Kategorie: DSGVO

 

Privacyofficers.at gibt Stellungnahme zur geplanten Novelle des EpidemieG 1950 ab

Nachfolgende Stellungnahme wurde an das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt.

Sehr geehrte Damen und Herren,

wir vertreten den Verein Privacyofficers.at, Österreichs größtem Dachverband von Datenschutzbeauftragten und Datenschutzexperten (www.privacyofficers.at).

Die geplante Novelle des Epidemiegesetzes beinhaltet in § 5 Abs 6 eine datenschutzrechtliche Regelung, die nicht nur Betroffene selbst betrifft, sondern auch unsere Mitglieder, die eine solche Regelung in den Organisationen, in denen sie tätig sind, umsetzen und begleiten müssten.

Bei der Lektüre des vorgeschlagenen § 5 Abs 6 Epidemiegesetzes stellen sich einige, nicht lösbare Fragen, die wir Ihnen gerne übermitteln, mit der Bitte, den Text einer tiefergehenden datenschutzrechtlichen Überprüfung zu unterziehen und entsprechend anzupassen.

Unter anderem soll laut Begutachtungsentwurf ein neuer §5 Abs 6 Epidemiegesetz eingeführt werden, der lautet:

(6) Betriebe, Veranstalter und Vereine sind – unbeschadet nach anderen Rechtsgrundlagen bestehenden Erhebungs- und Aufbewahrungspflichten – verpflichtet, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern, in deren Verarbeitung ausdrücklich eingewilligt wurde, zum Zweck der Mitwirkungspflicht im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen für die Dauer von 28 Tagen aufzubewahren. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Betriebe, Veranstalter und Vereine haben geeignete Datensicherheitsmaßnahmen zu ergreifen.

Als Datenschutzbeauftragte (r) eines Unternehmens ist man nun ratlos, wie man diese Bestimmung datenschutzrechtlich einordnen bzw. DSGVO konform auslegen und umsetzen soll.

Jede Datenverarbeitung benötigt eine rechtliche Grundlage, dafür gibt Artikel 6 DSGVO eine taxative Liste von möglichen Rechtsgrundlagen vor. Es handelt sich um die oben genannte Bestimmung um eine gesetzliche Regelung, so könnte Artikel 6 Abs 1 lit c DSGVO („die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“) relevant sein.

Folgende Fragen tun sich dabei jedoch auf:

§ Abgesehen davon, dass die Vermengung mit der Einwilligung (dazu gleich) schon irreführen ist, stellt sich schon die Frage, welcher Verantwortliche fällt denn unter welchen Bedingungen darunter?
§ Ad Betriebe: Gilt das in jedem Fall, wenn es um ihre Beziehung zu Mitarbeitern geht? Betrifft das den normalen Arbeitsalltag oder nur besondere Anlässe wie Veranstaltungen, größere Treffen, wo eine Nachvollziehbarkeit von Kontakten schwierig ist? Ist das eine gesetzliche Aufforderung lückenlos die Anwesenheiten, Bewegungsprofile, Treffen, Kontaktpersonen von Mitarbeitern zu erfassen und zu dokumentieren? Gilt das nur für den Betriebsstandort oder auch für die Freizeit? Gilt das für Mitarbeiter, die im Homeoffice sind?
§ Ad Vereine: Gilt das für Vereinsbezogene Treffen? Gilt das für alle Vereinsmitglieder, auch wenn sie nicht in persönlichen Kontakt treten?
§ Kommt diese Bestimmung im Begutachtungsentwurf doch nur zur Anwendung, wenn es um Veranstaltungen und dergleichen geht? Darauf könnte die Mitaufnahme von „Veranstaltern“ hindeuten.
§ Interessanterweise macht die Formulierung im vorgeschlagenen § 5 Abs 6 eine Art Einschränkung, indem sie auf eine Einwilligung der Betroffenen verweist bzw. andeutet, dass die Verpflichtung nur dann gilt, wenn eine Einwilligung vorliegt. Damit wäre als Rechtsgrundlage auch Artikel 6 Abs 1 lit a ins Spiel gebracht. Eine Einwilligung muss freiwillig gegeben werden können und sie kann vor Allem jederzeit widerrufen werden.
§ Angenommen, ein Verantwortlicher führt ausführliche Dokumentationen für Mitarbeiter, die sogar eingewilligt haben, es stellen sich folgende Fragen:
§ Ist so eine Einwilligung freiwillig? Das ist nach der gängigen Rechtsprechung zum Beschäftigungskontext wohl eher zu verneinen.
§ Selbst wenn eine Freiwilligkeit angenommen werden könnte, stellt sich die Frage, was bei einem Widerruf passieren soll. Muss der Verantwortliche dann alles löschen, was die widerrufende Person betrifft? Wie kann dann der offensichtliche Zweck dieser gesetzlichen Bestimmung erfüllt werden?
§ Schließlich bleibt spannen, wie die beiden genannten Rechtsgrundlagen miteinander korrelieren. Nach der Formulierung, braucht es irgendwie beides. Oder doch nicht? Soll eine die Datenverarbeitung auffangen, falls die andere doch nicht gilt?

