18.10.2017

First annual report on the functioning of the EU- U.S. Privacy Shield

Today the European Commission publishes its first annual report on the functioning of the EU-U.S. Privacy Shield, the aim of which is to protect the personal data of anyone in the EU transferred to companies in the U.S. for commercial purposes.
Overall the report shows that the Privacy Shield continues to ensure an adequate level of protection for the personal data transferred from the EU to participating companies in the U.S.
Source: Press release; Report and Staff Working Document on the annual review of the functioning of the EU–U.S. Privacy Shield

EuGH: Gerichtszuständigkeit für Klage gg. Veröffentlichung unrichtiger Angaben im Internet

EuGH 17.10.2017, Rs C‑194/16Bolagsupplysningen OÜ
[...] Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Art. 7 Nr. 2 der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass eine juristische Person, deren Persönlichkeitsrechte durch die Veröffentlichung unrichtiger Angaben über sie im Internet und durch das Unterlassen der Entfernung sie betreffender Kommentare verletzt worden sein sollen, Klage auf Richtigstellung der Angaben, auf Verpflichtung zur Entfernung der Kommentare und auf Ersatz des gesamten entstandenen Schadens bei den Gerichten des Mitgliedstaats erheben kann, in dem sich der Mittelpunkt ihrer Interessen befindet. Übt die betreffende juristische Person den größten Teil ihrer Tätigkeit in einem anderen Mitgliedstaat als dem ihres satzungsmäßigen Sitzes aus, kann sie den mutmaßlichen Urheber der Verletzung unter Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs in diesem anderen Mitgliedstaat verklagen.
2. Art. 7 Nr. 2 der Verordnung Nr. 1215/2012 ist dahin auszulegen, dass eine Person, deren Persönlichkeitsrechte durch die Veröffentlichung unrichtiger Angaben über sie im Internet und durch das Unterlassen der Entfernung sie betreffender Kommentare verletzt worden sein sollen, nicht vor den Gerichten jedes Mitgliedstaats, in dessen Hoheitsgebiet die im Internet veröffentlichten Informationen zugänglich sind oder waren, eine Klage auf Richtigstellung der Angaben und Entfernung der Kommentare erheben kann.

OGH: „Dauerhafter Datenträger“ und E-Banking-Postfach

OGH 28.09.2017, 8 Ob 14/17t (unter Verweis auf EuGH 25.01.2017, C-375/15):
[...] Der Zahlungsdienstleister muss, wenn die Richtlinie 2007/64/EG vorsieht, dass er dem Zahlungsdienstnutzer die betreffenden Informationen mitteilt, diese Informationen von sich aus übermitteln (Rn 48). Von den Zahlungsdienstnutzern kann nämlich vernünftigerweise nicht erwartet werden, dass sie regelmäßig alle elektronischen Kommunikationssysteme abfragen, bei denen sie registriert sind.
Soweit die Klausel 9 vorsieht, dass der Kunde „Mitteilungen und Erklärungen (…) die die Bank dem Kunden zu übermitteln … hat“ im Wege des E-Banking erhält, garantiert dieser Übermittlungsweg nicht, dass die vom Gerichtshof der Europäischen Union für maßgeblich erachteten Kriterien eingehalten werden, weil sie – die Zustimmung des Kunden vorausgesetzt – die Übermittlung in das Postfach, das die Bank innerhalb des E-Banking eingerichtet hat, genügen lässt. Da dieses vom Kunden nur für die Kommunikation mit der Bank genützt wird, bedürfte es zusätzlich einer Mitteilung an den Kunden in einer Form, die seine tatsächliche Kenntnisnahme wahrscheinlich macht.
[...]
Folgende Klausel ist daher unzulässig (Verstoß gegen §§ 29 Abs 1 Z 1 iVm 26 Abs 1 Z 1 ZaDiG):
9. Mitteilungen und Erklärungen (insbesondere Kontonachrichten, Kontoauszüge, Kreditkartenabrechnungen, Änderungsmitteilungen, etc), die die Bank dem Kunden zu übermitteln oder zugänglich zu machen hat, erhält der Kunde, der eBanking vereinbart hat, per Post oder durch Abrufbarkeit oder Übermittlung elektronisch im Wege des B***** eBankings.“
Mehr dazu beim VKI.

17.10.2017

Art 29 WP: Guidelines on data breach notification and profiling under the GDPR

  • Guidelines on Personal data breach notification under Regulation 2016/679, WP 250 (pdf)
  • Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679, WP 251 (pdf)
The Article 29 Working Party welcomes comments on the data breach notification and profiling guidelines. Such comments should be sent to the following addresses by 28 November 2017 at the latest. More here.

16.10.2017

EMA: Updated guidance on the publication of clinical data

European Medicines Agency, External guidance on the implementation of the European Medicines Agency policy on the publication of clinical data for medicinal products for human use, V1.3, 22/09/2017 (pdf):
This document provides guidance to industry on practical aspects of the implementation of the Agency's policy on the publication of clinical data for medicinal products for human use. It covers guidance on the procedural aspects of the submission of clinical reports, the anonymisation of clinical reports and the identification and redaction of commercially confidential information in clinical reports. It also includes a checklist for the 'Redaction Proposal Document' package. This guidance is revised periodically.
Source: EMA; more on clinical data publication

15.10.2017

Österreichische Datenschutzbehörde aktualisiert DSGVO-Leitfaden (Update)

Leitfaden zur Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, zusammengestellt von Dr. Matthias Schmidl, Stand: Juli 2017 (pdf)
Einige interessante Auszüge, die mir beim neuerlichen Überfliegen aufgefallen sind (wobei ich keinen Vergleich mit der ursprünglichen Fassung vorgenommen habe):

  • Seite 19 ff: Kurzüberblick über das Datenschutz-Anpassungsgesetz 2018
  • Seite 27: Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Voraussichtlich ab August/September 2017 wird eine Schnittstelle zur Verfügung stehen, sodass bestehende DVR-Meldungen in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können (Anmerkung: siehe die neue Export-Funktion).
  • Seite 32 f: Kann ein Datenschutzbeauftragter verantwortlicher Beauftragter nach § 9 VStG sein? Der Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann.
  • Seite 31 f: Was ist eine „öffentliche Stelle“? [...]Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das Datenschutzanpassungsgesetz 2018 heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den Verantwortlichen des öffentlichen Bereichs. Darunter fallen alle Verantwortliche,
    • die in Formen des öffentlichen Rechts eingerichtet sind oder
    • zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung).
 Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. [...]

Update 15.10.2017: Der Leitfaden wurde aktualisiert (Stand Oktober 2017); u.a. mit Ausführungen zur Durchführung einer DSFA bei bereits bestehenden Datenanwendungen (S 29 f).

