Markus Kastelitz

Japan: Adequacy decision published

Adequacy, GDPR, Japan, Uncategorized

Durchführungsbeschluss (EU) 2019/419 der Kommission vom 23. Januar 2019 nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Japan im Rahmen des Gesetzes über den Schutz personenbezogener Informationen:

https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1553013579178&uri=CELEX:32019D0419

Markus Kastelitz

EDPB: Eighth Plenary session: Interplay ePrivacy Directive and GDPR, Statement on Elections & more

EDPB, ePrivacy, GDPR, Wahlen

https://edpb.europa.eu/news/news/2019/european-data-protection-board-eighth-plenary-session-interplay-eprivacy-directive_en

EDPB LIBE Report on the implementation of the GDPR – 26/02/2019

EDPB Statement 3/2019 on an ePrivacy regulation

EDPB Statement 2/2019 on the use of personal data in the course of political campaigns; Annex I to Statement 2/2019 on the use of personal data in the course of political campaigns

Markus Kastelitz

Österreichische Datenschutzbehörde: neue Adresse

Datenschutzbehörde

Die Datenschutzbehörde zieht derzeit in die Barichgasse 40-42, 1030 Wien um. Es sollte daher die Anschrift aktualisiert werden, sofern Sie z.B. in Datenschutzhinweisen genannt wird.

Markus Kastelitz

EDPB: Report on the Implementation of the GDPR with a special focus on the role and the means of the DPAs

Datenschutzbehörde, DSGVO, EDPB, GDPR

Implementation of the GDPR with a special focus on the role and the means of the DPAs: Written report to LIBE – First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities

Michael Mrak

EuGH: Entscheidung zu Videoaufnahmen in Polizeidienststelle

Datenschutz, EuGH

Im Fall C-345/17 hat der EuGH am 14.2.2019 folgendermaßen entschieden.

Die Videoaufzeichnung von Polizeibeamten in einer Polizeidienststelle während der Arbeit und die Veröffentlichung des Videos zB auf YouTube fällt in den Anwendungsbereich der DSRL (und damit wohl auch der DSGVO).

Der Sachverhalt: Eine Privatperson filmte in einer Polizeidienststelle in Lettland seine eigene Aussage im Rahmen eines Verfahrens gegen ihn und stellte diese Videoaufnahme, das Polizeibeamte und deren Tätigkeit in der Polizeidienststelle zeigte, auf der Website www.youtube.com. Auf YouTube hat jeder Nutzer die Möglichkeit, diese Videos online zu stellen, anzuschauen, zu beurteilen und/oder zu teilen.

Die Entscheidung des EuGH

  1. Es liegt keine Ausnahme vor; es handelt sich nicht um eine ausschließlich persönliche oder familiäre Tätigkeit, da das Video den persönlichen Bereich des Verantwortlichen durch die Veröffentlichung in YouTube „verlassen“ hat. Damit ist die Datenschutzrichtlinie (und auch die DSGVO seit 25.05.2018) auf den Sachverhalt anwendbar.
  2. Der Verantwortliche hatte auch argumentiert, dass es sich nicht um personenbezogene Daten handelt. Der EuGH hat dazu ausgeführt, dass auch Daten, die im Rahmen der beruflichen Tätigkeit anfallen als personenbezogene Daten anzusehen sind: Aus der Rechtsprechung des Gerichtshofs geht ferner hervor, dass Informationen nicht deshalb nicht als „personenbezogene Daten“ einzustufen sind, weil sie im Kontext einer beruflichen Tätigkeit stehen.
  3. Videoaufnahmen von Polizeibeamten während ihrer beruflichen Tätigkeit fallen daher in den Anwendungsbereich der DSRL, und damit auch in die DSGVO, wenn diese nicht ausschließlich zu familiären oder persönlichen Zwecken angefertigt werden.
  4. Derartige Videoaufnahmen und die Veröffentlichung auf einer Plattform können „Bürgerjournalismus“ darstellen, und damit in das Medienprivileg fallen.

Link zur Entscheidung

Markus Kastelitz

ICO: Data protection if there’s no Brexit deal

Brexit, Datenschutz, EDPB, ICO

Einen Kurzüberblick findet man beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in deutscher Sprache, wo auch auf wertvolle Tools der britischen Datenschutzbehörde ICO verlinkt wird.