Auch ein Blick in die Erläuterungen des Begutachtungsentwurfs hilft nicht weiter, vielmehr verstärken diese die beschriebene Unsicherheit und Komplexität noch, wenn es dort heißt:

“Zu Z 4 (§ 5 Abs. 6):
Hier soll eine ausdrückliche gesetzliche Grundlage dafür geschaffen werden, dass Betriebe, Veranstalter und Vereine verpflichtet sind, Kontaktdaten, in deren Verarbeitung ausdrücklich eingewilligt wurde, von Gästen, Besuchern, Kunden und Mitarbeitern zu verarbeiten und diese im Anlassfall bei einer Umgebungsuntersuchung der Gesundheitsbehörde zur Verfügung zu stellen. Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Kontaktdaten ist die ausdrückliche Einwilligung. In diesem Zusammenhang ist klarzustellen, dass Betriebe, Veranstalter und Vereine nicht den Eintritt oder die Dienstleistung verweigern dürfen, weil die Einwilligung in die Datenverarbeitung abgelehnt wird.”

Das Ziel des vorgeschlagenen Paragrafen sollte wohl sein, den Gesundheitsbehörden bei einem notwendigen Contact Tracing die erforderlichen Daten schnell zur Verfügung stellen zu können. Im Hinblick auf die Beschäftigungssachverhalte müssten jedoch zumindest das Arbeitsverfassungsrecht und auch das Arbeitsschutzrecht relevant sein. Eventuell ließe sich in Verbindung mit diesen Rechtsnormen tatsächlich eine gesetzliche Verpflichtung für Arbeitgeber ableiten. In jeden Fall müssten die von der DSGVO geforderten Datensicherheitsmaßnahmen inklusive Zugriffsrechte und auch die Rolle eines Betriebsrates geklärt sein.

Diese Fragen machen deutlich, dass diese Bestimmung keineswegs ausgereift und den von der DSGVO genannten Voraussetzungen einer gesetzlichen Bestimmung, die die Privatsphäre durch Verarbeitung von personenbezogenen Daten betrifft, erfüllt. Dies macht EG 41 der DSGVO deutlich, wenn er an solche gesetzlichen Grundlagen folgende Bedingungen stellt, Demnach müssen sie klar und präzise und ihre Anwendung für die Rechtsunterworfenen gemäß der Rechtsprechung des EUG und des EGMR vorhersehbar sein. Die oben genannte Bestimmung ist nicht klar, präzise ist sie auch nicht (ist jetzt rechtliche Verpflichtung oder Einwilligung die Rechtsgrundlage?) und wohl auch nicht vorhersehbar (wann gilt sie denn jetzt wirklich?).

Mit freundlichen Grüßen

Verein österreichischer betrieblicher und behördlicher
Datenschutzbeauftragter – Privacyofficers.at

DSGVO Bußgeld Datenbank

Neben dem bereits seit einiger Zeit etablierten Enforcementtracker steht seit einiger Zeit über diese Website eine weitere übersichtliche Auflistung aller durch Datenschutzbehörden verhängten Sanktionen zur Verfügung.

Daneben findet sich noch eine große Anzahl von aktuellen Informationen über laufende und abgeschlossene Verfahren auf der NOYB betriebenen Informationsseite GDPRHub. Während die beiden oben genannten Websites primär die veröffentlichten Strafen auflisten gibt es bei der in Österreich gehorteten Site GDPRHub noch weitergehende Informationen und Verweise.

Buch: “Der Datenschutzbeauftragte”

Im Dezember erschien das von unserem Vereinsmitglied Dr. Heidi Scheichenbauer herausgegebene Buch “Der Datenschutzbeauftragte“.

Das Buch enthält das gebündelte Wissen einer Vielzahl von Datenschutzbeauftragten und anderer Experten zu Fragen rund um die Tätigkeit und die Rolle interner oder externer Datenschutzbeauftragter in Unternehmen, Vereinen und öffentlichen Stellen.

Viele der Autorinnen und Autoren sind Mitglieder von Privacyofficers.at!

Privacyofficers auf der PriSec 2019

Einige unserer Vereinsmitglieder waren auf der diesjährigen PriSec von Business Circle eingeladen vorzutragen oder mitzudiskutieren.

Am ersten Konferenztag diskutierte Michael Mrak im Rahmen einer Podiumsdiskussion über Information Security & Datenschutz im Unternehmen. Natalie Ségur-Cabanac beschrieb die datenschutzkonforme Handhabung von unstrukturierten Daten wie E-Mails, Excel files und Co bei Drei.

Barbara Wagner berichtete über Auskunftspflicht, Löschrechte und Datenporatbilität sowie ihre Erfahrungen mit Datenschutzprojekten bei der Bawag.

Am zweiten Konferenztag beschrieb Renate Grabinger Konzepte und Tools für die Schulung und Sensibilisierung von Mitarbeitern beim ÖAMTC.

Gruppenfoto aller anwesenden Vereinsmitglieder

Alles in allem war die diesjährige PriSec ein runder Event der auch einen Blick über den Tellerrand der eigenen beruflichen Tätigkeit im Bereich Datenschutz erlaubte.

The Data Protection Officer Handbook by Douwe Korff, Marie Georges

From the abstract: This Handbook was prepared for and is used in the EU‐funded “T4DATA” training‐of-trainers programme. […] Although produced for the T4DATA programme that focusses on DPOs in the
public sector, it is hoped that the Handbook will be useful also to
anyone else interested in the application of the GDPR, including DPOs in
the private sector. It is made publicly available under a “Creative
Commons” (CC) License.

Europ. Kommission: Bericht über die Auswirkungen der neuen EU-Datenschutzvorschriften

Aus der Pressemitteilung:

Knapp ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung hat
die Europäische Kommission heute einen Bericht veröffentlicht, in dem
sie die Auswirkungen der EU-Datenschutzvorschriften untersucht und darlegt, wie die Umsetzung weiter verbessert werden kann. Aus dem
Bericht geht hervor, dass die meisten Mitgliedstaaten den erforderlichen
Rechtsrahmen eingerichtet haben und das neue System zur Stärkung der Datenschutzvorschriften greift. Die Unternehmen entwickeln eine Kultur der Rechtstreue, während die Bürgerinnen und Bürger sich ihrer stärker Rechte bewusst werden. Gleichzeitig geht auf internationaler Ebene die Entwicklung weiter hin zu höheren Datenschutzstandards:

http://europa.eu/rapid/press-release_IP-19-4449_de.htm

Siehe den Bericht hier (pdf).

Report of the Multistakeholder Expert Group on the GDPR application

The EU Commission has published a Report (pdf) by the Multistakeholder Expert Group dated 13 June 2019 entitled “CONTRIBUTION FROM THE MULTISTAKEHOLDER EXPERT GROUP TO THE STOCK-TAKING EXERCISE OF JUNE 2019 ON ONE YEAR OF GDPR APPLICATION”. The report contains feedback on the experience and/or the experience of the members of said Expert Group on the following aspects: the exercise of data subjects’ rights; consent; complaints and legal actions; use of representative actions under Article 80 GDPR; experience with Data Protection Authorities (DPAs) and the one-stop-shop mechanism (OSS); experience with accountability and the risk-based approach; Data Protection Officers (DPOs); controller/ processor relationship; the adaptation/further development of Standard Contractual Clauses (SCCs) for international transfers; and experience with the national legislation implementing the GDPR.

The Multistakeholder Expert Group to support the application of Regulation (EU) 2016/679 has been established in 2017 to assist the Commission in identifying the potential challenges in the application of the General Data Protection Regulation (GDPR) from the perspective of different stakeholders, and to advise the Commission on how to address them. The report of the Multistakeholder Expert Group does not reflect the opinion of the Commission nor one of its Services.

Handbuch zum europäischen Datenschutzrecht

Das (kostenfrei verfügbare) Handbuch wurde von der Agentur der Europäischen Union für Grundrechte (FRA) in Zusammenarbeit mit dem Europarat (gemeinsam mit der Kanzlei des Europäischen Gerichtshofs für Menschenrechte) und dem Europäischen Datenschutzbeauftragten erarbeitet und ist seit Kurzem auch in der deutschen Sprachfassung (pdf) erhältlich.

Ein Jahr Datenschutz-Grundverordnung

Im Folgenden eine kleine Link-Zusammenstellung zu einem Jahr DSGVO, auch Privacyofficers hat bei einer Vereinsveranstaltung am 24.5.2019 einen Rück- und Ausblick vorgenommen, dazu später mehr.

EDPB: https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en

Eurostat: http://ec.europa.eu/commfrontoffice/publicopinionmobile/index.cfm/Survey/getSurveyDetail/surveyKy/2222

IAPP: https://iapp.org/resources/article/gdpr-at-one-year-dpas/

Netzpolitik: https://netzpolitik.org/2019/ein-jahr-datenschutzgrundverordnung-zwoelf-monate-zwoelf-meinungen/

BvD: https://www.bvdnet.de/datenschutzbeauftragte-und-aufsichtsbehoerden-stemmen-dsgvo/

Commission Expert Group: GDPR implemention in the Member States as of April 2019

Für einen guten Überblick über die nationale Anpassungsgesetzgebung an die DSGVO siehe hier (pdf), für die JI-Richtlinie hier(pdf).

EDPB: Report on the Implementation of the GDPR with a special focus on the role and the means of the DPAs

Implementation of the GDPR with a special focus on the role and the means of the DPAs: Written report to LIBE – First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities

EDPB: EU-U.S. Privacy Shield – 2nd Annual Joint Review report

“Based on the concerns elaborated in the previous opinions of the WP29, in particular opinion 1/2016, and in its report following the first joint review, the EDPB focused on the assessment of both the commercial aspects of the Privacy Shield and on the government access to personal data transferred from the EU for the purposes of Law Enforcement and National Security, including the legal remedies available to EU citizens, the EDPB assessed once again whether these concerns have been addressed and also whether the safeguards provided under the EU-U.S. Privacy Shield are workable and effective.”
The report is available here.

DSGVO in Zahlen

Die EU-Kommission hat hier (pdf) eine Infografik “GDPR in numbers” veröffentlicht.

Aktuelle Zahlen der österreichischen Datenschutzbehörde

Verfahrensanfall bei der Datenschutzbehörde:

  • aktuell 721 Beschwerden anhängig (Stand: 11.09.2018)
  • 252 Meldungen eines „data breach“
  • 58 amtswegige Prüfverfahren
  • 1 Konsultationsverfahren nach Art 36 DSGVO (DSFA) zu Dashcams in Autos (von der DSB per rechtskräftigem Bescheid untersagt)
  • 4 Anträge auf Genehmigung von Verhaltensregeln (Art 40 f DSGVO; Code of Conducts): die DSB hatte sich nach eigener Aussage eine größere Anzahl an Anträgen erwartet und sieht darin weiterhin einen Mehrwert für Branchenverbände
  • 115 Verwaltungsstrafverfahren (davon 79 von den BHs und Magistraten per 25.5.2018 übernommen)

Quelle: Dr. Schmidl (stv. Leiter der DSB) bei der OCG-Veranstaltung am 11.9.2018, einen Kurzbericht findet man hier.

Checkliste zur Umsetzung der DSGVO

Bereits vor einigen Monaten haben wir eine kostenlose Checkliste zur Umsetzung der DSGVO veröffentlicht. Wir empfehlen allen “Nachzüglern” einen Blick darauf zu werfen und zu überprüfen wo man bei der eigenen Umsetzung der DSGVO steht.

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress