28.06.2017

Österreich: DSGVO-Anpassungsgesetz - aktueller Stand (Updates)

Mangels einer Verfassungsmehrheit (in der Regierungsvorlage eines "Datenschutz-Anpassungsgesetz 2018" waren - typisch für Österreich - Verfassungsbestimmungen enthalten, siehe Artikel 1 und § 1 DSG) im Verfassungsausschuss wurde mit den Stimmen von SP und VP ein "modifizierter" Text (aufgrund eines sog. "Gesamtändernden Abänderungsantrags") beschlossen, zudem kam es aufgrund von Interventionen von Forschungseinrichtungen zu einer sog. "Ausschussfeststellung" (hier haben auch die Grünen zugestimmt, siehe den Ausschussbericht), diese lautet wie folgt:
„Der Verfassungsausschuss geht in Bezug auf § 7 (’Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistischer Zwecke’) davon aus, dass die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs gemäß Erwägungsgrund 113 der Datenschutz-Grundverordnung auch durch die Erlassung spezialgesetzlicher Regelungen erreicht werden können. Damit sollen die in der Datenschutz-Grundverordnung vorgesehenen Öffnungsklauseln (insbesondere Art. 89 DSGVO) im Sinne der gedeihlichen Entwicklung des Hochschul-, Forschungs- und Innovationsstandortes Österreich genutzt werden, um praxisnahe Regelungen für die im öffentlichen Interesse liegenden Archivzwecke, die wissenschaftlichen oder historischen Forschungszwecke oder die statistischen Zwecke, insbesondere für pseudonymisierte Daten und Regelungen zur Registerforschung zu schaffen sowie Rechtssicherheit insbesondere für bereits bestehende biologische Proben- und Datensammlungen zu gewährleisten.“

Geändert wurde im Vergleich zur Regierungsvorlage u.a. Folgendes:
  • Art 8 DSGVO: § 4 Abs 4 DSG sieht die Einwilligungsfähigkeit ab dem Alter von 14 Jahren vor (anstelle von 16)
  • Art 10 DSGVO: § 4 Abs 3 DSG erlaubt unter bestimmten Voraussetzungen die Verarbeitung "strafrechtsbezogener" Daten durch Private (in der RV fehlte so eine Regelung komplett, was auch heftig kritisiert wurde)
  • Befugnisse der Aufsichtbehörde (Datenschutzbehörde): § 11 Abs 1 DSG sah u.a. vor , dass die Datenschutzbehörde nur im Fall eines begründeten Verdachtes auf Verletzung der Rechte und Pflichten Datenverarbeitungen überprüfen hätte können. Der "begründete Verdacht" wurde beseitigt (s nunmehr § 22 Abs 1).
  • Anpassung der "Reichweite" des § 25 (nunmehr § 7), um DSGVO-konform zu sein. Dies könnte auf die von mir im Auftrag meines Arbeitgebers verfasste Stellungnahme zurückgehen: "Ad § 25 DSG idF DS-AnpG 2018 (“Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik“): Auffällig ist zunächst, dass in § 25 DSG idF DS-AnpG 2018 keine Rede von „im öffentlichen Interesse liegenden Archivzwecken“ und „historischen Forschungszwecken“ ist, obwohl diese in der DSGVO ausdrücklich genannt (und privilegiert) werden (siehe ua Art 5 Abs 1 lit b, Art 9 Abs 2 lit j, Art 89 Abs 1). Sofern dadurch tatsächlich beabsichtigt wird, den Umfang der Datenverarbeitung für diese Zwecke einzuschränken, erscheint dies als (unzulässige) Beschränkung des Anwendungsbereichs der DSGVO durch nationales Recht."
  • Update, Einschränkung des Verweises auf das ArbVG: § 11: Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.
Das Datenschutz-Anpassungsgesetz 2018 soll morgen, 29.6.2017 vom Nationalrat beschlossen werden, angeblich soll es noch zu einer kleinen Abänderung kommen ...
Update 29.06.2017: Vom Nationalrat (mit einem Abänderungsantrag) beschlossen, womit in das „DSG neu“ eine Norm aufgenommen wird, die die „alten“ unter dem DSG 2000 eingeholten Zustimmungserklärungen auch unter der neuen Rechtslage ab 25.5.2018 für wirksam erklärt (sofern diese auch der DSGVO entsprechen – als Vorlage diente offenbar der Beschluss des deutschen "Düsseldorfer Kreises": https://datenschutz-berlin.de/attachments/1254/2016-Duesseldorfer-Kreis-Alteinwilligung.pdf?1474624406)
Update 03.07.2017: Abänderungsantrag verlinkt; auf der TO des Bundesrats am 06.07.2017
Update 07.07.2017: Der Bundesrat hat gestern zugestimmt (Pressemeldung), next steps: Bundeskanzler und Bundespräsident, danach Kundmachung im BGBl.
Update 31.07.2017: Kundmachung im Bundesgesetzblatt, siehe hier
Update: Fassung des DSG (ab 25.5.2018) im RIS.

