28.11.2017

BGH: Vorlagefragen an EuGH zu "Cookies"

BGH 5.10.2017, I ZR 7/16
Beschluss: Vorlage an EuGH zur Belehrung über Verwendung von sog. "Cookies"
1. a) Handelt es sich um eine wirksame Einwilligung i.S.d. Art. 5 Abs. 3 und des Art. 2f der Richtlinie 2002/58/EG i.V.m. Art. 2h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2f der Richtlinie 2002/58/EG i.V.m. mit Art. 2h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung i.S.d. Art. 6 Abs. 1a der Verordnung (EU) 2016/679 vor?
2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

14.11.2017

OGH: Eigentumsfreiheitsklage gegen den Betreiber einer Internetplattform für Mountainbiker

OGH 18.10.2017, 7 Ob 80/17s 
Eine Eigentumsfreiheitsklage nach § 523 ABGB gegen den Betreiber einer Internetplattform für Mountainbiker, der einen Eintrag trotz Löschungsaufforderung aufrecht erhält, obwohl ihm vom Eigentümer mitgeteilt wurde,  dass das Befahren der veröffentlichten Route mangels Zustimmung unberechtigt erfolgt, ist zulässig. [...]
Quelle: PM OGH
Aus dem Urteil:
[...] Insofern rechtfertigt das Aufrechterhalten der falschen Informationen auf dem Onlineportal, obwohl eine Richtigstellung jederzeit und leicht möglich ist und dies von den beteiligten Verkehrskreisen auch erwartet wird, einen Unterlassungs- und Beseitigungsanspruch, hatte es die Beklagte doch leicht in der Hand, weitere Störungen durch Mountainbiker, die aufgrund des Eintrags handeln (unmittelbarer Störer), zu unterbinden und so weitere Rechtsverletzungen nicht mehr zu veranlassen. [...]

EuGH (Schlussanträge): Max Schrems vs. Facebook Ireland ("Sammelklage")

EuGH Rs C‑498/16Ergebnis
124. Im Licht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die vom Obersten Gerichtshof (Österreich) vorgelegten Fragen wie folgt zu beantworten:
1.      Art. 15 Abs. 1 der Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass Tätigkeiten wie Veröffentlichungen, das Halten von Vorträgen, der Betrieb von Websites oder die Sammlung von Spenden zur Durchsetzung von Ansprüchen nicht zum Verlust der Verbrauchereigenschaft in Bezug auf Ansprüche im Zusammenhang mit dem eigenen, für private Zwecke genutzten Facebook-Konto führen.
2.      Ein Verbraucher kann auf der Grundlage von Art. 16 Abs. 1 der Verordnung Nr. 44/2001 nicht gleichzeitig mit seinen eigenen Ansprüchen auch gleichgerichtete Ansprüche geltend machen, die ihm von anderen Verbrauchern mit Wohnsitz an einem anderen Ort im gleichen Mitgliedstaat, in einem anderen Mitgliedstaat oder in einem Drittstaat abgetreten wurden.
Aus der Pressemeldung des EuGH (pdf):
Nach Ansicht von Generalanwalt Bobek kann sich Herr Schrems hinsichtlich der privaten Nutzung seines eigenen Facebook-Kontos auf seine Verbrauchereigenschaft stützen, um Facebook Ireland vor den österreichischen Gerichten zu verklagen
Herr Schrems kann sich jedoch in Bezug auf Ansprüche, die ihm von anderen Verbrauchern abgetreten wurden, nicht auf seine Verbrauchereigenschaft berufen

09.11.2017

DSGVO-Fragenkataloge (Bayern, Niedersachsen, Liechtenstein)

GDD veröffentlicht Praxishilfe zur Datenschutz-Folgenabschätzung

GDD-Arbeitskreis DS-GVO-Praxis veröffentlicht Praxishilfe Nr. 10. Die Datenschutz-Folgenabschätzung (DSFA) soll gem. Art. 35 DS-GVO eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen.
Quelle: GDDGDD-Praxishilfe DS-GVO X (pdf) - Voraussetzungen der Datenschutz-Folgenabschätzung, Version 1.0, Stand November 2017

08.11.2017

BRD: Planspiel Datenschutz-Folgenabschätzung

Im Rahmen eines Planspiels haben das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern für einen hypothetischen Beispielsfall eine Datenschutz-Folgenabschätzung durchgeführt. Die Autoren haben sich dabei an einem DSFA-Framework orientiert, das dem  „Whitepaper Datenschutz-Folgenabschätzung“ und einem Aufsatz von Bieker et al. entnommen wurde. Für die Risikoabschätzung und die Bestimmung der Maßnahmen wurde das Standard-Datenschutzmodell verwendet.
Quelle: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

07.11.2017

Publikation (Vorankündigung): Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO (Update)

Ich habe gemeinsam mit Walter Hötzendorfer und Renate Riedl für das Jahrbuch Datenschutzrecht 2017 (herausgegeben von Prof. Dr. Jahnel im NWV Verlag) einen über 30 Seiten langen Beitrag mit dem Titel "Ausgewählte Fragen der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO" verfasst. Als Anlagen haben wir auf Grundlage einer Analyse der bestehenden Ansätze ein umfangreiches Muster für einen Datenschutz-Folgenabschätzungs-Bericht und ein Muster über die Ermittlung der Notwendigkeit einer Datenschutz-Folgenabschätzung erstellt. Der Erscheinungstermin des Jahrbuches ist voraussichtlich im Oktober November 2017.

Update 7.11.2017: Erscheint in den nächsten Tagen, Link zum Verlag und Inhaltsverzeichnis (pdf)

06.11.2017

BvD: Gutachten zur Stellung, Pflichten und Haftung des Datenschutzbeauftragten in der DSGVO

Gutachterliche Stellungnahme zu Änderungen der Stellung des Datenschutzbeauftragten durch die Datenschutz-Grundverordnung im Auftrag des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. (pdf); Pressemeldung

vzbv: Urteil gegen Facebook (anwendbares Datenschutzrecht, Einwilligung u. Infopflicht)

Facebook darf personenbezogene Daten seiner in Deutschland lebenden Nutzer nicht ohne deren wirksame Einwilligung herausgeben. In Facebooks App-Zentrum, in dem Computerspiele von Drittanbietern angeboten werden, wurden Nutzer nicht ausreichend über Umfang und Zweck der Datenweitergabe informiert. Das hat das Kammergericht nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. [...] Wegen der grundsätzlichen Bedeutung des Falls hat das Kammergericht die Revision zum Bundesgerichtshof zugelassen.
Quelle: Pressemeldung vzbv; Urteil KG Berlin (pdf)

Letter from the Article 29 WP to an Austrian reverse look-up app provider

Letter of the Chair of the ART 29 WP to CIAmedia (pdf):
The Working Party understands that CIAmedia provides a reverse look-up facility for telephone numbers via the CIA app. The facility can be searched to identify an individual solely by means of a telephone number. [...]
Concerns about CIAmedia’s processing of personal data in relation to the above services have been raised directly to some EU national data protection authorities (‘DPAs’) by individuals.
In light of these, a number of those authorities have conducted research into the CIAmedia service and have established that it is processing personal data relating to data subjects in their countries. Collaboration between the DPAs is being coordinated by the Information Commissioner’s Office in the UK.
The Working Party has concerns regarding the manner and purposes for which personal data is collected by CIAmedia and the associated application. CIAmedia appears to be processing personal data of non-users of the service, specifically the contacts of individuals who sign up to the service. Furthermore, CIAmedia appears to be sourcing personal data both from CIA app users’ contact lists and, in some circumstances, their social media pages (including name, telephone number, email address and, where available, demographic information and additional contact information). This information is then made publicly available via reverse search on the CIA mobile application. [...]
See also the letters to providers of similar services Truecaller and Sync.me.

03.11.2017

GPEN sweep: App and website privacy notices

GPEN Sweep 2017 User  Controls  over  Personal information (pdf); press release ICO, International enforcement operation finds website privacy notices are too vague and generally inadequate
Update: The Privacy Commissioner of Canada, 2017 Global Privacy Enforcement Network Sweep - Key takeaways for online educational services and tools

31.10.2017

Art 29 WP veröffentlicht Leitlinien in Bezug auf Datenschutzbeauftragte ("DSB") in deutscher Sprache

Die Artikel-29-Datenschutzgruppe hat ihre "Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“)" gemäß Art 37 ff DSGVO nunmehr auch in deutscher Sprache veröffentlicht (derzeit nur in einem .zip-File mit allen anderen Unionssprachen verfügbar).

30.10.2017

Overview on the GDPR implemention - state of play in the Member States

Overview on the GDPR implemention as of 18 September 2017 (Word file), as published on the website of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680 (E03461)
Update: Additional information can be found here: GDPR Implementation Tracker (pdf)

24.10.2017

EuGH (Schlussanträge): Verantwortlicher & Behördenzuständigkeit bei Facebook-Fanpages

EuGH, Schlussanträge C-210/16 (Facebook Fanpages):
III. Ergebnis
137. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesverwaltungsgerichts wie folgt zu beantworten:
1.      Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist dahin auszulegen, dass der Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook ein für die Verarbeitung Verantwortlicher im Sinne dieser Bestimmung hinsichtlich der Phase der Verarbeitung von personenbezogenen Daten ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk im Hinblick auf die Erstellung von diese Seite betreffenden Besucherstatistiken besteht.
2.      Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass im Sinne dieser Bestimmung eine Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende im Rahmen der Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaats besitzt, wenn ein ein soziales Netzwerk betreibendes Unternehmen in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen dieses Unternehmens und diesen Verkauf selbst eine Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist.
3.      In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der das auf die betreffende Verarbeitung personenbezogener Daten anwendbare nationale Recht dasjenige des Mitgliedstaats einer Kontrollstelle ist, ist Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung dahin auszulegen, dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.
4.      Art. 28 Abs. 1, 3 und 6 der Richtlinie 95/46 in der durch die Verordnung Nr. 1882/2003 geänderten Fassung ist dahin auszulegen, dass unter Umständen wie den im Ausgangsverfahren in Rede stehenden die Kontrollstelle des Mitgliedstaats, in dem sich die Niederlassung des für die Verarbeitung Verantwortlichen befindet, ihre Einwirkungsbefugnisse gegenüber diesem Verantwortlichen selbständig ausüben darf, ohne verpflichtet zu sein, zuvor die Kontrollstelle des Mitgliedstaats, in dem dieser Verantwortliche seinen Sitz hat, um die Ausübung ihrer Befugnisse zu ersuchen.

23.10.2017

ePrivacyVO: Bericht samt beschlossener Textfassung des LIBE-Ausschusses (updated)

REPORT on the proposal for a regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications (COM(2017)0010 – C8 0009/2017 – 2017/0003(COD)), Committee on Civil Liberties, Justice and Home Affairs, Rapporteur: Marju Lauristin
Weitere Infos etc von Erich MoechelEDRI (Abstimmungsverhalten hierDokumentenpool); inoffizielle Fassung (pdf)
Last but not least: Latest proposal by the Presidency of the Council of the EU (pdf), dated 16 October 2017
Update: Im EP beschlossen am 26.10.2017 (Position für den Trilog)

21.10.2017

UN: Report of the Special Rapporteur on the right to privacy

Press release; Report of the Special Rapporteur on the right to privacy (advance unedited version):

V. Recommendations
125 . Pending feedback during the consultation period to March 2018 and the results of on-going investigations and letters of allegation to Governments, the Special Rapporteur is considering the following recommendations for a more final version of this report to be published in or after 2018:
126 . Open Data policies require clear statements of the limits to using personal information based on international standards and principles, including an exempt category for personal information with a binding requirement to ensure the reliability of de-identification processes to render this information appropriate for release as Open Data, and robust enforcement mechanisms.
127 . Any open government initiative involving personal information, whether de-identified or not, requires a rigorous, public, scientific analysis of the data privacy protections including a privacy impact assessment.
128 . Sensitive high-dimensional unit-record level data about individuals should not be published online or exchanged unless there is sound evidence that secure de-identification has occurred and will be robust against future re-identification.
129 . Establish frameworks to manage the risk of sensitive data being made available to researchers.
130 . Governments and corporations should actively support the creation and use of privacy-enhancing technologies.
131 . The following options are to be considered when dealing with Big Data: [...]

20.10.2017

Article 29 WP: Guidelines on the application of administrative fines under the GDPR

Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, WP 253 (pdf)

Opinion 03/2017 on processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS), WP 252

18.10.2017

First annual report on the functioning of the EU- U.S. Privacy Shield

Today the European Commission publishes its first annual report on the functioning of the EU-U.S. Privacy Shield, the aim of which is to protect the personal data of anyone in the EU transferred to companies in the U.S. for commercial purposes.
Overall the report shows that the Privacy Shield continues to ensure an adequate level of protection for the personal data transferred from the EU to participating companies in the U.S.
Source: Press release; Report and Staff Working Document on the annual review of the functioning of the EU–U.S. Privacy Shield

EuGH: Gerichtszuständigkeit für Klage gg. Veröffentlichung unrichtiger Angaben im Internet

EuGH 17.10.2017, Rs C‑194/16Bolagsupplysningen OÜ
[...] Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Art. 7 Nr. 2 der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass eine juristische Person, deren Persönlichkeitsrechte durch die Veröffentlichung unrichtiger Angaben über sie im Internet und durch das Unterlassen der Entfernung sie betreffender Kommentare verletzt worden sein sollen, Klage auf Richtigstellung der Angaben, auf Verpflichtung zur Entfernung der Kommentare und auf Ersatz des gesamten entstandenen Schadens bei den Gerichten des Mitgliedstaats erheben kann, in dem sich der Mittelpunkt ihrer Interessen befindet. Übt die betreffende juristische Person den größten Teil ihrer Tätigkeit in einem anderen Mitgliedstaat als dem ihres satzungsmäßigen Sitzes aus, kann sie den mutmaßlichen Urheber der Verletzung unter Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs in diesem anderen Mitgliedstaat verklagen.
2. Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 ist dahin auszulegen, dass eine Person, deren Persönlichkeitsrechte durch die Veröffentlichung unrichtiger Angaben über sie im Internet und durch das Unterlassen der Entfernung sie betreffender Kommentare verletzt worden sein sollen, nicht vor den Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet die im Internet veröffentlichten Informationen zugänglich sind oder waren, eine Klage auf Richtigstellung der Angaben und Entfernung der Kommentare erheben kann.

OGH: „Dauerhafter Datenträger“ und E-Banking-Postfach

OGH 28.09.2017, 8 Ob 14/17t (unter Verweis auf EuGH 25.01.2017, C-375/15):
[...] Der Zahlungsdienstleister muss, wenn die Richtlinie 2007/64/EG vorsieht, dass er dem Zahlungsdienstnutzer die betreffenden Informationen mitteilt, diese Informationen von sich aus übermitteln (Rn 48). Von den Zahlungsdienstnutzern kann nämlich vernünftigerweise nicht erwartet werden, dass sie regelmäßig alle elektronischen Kommunikationssysteme abfragen, bei denen sie registriert sind.
Soweit die Klausel 9 vorsieht, dass der Kunde „Mitteilungen und Erklärungen (…) die die Bank dem Kunden zu übermitteln … hat“ im Wege des E-Banking erhält, garantiert dieser Übermittlungsweg nicht, dass die vom Gerichtshof der Europäischen Union für maßgeblich erachteten Kriterien eingehalten werden, weil sie – die Zustimmung des Kunden vorausgesetzt – die Übermittlung in das Postfach, das die Bank innerhalb des E-Banking eingerichtet hat, genügen lässt. Da dieses vom Kunden nur für die Kommunikation mit der Bank genützt wird, bedürfte es zusätzlich einer Mitteilung an den Kunden in einer Form, die seine tatsächliche Kenntnisnahme wahrscheinlich macht.
[...]
Folgende Klausel ist daher unzulässig (Verstoß gegen §§ 29 Abs 1 Z 1 iVm 26 Abs 1 Z 1 ZaDiG):
9. Mitteilungen und Erklärungen (insbesondere Kontonachrichten, Kontoauszüge, Kreditkartenabrechnungen, Änderungsmitteilungen, etc), die die Bank dem Kunden zu übermitteln oder zugänglich zu machen hat, erhält der Kunde, der eBanking vereinbart hat, per Post oder durch Abrufbarkeit oder Übermittlung elektronisch im Wege des B***** eBankings.“
Mehr dazu beim VKI.

17.10.2017

Art 29 WP: Guidelines on data breach notification and profiling under the GDPR

  • Guidelines on Personal data breach notification under Regulation 2016/679, WP 250 (pdf)
  • Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679, WP 251 (pdf)
The Article 29 Working Party welcomes comments on the data breach notification and profiling guidelines. Such comments should be sent to the following addresses by 28 November 2017 at the latest. More here.

16.10.2017

EMA: Updated guidance on the publication of clinical data

European Medicines Agency, External guidance on the implementation of the European Medicines Agency policy on the publication of clinical data for medicinal products for human use, V1.3, 22/09/2017 (pdf):
This document provides guidance to industry on practical aspects of the implementation of the Agency's policy on the publication of clinical data for medicinal products for human use. It covers guidance on the procedural aspects of the submission of clinical reports, the anonymisation of clinical reports and the identification and redaction of commercially confidential information in clinical reports. It also includes a checklist for the 'Redaction Proposal Document' package. This guidance is revised periodically.
Source: EMA; more on clinical data publication

15.10.2017

Österreichische Datenschutzbehörde aktualisiert DSGVO-Leitfaden (Update)

Leitfaden zur Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, zusammengestellt von Dr. Matthias Schmidl, Stand: Juli 2017 (pdf)
Einige interessante Auszüge, die mir beim neuerlichen Überfliegen aufgefallen sind (wobei ich keinen Vergleich mit der ursprünglichen Fassung vorgenommen habe):

  • Seite 19 ff: Kurzüberblick über das Datenschutz-Anpassungsgesetz 2018
  • Seite 27: Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Voraussichtlich ab August/September 2017 wird eine Schnittstelle zur Verfügung stehen, sodass bestehende DVR-Meldungen in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können (Anmerkung: siehe die neue Export-Funktion).
  • Seite 32 f: Kann ein Datenschutzbeauftragter verantwortlicher Beauftragter nach § 9 VStG sein? Der Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann.
  • Seite 31 f: Was ist eine „öffentliche Stelle“? [...]Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das Datenschutzanpassungsgesetz 2018 heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den Verantwortlichen des öffentlichen Bereichs. Darunter fallen alle Verantwortliche,
    • die in Formen des öffentlichen Rechts eingerichtet sind oder
    • zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung).
 Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. [...]

Update 15.10.2017: Der Leitfaden wurde aktualisiert (Stand Oktober 2017); u.a. mit Ausführungen zur Durchführung einer DSFA bei bereits bestehenden Datenanwendungen (S 29 f).

13.10.2017

Guidelines on Data Protection Impact Assessment: final version

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, WP 248 rev.01:
Page 13: [...] C. What about already existing processing operations? DPIAs are required in some circumstances.
The requirement to carry out a DPIA applies to existing processing operations likely to result in a high risk to the rights and freedoms of natural persons and for which there has been a change of the risks, taking into account the nature, scope, context and purposes of the processing.
A DPIA is not [my emphasis] needed for processing operations that have been checked by a supervisory authority or the data protection official, in accordance with Article 20 of Directive 95/46/EC, and that are performed in a way that has not changed since the prior checking. Indeed, "Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed" (recital 171).
Conversely, this means that any data processing whose conditions of implementation (scope, purpose, personal data collected, identity of the data controllers or recipients, data retention period, technical and organisational measures, etc.) have changed since the prior checking performed by the supervisory authority or the data protection official and which are likely to result in a high risk should be subject to a DPIA. [...]
Siehe dazu nunmehr auch hier (Fassung vom Oktober 2017, Seite 29 f).
Prior version (page 11):
c) What about already existing processing operations? DPIAs are needed for those created after May 2018 or that change significantly.
The requirement to carry out a DPIA applies to processing operations meeting the criteria in Article 35 and initiated after the GPDR becomes applicable on 25 May 2018.
WP29 strongly recommends to carry out DPIAs for processing operations already underway prior to May 2018. In addition, where necessary, “the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operation” (Article 35(11)21).

BTW: The revised version contains a new example for a processing operation "likely" requiring a DPIA: Storage for archiving purpose of pseudonymised personal sensitive data concerning vulnerable data subjects of research projects or clinical trials

Update: Deutsche Fassung der "Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (Achtung, großes zip-file mit allen Sprachfassungen)

06.10.2017

Präsentation: Datenschutz im Gesundheitsbereich (in Österreich) - Herausforderungen durch DSGVO und DSG

Gestern habe ich eine Präsentation auf der Jahrestagung betrieblicher Datenschutz 2017 der Arge Daten gehalten, die hier (pdf) abrufbar ist (aufgrund der Kürze der zur Verfügung stehenden Zeit handelt es sich nur um eine subjektive Auswahl an Themen).

Ö: Datenschutz-Folgenabschätzung für elektronische Gesundheitsakte in den Gesetzesmaterialien

Auszug aus den Erläuterungen zum Deregulierungsgesetz 2017 (genauer zu den darin enthaltenen Änderungen des Gesundheitstelematikgesetzes 2012):
[...] Zu § 14 Abs. 6:
Gemäß Art. 35 Abs. 3 lit. b der geltenden Datenschutz-Verordnung sind Datenschutz-Folgenabschätzungen erforderlich bei „umfangreiche[n] Verarbeitung[en] besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1“.
Bei der Datenschutz-Folgenabschätzung sind die Risiken den Maßnahmen zur Eindämmung dieser Risiken gegenüberzustellen (Erwägungsgrund 90 DSGVO). Bereits die Erläuterungen zum GTelG 2012 (RV 1936 d. B. XXIV. GP. 4 ff) haben zum Schutz von Gesundheitsdaten umfangreiche Abwägungen zu Risiken, angemessenen Garantien und Datensicherheitsmaßnahmen vorgesehen, sodass sich folgende Datenschutz-Folgenabschätzung ergibt:

DATENSCHUTZ-FOLGENABSCHÄTZUNG FÜR ELGA
SYSTEMATISCHE BESCHREIBUNG der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen 
ELGA-Gesundheitsdaten (§ 2 Z 9 GTelG 2012) sollen in dezentralen Datenspeichern für ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10 GTelG 2012) zeit- und ortsunabhängig zu Gesundheitszwecken gemäß § 9 Z 12 DSG 2000 sowie zur Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 GTelG 2012 zur Verfügung gestellt werden.
BEWERTUNG der Notwendigkeit und Verhältnismäßigkeit
Die im Gesundheitstelematikgesetz 2012 enthaltenen Regelungen über die Ermittlung und Speicherung von Gesundheitsdaten im Rahmen von ELGA dienen einem der in Art. 8 Abs. 2 EMRK genannten Ziele, nämlich dem Schutz der Gesundheit durch die Verbesserung der Verfügbarkeit von und des Zugangs zu ELGA-Gesundheitsdaten für ELGA-Gesundheitsdiensteanbieter (vgl. § 13 Abs. 1 GTelG 2012). Die Notwendigkeit ergibt sich aus dem wichtigen öffentlichen Interesse an der bestmöglichen Gesundheitsversorgung, die ohne eine zeit- und ortsunabhängige Verfügbarkeit von ELGA-Gesundheitsdaten zur Gesundheitsversorgung von ELGA-Teilnehmer/inne/n nicht gegeben ist.
Grundsätzlich bestehen Risiken, allerdings ist deren Eintritt einerseits nicht sehr wahrscheinlich und sind andererseits zahlreiche, wirksame Abhilfemaßnahmen gesetzlich im Gesundheitstelematikgesetz 2012 verankert, sodass die Datenschutz-Folgenabschätzung für ELGA klar positiv und zugunsten von ELGA ausfällt.
RISIKEN
Als Risiken werden insbesondere in Erwägungsgrund 85 der Datenschutz-Grundverordnung unter anderem genannt: [...]

VwGH: Auskunftsrecht und Verschwiegenheitspflichten (ua DSG 2000)

VwGH 18.8.2017, Ra 2015/04/0010 (pdf)
[...] Mit dem im konkreten Fall gegenständlichen Auskunftsbegehren wollte die revisionswerbende Partei  - bezogen auf einen bestimmten Zeitraum - die (Gesamt)höhe der von einer Marktgemeinde an eine Rechtsanwalts-GmbH bezahlten Honorare in Erfahrung bringen; eine genaue Aufschlüsselung, durch die die Kalkulation der Honorarvereinbarung sowie die Art und der Umfang der erbrachten Leistungen offengelegt würde, hat die revisionswerbende Partei dagegen nicht beantragt.
Der VwGH hielt dazu fest, dass dadurch nicht in ein Geschäfts- oder Betriebsgeheimnis der Rechtsanwalts-GmbH eingegriffen und weder die anwaltliche Verschwiegenheitspflicht noch die geschützten Rechte nach dem DSG verletzt werden; dem Auskunftsbegehren der revisionswerbenden Partei steht demnach keine gesetzliche Verschwiegenheitspflicht entgegen.
Quelle: VwGH

05.10.2017

GDD: Datenschutz-Policy-Muster, DSGVO-Accountability

GDD-Praxishilfe DS-GVO IX - Accountability, Version 1.0, Stand Oktober 2017: https://www.gdd.de/aktuelles/startseite/accountability-nach-der-ds-gvo
GDD-Praxishilfe DS-GVO VIII - Unternehmensrichtlinie zur Datenschutz-Organisation, Version 1.0, Stand Oktober 2017: https://www.gdd.de/aktuelles/startseite/muster-fuer-betriebliche-datenschutzpolicy

04.10.2017

Standard Contractual Clauses (SCC) in peril?

The Commissioner welcomes the High Court’s judgment and its decision to refer a number of questions to the CJEU, as requested by the Commissioner.
The transfer of personal data to the US under the standard contractual clauses mechanism (“SCCs”) raises important issues for the protection of EU citizens’ data protection rights. Now that the High Court has confirmed it shares the Commissioner’s concerns about the protection of those rights in the context of EU/US data transfers, the Commissioner hopes these issues will be addressed by the CJEU as soon as possible to provide certainty for data subjects and controllers alike. In that context, the Commissioner acknowledges that many businesses rely on SCCs to transfer data from the EU to the US. It is important to note that today’s decision does not invalidate the SCCs {nor the Privacy Shield); neither does it prohibit their continued use for the purpose of data transfers to the US or elsewhere. Rather, it invites the CJEU to consider whether, under EU law, SCCs in their present form can and should be retained as a basis for the transfer of personal data from the EU to the US.
Source: DPC Ireland; executive summary of the judgment
More from Max Schrems here (pdf); full text of the judgment (pdf)

28.09.2017

Norwegian Consumer Council: Report on health devices and privacy

The Norwegian Consumer Council encourage users to think twice about connecting health devices, which collect sensitive personal information, to the internet.
Although the features of these services can be useful to people, it is unacceptable that some apps contribute to users losing control their own health data, says Anne Kristin Vie, Director of Public Services and Health at the Norwegian Consumer Council.
They have investigated the consumer and privacy-related aspects of four blood pressure gauges and three blood glucose-monitoring devices used together with smartphone apps. The consultancy company Bouvet has carried out the technical part of the test on behalf of the Norwegian Consumer Council. [...]
Source: Norwegian Consumer Council; Report (pdf)

27.09.2017

EuGH-Urteil Rs Puskar: Art 7 lit e DSRL ("schwarze Liste")

EuGH 27.09.2017, Rs C-73/16Puškár
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
1.      Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass er einer nationalen Rechtsvorschrift nicht entgegensteht, die die Möglichkeit einer Person, die eine Beeinträchtigung ihres mit der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gewährleisteten Rechts auf den Schutz personenbezogener Daten rügt, bei Gericht einen Rechtsbehelf einzulegen, davon abhängig macht, dass zuvor die verfügbaren Verwaltungsrechtsbehelfe ausgeschöpft worden sind, vorausgesetzt, dass die konkreten Modalitäten für die Ausübung dieser Rechtsbehelfe das Recht auf einen Rechtsbehelf bei einem Gericht nicht unverhältnismäßig beeinträchtigen. Die vorherige Ausschöpfung der verfügbaren Verwaltungsrechtsbehelfe darf insbesondere keine wesentliche Verzögerung für die Erhebung einer Klage bewirken, muss die Verjährung der betroffenen Ansprüche hemmen und darf keine übermäßigen Kosten mit sich bringen.
2.      Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass er dem entgegensteht, dass ein nationales Gericht eine Liste wie die streitige Liste, die von der betroffenen Person vorgelegt wird und die personenbezogene Daten von ihr enthält, als Beweismittel für eine Verletzung des mit der Richtlinie 95/46 gewährten Schutzes personenbezogener Daten in dem Fall zurückweist, dass die betroffene Person diese Liste ohne die gesetzlich vorgeschriebene Einwilligung des für die Verarbeitung dieser Daten Verantwortlichen erlangt hat, es sei denn, dass eine solche Zurückweisung im nationalen Recht vorgesehen ist und sowohl den Wesensgehalt des Rechts auf einen wirksamen Rechtsbehelf als auch den Grundsatz der Verhältnismäßigkeit beachtet.
3.      Art. 7 Buchst. e der Richtlinie 95/46 ist dahin auszulegen, dass er einer Verarbeitung personenbezogener Daten durch die Behörden eines Mitgliedstaats für Steuererhebungszwecke und zur Bekämpfung von Steuerbetrug, wie sie mit der Erstellung einer Liste von Personen wie der im Ausgangsverfahren in Rede stehenden ohne die Einwilligung der betroffenen Personen vorgenommen wird, nicht entgegensteht, sofern zum einen den betreffenden Behörden durch den nationalen Gesetzgeber im öffentlichen Interesse liegende Aufgaben im Sinne dieser Vorschrift übertragen worden sind, die Erstellung dieser Liste und die Aufnahme der Namen der betroffenen Personen in diese zur Verwirklichung der verfolgten Ziele tatsächlich geeignet und erforderlich sind und hinreichende Anhaltspunkte dafür bestehen, dass die betroffenen Personen zu Recht auf dieser Liste geführt werden, und zum anderen sämtliche in der Richtlinie 95/46 aufgestellten Zulässigkeitsvoraussetzungen für die betreffende Verarbeitung personenbezogener Daten erfüllt sind.

25.09.2017

Angekündigte Bucherscheinungen zur Datenschutz-Grundverordnung (aktualisiert)

Vorwiegend deutschsprachige Literatur, ohne Anspruch auf Vollständigkeit:

06.09.2017

EGMR: Überwachung der Internetnutzung am Arbeitsplatz

ECHR, CASE OF BĂRBULESCU v. ROMANIA (Application no. 61496/08), Grand Chamber judgment, 5 September 2017:
141. Having regard to all the above considerations, and notwithstanding the respondent State’s margin of appreciation, the Court considers that the domestic authorities did not afford adequate protection of the applicant’s right to respect for his private life and correspondence and that they consequently failed to strike a fair balance between the interests at stake. There has therefore been a violation of Article 8 of the Convention.
Facts of the case (summary, pdf), Factsheet on Surveillance at workplace (pdf), FAQs (pdf)

23.08.2017

VG Köln: Autokennzeichen und Personenbezug

http://www.justiz.nrw.de/nrwe/ovgs/vg_koeln/j2017/13_K_6093_15_Urteil_20170216.html

17.08.2017

Berlin Group: Arbeitspapiere zu E-learning und nachrichtendienstl. Informationsbeschaffung

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation, die von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Frau Maja Smoltczyk, geleitet wird, hat auf ihrer 61. Sitzung am 24. und 25. April 2017 in Berlin zwei Arbeitspapiere verabschiedet, Pressemitteilung deutsch, Pressemitteilung englisch
Veröffentlichte Arbeitspapiere „E-Learning Plattformen“ und „Internationale Grundsätze zur Regulierung der nachrichtendienstlichen Informationsbeschaffung“ (Working Paper on E-Learning Platforms englishdeutsch; Working Paper: ‘Towards International Principles or Instruments to Govern Intelligence Gathering’ englishdeutsch)

11.08.2017

UK: New Data Protection Bill: the planned reforms & GDPR derogations

Department for Digital, Culture, Media and Sport, Statement of Intent dated 7 August 2017 (pdf); Annex - Summary of GDPR derogations in the Data Protection Bill (pdf) made available by the Open Rights Group

10.08.2017

BRD: Studie zur "Eigentumsordnung" für Mobilitätsdaten

"Eigentumsordnung" für Mobilitätsdaten? - Eine Studie aus technischer, ökonomischer und rechtlicher Perspektive (pdf; mit einem kurzen Exkurs betreffend Gesundheitsdaten), Auftraggeber: dt. Bundesministerium für Verkehr und digitale Infrastruktur
Die Studie wird einer breiten Fachkonsultation zugänglich gemacht, siehe hier.

01.08.2017

DSGVO: Deutsche Datenschutzkonferenz veröffentlicht Kurzpapiere Nr. 4 bis 8

Deutsche Datenschutzkonferenz: Kurzpapiere Nr. 4 bis 8 (pdf; Quelle: BayLDA):

BRD: Bundesarbeitsgericht zur Überwachung eines Dienstnehmers mittels Keylogger

Bundesarbeitsgericht, Urteil vom 27. Juli 2017, 2 AZR 681/16
Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG* unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. [...]

31.07.2017

Österreich: Datenschutz-Anpassungsgesetz 2018 im Bundesgesetzblatt kundgemacht (DSGVO-Anpassung)

Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018), BGBl I 120/2017.
Zur Vorgeschichte siehe hier.
Korrektur (dank des Hinweises von M.S.): Das DSG 2000 wird durch Z 1 des Datenschutz-Anpassungsgesetzes 2018 in "Datenschutzgesetz - DSG" (Kurzbezeichnung, Langtitel omitted) umbenannt und durch die restlichen Bestimmungen inhaltlich zu weiten Teilen neu gefasst.
Update: Fassung des DSG (ab 25.5.2018) im RIS.

29.07.2017

EuGH: vorliegendes PNR-Abkommen mit Kanada darf nicht abgeschlossen werden

EuGH, Gutachten 1/15 des Gerichtshofs (Große Kammer) vom 26. Juli 2017
Folglich äußert sich der Gerichtshof (Große Kammer) gutachtlich wie folgt:
1.      Der Beschluss des Rates über den Abschluss des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen im Namen der Union ist auf Art. 16 Abs. 2 gemeinsam mit Art. 87 Abs. 2 Buchst. a AEUV zu stützen.
2.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen ist nicht mit Art. 7, Art. 8, Art. 21 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union vereinbar, soweit es die Übermittlung sensibler Daten aus der Europäischen Union nach Kanada und die Verwendung und Speicherung solcher Daten nicht ausschließt.
3.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen muss, um mit Art. 7, Art. 8 und Art. 52 Abs. 1 der Charta der Grundrechte vereinbar zu sein,
a)      die aus der Europäischen Union nach Kanada zu übermittelnden Fluggastdatensätze klar und präzise definieren,
b)      vorsehen, dass die im Rahmen der automatisierten Verarbeitung von Fluggastdatensätzen verwendeten Modelle und Kriterien spezifisch und zuverlässig sowie nicht diskriminierend sind und dass nur Datenbanken verwendet werden, die von Kanada im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität betrieben werden,
c)      außer im Rahmen der Überprüfungen der im Voraus festgelegten Modelle und Kriterien, auf denen die automatisierte Verarbeitung der Fluggastdatensätze beruht, die Verwendung von Fluggastdatensätzen durch die zuständige kanadische Behörde während des Aufenthalts der Fluggäste in Kanada und nach ihrer Ausreise aus diesem Land sowie jede Weitergabe der Daten an andere Behörden materiell- und verfahrensrechtlichen Voraussetzungen unterwerfen, die sich auf objektive Kriterien stützen, sowie diese Verwendung und Weitergabe – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterwerfen, wobei die Entscheidung, mit der die Verwendung genehmigt wird, im Anschluss an einen mit Gründen versehenen Antrag ergeht, der von den zuständigen Behörden insbesondere im Rahmen von Verfahren zur Verhütung, Aufdeckung oder Verfolgung von Straftaten gestellt wird,
d)      die Speicherung von Fluggastdatensätzen nach der Ausreise der Fluggäste auf die Daten von Fluggästen beschränken, für die objektive Anhaltspunkte dafür vorliegen, dass von ihnen eine Gefahr im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität ausgehen könnte,
e)      die Weitergabe von Fluggastdatensätzen durch die zuständige kanadische Behörde an Behörden eines Drittlands davon abhängig machen, dass es ein Abkommen zwischen der Europäischen Union und dem betreffenden Drittland, das dem Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen äquivalent ist, oder einen Beschluss der Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gibt, der sich auf die Behörden erstreckt, an die Fluggastdatensätze weitergegeben werden sollen,
f)      ein Recht auf individuelle Information der Fluggäste im Fall der Verwendung der sie betreffenden Fluggastdatensätze während ihres Aufenthalts in Kanada und nach ihrer Ausreise aus diesem Land und im Fall der Weitergabe dieser Daten durch die zuständige kanadische Behörde an eine andere Behörde oder an Einzelpersonen vorsehen und

g)      gewährleisten, dass die Kontrolle der Einhaltung der Regeln des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen für den Schutz der Fluggäste bei der Verarbeitung der sie betreffenden Fluggastdatensätze durch eine unabhängige Kontrollstelle sichergestellt wird.

21.07.2017

EuGH (Schlussanträge): handschriftliche Prüfungsarbeit als personenbezogene Daten?

EuGH, Schlussanträge GA Kokott vom 20.07.2017,  Rs C‑434/16 (opinion, english version), Peter Nowak gegen Data Protection Commissioner (Vorabentscheidungsersuchen des Supreme Court [Irland]):
I.      Einleitung
1.        Besteht eine Prüfungsarbeit aus personenbezogenen Daten, so dass der Prüfungsteilnehmer deshalb möglicherweise auf der Grundlage der Datenschutzrichtlinie(2) vom Veranstalter der Prüfung Zugang zu seiner eigenen Arbeit verlangen kann? Darum geht es im vorliegenden Vorabentscheidungsersuchen des irischen Supreme Court. Das Ausgangsverfahren richtet sich jedoch nicht unmittelbar auf Zugang zu einer Prüfungsarbeit, sondern betrifft die Weigerung des ehemaligen irischen Datenschutzbeauftragten, einer Beschwerde wegen Verweigerung des Zugangs nachzugehen.
2.        Im Zentrum steht die Frage, ob die in einer Prüfungsarbeit enthaltenen Ausführungen des Prüfungsteilnehmers personenbezogene Daten sein können. Am Rande kann allerdings auch erörtert werden, ob es von Bedeutung ist, dass die Arbeit handschriftlich erstellt wurde, und ob auch Korrekturanmerkungen des Prüfers auf der Arbeit personenbezogene Daten des Prüfungsteilnehmers sind.
3.        Zwar wird die Datenschutzrichtlinie demnächst durch die noch nicht anwendbare Datenschutz-Grundverordnung(3) abgelöst, doch der Begriff der personenbezogenen Daten wird davon nicht berührt. Daher ist dieses Vorabentscheidungsersuchen auch für die zukünftige Anwendung des Datenschutzrechts der Union von Bedeutung. [...]
V.      Ergebnis
70.      Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
Bei einer handschriftlichen Prüfungsarbeit, die einem Prüfungsteilnehmer zugeordnet werden kann, handelt es sich einschließlich etwaiger Korrekturanmerkungen von Prüfern um personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. (A handwritten examination script capable of being ascribed to an examination candidate, including any corrections made by examiners that it may contain, constitutes personal data within the meaning of Article 2(a) of Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data.)

19.07.2017

OGH: Unterlassung der Verwendung und Beseitigung von "Bonitätsdaten", Fristenlauf nach § 34 Abs 1 DSG 2000

OGH 29.05.2017, 6 Ob 217/16d
[...] 2. Zum Fristenlauf nach § 34 Abs 1 DSG
Entscheidend ist hier, wann bei rechtswidrigen Dauerzuständen der Beginn des Fristenlaufs anzusetzen ist. Dazu hat sich in anderen Bereichen bereits eine gefestigte Rechtsprechung entwickelt:
Solange im Lauterkeitsrecht ein gesetzwidriger Zustand fortbesteht, bleibt gemäß § 20 Abs 2 UWG der Anspruch auf seine Beseitigung nach § 15 UWG und auf Unterlassung der Gesetzesverletzung gewahrt. [...]
Im Schadenersatzrecht besteht folgende Rechtsprechung: Bei fortgesetzter Schädigung beginnt die Verjährung für den Ersatz des erstentstandenen Schadens mit der Kenntnis des Beschädigten von ihm zu laufen; für jede weitere Schädigung beginnt eine neue Verjährung in dem Zeitpunkt, in welchem sie dem Beschädigten zur Kenntnis gelangt (RIS-Justiz RS0034536). Eine fortgesetzte Schädigung in diesem Sinn liegt vor, wenn durch eine schädigende Anlage, Nichtbeseitigen eines gefährlichen oder Aufrechterhalten eines rechtswidrigen Zustands Schäden hervorgerufen werden (RIS-Justiz RS0034536 [T13]). [...]
Im Sinn dieser Rechtsprechung ist es auch bei auf § 32 DSG gestützten Unterlassungs- und Beseitigungsansprüchen sachgerecht, bei rechtswidrigen Dauerzuständen wie im vorliegenden Fall sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustands beginnen zu lassen.
3. Zu § 39 Abs 2 BWG
[...] Die von der Revisionswerberin aus § 39 Abs 2 BWG abgeleiteten Verpflichtungen finden im Wortlaut der Bestimmung keine Deckung. § 39 Abs 2 BWG sieht lediglich ein von der Rechtsordnung grundsätzlich gebilligtes überwiegendes berechtigtes Interesse an der Sammlung, Aufbewahrung und Weitergabe bonitätsrelevanter personenbezogener Daten iSd § 8 Abs 1 Z 4 DSG 2000 vor. Diese Bestimmung legt jedoch nicht die Aufnahme bestimmter personenbezogenen Daten in eine Datenanwendung iSd § 4 Z 7 DSG 2000 und den Betrieb eines – kreditinstitutsübergreifenden – Informationsverbundsystems (§ 4 Z 13, § 50 DSG 2000) über bonitätsrelevante Daten verpflichtend fest (6 Ob 112/10d). [...]
Anmerkung: Mit Ausführungen des OLG Innsbruck zur Rechtswirksamkeit der Zustimmungserklärung  über die Weitergabe von Daten an die Kleinkreditevidenz.

ECHR: Factsheet on Personal data protection (July 2017)

European Court of Human Rights: Factsheet on Personal data protection (case law of the ECHR; July 2017; pdf)

05.07.2017

BRD: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU im BGBl

Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU, BGBl (pdf) - BDSG-neu

For my digital legal memory only ;)

DSGVO: Vermischtes (Verarbeitungsverzeichnis-Muster and more)

28.06.2017

Österreich: DSGVO-Anpassungsgesetz - aktueller Stand (Updates)

Mangels einer Verfassungsmehrheit (in der Regierungsvorlage eines "Datenschutz-Anpassungsgesetz 2018" waren - typisch für Österreich - Verfassungsbestimmungen enthalten, siehe Artikel 1 und § 1 DSG) im Verfassungsausschuss wurde mit den Stimmen von SP und VP ein "modifizierter" Text (aufgrund eines sog. "Gesamtändernden Abänderungsantrags") beschlossen, zudem kam es aufgrund von Interventionen von Forschungseinrichtungen zu einer sog. "Ausschussfeststellung" (hier haben auch die Grünen zugestimmt, siehe den Ausschussbericht), diese lautet wie folgt:
„Der Verfassungsausschuss geht in Bezug auf § 7 (’Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistischer Zwecke’) davon aus, dass die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs gemäß Erwägungsgrund 113 der Datenschutz-Grundverordnung auch durch die Erlassung spezialgesetzlicher Regelungen erreicht werden können. Damit sollen die in der Datenschutz-Grundverordnung vorgesehenen Öffnungsklauseln (insbesondere Art. 89 DSGVO) im Sinne der gedeihlichen Entwicklung des Hochschul-, Forschungs- und Innovationsstandortes Österreich genutzt werden, um praxisnahe Regelungen für die im öffentlichen Interesse liegenden Archivzwecke, die wissenschaftlichen oder historischen Forschungszwecke oder die statistischen Zwecke, insbesondere für pseudonymisierte Daten und Regelungen zur Registerforschung zu schaffen sowie Rechtssicherheit insbesondere für bereits bestehende biologische Proben- und Datensammlungen zu gewährleisten.“

Geändert wurde im Vergleich zur Regierungsvorlage u.a. Folgendes:
  • Art 8 DSGVO: § 4 Abs 4 DSG sieht die Einwilligungsfähigkeit ab dem Alter von 14 Jahren vor (anstelle von 16)
  • Art 10 DSGVO: § 4 Abs 3 DSG erlaubt unter bestimmten Voraussetzungen die Verarbeitung "strafrechtsbezogener" Daten durch Private (in der RV fehlte so eine Regelung komplett, was auch heftig kritisiert wurde)
  • Befugnisse der Aufsichtbehörde (Datenschutzbehörde): § 11 Abs 1 DSG sah u.a. vor , dass die Datenschutzbehörde nur im Fall eines begründeten Verdachtes auf Verletzung der Rechte und Pflichten Datenverarbeitungen überprüfen hätte können. Der "begründete Verdacht" wurde beseitigt (s nunmehr § 22 Abs 1).
  • Anpassung der "Reichweite" des § 25 (nunmehr § 7), um DSGVO-konform zu sein. Dies könnte auf die von mir im Auftrag meines Arbeitgebers verfasste Stellungnahme zurückgehen: "Ad § 25 DSG idF DS-AnpG 2018 (“Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik“): Auffällig ist zunächst, dass in § 25 DSG idF DS-AnpG 2018 keine Rede von „im öffentlichen Interesse liegenden Archivzwecken“ und „historischen Forschungszwecken“ ist, obwohl diese in der DSGVO ausdrücklich genannt (und privilegiert) werden (siehe ua Art 5 Abs 1 lit b, Art 9 Abs 2 lit j, Art 89 Abs 1). Sofern dadurch tatsächlich beabsichtigt wird, den Umfang der Datenverarbeitung für diese Zwecke einzuschränken, erscheint dies als (unzulässige) Beschränkung des Anwendungsbereichs der DSGVO durch nationales Recht."
  • Update, Einschränkung des Verweises auf das ArbVG: § 11: Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.
Das Datenschutz-Anpassungsgesetz 2018 soll morgen, 29.6.2017 vom Nationalrat beschlossen werden, angeblich soll es noch zu einer kleinen Abänderung kommen ...
Update 29.06.2017: Vom Nationalrat (mit einem Abänderungsantrag) beschlossen, womit in das „DSG neu“ eine Norm aufgenommen wird, die die „alten“ unter dem DSG 2000 eingeholten Zustimmungserklärungen auch unter der neuen Rechtslage ab 25.5.2018 für wirksam erklärt (sofern diese auch der DSGVO entsprechen – als Vorlage diente offenbar der Beschluss des deutschen "Düsseldorfer Kreises": https://datenschutz-berlin.de/attachments/1254/2016-Duesseldorfer-Kreis-Alteinwilligung.pdf?1474624406)
Update 03.07.2017: Abänderungsantrag verlinkt; auf der TO des Bundesrats am 06.07.2017
Update 07.07.2017: Der Bundesrat hat gestern zugestimmt (Pressemeldung), next steps: Bundeskanzler und Bundespräsident, danach Kundmachung im BGBl.
Update 31.07.2017: Kundmachung im Bundesgesetzblatt, siehe hier
Update: Fassung des DSG (ab 25.5.2018) im RIS.

23.06.2017

Art 29 WP: Opinion 2/2017 on data processing at work

Article 29 Working Party releases Opinion 2/2017 on data processing at work (WP 249, pdf), adopted on 8 June 2017:
"... Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer. ..."

14.06.2017

BfDI: Datenschutzrechtliche Empfehlungen zum automatisierten u. vernetzten Fahren

Datenschutzrechtliche Empfehlungen der BfDI zum automatisierten und vernetzten Fahren (pdf)

Datenschutzbehörde: Einwilligungerklärung in AGB, "Koppelungsverbot"

DSB 22.05.2017, DSB-D216.396/0003-DSB/2017
[...] Eine ausdrückliche Zustimmung des Betroffenen kann keinesfalls dann vorliegen, wenn sie bloß als Bestandteil von Allgemeinen Geschäftsbedingungen vom Betroffenen zur Kenntnis genommen wurde. Vielmehr liegt eine „ausdrückliche“ schriftliche Zustimmung nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung getrennt von etwaigen sonstigen vertraglichen Vereinbarungen gegeben hat.
Hinsichtlich der Form der Zustimmungserklärung ist daher zu verlangen, dass diese deutlich vom übrigen Text eines Formulars, eines Schriftstückes udgl. abgesetzt ist. Hinweise auf allgemeine Geschäftsbedingungen, auf Angaben in anderen Dokumenten, die nicht Bestandteil des unterzeichneten Papiers sind, sind nicht zulässig.
Die Zustimmungserklärung bedarf jedenfalls einer gesonderten Unterzeichnung, die einheitliche Unterzeichnung eines Formulars, in dem neben anderen Erklärungen auch die Zustimmungserklärung enthalten ist, reicht nicht aus. Es ist daher in solchen Fällen jedenfalls erforderlich, die Zustimmungserklärung vom übrigen Formulartext derart zu trennen, dass eine gesonderte Unterfertigung der Zustimmungserklärung und der sonstigen vom Formular vorgesehenen Angaben möglich ist (vgl. dazu Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht2 S 79 mwN).
Die „Stellungnahme 15/2011 zur Definition von Einwilligung“ (iSd Datenschutz-Richtlinie 95/46/EG) der Art 29 Datenschutzgruppe, WP 187, vom 13. Juli 2011, führt folgendes aus:
„Eine Einwilligung muss für den konkreten Fall erfolgen. Eine pauschale Einwilligung ohne genaue Festlegung des Zwecks ist nicht rechtmäßig. Diese Informationen sollten nicht in den allgemeinen Geschäftsbedingungen des Vertrags stehen, sondern es sollten stattdessen spezielle Einwilligungsklauseln gesondert von den allgemeinen Geschäftsbedingungen verwendet werden.
[...] Die Datenschutzbehörde/Datenschutzkommission hält daher in ständiger Rechtsprechung eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB für nicht zulässig (vgl. dazu etwa die Empfehlung der Datenschutzkommission vom 13. Juli 2012, GZ K 212.766/0010-DSK/2012). Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung einzugehen („Opt-in“ – Lösung, etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist).
[...] Der Hinweis von „O***“ auf Art. 6 Abs. 1 lit. f iVm EG 47 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) – zur Begründung überwiegender berechtigter Interessen – verfängt schon deshalb nicht, weil dieser Rechtsakt noch nicht in Geltung steht. [...]

BRD: Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen

Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz (pdf) - Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen unter Berücksichtigung der Datenschutz-Grundverordnung
Das Whitepaper hat folgenden Inhalt:
- Rechtliche Analyse der Vorgaben der DS-GVO für die Pseudonymisierung
- Darstellung von Verfahren und technisch-organisatorischen Anforderungen an die Pseudonymisierung mit Beispielen zur Umsetzung von Verfügbarkeitsanforderungen
- Darstellung von Anwendungsszenarien (Entertain TV, Direktmarketing, medizinische Forschungsprojekte)
Quelle: Pressemeldung BMI

09.06.2017

OGH: Zum Schutz juristischer Personen vor Videoüberwachung etc.

OGH 29.03.2017, 6 Ob 231/16p
[...] 2. Der Beklagte richtet in seiner Revision das Hauptaugenmerk auf den Umstand, dass es sich bei Erst-, Zweit- und Drittklägerin um juristische Personen handelt, auf die die Rechtsprechung zum verbotenen Überwachungsdruck nicht angewendet werden könne. Dem kann jedoch in der hier gegebenen Sachverhaltskonstellation nicht gefolgt werden:
2.1. Das Recht auf Achtung der Geheimsphäre ist ein Persönlichkeitsrecht (RIS-Justiz RS0009003). Nach den ErläutRV zu § 1328a ABGB (ZivRÄG 2004; 173 BlgNr 22. GP, 18) sollen zwar nach dieser Bestimmung Betriebs- und Geschäftsgeheimnisse nicht geschützt sein; § 1328a ABGB schütze die natürliche Person, der Begriff der Privatsphäre sei an den des Privatlebens iSd Art 8 EMRK angelehnt. Es ist aber auch anerkannt, dass etwa das Recht auf den Schutz von Geschäftsräumlichkeiten auch juristischen Personen zukommen kann (vgl etwa Ehlers, Europäische Grundrechte und Grundfreiheiten4 [2014] § 2 Rz 44; Gersdorf in BeckOK, InfoMedienR [2015] Art 8 EMRK Rz 12 ua) und eine differenzierte Betrachtung erforderlich ist (Grabenwarter/Pabel, EMRK6 [2016] § 17 Rz 5; vgl auch Klippel, Der zivilrechtliche Persönlichkeitsschutz von Verbänden, JZ 1988, 625 [632]; Fellner, Persönlichkeitsschutz juristischer Personen [2007] 182 ff; Handler, Der Schutz von Persönlichkeitsrechten [2008] 50 ff). Juristischen Personen kommt nach ständiger Rechtsprechung etwa auch das Recht auf Ehre zu (RIS-Justiz RS0008985).
2.2. Der Oberste Gerichtshof hat vor allem aber bereits ausgesprochen, dass ein Vermieter schon deswegen ein Interesse an der Abwehr von Überwachungsmaßnahmen gegen eine von ihm nicht selbst benützte Wohnung hat, weil er ansonsten Ansprüchen seines Mieters ausgesetzt wäre (10 Ob 57/14a), und dass ein (auf der Privatsphäre beruhendes) Recht eines Liegenschaftseigentümers besteht, dass seine Angestellten nicht systematisch beobachtet werden (8 Ob 108/05y; 10 Ob 57/14a); im Übrigen ist ein Arbeitgeber verpflichtet, die materiellen und immateriellen Interessen seiner Dienstnehmer im Rahmen des Dienstverhältnisses zu wahren (RIS-Justiz RS0021544), wozu etwa auch der Schutz ihrer Persönlichkeitsrechte gehört (9 ObA 143/03z).
In all diesen Fällen kann es aber nicht von Bedeutung sein, ob es sich beim Vermieter, Liegenschaftseigentümer oder Arbeitgeber um eine natürliche oder eine juristische Person handelt, geht es doch um den Schutz der betroffenen natürlichen Personen. Aus dieser Rechtsprechung lässt sich der Grundsatz ableiten, dass (unter anderem) einem Liegenschaftseigentümer ein Klagerecht auch primär im Interesse der Nutzer (Mieter, Dienstnehmer) der Liegenschaft eingeräumt ist. Da insoweit keine unmittelbare persönliche Betroffenheit gefordert wird, kommt es auf die Fähigkeit der juristischen Person, Überwachungsdruck zu erleben, nicht mehr entscheidend an. [...]

OLG Graz: Zur Löschung von E-Mail-Adressen bei der Auflösung einer Kanzleigemeinschaft (§ 43 ABGB; § 9 UWG)

OLG Graz 14. 9. 2016, 5 R 129/16 d
Erste Judikatur zu der Frage, wie im Falle der Auflösung einer Kanzleigemeinschaft mit alten E-Mail-Accounts der ausscheidenden Rechtsanwälte zu verfahren ist.
Quelle: Anwaltsblatt 06/2017, 386 f (pdf)

08.06.2017

Study: An assessment of the Commission’s Proposal on Privacy and Electronic Communications

Study, An assessment of the Commission’s Proposal on Privacy and Electronic Communications (PE 583.152; pdf), Authors: Dr. Frederik ZUIDERVEEN BORGESIUS (project leader and editor), Dr. Joris VAN HOBOKEN, Ronan FAHY, Dr. Kristina IRION, Max ROZENDAAL. This research paper was requested by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs, and was commissioned, overseen and published by the Policy Department for Citizens’ Rights and Constitutional Affairs.
Abstract
This study, commissioned by the European Parliament’s Policy Department for Citizens’ Rights and Constitutional Affairs at the request of the LIBE Committee, appraises the European Commission’s proposal for an ePrivacy Regulation. The study assesses whether the proposal would ensure that the right to the protection of personal data, the right to respect for private life and communications, and
related rights enjoy a high standard of protection. The study also highlights the proposal’s potential benefits and drawbacks more generally.