablab “GDPR/from concepts to operational toolbox, DIY”- Results of the discussion (pdf):

In order to prepare for the timely and proper implementation of the GDPR, the Article 29 Working Party organized a Fablab workshop with the title “GDPR/from concepts to operational toolbox, DIY”, which took place on July 26, 2016 in Brussels and enabled participants to discuss with European representatives of the industry, the civil society, academics and relevant associations, certain operational and practical issues. [...]
The Fablab’s objective was to “feed” the Article 29 Working Party in order to develop, at the end of the year, best practices and guidelines with regards to:
(A) the delivery of guidelines on the Data Protection Officer ;
(B) the development of guidelines on the format, scope and modalities of Data Portability ;
(C) the production of a methodology and templates for Data Protection Impact Assessment, including the definition of guidance related to risk assessment in the GDPR, and finally ;
(D) the definition of criteria and mechanisms relating to certification and certification bodies.
The Article 29 Working Party should organize another Fablab workshop in 2017 for the discussion of other important operational and practical issues relating to the GDPR. [...]

05.10.2016

VwGH: Datenschutzrechtliche Beurteilung einer Dashcam

VwGH 12. September 2016, Ro 2015/04/0011 (pdf), für eine Zusammenfassung siehe diese VwGH-Pressemeldung, eine erste Besprechung findet man hier.
Aus den Entscheidungsgründen:
[...] Nach den ­ vom Revisionswerber nicht bestrittenen ­ Feststellungen des Verwaltungsgerichtes kann die dauerhafte Speicherung von Bilddaten unter anderem durch das Auslösen eines sogenannten „SOS­-Button“ erfolgen und dieser kann jederzeit (somit offenbar ohne Einschränkungen) betätigt werden. Schon aus diesem Grund ist es nach Ansicht des Verwaltungsgerichtshofes ausgeschlossen, das vorliegende System als gelindestes Mittel (im Sinn des § 7 Abs. 3 DSG 2000) anzusehen (siehe allgemein dazu Jahnel, Handbuch Datenschutzrecht [2010] Rz. 4/96, 2/67 ff).
Auf die (vom Verwaltungsgericht der Sache nach anerkannten) Bemühungen des Revisionswerbers um eine möglichst geringe datenschutzrechtliche Eingriffsintensität muss daher ebenso wie auf die Erlaubnistatbestände des § 50a DSG 2000 nicht weiter eingegangen werden. [...]

01.10.2016

"Networks of Control": A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy

Networks of Control - A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy by Wolfie Christl and Sarah Spiekermann:
[...] In their report, Wolfie Christl and Sarah Spiekermann explain how a vast number of companies have started to engage in constant surveillance of the population. Without peoples’ knowledge a network of global players is constantly tracking, profiling, categorizing, rating and affecting the lives of billions – across platforms, devices and life contexts. While special interest groups have been aware of the corporate use of personal data for a while now, the full degree and scale of personal data collection, use and – in particular – abuse has not been scrutinized closely enough. This gap is closed with this book entitled “Networks of Control – A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy”. [...]
Source: Crackedlabs.org

OGH: Abgrenzung unzulässiger Werbung des Arztes (hier: Empfehlung eines Optikers) von zulässiger Information

OGH 30.08.2016, 4 Ob 133/16mDas Werbeverbot in § 3 der Verordnung Arzt und Öffentlichkeit 2014 kann in vertretbarer Weise dahin ausgelegt werden, dass es dem Arzt nicht untersagt ist, auf Frage eines Patienten einen bestimmten Anbieter der von ihm verordneten Produkte zu empfehlen. Anders wäre nur dann zu entscheiden, wenn die Empfehlung auf sachfremden Motiven, insbesondere auf einem damit verbundenen Vorteil für den Arzt, beruhte.
Quelle: OGH Pressemeldung

28.09.2016

CISPE: Code of Conduct for Cloud Infrastructures Services

The CISPE [Cloud Infrastructure Services Providers in Europe] data protection Code of Conduct anticipates the application of the new European Union (EU) General Data Protection Regulation (GDPR). Our Code of Conduct aligns with the requirements set out in the new regulation to allow Cloud Infrastructure providers to comply with this new regulation, while offering a framework that helps customers to trust the services of their cloud providers.
Source: CISPE