23.06.2017

Art 29 WP: Opinion 2/2017 on data processing at work

Article 29 Working Party releases Opinion 2/2017 on data processing at work (WP 249, pdf), adopted on 8 June 2017:
"... Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer. ..."

14.06.2017

BfDI: Datenschutzrechtliche Empfehlungen zum automatisierten u. vernetzten Fahren

Datenschutzrechtliche Empfehlungen der BfDI zum automatisierten und vernetzten Fahren (pdf)

Datenschutzbehörde: Einwilligungerklärung in AGB, "Koppelungsverbot"

DSB 22.05.2017, DSB-D216.396/0003-DSB/2017
[...] Eine ausdrückliche Zustimmung des Betroffenen kann keinesfalls dann vorliegen, wenn sie bloß als Bestandteil von Allgemeinen Geschäftsbedingungen vom Betroffenen zur Kenntnis genommen wurde. Vielmehr liegt eine „ausdrückliche“ schriftliche Zustimmung nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung getrennt von etwaigen sonstigen vertraglichen Vereinbarungen gegeben hat.
Hinsichtlich der Form der Zustimmungserklärung ist daher zu verlangen, dass diese deutlich vom übrigen Text eines Formulars, eines Schriftstückes udgl. abgesetzt ist. Hinweise auf allgemeine Geschäftsbedingungen, auf Angaben in anderen Dokumenten, die nicht Bestandteil des unterzeichneten Papiers sind, sind nicht zulässig.
Die Zustimmungserklärung bedarf jedenfalls einer gesonderten Unterzeichnung, die einheitliche Unterzeichnung eines Formulars, in dem neben anderen Erklärungen auch die Zustimmungserklärung enthalten ist, reicht nicht aus. Es ist daher in solchen Fällen jedenfalls erforderlich, die Zustimmungserklärung vom übrigen Formulartext derart zu trennen, dass eine gesonderte Unterfertigung der Zustimmungserklärung und der sonstigen vom Formular vorgesehenen Angaben möglich ist (vgl. dazu Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht2 S 79 mwN).
Die „Stellungnahme 15/2011 zur Definition von Einwilligung“ (iSd Datenschutz-Richtlinie 95/46/EG) der Art 29 Datenschutzgruppe, WP 187, vom 13. Juli 2011, führt folgendes aus:
„Eine Einwilligung muss für den konkreten Fall erfolgen. Eine pauschale Einwilligung ohne genaue Festlegung des Zwecks ist nicht rechtmäßig. Diese Informationen sollten nicht in den allgemeinen Geschäftsbedingungen des Vertrags stehen, sondern es sollten stattdessen spezielle Einwilligungsklauseln gesondert von den allgemeinen Geschäftsbedingungen verwendet werden.
[...] Die Datenschutzbehörde/Datenschutzkommission hält daher in ständiger Rechtsprechung eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB für nicht zulässig (vgl. dazu etwa die Empfehlung der Datenschutzkommission vom 13. Juli 2012, GZ K 212.766/0010-DSK/2012). Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung einzugehen („Opt-in“ – Lösung, etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist).
[...] Der Hinweis von „O***“ auf Art. 6 Abs. 1 lit. f iVm EG 47 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) – zur Begründung überwiegender berechtigter Interessen – verfängt schon deshalb nicht, weil dieser Rechtsakt noch nicht in Geltung steht. [...]

BRD: Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen

Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz (pdf) - Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen unter Berücksichtigung der Datenschutz-Grundverordnung
Das Whitepaper hat folgenden Inhalt:
- Rechtliche Analyse der Vorgaben der DS-GVO für die Pseudonymisierung
- Darstellung von Verfahren und technisch-organisatorischen Anforderungen an die Pseudonymisierung mit Beispielen zur Umsetzung von Verfügbarkeitsanforderungen
- Darstellung von Anwendungsszenarien (Entertain TV, Direktmarketing, medizinische Forschungsprojekte)
Quelle: Pressemeldung BMI

09.06.2017

OGH: Zum Schutz juristischer Personen vor Videoüberwachung etc.

OGH 29.03.2017, 6 Ob 231/16p
[...] 2. Der Beklagte richtet in seiner Revision das Hauptaugenmerk auf den Umstand, dass es sich bei Erst-, Zweit- und Drittklägerin um juristische Personen handelt, auf die die Rechtsprechung zum verbotenen Überwachungsdruck nicht angewendet werden könne. Dem kann jedoch in der hier gegebenen Sachverhaltskonstellation nicht gefolgt werden:
2.1. Das Recht auf Achtung der Geheimsphäre ist ein Persönlichkeitsrecht (RIS-Justiz RS0009003). Nach den ErläutRV zu § 1328a ABGB (ZivRÄG 2004; 173 BlgNr 22. GP, 18) sollen zwar nach dieser Bestimmung Betriebs- und Geschäftsgeheimnisse nicht geschützt sein; § 1328a ABGB schütze die natürliche Person, der Begriff der Privatsphäre sei an den des Privatlebens iSd Art 8 EMRK angelehnt. Es ist aber auch anerkannt, dass etwa das Recht auf den Schutz von Geschäftsräumlichkeiten auch juristischen Personen zukommen kann (vgl etwa Ehlers, Europäische Grundrechte und Grundfreiheiten4 [2014] § 2 Rz 44; Gersdorf in BeckOK, InfoMedienR [2015] Art 8 EMRK Rz 12 ua) und eine differenzierte Betrachtung erforderlich ist (Grabenwarter/Pabel, EMRK6 [2016] § 17 Rz 5; vgl auch Klippel, Der zivilrechtliche Persönlichkeitsschutz von Verbänden, JZ 1988, 625 [632]; Fellner, Persönlichkeitsschutz juristischer Personen [2007] 182 ff; Handler, Der Schutz von Persönlichkeitsrechten [2008] 50 ff). Juristischen Personen kommt nach ständiger Rechtsprechung etwa auch das Recht auf Ehre zu (RIS-Justiz RS0008985).
2.2. Der Oberste Gerichtshof hat vor allem aber bereits ausgesprochen, dass ein Vermieter schon deswegen ein Interesse an der Abwehr von Überwachungsmaßnahmen gegen eine von ihm nicht selbst benützte Wohnung hat, weil er ansonsten Ansprüchen seines Mieters ausgesetzt wäre (10 Ob 57/14a), und dass ein (auf der Privatsphäre beruhendes) Recht eines Liegenschaftseigentümers besteht, dass seine Angestellten nicht systematisch beobachtet werden (8 Ob 108/05y; 10 Ob 57/14a); im Übrigen ist ein Arbeitgeber verpflichtet, die materiellen und immateriellen Interessen seiner Dienstnehmer im Rahmen des Dienstverhältnisses zu wahren (RIS-Justiz RS0021544), wozu etwa auch der Schutz ihrer Persönlichkeitsrechte gehört (9 ObA 143/03z).
In all diesen Fällen kann es aber nicht von Bedeutung sein, ob es sich beim Vermieter, Liegenschaftseigentümer oder Arbeitgeber um eine natürliche oder eine juristische Person handelt, geht es doch um den Schutz der betroffenen natürlichen Personen. Aus dieser Rechtsprechung lässt sich der Grundsatz ableiten, dass (unter anderem) einem Liegenschaftseigentümer ein Klagerecht auch primär im Interesse der Nutzer (Mieter, Dienstnehmer) der Liegenschaft eingeräumt ist. Da insoweit keine unmittelbare persönliche Betroffenheit gefordert wird, kommt es auf die Fähigkeit der juristischen Person, Überwachungsdruck zu erleben, nicht mehr entscheidend an. [...]

OLG Graz: Zur Löschung von E-Mail-Adressen bei der Auflösung einer Kanzleigemeinschaft (§ 43 ABGB; § 9 UWG)

OLG Graz 14. 9. 2016, 5 R 129/16 d
Erste Judikatur zu der Frage, wie im Falle der Auflösung einer Kanzleigemeinschaft mit alten E-Mail-Accounts der ausscheidenden Rechtsanwälte zu verfahren ist.
Quelle: Anwaltsblatt 06/2017, 386 f (pdf)

08.06.2017

Study: An assessment of the Commission’s Proposal on Privacy and Electronic Communications

Study, An assessment of the Commission’s Proposal on Privacy and Electronic Communications (PE 583.152; pdf), Authors: Dr. Frederik ZUIDERVEEN BORGESIUS (project leader and editor), Dr. Joris VAN HOBOKEN, Ronan FAHY, Dr. Kristina IRION, Max ROZENDAAL. This research paper was requested by the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs, and was commissioned, overseen and published by the Policy Department for Citizens’ Rights and Constitutional Affairs.
Abstract
This study, commissioned by the European Parliament’s Policy Department for Citizens’ Rights and Constitutional Affairs at the request of the LIBE Committee, appraises the European Commission’s proposal for an ePrivacy Regulation. The study assesses whether the proposal would ensure that the right to the protection of personal data, the right to respect for private life and communications, and
related rights enjoy a high standard of protection. The study also highlights the proposal’s potential benefits and drawbacks more generally.

07.06.2017

Österreich: Datenschutz-Anpassungsgesetz 2018 als Regierungsvorlage vom Ministerrat verabschiedet

Laut Beschlussprotokoll vom 7.6.2017 hat der Ministerrat heute (vor dem Ende der Begutachtungsfrist des Ministerialentwurfs!) das Datenschutz-Anpassungsgesetz 2018 (in modifizierter Fassung) als Regierungsvorlage beschlossen und dem Nationalrat übermittelt.
22. Bericht des Bundesministers für Kunst und Kultur, Verfassung und Medien, Zahl 810.026/0028-V/3/17 (+Austauschseiten: Ministerratsvortrag), betreffend Entwurf eines Bundesgesetzes, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018). Der Ministerrat beschließt im Sinne des Antrages.
Beilagen: Entwurfstext, Erläuterungen
UpdateRegierungsvorlage (soweit ersichtlich, gab es - außer der Beseitigung weniger grammatikalischer Fehler - keine inhaltlichen Änderungen gegenüber dem Ministerialentwurf)

01.06.2017

GDPR: Commission expert group (link)

Excerpt from the minutes of its meeting on 14 February 2017:
"As regards further processing (Article 5(1)(b) and Article 6(4)) COM underlined the approach of the GDPR:
- compatible processing is possible on contract, legitimate interests and vital interests
- compatible processing is on the same legal basis and by the same controller
- no compatibility test possible if the initial processing takes place on the basis of consent or law
- Art 6(4) is not an opening clause"