28.06.2016

Mayer-Schönberger/Padova on Big Data & GDPR; Santos on GDPR & Healthcare Research

Schweiz und Irland: Tätigkeitsberichte 2015 der Datenschutzbehörden (EDÖB und DPC)

  • Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellte gestern seinen Tätigkeitsbericht (pdf) für den Zeitraum vom 1. April 2015 bis 31. März 2016 vor.
  • Annual Report of the Data Protection Commissioner of Ireland 2015 (pdf)
  • Somewhat older: Fundamental Rights Report 2016  of the European Union Agency for Fundamental Rights (see Chapter 5 on Information society, privacy and data protection)

24.06.2016

Kotschy, Zweckbindungsprinzip und zulässige Weiterverarbeitung

Das BIM stellt hier Rechtsmeinungen namhafter DatenschutzexpertInnen zu wichtigen Fragen der neuen Datenschutz-Grundverordnung und ihren Auswirkungen auf die österreichische Rechtslage zur Diskussion und Kommentierung vor.
Der erste Beitrag von Waltraut Kotschy beschäftigt sich mit dem Thema "Zweckbindungsprinzip und zulässige Weiterverarbeitung" (pdf).

16.06.2016

Liechtenstein: Datenschutzstelle veröffentlicht Tätigkeitsbericht 2015

Tätigkeitsbericht 2015 (pdf)

EuGH: Vorabentscheidungsersuchen zur Datenspeicherdauer im Handelsregister

Vorabentscheidungsersuchen der Corte suprema di cassazione (Italien), eingereicht am 23. Juli 2015 – Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Salvatore Manni, Rs C-398/15
 Ist der in Art. 6 Buchst. e der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995, umgesetzt durch das Decreto legislativo Nr. 196 vom 30. Juni 2003, niedergelegte Grundsatz, dass personenbezogene Daten nicht länger, als für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, vorrangig und steht daher dem in der Ersten Richtlinie 68/151/EG des Rates vom 9. März 1968 und im nationalen Recht in Art. 2188 des Codice civile und Art. 8 des Gesetzes Nr. 580 vom 29. Dezember 1993 vorgesehenen und mit dem Handelsregister umgesetzten System der Offenlegung insoweit entgegen, als dieses verlangt, dass jeder ohne zeitliche Begrenzung die im Register eingetragenen personenbezogenen Daten einsehen kann?
Ist es somit nach Art. 3 der Ersten Richtlinie 68/151/EG des Rates vom 9. März 1968 zulässig, dass die im Handelsregister veröffentlichten Daten in Abweichung von dem Grundsatz, dass sie zeitlich unbegrenzt gespeichert werden und von jedermann einsehbar sind, nicht mehr in diesem doppelten Sinne „öffentlich“ sind, sondern auf der Grundlage einer dem Datenverwalter übertragenen Einzelfallentscheidung nur zeitlich begrenzt und nur für bestimmte Empfänger zur Verfügung stehen?

Update 04.07.2016: Mantelero, Alessandro, Right to Be Forgotten and Public Registers. A Request to the European Court of Justice for a Preliminary Ruling (April 16, 2016). EDPL - European Data Protection Law Review, 2016/2 (Forthcoming)

Österr. Datenschutzbehörde (DSB): Unterlagen zu Vorträgen über soziale Netzwerke

Vorträge (Soziale Netzwerke zwischen Meinungsfreiheit und Datenklau) von Dr. Andrea JELINEK (Leiterin der Datenschutzbehörde) und (Privatsphäre und Überwachung im Zeitalter sozialer Medien) von Prof. Christian FUCHS (University of Westminster).
Quelle: DSB

DSB: Empfehlungen zur Datenverarbeitung in Krankenanstalten (Prüfungsschwerpunkt 2015)

DSB-D213.395/0003-DSB/2016 vom 18.5.2016
DSB-D213.396/0002-DSB/2016 vom 19.05.2016
DSB-D213.397/0005-DSB/2016 vom 17.5.2016
DSB-D213.398/0003-DSB/2016 vom 18.5.2016
DSB-D213.399/0003-DSB/2016 vom 18.5.2016
Auch interessant: DSB-D210.783/0004-DSB/2016 vom 23.5.2016 (Nutzerprofile ehemaliger Bediensteter, effektive Zugriffskontrolle auf Patientendaten)

Aus dem Datenschutzbericht 2015 der österr. Datenschutzbehörde:
"D213.395 bis D213.399
Diese Verfahren dienen der Umsetzung des Prüfungsschwerpunktes 2015 im Krankenanstaltenbereich. Die Datenschutzbehörde prüft dabei bei insgesamt fünf öffentlichen Krankenanstaltenträgern, ob datenschutzrechtliche Bestimmungen eingehalten werden. Zum Zeitpunkt der Berichtslegung sind die Verfahren anhängig."

13.06.2016

Vermischtes zur DSGVO

  • Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Infoblatt  zu Artikel 32 DSGVO ("Sicherheit der Verarbeitung", pdf); es sollen weitere Infos zur DSGVO erscheinen.
  • Synopse BDSG - DSGVO, RA Oppenhoff & Partner (pdf)
  • Best Practice Guide Dialogmarketing (Deutscher Dialogmarketing Verband e.V., BRD, pdf)
  • Lesehilfe zur Struktur der DSGVO (pdf; Karin Schuler)

09.06.2016

Transport einer DVD mit personenbezogenen Daten - what could possibly go wrong?

Empfehlung der österr. Datenschutzbehörde 24.05.2016, DSB-D213.462/0001-DSB/2016:

Die Datenschutzbehörde spricht aus Anlass der Meldung der N*** Aktiengesellschaft aus P*** (Auftraggeberin), vertreten durch die D*** Rechtsanwälte OG in P***, vom 21. April 2016, betreffend Verlust eines Datenträgers mit teilweise sensiblen personenbezogenen Daten folgende Empfehlung aus:
1.   Die Auftraggeberin möge durch technische Vorkehrungen und entsprechende Verpflichtung ihrer Dienstleister sicherstellen, dass
a.   die Überlassung sensibler personenbezogener Daten, einschließlich des Datentransfers durch den Austausch von Datenträgern, nur unter dem Schutz einer dem Stand der technischen Möglichkeiten entsprechenden und wirtschaftlich vertretbaren Verschlüsselung erfolgt, und
b.   die zur Entschlüsselung des Datenträgers oder der Datei erforderlichen Daten getrennt vom Datenträger oder der Datei ausgetauscht werden.
2.   Diese Empfehlung ist sofort, das heißt bei der nächsten Datenüberlassung, umzusetzen.
Rechtsgrundlagen: § 1 Abs. 1, § 4 Z 2, § 6 Abs. 1 Z 1, § 14 Abs. 1 und Abs. 2 Z 5 und 6 und § 30 Abs. 6 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999 idgF.

Gründe für diese Empfehlung
A. Vorbringen der Auftraggeberin
Die Auftraggeberin hat sich, anwaltlich vertreten, als datenschutzrechtlich Verantwortliche mit Schreiben vom 21. April 2016 an die Datenschutzbehörde gewendet und folgenden Sachverhalt gemeldet:
Im Rahmen einer Projektumstellung wurde ein Call-Center-Dienstleister gewechselt. Aufgabe des Call-Center-Dienstleisters ist es, Patienten, die mit den von der N*** AG entwickelten, produzierten und vertriebenen Arzneimittelspezialitäten „X***“ und „Y***“ behandelt werden („Patientenserviceprogramm“), und Abonnenten der Zeitschrift „Z***“ zu betreuen. Dem bisherigen Dienstleister wurde im Zuge der Beendigung der Dienstleistung gemäß § 11 Abs. 1 Z 5 DSG 2000 aufgetragen, die im Namen von der Auftraggeberin verarbeiteten Daten in Form einer DVD an die Auftraggeberin herauszugeben. Der Transport der DVD vom alten Dienstleister zur N*** Österreich Zentrale in P*** wurde am 14.4.2016 von einem verlässlichen Mitarbeiter der Auftraggeberin durchgeführt, der bereits derartige Transporte ohne Probleme durchgeführt hat. Dennoch ging der Datenträger während des Transports verloren. Bislang wurde die DVD nicht wieder gefunden. [...]

03.06.2016

EuGH: Schlussanträge des GA - Rs VKI vs Amazon EU Sàrl (AGB, Niederlassung)

EuGH, Schlussanträge des GA 02.06.2016, Rs C-191/15 - Verein für Konsumenteninformation gegen Amazon EU Sàrl; mehr dazu beim VKI:
V –    Ergebnis
129. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen wie folgt zu beantworten:
1.      Das auf die Prüfung der Missbräuchlichkeit von Klauseln in allgemeinen Geschäftsbedingungen eines Unternehmers, die für Verbraucher mit Wohnsitz in einem anderen Mitgliedstaat bestimmt sind, anwendbare Recht ist, sofern die Prüfung im Rahmen einer Unterlassungsklage erfolgt, die gemäß einem nationalen Gesetz, mit dem die Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen umgesetzt wurde, erhoben wird und auf das Verbot der Verwendung dieser Klauseln abzielt, aufgrund von Art. 6 Abs. 1 der Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11. Juli 2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht (Rom II) zu bestimmen.
2.      Art. 4 Abs. 3 der Verordnung Nr. 864/2007 ist für die Bestimmung des auf die Prüfung der Missbräuchlichkeit von Klauseln in allgemeinen Geschäftsbedingungen eines Unternehmers, die für Verbraucher mit Wohnsitz in einem anderen Mitgliedstaat bestimmt sind, anwendbaren Rechts, sofern die Prüfung im Rahmen einer Unterlassungsklage erfolgt, die gemäß einem nationalen Gesetz, mit dem die Richtlinie 2009/22 umgesetzt wurde, erhoben wird und auf das Verbot der Verwendung dieser Klauseln abzielt, nicht maßgeblich.
3.      Art. 3 Abs. 1 der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen ist dahin auszulegen, dass eine in allgemeinen Geschäftsbedingungen eines Unternehmers enthaltene, nicht im Einzelnen ausgehandelte Klausel, nach der ein im elektronischen Geschäftsverkehr mit einem Verbraucher geschlossener Vertrag dem Recht des Sitzmitgliedstaats des Unternehmers unterliegt, missbräuchlich ist, sofern sie beim Verbraucher den falschen Eindruck erweckt, dass auf den Vertrag allein das Recht dieses Mitgliedstaats anwendbar sei, ohne ihn darüber zu informieren, dass er nach Art. 6 Abs. 2 der Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I) auch das Recht hat, sich auf den Schutz zu berufen, den ihm die zwingenden Vorschriften des Rechts gewähren, das ohne die Klausel anwendbar wäre. Es ist Sache des nationalen Gerichts, dies unter Berücksichtigung aller relevanten Umstände des Falles zu prüfen.
4.      Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass ein Vorgang der Verarbeitung personenbezogener Daten nur dem Recht eines einzigen Mitgliedstaats unterliegen kann. Es handelt sich dabei um den Mitgliedstaat, in dem der für die Verarbeitung Verantwortliche eine Niederlassung besitzt – in dem Sinne, dass er dort mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit ausübt –, im Rahmen von deren Tätigkeiten die betreffende Datenverarbeitung ausgeführt wird. Dies zu beurteilen ist Sache des nationalen Gerichts.