29.10.2016

Art. 29 WP sends letters to Yahoo (stolen data) and Whatsapp (ToS)

- Letter from the Art. 29 WP regarding WhatsApp updated Terms of Service and Privacy Policy
- Letter from the Art. 29 WP to Yahoo regarding user data stolen in 2014
- Press release (CNIL): The Article 29 Working Party (WP29) addressed, on October 27, 2016 a letter to WhatsApp regarding the update of its Terms of Service and Privacy Policy announced last August and a letter to Yahoo regarding the data breach occurred in 2014 and the scanning of customer emails for intelligence purposes. [...]

DSGVO: Entwurf Berichtigung/Corrigendum I verfügbar

http://data.consilium.europa.eu/doc/document/ST-12399-2016-INIT/en/pdf

28.10.2016

Vorträge der DSRI-Herbstakademie online verfügbar

Die Vorträge der DSRI-Herbstakademie sind nunmehr online, der Tagungsband ist auch bereits verfügbar (und empfehlenswert). Aufgrund der Dichte an Vorträgen zur DSGVO handelt es sich mE um Pflichtlektüre.
Im Folgenden eine kleine Auswahl zur DSGVO:

24.10.2016

BayLDA: Kurzüberblick zur Einwilligung gemäß DSGVO u. Weitergeltung erteilter Einwilligungen

Bayerisches Landesamt für Datenschutzaufsicht: Die Einwilligung nach der DS-GVO ist als eine Rechtmäßigkeitsvoraussetzung für die Verarbeitung personenbezogener Daten nur wirksam, wenn sie freiwillig und - bezogen auf einen bestimmten Fall - informiert abgegeben wird. Welche Änderungen sich künftig hierbei ergeben und wie insbesondere mit bereits nach dem BDSG erteilten Einwilligungen umgegangen werden muss, hat das BayLDA in einem kurzem Papier (pdf) zusammengefasst.
Quelle: BayLDA

Update: Auftragsverarbeitung nach der DS-GVO https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

23.10.2016

BayLDA: “IT-Manager" nicht als Datenschutzbeauftragter geeignet

Unternehmen, die personenbezogene Daten verarbeiten, sind unter bestimmten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtet. Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Das  Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einem solchen Fall eine Geldbuße gegen ein Unternehmen ausgesprochen.
Quelle: BayLDA Pressemitteilung (pdf)

19.10.2016

EuGH: Urteil in der Rs Breyer - dynamische IP-Adresse und Personenbezug/Speicherung

EuGH 19.10.2016, Rs C-582/14, Patrick Breyer / Bundesrepublik Deutschland
Aus der Pressemeldung:
Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.
Zur Vorgeschichte siehe hier und hier.
Update: Urteilsberichtigung durch Beschluss vom 06.12.2016, mehr bei Heise.de

14.10.2016

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter gegründet

"Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter -
Privacyofficers.at" (Website "work in progress"): Der unabhängige Verein bezweckt die Förderung und Vertretung der Interessen der betrieblichen und behördlichen Datenschutzbeauftragten Österreichs. Dazu dienen die folgenden Vereinsziele:
  • Schaffung eines aktiven Netzwerkes betrieblicher und behördlicher Datenschutzbeauftragter und sonstiger mit dem Thema Datenschutz Betrauter
  • Entwicklung, Darstellung sowie Förderung des Berufsbildes eines Datenschutzbeauftragten
  • Schaffung einer Plattform zum Informations- und Erfahrungsaustausch
  • Erstellung und Ausarbeitung von fachlichen Anleitungen und Empfehlungen
  • (Best Practice)
  • Entwicklung von Ausbildungsinhalten und Förderung entsprechender Maßnahmen im privaten und öffentlichen Bereich
  • Kooperation mit in- und ausländischen Berufsvereinigungen und internationalen Fachorganisationen aus dem Bereich Datenschutz
Obwohl derzeit in Österreich nicht gesetzlich zwingend vorgesehen, wird die ab dem 25. Mai 2018 in Geltung tretende DSGVO (Art 37 Abs 1) in vielen Fällen die Bestellung von Datenschutzbeauftragten durch Verantwortliche und Auftragsverarbeiter notwendig machen.

Newsletter d. österr. Datenschutzbehörde: Identitätsnachweis nach § 26 Abs. 1 DSG 2000 und online-Auskunftserteilung

Im aktuellen Newsletter 04/2016 (noch nicht online) bespricht die österreichische Datenschutzbehörde (DSB) mehrere Gerichtsentscheidungen, wovon ich zwei herausheben möchte:
  • VwGH 04.07.2016, Ra 2016/04/0014 (zum Identitätsnachweis nach § 26 Abs. 1 DSG 2000 und Nachweis der Vertretung durch einen Rechtsanwalt):
16 [...] Dass die Meldebestätigung nur der gemeldeten Person oder der Person, die die Meldepflicht trifft, auszustellen ist, ändert nichts daran, dass diese öffentliche Urkunde nicht dem Nachweis oder der Feststellung der Identität des Antragstellers dient. [...]
19 Die revisionswerbende Datenschutzbehörde wirft die Rechtsfrage auf, ob einem von einem Rechtsanwalt verfassten Auskunftsbegehren an einen Auftraggeber des privaten Bereichs (§ 5 Abs. 3 DSG 2000) eine Vollmacht beizulegen sei oder bloß die Berufung auf die erteilte Vollmacht ausreiche.20 Wird ein Auskunftswerber von einem Rechtsanwalt vertreten und schreitet dieser für den Auskunftswerber gemäß § 26 Abs. 1 DSG 2000 ein, so ist davon auszugehen, dass neben dem Nachweis der Bevollmächtigung ein weiterer Identitätsnachweis nicht erforderlich ist. So ist der Rechtsanwalt gemäß § 9 Abs. 1 RAO verpflichtet, die übernommenen Vertretungen dem Gesetz gemäß zu führen. Damit verweist diese Bestimmung auf die gesetzlichen Schranken, die auch für die Vertretungstätigkeit des Rechtsanwaltes gelten (vgl. das Urteil des Obersten Gerichtshofes (OGH) vom 10. Februar 2004, 4 Ob 233/03y). In dieser Hinsicht ist der Rechtsanwalt, wenn er gemäß § 26 Abs. 1 DSG 2000 einschreitet, auch verpflichtet, im Sinne dieser Bestimmung die Identität des Auskunftswerbers zu überprüfen.
Strittig ist vorliegend alleine, wie eine solche Bevollmächtigung gegenüber einem (datenschutzrechtlichen) Auftraggeber des privaten Bereichs nachzuweisen ist. [...]
22 § 8 Abs. 1 zweiter Satz RAO erfasst nur die Vertretung des Rechtsanwaltes vor Gerichten und Behörden, nicht jedoch - wie hier - gegenüber privaten Auftraggebern nach dem DSG 2000. Gegenüber diesen ist vor dem Hintergrund der hg. Rechtsprechung, wonach für einen Identitätsnachweis nach § 26 Abs. 1 DSG 2000 ein hoher Grad an Verlässlichkeit zu fordern ist, grundsätzlich die Vorlage eines urkundlichen Nachweises der Bevollmächtigung zu fordern, um einen geeigneten Identitätsnachweis alleine im Wege einer Vertretung durch einen Rechtsanwalt zu erbringen. Im Hinblick auf die zu fordernde Verlässlichkeit kann auch dem Vorbringen der mitbeteiligten Partei in ihrer Revisionsbeantwortung, wonach eine Regelung wie § 8 Abs. 1 zweiter Satz RAO für den privatrechtlichen Bereich nicht notwendig sei, weil dort ein solcher allgemeiner Formzwang für Vollmachten nicht vorgesehen sei, nicht gefolgt werden. [...]
  • DSB 15.06.2016, DSB-D122.471/0007-DSB/2016 (zur Auskunftserteilung durch Online-Zugang; n.rk.): noch nicht im RIS; die DSB kam hier zum Ergebnis, dass eine Auskunftserteilung grds. nicht zwingend in Papierform erfolgen muss.

07.10.2016

Art. 29 WP: Results of the workshop "GDPR/from concepts to operational toolbox/DIY"

Worth reading:
Fablab “GDPR/from concepts to operational toolbox, DIY”- Results of the discussion (pdf):

In order to prepare for the timely and proper implementation of the GDPR, the Article 29 Working Party organized a Fablab workshop with the title “GDPR/from concepts to operational toolbox, DIY”, which took place on July 26, 2016 in Brussels and enabled participants to discuss with European representatives of the industry, the civil society, academics and relevant associations, certain operational and practical issues. [...]
The Fablab’s objective was to “feed” the Article 29 Working Party in order to develop, at the end of the year, best practices and guidelines with regards to:
(A) the delivery of guidelines on the Data Protection Officer ;
(B) the development of guidelines on the format, scope and modalities of Data Portability ;
(C) the production of a methodology and templates for Data Protection Impact Assessment, including the definition of guidance related to risk assessment in the GDPR, and finally ;
(D) the definition of criteria and mechanisms relating to certification and certification bodies.
The Article 29 Working Party should organize another Fablab workshop in 2017 for the discussion of other important operational and practical issues relating to the GDPR. [...]

05.10.2016

VwGH: Datenschutzrechtliche Beurteilung einer Dashcam

VwGH 12. September 2016, Ro 2015/04/0011 (pdf), für eine Zusammenfassung siehe diese VwGH-Pressemeldung, eine erste Besprechung findet man hier.
Aus den Entscheidungsgründen:
[...] Nach den ­ vom Revisionswerber nicht bestrittenen ­ Feststellungen des Verwaltungsgerichtes kann die dauerhafte Speicherung von Bilddaten unter anderem durch das Auslösen eines sogenannten „SOS­-Button“ erfolgen und dieser kann jederzeit (somit offenbar ohne Einschränkungen) betätigt werden. Schon aus diesem Grund ist es nach Ansicht des Verwaltungsgerichtshofes ausgeschlossen, das vorliegende System als gelindestes Mittel (im Sinn des § 7 Abs. 3 DSG 2000) anzusehen (siehe allgemein dazu Jahnel, Handbuch Datenschutzrecht [2010] Rz. 4/96, 2/67 ff).
Auf die (vom Verwaltungsgericht der Sache nach anerkannten) Bemühungen des Revisionswerbers um eine möglichst geringe datenschutzrechtliche Eingriffsintensität muss daher ebenso wie auf die Erlaubnistatbestände des § 50a DSG 2000 nicht weiter eingegangen werden. [...]

01.10.2016

"Networks of Control": A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy

Networks of Control - A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy by Wolfie Christl and Sarah Spiekermann:
[...] In their report, Wolfie Christl and Sarah Spiekermann explain how a vast number of companies have started to engage in constant surveillance of the population. Without peoples’ knowledge a network of global players is constantly tracking, profiling, categorizing, rating and affecting the lives of billions – across platforms, devices and life contexts. While special interest groups have been aware of the corporate use of personal data for a while now, the full degree and scale of personal data collection, use and – in particular – abuse has not been scrutinized closely enough. This gap is closed with this book entitled “Networks of Control – A Report on Corporate Surveillance, Digital Tracking, Big Data & Privacy”. [...]
Source: Crackedlabs.org

OGH: Abgrenzung unzulässiger Werbung des Arztes (hier: Empfehlung eines Optikers) von zulässiger Information

OGH 30.08.2016, 4 Ob 133/16mDas Werbeverbot in § 3 der Verordnung Arzt und Öffentlichkeit 2014 kann in vertretbarer Weise dahin ausgelegt werden, dass es dem Arzt nicht untersagt ist, auf Frage eines Patienten einen bestimmten Anbieter der von ihm verordneten Produkte zu empfehlen. Anders wäre nur dann zu entscheiden, wenn die Empfehlung auf sachfremden Motiven, insbesondere auf einem damit verbundenen Vorteil für den Arzt, beruhte.
Quelle: OGH Pressemeldung