OGH: EuGH-Vorabentscheidungsersuchen betreffend Artikel 15 und 16 EuGVVO (Schrems vs. Facebook)

Etwas älter, nunmehr auch im RIS:
OGH 20.07.2016, 6 Ob 23/16z (Pressemeldung OGH)
Einholung eines Vorabentscheidungsersuchens zur Reichweite des Verbrauchergerichtsstands und zur Möglichkeit, dort nicht nur eigene, sondern auch abgetretene Ansprüche anderer Personen geltend zu machen:
Spruch
Dem Gerichtshof der Europäischen Union (EuGH) werden gemäß Art 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist Art 15 EuGVVO VO (EG) Nr 44/2001 dahin auszulegen, dass ein „Verbraucher“ im Sinne dieser Bestimmung diese Eigenschaft verliert, wenn er nach längerer Nutzung eines privaten Facebook-Kontos im Zusammenhang mit der Durchsetzung seiner Ansprüche Bücher publiziert, teilweise auch entlohnte Vorträge hält, Webseiten betreibt, Spenden zur Durchsetzung der Ansprüche sammelt und sich die Ansprüche von zahlreichen Verbrauchern gegen die Zusicherung abtreten lässt, diesen einen allfälligen Prozesserfolg nach Abzug der Prozesskosten zukommen zu lassen?
 2. Ist Art 16 EuGVVO VO (EG) Nr 44/2001 dahin auszulegen, dass ein Verbraucher in einem Mitgliedstaat gleichzeitig mit seinen eigenen Ansprüchen aus einem Verbrauchergeschäft am Klägergerichtsstand auch gleich gerichtete Ansprüche anderer Verbraucher mit Wohnsitz
a. im gleichen Mitgliedstaat,
b. in einem anderen Mitgliedstaat oder
c. in einem Drittstaat
geltend machen kann, wenn ihm diese aus Verbrauchergeschäften mit derselben beklagten Partei aus demselben rechtlichen Zusammenhang zediert wurden und wenn das Zessionsgeschäft nicht in eine gewerbliche oder berufliche Tätigkeit des Klägers fällt, sondern der gemeinsamen Durchsetzung der Ansprüche dient?
 Das Verfahren über die Revisionsrekurse der Streitteile wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß § 90a Abs 1 GOG ausgesetzt.
Update 01.10.2016: eingelangt beim EuGH, siehe Rs C-498/16

22.09.2016

BRD: IoT und Datenschutz, Umgang mit Datenpannen (Art. 33 und 34 DSGVO)

21.09.2016

Düsseldorfer Kreis: Fortgeltung bisher erteilter Einwilligungen unter der DSGVO

Beschluss der Aufsichtsbehörden für den  Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung:
Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung  entsprechen (Erwägungsgrund 171, Satz  3 Datenschutz-Grundverordnung).  [...]
Update 22.09.2016: Zur (berechtigten) Kritik daran siehe hier bei RA Hansen-Oest.

EU: Guide to the EU-U.S. Privacy Shield (Leitfaden zum EU-US-Datenschutzschild)

Guide to the EU-U.S: Privacy Shield (pdf; document dated 12.9.2016; there is also a "Citizen's Guide" available), dt. Fassung: Leitfaden zum EU-US-Datenschutzschild

JIPITEC: Articles on Data Protection and Encryption, Future of Big Data, Biological Materials

  • Worku Gedefa Urgessa, The Feasibility of Applying EU Data Protection Law to Biological Materials: Challenging ‘Data’ as Exclusively Informational, 7 (2016) JIPITEC 96
  • Bart van der Sloot and Sascha van Schendel, Ten Questions for Future Regulation of Big Data: A Comparative and Empirical Legal Study, 7 (2016) JIPITEC 110
  • Gerald Spindler and Philipp Schmechel, Personal Data and Encryption in the European General Data Protection Regulation, 7 (2016) JIPITEC 163
  • Study on consumers’ attitudes towards Terms and Conditions (T&Cs)

    Study on consumers’ attitudes towards Terms and Conditions (T&Cs), Final report (pdf) prepared for the European Commission (by Maartje Elshout, Millie Elsen, Jorna Leenheer, Marco Loos, Joasia Luzak)
    Abstract
    Previous research has shown that when buying products and services online, the vast majority of consumers accept Terms and Conditions (T&Cs) without even reading them. The current research examined effects of interventions aimed at making consumers aware of the quality of such T&Cs. This was done by 1) shortening and simplifying the T&Cs and 2) adding a quality cue to an online store, such as the presence of a logo of a national consumer organisation accompanied by the statement “these terms and conditions are fair”. The main study consisted of three experiments and was conducted in 12 Member States with 1000 respondents in each Member State. In each experiment, consumers visited an online store and went through all the steps of an ordering process. One of these steps was accepting the T&Cs. Key findings are that shortening and simplifying the terms and conditions results in improved readership of the T&Cs, a slightly better understanding of the T&Cs, and a more positive attitude towards the T&Cs. Moreover, adding a quality cue to an online store increases trust and purchase intentions. Which quality cue is trusted the most depends on what type of online store consumers are visiting. For domestic online stores, a quality cue by a national consumer organisation is trusted most; for foreign online stores, a quality cue by a European consumer organisation is trusted most. The patterns were similar across Member States.

    15.09.2016

    LfDI: Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield

    Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield (vom 12.09.2016, pdf), mehr dazu bei Carlo Piltz.

    Der Tod offener WLAN-Zugänge?

    Oder warum Sie als Betreiber eines offenen WLAN-Accesspoint jetzt Ausweise kontrollieren und ein Passwort setzen sollten:
    EuGH 15.09.2016, Rs C-484/14 - Tobias Mc Fadden / Sony Music Entertainment Germany GmbH, Pressemeldung (Hervorhebung durch mich)
    Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
    1.      Art. 12 Abs. 1 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) in Verbindung mit Art. 2 Buchst. a dieser Richtlinie und mit Art. 1 Nr. 2 der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft in der durch die Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 geänderten Fassung ist dahin auszulegen, dass eine Leistung wie die im Ausgangsverfahren fragliche, die von dem Betreiber eines Kommunikationsnetzes erbracht wird und darin besteht, dass dieses Netz der Öffentlichkeit unentgeltlich zur Verfügung gestellt wird, einen „Dienst der Informationsgesellschaft“ im Sinne von Art. 12 Abs. 1 der Richtlinie 2000/31 darstellt, wenn diese Leistung von dem Anbieter zu Werbezwecken für von ihm verkaufte Güter oder angebotene Dienstleistungen erbracht wird.
    2.      Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass der in dieser Bestimmung genannte Dienst, der darin besteht, Zugang zu einem Kommunikationsnetz zu vermitteln, bereits dann als erbracht anzusehen ist, wenn dieser Zugang den Rahmen des technischen, automatischen und passiven Vorgangs, der die erforderliche Übermittlung von Informationen gewährleistet, nicht überschreitet, ohne dass eine zusätzliche Anforderung erfüllt sein müsste.
    3.      Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass die in Art. 14 Abs. 1 Buchst. b der Richtlinie vorgesehene Voraussetzung nicht im Rahmen von Art. 12 Abs. 1 der Richtlinie entsprechend gilt.
    4.      Art. 12 Abs. 1 in Verbindung mit Art. 2 Buchst. b der Richtlinie 2000/31 ist dahin auszulegen, dass es keine anderen Anforderungen als die in dieser Bestimmung genannte gibt, denen ein Diensteanbieter, der Zugang zu einem Kommunikationsnetz vermittelt, unterläge.
    5.      Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass es ihm zuwiderläuft, dass derjenige, der durch eine Verletzung seiner Rechte an einem Werk geschädigt worden ist, gegen einen Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt, Ansprüche auf Schadensersatz und auf Erstattung der für sein Schadensersatzbegehren aufgewendeten Abmahnkosten oder Gerichtskosten geltend machen kann, weil dieser Zugang von Dritten für die Verletzung seiner Rechte genutzt worden ist. Hingegen ist diese Bestimmung dahin auszulegen, dass es ihr nicht zuwiderläuft, dass der Geschädigte die Unterlassung dieser Rechtsverletzung sowie die Zahlung der Abmahnkosten und Gerichtskosten von einem Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt und dessen Dienste für diese Rechtsverletzung genutzt worden sind, verlangt, sofern diese Ansprüche darauf abzielen oder daraus folgen, dass eine innerstaatliche Behörde oder ein innerstaatliches Gericht eine Anordnung erlässt, mit der dem Diensteanbieter untersagt wird, die Fortsetzung der Rechtsverletzung zu ermöglichen.
    6.      Art. 12 Abs. 1 in Verbindung mit Abs. 3 der Richtlinie 2000/31 ist unter Berücksichtigung der Erfordernisse des Grundrechtsschutzes und der Regelungen der Richtlinien 2001/29 und 2004/48 dahin auszulegen, dass er grundsätzlich nicht dem Erlass einer Anordnung wie der im Ausgangsverfahren fraglichen entgegensteht, mit der einem Diensteanbieter, der Zugang zu einem Kommunikationsnetz, das der Öffentlichkeit Anschluss an das Internet ermöglicht, vermittelt, unter Androhung von Ordnungsgeld aufgegeben wird, Dritte daran zu hindern, der Öffentlichkeit mittels dieses Internetanschlusses ein bestimmtes urheberrechtlich geschütztes Werk oder Teile davon über eine Internettauschbörse („peer-to-peer“) zur Verfügung zu stellen, wenn der Diensteanbieter die Wahl hat, welche technischen Maßnahmen er ergreift, um dieser Anordnung zu entsprechen, und zwar auch dann, wenn sich diese Wahl allein auf die Maßnahme reduziert, den Internetanschluss durch ein Passwort zu sichern, sofern die Nutzer dieses Netzes, um das erforderliche Passwort zu erhalten, ihre Identität offenbaren müssen und daher nicht anonym handeln können, was durch das vorlegende Gericht zu überprüfen ist.

