30.11.2016

The General Data Protection Regulation - A survival guide

Note to myself: Linklaters, The General Data Protection Regulation - A survival guide (pdf):
"This guide sets out the key changes under the Regulation, as well as providing a “to do”
list and answers to many of the questions we have received from our clients about it."

23.11.2016

BRD: 2. Fassung d. "Datenschutz-Anpassungs- u. -UmsetzungsG" (RefE)

Referentenentwurf des Bundesministeriums des Innern vom 23.11.2016 - Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
Siehe auch die kritische Stellungnahme der Deutsche Vereinigung für Datenschutz e.V.; siehe auch beim BvD e.V.; Heise

CIPL Issues White Paper on the DPO’s Role under the GDPR

On November 17, 2016, the Centre for Information Policy Leadership (“CIPL”) at Hunton & Williams LLP issued a white paper on "Ensuring the Effectiveness and Strategic Role of the Data Protection Officer under the General Data Protection Regulation" (CIPL GDPR Interpretation and Implementation Project November 2016) (pdf):
Excerpt from the Executive Summary: [...] This CIPL paper on “Ensuring the Effectiveness and Strategic Role of the Data Protection Officer under the General Data Protection Regulation” examines the requirements for the appointment of a DPO and the nature, function and scope of the DPO role under the GDPR. The GDPR outlines key parameters and requirements for the DPO role, underscoring its significance in a wider data privacy accountability context. However, there are some areas that may present challenges for organisations, or require clarification, interpretation and guidance to ensure an effective implementation of the DPO role. This paper examines these areas and makes suggestions regarding implementation and interpretation as well as further guidance by the WP29. An overarching goal of the recommendations in this paper is to encourage a flexible interpretation of the DPO requirements to make them work for large multinational organisations, as well as SMEs, start-ups, NGOs and public authorities. [...]
Source: Press release

Österreich: Datenschutzrat verweist bereits jetzt auf DSGVO (Datenschutz-Folgenabschätzung)

Man beachte das neue Design des Webauftritts, hier geht es zur Pressemeldung:
[...] Neuerdings verweist der Datenschutzrat in seinen Stellungnahmen auf die neue EU-Datenschutz-Grundverordnung. Mit dieser neuen Verordnung wird ab Mai 2018 die derzeit geltende Form der Meldepflicht an das Datenverarbeitungsregister entfallen und an deren Stelle die Datenschutz-Folgenabschätzung eingeführt. "In diesem Sinne wird angeregt, bei kommenden Vorhaben schon jetzt zu prüfen, ob im Rahmen der allgemeinen Folgenabschätzungen die Datenschutz-Folgenabschätzung vorweg genommen werden kann", betont Maier. "Nachdem die künftige Regelung auch schon derzeit betriebene Datenanwendungen betreffen kann, wird angeraten, auch diese Datenanwendungen einer entsprechenden Prüfung zu unterziehen."
Von einer Datenschutz-Folgenabschätzung sind nicht nur der Bund, sondern auch Gebietskörperschaften wie Bundesländer, Städte und Gemeinden betroffen, sofern sie Datenanwendungen im eigenen Wirkungsbereich geregelt haben, so der Vorsitzende des Datenschutzrates abschließend.

OGH: Eindringen in fremde IT-Systeme verstößt gegen UWG

OGH 25.10.2016, 4 Ob 165/16t
Die Klägerin und die Beklagte erzeugen und vertreiben Ticket- und Eintrittssysteme für Skigebiete, Stadien und ähnliche Einrichtungen. Die Klägerin speichert die bei der Nutzung dieser Systeme gewonnenen Daten für ihre Kunden auf eigenen Servern ab; die Kunden können dann über das Internet mit Benutzername und Passwort darauf zugreifen. Ein Mitarbeiter der Beklagten entdeckte eine Sicherheitslücke im System der Klägerin und verschaffte sich Zugang zu den Daten. Er stellte Ausdrucke her und verwendete sie im Gespräch mit potentiellen Kunden als Beleg für Sicherheitsmängel bei der Klägerin.
Der Oberste Gerichtshof bestätigte eine Einstweilige Verfügung, mit der die Vorinstanzen der Beklagten die Nutzung dieser Daten untersagt hatten. Es handle sich dabei (auch) um Geschäftsgeheimnisse der Klägerin, zu denen sich die Beklagte rechtswidrig Zugang verschafft habe. Die Verwendung der Daten verstoße daher gegen § 11 UWG. Dass eine Sicherheitslücke vorgelegen sei, ändere nichts daran, dass die Daten erkennbar nicht für die Allgemeinheit bestimmt gewesen seien. Da die Einstweilige Verfügung schon aus diesem Grund zu Recht bestand, war nicht mehr zu prüfen, ob die Vorgangsweise der Beklagten auch gegen das Datenschutzgesetz oder andere Bestimmungen des UWG verstoßen hatte.
Quelle: Pressemeldung OGH

16.11.2016

GDD: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

Die veröffentlichte "GDD-Praxishilfe DS-GVO I - Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung" (pdf) der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) gibt einen Überblick über die Regelungen zur Bestellung von Datenschutzbeauftragten sowie deren Aufgaben und Stellung nach der DSGVO.

BRD: 92. Konferenz der unabhängigen Datenschutzbehörden - Standard-Datenschutzmodell V1.0 (SDM)

Ergebnisse der 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 9./10. November 2016 in Kühlungsborn
[...] Einen praktikablen Weg, rechtliche Vorgaben des geltenden Datenschutzrechts und zukünftig auch der EU-Datenschutzgrundverordnung in angemessene technische und organisatorische Maßnahmen umzusetzen, soll das Standard-Datenschutzmodell (SDM) eröffnen. Die Konferenz hat das SDM beraten und die Veröffentlichung der aktuellen Version [Anm. V1.0] als Erprobungsfassung beschlossen. Das SDM soll sowohl in der eigenen Kontroll- und Beratungspraxis als auch bei der Planung und beim Betrieb von Datenverarbeitungen durch verantwortliche Stellen im öffentlichen und nicht-öffentlichen Bereich erprobt werden. Das SDM wird von einer Arbeitsgremium der Konferenz laufend fortentwickelt. [...]
Quelle: Pressemeldung Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern; Tagungsband AK Technik-Workshop 2015: „Das Standard-Datenschutzmodell – der Weg vom Recht zur Technik"

Bundestag: Datenschutz bei vernetzten Fahrzeugen und Gesundheits-Apps


  • Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Renate Künast, Dr. Konstantin von Notz, Nicole Maisch, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN – Drucksache 18/10108 – Verbraucherschutz bei Gesundheits-Apps (pdf)

EuGH (Schlussanträge): Telefonverzeichnisse, Informationspflicht und Einwilligung (E-Privacy-RL)

EuGH (Schlussanträge des GA) 9.11.2016, Rs C‑536/15, Tele 2:
18. By its second question, the national court essentially asks the Court whether it is contrary to Article 25(2) of the Universal Service Directive and, in particular, the principle of non-discrimination to which the latter refers, for an undertaking that has received a request to make available its subscribers’ personal data to draw a distinction, when obtaining its subscribers’ consent, based on the Member State in which the telephone directory service and/or telephone directory enquiry service is provided.
19. In other words, if the request for information to be made available referred to in Article 25(2) of the Universal Service Directive is made by a telephone directory enquiry operator and/or a telephone directory operator providing its services in a Member State other than the subscriber’s Member State of residence, may that request be made to depend on the granting of specific consent by the subscriber?

IV – Conclusion
51. In the light of the foregoing, I therefore propose that the Court give the following answer to the second question submitted by the College van Beroep voor het bedrijfsleven (Administrative Court of Appeal for Trade and Industry):
On a proper construction of Article 25(2) of Directive 2002/22/EC of the European Parliament and of the Council of 7 March 2002 on universal service and users’ rights relating to electronic communications networks and services (Universal Service Directive), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, and Article 12 of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), as amended by Directive 2009/136, it is contrary to those provisions for an undertaking that has received a request for its subscribers’ personal data to be made available to draw a distinction, when obtaining its subscribers’ consent, according to the Member State in which the telephone directory service and/or telephone directory enquiry service is offered, provided, however, that such data is intended to be used for purposes identical to those for which it was collected with a view to its first publication.

That undertaking must therefore ensure that, when the subscription contract is signed, subscribers receive clear, precise information on the different aspects of the processing of their data and, in particular, on the supply of such data for the purpose of its publication in a telephone directory or of its use by a telephone directory enquiries service in a Member State other than the subscriber’s Member State of residence.

11.11.2016

EU-U.S. Privacy Shield: Klagegründe veröffentlicht

​EuGH, Klage eingereicht am 16.9
2016 — Digital Rights Ireland/Kommission, Rechtssache T-670/16 --(betreffend  Durchführungsbeschluss (EU) 2016/1250 der Kommission)
EN: Plea and main arguments

06.11.2016

BayLDA: Datenübermittlungen in Drittstaaten unter der DSGVO

​Die DS-GVO bringt für Datenübermittlungen in Nicht-EU-Staaten mehr Flexibilität als bislang. So kommen künftig auch genehmigte Verhaltensregeln (Codes of Conduct, CoC) und genehmigte Zertifizierungsmechanismen als Grundlage für derartige Übermittlungen in Betracht. Das Problem von Datenzugriffen ausländischer Behörden bedarf jedoch weiterer Klärung, auch seitens der Aufsichtsbehörden. Das Kurzpapier des BayLDA zu diesem Thema kann hier (pdf) heruntergeladen werden. Quelle: Bayerisches Landesamt für Datenschutzaufsicht

04.11.2016

ICO: Privacy notices under the EU General Data Protection Regulation

Somewhat older: ICO, Privacy notices, transparency and control - A code of practice on communicating privacy information to individuals, 7 October 2016
[...] This code of practice is designed as a good practice document to help you collect and use personal information fairly and transparently and give individuals appropriate control and choice over their data, including in a digital context. It focuses on drafting and communicating clear privacy notices that ensure that individuals know how information about them will be used, and that they understand the impact it will have on them. [...]

And another one: Overview of the General Data Protection Regulation (GDPR), 13 October 2016

Deutsche Datenschutzaufsichtsbehörden prüfen grenzüberschreitende Datenübermittlungen

Gemeinsam mit neun anderen deutschen Datenschutzaufsichtsbehörden nimmt die Landesbeauftragte für den Datenschutz Niedersachsen den Einsatz von Cloud Computing und andere Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland in den Fokus. Die in dieser Woche beginnende Schwerpunktprüfung soll insbesondere die Unternehmen dafür sensibilisieren, dass durch den Einsatz vieler gängiger IT-Anwendungen eine Daten-übermittlung in Drittländer stattfindet, was einer gesonderten Rechtsgrundlage bedarf. [...]
Quelle: Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 03.11.2016. Siehe auch hier beim BayLDA (Prüffragen: docx), die Anzahl geprüfter verantwortlicher Stellen beträgt laut BayLDA iinsgesamt 500.

Österreich: Jahrbuch Datenschutzrecht 2016 (hg. v. Prof. Jahnel) erschienen

Inhaltsverzeichnis (pdf), aus der Verlagswerbung:
"Das Jahrbuch Datenschutzrecht 2016 enthält - wie jedes Jahr - zahlreiche Beiträge zu den ganz aktuellen Fragen des Datenschutzrechts, diesmal ua zum neuen „EU-US-Datenschutzschild", zur Datenverarbeitung im Zusammenhang mit „Smart Cars", der biometrischen Gesichtserkennung und der Steuerung des Datenverkehrs im Internet. Einen weiteren Schwerpunkt bildet das Thema „Big Data" und Datenschutz.
Ausführlich besprochen werden die Aufhebung des Widerspruchsrechts in § 28 Abs 2 DSG durch den VfGH und das fundamentale „Google Spain und Google"-Urteil des EuGH. Besonders hervorzuheben ist schließlich noch ein fundierter und dennoch kompakter Überblick über die wesentlichen Inhalte der kommenden Datenschutz-Grundverordnung (DS-GVO).
Abgerundet wird das Jahrbuch durch eine praktische und aktuelle Judikaturübersicht zum Datenschutzrecht in Form von systematisch geordneten Leitsätzen.
"