31.05.2017

BRD: BfDI veröffentlicht 26. Tätigkeitsbericht 2015-2016

26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 - 2016 (pdf)
Also: Belgian Privacy Commission publishes its Annual Activity Report for 2016, (in French and Dutch)

30.05.2017

BRD: Memorandum zum Datenschutz in der medizinischen Forschung

  • Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS), BRD: Memorandum zum Datenschutz in der medizinischen Forschung aus Anlass der nationalen Umsetzung und Konkretisierung der EU-Datenschutz-Grundverordnung (DS-GVO), erarbeitet durch die GMDS-Präsidiumskommission „Datenschutz in der Forschung“

26.05.2017

Österreich: Kompakte Checkliste zur Umsetzung der DSGVO

Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter - Privacyofficers.at hat eine übersichtliche Checkliste zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) unter einer Creative Commons-Lizenz veröffentlicht.

24.05.2017

BayLDA und Liechtenstein: DSGVO-Prüffragebogen

Am 25.05.2017 läuft die Hälfte der Vorbereitungszeit auf das neue Recht ab. Das BayLDA hat deshalb einen DSGVO-Prüffragebogen entworfen.
Update: Auch die Datenschutzstelle in Liechtenstein hat einen Fragebogen bereit gestellt.

Veranstaltungshinweis: HealthSec Day 2017 am 30.5.2017 in Wien

HealthSec Day 2017 zur Informationssicherheit und Datenschutz im Gesundheits- und Sozialwesen am 30.5.2017 in Wien (Hotel Wimberger)
Unter den Vortragenden sind u.a. Mitarbeiter des Bundeskriminalamts und des Bundeskanzleramts (NIS-Richtlinie). Weitere Infos hier, bei Anmeldung mit dem Gutschein-Code „20HealthSecDay17“ ist die Veranstaltung kostenlos.

17.05.2017

Österr. Datenschutzbehörde: Leitfaden zur DSGVO

Leitfaden Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung
Zusammengestellt von Dr. Matthias Schmidl, Stand: April 2017

Update: Im Leitfaden finden sich Beispiele für Strafdrohungen (Vergleich DSG 2000 vs. DSGVO):

16.05.2017

Vortragsfolien "Big Data an einer Medizinischen Universität"

Kastelitz, Big Data - Datenschutzrechtliche Herausforderungen aus Sicht einer Medizinischen Universität (Vortragsfolien; gehalten bei der Austria Wirtschaftsservice GmbH - "Förderbank des Bundes")
Update 1Entwurf Datenschutz-Anpassungsgesetz 2018 (Anpassung an DSGVO; Veröffentlichung erfolgte nach dem Vortrag)
Update 2: Passend dazu Powles, J. & Hodson, Google DeepMind and healthcare in an age of algorithms, H. Health Technol. (2017). doi:10.1007/s12553-017-0179-1; The Guardian
Update 3: Detailed medical records of 61 million Italian citizens to be given to IBM for its “cognitive computing” system Watson (Privacy News Online)

BGH zu Personenbezug und Zulässigkeit der Speicherung von dynamischen IP-Adressen (UPDATE)

BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13 (noch nicht verfügbar)
[...] Der Bundesgerichtshof (vgl. Pressemitteilung Nr. 152/2014) hat mit Beschluss vom 28. Oktober 2014 - VI ZR 135/13, VersR 2015, 370 das Verfahren ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt. Nachdem der Gerichtshof mit Urteil vom 19. Oktober 2016 - C-582/14, NJW 2016, 3579 die Fragen beantwortet hat, hat der VI. Zivilsenat des Bundesgerichtshofs nunmehr mit Urteil vom 16. Mai 2017 über die Revisionen der Parteien entschieden. Diese hatten Erfolg und führten zur Aufhebung des Berufungsurteils und zur Zurückverweisung der Sache an das Berufungsgericht.
Auf der Grundlage des EuGH-Urteils ist das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.
Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer. Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten.
[...]
Quelle: BGH Pressemeldung (Hervorhebung durch mich)

Update 28.06.2017: Volltext des Urteils liegt vor.

12.05.2017

BRD: Bundesrat stimmt DSAnpUG-EU zu

"Der Bundesrat hat in seiner  957. Sitzung  am 12. Mai 2017 beschlossen, dem vom Deutschen Bundestag am 27. April 2017 verabschiedeten Gesetz gemäß Artikel 23 Absatz 1 Satz 2, Artikel 74 Absatz 2 in Verbindung mit Absatz 1 Nummer 25, Artikel 87 Absatz 3 des Grundgesetzes zuzustimmen."
Eine (inoffizielle) konsolidierte Fassung finden Sie hier.

Österreich: Entwurf Datenschutz-Anpassungsgesetz 2018 (Anpassung an DSGVO)

Begutachtungsentwurf (Ministerialentwurf):
Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018)
Update 07.06.2017: Regierungsvorlage
Siehe zum aktuellen Stand hier.

11.05.2017

Schweiz: Urteil gegen Auskunftei

Im Klageverfahren gegen die Wirtschaftsauskunftei Moneyhouse hat das Bundesverwaltungsgericht einen im aktuellen Umfeld der Digitalisierung wegweisenden Entscheid gefällt, indem es der profilbildenden Verknüpfung von Informationen und deren Publikation klare Grenzen setzt. [...]
Das Gericht hält in seinem Urteil vom 18. April fest, dass aus unterschiedlichen Quellen stammende Personendaten nicht in beliebigem Umfang gespeichert, verknüpft und reproduziert werden dürfen. Es macht klar, dass die Privatsphäre auch in der digitalisierten Gesellschaft Bestand hat, wenn es wie im beurteilten Fall um eine Bearbeitung von Informationen geht, die Rückschlüsse auf private Wohn- und Lebenssituationen zulässt und so zu Persönlichkeitsprofilen führt. [...]
Quelle: EDÖB

09.05.2017

Aus dem Amtsblatt: VO über Medizinprodukte und IVD erschienen

Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates

Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission

05.05.2017

EuGH: "berechtigtes Interesse" im Datenschutzrecht (Art 7 lit f DSRL)

EuGH 4.5.2017, Rs C-13/16 - Rīgas satiksme
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass er nicht dazu verpflichtet, einem Dritten personenbezogene Daten zu übermitteln, damit er vor einem Zivilgericht Klage auf Ersatz eines durch die betreffende Person verursachten Schadens erheben kann. Jedoch steht er der Übermittlung solcher Daten auf der Grundlage des nationalen Rechts nicht entgegen.

02.05.2017

Vermischtes zu DSGVO: ADV, DSB, Verfahrensverzeichnis

- Die GDD-Praxishilfe DS-GVO IV widmet sich der Auftragsverarbeitung nach Art. 28 DS-GVO und stellt die GDD-Vertragsmuster von 2013 und 2017 gegenüber.
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen der DS-GVO gehört unter anderem die Überprüfung bestehender Vertragsverhältnisse sowie die Anpassung der Vertragsmuster für zukünftige Outsourcing-Dienstleistungen. [...]

- GDD veröffentlicht Praxishilfe DS-GVO V. Sowohl Verantwortliche als auch Auftragsverarbeiter sowie deren Vertreter in der EU müssen nach jeweils ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO führen. [...]

- Das BayLDA hat sich der Frage angenommen, ob sich durch die DS-GVO Neuerungen hinsichtlich der Rolle des Datenschutzbeauftragten für deutscher Verantwortliche und Auftragsverarbeiter ergeben. In einem zweiseitigen Papier werden die wesentliche Verpflichtungen und Änderungen herausgestellt.

EuGH: Vorabentscheidungsersuchen u.a. zur Verantwortlichkeit für Einbindung eines Facebook "Like-Button"

EuGH, Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf (Deutschland) eingereicht am 26. Januar 2017 - Fashion ID GmbH & Co.KG gegen Verbraucherzentrale NRW eV (Rechtssache C-40/17), Andere Parteien: Facebook Ireland Limited, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Vorlagefragen
1.    Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
Falls die Frage 1) verneint wird:
2.    Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
3.    Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
4.    Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
5.    Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
6.    Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Art. 29 WP: Review of Draft Code of Conduct on privacy for mobile health applications

The WP29 has analysed the Code of Conduct’s compliance with the Data Protection Directive
and in light of the GDPR requirements: Letter of the Chair of the ART 29 WP re mHealth (Draft Code of Conduct, pdf here)