Autor: Markus Kastelitz

 

Bundeskanzleramt veröffentlicht Bericht zur Cybersicherheit in Österreich

Die Österreichische Strategie für Cyber Sicherheit beruht auf den Prinzipien Rechtstaatlichkeit, Subsidiarität, Selbstregulierung und Verhältnismäßigkeit.

  • ein offenes und freies Internet
  • der Schutz personenbezogener Daten
  • die Unversehrtheit von miteinander verbundenen Netzwerken

sind dabei die Grundlage für globalen Wohlstand, Sicherheit und die Förderung der Menschenrechte.

Die Strategie wurde von den Verbindungspersonen zum Nationalen Sicherheitsrat und Cyber-Fachleuten unter Federführung des Bundeskanzleramtes erarbeitet. Diese bilden gemeinsam die “Cyber Sicherheit Steuerungsgruppe”. Sie koordiniert und begleitet die Umsetzung der Strategie. Außerdem erstellt die “Cyber Sicherheit Steuerungsgruppe” den jährlichen Bericht “Cyber Sicherheit in Österreich” und berät die Bundesregierung in Angelegenheiten der Cyber-Sicherheit.

Die Österreichische Strategie für Cybersicherheit (ÖSCS) legt fest, dass durch die Cyber Sicherheit Steuerungsgruppe (CSS) ein jährlicher Bericht zur Cybersicherheit in Österreich erstellt wird. Der letzte Bericht wurde im Mai 2019 vorgelegt.

Bericht zur Cybersicherheit 2020

Das Bundeskanzleramt veröffentlicht Bericht zur Cybersicherheit. Der aktuelle Bericht Cybersicherheit 2020 baut auf den Inhalten des letztjährigen Berichtes auf und ergänzt diesen um aktuelle Entwicklungen mit Schwerpunkte in den Bereichen internationale und operationelle Entwicklungen. Beobachtungszeitraum ist das Jahr 2019, einzelne aktuelle Entwicklungen im Jahr 2020 haben Eingang gefunden.

Zielsetzung des Berichtes ist eine zusammenfassende Darstellung der Cyberbedrohungen und wesentlicher nationaler und internationaler Entwicklungen. Grundlage dazu sind ressortspezifische Berichte zur Thematik.

Der Bericht kann direkt von der Homepage des Bundeskanzleramts heruntergeladen werden. Dort steht ebenfalls eine englische Version zum download zur Verfügung.

Europäische Kommission veröffentlicht Standarddatenschutzklausel-Entwurf (draft-SCC)

Europäische Kommission veröffentlicht Standarddatenschutzklausel-Entwurf

Die Europäische Kommission hat am 12. November 2020 einen Entwurf von standard contractual clauses (Standardvertragsklauseln oder “SCC” oder “Standarddatenschutzklauseln”) veröffentlicht.

Diese enthalten unter anderem zusätzliche Garantien iSd Schrems II-Urteils enthalten sollen. Eine Stellungnahme ist in den nächsten 4 Wochen möglich:

Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries

Schrems II: Neuigkeiten vom EDSA zu Datentransfers

Der Europäische Datenschutzausschuss (EDSA) hat gestern, 12.11.2020, im Nachgang zum sogenannten “Schrems II“-Urteil vom 16. Juli 2020, C-311/18 (mehr dazu z.B. hier), zwei Empfehlungsentwürfe veröffentlicht. Diese betreffen zusätzliche Garantien bei internationalen Datentransfers (bislang nur in englischer Sprache verfügbar):

Schrems II: Neuigkeiten vom EDSA zu Datentransfers

Geplante Berichtigung der Datenschutz-Grundverordnung (DSGVO)

Die geplante Berichtigung (Korrektur) Datenschutz-Grundverordnung (DSGVO) ist ab sofort auf der Homepage des Rats der Europäischen Union zu finden. Nach einer ersten Kurzanalyse sollen in der deutschen Fassung lediglich kleinere sprachliche Änderungen vorgenommen werden.

Privacyofficers.at wird die Überarbeitung der Datenschutz-Grundverordnung weiter beobachten und über relevante Änderungen informieren.

Markus Kastelitz at GDPR2020 Conference (Prague)

Markus Kastelitz, co-founder and member of the board of Privacyofficers.at has been invited to talk at the GDPR2020 Conference on 6 October 2020. It is organized by the Czech Association for the Protection of Personal Data (Spolek pro ochranu osobních údajů is the largest association of professionals involved in the processing and protection of personal data in business, local government and public administration in the Czech Republic. It is also a professional organization of Data protection officers in the Czech Republic).