13.10.2017

Guidelines on Data Protection Impact Assessment: final version

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, WP 248 rev.01:
Page 13: [...] C. What about already existing processing operations? DPIAs are required in some circumstances.
The requirement to carry out a DPIA applies to existing processing operations likely to result in a high risk to the rights and freedoms of natural persons and for which there has been a change of the risks, taking into account the nature, scope, context and purposes of the processing.
A DPIA is not [my emphasis] needed for processing operations that have been checked by a supervisory authority or the data protection official, in accordance with Article 20 of Directive 95/46/EC, and that are performed in a way that has not changed since the prior checking. Indeed, "Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed" (recital 171).
Conversely, this means that any data processing whose conditions of implementation (scope, purpose, personal data collected, identity of the data controllers or recipients, data retention period, technical and organisational measures, etc.) have changed since the prior checking performed by the supervisory authority or the data protection official and which are likely to result in a high risk should be subject to a DPIA. [...]
Siehe dazu nunmehr auch hier (Fassung vom Oktober 2017, Seite 29 f).
Prior version (page 11):
c) What about already existing processing operations? DPIAs are needed for those created after May 2018 or that change significantly.
The requirement to carry out a DPIA applies to processing operations meeting the criteria in Article 35 and initiated after the GPDR becomes applicable on 25 May 2018.
WP29 strongly recommends to carry out DPIAs for processing operations already underway prior to May 2018. In addition, where necessary, “the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operation” (Article 35(11)21).

BTW: The revised version contains a new example for a processing operation "likely" requiring a DPIA: Storage for archiving purpose of pseudonymised personal sensitive data concerning vulnerable data subjects of research projects or clinical trials

06.10.2017

Präsentation: Datenschutz im Gesundheitsbereich (in Österreich) - Herausforderungen durch DSGVO und DSG

Gestern habe ich eine Präsentation auf der Jahrestagung betrieblicher Datenschutz 2017 der Arge Daten gehalten, die hier (pdf) abrufbar ist (aufgrund der Kürze der zur Verfügung stehenden Zeit handelt es sich nur um eine subjektive Auswahl an Themen).

Ö: Datenschutz-Folgenabschätzung für elektronische Gesundheitsakte in den Gesetzesmaterialien

Auszug aus den Erläuterungen zum Deregulierungsgesetz 2017 (genauer zu den darin enthaltenen Änderungen des Gesundheitstelematikgesetzes 2012):
[...] Zu § 14 Abs. 6:
Gemäß Art. 35 Abs. 3 lit. b der geltenden Datenschutz-Verordnung sind Datenschutz-Folgenabschätzungen erforderlich bei „umfangreiche[n] Verarbeitung[en] besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1“.
Bei der Datenschutz-Folgenabschätzung sind die Risiken den Maßnahmen zur Eindämmung dieser Risiken gegenüberzustellen (Erwägungsgrund 90 DSGVO). Bereits die Erläuterungen zum GTelG 2012 (RV 1936 d. B. XXIV. GP. 4 ff) haben zum Schutz von Gesundheitsdaten umfangreiche Abwägungen zu Risiken, angemessenen Garantien und Datensicherheitsmaßnahmen vorgesehen, sodass sich folgende Datenschutz-Folgenabschätzung ergibt:

DATENSCHUTZ-FOLGENABSCHÄTZUNG FÜR ELGA
SYSTEMATISCHE BESCHREIBUNG der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen 
ELGA-Gesundheitsdaten (§ 2 Z 9 GTelG 2012) sollen in dezentralen Datenspeichern für ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10 GTelG 2012) zeit- und ortsunabhängig zu Gesundheitszwecken gemäß § 9 Z 12 DSG 2000 sowie zur Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 GTelG 2012 zur Verfügung gestellt werden.
BEWERTUNG der Notwendigkeit und Verhältnismäßigkeit
Die im Gesundheitstelematikgesetz 2012 enthaltenen Regelungen über die Ermittlung und Speicherung von Gesundheitsdaten im Rahmen von ELGA dienen einem der in Art. 8 Abs. 2 EMRK genannten Ziele, nämlich dem Schutz der Gesundheit durch die Verbesserung der Verfügbarkeit von und des Zugangs zu ELGA-Gesundheitsdaten für ELGA-Gesundheitsdiensteanbieter (vgl. § 13 Abs. 1 GTelG 2012). Die Notwendigkeit ergibt sich aus dem wichtigen öffentlichen Interesse an der bestmöglichen Gesundheitsversorgung, die ohne eine zeit- und ortsunabhängige Verfügbarkeit von ELGA-Gesundheitsdaten zur Gesundheitsversorgung von ELGA-Teilnehmer/inne/n nicht gegeben ist.
Grundsätzlich bestehen Risiken, allerdings ist deren Eintritt einerseits nicht sehr wahrscheinlich und sind andererseits zahlreiche, wirksame Abhilfemaßnahmen gesetzlich im Gesundheitstelematikgesetz 2012 verankert, sodass die Datenschutz-Folgenabschätzung für ELGA klar positiv und zugunsten von ELGA ausfällt.
RISIKEN
Als Risiken werden insbesondere in Erwägungsgrund 85 der Datenschutz-Grundverordnung unter anderem genannt: [...]

VwGH: Auskunftsrecht und Verschwiegenheitspflichten (ua DSG 2000)

VwGH 18.8.2017, Ra 2015/04/0010 (pdf)
[...] Mit dem im konkreten Fall gegenständlichen Auskunftsbegehren wollte die revisionswerbende Partei  - bezogen auf einen bestimmten Zeitraum - die (Gesamt)höhe der von einer Marktgemeinde an eine Rechtsanwalts-GmbH bezahlten Honorare in Erfahrung bringen; eine genaue Aufschlüsselung, durch die die Kalkulation der Honorarvereinbarung sowie die Art und der Umfang der erbrachten Leistungen offengelegt würde, hat die revisionswerbende Partei dagegen nicht beantragt.
Der VwGH hielt dazu fest, dass dadurch nicht in ein Geschäfts- oder Betriebsgeheimnis der Rechtsanwalts-GmbH eingegriffen und weder die anwaltliche Verschwiegenheitspflicht noch die geschützten Rechte nach dem DSG verletzt werden; dem Auskunftsbegehren der revisionswerbenden Partei steht demnach keine gesetzliche Verschwiegenheitspflicht entgegen.
Quelle: VwGH

05.10.2017

GDD: Datenschutz-Policy-Muster, DSGVO-Accountability

GDD-Praxishilfe DS-GVO IX - Accountability, Version 1.0, Stand Oktober 2017: https://www.gdd.de/aktuelles/startseite/accountability-nach-der-ds-gvo
GDD-Praxishilfe DS-GVO VIII - Unternehmensrichtlinie zur Datenschutz-Organisation, Version 1.0, Stand Oktober 2017: https://www.gdd.de/aktuelles/startseite/muster-fuer-betriebliche-datenschutzpolicy

04.10.2017

Standard Contractual Clauses (SCC) in peril?

The Commissioner welcomes the High Court’s judgment and its decision to refer a number of questions to the CJEU, as requested by the Commissioner.
The transfer of personal data to the US under the standard contractual clauses mechanism (“SCCs”) raises important issues for the protection of EU citizens’ data protection rights. Now that the High Court has confirmed it shares the Commissioner’s concerns about the protection of those rights in the context of EU/US data transfers, the Commissioner hopes these issues will be addressed by the CJEU as soon as possible to provide certainty for data subjects and controllers alike. In that context, the Commissioner acknowledges that many businesses rely on SCCs to transfer data from the EU to the US. It is important to note that today’s decision does not invalidate the SCCs {nor the Privacy Shield); neither does it prohibit their continued use for the purpose of data transfers to the US or elsewhere. Rather, it invites the CJEU to consider whether, under EU law, SCCs in their present form can and should be retained as a basis for the transfer of personal data from the EU to the US.
Source: DPC Ireland; executive summary of the judgment
More from Max Schrems here (pdf); full text of the judgment (pdf)

30.09.2017

Publikation (Vorankündigung): Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO

Ich habe gemeinsam mit Walter Hötzendorfer und Renate Riedl für das Jahrbuch Datenschutzrecht 2017 (herausgegeben von Prof. Dr. Jahnel im NWV Verlag) einen über 30 Seiten langen Beitrag mit dem Titel "Ausgewählte Fragen der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO" verfasst. Als Anlagen haben wir auf Grundlage einer Analyse der bestehenden Ansätze ein umfangreiches Muster für einen Datenschutz-Folgenabschätzungs-Bericht und ein Muster über die Ermittlung der Notwendigkeit einer Datenschutz-Folgenabschätzung erstellt. Der Erscheinungstermin des Jahrbuches ist voraussichtlich im Oktober 2017.

28.09.2017

Norwegian Consumer Council: Report on health devices and privacy

The Norwegian Consumer Council encourage users to think twice about connecting health devices, which collect sensitive personal information, to the internet.
Although the features of these services can be useful to people, it is unacceptable that some apps contribute to users losing control their own health data, says Anne Kristin Vie, Director of Public Services and Health at the Norwegian Consumer Council.
They have investigated the consumer and privacy-related aspects of four blood pressure gauges and three blood glucose-monitoring devices used together with smartphone apps. The consultancy company Bouvet has carried out the technical part of the test on behalf of the Norwegian Consumer Council. [...]
Source: Norwegian Consumer Council; Report (pdf)

27.09.2017

EuGH-Urteil Rs Puskar: Art 7 lit e DSRL ("schwarze Liste")

EuGH 27.09.2017, Rs C-73/16Puškár
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
1.      Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass er einer nationalen Rechtsvorschrift nicht entgegensteht, die die Möglichkeit einer Person, die eine Beeinträchtigung ihres mit der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gewährleisteten Rechts auf den Schutz personenbezogener Daten rügt, bei Gericht einen Rechtsbehelf einzulegen, davon abhängig macht, dass zuvor die verfügbaren Verwaltungsrechtsbehelfe ausgeschöpft worden sind, vorausgesetzt, dass die konkreten Modalitäten für die Ausübung dieser Rechtsbehelfe das Recht auf einen Rechtsbehelf bei einem Gericht nicht unverhältnismäßig beeinträchtigen. Die vorherige Ausschöpfung der verfügbaren Verwaltungsrechtsbehelfe darf insbesondere keine wesentliche Verzögerung für die Erhebung einer Klage bewirken, muss die Verjährung der betroffenen Ansprüche hemmen und darf keine übermäßigen Kosten mit sich bringen.
2.      Art. 47 der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass er dem entgegensteht, dass ein nationales Gericht eine Liste wie die streitige Liste, die von der betroffenen Person vorgelegt wird und die personenbezogene Daten von ihr enthält, als Beweismittel für eine Verletzung des mit der Richtlinie 95/46 gewährten Schutzes personenbezogener Daten in dem Fall zurückweist, dass die betroffene Person diese Liste ohne die gesetzlich vorgeschriebene Einwilligung des für die Verarbeitung dieser Daten Verantwortlichen erlangt hat, es sei denn, dass eine solche Zurückweisung im nationalen Recht vorgesehen ist und sowohl den Wesensgehalt des Rechts auf einen wirksamen Rechtsbehelf als auch den Grundsatz der Verhältnismäßigkeit beachtet.
3.      Art. 7 Buchst. e der Richtlinie 95/46 ist dahin auszulegen, dass er einer Verarbeitung personenbezogener Daten durch die Behörden eines Mitgliedstaats für Steuererhebungszwecke und zur Bekämpfung von Steuerbetrug, wie sie mit der Erstellung einer Liste von Personen wie der im Ausgangsverfahren in Rede stehenden ohne die Einwilligung der betroffenen Personen vorgenommen wird, nicht entgegensteht, sofern zum einen den betreffenden Behörden durch den nationalen Gesetzgeber im öffentlichen Interesse liegende Aufgaben im Sinne dieser Vorschrift übertragen worden sind, die Erstellung dieser Liste und die Aufnahme der Namen der betroffenen Personen in diese zur Verwirklichung der verfolgten Ziele tatsächlich geeignet und erforderlich sind und hinreichende Anhaltspunkte dafür bestehen, dass die betroffenen Personen zu Recht auf dieser Liste geführt werden, und zum anderen sämtliche in der Richtlinie 95/46 aufgestellten Zulässigkeitsvoraussetzungen für die betreffende Verarbeitung personenbezogener Daten erfüllt sind.

25.09.2017

Angekündigte Bucherscheinungen zur Datenschutz-Grundverordnung (aktualisiert)

Vorwiegend deutschsprachige Literatur, ohne Anspruch auf Vollständigkeit:

06.09.2017

EGMR: Überwachung der Internetnutzung am Arbeitsplatz

ECHR, CASE OF BĂRBULESCU v. ROMANIA (Application no. 61496/08), Grand Chamber judgment, 5 September 2017:
141. Having regard to all the above considerations, and notwithstanding the respondent State’s margin of appreciation, the Court considers that the domestic authorities did not afford adequate protection of the applicant’s right to respect for his private life and correspondence and that they consequently failed to strike a fair balance between the interests at stake. There has therefore been a violation of Article 8 of the Convention.
Facts of the case (summary, pdf), Factsheet on Surveillance at workplace (pdf), FAQs (pdf)

23.08.2017

VG Köln: Autokennzeichen und Personenbezug

http://www.justiz.nrw.de/nrwe/ovgs/vg_koeln/j2017/13_K_6093_15_Urteil_20170216.html

17.08.2017

Berlin Group: Arbeitspapiere zu E-learning und nachrichtendienstl. Informationsbeschaffung

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation, die von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Frau Maja Smoltczyk, geleitet wird, hat auf ihrer 61. Sitzung am 24. und 25. April 2017 in Berlin zwei Arbeitspapiere verabschiedet, Pressemitteilung deutsch, Pressemitteilung englisch
Veröffentlichte Arbeitspapiere „E-Learning Plattformen“ und „Internationale Grundsätze zur Regulierung der nachrichtendienstlichen Informationsbeschaffung“ (Working Paper on E-Learning Platforms englishdeutsch; Working Paper: ‘Towards International Principles or Instruments to Govern Intelligence Gathering’ englishdeutsch)

11.08.2017

UK: New Data Protection Bill: the planned reforms & GDPR derogations

Department for Digital, Culture, Media and Sport, Statement of Intent dated 7 August 2017 (pdf); Annex - Summary of GDPR derogations in the Data Protection Bill (pdf) made available by the Open Rights Group

10.08.2017

BRD: Studie zur "Eigentumsordnung" für Mobilitätsdaten

"Eigentumsordnung" für Mobilitätsdaten? - Eine Studie aus technischer, ökonomischer und rechtlicher Perspektive (pdf; mit einem kurzen Exkurs betreffend Gesundheitsdaten), Auftraggeber: dt. Bundesministerium für Verkehr und digitale Infrastruktur
Die Studie wird einer breiten Fachkonsultation zugänglich gemacht, siehe hier.

01.08.2017

DSGVO: Deutsche Datenschutzkonferenz veröffentlicht Kurzpapiere Nr. 4 bis 8

Deutsche Datenschutzkonferenz: Kurzpapiere Nr. 4 bis 8 (pdf; Quelle: BayLDA):

BRD: Bundesarbeitsgericht zur Überwachung eines Dienstnehmers mittels Keylogger

Bundesarbeitsgericht, Urteil vom 27. Juli 2017, 2 AZR 681/16
Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG* unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. [...]

31.07.2017

Österreich: Datenschutz-Anpassungsgesetz 2018 im Bundesgesetzblatt kundgemacht (DSGVO-Anpassung)

Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018), BGBl I 120/2017.
Zur Vorgeschichte siehe hier.
Korrektur (dank des Hinweises von M.S.): Das DSG 2000 wird durch Z 1 des Datenschutz-Anpassungsgesetzes 2018 in "Datenschutzgesetz - DSG" (Kurzbezeichnung, Langtitel omitted) umbenannt und durch die restlichen Bestimmungen inhaltlich zu weiten Teilen neu gefasst.
Update: Fassung des DSG (ab 25.5.2018) im RIS.

29.07.2017

EuGH: vorliegendes PNR-Abkommen mit Kanada darf nicht abgeschlossen werden

EuGH, Gutachten 1/15 des Gerichtshofs (Große Kammer) vom 26. Juli 2017
Folglich äußert sich der Gerichtshof (Große Kammer) gutachtlich wie folgt:
1.      Der Beschluss des Rates über den Abschluss des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen im Namen der Union ist auf Art. 16 Abs. 2 gemeinsam mit Art. 87 Abs. 2 Buchst. a AEUV zu stützen.
2.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen ist nicht mit Art. 7, Art. 8, Art. 21 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union vereinbar, soweit es die Übermittlung sensibler Daten aus der Europäischen Union nach Kanada und die Verwendung und Speicherung solcher Daten nicht ausschließt.
3.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen muss, um mit Art. 7, Art. 8 und Art. 52 Abs. 1 der Charta der Grundrechte vereinbar zu sein,
a)      die aus der Europäischen Union nach Kanada zu übermittelnden Fluggastdatensätze klar und präzise definieren,
b)      vorsehen, dass die im Rahmen der automatisierten Verarbeitung von Fluggastdatensätzen verwendeten Modelle und Kriterien spezifisch und zuverlässig sowie nicht diskriminierend sind und dass nur Datenbanken verwendet werden, die von Kanada im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität betrieben werden,
c)      außer im Rahmen der Überprüfungen der im Voraus festgelegten Modelle und Kriterien, auf denen die automatisierte Verarbeitung der Fluggastdatensätze beruht, die Verwendung von Fluggastdatensätzen durch die zuständige kanadische Behörde während des Aufenthalts der Fluggäste in Kanada und nach ihrer Ausreise aus diesem Land sowie jede Weitergabe der Daten an andere Behörden materiell- und verfahrensrechtlichen Voraussetzungen unterwerfen, die sich auf objektive Kriterien stützen, sowie diese Verwendung und Weitergabe – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterwerfen, wobei die Entscheidung, mit der die Verwendung genehmigt wird, im Anschluss an einen mit Gründen versehenen Antrag ergeht, der von den zuständigen Behörden insbesondere im Rahmen von Verfahren zur Verhütung, Aufdeckung oder Verfolgung von Straftaten gestellt wird,
d)      die Speicherung von Fluggastdatensätzen nach der Ausreise der Fluggäste auf die Daten von Fluggästen beschränken, für die objektive Anhaltspunkte dafür vorliegen, dass von ihnen eine Gefahr im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität ausgehen könnte,
e)      die Weitergabe von Fluggastdatensätzen durch die zuständige kanadische Behörde an Behörden eines Drittlands davon abhängig machen, dass es ein Abkommen zwischen der Europäischen Union und dem betreffenden Drittland, das dem Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen äquivalent ist, oder einen Beschluss der Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gibt, der sich auf die Behörden erstreckt, an die Fluggastdatensätze weitergegeben werden sollen,
f)      ein Recht auf individuelle Information der Fluggäste im Fall der Verwendung der sie betreffenden Fluggastdatensätze während ihres Aufenthalts in Kanada und nach ihrer Ausreise aus diesem Land und im Fall der Weitergabe dieser Daten durch die zuständige kanadische Behörde an eine andere Behörde oder an Einzelpersonen vorsehen und

g)      gewährleisten, dass die Kontrolle der Einhaltung der Regeln des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen für den Schutz der Fluggäste bei der Verarbeitung der sie betreffenden Fluggastdatensätze durch eine unabhängige Kontrollstelle sichergestellt wird.

21.07.2017

EuGH (Schlussanträge): handschriftliche Prüfungsarbeit als personenbezogene Daten?

EuGH, Schlussanträge GA Kokott vom 20.07.2017,  Rs C‑434/16 (opinion, english version), Peter Nowak gegen Data Protection Commissioner (Vorabentscheidungsersuchen des Supreme Court [Irland]):
I.      Einleitung
1.        Besteht eine Prüfungsarbeit aus personenbezogenen Daten, so dass der Prüfungsteilnehmer deshalb möglicherweise auf der Grundlage der Datenschutzrichtlinie(2) vom Veranstalter der Prüfung Zugang zu seiner eigenen Arbeit verlangen kann? Darum geht es im vorliegenden Vorabentscheidungsersuchen des irischen Supreme Court. Das Ausgangsverfahren richtet sich jedoch nicht unmittelbar auf Zugang zu einer Prüfungsarbeit, sondern betrifft die Weigerung des ehemaligen irischen Datenschutzbeauftragten, einer Beschwerde wegen Verweigerung des Zugangs nachzugehen.
2.        Im Zentrum steht die Frage, ob die in einer Prüfungsarbeit enthaltenen Ausführungen des Prüfungsteilnehmers personenbezogene Daten sein können. Am Rande kann allerdings auch erörtert werden, ob es von Bedeutung ist, dass die Arbeit handschriftlich erstellt wurde, und ob auch Korrekturanmerkungen des Prüfers auf der Arbeit personenbezogene Daten des Prüfungsteilnehmers sind.
3.        Zwar wird die Datenschutzrichtlinie demnächst durch die noch nicht anwendbare Datenschutz-Grundverordnung(3) abgelöst, doch der Begriff der personenbezogenen Daten wird davon nicht berührt. Daher ist dieses Vorabentscheidungsersuchen auch für die zukünftige Anwendung des Datenschutzrechts der Union von Bedeutung. [...]
V.      Ergebnis
70.      Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
Bei einer handschriftlichen Prüfungsarbeit, die einem Prüfungsteilnehmer zugeordnet werden kann, handelt es sich einschließlich etwaiger Korrekturanmerkungen von Prüfern um personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. (A handwritten examination script capable of being ascribed to an examination candidate, including any corrections made by examiners that it may contain, constitutes personal data within the meaning of Article 2(a) of Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data.)

19.07.2017

OGH: Unterlassung der Verwendung und Beseitigung von "Bonitätsdaten", Fristenlauf nach § 34 Abs 1 DSG 2000

OGH 29.05.2017, 6 Ob 217/16d
[...] 2. Zum Fristenlauf nach § 34 Abs 1 DSG
Entscheidend ist hier, wann bei rechtswidrigen Dauerzuständen der Beginn des Fristenlaufs anzusetzen ist. Dazu hat sich in anderen Bereichen bereits eine gefestigte Rechtsprechung entwickelt:
Solange im Lauterkeitsrecht ein gesetzwidriger Zustand fortbesteht, bleibt gemäß § 20 Abs 2 UWG der Anspruch auf seine Beseitigung nach § 15 UWG und auf Unterlassung der Gesetzesverletzung gewahrt. [...]
Im Schadenersatzrecht besteht folgende Rechtsprechung: Bei fortgesetzter Schädigung beginnt die Verjährung für den Ersatz des erstentstandenen Schadens mit der Kenntnis des Beschädigten von ihm zu laufen; für jede weitere Schädigung beginnt eine neue Verjährung in dem Zeitpunkt, in welchem sie dem Beschädigten zur Kenntnis gelangt (RIS-Justiz RS0034536). Eine fortgesetzte Schädigung in diesem Sinn liegt vor, wenn durch eine schädigende Anlage, Nichtbeseitigen eines gefährlichen oder Aufrechterhalten eines rechtswidrigen Zustands Schäden hervorgerufen werden (RIS-Justiz RS0034536 [T13]). [...]
Im Sinn dieser Rechtsprechung ist es auch bei auf § 32 DSG gestützten Unterlassungs- und Beseitigungsansprüchen sachgerecht, bei rechtswidrigen Dauerzuständen wie im vorliegenden Fall sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustands beginnen zu lassen.
3. Zu § 39 Abs 2 BWG
[...] Die von der Revisionswerberin aus § 39 Abs 2 BWG abgeleiteten Verpflichtungen finden im Wortlaut der Bestimmung keine Deckung. § 39 Abs 2 BWG sieht lediglich ein von der Rechtsordnung grundsätzlich gebilligtes überwiegendes berechtigtes Interesse an der Sammlung, Aufbewahrung und Weitergabe bonitätsrelevanter personenbezogener Daten iSd § 8 Abs 1 Z 4 DSG 2000 vor. Diese Bestimmung legt jedoch nicht die Aufnahme bestimmter personenbezogenen Daten in eine Datenanwendung iSd § 4 Z 7 DSG 2000 und den Betrieb eines – kreditinstitutsübergreifenden – Informationsverbundsystems (§ 4 Z 13, § 50 DSG 2000) über bonitätsrelevante Daten verpflichtend fest (6 Ob 112/10d). [...]
Anmerkung: Mit Ausführungen des OLG Innsbruck zur Rechtswirksamkeit der Zustimmungserklärung  über die Weitergabe von Daten an die Kleinkreditevidenz.

ECHR: Factsheet on Personal data protection (July 2017)

European Court of Human Rights: Factsheet on Personal data protection (case law of the ECHR; July 2017; pdf)

05.07.2017

BRD: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU im BGBl

Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU, BGBl (pdf) - BDSG-neu

For my digital legal memory only ;)

DSGVO: Vermischtes (Verarbeitungsverzeichnis-Muster and more)

28.06.2017

Österreich: DSGVO-Anpassungsgesetz - aktueller Stand (Updates)

Mangels einer Verfassungsmehrheit (in der Regierungsvorlage eines "Datenschutz-Anpassungsgesetz 2018" waren - typisch für Österreich - Verfassungsbestimmungen enthalten, siehe Artikel 1 und § 1 DSG) im Verfassungsausschuss wurde mit den Stimmen von SP und VP ein "modifizierter" Text (aufgrund eines sog. "Gesamtändernden Abänderungsantrags") beschlossen, zudem kam es aufgrund von Interventionen von Forschungseinrichtungen zu einer sog. "Ausschussfeststellung" (hier haben auch die Grünen zugestimmt, siehe den Ausschussbericht), diese lautet wie folgt:
„Der Verfassungsausschuss geht in Bezug auf § 7 (’Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistischer Zwecke’) davon aus, dass die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs gemäß Erwägungsgrund 113 der Datenschutz-Grundverordnung auch durch die Erlassung spezialgesetzlicher Regelungen erreicht werden können. Damit sollen die in der Datenschutz-Grundverordnung vorgesehenen Öffnungsklauseln (insbesondere Art. 89 DSGVO) im Sinne der gedeihlichen Entwicklung des Hochschul-, Forschungs- und Innovationsstandortes Österreich genutzt werden, um praxisnahe Regelungen für die im öffentlichen Interesse liegenden Archivzwecke, die wissenschaftlichen oder historischen Forschungszwecke oder die statistischen Zwecke, insbesondere für pseudonymisierte Daten und Regelungen zur Registerforschung zu schaffen sowie Rechtssicherheit insbesondere für bereits bestehende biologische Proben- und Datensammlungen zu gewährleisten.“

Geändert wurde im Vergleich zur Regierungsvorlage u.a. Folgendes:
  • Art 8 DSGVO: § 4 Abs 4 DSG sieht die Einwilligungsfähigkeit ab dem Alter von 14 Jahren vor (anstelle von 16)
  • Art 10 DSGVO: § 4 Abs 3 DSG erlaubt unter bestimmten Voraussetzungen die Verarbeitung "strafrechtsbezogener" Daten durch Private (in der RV fehlte so eine Regelung komplett, was auch heftig kritisiert wurde)
  • Befugnisse der Aufsichtbehörde (Datenschutzbehörde): § 11 Abs 1 DSG sah u.a. vor , dass die Datenschutzbehörde nur im Fall eines begründeten Verdachtes auf Verletzung der Rechte und Pflichten Datenverarbeitungen überprüfen hätte können. Der "begründete Verdacht" wurde beseitigt (s nunmehr § 22 Abs 1).
  • Anpassung der "Reichweite" des § 25 (nunmehr § 7), um DSGVO-konform zu sein. Dies könnte auf die von mir im Auftrag meines Arbeitgebers verfasste Stellungnahme zurückgehen: "Ad § 25 DSG idF DS-AnpG 2018 (“Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik“): Auffällig ist zunächst, dass in § 25 DSG idF DS-AnpG 2018 keine Rede von „im öffentlichen Interesse liegenden Archivzwecken“ und „historischen Forschungszwecken“ ist, obwohl diese in der DSGVO ausdrücklich genannt (und privilegiert) werden (siehe ua Art 5 Abs 1 lit b, Art 9 Abs 2 lit j, Art 89 Abs 1). Sofern dadurch tatsächlich beabsichtigt wird, den Umfang der Datenverarbeitung für diese Zwecke einzuschränken, erscheint dies als (unzulässige) Beschränkung des Anwendungsbereichs der DSGVO durch nationales Recht."
  • Update, Einschränkung des Verweises auf das ArbVG: § 11: Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.
Das Datenschutz-Anpassungsgesetz 2018 soll morgen, 29.6.2017 vom Nationalrat beschlossen werden, angeblich soll es noch zu einer kleinen Abänderung kommen ...
Update 29.06.2017: Vom Nationalrat (mit einem Abänderungsantrag) beschlossen, womit in das „DSG neu“ eine Norm aufgenommen wird, die die „alten“ unter dem DSG 2000 eingeholten Zustimmungserklärungen auch unter der neuen Rechtslage ab 25.5.2018 für wirksam erklärt (sofern diese auch der DSGVO entsprechen – als Vorlage diente offenbar der Beschluss des deutschen "Düsseldorfer Kreises": https://datenschutz-berlin.de/attachments/1254/2016-Duesseldorfer-Kreis-Alteinwilligung.pdf?1474624406)
Update 03.07.2017: Abänderungsantrag verlinkt; auf der TO des Bundesrats am 06.07.2017
Update 07.07.2017: Der Bundesrat hat gestern zugestimmt (Pressemeldung), next steps: Bundeskanzler und Bundespräsident, danach Kundmachung im BGBl.
Update 31.07.2017: Kundmachung im Bundesgesetzblatt, siehe hier
Update: Fassung des DSG (ab 25.5.2018) im RIS.

23.06.2017

Art 29 WP: Opinion 2/2017 on data processing at work

Article 29 Working Party releases Opinion 2/2017 on data processing at work (WP 249, pdf), adopted on 8 June 2017:
"... Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer. ..."

14.06.2017

BfDI: Datenschutzrechtliche Empfehlungen zum automatisierten u. vernetzten Fahren

Datenschutzrechtliche Empfehlungen der BfDI zum automatisierten und vernetzten Fahren (pdf)

Datenschutzbehörde: Einwilligungerklärung in AGB, "Koppelungsverbot"

DSB 22.05.2017, DSB-D216.396/0003-DSB/2017
[...] Eine ausdrückliche Zustimmung des Betroffenen kann keinesfalls dann vorliegen, wenn sie bloß als Bestandteil von Allgemeinen Geschäftsbedingungen vom Betroffenen zur Kenntnis genommen wurde. Vielmehr liegt eine „ausdrückliche“ schriftliche Zustimmung nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung getrennt von etwaigen sonstigen vertraglichen Vereinbarungen gegeben hat.
Hinsichtlich der Form der Zustimmungserklärung ist daher zu verlangen, dass diese deutlich vom übrigen Text eines Formulars, eines Schriftstückes udgl. abgesetzt ist. Hinweise auf allgemeine Geschäftsbedingungen, auf Angaben in anderen Dokumenten, die nicht Bestandteil des unterzeichneten Papiers sind, sind nicht zulässig.
Die Zustimmungserklärung bedarf jedenfalls einer gesonderten Unterzeichnung, die einheitliche Unterzeichnung eines Formulars, in dem neben anderen Erklärungen auch die Zustimmungserklärung enthalten ist, reicht nicht aus. Es ist daher in solchen Fällen jedenfalls erforderlich, die Zustimmungserklärung vom übrigen Formulartext derart zu trennen, dass eine gesonderte Unterfertigung der Zustimmungserklärung und der sonstigen vom Formular vorgesehenen Angaben möglich ist (vgl. dazu Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht2 S 79 mwN).
Die „Stellungnahme 15/2011 zur Definition von Einwilligung“ (iSd Datenschutz-Richtlinie 95/46/EG) der Art 29 Datenschutzgruppe, WP 187, vom 13. Juli 2011, führt folgendes aus:
„Eine Einwilligung muss für den konkreten Fall erfolgen. Eine pauschale Einwilligung ohne genaue Festlegung des Zwecks ist nicht rechtmäßig. Diese Informationen sollten nicht in den allgemeinen Geschäftsbedingungen des Vertrags stehen, sondern es sollten stattdessen spezielle Einwilligungsklauseln gesondert von den allgemeinen Geschäftsbedingungen verwendet werden.
[...] Die Datenschutzbehörde/Datenschutzkommission hält daher in ständiger Rechtsprechung eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB für nicht zulässig (vgl. dazu etwa die Empfehlung der Datenschutzkommission vom 13. Juli 2012, GZ K 212.766/0010-DSK/2012). Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung einzugehen („Opt-in“ – Lösung, etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist).
[...] Der Hinweis von „O***“ auf Art. 6 Abs. 1 lit. f iVm EG 47 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) – zur Begründung überwiegender berechtigter Interessen – verfängt schon deshalb nicht, weil dieser Rechtsakt noch nicht in Geltung steht. [...]

BRD: Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen

Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz (pdf) - Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen unter Berücksichtigung der Datenschutz-Grundverordnung
Das Whitepaper hat folgenden Inhalt:
- Rechtliche Analyse der Vorgaben der DS-GVO für die Pseudonymisierung
- Darstellung von Verfahren und technisch-organisatorischen Anforderungen an die Pseudonymisierung mit Beispielen zur Umsetzung von Verfügbarkeitsanforderungen
- Darstellung von Anwendungsszenarien (Entertain TV, Direktmarketing, medizinische Forschungsprojekte)
Quelle: Pressemeldung BMI

09.06.2017

OGH: Zum Schutz juristischer Personen vor Videoüberwachung etc.

OGH 29.03.2017, 6 Ob 231/16p
[...] 2. Der Beklagte richtet in seiner Revision das Hauptaugenmerk auf den Umstand, dass es sich bei Erst-, Zweit- und Drittklägerin um juristische Personen handelt, auf die die Rechtsprechung zum verbotenen Überwachungsdruck nicht angewendet werden könne. Dem kann jedoch in der hier gegebenen Sachverhaltskonstellation nicht gefolgt werden:
2.1. Das Recht auf Achtung der Geheimsphäre ist ein Persönlichkeitsrecht (RIS-Justiz RS0009003). Nach den ErläutRV zu § 1328a ABGB (ZivRÄG 2004; 173 BlgNr 22. GP, 18) sollen zwar nach dieser Bestimmung Betriebs- und Geschäftsgeheimnisse nicht geschützt sein; § 1328a ABGB schütze die natürliche Person, der Begriff der Privatsphäre sei an den des Privatlebens iSd Art 8 EMRK angelehnt. Es ist aber auch anerkannt, dass etwa das Recht auf den Schutz von Geschäftsräumlichkeiten auch juristischen Personen zukommen kann (vgl etwa Ehlers, Europäische Grundrechte und Grundfreiheiten4 [2014] § 2 Rz 44; Gersdorf in BeckOK, InfoMedienR [2015] Art 8 EMRK Rz 12 ua) und eine differenzierte Betrachtung erforderlich ist (Grabenwarter/Pabel, EMRK6 [2016] § 17 Rz 5; vgl auch Klippel, Der zivilrechtliche Persönlichkeitsschutz von Verbänden, JZ 1988, 625 [632]; Fellner, Persönlichkeitsschutz juristischer Personen [2007] 182 ff; Handler, Der Schutz von Persönlichkeitsrechten [2008] 50 ff). Juristischen Personen kommt nach ständiger Rechtsprechung etwa auch das Recht auf Ehre zu (RIS-Justiz RS0008985).
2.2. Der Oberste Gerichtshof hat vor allem aber bereits ausgesprochen, dass ein Vermieter schon deswegen ein Interesse an der Abwehr von Überwachungsmaßnahmen gegen eine von ihm nicht selbst benützte Wohnung hat, weil er ansonsten Ansprüchen seines Mieters ausgesetzt wäre (10 Ob 57/14a), und dass ein (auf der Privatsphäre beruhendes) Recht eines Liegenschaftseigentümers besteht, dass seine Angestellten nicht systematisch beobachtet werden (8 Ob 108/05y; 10 Ob 57/14a); im Übrigen ist ein Arbeitgeber verpflichtet, die materiellen und immateriellen Interessen seiner Dienstnehmer im Rahmen des Dienstverhältnisses zu wahren (RIS-Justiz RS0021544), wozu etwa auch der Schutz ihrer Persönlichkeitsrechte gehört (9 ObA 143/03z).
In all diesen Fällen kann es aber nicht von Bedeutung sein, ob es sich beim Vermieter, Liegenschaftseigentümer oder Arbeitgeber um eine natürliche oder eine juristische Person handelt, geht es doch um den Schutz der betroffenen natürlichen Personen. Aus dieser Rechtsprechung lässt sich der Grundsatz ableiten, dass (unter anderem) einem Liegenschaftseigentümer ein Klagerecht auch primär im Interesse der Nutzer (Mieter, Dienstnehmer) der Liegenschaft eingeräumt ist. Da insoweit keine unmittelbare persönliche Betroffenheit gefordert wird, kommt es auf die Fähigkeit der juristischen Person, Überwachungsdruck zu erleben, nicht mehr entscheidend an. [...]

OLG Graz: Zur Löschung von E-Mail-Adressen bei der Auflösung einer Kanzleigemeinschaft (§ 43 ABGB; § 9 UWG)

OLG Graz 14. 9. 2016, 5 R 129/16 d
Erste Judikatur zu der Frage, wie im Falle der Auflösung einer Kanzleigemeinschaft mit alten E-Mail-Accounts der ausscheidenden Rechtsanwälte zu verfahren ist.
Quelle: Anwaltsblatt 06/2017, 386 f (pdf)

08.06.2017

Study: An assessment of the Commission’s Proposal on Privacy and Electronic Communications

Study, An assessment of the Commission’s Proposal on Privacy and Electronic Communications (PE 583.152; pdf), Authors: Dr. Frederik ZUIDERVEEN BORGESIUS (project leader and editor), Dr. Joris VAN HOBOKEN, Ronan FAHY, Dr. Kristina IRION, Max ROZENDAAL. This research paper was requested by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs, and was commissioned, overseen and published by the Policy Department for Citizens’ Rights and Constitutional Affairs.
Abstract
This study, commissioned by the European Parliament’s Policy Department for Citizens’ Rights and Constitutional Affairs at the request of the LIBE Committee, appraises the European Commission’s proposal for an ePrivacy Regulation. The study assesses whether the proposal would ensure that the right to the protection of personal data, the right to respect for private life and communications, and
related rights enjoy a high standard of protection. The study also highlights the proposal’s potential benefits and drawbacks more generally.

07.06.2017

Österreich: Datenschutz-Anpassungsgesetz 2018 als Regierungsvorlage vom Ministerrat verabschiedet

Laut Beschlussprotokoll vom 7.6.2017 hat der Ministerrat heute (vor dem Ende der Begutachtungsfrist des Ministerialentwurfs!) das Datenschutz-Anpassungsgesetz 2018 (in modifizierter Fassung) als Regierungsvorlage beschlossen und dem Nationalrat übermittelt.
22. Bericht des Bundesministers für Kunst und Kultur, Verfassung und Medien, Zahl 810.026/0028-V/3/17 (+Austauschseiten: Ministerratsvortrag), betreffend Entwurf eines Bundesgesetzes, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018). Der Ministerrat beschließt im Sinne des Antrages.
Beilagen: Entwurfstext, Erläuterungen
UpdateRegierungsvorlage (soweit ersichtlich, gab es - außer der Beseitigung weniger grammatikalischer Fehler - keine inhaltlichen Änderungen gegenüber dem Ministerialentwurf)

01.06.2017

GDPR: Commission expert group (link)

Excerpt from the minutes of its meeting on 14 February 2017:
"As regards further processing (Article 5(1)(b) and Article 6(4)) COM underlined the approach of the GDPR:
- compatible processing is possible on contract, legitimate interests and vital interests
- compatible processing is on the same legal basis and by the same controller
- no compatibility test possible if the initial processing takes place on the basis of consent or law
- Art 6(4) is not an opening clause"

31.05.2017

BRD: BfDI veröffentlicht 26. Tätigkeitsbericht 2015-2016

26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 - 2016 (pdf)
Also: Belgian Privacy Commission publishes its Annual Activity Report for 2016, (in French and Dutch)

30.05.2017

BRD: Memorandum zum Datenschutz in der medizinischen Forschung

  • Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS), BRD: Memorandum zum Datenschutz in der medizinischen Forschung aus Anlass der nationalen Umsetzung und Konkretisierung der EU-Datenschutz-Grundverordnung (DS-GVO), erarbeitet durch die GMDS-Präsidiumskommission „Datenschutz in der Forschung“

26.05.2017

Österreich: Kompakte Checkliste zur Umsetzung der DSGVO

Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter - Privacyofficers.at hat eine übersichtliche Checkliste zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) unter einer Creative Commons-Lizenz veröffentlicht.

24.05.2017

BayLDA und Liechtenstein: DSGVO-Prüffragebogen

Am 25.05.2017 läuft die Hälfte der Vorbereitungszeit auf das neue Recht ab. Das BayLDA hat deshalb einen DSGVO-Prüffragebogen entworfen.
Update: Auch die Datenschutzstelle in Liechtenstein hat einen Fragebogen bereit gestellt.

Veranstaltungshinweis: HealthSec Day 2017 am 30.5.2017 in Wien

HealthSec Day 2017 zur Informationssicherheit und Datenschutz im Gesundheits- und Sozialwesen am 30.5.2017 in Wien (Hotel Wimberger)
Unter den Vortragenden sind u.a. Mitarbeiter des Bundeskriminalamts und des Bundeskanzleramts (NIS-Richtlinie). Weitere Infos hier, bei Anmeldung mit dem Gutschein-Code „20HealthSecDay17“ ist die Veranstaltung kostenlos.

17.05.2017

Österr. Datenschutzbehörde: Leitfaden zur DSGVO

Leitfaden Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung
Zusammengestellt von Dr. Matthias Schmidl, Stand: April 2017

Update: Im Leitfaden finden sich Beispiele für Strafdrohungen (Vergleich DSG 2000 vs. DSGVO):

16.05.2017

Vortragsfolien "Big Data an einer Medizinischen Universität"

Kastelitz, Big Data - Datenschutzrechtliche Herausforderungen aus Sicht einer Medizinischen Universität (Vortragsfolien; gehalten bei der Austria Wirtschaftsservice GmbH - "Förderbank des Bundes")
Update 1Entwurf Datenschutz-Anpassungsgesetz 2018 (Anpassung an DSGVO; Veröffentlichung erfolgte nach dem Vortrag)
Update 2: Passend dazu Powles, J. & Hodson, Google DeepMind and healthcare in an age of algorithms, H. Health Technol. (2017). doi:10.1007/s12553-017-0179-1; The Guardian
Update 3: Detailed medical records of 61 million Italian citizens to be given to IBM for its “cognitive computing” system Watson (Privacy News Online)

BGH zu Personenbezug und Zulässigkeit der Speicherung von dynamischen IP-Adressen (UPDATE)

BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13 (noch nicht verfügbar)
[...] Der Bundesgerichtshof (vgl. Pressemitteilung Nr. 152/2014) hat mit Beschluss vom 28. Oktober 2014 - VI ZR 135/13, VersR 2015, 370 das Verfahren ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt. Nachdem der Gerichtshof mit Urteil vom 19. Oktober 2016 - C-582/14, NJW 2016, 3579 die Fragen beantwortet hat, hat der VI. Zivilsenat des Bundesgerichtshofs nunmehr mit Urteil vom 16. Mai 2017 über die Revisionen der Parteien entschieden. Diese hatten Erfolg und führten zur Aufhebung des Berufungsurteils und zur Zurückverweisung der Sache an das Berufungsgericht.
Auf der Grundlage des EuGH-Urteils ist das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.
Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer. Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten.
[...]
Quelle: BGH Pressemeldung (Hervorhebung durch mich)

Update 28.06.2017: Volltext des Urteils liegt vor.

12.05.2017

BRD: Bundesrat stimmt DSAnpUG-EU zu

"Der Bundesrat hat in seiner  957. Sitzung  am 12. Mai 2017 beschlossen, dem vom Deutschen Bundestag am 27. April 2017 verabschiedeten Gesetz gemäß Artikel 23 Absatz 1 Satz 2, Artikel 74 Absatz 2 in Verbindung mit Absatz 1 Nummer 25, Artikel 87 Absatz 3 des Grundgesetzes zuzustimmen."
Eine (inoffizielle) konsolidierte Fassung finden Sie hier.

Österreich: Entwurf Datenschutz-Anpassungsgesetz 2018 (Anpassung an DSGVO)

Begutachtungsentwurf (Ministerialentwurf):
Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018)
Update 07.06.2017: Regierungsvorlage
Siehe zum aktuellen Stand hier.

11.05.2017

Schweiz: Urteil gegen Auskunftei

Im Klageverfahren gegen die Wirtschaftsauskunftei Moneyhouse hat das Bundesverwaltungsgericht einen im aktuellen Umfeld der Digitalisierung wegweisenden Entscheid gefällt, indem es der profilbildenden Verknüpfung von Informationen und deren Publikation klare Grenzen setzt. [...]
Das Gericht hält in seinem Urteil vom 18. April fest, dass aus unterschiedlichen Quellen stammende Personendaten nicht in beliebigem Umfang gespeichert, verknüpft und reproduziert werden dürfen. Es macht klar, dass die Privatsphäre auch in der digitalisierten Gesellschaft Bestand hat, wenn es wie im beurteilten Fall um eine Bearbeitung von Informationen geht, die Rückschlüsse auf private Wohn- und Lebenssituationen zulässt und so zu Persönlichkeitsprofilen führt. [...]
Quelle: EDÖB

09.05.2017

Aus dem Amtsblatt: VO über Medizinprodukte und IVD erschienen

Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates

Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission

05.05.2017

EuGH: "berechtigtes Interesse" im Datenschutzrecht (Art 7 lit f DSRL)

EuGH 4.5.2017, Rs C-13/16 - Rīgas satiksme
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass er nicht dazu verpflichtet, einem Dritten personenbezogene Daten zu übermitteln, damit er vor einem Zivilgericht Klage auf Ersatz eines durch die betreffende Person verursachten Schadens erheben kann. Jedoch steht er der Übermittlung solcher Daten auf der Grundlage des nationalen Rechts nicht entgegen.

02.05.2017

Vermischtes zu DSGVO: ADV, DSB, Verfahrensverzeichnis

- Die GDD-Praxishilfe DS-GVO IV widmet sich der Auftragsverarbeitung nach Art. 28 DS-GVO und stellt die GDD-Vertragsmuster von 2013 und 2017 gegenüber.
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen der DS-GVO gehört unter anderem die Überprüfung bestehender Vertragsverhältnisse sowie die Anpassung der Vertragsmuster für zukünftige Outsourcing-Dienstleistungen. [...]

- GDD veröffentlicht Praxishilfe DS-GVO V. Sowohl Verantwortliche als auch Auftragsverarbeiter sowie deren Vertreter in der EU müssen nach jeweils ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO führen. [...]

- Das BayLDA hat sich der Frage angenommen, ob sich durch die DS-GVO Neuerungen hinsichtlich der Rolle des Datenschutzbeauftragten für deutscher Verantwortliche und Auftragsverarbeiter ergeben. In einem zweiseitigen Papier werden die wesentliche Verpflichtungen und Änderungen herausgestellt.

EuGH: Vorabentscheidungsersuchen u.a. zur Verantwortlichkeit für Einbindung eines Facebook "Like-Button"

EuGH, Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf (Deutschland) eingereicht am 26. Januar 2017 - Fashion ID GmbH & Co.KG gegen Verbraucherzentrale NRW eV (Rechtssache C-40/17), Andere Parteien: Facebook Ireland Limited, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Vorlagefragen
1.    Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
Falls die Frage 1) verneint wird:
2.    Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
3.    Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
4.    Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
5.    Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
6.    Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Art. 29 WP: Review of Draft Code of Conduct on privacy for mobile health applications

The WP29 has analysed the Code of Conduct’s compliance with the Data Protection Directive
and in light of the GDPR requirements: Letter of the Chair of the ART 29 WP re mHealth (Draft Code of Conduct, pdf here)

29.04.2017

BRD: Bundestag beschließt "DSGVO-Anpassungsgesetz“

Der [deutsche] Bundestag hat am Donnerstag, 27. April 2017, das Datenschutzrecht novelliert. Den Gesetzentwurf der [deutschen] Bundesregierung zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016/679 und zur Umsetzung der EU-Richtlinie 2016/680 ([Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU] 18/11325, 18/11655, 18/11822 Nr. 10) nahm er auf Empfehlung des Innenausschusses (18/12084, 18/12144) gegen das Votum der Opposition an.

Quelle: Bundestag; inoffizielle Kompilation (Synopse, pdf); s.a. BfDI: Licht und Schatten: Bundestag verabschiedet neues Datenschutzrecht (... Das Gesetz bedarf noch der Zustimmung des Bundesrates, der sich voraussichtlich am 12. Mai 2017 damit befassen wird...)
Update: Änderungen im Bundestag zum ursprünglich eingebrachten Entwurf der dt. Bundesregierung (Bundesrat); Überblick im DIP