Update 18.02.2018: EDPB Information note on data transfers under the GDPR in the event of a no-deal Brexit

Markus Kastelitz
Markus Kastelitz

EDPB: EU-U.S. Privacy Shield – 2nd Annual Joint Review report

Datentransfers, DSGVO, EDPB, PrivacyShield

„Based on the concerns elaborated in the previous opinions of the WP29, in particular opinion 1/2016, and in its report following the first joint review, the EDPB focused on the assessment of both the commercial aspects of the Privacy Shield and on the government access to personal data transferred from the EU for the purposes of Law Enforcement and National Security, including the legal remedies available to EU citizens, the EDPB assessed once again whether these concerns have been addressed and also whether the safeguards provided under the EU-U.S. Privacy Shield are workable and effective.“
The report is available here.

Markus Kastelitz

DSGVO in Zahlen

DSGVO, GDPR
DSGVO in Zahlen

Die EU-Kommission hat hier (pdf) eine Infografik „GDPR in numbers“ veröffentlicht.

Markus Kastelitz

Japan: Angemessenheitsbeschluss der EU-Kommission

Angemessenheitsentscheidung, Datentransfers, Japan

Die Europäische Kommission hat am 23.01.2018 einen Angemessenheitsbeschluss in Bezug auf Japan erlassen und damit den weltweit größten Raum für sicheren Datenverkehr geschaffen:

Text des Beschlusses: COMMISSION IMPLEMENTING DECISION of 23.1.2019 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information

Factsheet zum Angemessenheitsbeschluss EU-Japan

Pressemitteilung über die Einleitung des Annahmeverfahrens (5. September 2018)

Pressemitteilung über die Ergebnisse der Gespräche zur Angemessenheit der Datenschutzsysteme (17. Juli 2018)

Fragen und Antworten zum Angemessenheitsbeschluss in Bezug auf Japan

Statement von Kommissarin Jěra Jourová und Haruhi Kumazawa, Commissioner of the Personal Information Protection Commission of Japan

Michael Mrak
Michael Mrak

Bericht vom BvD Herbstkongress in Stuttgart

BVD

Um das hohe Datenschutzniveau in Deutschland halten zu können ist das Modell der Datenschutzbeauftragten unverzichtbar!

Diese Aussage kommt nicht von den deutschen Datenschutzbeauftragten selbst, sondern vor allem von den deutschen Aufsichtsbehörden. Es gab bei der diesjährigen Herbstkonferenz des Verein der Datenschutzbeauftragten (https://www.bvdnet.de/) in Stuttgart neben qualitativ hochwertigen Fachvorträgen auch herzhafte Diskussionen über das Modell des Datenschutzbeauftragten an sich. Das deutsche Datenschutzgesetz regelt eine verpflichtende Bestellung des DPO bei einer Anzahl der Beschäftigten ab 10. Es gibt allerdings Bestrebungen insbesondere von der Wirtschaft dies zu ändern. Viele Vereine oder KMU’s würden hier “ zwangsberaten „.

Durchaus wird zB vom Vorstandes des BvD, Thomas Spaeing, vertreten, dass es andere Modelle funktionieren könnten, zB könnte nach Umsetzung der GDPR die Behörden kleinere Firmen von einer Bestellung befreien. Auch Vertreter der Behörden aus Bayern und Baden Würtemberg glauben, dass sie ihre Verpflichtungen zur Gewährleistung einer Rechtssicherheit besonders effektiv mit dem Modell des DPO bewerkstelligen können. Es wurde die Hoffung geäußert, Datenschutz direkt als Wettbewerbsvorteil zu etablieren, dazu möchte man auch einen regen Austausch mit anderen Ländern beginnen. Insgesamt diskutierten 250 Teilnehmer aus Wirtschaft, Aufsicht und Politik über viele strittige oder unsichere Themen der GDPR.

Ein kurzer fachlicher Auszug von der Konferenz:

  • Löschung: Auch in Deutschland ist man sich bewusst, dass 100 %  compliance noch nicht erreicht wurde, speziell bei dem Thema Datenlöschung ist noch viel zu tun ( selbst bei Behörden)!
  • Auftragsverarbeiter: große Diskussion wer darunter fällt, zB gibt es für die Steuerberater unterschiedliche Auslegungen der Behörden. Sehr spannend!Es wurde auch  AK AVV gegründet, um die vielen offenen Fragen zu diskutieren.
  • E-privacy: in Deutschland ist das TMG nicht mehr anwendbar, weil die GDPR Vorrang hat; das bedeutet, es muß alles unter diesem Gesichtspunkt neu bewertet werden.
  • Auskunft: sollte besonders gut vorbereitet werden, da dies eine Tür zu Beschwerden öffnet. Hier sei auf das Kurzpapier Nr. 6 der DSK verwiesen. Daten müssen auch nicht beauskunftet werden, wenn sie allein zum Zweck der gesetzlichen Aufbewahrungsverpflichtung gespeichert werden. Es wird die These vertreten, dass man nicht alle Empfänger nennen muss, aber alle Kategorien der Empfänger. Laut Behördenmeinung kann man 1 bis 2 mal im Jahr eine Auskunft verlangen.
  • Code of Conduct: es wurde diskutiert, wie die Kontrollstelle aussehen könnte, und ob sich andere einem Code of Conduct unterwerfen könnte. Je höher das Risiko desto konkreter sollte der CoC gestaltet werden. Die Aufsichtsbehörden haben hier ein Ermessen, sollten aber nicht wegen kleinerer Änderungen die Genehmigung versagen.
  • Man kennt auch die österreichischen Entscheidungen, neben der Türklingel ( wurde von jedem besprochen) auch die Entscheidung bezüglich Kobtoauszüge oder das Gutachten über die Nicht-Auftragsverarbeiterschaft der Steuerberater. Auch ist man im Bilde, welche CoC bei uns beantragt wurden.

Der Vorstand des BvD wurden zu unseren Weihnachtsfeier am 12.12 eingeladen, und wollen sehr gerne mitfeiern ….. wir freuen uns also auf spannende Diskussionen und einen regen Austausch in Wien.

Nächstes Jahr wird die Konferenz vom 23. – 25. Oktober in Nürnberg stattfinden. Privacyofficers-Mitglieder werden zum Mitgliederpreis daran teilnehmen können.

Judith Leschanz

Markus Kastelitz

Aktuelle Zahlen der österreichischen Datenschutzbehörde

Datenschutzbehörde, Datenschutzgesetz (DSG), DSGVO

Verfahrensanfall bei der Datenschutzbehörde:

  • aktuell 721 Beschwerden anhängig (Stand: 11.09.2018)
  • 252 Meldungen eines „data breach“
  • 58 amtswegige Prüfverfahren
  • 1 Konsultationsverfahren nach Art 36 DSGVO (DSFA) zu Dashcams in Autos (von der DSB per rechtskräftigem Bescheid untersagt)
  • 4 Anträge auf Genehmigung von Verhaltensregeln (Art 40 f DSGVO; Code of Conducts): die DSB hatte sich nach eigener Aussage eine größere Anzahl an Anträgen erwartet und sieht darin weiterhin einen Mehrwert für Branchenverbände
  • 115 Verwaltungsstrafverfahren (davon 79 von den BHs und Magistraten per 25.5.2018 übernommen)

Quelle: Dr. Schmidl (stv. Leiter der DSB) bei der OCG-Veranstaltung am 11.9.2018, einen Kurzbericht findet man hier.

Michael Mrak

Das war das Sommerfest 2018

Sommerfest

Trotz eher suboptimaler Wetterverhältnisse war unser erstes Sommerfest beim Heurigen Wiltschko ein Erfolg. Rund zwanzig wetterfeste Mitglieder fanden den Weg in den 23. Bezirk. Da wir leider nicht wie ursprünglich geplant außen und mit Blick auf Wien den Abend geniessen konnten fanden wir innen beim Heurigen im Trockenen Platz. Besonders freut es uns, dass der stellvertretende Leiter der Datenschutzbehörde, Mag. Dr. Matthias Schmidl, einige Stunden gemeinsam mit uns verbracht hat und über die aktuelle Situation nach der Inkraftsetzung der DSGVO und viele andere Themen mit unseren Mitgliedern geplaudert hat.

Für unsere „Vereinsbibliothek“ erhielten wir von Dr. Schmidl ein Exemplar des brandneuen Rechtskommentars zum Datenschutzgesetz bei dem auch unsere Vorstandsmitglieder Kastelitz und Riedl mitgewirkt haben.

Für ein umfangreiches kulinarisches Angebot war gesorgt und auch mit Wein und alkoholfreien Getränke hat sich das Team des Heurignewirtes Wiltschko perfekt um uns gekümmert. Auch wenns innen natürlich nicht die gleiche Stimmung wie im Freien war, unser Sommerfest war ein gelungener Abend und wird sicher eine Wiederholung finden.

Michael Mrak

Checkliste zur Umsetzung der DSGVO

Checklist, Datenschutz, DSGVO

Bereits vor einigen Monaten haben wir eine kostenlose Checkliste zur Umsetzung der DSGVO veröffentlicht. Wir empfehlen allen „Nachzüglern“ einen Blick darauf zu werfen und zu überprüfen wo man bei der eigenen Umsetzung der DSGVO steht.

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 789 anderen Abonnenten an

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 789 anderen Abonnenten an