Markus will give a talk on data protection-related issues of the Austrian legal regulations and recommendations regarding COVID-19, inter alia covering one of the first contact tracing apps in Europe (“Stopp Corona-App”). For more, see here (in Czech).

Datenschutzbehörde zur Anwendbarkeit des DSG auf juristische Personen

Die Datenschutzbehörde hat in dieser rechtskräftigen Entscheidung ausführlich zur (bislang umstrittenen) Frage des Schutzes juristischer Personen nach dem DatenschutzG Stellung bezogen, DSB 25.5.2020, 2020-0.191.240
“… Die Beschwerdeführerin als juristische Person kann sich auf den Schutzumfang des § 1 DSG in seiner Gesamtheit berufen, weil einerseits die Kompetenz der Mitgliedstaaten, einen über die EU-GRC hinausreichenden Schutz zu gewährleisten, besteht und andererseits durch die Einbeziehung des Schutzes juristischer Personen in das Grundrecht auf Datenschutz nach § 1 DSG weder das Schutzniveau der EU-GRC, noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt werden.

b)    Zur Frage, ob sich juristische Personen auf die einfachgesetzlichen Durchführungsbestimmungen des DSG berufen können

63.   Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 DSG, daher auf den Schutz natürlicher Personen beschränkt.

64.   § 1 DSG schützt allerdings auch – wie oben dargelegt – juristische Personen. Eine Auslegung der einfachgesetzlichen Bestimmungen, insbesondere der §§ 4 und 24 DSG, dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln zu wollen als natürliche Personen (so im Ergebnis auch Lachmayer, aaO, Rz 82 ff; Dopplinger, aaO, Rz 7).65.   Im Ergebnis ist daher festzuhalten, dass die Beschwerdeführerin als juristische Person aktiv legitimiert ist, eine Beschwerde nach § 24 DSG vor der Datenschutzbehörde zu erheben, sofern sie eine Verletzung der durch § 1 DSG gewährleisteten Rechte behauptet. … “

Interner Link: Thema

Erste Beschwerden nach Aufhebung von Privacy Shield

Noyb hat nach eigenen Angaben 101 Beschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedstaaten eingereicht, die Liste der Beschwerdegegner ist hier abrufbar.

Wir haben auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt. Diese Code-Schnipsel leiten Daten über jeden Besucher an Google oder Facebook weiter. Beide Unternehmen geben zu, dass sie die Daten aus der EU zur Verarbeitung in die USA übermitteln, wo sie gesetzlich verpflichtet sind, diese Daten US-Behörden wie der NSA zur Verfügung zu stellen. Weder Google Analytics noch Facebook Connect sind für den Betrieb dieser Webseiten notwendig und hätten daher inzwischen ersetzt oder zumindest deaktiviert werden können“, sagt Max Schrems, Ehrenvorsitzender von noyb.

Quelle: Noyb (https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht)

Noyb hat besonders für kleinere in der EU ansässige Unternehmen auf seiner Webseite kostenlose FAQs und Musterfragebogen bereitgestellt. 

Buch: “Der Datenschutzbeauftragte”

Im Dezember erschien das von unserem Vereinsmitglied Dr. Heidi Scheichenbauer herausgegebene Buch “Der Datenschutzbeauftragte“.

Das Buch enthält das gebündelte Wissen einer Vielzahl von Datenschutzbeauftragten und anderer Experten zu Fragen rund um die Tätigkeit und die Rolle interner oder externer Datenschutzbeauftragter in Unternehmen, Vereinen und öffentlichen Stellen.

Viele der Autorinnen und Autoren sind Mitglieder von Privacyofficers.at!

The Data Protection Officer Handbook by Douwe Korff, Marie Georges

From the abstract: This Handbook was prepared for and is used in the EU‐funded “T4DATA” training‐of-trainers programme. […] Although produced for the T4DATA programme that focusses on DPOs in the
public sector, it is hoped that the Handbook will be useful also to
anyone else interested in the application of the GDPR, including DPOs in
the private sector. It is made publicly available under a “Creative
Commons” (CC) License.

