31.07.2017

Österreich: Datenschutz-Anpassungsgesetz 2018 im Bundesgesetzblatt kundgemacht (DSGVO-Anpassung)

Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018), BGBl I 120/2017.
Zur Vorgeschichte siehe hier.
Korrektur (dank des Hinweises von M.S.): Das DSG 2000 wird durch Z 1 des Datenschutz-Anpassungsgesetzes 2018 in "Datenschutzgesetz - DSG" (Kurzbezeichnung, Langtitel omitted) umbenannt und durch die restlichen Bestimmungen inhaltlich zu weiten Teilen neu gefasst.

29.07.2017

EuGH: vorliegendes PNR-Abkommen mit Kanada darf nicht abgeschlossen werden

EuGH, Gutachten 1/15 des Gerichtshofs (Große Kammer) vom 26. Juli 2017
Folglich äußert sich der Gerichtshof (Große Kammer) gutachtlich wie folgt:
1.      Der Beschluss des Rates über den Abschluss des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen im Namen der Union ist auf Art. 16 Abs. 2 gemeinsam mit Art. 87 Abs. 2 Buchst. a AEUV zu stützen.
2.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen ist nicht mit Art. 7, Art. 8, Art. 21 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union vereinbar, soweit es die Übermittlung sensibler Daten aus der Europäischen Union nach Kanada und die Verwendung und Speicherung solcher Daten nicht ausschließt.
3.      Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen muss, um mit Art. 7, Art. 8 und Art. 52 Abs. 1 der Charta der Grundrechte vereinbar zu sein,
a)      die aus der Europäischen Union nach Kanada zu übermittelnden Fluggastdatensätze klar und präzise definieren,
b)      vorsehen, dass die im Rahmen der automatisierten Verarbeitung von Fluggastdatensätzen verwendeten Modelle und Kriterien spezifisch und zuverlässig sowie nicht diskriminierend sind und dass nur Datenbanken verwendet werden, die von Kanada im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität betrieben werden,
c)      außer im Rahmen der Überprüfungen der im Voraus festgelegten Modelle und Kriterien, auf denen die automatisierte Verarbeitung der Fluggastdatensätze beruht, die Verwendung von Fluggastdatensätzen durch die zuständige kanadische Behörde während des Aufenthalts der Fluggäste in Kanada und nach ihrer Ausreise aus diesem Land sowie jede Weitergabe der Daten an andere Behörden materiell- und verfahrensrechtlichen Voraussetzungen unterwerfen, die sich auf objektive Kriterien stützen, sowie diese Verwendung und Weitergabe – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterwerfen, wobei die Entscheidung, mit der die Verwendung genehmigt wird, im Anschluss an einen mit Gründen versehenen Antrag ergeht, der von den zuständigen Behörden insbesondere im Rahmen von Verfahren zur Verhütung, Aufdeckung oder Verfolgung von Straftaten gestellt wird,
d)      die Speicherung von Fluggastdatensätzen nach der Ausreise der Fluggäste auf die Daten von Fluggästen beschränken, für die objektive Anhaltspunkte dafür vorliegen, dass von ihnen eine Gefahr im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität ausgehen könnte,
e)      die Weitergabe von Fluggastdatensätzen durch die zuständige kanadische Behörde an Behörden eines Drittlands davon abhängig machen, dass es ein Abkommen zwischen der Europäischen Union und dem betreffenden Drittland, das dem Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen äquivalent ist, oder einen Beschluss der Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gibt, der sich auf die Behörden erstreckt, an die Fluggastdatensätze weitergegeben werden sollen,
f)      ein Recht auf individuelle Information der Fluggäste im Fall der Verwendung der sie betreffenden Fluggastdatensätze während ihres Aufenthalts in Kanada und nach ihrer Ausreise aus diesem Land und im Fall der Weitergabe dieser Daten durch die zuständige kanadische Behörde an eine andere Behörde oder an Einzelpersonen vorsehen und

g)      gewährleisten, dass die Kontrolle der Einhaltung der Regeln des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen für den Schutz der Fluggäste bei der Verarbeitung der sie betreffenden Fluggastdatensätze durch eine unabhängige Kontrollstelle sichergestellt wird.

21.07.2017

EuGH (Schlussanträge): handschriftliche Prüfungsarbeit als personenbezogene Daten?

EuGH, Schlussanträge GA Kokott vom 20.07.2017,  Rs C‑434/16 (opinion, english version), Peter Nowak gegen Data Protection Commissioner (Vorabentscheidungsersuchen des Supreme Court [Irland]):
I.      Einleitung
1.        Besteht eine Prüfungsarbeit aus personenbezogenen Daten, so dass der Prüfungsteilnehmer deshalb möglicherweise auf der Grundlage der Datenschutzrichtlinie(2) vom Veranstalter der Prüfung Zugang zu seiner eigenen Arbeit verlangen kann? Darum geht es im vorliegenden Vorabentscheidungsersuchen des irischen Supreme Court. Das Ausgangsverfahren richtet sich jedoch nicht unmittelbar auf Zugang zu einer Prüfungsarbeit, sondern betrifft die Weigerung des ehemaligen irischen Datenschutzbeauftragten, einer Beschwerde wegen Verweigerung des Zugangs nachzugehen.
2.        Im Zentrum steht die Frage, ob die in einer Prüfungsarbeit enthaltenen Ausführungen des Prüfungsteilnehmers personenbezogene Daten sein können. Am Rande kann allerdings auch erörtert werden, ob es von Bedeutung ist, dass die Arbeit handschriftlich erstellt wurde, und ob auch Korrekturanmerkungen des Prüfers auf der Arbeit personenbezogene Daten des Prüfungsteilnehmers sind.
3.        Zwar wird die Datenschutzrichtlinie demnächst durch die noch nicht anwendbare Datenschutz-Grundverordnung(3) abgelöst, doch der Begriff der personenbezogenen Daten wird davon nicht berührt. Daher ist dieses Vorabentscheidungsersuchen auch für die zukünftige Anwendung des Datenschutzrechts der Union von Bedeutung. [...]
V.      Ergebnis
70.      Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
Bei einer handschriftlichen Prüfungsarbeit, die einem Prüfungsteilnehmer zugeordnet werden kann, handelt es sich einschließlich etwaiger Korrekturanmerkungen von Prüfern um personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. (A handwritten examination script capable of being ascribed to an examination candidate, including any corrections made by examiners that it may contain, constitutes personal data within the meaning of Article 2(a) of Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data.)

19.07.2017

OGH: Unterlassung der Verwendung und Beseitigung von "Bonitätsdaten", Fristenlauf nach § 34 Abs 1 DSG 2000

OGH 29.05.2017, 6 Ob 217/16d
[...] 2. Zum Fristenlauf nach § 34 Abs 1 DSG
Entscheidend ist hier, wann bei rechtswidrigen Dauerzuständen der Beginn des Fristenlaufs anzusetzen ist. Dazu hat sich in anderen Bereichen bereits eine gefestigte Rechtsprechung entwickelt:
Solange im Lauterkeitsrecht ein gesetzwidriger Zustand fortbesteht, bleibt gemäß § 20 Abs 2 UWG der Anspruch auf seine Beseitigung nach § 15 UWG und auf Unterlassung der Gesetzesverletzung gewahrt. [...]
Im Schadenersatzrecht besteht folgende Rechtsprechung: Bei fortgesetzter Schädigung beginnt die Verjährung für den Ersatz des erstentstandenen Schadens mit der Kenntnis des Beschädigten von ihm zu laufen; für jede weitere Schädigung beginnt eine neue Verjährung in dem Zeitpunkt, in welchem sie dem Beschädigten zur Kenntnis gelangt (RIS-Justiz RS0034536). Eine fortgesetzte Schädigung in diesem Sinn liegt vor, wenn durch eine schädigende Anlage, Nichtbeseitigen eines gefährlichen oder Aufrechterhalten eines rechtswidrigen Zustands Schäden hervorgerufen werden (RIS-Justiz RS0034536 [T13]). [...]
Im Sinn dieser Rechtsprechung ist es auch bei auf § 32 DSG gestützten Unterlassungs- und Beseitigungsansprüchen sachgerecht, bei rechtswidrigen Dauerzuständen wie im vorliegenden Fall sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustands beginnen zu lassen.
3. Zu § 39 Abs 2 BWG
[...] Die von der Revisionswerberin aus § 39 Abs 2 BWG abgeleiteten Verpflichtungen finden im Wortlaut der Bestimmung keine Deckung. § 39 Abs 2 BWG sieht lediglich ein von der Rechtsordnung grundsätzlich gebilligtes überwiegendes berechtigtes Interesse an der Sammlung, Aufbewahrung und Weitergabe bonitätsrelevanter personenbezogener Daten iSd § 8 Abs 1 Z 4 DSG 2000 vor. Diese Bestimmung legt jedoch nicht die Aufnahme bestimmter personenbezogenen Daten in eine Datenanwendung iSd § 4 Z 7 DSG 2000 und den Betrieb eines – kreditinstitutsübergreifenden – Informationsverbundsystems (§ 4 Z 13, § 50 DSG 2000) über bonitätsrelevante Daten verpflichtend fest (6 Ob 112/10d). [...]
Anmerkung: Mit Ausführungen des OLG Innsbruck zur Rechtswirksamkeit der Zustimmungserklärung  über die Weitergabe von Daten an die Kleinkreditevidenz.

ECHR: Factsheet on Personal data protection (July 2017)

European Court of Human Rights: Factsheet on Personal data protection (case law of the ECHR; July 2017; pdf)

05.07.2017

BRD: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU im BGBl

Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU, BGBl (pdf) - BDSG-neu

For my digital legal memory only ;)

DSGVO: Vermischtes (Verarbeitungsverzeichnis-Muster and more)