25.02.2017

ICDPPC: List of Data Protection Authorities' Twitter accounts

A list of Data Protection Authorities' Twitter accounts can be found in the February 2017 issue (pdf) of the ICDPPC newsletter.

24.02.2017

BRD: Gutachten zum Personalbedarf bei Datenschutzbehörden

Gutachten (pdf) von Herrn Prof. Dr. Alexander Roßnagel zum zusätzlichen Arbeitsaufwand der Aufsichtsbehörden der Länder durch die Datenschutz-Grundverordnung (Januar 2017):
Berichterstattung u.a. bei Heise 

17.02.2017

Österr. Datenschutzbehörde: Newsletter 01/2017

Der aktuelle Newsletter (pdf) der DSB ist nunmehr auch online abrufbar und enthält u.a. einen Überblick über Kapitel III („Rechte der betroffenen Person“) der Datenschutz-Grundverordnung, Infos zu Whistleblowing-Hotlines, einen Hinweis auf die VwGH-E zu „Dash-Cams“ und das "Breyer"-Urteil des EuGH sowie eine Empfehlung an die Wirtschaftskammer Tirol.

Art. 29 WP: Press release on next GDPR Guidelines, Privacy Shield, E-Privacy, Windows 10 etc.

During the February plenary meeting, the Article 29 Working Party (WP29) discussed certain critical matters with regards to the implementation of the General Data Protection Regulation (GDPR) and of the Privacy Shield as well as the handling of enforcement measures on cases having a cross-border effect (press release, pdf)
1. IMPLEMENTATION OF THE GDPR
The deadline for the submission of comments on the pre-adopted DPO, lead authority and data portability guidelines has been extended until February 15, 2017. Accordingly, it has been agreed that the rapporteurs will review such comments and submit the amended guidelines for adoption at the next plenary session in April at the latest.
The WP29 has also continued its work on the 2016 ongoing topics of Data Protection Impact Assessments (DPIAs), certification and other internal topics (e.g. administrative fines, EDPB internal rules).
On DPIAs, the work is almost finalized and the final version of the guidelines should be proposed for pre-adoption in April. Regarding certification, the European Commission announced that it will launch a study that could provide added-value to the work done by the WP29 until now. In addition, a one day workshop shall be organized between DPAs in April to finalize the drafting of the guidelines. Their pre-adoption is expected for June. [emphasis added]
Following the publication of the 2017 GDPR Action Plan, the WP29 has established, the delegation of tasks within its working groups and the working calendar for the adoption of all relevant guidelines and other documents.
The WP29 has also confirmed the dates for its second Fablab on April 5 and 6, 2017 in Brussels. This interactive workshop will concentrate on the topics of consent, profiling and notification of data breaches. [...]
2. PRIVACY SHIELD
[...] Finally, the WP29 shall send a letter to the US authorities (i) pointing out concerns and asking clarifications on the possible impact of the Executive Order 'Enhancing Public Safety in the Interior of the United States' on the Privacy Shield and the Umbrella agreement, (ii) requesting assurances on the way personal data will be dealt with by US authorities regarding complaints under the Privacy Shield and (iii) providing answers to questions from the US authorities on the functioning of the centralized body. [...]
3. ENFORCEMENT SUBGROUP
The WP29 has initiated detailed inquiries into the processing of personal data processed via Windows 10 by Microsoft[...]
Also, the topics of WhatsApp and Yahoo were briefly discussed at the meeting and a contact group has been created for the follow-up of privacy related issues with regards to connected toys.
4. OTHER
Two opinions will be prepared by the WP29 on (i) the e-privacy regulation proposed by the European Commission on January 10, 2017 and (ii) the revised EU regulation 45/2001 on the processing of personal data by European institutions and bodies. Both opinions should likely be submitted for adoption in April 2017. [emphasis added]
Finally, the WP29 shall send very shortly a formal letter to the European Council on the necessity for national governments to provide increased resources to Data Protection Authorities in view of the application of the GDPR. The letter will then be circulated to Member State governments. [emphasis added]
Source: Article 29 Working Party

15.02.2017

Universitätslehrgang "Datenschutz und Privacy"