Europ. Kommission: Bericht über die Auswirkungen der neuen EU-Datenschutzvorschriften

Aus der Pressemitteilung:

Knapp ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung hat
die Europäische Kommission heute einen Bericht veröffentlicht, in dem
sie die Auswirkungen der EU-Datenschutzvorschriften untersucht und darlegt, wie die Umsetzung weiter verbessert werden kann. Aus dem
Bericht geht hervor, dass die meisten Mitgliedstaaten den erforderlichen
Rechtsrahmen eingerichtet haben und das neue System zur Stärkung der Datenschutzvorschriften greift. Die Unternehmen entwickeln eine Kultur der Rechtstreue, während die Bürgerinnen und Bürger sich ihrer stärker Rechte bewusst werden. Gleichzeitig geht auf internationaler Ebene die Entwicklung weiter hin zu höheren Datenschutzstandards:

http://europa.eu/rapid/press-release_IP-19-4449_de.htm

Siehe den Bericht hier (pdf).

Report of the Multistakeholder Expert Group on the GDPR application

The EU Commission has published a Report (pdf) by the Multistakeholder Expert Group dated 13 June 2019 entitled “CONTRIBUTION FROM THE MULTISTAKEHOLDER EXPERT GROUP TO THE STOCK-TAKING EXERCISE OF JUNE 2019 ON ONE YEAR OF GDPR APPLICATION”. The report contains feedback on the experience and/or the experience of the members of said Expert Group on the following aspects: the exercise of data subjects’ rights; consent; complaints and legal actions; use of representative actions under Article 80 GDPR; experience with Data Protection Authorities (DPAs) and the one-stop-shop mechanism (OSS); experience with accountability and the risk-based approach; Data Protection Officers (DPOs); controller/ processor relationship; the adaptation/further development of Standard Contractual Clauses (SCCs) for international transfers; and experience with the national legislation implementing the GDPR.

The Multistakeholder Expert Group to support the application of Regulation (EU) 2016/679 has been established in 2017 to assist the Commission in identifying the potential challenges in the application of the General Data Protection Regulation (GDPR) from the perspective of different stakeholders, and to advise the Commission on how to address them. The report of the Multistakeholder Expert Group does not reflect the opinion of the Commission nor one of its Services.

EU-Dachverband für Datenschutzbeauftragte gegründet

Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at ist Mitinitiator eines europäischen Dachverbands der Datenschutzbeauftragten, der sich am 7. Juni 2019 in Berlin gegründet hat. Gründungsmitglieder der European Federation of Data Protection Officers (EFDPO) sind neben dem BvD nationale Verbände für Datenschutzbeauftragte aus Deutschland, Frankreich, Portugal, Tschechien, der Slowakei, Griechenland und Liechtenstein. Hauptziel der Gründung ist es, die Datenschutzbeauftragten der EU-Mitgliedsstaaten miteinander zu vernetzen, gemeinsame Standards zu entwickeln und die Interessen der in Brüssel zu vertreten. Dabei soll Datenschutz als Wettbewerbs- und Standortvorteil für Europa gestärkt werden. Arbeitssitz des neuen Verbandes ist Brüssel. Mehr dazu beim BvD e.V.

Cybersecurity Act (Rechtsakt zur Cybersicherheit) im Amtsblatt erschienen

Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)

Hintergründe hier und hier.

Handbuch zum europäischen Datenschutzrecht

Das (kostenfrei verfügbare) Handbuch wurde von der Agentur der Europäischen Union für Grundrechte (FRA) in Zusammenarbeit mit dem Europarat (gemeinsam mit der Kanzlei des Europäischen Gerichtshofs für Menschenrechte) und dem Europäischen Datenschutzbeauftragten erarbeitet und ist seit Kurzem auch in der deutschen Sprachfassung (pdf) erhältlich.

Ein Jahr Datenschutz-Grundverordnung

Im Folgenden eine kleine Link-Zusammenstellung zu einem Jahr DSGVO, auch Privacyofficers hat bei einer Vereinsveranstaltung am 24.5.2019 einen Rück- und Ausblick vorgenommen, dazu später mehr.

EDPB: https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en

Eurostat: http://ec.europa.eu/commfrontoffice/publicopinionmobile/index.cfm/Survey/getSurveyDetail/surveyKy/2222

IAPP: https://iapp.org/resources/article/gdpr-at-one-year-dpas/

Netzpolitik: https://netzpolitik.org/2019/ein-jahr-datenschutzgrundverordnung-zwoelf-monate-zwoelf-meinungen/

BvD: https://www.bvdnet.de/datenschutzbeauftragte-und-aufsichtsbehoerden-stemmen-dsgvo/

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress