29.04.2017

BRD: Bundestag beschließt "DSGVO-Anpassungsgesetz“

Der [deutsche] Bundestag hat am Donnerstag, 27. April 2017, das Datenschutzrecht novelliert. Den Gesetzentwurf der [deutschen] Bundesregierung zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016/679 und zur Umsetzung der EU-Richtlinie 2016/680 ([Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU] 18/11325, 18/11655, 18/11822 Nr. 10) nahm er auf Empfehlung des Innenausschusses (18/12084, 18/12144) gegen das Votum der Opposition an.

Quelle: Bundestag; inoffizielle Kompilation (Synopse, pdf); s.a. BfDI: Licht und Schatten: Bundestag verabschiedet neues Datenschutzrecht (... Das Gesetz bedarf noch der Zustimmung des Bundesrates, der sich voraussichtlich am 12. Mai 2017 damit befassen wird...)
Update: Änderungen im Bundestag zum ursprünglich eingebrachten Entwurf der dt. Bundesregierung (Bundesrat); Überblick im DIP

12.04.2017

Österr. Datenschutzbehörde: Newsletter 02/2017

Der Newsletter 02/2017 ist hier abrufbar (pdf), ich greife nur eines von mehreren Themen heraus:
Amtswegige Prüfverfahren gegen Krankenanstaltenträger
Die DSB hat 2017 den zweiten Teil der Prüfverfahren gegen Krankenanstaltenträger abgeschlossen [Anmerkung: Siehe hier im Blog zum ersten Teil]. In Summe wurden 2015 bis 2017 die wesentlichen öffentlichen Krankenanstaltenträger in jedem Bundesland überprüft. [...]
Links zu den Empfehlungen:

11.04.2017

Art. 29 WP issues Guidelines on Data Protection Impact Assessment (DPIA)

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248 (pdf)
Annex 1 – Examples of existing EU DPIA frameworks, Annex 2 – Criteria for an acceptable DPIA
The Article 29 Working Party welcomes comments on the data protection impact assessment guidelines, more here.

Berliner Beauftragte für Datenschutz zum funktionalen Unternehmensbegriff der DSGVO (Bußgeld-relevant) - Update

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellte am 7.4.2017 ihren Tätigkeitsbericht für das Jahr 2016 vor, siehe auch die Pressemeldung (pdf).
Ich habe bislang nur ganz kurz reingeschmökert und finde die Ausführungen auf S 31 ff bemerkenswert (der Abschnitt ist übertitelt mit "1.2.4 Auswirkungen auf Sanktionsverfahren der Aufsichtsbehörden"):
Wenn Unternehmen Bußgelder auferlegt werden, ist zu beachten, dass der sog. funktionale Unternehmensbegriff anzuwenden ist.80 Danach ist ein Unternehmen jede wirtschaftliche Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.81 Eine wirtschaftliche Einheit kann aus mehreren natürlichen oder juristischen Personen bestehen. Sie liegt insbesondere dann vor, wenn eine Muttergesellschaft auf eine Tochtergesellschaft einen bestimmenden Einfluss ausübt.
Davon ist regelmäßig bei einem Stimmenanteil an der Tochtergesellschaft von über 50 % auszugehen. Allerdings genügt auch die tatsächliche Möglichkeit der Kontrolle und Einflussnahme unabhängig von einer starren Beteiligungsschwelle.82
Die Anwendung dieses im Kartellrecht wurzelnden funktionalen Unternehmensbegriffs hat u. a. für die Höhe der zu verhängenden Bußgelder weitreichende Folgen, da die Basis der Bußgeldberechnung der weltweite Unternehmensumsatz ist. Begeht z. B. eine Unternehmenstochter einen durch Bußgeld zu ahndenden Verstoß und liegt eine wirtschaftliche Einheit mit der Muttergesellschaft vor, so bildet der gesamte weltweite Konzernumsatz (Mutter plus Tochter) die Berechnungsgrundlage
für die Höhe des Bußgeldes.83 [...]
--
80 Erwägungsgrund (150) mit Verweis auf Art. 101 und 102 des Vertrags über die Arbeitsweise
der Europäischen Union – AEUV
81 Ständige Rechtsprechung des EuGH; z. B. EuGH, Slg. 1991, I-2010, Rn. 21, EuGH, Slg. 2006, I-6391, Rn. 25
82 Siehe EuGH, Beschluss vom 10. Mai 2007, Rs. C-492/04 – Lasertec
83 Siehe auch § 81 Abs. 4 Satz 3 GWB

Interessant sind auch die Ausführungen zum DSGVO-Umsetzungsbedarf im Bankenbereich, "6.1 Ein Tanker versucht umzusteuern: Erste Schritte auf dem Weg zu Transparenz und systematischer Datensicherheit bei der Charité", und "6.2 Fernwartung in Krankenhäusern: Löcher
in der Brandmauer" sowie "1.4 Rechtliche Grenzen des Outsourcings von Patientendaten im Krankenhausbereich am Beispiel der Digitalisierung und Archivierung von Patientenakten".

Update 12.04.2017: Siehe ganz aktuell Golla S (2017). Is Data Protection Law Growing Teeth? The Current Lack of Sanctions in Data Protection Law and Administrative Fines under the GDPR. JIPITEC, Vol. 8, 70 (76) u.a. unter Hinweis auf die Auslegung des BayLDAThe practically relevant question is how the term “undertaking” in Article 83 is to be interpreted and if it covers corporate groups (like, for instance, Alphabet Inc.) or only single (subsidiary) companies.54 The high economical relevance of this question becomes clear when looking at the large differences between turnovers of corporate groups and single companies. [...]

10.04.2017

Art. 29 WP adopts revised Guidelines on DPO, data portability and lead authority

07.04.2017

Art. 29 WP: Opinion 01/2017 on the Proposed ePrivacy Regulation

Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC) - WP247, adopted on 4 April 2017 (pdf)

06.04.2017

Österreich: Gerüchte über das DSGVO-Anpassungsgesetz (Updates)

Es schwirren derzeit einige Gerüchte über das künftige österreichische "DSGVO-Anpassungsgesetz" herum, die ich hier kurz festhalten will (Disclaimer: Es liegt in der Natur von Gerüchten, dass diese "fake news" sein können - also Achtung):
  • FAKTUM: Österreich hat als einziger EU-Mitgliedsstaat gegen die DSGVO gestimmt (pdf). Es folgen die Gerüchte ...
  • Eine Absenkung des Schutzniveaus (siehe zum deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU hier und aktuell auch hier sowie hier) ist wohl nicht zu erwarten (über bereits in der DSGVO vorgesehene "Flexibilisierungen" hinaus). 
  • Die LegistInnen im BKA (in Österreich die Abkürzung für das zuständige Bundeskanzleramt) haben einen internen Entwurf, der nur "das Notwendigste" regelt, fertiggestellt; dieser ist nicht veröffentlicht und liegt dem Koalitionspartner zur internen Stellungnahme und Abklärung vor.
  • Es wird koalitionsintern u.a. über das darin vorgesehene datenschutzrechtliche "Verbandsklagerecht" heiß diskutiert, ebenso über die Höhe von Verwaltungsstrafen (siehe u.a. Art 83 Abs 7 DSGVO) und die Umsetzung der JI-RL (EU) 2016/680.
  • Vom Anwendungsbereich sind nur mehr natürliche Personen umfasst (bislang sind in Ö auch juristische Personen [und Personengemeinschaften] als "Betroffene" umfasst).
  • Geldbußen können auch gegen eine juristische Person als strafbare Person verhängt werden ("Verbandsverantwortlichkeit"; vgl. das Kartellrecht) - dies soll Geschäftsführer bzw. Vorstandsmitglieder davor schützen, nach Verhängung einer "saftigen" Geldbuße Privatinsolvenz beantragen zu müssen ...
  • Last but not least: Angeblich soll erst im Herbst 2017 eine Regierungsvorlage veröffentlicht werden (wobei BM Drozda Anderslautendes angekündigt hat: "ein Entwurf für ein neues österreichisches Datenschutzgesetz bereits [liege vor], dieses mit dem Koalitionspartner abgestimmt werde und voraussichtlich noch im ersten Halbjahr 2017 beschlossen werden könne")  - es bliebe dann wenig Zeit, bereits laufende Umsetzungsprojekte an etwaige "Austriaca" anzupassen ...
  • Update 1: Habe gerade gehört, dass es eventuell doch schneller gehen könnte und die Begutachtung demnächst starten soll - eine parlamentarische Beschlussfassung vor dem Herbst ist aber unwahrscheinlich.
  • Anmerkung zum DSB: Alle die von einer Überwälzung auf den künftig gem. Art 37 Abs 1 lit a-c DSGVO verpflichtend zu bestellenden Datenschutzbeauftragten als verantwortlichen Beauftragten (§ 9 VStG) "geträumt" haben, sollten sich Folgendes überlegen: Der DSB darf bei Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten (Art 38 Abs 3 DSGVO; "Weisungsfreiheit"). Ob man im Unternehmen einen rechtlich weisungsfrei gestellten DSB mit einer Anordnungsbefugnis gem. § 9 Abs 4 VStG haben möchte, sollte man sich gut überlegen, zudem mit der Solidarhaftung gem. § 9 Abs 7 VStG. Dagegen spricht auch, dass der Verantwortliche verantwortlich ist (Art 5 Abs 2 DSGVO) und Art 39 DSGVO die Aufgaben des DSB mehr in der Beratung sieht als in jener des"Haftungsprellbocks". Lesenswert zur Frage, wer eine Strafe zur tragen hat, hier von RA Dr. Schweiger.
Update: Siehe zum aktuellen Stand hier.

05.04.2017

OGH: Datenverarbeitung gemäß § 212 UGB und § 132 BAO

OGH 30.01.2017, 6 Ob 178/16v
[...] Der Kläger begehrt die Löschung der bei der Beklagten über ihn gespeicherten Daten, welche das Schuldenregulierungsverfahren betreffen. Die Eintragung in der Insolvenzdatei sei wegen nachweislicher Erfüllung des Zahlungsplans am 24. 9. 2013 gelöscht worden; auch der KSV 1870 habe die über ihn gespeicherten Daten gelöscht. Seit Beendigung des Schuldenregulierungsverfahrens fehle es an einer rechtlichen Grundlage zur Datenspeicherung.
Die Beklagte wendete ein, sie habe die Daten gemäß § 212 UGB und § 132 BAO sieben Jahre lang aufzubewahren, wobei die Ausbuchung der die 23%ige Quote übersteigenden Forderung erst nach Beendigung des Schuldenregulierungsverfahrens des Klägers erfolgt sei; bis dahin habe sie die offene Restforderung in ihrer Buchhaltung auszuweisen gehabt. [...]
Rechtliche Beurteilung
Die Revision ist unzulässig.
[...] Die Revision bekämpft nun im Ergebnis auch für die weitere Speicherung nicht konkret die Anwendung des § 212 UGB und der §§ 124 ff BAO, sodass es dem Obersten Gerichtshof verwehrt ist, die Rechtsansicht der Vorinstanzen dazu unter dem Aspekt der Geltendmachung einer erheblichen Rechtsfrage zu überprüfen (RIS-Justiz RS0102181). Die Revision bemängelt insoweit nur, dass die Daten nicht entsprechend jenen in der Ediktsdatei gelöscht wurden und dass über diese Daten auch weiter Auskunft erteilt wurde. Die Löschung der Daten in der Ediktsdatei fußt jedoch auf § 256 IO, der auf die nach § 132 BAO und § 212 UGB aufzubewahrenden „Bücher“, „Belege“ bzw „Geschäftspapiere und sonstige Unterlagen“ nicht zur Anwendung gelangt. Die Verpflichtung zur Erteilung der Auskunft wiederum ergibt sich aus § 26 DSG.
Die Ausführungen der Revision zu einer „Interessenabwägung“ verkennen, dass sich die Beklagte ja gar nicht auf das Vorliegen eines überwiegenden Interesses an der Aufbewahrung von Bonitätsdaten (vgl in diesem Sinne im bestimmten Umfang selbst für Inkassobüros die Empfehlung der Datenschutzkommission zu K 211.773/0009-DSK/2007, ErwGr 2.1.) berufen (§ 8 Abs 1 Z 4 DSG) oder das Vorliegen der allgemeinen Voraussetzungen für die Archivierung (vgl § 27 Abs 1 Z 2 DSG) eingewendet, sondern im Ergebnis geltend gemacht hat, dass sie eine gesetzliche Verpflichtung (§ 212 UGB, § 132 BAO) trifft (§ 8 Abs 1 Z 1 DSG). [...]

BGH: Zu-Eigen-Machen von Äußerungen durch den Bewertungsportal-Betreiber

BGH 4.4.2017, VI ZR 123/16 [...] Der Beklagte hat sich die angegriffenen Äußerungen zu eigen gemacht, so dass er als unmittelbarer Störer haftet. Er hat die Äußerungen des Patienten auf die Rüge der Klägerin inhaltlich überprüft und auf sie Einfluss genommen, indem er selbständig – insbesondere ohne Rücksprache mit dem Patienten – entschieden hat, welche Äußerungen er abändert oder entfernt und welche er beibehält. Diesen Umgang mit der Bewertung hat er der Klägerin als der von der Kritik Betroffenen kundgetan. Bei der gebotenen objektiven Sicht auf der Grundlage einer Gesamtbetrachtung aller Umstände hat der Beklagte somit die inhaltliche Verantwortung für die angegriffenen Äußerungen übernommen. Da es sich bei den Äußerungen um unwahre Tatsachenbehauptungen und um Meinungsäußerungen auf unwahrer Tatsachengrundlage und mit unwahrem Tatsachenkern handelt, hat das Recht des Beklagten auf Meinungsfreiheit hinter dem allgemeinen Persönlichkeitsrecht der Klägerin zurückzutreten. 
Quelle: Pressemittelung BGH

04.04.2017

BRD: Stiftung Datenschutz veröffentlicht Studie über "Neue Wege bei der Einwilligung im Datenschutz"

Die Stiftung Datenschutz untersuchte über ein Jahr lang die Möglichkeiten, den oftmals recht unübersichtlichen Einwilligungsprozess im Umgang mit unseren digitalen Daten einfacher und praxisnäher zu gestalten. In exklusiver Runde und vor internationalem Publikum legte die Stiftung am 30. März 2017 ihren Abschlussbericht  ["Neue Wege bei der Einwilligung im Datenschutz – technische, rechtliche und ökonomische Herausforderungen"; pdf] in Berlin vor. 
Quelle: Stiftung Datenschutz

03.04.2017

Schlussanträge EuGH: Anwendungsbereich DSRL, effektiver Rechtsschutz etc.

EuGH, Schlussanträge der Generalanwältin Kokott vom 30. März 2017, Rs C‑73/16 - Puškár

VI.    Ergebnis
128. Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
1)      Die Verwendung personenbezogener Daten unterliegt bei der Erhebung von Steuern der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung sowie den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union, während im strafrechtlichen Bereich nur Art. 7 und 8 der Charta anwendbar sind, soweit es um unionsrechtlich determinierte Fragen geht.
2)      Das Recht auf effektiven Rechtsschutz nach Art. 47 der Charta und das Effektivitätsprinzip stehen einem vor der Klageerhebung obligatorisch auszuschöpfenden Verwaltungsrechtsbehelf nicht entgegen, wenn die Modalitäten dieses Rechtsbehelfs die Wirksamkeit des gerichtlichen Rechtsschutzes nicht unverhältnismäßig beeinträchtigen. Der obligatorische Verwaltungsrechtsbehelf darf daher insbesondere das gesamte Rechtsbehelfsverfahren nicht unangemessen verzögern oder übermäßige Kosten verursachen.
3)      Die Steuerverwaltung darf nach Art. 7 Buchst. e der Richtlinie 95/46 für ihre Zwecke eine Liste von Personen führen, die zum Schein Führungspositionen in bestimmten juristischen Personen bekleiden und ihrer Nennung auf dieser Liste nicht zugestimmt haben. Dies setzt voraus, dass diese Aufgabe der Steuerverwaltung gesetzlich zugewiesen wurde, die Verwendung der Liste tatsächlich für die Zwecke der Steuerverwaltung geeignet und erforderlich ist und hinreichende Anhaltspunkte für den Verdacht vorliegen, dass diese Personen zu Recht auf dieser Liste stehen. Auch die Grundrechte auf Privatsphäre, Art. 7 der Charta, und Datenschutz, Art. 8 der Charta, würden in diesem Fall der Erstellung und Verwendung der Liste nicht entgegenstehen.
4)      Der in Art. 47 Abs. 2 der Charta verankerte Grundsatz des fairen Verfahrens lässt es im Prinzip zu, interne Dokumente einer verfahrensbeteiligten Behörde, die ein anderer Prozessbeteiligter sich ohne Einwilligung dieser Behörde beschafft, als unzulässiges Beweismittel zurückzuweisen. Die Zurückweisung ist jedoch ausgeschlossen, wenn es sich um eine Liste einer Finanzbehörde eines Mitgliedstaats handelt, die personenbezogene Daten des Klägers enthält, welche die Behörde nach den Art. 12 und 13 der Richtlinie 95/46 dem Kläger mitteilen muss.
5)      Falls ein einzelstaatliches Gericht zu der Auffassung gelangt, dass die Entscheidung des bei ihm anhängigen Verfahrens durch eine Rechtsprechung des Gerichtshofs der Europäischen Union beeinflusst würde, nach der Rechte der Charta, die den durch die EMRK garantierten Rechten entsprechen, weniger stark geschützt werden als nach der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, so kann es den Gerichtshof der Europäischen Union anrufen, um zu erfahren, wie das Unionsrecht im Hinblick auf diesen Fall auszulegen ist. Wenn die Entscheidungen des einzelstaatlichen Gerichts selbst nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können, so ist es zur Anrufung des Gerichtshofs verpflichtet.

02.04.2017

BRD: Orientierungshilfe Verbraucherfreundliche Best-Practice bei Apps

Verbraucherfreundliche Best-Practice bei Apps - Eine Orientierungshilfe für die Praxis (pdf), dt. BMJ
Erstellt unter Mitwirkung von App-Store-Betreibern, App-Entwicklern, App-Anbietern, App-Testern sowie Verbraucher-, Daten- und Jugendschützern