    Data Protection: Summary of EU Court Decisions (covering the years 2000-2015)

    Although I have mentioned this great resource before, I decided to bring it to my and your attention again ;)

    SUMMARY OF EU COURT DECISIONS RELATING TO DATA PROTECTION (IN NUMERICAL ORDER OF CASE NUMBER, pdf) by Laraine Laudati (OLAF Data Protection Officer)
    From the Introduction:
    In honour of the celebration of the Tenth European Data Protection Day on 28 January 2016, I have prepared this document in order to help OLAF management, investigators, and other staff to have easy access to the judgments of the European Union courts concerning data protection. The judgments span a period of more than 15 years, from the first decisions in 2000 through the landmark decisions taken in 2015.
    The summaries are organised both by case (in chronological order of case number) and by topic. The case summaries present a brief description of facts and issues before the court in each case, as well as a summary of the holdings of the court together with the reference paragraph numbers from the court’s judgment. The topical summaries list the holdings from each case relating to the listed topic.
    This document is designed to be a reference tool to facilitate the work of finding relevant caselaw. However, it should not be relied upon on its own; the court judgment itself must always be consulted directly. [...]

    14.09.2016

    OGH zur Technizität (Software-Patentschutz)

    OGH 25.08.2016, 4 Ob 94/16a
    [...] Die Abgrenzungslinie zwischen nicht-schützbaren und schützbaren Computerprogrammen wird anhand ihrer Technizität gezogen, indem ein technischer Beitrag auf einem nicht vom Patentschutz ausgeschlossenen Bereich gefordert wird (Weiser, Gebrauchsmusterschutz für Programmlogiken, ecolex 2014, 349). Das Vorliegen der erforderlichen Technizität ist vom Ergebnis einer im Einzelfall vorzunehmenden wertenden Gesamtbetrachtung des in dem angemeldeten Patentanspruch definierten Gegenstands abhängig (BGH X ZB 11/98 – Logikverifikation; Asendorf/Schmidt in Benkard, Patentgesetz11 § 4 Rz 60; Mes, Patentgesetz Gebrauchsmustergesetz4 § 1 PatG Rz 128); dabei ist es für das Technizitätserfordernis unerheblich, ob der Gegenstand einer Anmeldung neben technischen Merkmalen auch nicht-technische Merkmale aufweist (BGH X ZR 37/13). Der erforderliche technische Effekt aus einem Computerprogramm muss aus dem eigentlichen Inhalt des Programms im Zusammenhang mit der gestellten technischen Aufgabe bzw deren Lösung erschlossen werden können (Burgstaller, Österreichisches Patentrecht 27). Maßgebend ist somit, ob die Lehre bei der gebotenen Gesamtbetrachtung der Lösung eines über die Datenverarbeitung hinausgehenden konkreten technischen Problems dient (BGH X ZB 22/07 – Steuerungseinrichtung für Untersuchungsmodalitäten). Die Patentierbarkeit setzt die Lösung eines technischen Problems mit technischen Mitteln voraus (OPM 11. 12. 2013, OBGM 1/13 – Programmlogik; BGH X ZB 20/03
    – Elektronischer Zahlungsverkehr; BGH Xa ZB 20/08 – Dynamische Dokumentengenerierung; Mes, Patentgesetz Gebrauchsmustergesetz4 § 1 PatG Rz 20; Stadler, Technizität von Patenten und Gebrauchsmustern, ÖBl 2014/35, 161).
    1.2 Das Rekursgericht beurteilte die Frage der Technizität unter Heranziehung der aufgezeigten Grundsätze nach sorgfältiger und umfassender Prüfung der Ansprüche des Streitpatents und begründete sein Ergebnis ausführlich und zutreffend. Darauf wird verwiesen (§ 71 Abs 3 AußStrG). Die Ausführungen im Rechtsmittel geben keinen Anlass zu einer davon abweichenden Beurteilung. Sie zeigen weder eine unrichtige Beurteilung noch ein Abweichen von der bisherigen Rechtsprechung auf. [...]

    13.09.2016

    Study on Transatlantic Digital Economy and Data Protection: State-of-Play and Future Implications

    Study requested by the European Parliament's Committee on Foreign  Affairs: Transatlantic Digital Economy and Data Protection: State-of-Play and Future Implications for the EU's External Policies (PE 535.006, July 2016, pdf)
    Abstract: The internet has created a new global nervous system affecting all aspects of European society, politics and  business; this will accelerate as we enter the era of the digitisation of everything. This digital transformation has enormous  implications for the transatlantic relationship, especially in light of the differences that have developed concerning the appropriate balance between personal data protection, economic growth and national security. This study details how digital and data issues will be handled in the Transatlantic Trade and Investment Partnership; explains how this intersects with the new  EU-US Privacy Shield Agreement and the broader implications of the judgment on Safe Harbour; and explores key issues in transatlantic law enforcement cooperation before highlighting a few broader foreign policy issues and laying forth some recommendations for the EU institutions.

    09.09.2016

    EuGH: Setzen eines Hyperlinks zu urheberrechtlich geschützten Werken u. "öffentliche Wiedergabe" (Update)

    EuGH 08.09.2016, Rs C-160/15 - GS Media BV / Sanoma Media Netherlands BV, Playboy Enterprises International Inc., Britt Geertruida Dekker
    Aus der EuGH-Pressemeldung (pdf):
    Das Setzen eines Hyperlinks auf eine Website zu urheberrechtlich geschützten Werken, die ohne Erlaubnis des Urhebers auf einer anderen Website veröffentlicht wurden, stellt keine „öffentliche Wiedergabe“ dar, wenn dies ohne Gewinnerzielungsabsicht und ohne Kenntnis der Rechtswidrigkeit der Veröffentlichung der Werke geschieht. Werden diese Hyperlinks dagegen mit Gewinnerzielungsabsicht bereitgestellt, ist die Kenntnis der Rechtswidrigkeit der Veröffentlichung auf der anderen Website zu vermuten. [...]

    Aus dem Urteil:
    Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
    Art. 3 Abs. 1 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass zur Klärung der Frage, ob das Setzen von Hyperlinks auf eine Website zu geschützten Werken, die auf einer anderen Website ohne Erlaubnis des Urheberrechtsinhabers frei zugänglich sind, eine „öffentliche Wiedergabe“ im Sinne dieser Bestimmung darstellt, zu ermitteln ist, ob die Links ohne Gewinnerzielungsabsicht durch jemanden, der die Rechtswidrigkeit der Veröffentlichung der Werke auf der anderen Website nicht kannte oder vernünftigerweise nicht kennen konnte, bereitgestellt wurden oder ob die Links vielmehr mit Gewinnerzielungsabsicht bereitgestellt wurden, wobei im letzteren Fall diese Kenntnis zu vermuten ist.

