Kategorie: Datenschutz

 

Privacyofficers.at gibt Stellungnahme zur geplanten Novelle des EpidemieG 1950 ab

Nachfolgende Stellungnahme wurde an das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt.

Sehr geehrte Damen und Herren,

wir vertreten den Verein Privacyofficers.at, Österreichs größtem Dachverband von Datenschutzbeauftragten und Datenschutzexperten (www.privacyofficers.at).

Die geplante Novelle des Epidemiegesetzes beinhaltet in § 5 Abs 6 eine datenschutzrechtliche Regelung, die nicht nur Betroffene selbst betrifft, sondern auch unsere Mitglieder, die eine solche Regelung in den Organisationen, in denen sie tätig sind, umsetzen und begleiten müssten.

Bei der Lektüre des vorgeschlagenen § 5 Abs 6 Epidemiegesetzes stellen sich einige, nicht lösbare Fragen, die wir Ihnen gerne übermitteln, mit der Bitte, den Text einer tiefergehenden datenschutzrechtlichen Überprüfung zu unterziehen und entsprechend anzupassen.

Unter anderem soll laut Begutachtungsentwurf ein neuer §5 Abs 6 Epidemiegesetz eingeführt werden, der lautet:

(6) Betriebe, Veranstalter und Vereine sind – unbeschadet nach anderen Rechtsgrundlagen bestehenden Erhebungs- und Aufbewahrungspflichten – verpflichtet, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern, in deren Verarbeitung ausdrücklich eingewilligt wurde, zum Zweck der Mitwirkungspflicht im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen für die Dauer von 28 Tagen aufzubewahren. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Betriebe, Veranstalter und Vereine haben geeignete Datensicherheitsmaßnahmen zu ergreifen.

Als Datenschutzbeauftragte (r) eines Unternehmens ist man nun ratlos, wie man diese Bestimmung datenschutzrechtlich einordnen bzw. DSGVO konform auslegen und umsetzen soll.

Jede Datenverarbeitung benötigt eine rechtliche Grundlage, dafür gibt Artikel 6 DSGVO eine taxative Liste von möglichen Rechtsgrundlagen vor. Es handelt sich um die oben genannte Bestimmung um eine gesetzliche Regelung, so könnte Artikel 6 Abs 1 lit c DSGVO („die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“) relevant sein.

Folgende Fragen tun sich dabei jedoch auf:

§ Abgesehen davon, dass die Vermengung mit der Einwilligung (dazu gleich) schon irreführen ist, stellt sich schon die Frage, welcher Verantwortliche fällt denn unter welchen Bedingungen darunter?
§ Ad Betriebe: Gilt das in jedem Fall, wenn es um ihre Beziehung zu Mitarbeitern geht? Betrifft das den normalen Arbeitsalltag oder nur besondere Anlässe wie Veranstaltungen, größere Treffen, wo eine Nachvollziehbarkeit von Kontakten schwierig ist? Ist das eine gesetzliche Aufforderung lückenlos die Anwesenheiten, Bewegungsprofile, Treffen, Kontaktpersonen von Mitarbeitern zu erfassen und zu dokumentieren? Gilt das nur für den Betriebsstandort oder auch für die Freizeit? Gilt das für Mitarbeiter, die im Homeoffice sind?
§ Ad Vereine: Gilt das für Vereinsbezogene Treffen? Gilt das für alle Vereinsmitglieder, auch wenn sie nicht in persönlichen Kontakt treten?
§ Kommt diese Bestimmung im Begutachtungsentwurf doch nur zur Anwendung, wenn es um Veranstaltungen und dergleichen geht? Darauf könnte die Mitaufnahme von „Veranstaltern“ hindeuten.
§ Interessanterweise macht die Formulierung im vorgeschlagenen § 5 Abs 6 eine Art Einschränkung, indem sie auf eine Einwilligung der Betroffenen verweist bzw. andeutet, dass die Verpflichtung nur dann gilt, wenn eine Einwilligung vorliegt. Damit wäre als Rechtsgrundlage auch Artikel 6 Abs 1 lit a ins Spiel gebracht. Eine Einwilligung muss freiwillig gegeben werden können und sie kann vor Allem jederzeit widerrufen werden.
§ Angenommen, ein Verantwortlicher führt ausführliche Dokumentationen für Mitarbeiter, die sogar eingewilligt haben, es stellen sich folgende Fragen:
§ Ist so eine Einwilligung freiwillig? Das ist nach der gängigen Rechtsprechung zum Beschäftigungskontext wohl eher zu verneinen.
§ Selbst wenn eine Freiwilligkeit angenommen werden könnte, stellt sich die Frage, was bei einem Widerruf passieren soll. Muss der Verantwortliche dann alles löschen, was die widerrufende Person betrifft? Wie kann dann der offensichtliche Zweck dieser gesetzlichen Bestimmung erfüllt werden?
§ Schließlich bleibt spannen, wie die beiden genannten Rechtsgrundlagen miteinander korrelieren. Nach der Formulierung, braucht es irgendwie beides. Oder doch nicht? Soll eine die Datenverarbeitung auffangen, falls die andere doch nicht gilt?

Auch ein Blick in die Erläuterungen des Begutachtungsentwurfs hilft nicht weiter, vielmehr verstärken diese die beschriebene Unsicherheit und Komplexität noch, wenn es dort heißt:

“Zu Z 4 (§ 5 Abs. 6):
Hier soll eine ausdrückliche gesetzliche Grundlage dafür geschaffen werden, dass Betriebe, Veranstalter und Vereine verpflichtet sind, Kontaktdaten, in deren Verarbeitung ausdrücklich eingewilligt wurde, von Gästen, Besuchern, Kunden und Mitarbeitern zu verarbeiten und diese im Anlassfall bei einer Umgebungsuntersuchung der Gesundheitsbehörde zur Verfügung zu stellen. Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Kontaktdaten ist die ausdrückliche Einwilligung. In diesem Zusammenhang ist klarzustellen, dass Betriebe, Veranstalter und Vereine nicht den Eintritt oder die Dienstleistung verweigern dürfen, weil die Einwilligung in die Datenverarbeitung abgelehnt wird.”

Das Ziel des vorgeschlagenen Paragrafen sollte wohl sein, den Gesundheitsbehörden bei einem notwendigen Contact Tracing die erforderlichen Daten schnell zur Verfügung stellen zu können. Im Hinblick auf die Beschäftigungssachverhalte müssten jedoch zumindest das Arbeitsverfassungsrecht und auch das Arbeitsschutzrecht relevant sein. Eventuell ließe sich in Verbindung mit diesen Rechtsnormen tatsächlich eine gesetzliche Verpflichtung für Arbeitgeber ableiten. In jeden Fall müssten die von der DSGVO geforderten Datensicherheitsmaßnahmen inklusive Zugriffsrechte und auch die Rolle eines Betriebsrates geklärt sein.

Diese Fragen machen deutlich, dass diese Bestimmung keineswegs ausgereift und den von der DSGVO genannten Voraussetzungen einer gesetzlichen Bestimmung, die die Privatsphäre durch Verarbeitung von personenbezogenen Daten betrifft, erfüllt. Dies macht EG 41 der DSGVO deutlich, wenn er an solche gesetzlichen Grundlagen folgende Bedingungen stellt, Demnach müssen sie klar und präzise und ihre Anwendung für die Rechtsunterworfenen gemäß der Rechtsprechung des EUG und des EGMR vorhersehbar sein. Die oben genannte Bestimmung ist nicht klar, präzise ist sie auch nicht (ist jetzt rechtliche Verpflichtung oder Einwilligung die Rechtsgrundlage?) und wohl auch nicht vorhersehbar (wann gilt sie denn jetzt wirklich?).

Mit freundlichen Grüßen

Verein österreichischer betrieblicher und behördlicher
Datenschutzbeauftragter – Privacyofficers.at

Buch: “Der Datenschutzbeauftragte”

Im Dezember erschien das von unserem Vereinsmitglied Dr. Heidi Scheichenbauer herausgegebene Buch “Der Datenschutzbeauftragte“.

Das Buch enthält das gebündelte Wissen einer Vielzahl von Datenschutzbeauftragten und anderer Experten zu Fragen rund um die Tätigkeit und die Rolle interner oder externer Datenschutzbeauftragter in Unternehmen, Vereinen und öffentlichen Stellen.

Viele der Autorinnen und Autoren sind Mitglieder von Privacyofficers.at!

Privacyofficers auf der PriSec 2019

Einige unserer Vereinsmitglieder waren auf der diesjährigen PriSec von Business Circle eingeladen vorzutragen oder mitzudiskutieren.

Am ersten Konferenztag diskutierte Michael Mrak im Rahmen einer Podiumsdiskussion über Information Security & Datenschutz im Unternehmen. Natalie Ségur-Cabanac beschrieb die datenschutzkonforme Handhabung von unstrukturierten Daten wie E-Mails, Excel files und Co bei Drei.

Barbara Wagner berichtete über Auskunftspflicht, Löschrechte und Datenporatbilität sowie ihre Erfahrungen mit Datenschutzprojekten bei der Bawag.

Am zweiten Konferenztag beschrieb Renate Grabinger Konzepte und Tools für die Schulung und Sensibilisierung von Mitarbeitern beim ÖAMTC.

Gruppenfoto aller anwesenden Vereinsmitglieder

Alles in allem war die diesjährige PriSec ein runder Event der auch einen Blick über den Tellerrand der eigenen beruflichen Tätigkeit im Bereich Datenschutz erlaubte.

dsv.li – Datenschutzverein in Liechtenstein gegründet

Es gibt sehr erfreuliche Neuigkeiten aus Liechtenstein:

Unter dem Namen dsv.li – Datenschutzverein in Liechtenstein wurde am 03. April 2019 ein “Schwester-Verein” von Privacyofficers.at gegründet, dessen vorrangiges Ziel (auch) die Schaffung eines aktiven Netzwerkes für Datenschutzbeauftragte und mit dem Thema Betraute in Liechtenstein ist.

Wir gratulieren herzlich und freuen uns auf eine (weiterhin) exzellente Zusammenarbeit!

EuGH: Entscheidung zu Videoaufnahmen in Polizeidienststelle

Im Fall C-345/17 hat der EuGH am 14.2.2019 folgendermaßen entschieden.

Die Videoaufzeichnung von Polizeibeamten in einer Polizeidienststelle während der Arbeit und die Veröffentlichung des Videos zB auf YouTube fällt in den Anwendungsbereich der DSRL (und damit wohl auch der DSGVO).

Der Sachverhalt: Eine Privatperson filmte in einer Polizeidienststelle in Lettland seine eigene Aussage im Rahmen eines Verfahrens gegen ihn und stellte diese Videoaufnahme, das Polizeibeamte und deren Tätigkeit in der Polizeidienststelle zeigte, auf der Website www.youtube.com. Auf YouTube hat jeder Nutzer die Möglichkeit, diese Videos online zu stellen, anzuschauen, zu beurteilen und/oder zu teilen.

Die Entscheidung des EuGH

  1. Es liegt keine Ausnahme vor; es handelt sich nicht um eine ausschließlich persönliche oder familiäre Tätigkeit, da das Video den persönlichen Bereich des Verantwortlichen durch die Veröffentlichung in YouTube „verlassen“ hat. Damit ist die Datenschutzrichtlinie (und auch die DSGVO seit 25.05.2018) auf den Sachverhalt anwendbar.
  2. Der Verantwortliche hatte auch argumentiert, dass es sich nicht um personenbezogene Daten handelt. Der EuGH hat dazu ausgeführt, dass auch Daten, die im Rahmen der beruflichen Tätigkeit anfallen als personenbezogene Daten anzusehen sind: Aus der Rechtsprechung des Gerichtshofs geht ferner hervor, dass Informationen nicht deshalb nicht als „personenbezogene Daten“ einzustufen sind, weil sie im Kontext einer beruflichen Tätigkeit stehen.
  3. Videoaufnahmen von Polizeibeamten während ihrer beruflichen Tätigkeit fallen daher in den Anwendungsbereich der DSRL, und damit auch in die DSGVO, wenn diese nicht ausschließlich zu familiären oder persönlichen Zwecken angefertigt werden.
  4. Derartige Videoaufnahmen und die Veröffentlichung auf einer Plattform können „Bürgerjournalismus“ darstellen, und damit in das Medienprivileg fallen.

Link zur Entscheidung

ICO: Data protection if there’s no Brexit deal

Einen Kurzüberblick findet man beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in deutscher Sprache, wo auch auf wertvolle Tools der britischen Datenschutzbehörde ICO verlinkt wird.

Update 18.02.2018: EDPB Information note on data transfers under the GDPR in the event of a no-deal Brexit

Dt. Bundeskartellamt legt Facebook weitreichende Beschränkungen bei der Verarbeitung von Nutzerdaten auf

Das deutsche Bundeskartellamt hat Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen untersagt.

Zur Pressemitteilung

Hintergrundpapier

Hintergrundbeitrag bei Telemedicus

Checkliste zur Umsetzung der DSGVO

Bereits vor einigen Monaten haben wir eine kostenlose Checkliste zur Umsetzung der DSGVO veröffentlicht. Wir empfehlen allen “Nachzüglern” einen Blick darauf zu werfen und zu überprüfen wo man bei der eigenen Umsetzung der DSGVO steht.

Facebook verstößt gegen deutsches Datenschutzrecht

Facebook verstößt mit seinen Voreinstellungen und Teilen der Nutzungs- und Datenschutzbedingungen gegen geltendes Verbraucherrecht. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Die Einwilligungen zur Datennutzung, die sich das Unternehmen einholt, sind nach dem Urteil teilweise unwirksam. Zur vollen Story des Bundesverbands der Verbraucherzentralen und Verbraucherverbände Deutschland.

Veranstaltungshinweis: „und Ihre Blutzuckerkurve kennen wir auch… Datenschutz im Ambient Assisted Living“

Die Wissenschaftliche Interessensgemeinschaft IT-LAW.AT, der Universitätslehrgang für Informations- und Medienrecht und der Universitätslehrgangs Gerontologie und soziale Innovation veranstalten eine Podiumsdiskussion zum aktuellen Thema „und Ihre Blutzuckerkurve kennen wir auch… Datenschutz im Ambient Assisted Living“. Neue technische Möglichkeiten helfen den Menschen, bis ins hohe Alter Ihren Alltag besser bewältigen zu können. Ob und wie die dabei anfallenden Daten verwendet werden und verwendet werden dürfen, ist Gegenstand dieser interdisziplinären Veranstaltung, die von den Universitätslehrgängen “Gerontologie und soziale Innovation” und “Informations- und Medienrecht” getragen wird. Die Veranstaltung findet am Mittwoch, 13. September 2017 ab 19 Uhr im Dachgeschoß des Juridicums (Rechtswissenschaftliche Fakultät der Universität Wien, 1010 Wien, Schottenbastei 10-16) statt.

 Vortragende: Werner Bernreiter, MA (SeneCura), Mag. Marianne Hengstberger, MA (AAL Austria), Mag. Markus Kastelitz, LL.M. (Research Institute), MR MMag. Dr. Waltraut Kotschy (DPCC – Unternehmensberatung), Dr. Sigrid Pilz (Wiener Pflege-, Patientinnen- und Patientenanwaltschaft)

Die Veranstaltung ist kostenfrei und öffentlich zugänglich. Um Anmeldung über die Webmaske http://www.postgraduatecenter.at/weiterbildungsprogramme/bildung-soziales/gerontologie-und-soziale-innovation/aktuelles/Anmeldung_Datenschutz_AAL/ wird gebeten.

BRD: Vermischtes zur DSGVO

Österreich: Nationalrat verabschiedet Datenschutz-Anpassungsgesetz 2018

Der Nationalrat hat heute, 29.06.2017, das “Datenschutz-Anpassungsgesetz 2018” beschlossen, mit dem die österreichische Rechtslage an die Datenschutz-Grundverordnung (in Geltung ab 25.5.2018) angepasst wird. Bisher erteilte Einwilligungen zu Datenverarbeitungen bleiben gemäß einem heute eingebrachten und bei der Abstimmung mitberücksichtigten S-V-Abänderungsantrag aufrecht, sofern sie den Vorgaben der Datenschutz-Grundverordnung entsprechen. Näheres ist auch hier nachzulesen.

Privacyofficers.at gibt Stellungnahme zum Datenschutz-AnpassungsG 2018 ab

Unsere Stellungnahme zum Entwurf eines Datenschutz-Anpassungsgesetzes 2018 ist in Kürze auf der Website des Parlaments unter diesem Link verfügbar. Danke an alle Mitglieder, die dazu beigetragen haben!

Österreich: Gerüchte über das DSGVO-Anpassungsgesetz

Ein Cross-post von meinem Blog: Es schwirren derzeit einige Gerüchte über das künftige österreichische “DSGVO-Anpassungsgesetz” herum, die ich hier kurz festhalten will (Disclaimer: Es liegt in der Natur von Gerüchten, dass diese “fake news” sein können – also Achtung):

  • FAKTUM: Österreich hat als einziger EU-Mitgliedsstaat gegen die DSGVO gestimmt (pdf). Es folgen die Gerüchte …
  • Eine Absenkung des Schutzniveaus (siehe zum deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU hier und aktuell auch hier sowie hier) ist wohl nicht zu erwarten (über bereits in der DSGVO vorgesehene “Flexibilisierungen” hinaus).
  • Die LegistInnen im BKA (in Österreich die Abkürzung für das zuständige Bundeskanzleramt) haben einen internen Entwurf, der nur “das Notwendigste” regelt, fertiggestellt; dieser ist nicht veröffentlicht und liegt dem Koalitionspartner zur internen Stellungnahme und Abklärung vor.
  • Es wird koalitionsintern u.a. über das darin vorgesehene datenschutzrechtliche “Verbandsklagerecht” heiß diskutiert, ebenso über die Höhe von Verwaltungsstrafen (siehe u.a. Art 83 Abs 7 DSGVO) und die Umsetzung der JI-RL (EU) 2016/680.
  • Vom Anwendungsbereich sind nur mehr natürliche Personen umfasst (bislang sind in Ö auch juristische Personen [und Personengemeinschaften] als “Betroffene” umfasst).
  • Geldbußen können auch gegen eine juristische Person als strafbare Person verhängt werden (“Verbandsverantwortlichkeit”; vgl. das Kartellrecht) – dies soll Geschäftsführer bzw. Vorstandsmitglieder davor schützen, nach Verhängung einer “saftigen” Geldbuße Privatinsolvenz beantragen zu müssen …
  • Last but not least: Angeblich soll erst im Herbst 2017 eine Regierungsvorlage veröffentlicht werden (wobei BM Drozda Anderslautendes angekündigt hat: “ein Entwurf für ein neues österreichisches Datenschutzgesetz bereits [liege vor], dieses mit dem Koalitionspartner abgestimmt werde und voraussichtlich noch im ersten Halbjahr 2017 beschlossen werden könne”)  – es bliebe dann wenig Zeit, bereits laufende Umsetzungsprojekte an etwaige “Austriaca” anzupassen …
  • Update 1: Ich habe gerade gehört, dass es eventuell doch schneller gehen könnte und die Begutachtung demnächst starten soll – eine parlamentarische Beschlussfassung vor dem Herbst ist aber unwahrscheinlich.
  • Anmerkung zum DSB: Alle die von einer Überwälzung auf den künftig gem. Art 37 Abs 1 lit a-c DSGVO verpflichtend zu bestellenden Datenschutzbeauftragten als verantwortlichen Beauftragten (§ 9 VStG) “geträumt” haben, sollten sich Folgendes überlegen: Der DSB darf bei Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten (Art 38 Abs 3 DSGVO; “Weisungsfreiheit”). Ob man im Unternehmen einen rechtlich weisungsfrei gestellten DSB mit einer Anordnungsbefugnis gem. § 9 Abs 4 VStG haben möchte, sollte man sich gut überlegen, zudem mit der Solidarhaftung gem. § 9 Abs 7 VStG. Dagegen spricht auch, dass der Verantwortliche verantwortlich ist (Art 5 Abs 2 DSGVO) und Art 39 DSGVO die Aufgaben des DSB mehr in der Beratung sieht als in jener des”Haftungsprellbocks”. Lesenswert zur Frage, wer eine Strafe zur tragen hat, hier von RA Dr. Schweiger.

11. Europäischer Datenschutztag mit Beteiligung von Privacyofficers.at (Rückblick)

Anlässlich des 11. Europäischen Datenschutztages fand am 23. Februar 2017 im Bundeskanzleramt eine gemeinsame Veranstaltung von Datenschutzbehörde und Datenschutzrat unter dem Titel “Das neue Datenschutzrecht in der Europäischen Union” statt. Zu den Vortragenden zählte auch Judith Leschanz von Privacyofficers.at, die Vortragsfolien (darunter auch jene von Dr. Matthias Schmidl, stellvertretender Leiter der Datenschutzbehörde) sind hier (Bundeskanzleramt) abrufbar. Ein Bericht der Wiener Zeitung über den Datenschutztag ist hier verfügbar.

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress