28.12.2016

FDA releases final guidance on Cybersecurity in Medical Devices

Postmarket Management of Cybersecurity in Medical Devices (pdf), Guidance for Industry and Food and Drug  Administration Staff Document issued on  December 28,  2016, corresponding blog post

21.12.2016

DSGVO: Berichtigung der deutschen Sprachfassung im Amtsblatt

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, L 314/72 vom 22.11.2016 (pdf hier):

Seite 50, Artikel 28 Absatz 7
Anstatt:
„(7)   Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.“
muss es heißen:
„(7)   Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.“
Seite 51, Artikel 30 Absatz 5
Anstatt:
„(5)   Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.“
muss es heißen:
„(5)   Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“
Seite 52 Artikel 33 Absatz 1
Anstatt:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, …“
muss es heißen:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, …“

OGH zur Kreditwürdigkeitsprüfung ("Bonitätsprüfung") durch Kreditgeber gem. § 7 Abs 1 und 2 VKrG

OGH 25.11.2016, 8 Ob 76/16h
[...] 2. Nach § 7 Abs 1 und 2 VKrG hat der Kreditgeber vor Abschluss des Kreditvertrags die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen zu prüfen, die er – soweit erforderlich – vom Verbraucher verlangt; erforderlichenfalls hat er auch Auskünfte aus einer zur Verfügung stehenden Datenbank einzuholen. Wenn diese Prüfung erhebliche Zweifel an der Fähigkeit des Verbrauchers ergibt, seine Pflichten aus dem Kreditvertrag vollständig zu erfüllen, hat der Kreditgeber den Verbraucher auf diese Bedenken gegen dessen Kreditwürdigkeit hinzuweisen.
Die Warnpflicht soll den Schutz des Verbrauchers vor verantwortungsloser Kreditaufnahme erhöhen, ohne ihn jedoch diesbezüglich zu bevormunden (ua Dehn in Apathy/Iro/Koziol, Österreichisches Bankvertragsrecht IV² Rz 2/51; Heinrich, Anforderungen an die Kreditwürdigkeitsprüfung im Verbraucherrecht, JBl 2014, 363; Leupold/Ramharter, Die Verletzung der Pflicht zur Warnung vor mangelnder Kreditwürdigkeit nach dem VKrG, ÖBA 2011, 469 [475]).
Den Kreditgeber trifft nach den Maßstäben eines sorgfältigen Vertreters seiner Branche nach § 7 Abs 1 VKrG zwar eine aktive Nachforschungspflicht, deren konkretes Ausmaß aber in jedem Fall von den konkreten Umständen des Einzelfalls abhängig ist (ua Heinrich in Schwimann/Kodek, ABGB4 Va § 7 VKrG Rz 14 mwN; EuGH 18. 12. 2014 Rs C-449/13, CA Consumer Finance [Rz 39]). [...]

EuGH: MS dürfen Betreibern keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen

EuGH 21.12.2016, Urteil in den verb Rs C-203/15, Tele2 Sverige AB / Post- och telestyrelsen, und C-698/15, Secretary of State for the Home Department / Tom Watson u.a.

Aus der EuGH-Pressemeldung (pdf; EN):
Die Mitgliedstaaten dürfen den Betreibern elektronischer Kommunikationsdienste keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen (The Members States may not impose a general obligation to retain data on providers of electronic communications services)
Das Unionsrecht untersagt eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. Es steht den Mitgliedstaaten aber frei, vorbeugend eine gezielte Vorratsspeicherung dieser Daten zum alleinigen Zweck der Bekämpfung schwerer Straftaten vorzusehen, sofern eine solche Speicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Speicherung auf das absolut Notwendige beschränkt ist. Der Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten muss von Voraussetzungen abhängig gemacht werden, zu denen insbesondere eine vorherige Kontrolle durch eine unabhängige Stelle und die Vorratsspeicherung der Daten im Gebiet der Union gehören

Aus dem Urteil:
On those grounds, the Court (Grand Chamber) hereby rules:
1. Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter of Fundamental Rights of the European Union, must be interpreted as precluding national legislation which, for the purpose of fighting crime, provides for general and indiscriminate retention of all traffic and location data of all subscribers and registered users relating to all means of electronic communication.
2. Article 15(1) of Directive 2002/58, as amended by Directive 2009/136, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter of Fundamental Rights, must be interpreted as precluding national legislation governing the protection and security of traffic and location data and, in particular, access of the competent national authorities to the retained data, where the objective pursued by that access, in the context of fighting crime, is not restricted solely to fighting serious crime, where access is not subject to prior review by a court or an independent administrative authority, and where there is no requirement that the data concerned should be retained within the European Union.
3. The second question referred by the Court of Appeal (England & Wales) (Civil Division) is inadmissible.

Passend dazu: Datenschutzrat verlangt von Justizministerium Gesamtübersicht über Vorratsdatennutzung

19.12.2016

European Supervisory Authorities: Discussion Paper on the Use of Big Data by Financial Institutions

Joint Committee Discussion Paper on the Use of Big Data by Financial Institutions (pdf)
[...] The ESAs have assessed potential benefits and risks linked to the use of Big Data by financial institutions, with a view to determining at a later stage which, if any, regulatory and/or supervisory actions may be needed to mitigate the risks while at the same time harnessing the potential benefits. The ESAs are issuing this Discussion Paper in order to receive feedback from stakeholders on this preliminary high-level assessment. [...]
EBA, EIOPA, and ESMA (the ESAs) welcome comments on this Discussion Paper on the Use of Big Data by Financial Institutions and in particular on the specific questions set out herein. 
Source: ESMA

EU Commission amends Decisions on standard contractual clauses and adequacy decisions

In the light of  CJEU Case C-362/14 Maximillian Schrems v Data Protection Commissioner, the EU Commission amends Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU and 2011/61/EU and Implementing Decisions 2012/484/EU and 2013/65/EU as well as Decisions 2001/497/EC and 2010/87/EU:
  • COMMISSION IMPLEMENTING DECISION (EU) 2016/2297 of 16 December 2016 amending Decisions 2001/497/EC and 2010/87/EU on standard contractual clauses for the transfer of personal data to third countries and to processors established in such countries, under Directive 95/46/EC of the European Parliament and of the Council
  • COMMISSION IMPLEMENTING DECISION (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council

Art. 29 WP: Opinion on amendment proposals in Standard Contractual Clauses and adequacy decisions

Article 29 Working party, Opinion 04/2016 on European Commission amendments proposals related to the powers of Data Protection Authorities in Standard Contractual Clauses and adequacy decisions (WP 241)

EU: Study on Big Data in Public Health, Telemedicine and Healthcare (incl. policy recommendations)

A Study on Big Data in Public Health, Telemedicine and Healthcare (pdf; written by Gesundheit Österreich Forschungs- und Planungs GmbH), financed by the Commission's Health Programme, has been published today.
It identifies examples of the use of Big Data in Health, and puts forward recommendations covering 10 relevant fields: awareness raising, education and training, data sources, open data and data sharing, applications and purposes, data analysis, governance of data access and use, standards, funding and financial resources, and legal and privacy aspects. [...]
Source: European Commission press release

ENISA: Report on Smart Hospitals and Smart Health Services/Infrastructures

ENISASmart Hospitals - Security and Resilience for Smart Health Service and Infrastructures (pdf)
This study proposes key recommendations for hospital information security executives and industry to enhance the level of information security in Smart Hospitals. Through the identification of assets and the related threats when IoT components are supporting a healthcare organisation the report described the Smart Hospital ecosystem and its specific objectives. Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, this document identifies mitigation techniques and good practices. [...]
Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, the study proposes key recommendations primarily for hospital executives. Namely hospitals should:
  • Establish effective enterprise governance for cyber security
  • Implement state-of-the-art security measures
  • Provide specific IT security requirements for IoT components in the hospital
  • Invest in NIS products
  • Establish an information security sharing mechanism
  • Conduct risk assessment and vulnerability assessment
  • Perform penetration testing and auditing
  • Support multi-stakeholder communication platforms (ISACs)
The study also makes recommendations for industry representatives in order to enhance the level of information security in smart hospitals. Namely industry players should:
  • Incorporate security into existing quality assurance systems
  • Involve third parties (healthcare organisations) in testing activities
  • Consider applying medical device regulation to critical infrastructure components
  • Support the adaptation of information security standards to healthcare [...]


Source: ENISA

17.12.2016

Report on Health Wearable Devices in the Big Data Era

The report, Health Wearable Devices in the Big Data Era: Ensuring Privacy, Security, and Consumer Protection, provides an overview and analysis of the major features, key players, and trends that are shaping the new consumer-wearable and connected-health marketplace.
Source: Center for Digital Democracy

15.12.2016

Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability)

From the press release:
Consistent with its 2016 Action Plan decided in February 2016, the WP29 adopted during the December plenary:
To complement  this, the WP29 welcomes any additional comments that  stakeholders may have on the adopted guidelines until the end of January  2017. The comments on guidelines can be sent  to the following addresses: JUST-ARTICLE29WP-SEC@ec.europa.eu and presidenceg29@cnil.fr.
Finally, the guidelines on Data Protection Impact Assessments and Certification will be ready in 2017.
Source: Article 29 WP

14.12.2016

Leak: draft EU Commission communication on the Data Economy

Leak: draft EU Commission communication on the Data Economy (free data flows, ownership, liability etc):
http://www.euractiv.com/wp-content/uploads/sites/2/2016/12/data-communication.pdf (pdf; source: Euractiv)

OGH: Verbreitung herabsetzender Äußerungen Dritter mittels Facebook

OGH 24.10.2016, 6 Ob 52/16i
Verbreitet jemand eine herabsetzende Äußerung eines Dritten gegenüber einem Politiker/einer Politikerin (hier über seine Facebookseite) und bringt er seine Zustimmung dazu zum Ausdruck, so ist er für diese Äußerung auch selbst verantwortlich. Mangels Tatsachensubstrats scheidet auch eine Satire aus.
Quelle: Pressemeldung OGH

13.12.2016

BayLDA: Der One Stop Shop in der DSGVO

Kurz-Papier "Der One Stop Shop" (pdf):
Die DS-GVO führt das Konzept des One Stop Shop [OSS] ein, wenn es um sog. grenzüberschreitende Verarbeitung personenbezogener Daten geht. Das bedeutet: Bei grenzüberschreitender Verarbeitung ist die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Für Unternehmen hat das den Vorteil, dass sie wegen ein und derselben Verarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen.
Quelle: BayLDA

12.12.2016

Leaked draft ePrivacy Regulation

Leaked draft ePrivacy Regulation (pdf), Source: Politico

EuGH: Inkassobüro kann als "Kreditvermittler" iSd Art 3 lit f VerbraucherkrediteRL einzustufen sein

EuGH 08.12.2016, C-127/15 - VKI/Inko, mehr dazu beim VKI.
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
1.      Art. 2 Abs. 2 Buchst. j der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates ist dahin auszulegen, dass eine Vereinbarung über einen neuen Tilgungsplan, die über ein Inkassobüro zwischen einem Kreditgeber und einem säumigen Verbraucher geschlossen wird, nicht „unentgeltlich“ im Sinne dieser Bestimmung ist, wenn sich der Verbraucher darin verpflichtet, den Gesamtbetrag des Kredits zu zahlen sowie Zinsen und Kosten, die im ursprünglichen Vertrag über die Gewährung des Kredits nicht vorgesehen waren.
2.      Art. 3 Buchst. f und Art. 7 der Richtlinie 2008/48 sind dahin auszulegen, dass ein Inkassobüro, das für einen nicht getilgten Kredit im Namen des Kreditgebers einen neuen Tilgungsplan vereinbart, aber nur in untergeordneter Funktion als Kreditvermittler beteiligt ist, was zu prüfen Sache des vorlegenden Gerichts ist, als „Kreditvermittler“ im Sinne von Art. 3 Buchst. f anzusehen ist und nicht der in den Art. 5 und 6 der Richtlinie aufgestellten Verpflichtung unterliegt, dem Verbraucher vorvertragliche Informationen zu erteilen. 

BRD: Dt. Anwaltverein - Stellungnahme zur Frage des „Eigentums“ an Daten und Informationen

Stellungnahme (Nr. 75/2016) des Deutschen Anwaltvereins vom 25.11.2016 durch den Ausschuss Informationsrecht zur Frage des „Eigentums“ an Daten und Informationen (pdf)
Der DAV befasst sich mit der Frage des „Eigentums“ an Daten und Informationen, gibt einen Überblick zur in Deutschland geltenden Rechtslage und warnt vor übereilter Gesetzgebung auf europäischer Ebene.
Quelle: Newsroom DAV

Weitere aktuelle Stellungnahmen: SN 81/16: Datenschutz und Mandatsgeheimnis; SN 84/16: Datenschutz-Anpassungs- und -Umsetzungsgesetz

07.12.2016

UNESCO: “Privacy, free expression and transparency: redefining their new boundaries in the digital age”

This publication [pdf] examines the crucial challenges of balancing the fundamental rights of privacy and freedom of expression, and the related value of transparency, in an online context. It was commissioned following UNESCO’s new approach to Internet issues as set out in the Connecting the Dots Outcome Document adopted by UNESCO’s 195 Member States in November 2015. [...] The study was commissioned by UNESCO and authored by Joseph Cannataci, Bo Zhao, Gemma Torres Vives, Shara Monteleone, Jeanne Mifsud Bonnici and Evgeni Moyakine, from the STeP (Security, Technology and e-Privacy) – Research Group in the University of Groningen. UNESCO thanks the financial support of the Ministry of Foreign Affairs of the Netherlands. [...] 

DSG 2000: OGH u.a. zum Gebot des gelindesten Mittels, Datenübermittlung u. berechtigte Interessen

OGH 27.06.2016, 6 Ob 191/15dAuszüge und Rechtssätze:
Der erkennende Senat hält die in der Entscheidung 6 Ob 148/00h zwischen dem Recht auf Geheimhaltung (§ 1 Abs 1 DSG 2000) und dem Recht auf Auskunft, Richtigstellung und Löschung (§ 1 Abs 3 DSG 2000) nicht differenzierende Auffassung im Hinblick auf den Wortlaut des § 1 Abs 1 und 3 DSG 2000 nicht aufrecht. Spricht doch Absatz 1 allgemein von „Daten“ und Absatz 3 aber von Daten, die zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh ohne Automationsunterstützung geführten „Dateien“ bestimmt sind. Die Entscheidung 6 Ob 148/00h stützt sich vor allem auf eine Interpretation der Datenschutzrichtlinie (RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Diese Richtlinie verbietet es indes den Mitgliedstaaten nicht, einen bereits bestehenden, über den Anwendungsbereich der Datenschutzrichtlinie hinausgehenden Rechtsschutz zu gewähren (vgl Rosenmayr-Klemenz, Zum Schutz manuell verarbeiteter Daten durch das DSG 2000, ecolex 2001, 639). Das schon nach dem DSG 1978 unabhängig von der Art der Verarbeitung der Daten gewährte Recht auf Geheimhaltung (vgl VfSlg 12.194/1989) wurde durch das DSG 2000 nicht geändert (Rosenmayr-Klemenz aaO).
Das Recht auf Geheimhaltung gemäß § 1 Abs 1 DSG 2000 beschränkt sich nicht auf personenbezogene Daten, die in einer Datei aufscheinen.
--
Beschränkungen des Grundrechts auf Datenschutz durch private Auftraggeber bedürfen keiner ausdrücklichen gesetzlichen Grundlage. Als Voraussetzung für die Zulässigkeit des Eingriffs in das Grundrecht auf Datenschutz, der nicht von einer staatlichen Behörde im Rahmen ihrer hoheitlichen Befugnisse erfolgt, kann auch nur eine Abwägung zwischen den „berechtigten“ Interessen des Eingreifenden und dem Geheimhaltungsinteresse des Betroffenen im Einzelfall durchzuführen sein, wobei die Interessen des Eingreifenden überwiegen müssen. „Berechtigte“ Interessen sind von der Rechtsordnung anerkannte Interessen. Dies setzt voraus, dass die Datenverwendung rechtlich angeordnet oder anerkannt ist, eine (verfassungs‑, einfachgesetzliche oder auf vertraglicher Vereinbarung beruhende) rechtliche Basis aufweisen kann oder für die Durchsetzung von Rechtspositionen erforderlich ist. Innerhalb dieses Rahmens kommen auch wirtschaftliche Interessen in Betracht.
--
§ 7 Abs 2 Z 2 DSG verpflichtet den Empfänger vor der Übermittlung im Hinblick auf den (rechtmäßigen) Zweck der Übermittlung, wenn dies nicht außer Zweifel steht, glaubhaft zu machen, dass er tatsächlich selbst die gesetzliche Zuständigkeit oder rechtliche Befugnis besitzt. Der Empfänger hat seine rechtliche Befugnis initiativ glaubhaft zu machen. Die Beurteilung, ob die Glaubhaftmachung gelungen ist oder ob keine Zweifel vorliegen, obliegt dem Übermittler. Daneben muss jedoch auch die Übermittlung von Daten aus eigenem Antrieb des Übermittlers zu einem rechtmäßigen Zweck an einen Empfänger zulässig sein, der tatsächlich über die gesetzliche Zuständigkeit oder rechtliche Befugnis verfügt. Entscheidend ist nicht, ob der Übermittler vor der Übermittlung Zweifel an der Zuständigkeit oder Befugnis des Empfängers hatte oder haben musste, sondern dass die Übermittlung an einen im Hinblick auf den Übermittlungszweck tatsächlich befugten Empfänger erfolgt.
Beisatz: Bei einem Unterlassungsanspruch nach § 32 Abs 2 DSG trifft nach allgemeinen Regeln grundsätzlich den Kläger die Beweislast, dass der Beklagte eine Übermittlung an im Hinblick auf den Übermittlungszweck rechtlich nicht befugte Empfänger vorgenommen hat. Der Kläger kann gemäß § 26 Abs 1 DSG vom Beklagten auch Auskunft über die Empfänger der Übermittlung verlangen.
--
Das Gebot des gelindesten Mittels ist nicht als grundsätzliches Abwehrrecht des Betroffenen gegen die Verwendung von EDV‑Systemen durch Dritte zu verstehen. Personenbezogene Daten dürfen bei Vorliegen eines legitimen Verwendungszwecks, bei Nichtverletzung schutzwürdiger Geheimhaltungsinteressen und bei Achtung der Verhältnismäßigkeit stets in jenem Ausmaß verwendet werden, der zur Verfolgung dieses Ziels erforderlich ist. Es ist nicht zu prüfen, ob der Verwendungszweck durch konventionelle Maßnahmen des Auftraggebers (also ohne automationsunterstützte Datenverarbeitungssysteme) erreicht werden könnte.

EuGH: Empfehlungen an die nationalen Gerichte bezüglich der Vorlage von Vorabentscheidungsersuchen

Empfehlungen an die nationalen Gerichte bezüglich der Vorlage von Vorabentscheidungsersuchen (ABl 2016/C 439/01); Recommendations to national courts and tribunals, in relation to the initiation of preliminary ruling proceedings

Study: Cyber Security Strategy for the (EU) Energy Sector

Cyber Security Strategy for the Energy Sector
Summary: This study is provided by the Policy Directorate at the request of the ITRE Committee. The EU energy infrastructure is transitioning into a decentralised, digitalised smart energy system. Already, energy operations are increasingly becoming the target of cyber-attacks with potentially catastrophic consequences. Development of energy specific cyber security solutions and defensive practices are therefore essential. Urgent action is required, including empowering a coordination body, to promote sharing of incident information, development of best practice and relevant standards. (pdf; PE 587.333)
Authors : David Healey (Analysys Mason Limited), Sacha Meckler (nalysys Mason Ltd.), Usen Antia (nalysys Mason Ltd.) and Edward Cottle (nalysys Mason Ltd.)

CIPL: White Paper on the One-Stop-Shop (GDPR)

"The One-Stop-Shop and the Lead DPA as Co-operation Mechanisms in the GDPR", CIPL GDPR Interpretation and Implementation Project, November 2016 (pdf)
This paper is produced by the Centre for Information Policy Leadership at Hunton & Williams LLP (“CIPL”) as part of its project (“CIPL GDPR Project”) on the consistent interpretation and implementation of the GDPR.
Source: Press release

BRD: Rechtsgutachten zur Kontrolle der Daten bei vernetzten und automatisierten Pkw

Rechtsgutachten von Baum, Reiter & Collegen im Auftrag des vzbv (Langfassung; pdf):
[...] Im vorliegenden Rechtsgutachten wird im Auftrag des vzbv untersucht, wie der Anspruch von Verbrauchern auf Datensouveränität und Kontrolle der eingesetzten Software und Programmierungen im Auto durch Rechtsanpassungen und Gesetzesinitiativen durchgesetzt werden kann. Ebenso wird geprüft, durch welche gesetzgeberischen Maßnahmen die Einhaltung von Datenschutz und –sicherheit in den Rechtsgrundlagen für die Zulassungsverfahren und für die technische Prüfung von Pkw sichergestellt werden kann. Darüber hinaus ist Gegenstand des Gutachtens die Frage, wie die während der Fahrt generierten personenbezogenen Daten gegenüber Dritten geschützt werden können und die Vorgaben der Datenschutz-Grundverordnung umzusetzen sind. [...]
Quelle: Verbraucherzentrale Bundesverbands (vzbv), Pressemeldung

05.12.2016

Deutsche Datenschutzaufsichtsbehörden prüften Wearables

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen. […] Im Rahmen der Zuständigkeit werden die Datenschutzaufsichtsbehörden nun an die Hersteller herantreten und diese dazu auffordern, die Mängel zu beseitigen.
Quellen: Pressemitteilungen der Datenschutzaufsichtsbehörden aus Bayern, Brandenburg, Hessen, Niedersachsen, Schleswig-Holstein und Nordrhein-Westfalen sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 05.12.2016

FTC: Putting [Privacy et al.] Disclosures to the Test

FTC, Putting Disclosures to the Test