Sie sind an einer praxisorientierten Ausbildung im Datenschutzrecht interessiert, die mehr bietet als ein dreitägiger “Schnupperkurs"?
Dann empfehle ich den Universitätslehrgang "Datenschutz und Privacy" an der Donau-Universität Krems, mehr Infos dazu sind hier zu finden (Offenlegung: ich bin Beiratsmitglied).
Update: Infoblatt (pdf)

10.02.2017

ENISA updates Smartphone Secure Development Guidelines

Smartphone Secure Development Guidelines (pdf)
This document is an updated version of the Smartphone Development Guidelines published by ENISA in 2011. New developments in both software and hardware have been translated into new significant threats for the mobile computing environment, highlighting the need for an update of the document (published February 10, 2017).
Source: ENISA

According to ENISA, The guidelines aim to cover the entire spectrum of attacks which developers of smartphone applications should consider when building mobile apps. These include:
  • Identify and protect sensitive data
  • User authentication, authorization and session management
  • Handle authentication and authorization factors securely on the device
  • Ensure sensitive data protection in transit
  • Secure the backend services and the platform server and APIs
  • Secure data integration with third party code
  • Consent and privacy protection
  • Protect paid resources
  • Secure software distribution
  • Handle runtime code interpretation
In addition, new sections have been added to cover new attacks, abusing biometrics and clients:

  • Device and application integrity
  • Protection from client side injections
  • Correct usage of biometric sensors

01.02.2017

Bayerischer Landesbeauftragte für den Datenschutz veröffentlicht 27. Tätigkeitsbericht 2015/2016

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz vom 31.01.2017; 27. Tätigkeitsbericht 2015/2016 (pdf)
Aus der Pressemeldung:
[...] Die Videoüberwachung in Bayern hat wie in den letzten Jahren einen Schwerpunkt meiner Prüfungen gebildet.
  • Überprüft habe ich beispielsweise den Einsatz von Videoüberwachungssystemen in bayerischen öffentlichen Krankenhäusern. Bei meinen Vor-Ort-Prüfungen musste ich einige Unsicherheiten hinsichtlich der rechtlichen und technischen Rahmenbedingungen feststellen. Der Bericht stellt deshalb dar, wo und inwieweit Videoüberwachung im Krankenhaus datenschutzkonform eingesetzt werden kann. (Nr. 2.1.8) Zahlreiche Anfragen betrafen die Videoüberwachung in staatlich und kommunal betriebenen Unterkünften für Asylsuchende. Zum Schutz der Bewohnerinnen und Bewohner dieser Unterkünfte kann Videoüberwachung zulässig sein. (Nr. 7.2.1)
  • Unter welchen Voraussetzungen öffentliche Schulen Videoüberwachungsanlagen betreiben dürfen, hat das bayerische Landesrecht detailliert geregelt.  [...]
[...] In einer flächendeckenden Prüfung von mehr als 100 Krankenhäusern und Krankenhausverbünden habe ich deren Outsourcing-Aktivitäten insbesondere hinsichtlich des Scannens und Archivierens von Klinikunterlagen und der vorhandenen Entsorgungskonzepte untersucht. Dabei musste ich diverse Mängel feststellen. Zur Gleichbehandlung öffentlicher und privater Krankenhäuser in Bayern habe ich gemeinsam mit dem Landesamt für Datenschutzaufsicht einen Leitfaden erarbeitet, der ausführlich die rechtlichen Anforderungen darstellt und verschiedene Lösungswege aufzeigt. Die Behebung der bei der Prüfung festgestellten Mängel werde ich weiterhin intensiv begleiten und stichprobenartig auch vor Ort überprüfen. [...]
[...] Bayerische Wasserversorger bauen zunehmend sogenannte intelligente Wasserzähler in die Haushalte von Verbraucherinnen und Verbrauchern ein. Solche elektronischen Zähler speichern detailliert bestimmte Verbrauchswerte und funken einzelne dieser Daten sogar regelmäßig "auf die Straße". Der Einsatz solcher Zähler ist aus diesen Gründen mit erheblichen datenschutzrechtlichen Problemen behaftet. Insbesondere kann ein Verbrauchsprofil aus den Daten erstellt werden, ohne dass die Betroffenen dies bemerken. "Intelligente" Wasserzähler dürfen daher nur auf Grund einer ausreichend bestimmten Rechtsgrundlage betrieben werden, die derzeit allerdings noch nicht besteht. [...]