29.02.2016

European Commission publishes details on "EU-U.S. Privacy Shield" (updated)

The European Commission today issued a Communication summarising the actions taken to restore trust in transatlantic data flows since the 2013 surveillance revelations. [...]
Today, the Commission also published a draft "adequacy decision" as well as the texts that will constitute the EU-U.S. Privacy Shield. This includes the Privacy Shield Principles companies have to abide by. Moreover, the Commission makes public the U.S. Government's written commitments on the enforcement of the arrangement. [...]
Next steps
Now, a committee composed of representatives of the Member States will be consulted and the EU Data Protection Authorities (Article 29 Working Party) will give their opinion, before a final decision by the College. In the meantime, the U.S. side will make the necessary preparations to put in place the new framework, monitoring mechanisms and the new Ombudsperson mechanism.
Source: Press release
The assessment of the Working Party will be conducted, inter alia, in light of the Court of Justice of the European Union’s decision of 6 October 2015 in the Schrems case1, the European jurisprudence on fundamental rights2, the letter of the Working Party to the European Commission on Safe Harbour of 10 April 20143 and the Working Party’s Working Document on transfers of personal data to third countries.4
On the basis of the work of the different subgroups, the Future of Privacy subgroup will finalize the Working Party’s draft opinion which will then be adopted at the next plenary meeting on 12 and 13 April 2016.
Following the Working Party’s opinion, the next steps in the procedure before the adoption of the “adequacy-decision” by the European Commission will be the opinion of the Member States in comitology, in accordance with Article 31 of Directive 95/46/EC.

26.02.2016

Schweiz: Schlussbericht über die datenschutzrechtliche Prüfung eines Kundenbindungsprogramms

Im Rahmen einer Nachkontrolle hat der EDÖB die Datenflüsse im Zusammenhang mit der Coop Supercard analysiert und die Einhaltung der datenschutzrechtlichen Vorgaben überprüft. Ihm hat sich ein positives Gesamtbild der Datenbearbeitung präsentiert. Der vorliegende Schlussbericht [pdf] enthält verschiedene Anpassungsvorschläge, welche Coop alle angenommen hat.
Aus dem Bericht: "Im Rahmen des Kundenbindungsprogramms Supercard werden Personendaten von einem Grossteil der Schweizer Bevölkerung (es bestehen etwa drei Mio. Supercard-Konten) bearbeitet."
Quelle: EDÖB

25.02.2016

BRD: Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts

Note to myself:
BRD: Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (pdf; Gesetzwerdungsprozess mit Materialien)

Siehe zukünftig auch Artikel 76 der DS-GVO:
Artikel 76 Vertretung von betroffenen Personen
1. Die betroffene Person hat das Recht, eine Einrichtung, eine Organisationen oder eine Vereinigung, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, die keinen Erwerbszweck verfolgt, deren satzungsmäßige Ziele von öffentlichem Interesse sind und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde zu erheben, die in den Artikeln 73, 74 und 75 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 77 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
2. Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der zuständigen Aufsichtsbehörde gemäß Artikel 73 eine Beschwerde einzulegen und die in den Artikeln 74 und 75 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte der betroffenen Person infolge einer nicht dieser Verordnung entsprechenden Datenverarbeitung verletzt worden sind.

Dt. Bundestag: Anhörung zur Datenschutz-Grundverordnung (mit Österreich-Bezug: Dr. Kotschy)

Aufzeichnung der Anhörung des BT-Ausschusses Digitale Agenda vom 24. Februar 2016 zu den Auswirkungen der EU-Datenschutzregelungen u.a. mit dem ehem. Leiterin geschäftsführenden Mitglied der österr. Datenschutzkommission, Fr. Dr. Kotschy.
Quelle: Dt. Bundestag; schriftliche Stellungnahmen
Zitat Prof. Roßnagel: "... Das Hauptproblem der Datenschutz-Grundverordnung liegt vor allem in der hohen Diskrepanz zwischen der enormen Komplexität des Regelungsbedarfs einerseits und der Abstraktheit und damit Unterkomplexität ihrer Vorschriften andererseits. ..."

P.S.: Der Deutsche Bundestag stellt seit Donnerstag, 18. Februar 2016, Gutachten und Ausarbeitungen der Wissenschaftlichen Dienste auf seiner Internetseite öffentlich zur Verfügung.

23.02.2016

EuGH: Verhandlung u.a. zur Frage der Qualifizierung einer IP-Adresse als personenbezogenes Datum

Rs C-582/14 - Vorabentscheidungsersuchen des Bundesgerichtshofs (Deutschland) eingereicht am 17. Dezember 2014 - Patrick Breyer gegen Bundesrepublik Deutschland
Am 25.02.2016 findet die mündliche Verhandlung in diesem interessanten Verfahren statt, das hoffentlich den langen Meinungsstreit löst, ob bzw. unter welchen Umständen eine IP-Adresse ein personenbezogenes Datum darstellen kann, was der BGH zuletzt en passant bejaht hatte: "Personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind unter anderem die IP-Adressen, weil der Access-Provider einen Bezug zwischen den IP-Adressen und der Person des Nutzers herstellen kann (vgl. EuGH, GRUR 2012, 265 Rn. 51 - Scarlet/SABAM; Braun in Geppert/Schütz, Beckscher TKG-Komm., 3. Aufl., § 91 Rn. 16; Kropp aaO S. 164).
Eine umfassende Besprechung des Vorabentscheidungsersuchens ist hier (englisch) und direkt beim Kläger (Prozessdokumentation u.a. inkl. der österr. Stellungnahme im EuGH-Verfahren, wonach eine IP-Adresse grds. ein personenbezogenes Datum ist) zu finden.
Vorlagefragen:
Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr1 – Datenschutz-Richtlinie – dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

Parlamentarische Anfrage zur Umsetzung der DS-GVO in Österreich

Schriftliche Anfrage (8039/J) der Abgeordneten Peter Haubner, Kolleginnen und Kollegen an den Bundesminister für Kunst und Kultur, Verfassung und Medien betreffend Unternehmerpflichten im Datenschutz (Datenschutz-Grundverordnung (DSGVO)):
Neben typischen "Oppositions-Fragen" sind auch einige interessante enthalten, man kann gespannt auf die Beantwortung sein (ob es hier bereits detaillierte interne Vorüberlegungen etc. gibt, ist mE jedoch fraglich):
[...] 2. Wie ist der Zeitplan für die „Anpassung“ des österreichischen DSG?
3. Welche Spezifizierungen oder Präzisierungen bzw. nähere Ausgestaltung der nun vorgelegten DSGVO sind seitens Ihres Ministeriums geplant?
11. Ist geplant, den Datenschutz für Juristische Personen in Österreich aufrecht zu erhalten? [...]
13. Welches Schutzalter ist für Jugendliche angedacht, da in der Verordnung ein Spielraum von 13 bis 16 Jahren besteht? 
[...] 17. Wie wird sichergestellt, dass bei Internetanwendungen durch Kinder im Sinne des Art 8 der DSGVO tatsächlich nur elterlich Verantwortliche die Zustimmungserklärungen abgeben, auf die Unternehmer vertrauen können/dürfen? [...]

Update 15.03.2016: Mündliche Anfrage des Abgeordneten Harry Buchmayr (SPÖ) an den Bundesminister für Kunst und Kultur, Verfassung und Medien Dr. Josef Ostermayer:

Eine der aktuellsten Herausforderungen im Bereich der Grundrechte stellt die Neugestaltung des Datenschutzes in Europa durch die EU-Datenschutzgrundverordnung dar. Wie planen Sie aus heutiger Sicht deren Umsetzung in das nationalstaatliche Recht?

15.02.2016

Opinion: EU-US Umbrella agreement incompatible with primary EU law

http://statewatch.org/news/2016/feb/ep-legal-opinion-umbrella.pdf

UK: Science and Technology Committee issues report entitled "The big data dilemma"

House of Commons, Science and Technology Committee: The big data dilemma (pdf; html version here), Fourth Report of Session 2015–16.
It contains a brief assessment of "Big Data" under the coming GDPR on page 35 et seq.

BRD: Forschungsbericht "Smart-TV und Privatheit - Bedrohungspotenziale und Handlungschancen"

Forschungsbericht "Smart-TV und Privatheit - Bedrohungspotenziale und Handlungschancen" (pdf) des "Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt":
[...] Der vorliegende Beitrag richtet sich vor allem an juristische Berater und technische Entwickler. Hierbei wird ein Überblick über die Chancen und wachsenden Möglichkeiten im Bereich Smart-TV gegeben; die damit verbundenen Risiken für die Persönlichkeitsrechte der Nutzenden werden herausgearbeitet. Nach einer Übersicht über den technischen Hintergrund von Smart-TV werden die beteiligten Akteure und Komponenten erläutert. Anschließend werden verschiedene Angreifermodelle und mögliche Angriffsvektoren erörtert. Im Rahmen der grund- und datenschutzrechtlichen Rahmenbedingungen werden Bedrohungsszenarien abgeleitet, die sich für die informationelle Selbstbestimmung der Nutzenden ergeben; außerdem wird die datenschutzrechtliche Zulässigkeit der Datenverarbeitungsvorgänge im Rahmen der Smart-TV-Nutzung geprüft. Anhand des herausgearbeiteten Befundes zeigen die Autorinnen und Autoren schließlich exemplarisch Methoden und Schutzmaßnahmen auf, wie bestehende Smart-TV-Systeme sowohl technisch optimiert als auch rechtlich zulässig gestaltet werden können. Dies erfolgt anhand des „Privacy by Design“-Ansatzes und im Lichte der ausgewählten Datenschutz-Gewährleistungsziele der Nichtverkettbarkeit, der Transparenz und der Intervenierbarkeit. [...] 

12.02.2016

UK: Data transfers to the US and Safe Harbor – interim ICO guidance

ICO, Data transfers to the USA and Safe Harbor – interim guidance (dated 10 February 2016; pdf)
What should I do?
[...] As we have been saying from the outset - don’t panic and don’t rush to other transfer mechanisms that may turn out to be less than ideal. The impact of the judgment on standard contractual clauses and binding corporate rules is still being analysed. Of course transfers can always be made on the basis of an individual’s consent but this does not necessarily protect personal data any more effectively than the Safe Harbor which is, after all, what the CJEU case is all about. [...]

BRD: Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und Internet am Arbeitsplatz (mit BV-Mustern)

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (BRD), Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz (Stand: Januar 2016; pdf):
Die Orientierungshilfe zeigt den datenschutzrechtlichen Rahmen und Regelungsmöglichkeiten der Nutzung des betrieblichen Internet- und E-Mail-Dienstes durch die Beschäftigten auf. Sie soll es den Arbeitgebern und den Beschäftigten erleichtern, eine klare Regelung im Unternehmen zu erreichen, soweit eine private Nutzung des Internets und/oder des E-Mail-Dienstes erlaubt sein soll. Zudem enthält diese Orientierungshilfe ein Muster für eine Betriebsvereinbarung/Richtlinie/Anweisung für die private Nutzung von Internet und/oder des betrieblichen E-Mail Postfachs.
Im Anhang:
- Muster einer Betriebsvereinbarung für die private Nutzung des Internets
- Muster einer Betriebsvereinbarung für die private Nutzung des Internets und des betrieblichen E-Mail-Postfachs
- Einwilligungserklärung zur privaten Nutzung des betrieblichen Internetzugangs und des betrieblichen E-Mail-Postfachs
Siehe auch die Pressemeldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

11.02.2016

Art. 29 WP: Statement on the 2016 action plan for the implementation of the GDPR

Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR):
As the GDPR is close to adoption, the Article 29 Working Party (WP29) must develop guidelines, tools and procedures to allow the new legal framework to be effective for the first semester of 2018.
The following action plan has been designed for 2016 and aims to draw the priorities for the WP29 in preparing the transition into the new legal framework, in particular the European Data Protection Board (EDPB). [...]

03.02.2016

Art. 29 WP: Consequences of the CJEU judgment in the Schrems case for international transfers

Article 29 Data Protection Working Party - STATEMENT on the consequences of the Schrems judgment (pdf):
[...] The WP29 recalls that since the Schrems judgment, transfers to the U.S. cannot take place on the basis of the invalidated Safe Harbour decision. EU data protection authorities will therefore deal with related cases and complaints on a case-by-case basis.
The WP29 calls on the Commission to communicate all documents pertaining to the new arrangement by the end of February. The WP29 will then be in position to complete its assessment for all personal data transfers to the U.S. at an extraordinary plenary meeting that will be organized in the coming weeks. After this period, the WP29 will consider whether transfer mechanisms, such as Standard Contractual Clauses and Binding Corporate Rules, can still be used for personal data transfers to the U.S. In the meantime, the WP29 considers that this is still the case for existing transfer mechanisms.
Update 05.02.2016: Memorandum dated 1 February 2016 by Prof. Lokke Moerel of Morrison & Foerster: "An assessment of the impact of the Schrems judgement on the data transfer grounds available under EU data protection law for data transfers to the U.S." (pdf)
UpdatePressemitteilung vom 5.2.2016, Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (BRD); some critical views on the #PrivacyShield: Erich Möchel auf FM4, Bei "Safe Harbour 2" droht EU-Kapitulation; AccessNow, Activating the EU-US Privacy Shield: To protect privacy, we need reform, not rebranding

CNIL: Manuals on how to carry out a Privacy Impact Assessment (PIA)

I missed this back in 2015: CNIL has published three manuals (pdf) regarding Privacy Impact Assessments:
New guides for carrying out PIAs (Privacy Impact Assessments) have been published by the CNIL. The method will help data controllers to implement Privacy by design. [...]
Source: Press release

02.02.2016

OGH: Minderjährige und "ersatzweise" Einwilligung?

OGH 13. 1. 2016, 15 Os 176/15v
Eltern können für ihr minderjähriges Kind nicht in eine mediale Berichterstattung einwilligen, die dessen höchstpersönlichen Lebensbereich verletzt.
Jede (zulässige) Verfügung über eine mediale Veröffentlichung ‑ wie etwa die Zustimmung im Sinn des § 7 Abs 2 Z 3 MedienG ‑ stellt ein höchstpersönliches Recht dar. Für diese gilt der Grundsatz, dass sie mit einer gesetzlichen Vertretung unvereinbar sind. Dieses höchstpersönliche Recht kann weder durch gesetzliche Vertreter oder Sachwalter noch durch das Pflegschaftsgericht ersetzt werden.

Anmerkung: Sofern und soweit diese Entscheidung auch auf die datenschutzrechtliche Zustimmung ausstrahlt (arg "höchstpersönliches Recht"), ist fraglich, ob die Einholung einer Zustimmung (künftig unter der DS-GVO: Einwilligung) bei "zustimmungsunfähigen" Minderjährigen (zB vor Vollendung des 14. Lebensjahres) überhaupt noch möglich ist.
Wobei die DS-GVO in Hinkunft zumindest bei "Onlinediensten" die ersatzweise bzw. "autorisierende" Einwilligung durch einen Erziehungsberechtigten zulässt und eine - bislang in Österreich nicht rechtssicher geklärte - Altersgrenze für die Erlangung (?) der dsr Einwilligungsfähigkeit vorsieht (s Artikel 8 Abs 1: In den Fällen, in denen Artikel 6 Absatz 1 Buchstabe a zur Anwendung kommt, ist die Verarbeitung personenbezogener Daten eines Kindes, dem direkt Dienste der Informationsgesellschaft angeboten werden, bis zum vollendeten sechzehnten Lebensjahr oder, sofern im Recht eines Mitgliedstaats vorgesehen, bis zu einer niedrigeren Altersgrenze, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf, nur rechtmäßig, wenn und insoweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.).
Update: Der Volltext des Beschlusses ist verfügbar, Verlinkung eingefügt.

EU-US data protection framework agreed (ex-Safe Harbo[u]r - rebranded "EU-US Privacy Shield")

Live press conference available here. Final text unavailable as the "Adequacy Decision" will be drafted over the coming weeks, to be in force in 3 months at the earliest ...

Update: EU Commission press release, EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield:
"... The College has today mandated Vice-President Ansip and Commissioner Jourová to prepare a draft "adequacy decision" in the coming weeks, which could then be adopted by the College after obtaining the advice of the Article 29 Working Party and after consulting a committee composed of representatives of the Member States. In the meantime, the U.S. side will make the necessary preparations to put in place the new framework, monitoring mechanisms and new Ombudsman. ..."
Update 2: The Article 29 WP will hold a press conference today (3.2.2016, 13:00), livestream here. Baseline: If you are still transferring data under Safe Harbor, you are in breach of EU/national law. BCRs and standard contractual clauses are ok for now, but are under scrutiny ...
According to the Article 29 WP´s chairwoman, Ms Falque-Pierrotin, the WP will publish a statement on the Privacy Shield later this afternoon.
Update 3: Edited text above to reflect that the European Commission has presented documents regarding the "EU-U.S. Privacy Shield".

Buchhinweise Datenschutz

Für Datenschutzinteressierte, die "über den Tellerrand" blicken möchten: Prof. Solove hat hier eine Liste englischsprachiger Literatur rund um das Thema Datenschutz/data privacy/security veröffentlicht.
Das Buch "Privacy on the Ground" von Bamberger/Mulligan habe ich bereits bestellt, da es in Hinblick auf die DS-GVO (Stichwort "verpflichtender Datenschutzbeauftragter") und die Weiterentwicklung bzw. den Aufbau einer Datenschutzorganisation in Unternehmen etc. interessant zu sein scheint.
Update: Ich empfehle zudem das schon etwas ältere Buch von Ian Brown "Privacy Engineering - A dataflow and ontological approach" (erscheint angeblich im März 2016 auch als günstige Taschenbuchausgabe) - auch für interessierte Juristen und Juristinnen!

Norwegian Consumer Council screening privacy policies of mobile apps

The Norwegian Consumer Council will analyse terms, including privacy policies and behaviour of 20 mobile apps ["Appfail campaign"]. The purpose is to uncover and analyse potential threats to consumer protection, hidden in plain sight in the end user terms and privacy policies of apps.
The goal is to make consumers more aware of their rights, and at the same time raise the bar for app developers, involve enforcement agencies and make the business models more transparent and consumer friendly. The results will be published this winter and an overall report will be published before Easter. [...]
Source: Norwegian Consumer Council (Forbrukerrådet)