    EuGH: Schlussanträge des Generalanwalts zum geplanten PNR-Abkommen EU-Kanada

    Schlussanträge des Generalanwalts  vom 8.9.2016 zum Gutachtenantrag 1/15
    Nach Auffassung von Generalanwalt Mengozzi kann das geplante Abkommen zwischen der Europäischen Union und Kanada über die Übermittlung von Fluggastdatensätzen in seiner jetzigen Form nicht geschlossen werden. Mehrere Bestimmungen des Abkommensentwurfs verstoßen nämlich gegen Grundrechte der Union

    07.09.2016

    BRD: Aufsatz zur Umsetzung der DSGVO im Unternehmen

    Der Datenschutzbeauftragte der Allianz Deutschland, Dr. Oliver Draf, LL.M. und Tim Wybitul, Hogan Lovells geben einen im aktuellen Betriebs-Berater, Heft 35 (BB 2016, 2101 ff.) einen Überblick über die Projektplanung zur Umsetzung der Anforderungen der DSGVO.
    Quelle: Hogan Lovells

    BRD: Referentenentwurf BMI zur Umsetzung der DSGVO (Erlass eines ABDSG etc.)

    Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU):
    [...] Der Gesetzentwurf sieht folgende Gesetzesänderungen vor:
    1. Erlass eines Allgemeinen Bundesdatenschutzgesetzes – ABDSG – (Artikel 1), das für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen gilt, mit folgenden Regelungsschwerpunkten: [...]
    Quelle: Blog "EU-Datenschutz-Grundverordnung (EU-DSGVO)"

    01.09.2016

    OGH: Ärztebewertungsportal und Datenschutz (§ 28 Abs 1 DSG 2000)

    OGH 27.06.2016, 6 Ob 48/16a (Nachgang zum erfolgreichen Normenkontrollantrag zu § 28 Abs 2 DSG 2000, s VfGH 08.10.2015, G 264/2015)
    [...]
    3.2.4. Unter Berücksichtigung dieser Rechtsprechung erscheint eine extensive Interpretation des § 28 Abs 1 DSG 2000 dahin, dass nicht lediglich auf Geheimhaltungs-, sondern auf sämtliche schutzwürdigen Interessen abzustellen ist, geboten. Andernfalls würde der in der Datenschutzrichtlinie vorgegebene Schutz des Betroffenen im Rahmen des Widerspruchsrechts eingeschränkt.
    4. Damit ist im vorliegenden Verfahren bei der Prüfung der Verarbeitung der Daten durch die Beklagte auch zu berücksichtigen, inwieweit andere Persönlichkeitsrechte des Klägers oder seine Privatautonomie verletzt wurden. [...]
    5. Damit hat – entgegen der vom Berufungsgericht vertretenen Auffassung – eine Interessenabwägung nach § 28 Abs 1 DSG 2000 auch unter Berücksichtigung sonstiger schutzwürdiger Interessen zu erfolgen, solche konnte der Kläger hier jedoch nicht unter Beweis stellen. Im Ergebnis war somit der Revision des Klägers ein Erfolg zu versagen. [...]

    19.08.2016

    OGH zum DSG 2000: Datenübermittlung und Unterlassungsanspruch (§§ 7 Abs 2, 32 Abs 2)

    OGH, 27.06.2016, 6 Ob 191/15d
    [...] 4.4.2. § 7 Abs 2 Z 2 DSG 2000 verpflichtet den Empfänger vor der Übermittlung im Hinblick auf den (rechtmäßigen) Zweck der Übermittlung, wenn dies nicht außer Zweifel steht, glaubhaft zu machen, dass er tatsächlich selbst die gesetzliche Zuständigkeit oder rechtliche Befugnis besitzt. Der Empfänger hat seine rechtliche Befugnis initiativ glaubhaft zu machen. Die Beurteilung, ob die Glaubhaftmachung gelungen ist oder ob keine Zweifel vorliegen, obliegt dem Übermittler (vgl Jahnel, Datenschutzrecht Rz 4/122; Knyrim, Datenschutzrecht³ 127; Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung 415 f; Drobesch/Grosinger, Datenschutzgesetz 134).
    4.4.3. Eine am Wortsinn haftende Interpretation des § 7 Abs 2 Z 2 DSG 2000 würde nicht nur jede Datenveröffentlichung unmöglich machen (vgl Jahnel, Datenschutzrecht Rz 4/126; Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung 417 f), sondern stünde oft auch Übermittlungen zu einem rechtmäßigen Zweck ohne Ersuchen aus Antrieb des Übermittlers an einen Empfänger, der tatsächlich über die gesetzliche Zuständigkeit oder rechtliche Befugnis verfügt, um die Daten zu diesem Zweck verwenden zu dürfen, entgegen.
    4.4.4. Dieses Auslegungsergebnis ist vom Schutzzweck der Norm (es soll im Interesse des Betroffenen sichergestellt werden, dass die Daten nach der Weitergabe einer befugten „Empfangsstelle“ zukommen, Jahnel, Datenschutzrecht Rz 4/128) nicht gefordert und steht mit dem in Art 10 Abs 1 EMRK normierten Recht auf freie Meinungsäußerung und Informationsfreiheit in Widerspruch. Hinsichtlich des Rechts auf Zugänglichkeit und Empfang von Informationen verbietet Art 10 EMRK in erster Linie die Beschränkung des Empfangs von Informationen, die andere einer Person zukommen lassen oder beabsichtigen zukommen zu lassen (vgl VfGH G 264/2015 mwN). [...]
    4.4.6. Nach Auffassung des Senats reicht es für die Bejahung eines Unterlassungsanspruchs nach § 32 Abs 2 DSG 2000 nicht aus, dass der Übermittler vor der Übermittlung Zweifel an der ausreichenden gesetzlichen Zuständigkeit oder rechtlichen Befugnis des Empfängers im Hinblick auf den Übermittlungszweck hatte oder haben musste. Im Hinblick auf den Schutzzweck des § 7 Abs 2 Z 2 DSG 2000 ist entscheidend, dass die Übermittlung an einen im Hinblick auf den Übermittlungszweck tatsächlich nicht befugten Empfänger erfolgte. [...]
    5.4.2. Zutreffend ist das Berufungsgericht davon ausgegangen, dass die Datenverwendung im verfassungsrechtlich garantierten Recht des Beklagten auf Eigentum (Art 5 StGG) eine rechtliche Basis hat und für die Durchsetzung seiner Rechtsposition als Miteigentümer, die Verwaltung durch die P*****, deren Geschäftsführer die Kläger waren, zu beenden, erforderlich war. Er hatte unter diesem Gesichtspunkt auch ein berechtigtes Interesse an der Übermittlung der strafrechtsbezogenen Daten der Kläger, die weder einen Bezug zum Beklagten noch zu den Miteigentümergemeinschaften, an denen der Beklagte Anteile hält, noch einen Bezug zu irgendeiner der Miteigentümergemeinschaften hatten (Verdacht der Untreue zu Lasten der P***** F***** GmbH). Dies ergibt sich schon daraus, dass der Umfang der Untreuehandlungen, derer die Kläger verdächtig und die Gegenstand des Ermittlungsverfahrens sind, die vom Beklagten vertretene Rechtsposition der Notwendigkeit eines Verwalterwechsels, um rechtswidrige Eingriffe der Kläger in sein Eigentum abzuwehren, untermauert. [...]
    6.4.1. Die Kläger meinen, der vom Beklagten verfolgte Zweck sein Eigentum zu schützen, indem er die Miteigentümer informiere, wäre ohne Herstellung einer Datei und deren Übermittlung zu erreichen gewesen, hätte der Beklagte die ihm in Papierform zugestellte Anordnung lediglich „in Papierform“ kopiert und die Kopien in der Versammlung der Miteigentümergemeinschaften ausgeteilt. Die Datenübermittlung sei daher nicht das gelindeste Mittel gewesen.
    6.4.2. Dem ist nicht zu folgen. Das Gebot des gelindesten Mittels ist nicht als grundsätzliches Abwehrrecht des Betroffenen gegen die Verwendung von EDV-Systemen durch Dritte zu verstehen. Personenbezogene Daten dürfen bei Vorliegen eines legitimen Verwendungszwecks, bei Nichtverletzung schutzwürdiger Geheimhaltungsinteressen und bei Achtung der Verhältnismäßigkeit stets in jenem Ausmaß verwendet werden, der zur Verfolgung dieses Ziels erforderlich ist. Es ist nicht zu prüfen, ob der Verwendungszweck durch konventionelle Maßnahmen des Auftraggebers (also ohne automationsunterstützte Datenverarbeitungssysteme) erreicht werden könnte (Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung 411 f). [...]