30.09.2017

Publikation (Vorankündigung): Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO

Ich habe gemeinsam mit Walter Hötzendorfer und Renate Riedl für das Jahrbuch Datenschutzrecht 2017 (herausgegeben von Prof. Dr. Jahnel im NWV Verlag) einen über 30 Seiten langen Beitrag mit dem Titel "Ausgewählte Fragen der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO" verfasst. Als Anlagen haben wir auf Grundlage einer Analyse der bestehenden Ansätze ein umfangreiches Muster für einen Datenschutz-Folgenabschätzungs-Bericht und ein Muster über die Ermittlung der Notwendigkeit einer Datenschutz-Folgenabschätzung erstellt. Der Erscheinungstermin des Jahrbuches ist voraussichtlich im Oktober 2017.

17.08.2017

Österreichische Datenschutzbehörde aktualisiert DSGVO-Leitfaden

Leitfaden zur Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, zusammengestellt von Dr. Matthias Schmidl, Stand: Juli 2017 (pdf)
Einige interessante Auszüge, die mir beim neuerlichen Überfliegen aufgefallen sind (wobei ich keinen Vergleich mit der ursprünglichen Fassung vorgenommen habe):

  • Seite 19 ff: Kurzüberblick über das Datenschutz-Anpassungsgesetz 2018
  • Seite 27: Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Voraussichtlich ab August/September 2017 wird eine Schnittstelle zur Verfügung stehen, sodass bestehende DVR-Meldungen in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können (Anmerkung: siehe die neue Export-Funktion).
  • Seite 32 f: Kann ein Datenschutzbeauftragter verantwortlicher Beauftragter nach § 9 VStG sein? Der Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann.
  • Seite 31 f: Was ist eine „öffentliche Stelle“? [...]Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das Datenschutzanpassungsgesetz 2018 heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den Verantwortlichen des öffentlichen Bereichs. Darunter fallen alle Verantwortliche,
    • die in Formen des öffentlichen Rechts eingerichtet sind oder
    • zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung).
 Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. [...]

Berlin Group: Arbeitspapiere zu E-learning und nachrichtendienstl. Informationsbeschaffung

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation, die von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Frau Maja Smoltczyk, geleitet wird, hat auf ihrer 61. Sitzung am 24. und 25. April 2017 in Berlin zwei Arbeitspapiere verabschiedet, Pressemitteilung deutsch, Pressemitteilung englisch
Veröffentlichte Arbeitspapiere „E-Learning Plattformen“ und „Internationale Grundsätze zur Regulierung der nachrichtendienstlichen Informationsbeschaffung“ (Working Paper on E-Learning Platforms englishdeutsch; Working Paper: ‘Towards International Principles or Instruments to Govern Intelligence Gathering’ englishdeutsch)

11.08.2017

UK: New Data Protection Bill: the planned reforms & GDPR derogations

Department for Digital, Culture, Media and Sport, Statement of Intent dated 7 August 2017 (pdf); Annex - Summary of GDPR derogations in the Data Protection Bill (pdf) made available by the Open Rights Group

10.08.2017

BRD: Studie zur "Eigentumsordnung" für Mobilitätsdaten

"Eigentumsordnung" für Mobilitätsdaten? - Eine Studie aus technischer, ökonomischer und rechtlicher Perspektive (pdf; mit einem kurzen Exkurs betreffend Gesundheitsdaten), Auftraggeber: dt. Bundesministerium für Verkehr und digitale Infrastruktur
Die Studie wird einer breiten Fachkonsultation zugänglich gemacht, siehe hier.

01.08.2017

DSGVO: Deutsche Datenschutzkonferenz veröffentlicht Kurzpapiere Nr. 4 bis 8

Deutsche Datenschutzkonferenz: Kurzpapiere Nr. 4 bis 8 (pdf; Quelle: BayLDA):

BRD: Bundesarbeitsgericht zur Überwachung eines Dienstnehmers mittels Keylogger

Bundesarbeitsgericht, Urteil vom 27. Juli 2017, 2 AZR 681/16
Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG* unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. [...]

31.07.2017

Österreich: Datenschutz-Anpassungsgesetz 2018 im Bundesgesetzblatt kundgemacht (DSGVO-Anpassung)

Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018), BGBl I 120/2017.
Zur Vorgeschichte siehe hier.
Korrektur (dank des Hinweises von M.S.): Das DSG 2000 wird durch Z 1 des Datenschutz-Anpassungsgesetzes 2018 in "Datenschutzgesetz - DSG" (Kurzbezeichnung, Langtitel omitted) umbenannt und durch die restlichen Bestimmungen inhaltlich zu weiten Teilen neu gefasst.

29.07.2017

EuGH: vorliegendes PNR-Abkommen mit Kanada darf nicht abgeschlossen werden

EuGH, Gutachten 1/15 des Gerichtshofs (Große Kammer) vom 26. Juli 2017
Folglich äußert sich der Gerichtshof (Große Kammer) gutachtlich wie folgt:
1.      Der Beschluss des Rates über den Abschluss des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen im Namen der Union ist auf Art. 16 Abs. 2 gemeinsam mit Art. 87 Abs. 2 Buchst. a AEUV zu stützen.
2.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen ist nicht mit Art. 7, Art. 8, Art. 21 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union vereinbar, soweit es die Übermittlung sensibler Daten aus der Europäischen Union nach Kanada und die Verwendung und Speicherung solcher Daten nicht ausschließt.
3.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen muss, um mit Art. 7, Art. 8 und Art. 52 Abs. 1 der Charta der Grundrechte vereinbar zu sein,
a)      die aus der Europäischen Union nach Kanada zu übermittelnden Fluggastdatensätze klar und präzise definieren,
b)      vorsehen, dass die im Rahmen der automatisierten Verarbeitung von Fluggastdatensätzen verwendeten Modelle und Kriterien spezifisch und zuverlässig sowie nicht diskriminierend sind und dass nur Datenbanken verwendet werden, die von Kanada im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität betrieben werden,
c)      außer im Rahmen der Überprüfungen der im Voraus festgelegten Modelle und Kriterien, auf denen die automatisierte Verarbeitung der Fluggastdatensätze beruht, die Verwendung von Fluggastdatensätzen durch die zuständige kanadische Behörde während des Aufenthalts der Fluggäste in Kanada und nach ihrer Ausreise aus diesem Land sowie jede Weitergabe der Daten an andere Behörden materiell- und verfahrensrechtlichen Voraussetzungen unterwerfen, die sich auf objektive Kriterien stützen, sowie diese Verwendung und Weitergabe – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterwerfen, wobei die Entscheidung, mit der die Verwendung genehmigt wird, im Anschluss an einen mit Gründen versehenen Antrag ergeht, der von den zuständigen Behörden insbesondere im Rahmen von Verfahren zur Verhütung, Aufdeckung oder Verfolgung von Straftaten gestellt wird,
d)      die Speicherung von Fluggastdatensätzen nach der Ausreise der Fluggäste auf die Daten von Fluggästen beschränken, für die objektive Anhaltspunkte dafür vorliegen, dass von ihnen eine Gefahr im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität ausgehen könnte,
e)      die Weitergabe von Fluggastdatensätzen durch die zuständige kanadische Behörde an Behörden eines Drittlands davon abhängig machen, dass es ein Abkommen zwischen der Europäischen Union und dem betreffenden Drittland, das dem Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen äquivalent ist, oder einen Beschluss der Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gibt, der sich auf die Behörden erstreckt, an die Fluggastdatensätze weitergegeben werden sollen,
f)      ein Recht auf individuelle Information der Fluggäste im Fall der Verwendung der sie betreffenden Fluggastdatensätze während ihres Aufenthalts in Kanada und nach ihrer Ausreise aus diesem Land und im Fall der Weitergabe dieser Daten durch die zuständige kanadische Behörde an eine andere Behörde oder an Einzelpersonen vorsehen und

g)      gewährleisten, dass die Kontrolle der Einhaltung der Regeln des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen für den Schutz der Fluggäste bei der Verarbeitung der sie betreffenden Fluggastdatensätze durch eine unabhängige Kontrollstelle sichergestellt wird.

21.07.2017

EuGH (Schlussanträge): handschriftliche Prüfungsarbeit als personenbezogene Daten?

EuGH, Schlussanträge GA Kokott vom 20.07.2017,  Rs C‑434/16 (opinion, english version), Peter Nowak gegen Data Protection Commissioner (Vorabentscheidungsersuchen des Supreme Court [Irland]):
I.      Einleitung
1.        Besteht eine Prüfungsarbeit aus personenbezogenen Daten, so dass der Prüfungsteilnehmer deshalb möglicherweise auf der Grundlage der Datenschutzrichtlinie(2) vom Veranstalter der Prüfung Zugang zu seiner eigenen Arbeit verlangen kann? Darum geht es im vorliegenden Vorabentscheidungsersuchen des irischen Supreme Court. Das Ausgangsverfahren richtet sich jedoch nicht unmittelbar auf Zugang zu einer Prüfungsarbeit, sondern betrifft die Weigerung des ehemaligen irischen Datenschutzbeauftragten, einer Beschwerde wegen Verweigerung des Zugangs nachzugehen.
2.        Im Zentrum steht die Frage, ob die in einer Prüfungsarbeit enthaltenen Ausführungen des Prüfungsteilnehmers personenbezogene Daten sein können. Am Rande kann allerdings auch erörtert werden, ob es von Bedeutung ist, dass die Arbeit handschriftlich erstellt wurde, und ob auch Korrekturanmerkungen des Prüfers auf der Arbeit personenbezogene Daten des Prüfungsteilnehmers sind.
3.        Zwar wird die Datenschutzrichtlinie demnächst durch die noch nicht anwendbare Datenschutz-Grundverordnung(3) abgelöst, doch der Begriff der personenbezogenen Daten wird davon nicht berührt. Daher ist dieses Vorabentscheidungsersuchen auch für die zukünftige Anwendung des Datenschutzrechts der Union von Bedeutung. [...]
V.      Ergebnis
70.      Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
Bei einer handschriftlichen Prüfungsarbeit, die einem Prüfungsteilnehmer zugeordnet werden kann, handelt es sich einschließlich etwaiger Korrekturanmerkungen von Prüfern um personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. (A handwritten examination script capable of being ascribed to an examination candidate, including any corrections made by examiners that it may contain, constitutes personal data within the meaning of Article 2(a) of Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data.)

19.07.2017

OGH: Unterlassung der Verwendung und Beseitigung von "Bonitätsdaten", Fristenlauf nach § 34 Abs 1 DSG 2000

OGH 29.05.2017, 6 Ob 217/16d
[...] 2. Zum Fristenlauf nach § 34 Abs 1 DSG
Entscheidend ist hier, wann bei rechtswidrigen Dauerzuständen der Beginn des Fristenlaufs anzusetzen ist. Dazu hat sich in anderen Bereichen bereits eine gefestigte Rechtsprechung entwickelt:
Solange im Lauterkeitsrecht ein gesetzwidriger Zustand fortbesteht, bleibt gemäß § 20 Abs 2 UWG der Anspruch auf seine Beseitigung nach § 15 UWG und auf Unterlassung der Gesetzesverletzung gewahrt. [...]
Im Schadenersatzrecht besteht folgende Rechtsprechung: Bei fortgesetzter Schädigung beginnt die Verjährung für den Ersatz des erstentstandenen Schadens mit der Kenntnis des Beschädigten von ihm zu laufen; für jede weitere Schädigung beginnt eine neue Verjährung in dem Zeitpunkt, in welchem sie dem Beschädigten zur Kenntnis gelangt (RIS-Justiz RS0034536). Eine fortgesetzte Schädigung in diesem Sinn liegt vor, wenn durch eine schädigende Anlage, Nichtbeseitigen eines gefährlichen oder Aufrechterhalten eines rechtswidrigen Zustands Schäden hervorgerufen werden (RIS-Justiz RS0034536 [T13]). [...]
Im Sinn dieser Rechtsprechung ist es auch bei auf § 32 DSG gestützten Unterlassungs- und Beseitigungsansprüchen sachgerecht, bei rechtswidrigen Dauerzuständen wie im vorliegenden Fall sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustands beginnen zu lassen.
3. Zu § 39 Abs 2 BWG
[...] Die von der Revisionswerberin aus § 39 Abs 2 BWG abgeleiteten Verpflichtungen finden im Wortlaut der Bestimmung keine Deckung. § 39 Abs 2 BWG sieht lediglich ein von der Rechtsordnung grundsätzlich gebilligtes überwiegendes berechtigtes Interesse an der Sammlung, Aufbewahrung und Weitergabe bonitätsrelevanter personenbezogener Daten iSd § 8 Abs 1 Z 4 DSG 2000 vor. Diese Bestimmung legt jedoch nicht die Aufnahme bestimmter personenbezogenen Daten in eine Datenanwendung iSd § 4 Z 7 DSG 2000 und den Betrieb eines – kreditinstitutsübergreifenden – Informationsverbundsystems (§ 4 Z 13, § 50 DSG 2000) über bonitätsrelevante Daten verpflichtend fest (6 Ob 112/10d). [...]
Anmerkung: Mit Ausführungen des OLG Innsbruck zur Rechtswirksamkeit der Zustimmungserklärung  über die Weitergabe von Daten an die Kleinkreditevidenz.

ECHR: Factsheet on Personal data protection (July 2017)

European Court of Human Rights: Factsheet on Personal data protection (case law of the ECHR; July 2017; pdf)

05.07.2017

BRD: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU im BGBl

Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU, BGBl (pdf) - BDSG-neu

For my digital legal memory only ;)

DSGVO: Vermischtes (Verarbeitungsverzeichnis-Muster and more)

28.06.2017

Österreich: DSGVO-Anpassungsgesetz - aktueller Stand (Updates)

Mangels einer Verfassungsmehrheit (in der Regierungsvorlage eines "Datenschutz-Anpassungsgesetz 2018" waren - typisch für Österreich - Verfassungsbestimmungen enthalten, siehe Artikel 1 und § 1 DSG) im Verfassungsausschuss wurde mit den Stimmen von SP und VP ein "modifizierter" Text (aufgrund eines sog. "Gesamtändernden Abänderungsantrags") beschlossen, zudem kam es aufgrund von Interventionen von Forschungseinrichtungen zu einer sog. "Ausschussfeststellung" (hier haben auch die Grünen zugestimmt, siehe den Ausschussbericht), diese lautet wie folgt:
„Der Verfassungsausschuss geht in Bezug auf § 7 (’Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistischer Zwecke’) davon aus, dass die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs gemäß Erwägungsgrund 113 der Datenschutz-Grundverordnung auch durch die Erlassung spezialgesetzlicher Regelungen erreicht werden können. Damit sollen die in der Datenschutz-Grundverordnung vorgesehenen Öffnungsklauseln (insbesondere Art. 89 DSGVO) im Sinne der gedeihlichen Entwicklung des Hochschul-, Forschungs- und Innovationsstandortes Österreich genutzt werden, um praxisnahe Regelungen für die im öffentlichen Interesse liegenden Archivzwecke, die wissenschaftlichen oder historischen Forschungszwecke oder die statistischen Zwecke, insbesondere für pseudonymisierte Daten und Regelungen zur Registerforschung zu schaffen sowie Rechtssicherheit insbesondere für bereits bestehende biologische Proben- und Datensammlungen zu gewährleisten.“

Geändert wurde im Vergleich zur Regierungsvorlage u.a. Folgendes:
  • Art 8 DSGVO: § 4 Abs 4 DSG sieht die Einwilligungsfähigkeit ab dem Alter von 14 Jahren vor (anstelle von 16)
  • Art 10 DSGVO: § 4 Abs 3 DSG erlaubt unter bestimmten Voraussetzungen die Verarbeitung "strafrechtsbezogener" Daten durch Private (in der RV fehlte so eine Regelung komplett, was auch heftig kritisiert wurde)
  • Befugnisse der Aufsichtbehörde (Datenschutzbehörde): § 11 Abs 1 DSG sah u.a. vor , dass die Datenschutzbehörde nur im Fall eines begründeten Verdachtes auf Verletzung der Rechte und Pflichten Datenverarbeitungen überprüfen hätte können. Der "begründete Verdacht" wurde beseitigt (s nunmehr § 22 Abs 1).
  • Anpassung der "Reichweite" des § 25 (nunmehr § 7), um DSGVO-konform zu sein. Dies könnte auf die von mir im Auftrag meines Arbeitgebers verfasste Stellungnahme zurückgehen: "Ad § 25 DSG idF DS-AnpG 2018 (“Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik“): Auffällig ist zunächst, dass in § 25 DSG idF DS-AnpG 2018 keine Rede von „im öffentlichen Interesse liegenden Archivzwecken“ und „historischen Forschungszwecken“ ist, obwohl diese in der DSGVO ausdrücklich genannt (und privilegiert) werden (siehe ua Art 5 Abs 1 lit b, Art 9 Abs 2 lit j, Art 89 Abs 1). Sofern dadurch tatsächlich beabsichtigt wird, den Umfang der Datenverarbeitung für diese Zwecke einzuschränken, erscheint dies als (unzulässige) Beschränkung des Anwendungsbereichs der DSGVO durch nationales Recht."
  • Update, Einschränkung des Verweises auf das ArbVG: § 11: Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.
Das Datenschutz-Anpassungsgesetz 2018 soll morgen, 29.6.2017 vom Nationalrat beschlossen werden, angeblich soll es noch zu einer kleinen Abänderung kommen ...
Update 29.06.2017: Vom Nationalrat (mit einem Abänderungsantrag) beschlossen, womit in das „DSG neu“ eine Norm aufgenommen wird, die die „alten“ unter dem DSG 2000 eingeholten Zustimmungserklärungen auch unter der neuen Rechtslage ab 25.5.2018 für wirksam erklärt (sofern diese auch der DSGVO entsprechen – als Vorlage diente offenbar der Beschluss des deutschen "Düsseldorfer Kreises": https://datenschutz-berlin.de/attachments/1254/2016-Duesseldorfer-Kreis-Alteinwilligung.pdf?1474624406)
Update 03.07.2017: Abänderungsantrag verlinkt; auf der TO des Bundesrats am 06.07.2017
Update 07.07.2017: Der Bundesrat hat gestern zugestimmt (Pressemeldung), next steps: Bundeskanzler und Bundespräsident, danach Kundmachung im BGBl.
Update 31.07.2017: Kundmachung im Bundesgesetzblatt, siehe hier.

23.06.2017

Art 29 WP: Opinion 2/2017 on data processing at work

Article 29 Working Party releases Opinion 2/2017 on data processing at work (WP 249, pdf), adopted on 8 June 2017:
"... Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer. ..."

14.06.2017

BfDI: Datenschutzrechtliche Empfehlungen zum automatisierten u. vernetzten Fahren

Datenschutzrechtliche Empfehlungen der BfDI zum automatisierten und vernetzten Fahren (pdf)

Datenschutzbehörde: Einwilligungerklärung in AGB, "Koppelungsverbot"

DSB 22.05.2017, DSB-D216.396/0003-DSB/2017
[...] Eine ausdrückliche Zustimmung des Betroffenen kann keinesfalls dann vorliegen, wenn sie bloß als Bestandteil von Allgemeinen Geschäftsbedingungen vom Betroffenen zur Kenntnis genommen wurde. Vielmehr liegt eine „ausdrückliche“ schriftliche Zustimmung nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung getrennt von etwaigen sonstigen vertraglichen Vereinbarungen gegeben hat.
Hinsichtlich der Form der Zustimmungserklärung ist daher zu verlangen, dass diese deutlich vom übrigen Text eines Formulars, eines Schriftstückes udgl. abgesetzt ist. Hinweise auf allgemeine Geschäftsbedingungen, auf Angaben in anderen Dokumenten, die nicht Bestandteil des unterzeichneten Papiers sind, sind nicht zulässig.
Die Zustimmungserklärung bedarf jedenfalls einer gesonderten Unterzeichnung, die einheitliche Unterzeichnung eines Formulars, in dem neben anderen Erklärungen auch die Zustimmungserklärung enthalten ist, reicht nicht aus. Es ist daher in solchen Fällen jedenfalls erforderlich, die Zustimmungserklärung vom übrigen Formulartext derart zu trennen, dass eine gesonderte Unterfertigung der Zustimmungserklärung und der sonstigen vom Formular vorgesehenen Angaben möglich ist (vgl. dazu Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht2 S 79 mwN).
Die „Stellungnahme 15/2011 zur Definition von Einwilligung“ (iSd Datenschutz-Richtlinie 95/46/EG) der Art 29 Datenschutzgruppe, WP 187, vom 13. Juli 2011, führt folgendes aus:
„Eine Einwilligung muss für den konkreten Fall erfolgen. Eine pauschale Einwilligung ohne genaue Festlegung des Zwecks ist nicht rechtmäßig. Diese Informationen sollten nicht in den allgemeinen Geschäftsbedingungen des Vertrags stehen, sondern es sollten stattdessen spezielle Einwilligungsklauseln gesondert von den allgemeinen Geschäftsbedingungen verwendet werden.
[...] Die Datenschutzbehörde/Datenschutzkommission hält daher in ständiger Rechtsprechung eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB für nicht zulässig (vgl. dazu etwa die Empfehlung der Datenschutzkommission vom 13. Juli 2012, GZ K 212.766/0010-DSK/2012). Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung einzugehen („Opt-in“ – Lösung, etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist).
[...] Der Hinweis von „O***“ auf Art. 6 Abs. 1 lit. f iVm EG 47 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) – zur Begründung überwiegender berechtigter Interessen – verfängt schon deshalb nicht, weil dieser Rechtsakt noch nicht in Geltung steht. [...]

BRD: Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen

Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz (pdf) - Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen unter Berücksichtigung der Datenschutz-Grundverordnung
Das Whitepaper hat folgenden Inhalt:
- Rechtliche Analyse der Vorgaben der DS-GVO für die Pseudonymisierung
- Darstellung von Verfahren und technisch-organisatorischen Anforderungen an die Pseudonymisierung mit Beispielen zur Umsetzung von Verfügbarkeitsanforderungen
- Darstellung von Anwendungsszenarien (Entertain TV, Direktmarketing, medizinische Forschungsprojekte)
Quelle: Pressemeldung BMI

09.06.2017

OGH: Zum Schutz juristischer Personen vor Videoüberwachung etc.

OGH 29.03.2017, 6 Ob 231/16p
[...] 2. Der Beklagte richtet in seiner Revision das Hauptaugenmerk auf den Umstand, dass es sich bei Erst-, Zweit- und Drittklägerin um juristische Personen handelt, auf die die Rechtsprechung zum verbotenen Überwachungsdruck nicht angewendet werden könne. Dem kann jedoch in der hier gegebenen Sachverhaltskonstellation nicht gefolgt werden:
2.1. Das Recht auf Achtung der Geheimsphäre ist ein Persönlichkeitsrecht (RIS-Justiz RS0009003). Nach den ErläutRV zu § 1328a ABGB (ZivRÄG 2004; 173 BlgNr 22. GP, 18) sollen zwar nach dieser Bestimmung Betriebs- und Geschäftsgeheimnisse nicht geschützt sein; § 1328a ABGB schütze die natürliche Person, der Begriff der Privatsphäre sei an den des Privatlebens iSd Art 8 EMRK angelehnt. Es ist aber auch anerkannt, dass etwa das Recht auf den Schutz von Geschäftsräumlichkeiten auch juristischen Personen zukommen kann (vgl etwa Ehlers, Europäische Grundrechte und Grundfreiheiten4 [2014] § 2 Rz 44; Gersdorf in BeckOK, InfoMedienR [2015] Art 8 EMRK Rz 12 ua) und eine differenzierte Betrachtung erforderlich ist (Grabenwarter/Pabel, EMRK6 [2016] § 17 Rz 5; vgl auch Klippel, Der zivilrechtliche Persönlichkeitsschutz von Verbänden, JZ 1988, 625 [632]; Fellner, Persönlichkeitsschutz juristischer Personen [2007] 182 ff; Handler, Der Schutz von Persönlichkeitsrechten [2008] 50 ff). Juristischen Personen kommt nach ständiger Rechtsprechung etwa auch das Recht auf Ehre zu (RIS-Justiz RS0008985).
2.2. Der Oberste Gerichtshof hat vor allem aber bereits ausgesprochen, dass ein Vermieter schon deswegen ein Interesse an der Abwehr von Überwachungsmaßnahmen gegen eine von ihm nicht selbst benützte Wohnung hat, weil er ansonsten Ansprüchen seines Mieters ausgesetzt wäre (10 Ob 57/14a), und dass ein (auf der Privatsphäre beruhendes) Recht eines Liegenschaftseigentümers besteht, dass seine Angestellten nicht systematisch beobachtet werden (8 Ob 108/05y; 10 Ob 57/14a); im Übrigen ist ein Arbeitgeber verpflichtet, die materiellen und immateriellen Interessen seiner Dienstnehmer im Rahmen des Dienstverhältnisses zu wahren (RIS-Justiz RS0021544), wozu etwa auch der Schutz ihrer Persönlichkeitsrechte gehört (9 ObA 143/03z).
In all diesen Fällen kann es aber nicht von Bedeutung sein, ob es sich beim Vermieter, Liegenschaftseigentümer oder Arbeitgeber um eine natürliche oder eine juristische Person handelt, geht es doch um den Schutz der betroffenen natürlichen Personen. Aus dieser Rechtsprechung lässt sich der Grundsatz ableiten, dass (unter anderem) einem Liegenschaftseigentümer ein Klagerecht auch primär im Interesse der Nutzer (Mieter, Dienstnehmer) der Liegenschaft eingeräumt ist. Da insoweit keine unmittelbare persönliche Betroffenheit gefordert wird, kommt es auf die Fähigkeit der juristischen Person, Überwachungsdruck zu erleben, nicht mehr entscheidend an. [...]

OLG Graz: Zur Löschung von E-Mail-Adressen bei der Auflösung einer Kanzleigemeinschaft (§ 43 ABGB; § 9 UWG)

OLG Graz 14. 9. 2016, 5 R 129/16 d
Erste Judikatur zu der Frage, wie im Falle der Auflösung einer Kanzleigemeinschaft mit alten E-Mail-Accounts der ausscheidenden Rechtsanwälte zu verfahren ist.
Quelle: Anwaltsblatt 06/2017, 386 f (pdf)

08.06.2017

Study: An assessment of the Commission’s Proposal on Privacy and Electronic Communications

Study, An assessment of the Commission’s Proposal on Privacy and Electronic Communications (PE 583.152; pdf), Authors: Dr. Frederik ZUIDERVEEN BORGESIUS (project leader and editor), Dr. Joris VAN HOBOKEN, Ronan FAHY, Dr. Kristina IRION, Max ROZENDAAL. This research paper was requested by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs, and was commissioned, overseen and published by the Policy Department for Citizens’ Rights and Constitutional Affairs.
Abstract
This study, commissioned by the European Parliament’s Policy Department for Citizens’ Rights and Constitutional Affairs at the request of the LIBE Committee, appraises the European Commission’s proposal for an ePrivacy Regulation. The study assesses whether the proposal would ensure that the right to the protection of personal data, the right to respect for private life and communications, and
related rights enjoy a high standard of protection. The study also highlights the proposal’s potential benefits and drawbacks more generally.

07.06.2017

Österreich: Datenschutz-Anpassungsgesetz 2018 als Regierungsvorlage vom Ministerrat verabschiedet

Laut Beschlussprotokoll vom 7.6.2017 hat der Ministerrat heute (vor dem Ende der Begutachtungsfrist des Ministerialentwurfs!) das Datenschutz-Anpassungsgesetz 2018 (in modifizierter Fassung) als Regierungsvorlage beschlossen und dem Nationalrat übermittelt.
22. Bericht des Bundesministers für Kunst und Kultur, Verfassung und Medien, Zahl 810.026/0028-V/3/17 (+Austauschseiten: Ministerratsvortrag), betreffend Entwurf eines Bundesgesetzes, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018). Der Ministerrat beschließt im Sinne des Antrages.
Beilagen: Entwurfstext, Erläuterungen
UpdateRegierungsvorlage (soweit ersichtlich, gab es - außer der Beseitigung weniger grammatikalischer Fehler - keine inhaltlichen Änderungen gegenüber dem Ministerialentwurf)

05.06.2017

Angekündigte Bucherscheinungen zur Datenschutz-Grundverordnung (aktualisiert)

Vorwiegend deutschsprachige Literatur, ohne Anspruch auf Vollständigkeit:

01.06.2017

GDPR: Commission expert group (link)

Excerpt from the minutes of its meeting on 14 February 2017:
"As regards further processing (Article 5(1)(b) and Article 6(4)) COM underlined the approach of the GDPR:
- compatible processing is possible on contract, legitimate interests and vital interests
- compatible processing is on the same legal basis and by the same controller
- no compatibility test possible if the initial processing takes place on the basis of consent or law
- Art 6(4) is not an opening clause"

31.05.2017

BRD: BfDI veröffentlicht 26. Tätigkeitsbericht 2015-2016

26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 - 2016 (pdf)
Also: Belgian Privacy Commission publishes its Annual Activity Report for 2016, (in French and Dutch)

30.05.2017

BRD: Memorandum zum Datenschutz in der medizinischen Forschung

  • Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS), BRD: Memorandum zum Datenschutz in der medizinischen Forschung aus Anlass der nationalen Umsetzung und Konkretisierung der EU-Datenschutz-Grundverordnung (DS-GVO), erarbeitet durch die GMDS-Präsidiumskommission „Datenschutz in der Forschung“

26.05.2017

Österreich: Kompakte Checkliste zur Umsetzung der DSGVO

Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter - Privacyofficers.at hat eine übersichtliche Checkliste zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) unter einer Creative Commons-Lizenz veröffentlicht.

24.05.2017

BayLDA und Liechtenstein: DSGVO-Prüffragebogen

Am 25.05.2017 läuft die Hälfte der Vorbereitungszeit auf das neue Recht ab. Das BayLDA hat deshalb einen DSGVO-Prüffragebogen entworfen.
Update: Auch die Datenschutzstelle in Liechtenstein hat einen Fragebogen bereit gestellt.

Veranstaltungshinweis: HealthSec Day 2017 am 30.5.2017 in Wien

HealthSec Day 2017 zur Informationssicherheit und Datenschutz im Gesundheits- und Sozialwesen am 30.5.2017 in Wien (Hotel Wimberger)
Unter den Vortragenden sind u.a. Mitarbeiter des Bundeskriminalamts und des Bundeskanzleramts (NIS-Richtlinie). Weitere Infos hier, bei Anmeldung mit dem Gutschein-Code „20HealthSecDay17“ ist die Veranstaltung kostenlos.

17.05.2017

Österr. Datenschutzbehörde: Leitfaden zur DSGVO

Leitfaden Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung
Zusammengestellt von Dr. Matthias Schmidl, Stand: April 2017

Update: Im Leitfaden finden sich Beispiele für Strafdrohungen (Vergleich DSG 2000 vs. DSGVO):

16.05.2017

Vortragsfolien "Big Data an einer Medizinischen Universität"

Kastelitz, Big Data - Datenschutzrechtliche Herausforderungen aus Sicht einer Medizinischen Universität (Vortragsfolien; gehalten bei der Austria Wirtschaftsservice GmbH - "Förderbank des Bundes")
Update 1Entwurf Datenschutz-Anpassungsgesetz 2018 (Anpassung an DSGVO; Veröffentlichung erfolgte nach dem Vortrag)
Update 2: Passend dazu Powles, J. & Hodson, Google DeepMind and healthcare in an age of algorithms, H. Health Technol. (2017). doi:10.1007/s12553-017-0179-1; The Guardian
Update 3: Detailed medical records of 61 million Italian citizens to be given to IBM for its “cognitive computing” system Watson (Privacy News Online)

BGH zu Personenbezug und Zulässigkeit der Speicherung von dynamischen IP-Adressen (UPDATE)

BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13 (noch nicht verfügbar)
[...] Der Bundesgerichtshof (vgl. Pressemitteilung Nr. 152/2014) hat mit Beschluss vom 28. Oktober 2014 - VI ZR 135/13, VersR 2015, 370 das Verfahren ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt. Nachdem der Gerichtshof mit Urteil vom 19. Oktober 2016 - C-582/14, NJW 2016, 3579 die Fragen beantwortet hat, hat der VI. Zivilsenat des Bundesgerichtshofs nunmehr mit Urteil vom 16. Mai 2017 über die Revisionen der Parteien entschieden. Diese hatten Erfolg und führten zur Aufhebung des Berufungsurteils und zur Zurückverweisung der Sache an das Berufungsgericht.
Auf der Grundlage des EuGH-Urteils ist das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.
Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer. Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten.
[...]
Quelle: BGH Pressemeldung (Hervorhebung durch mich)

Update 28.06.2017: Volltext des Urteils liegt vor.

12.05.2017

BRD: Bundesrat stimmt DSAnpUG-EU zu

"Der Bundesrat hat in seiner  957. Sitzung  am 12. Mai 2017 beschlossen, dem vom Deutschen Bundestag am 27. April 2017 verabschiedeten Gesetz gemäß Artikel 23 Absatz 1 Satz 2, Artikel 74 Absatz 2 in Verbindung mit Absatz 1 Nummer 25, Artikel 87 Absatz 3 des Grundgesetzes zuzustimmen."
Eine (inoffizielle) konsolidierte Fassung finden Sie hier.

Österreich: Entwurf Datenschutz-Anpassungsgesetz 2018 (Anpassung an DSGVO)

Begutachtungsentwurf (Ministerialentwurf):
Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018)
Update 07.06.2017: Regierungsvorlage
Siehe zum aktuellen Stand hier.

11.05.2017

Schweiz: Urteil gegen Auskunftei

Im Klageverfahren gegen die Wirtschaftsauskunftei Moneyhouse hat das Bundesverwaltungsgericht einen im aktuellen Umfeld der Digitalisierung wegweisenden Entscheid gefällt, indem es der profilbildenden Verknüpfung von Informationen und deren Publikation klare Grenzen setzt. [...]
Das Gericht hält in seinem Urteil vom 18. April fest, dass aus unterschiedlichen Quellen stammende Personendaten nicht in beliebigem Umfang gespeichert, verknüpft und reproduziert werden dürfen. Es macht klar, dass die Privatsphäre auch in der digitalisierten Gesellschaft Bestand hat, wenn es wie im beurteilten Fall um eine Bearbeitung von Informationen geht, die Rückschlüsse auf private Wohn- und Lebenssituationen zulässt und so zu Persönlichkeitsprofilen führt. [...]
Quelle: EDÖB

09.05.2017

Aus dem Amtsblatt: VO über Medizinprodukte und IVD erschienen

Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates

Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission

05.05.2017

EuGH: "berechtigtes Interesse" im Datenschutzrecht (Art 7 lit f DSRL)

EuGH 4.5.2017, Rs C-13/16 - Rīgas satiksme
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass er nicht dazu verpflichtet, einem Dritten personenbezogene Daten zu übermitteln, damit er vor einem Zivilgericht Klage auf Ersatz eines durch die betreffende Person verursachten Schadens erheben kann. Jedoch steht er der Übermittlung solcher Daten auf der Grundlage des nationalen Rechts nicht entgegen.

02.05.2017

Vermischtes zu DSGVO: ADV, DSB, Verfahrensverzeichnis

- Die GDD-Praxishilfe DS-GVO IV widmet sich der Auftragsverarbeitung nach Art. 28 DS-GVO und stellt die GDD-Vertragsmuster von 2013 und 2017 gegenüber.
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen der DS-GVO gehört unter anderem die Überprüfung bestehender Vertragsverhältnisse sowie die Anpassung der Vertragsmuster für zukünftige Outsourcing-Dienstleistungen. [...]

- GDD veröffentlicht Praxishilfe DS-GVO V. Sowohl Verantwortliche als auch Auftragsverarbeiter sowie deren Vertreter in der EU müssen nach jeweils ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO führen. [...]

- Das BayLDA hat sich der Frage angenommen, ob sich durch die DS-GVO Neuerungen hinsichtlich der Rolle des Datenschutzbeauftragten für deutscher Verantwortliche und Auftragsverarbeiter ergeben. In einem zweiseitigen Papier werden die wesentliche Verpflichtungen und Änderungen herausgestellt.

EuGH: Vorabentscheidungsersuchen u.a. zur Verantwortlichkeit für Einbindung eines Facebook "Like-Button"

EuGH, Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf (Deutschland) eingereicht am 26. Januar 2017 - Fashion ID GmbH & Co.KG gegen Verbraucherzentrale NRW eV (Rechtssache C-40/17), Andere Parteien: Facebook Ireland Limited, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Vorlagefragen
1.    Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
Falls die Frage 1) verneint wird:
2.    Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
3.    Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
4.    Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
5.    Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
6.    Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Art. 29 WP: Review of Draft Code of Conduct on privacy for mobile health applications

The WP29 has analysed the Code of Conduct’s compliance with the Data Protection Directive
and in light of the GDPR requirements: Letter of the Chair of the ART 29 WP re mHealth (Draft Code of Conduct, pdf here)

29.04.2017

BRD: Bundestag beschließt "DSGVO-Anpassungsgesetz“

Der [deutsche] Bundestag hat am Donnerstag, 27. April 2017, das Datenschutzrecht novelliert. Den Gesetzentwurf der [deutschen] Bundesregierung zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016/679 und zur Umsetzung der EU-Richtlinie 2016/680 ([Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU] 18/11325, 18/11655, 18/11822 Nr. 10) nahm er auf Empfehlung des Innenausschusses (18/12084, 18/12144) gegen das Votum der Opposition an.

Quelle: Bundestag; inoffizielle Kompilation (Synopse, pdf); s.a. BfDI: Licht und Schatten: Bundestag verabschiedet neues Datenschutzrecht (... Das Gesetz bedarf noch der Zustimmung des Bundesrates, der sich voraussichtlich am 12. Mai 2017 damit befassen wird...)
Update: Änderungen im Bundestag zum ursprünglich eingebrachten Entwurf der dt. Bundesregierung (Bundesrat); Überblick im DIP

12.04.2017

Österr. Datenschutzbehörde: Newsletter 02/2017

Der Newsletter 02/2017 ist hier abrufbar (pdf), ich greife nur eines von mehreren Themen heraus:
Amtswegige Prüfverfahren gegen Krankenanstaltenträger
Die DSB hat 2017 den zweiten Teil der Prüfverfahren gegen Krankenanstaltenträger abgeschlossen [Anmerkung: Siehe hier im Blog zum ersten Teil]. In Summe wurden 2015 bis 2017 die wesentlichen öffentlichen Krankenanstaltenträger in jedem Bundesland überprüft. [...]
Links zu den Empfehlungen:

11.04.2017

Art. 29 WP issues Guidelines on Data Protection Impact Assessment (DPIA)

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248 (pdf)
Annex 1 – Examples of existing EU DPIA frameworks, Annex 2 – Criteria for an acceptable DPIA
The Article 29 Working Party welcomes comments on the data protection impact assessment guidelines, more here.

Berliner Beauftragte für Datenschutz zum funktionalen Unternehmensbegriff der DSGVO (Bußgeld-relevant) - Update

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellte am 7.4.2017 ihren Tätigkeitsbericht für das Jahr 2016 vor, siehe auch die Pressemeldung (pdf).
Ich habe bislang nur ganz kurz reingeschmökert und finde die Ausführungen auf S 31 ff bemerkenswert (der Abschnitt ist übertitelt mit "1.2.4 Auswirkungen auf Sanktionsverfahren der Aufsichtsbehörden"):
Wenn Unternehmen Bußgelder auferlegt werden, ist zu beachten, dass der sog. funktionale Unternehmensbegriff anzuwenden ist.80 Danach ist ein Unternehmen jede wirtschaftliche Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.81 Eine wirtschaftliche Einheit kann aus mehreren natürlichen oder juristischen Personen bestehen. Sie liegt insbesondere dann vor, wenn eine Muttergesellschaft auf eine Tochtergesellschaft einen bestimmenden Einfluss ausübt.
Davon ist regelmäßig bei einem Stimmenanteil an der Tochtergesellschaft von über 50 % auszugehen. Allerdings genügt auch die tatsächliche Möglichkeit der Kontrolle und Einflussnahme unabhängig von einer starren Beteiligungsschwelle.82
Die Anwendung dieses im Kartellrecht wurzelnden funktionalen Unternehmensbegriffs hat u. a. für die Höhe der zu verhängenden Bußgelder weitreichende Folgen, da die Basis der Bußgeldberechnung der weltweite Unternehmensumsatz ist. Begeht z. B. eine Unternehmenstochter einen durch Bußgeld zu ahndenden Verstoß und liegt eine wirtschaftliche Einheit mit der Muttergesellschaft vor, so bildet der gesamte weltweite Konzernumsatz (Mutter plus Tochter) die Berechnungsgrundlage
für die Höhe des Bußgeldes.83 [...]
--
80 Erwägungsgrund (150) mit Verweis auf Art. 101 und 102 des Vertrags über die Arbeitsweise
der Europäischen Union – AEUV
81 Ständige Rechtsprechung des EuGH; z. B. EuGH, Slg. 1991, I-2010, Rn. 21, EuGH, Slg. 2006, I-6391, Rn. 25
82 Siehe EuGH, Beschluss vom 10. Mai 2007, Rs. C-492/04 – Lasertec
83 Siehe auch § 81 Abs. 4 Satz 3 GWB

Interessant sind auch die Ausführungen zum DSGVO-Umsetzungsbedarf im Bankenbereich, "6.1 Ein Tanker versucht umzusteuern: Erste Schritte auf dem Weg zu Transparenz und systematischer Datensicherheit bei der Charité", und "6.2 Fernwartung in Krankenhäusern: Löcher
in der Brandmauer" sowie "1.4 Rechtliche Grenzen des Outsourcings von Patientendaten im Krankenhausbereich am Beispiel der Digitalisierung und Archivierung von Patientenakten".

Update 12.04.2017: Siehe ganz aktuell Golla S (2017). Is Data Protection Law Growing Teeth? The Current Lack of Sanctions in Data Protection Law and Administrative Fines under the GDPR. JIPITEC, Vol. 8, 70 (76) u.a. unter Hinweis auf die Auslegung des BayLDAThe practically relevant question is how the term “undertaking” in Article 83 is to be interpreted and if it covers corporate groups (like, for instance, Alphabet Inc.) or only single (subsidiary) companies.54 The high economical relevance of this question becomes clear when looking at the large differences between turnovers of corporate groups and single companies. [...]

10.04.2017

Art. 29 WP adopts revised Guidelines on DPO, data portability and lead authority

07.04.2017

Art. 29 WP: Opinion 01/2017 on the Proposed ePrivacy Regulation

Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC) - WP247, adopted on 4 April 2017 (pdf)

06.04.2017

Österreich: Gerüchte über das DSGVO-Anpassungsgesetz (Updates)

Es schwirren derzeit einige Gerüchte über das künftige österreichische "DSGVO-Anpassungsgesetz" herum, die ich hier kurz festhalten will (Disclaimer: Es liegt in der Natur von Gerüchten, dass diese "fake news" sein können - also Achtung):
  • FAKTUM: Österreich hat als einziger EU-Mitgliedsstaat gegen die DSGVO gestimmt (pdf). Es folgen die Gerüchte ...
  • Eine Absenkung des Schutzniveaus (siehe zum deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU hier und aktuell auch hier sowie hier) ist wohl nicht zu erwarten (über bereits in der DSGVO vorgesehene "Flexibilisierungen" hinaus). 
  • Die LegistInnen im BKA (in Österreich die Abkürzung für das zuständige Bundeskanzleramt) haben einen internen Entwurf, der nur "das Notwendigste" regelt, fertiggestellt; dieser ist nicht veröffentlicht und liegt dem Koalitionspartner zur internen Stellungnahme und Abklärung vor.
  • Es wird koalitionsintern u.a. über das darin vorgesehene datenschutzrechtliche "Verbandsklagerecht" heiß diskutiert, ebenso über die Höhe von Verwaltungsstrafen (siehe u.a. Art 83 Abs 7 DSGVO) und die Umsetzung der JI-RL (EU) 2016/680.
  • Vom Anwendungsbereich sind nur mehr natürliche Personen umfasst (bislang sind in Ö auch juristische Personen [und Personengemeinschaften] als "Betroffene" umfasst).
  • Geldbußen können auch gegen eine juristische Person als strafbare Person verhängt werden ("Verbandsverantwortlichkeit"; vgl. das Kartellrecht) - dies soll Geschäftsführer bzw. Vorstandsmitglieder davor schützen, nach Verhängung einer "saftigen" Geldbuße Privatinsolvenz beantragen zu müssen ...
  • Last but not least: Angeblich soll erst im Herbst 2017 eine Regierungsvorlage veröffentlicht werden (wobei BM Drozda Anderslautendes angekündigt hat: "ein Entwurf für ein neues österreichisches Datenschutzgesetz bereits [liege vor], dieses mit dem Koalitionspartner abgestimmt werde und voraussichtlich noch im ersten Halbjahr 2017 beschlossen werden könne")  - es bliebe dann wenig Zeit, bereits laufende Umsetzungsprojekte an etwaige "Austriaca" anzupassen ...
  • Update 1: Habe gerade gehört, dass es eventuell doch schneller gehen könnte und die Begutachtung demnächst starten soll - eine parlamentarische Beschlussfassung vor dem Herbst ist aber unwahrscheinlich.
  • Anmerkung zum DSB: Alle die von einer Überwälzung auf den künftig gem. Art 37 Abs 1 lit a-c DSGVO verpflichtend zu bestellenden Datenschutzbeauftragten als verantwortlichen Beauftragten (§ 9 VStG) "geträumt" haben, sollten sich Folgendes überlegen: Der DSB darf bei Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten (Art 38 Abs 3 DSGVO; "Weisungsfreiheit"). Ob man im Unternehmen einen rechtlich weisungsfrei gestellten DSB mit einer Anordnungsbefugnis gem. § 9 Abs 4 VStG haben möchte, sollte man sich gut überlegen, zudem mit der Solidarhaftung gem. § 9 Abs 7 VStG. Dagegen spricht auch, dass der Verantwortliche verantwortlich ist (Art 5 Abs 2 DSGVO) und Art 39 DSGVO die Aufgaben des DSB mehr in der Beratung sieht als in jener des"Haftungsprellbocks". Lesenswert zur Frage, wer eine Strafe zur tragen hat, hier von RA Dr. Schweiger.
Update: Siehe zum aktuellen Stand hier.

05.04.2017

OGH: Datenverarbeitung gemäß § 212 UGB und § 132 BAO

OGH 30.01.2017, 6 Ob 178/16v
[...] Der Kläger begehrt die Löschung der bei der Beklagten über ihn gespeicherten Daten, welche das Schuldenregulierungsverfahren betreffen. Die Eintragung in der Insolvenzdatei sei wegen nachweislicher Erfüllung des Zahlungsplans am 24. 9. 2013 gelöscht worden; auch der KSV 1870 habe die über ihn gespeicherten Daten gelöscht. Seit Beendigung des Schuldenregulierungsverfahrens fehle es an einer rechtlichen Grundlage zur Datenspeicherung.
Die Beklagte wendete ein, sie habe die Daten gemäß § 212 UGB und § 132 BAO sieben Jahre lang aufzubewahren, wobei die Ausbuchung der die 23%ige Quote übersteigenden Forderung erst nach Beendigung des Schuldenregulierungsverfahrens des Klägers erfolgt sei; bis dahin habe sie die offene Restforderung in ihrer Buchhaltung auszuweisen gehabt. [...]
Rechtliche Beurteilung
Die Revision ist unzulässig.
[...] Die Revision bekämpft nun im Ergebnis auch für die weitere Speicherung nicht konkret die Anwendung des § 212 UGB und der §§ 124 ff BAO, sodass es dem Obersten Gerichtshof verwehrt ist, die Rechtsansicht der Vorinstanzen dazu unter dem Aspekt der Geltendmachung einer erheblichen Rechtsfrage zu überprüfen (RIS-Justiz RS0102181). Die Revision bemängelt insoweit nur, dass die Daten nicht entsprechend jenen in der Ediktsdatei gelöscht wurden und dass über diese Daten auch weiter Auskunft erteilt wurde. Die Löschung der Daten in der Ediktsdatei fußt jedoch auf § 256 IO, der auf die nach § 132 BAO und § 212 UGB aufzubewahrenden „Bücher“, „Belege“ bzw „Geschäftspapiere und sonstige Unterlagen“ nicht zur Anwendung gelangt. Die Verpflichtung zur Erteilung der Auskunft wiederum ergibt sich aus § 26 DSG.
Die Ausführungen der Revision zu einer „Interessenabwägung“ verkennen, dass sich die Beklagte ja gar nicht auf das Vorliegen eines überwiegenden Interesses an der Aufbewahrung von Bonitätsdaten (vgl in diesem Sinne im bestimmten Umfang selbst für Inkassobüros die Empfehlung der Datenschutzkommission zu K 211.773/0009-DSK/2007, ErwGr 2.1.) berufen (§ 8 Abs 1 Z 4 DSG) oder das Vorliegen der allgemeinen Voraussetzungen für die Archivierung (vgl § 27 Abs 1 Z 2 DSG) eingewendet, sondern im Ergebnis geltend gemacht hat, dass sie eine gesetzliche Verpflichtung (§ 212 UGB, § 132 BAO) trifft (§ 8 Abs 1 Z 1 DSG). [...]

BGH: Zu-Eigen-Machen von Äußerungen durch den Bewertungsportal-Betreiber

BGH 4.4.2017, VI ZR 123/16 [...] Der Beklagte hat sich die angegriffenen Äußerungen zu eigen gemacht, so dass er als unmittelbarer Störer haftet. Er hat die Äußerungen des Patienten auf die Rüge der Klägerin inhaltlich überprüft und auf sie Einfluss genommen, indem er selbständig – insbesondere ohne Rücksprache mit dem Patienten – entschieden hat, welche Äußerungen er abändert oder entfernt und welche er beibehält. Diesen Umgang mit der Bewertung hat er der Klägerin als der von der Kritik Betroffenen kundgetan. Bei der gebotenen objektiven Sicht auf der Grundlage einer Gesamtbetrachtung aller Umstände hat der Beklagte somit die inhaltliche Verantwortung für die angegriffenen Äußerungen übernommen. Da es sich bei den Äußerungen um unwahre Tatsachenbehauptungen und um Meinungsäußerungen auf unwahrer Tatsachengrundlage und mit unwahrem Tatsachenkern handelt, hat das Recht des Beklagten auf Meinungsfreiheit hinter dem allgemeinen Persönlichkeitsrecht der Klägerin zurückzutreten. 
Quelle: Pressemittelung BGH

04.04.2017

BRD: Stiftung Datenschutz veröffentlicht Studie über "Neue Wege bei der Einwilligung im Datenschutz"

Die Stiftung Datenschutz untersuchte über ein Jahr lang die Möglichkeiten, den oftmals recht unübersichtlichen Einwilligungsprozess im Umgang mit unseren digitalen Daten einfacher und praxisnäher zu gestalten. In exklusiver Runde und vor internationalem Publikum legte die Stiftung am 30. März 2017 ihren Abschlussbericht  ["Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen"; pdf] in Berlin vor. 
Quelle: Stiftung Datenschutz

03.04.2017

Schlussanträge EuGH: Anwendungsbereich DSRL, effektiver Rechtsschutz etc.

EuGH, Schlussanträge der Generalanwältin Kokott vom 30. März 2017, Rs C‑73/16 - Puškár

VI.    Ergebnis
128. Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
1)      Die Verwendung personenbezogener Daten unterliegt bei der Erhebung von Steuern der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung sowie den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union, während im strafrechtlichen Bereich nur Art. 7 und 8 der Charta anwendbar sind, soweit es um unionsrechtlich determinierte Fragen geht.
2)      Das Recht auf effektiven Rechtsschutz nach Art. 47 der Charta und das Effektivitätsprinzip stehen einem vor der Klageerhebung obligatorisch auszuschöpfenden Verwaltungsrechtsbehelf nicht entgegen, wenn die Modalitäten dieses Rechtsbehelfs die Wirksamkeit des gerichtlichen Rechtsschutzes nicht unverhältnismäßig beeinträchtigen. Der obligatorische Verwaltungsrechtsbehelf darf daher insbesondere das gesamte Rechtsbehelfsverfahren nicht unangemessen verzögern oder übermäßige Kosten verursachen.
3)      Die Steuerverwaltung darf nach Art. 7 Buchst. e der Richtlinie 95/46 für ihre Zwecke eine Liste von Personen führen, die zum Schein Führungspositionen in bestimmten juristischen Personen bekleiden und ihrer Nennung auf dieser Liste nicht zugestimmt haben. Dies setzt voraus, dass diese Aufgabe der Steuerverwaltung gesetzlich zugewiesen wurde, die Verwendung der Liste tatsächlich für die Zwecke der Steuerverwaltung geeignet und erforderlich ist und hinreichende Anhaltspunkte für den Verdacht vorliegen, dass diese Personen zu Recht auf dieser Liste stehen. Auch die Grundrechte auf Privatsphäre, Art. 7 der Charta, und Datenschutz, Art. 8 der Charta, würden in diesem Fall der Erstellung und Verwendung der Liste nicht entgegenstehen.
4)      Der in Art. 47 Abs. 2 der Charta verankerte Grundsatz des fairen Verfahrens lässt es im Prinzip zu, interne Dokumente einer verfahrensbeteiligten Behörde, die ein anderer Prozessbeteiligter sich ohne Einwilligung dieser Behörde beschafft, als unzulässiges Beweismittel zurückzuweisen. Die Zurückweisung ist jedoch ausgeschlossen, wenn es sich um eine Liste einer Finanzbehörde eines Mitgliedstaats handelt, die personenbezogene Daten des Klägers enthält, welche die Behörde nach den Art. 12 und 13 der Richtlinie 95/46 dem Kläger mitteilen muss.
5)      Falls ein einzelstaatliches Gericht zu der Auffassung gelangt, dass die Entscheidung des bei ihm anhängigen Verfahrens durch eine Rechtsprechung des Gerichtshofs der Europäischen Union beeinflusst würde, nach der Rechte der Charta, die den durch die EMRK garantierten Rechten entsprechen, weniger stark geschützt werden als nach der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, so kann es den Gerichtshof der Europäischen Union anrufen, um zu erfahren, wie das Unionsrecht im Hinblick auf diesen Fall auszulegen ist. Wenn die Entscheidungen des einzelstaatlichen Gerichts selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können, so ist es zur Anrufung des Gerichtshofs verpflichtet.

02.04.2017

BRD: Orientierungshilfe Verbraucherfreundliche Best-Practice bei Apps

Verbraucherfreundliche Best-Practice bei Apps - Eine Orientierungshilfe für die Praxis (pdf), dt. BMJ
Erstellt unter Mitwirkung von App-Store-Betreibern, App-Entwicklern, App-Anbietern, App-Testern sowie Verbraucher-, Daten- und Jugendschützern

22.03.2017

LDI NRW: FAQs zum Datenschutzbeauftragten nach der DSGVO und der JI-RL

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Ein Überblick über die neuen Regelungen zu Datenschutzbeauftragten nach der Datenschutz-Grundverordnung und der JI-Richtlinie.
 

Dt. Bundestag: Stellungnahmen zum DSGVO-Anpassungsgesetzentwurf

BRD: Stellungnahmen zum Entwurf der Bundesregierung für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ 

BayLDA: Datenschutz-Folgenabschätzung (DSFA) - Art. 35 DS-GVO

BayLDA, Kurzpapier zur Datenschutz-Folgenabschätzung (DSFA):
[...] Ausblick
Es kann sich bereits heute lohnen, einen Blick über die deutschen Landesgrenzen zu werfen:
Auf europäischer Ebene wird momentan ein Working-Paper zur DSFA abgestimmt. Sobald dieses veröffentlicht ist, wird das BayLDA mit Praxisbeispielen über das wichtige Instrument DSFA auf der eigenen Webseite informieren.

Weichert: Gutachten zur Verbraucherverbandsklage bei Datenschutzverstößen

Seit Anfang 2016 ist im Verbraucherschutzrecht ausdrücklich vorgesehen, dass Verbraucherschutzorganisationen mit Verbandsklagen gegen Datenschutzverstöße von privaten Firmen vorgehen können.
Das Gutachten des Netzwerks Datenschutzexpertise stellt die Regelungen des Unterlassungsklagegesetzes (UKlaG) und deren Auslegung im Detail vor.
Quelle: Netzwerk Datenschutzexpertise