Archive for the DSGVO category

Michael Mrak

Filmtipp: Democracy – Im Rausch der Daten

DSGVO, Gesellschaft, Privacy
Filmtipp: Democracy – Im Rausch der Daten

Der Dokumentarfilm “Democracy – Im Rausch der Daten” begleitet die Entstehung der Datenschutz-Grundverordnung der Europäischen Union. Der Film begleitet dabei den Abgeordneten des Europäischen Parlaments Jan Philipp Albrecht und die damalige Vizepräsidentin der Europäischen Kommission und Kommissarin für Justiz, Grundrechte und Bürgerschaft Viviane Reding, die sich um die Umsetzung stärkeren Datenschutzes zur informationellen Selbstbestimmung bemühen.

Die Dokumentation kann unter anderem hier gekauft bzw. als Stream gesehen werden:

YouTube Leihfilm

Apple iTunes Leihfilm

Apple iTunes Kauffilm

Amazon Video als Leihfilm oder als DVD

 

 

Markus Kastelitz

11. Europäischer Datenschutztag mit Beteiligung von Privacyofficers.at (Rückblick)

Datenschutz, Datenschutzbehörde, Datenschutztag, DSGVO

Anlässlich des 11. Europäischen Datenschutztages fand am 23. Februar 2017 im Bundeskanzleramt eine gemeinsame Veranstaltung von Datenschutzbehörde und Datenschutzrat unter dem Titel “Das neue Datenschutzrecht in der Europäischen Union” statt. Zu den Vortragenden zählte auch Judith Leschanz von Privacyofficers.at, die Vortragsfolien (darunter auch jene von Dr. Matthias Schmidl, stellvertretender Leiter der Datenschutzbehörde) sind hier (Bundeskanzleramt) abrufbar. Ein Bericht der Wiener Zeitung über den Datenschutztag ist hier verfügbar.

Michael Mrak

Data protection becomes a mainstream topic of business conversation

Art. 29 WP, DSGVO, Header
Data protection becomes a mainstream topic of business conversation

Microsoft has introduced an expanded settings menu in Windows 10 that gives users installing the software more information on data privacy. However, the EU’s Article 29 Working Party wonders if the changes include enough disclosures to customers. The WP29 has asked for more explanation of Microsoft’s processing strategy of personal data for various purposes, including advertising.

Less than 15 months left before the new GDPR comes into force, Microsoft also announced this week its promise to be compliant with the GDPR across all cloud services by the May 2018 deadline. Brendon Lynch stated that Microsoft is committed to principles of cloud trust, privacy, transparency and compliance. He also added that, while Microsoft is committed to “helping you successfully comply with the GDPR, it is important to recognize that compliance is a shared responsibility.” Lynch also acknowledged that the regulation’s new requirements will include greater access and deletion rules, clear risk assessment and data breach notification procedures, as well as data protection officer roles for many organizations.

Source: IAPP News

Michael Punz

Erstes Vereinsseminar von PrivacyOfficers.at zum Thema “Umsetzungsprojekte zur EU-DSGVO” war ein voller Erfolg

DSGVO, Umsetzungsprojekt
Erstes Vereinsseminar von PrivacyOfficers.at zum Thema “Umsetzungsprojekte zur EU-DSGVO” war ein voller Erfolg

Am Abend des 1. Februar 2017 fand das erste Vereinsseminar von PrivacyOfficers.at statt. Dabei stellte ein aktives Mitglied von PrivacyOfficers.at den derzeitigen Stand des “Umsetzungsprojektes zur EU-DSGVO” vor. Durch die angeregte Diskussion und die vielen Inputs der anderen Mitglieder konnte jeder der Teilnehmer wertvolle Anregungen für das eigene Unternehmen bzw. für die eigene Organisation mitnehmen.

Im Seminar wurde vom Vortragenden eindrucksvoll gezeigt, wie ein effizientes System – sowohl auf organisatorischer als auch auf technischer Ebene – aufgebaut wurde, mit dem die zukünftigen Bestimmungen der EU-DSGVO praxistauglich adressiert werden können.

Das nächste Vereinsseminar findet im Mai (ebenfalls in Wien) zum Thema “Datensicherheit in der Praxis – Stand der Technik” statt. Alle Mitglieder von PrivacyOfficers.at sind herzlich dazu eingeladen. Details zum nächsten Vereinsseminar folgen per Mail in den nächsten Tagen.

Markus Kastelitz

Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Art. 29 WP, Datenschutzbeauftragter, DSGVO, Header
Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe hat im Dezember 2016 u.a. “Guidelines on Data Protection Officers (‘DPOs’)” veröffentlicht, die (bis Ende Jänner 2017) kommentiert werden können. Privacyofficers.at hat diese Möglichkeit genutzt und folgende Stellungnahme abgegeben:

In general, Privacyofficers.at welcomes the approach of the WP29 to further illustrate the GDPR and create a benefit for the addressees in the practical adoption of its provisions. Nevertheless, we would like to draw your attention to three issues which we find to be debatable in the view of a practical implementation:

1. Section 3.2. of the Guidelines (“Necessary resources”) – last bullet point:
The WP29 clarifies that an external DPO can fulfill the duties of a DPO for a data controller/processor either by a single representative or by a team. We welcome this approach; however, the option of carrying out the tasks of a DPO as a team should also be open to internal DPOs. We are of the opinion that controllers/processors should be free to appoint a single DPO or a team/board with the tasks of a DPO as long as all team members benefit from the provisions of the GDPR regarding dismissal etc. Therefore, we would recommend a clarification of the Guidelines in this regard.

2. Section 3.4. of the Guidelines (“Dismissal or penalty for performing DPO tasks”):
The WP29 argues that the cancellation of a contract with an external DPO shall only be possible and legally enforceable in the case the external DPO is in breach of its duties of being a DPO. This interpretation could be in conflict with the principle of freedom of contract. Each controller should be able to engage an external DPO but also to terminate the assignment of an external DPO in compliance with the relevant contract and applicable law. An external DPO is, in essence, a service provider commissioned to perform the controller´s / processor’s duties. The strict interpretation by the WP29 would lead to a situation where a controller cannot switch from an external DPO to an internal DPO unless the external DPO has failed to fulfill its duties under the GDPR. We are of the opinion that such an interpretation is not in line with the GDPR requirements and the principle of freedom of contract. We would therefore kindly ask for a re-evaluation or clarification of the Guidelines as regards this matter.

3. Section 4.4. of the Guidelines (“The DPO´s role in record-keeping”):
We regard the possibility of assigning the task of a data controller/processor to keep records of processing activities to the DPO, as the WP29 suggests, very critical for four reasons:
a. The DPO should be able to perform its duties and rights in full autonomy and without any interference by the controller / processor. On top of that, other tasks assigned to the DPO shall not lead to any conflicts of interest in executing the task of a DPO. It is foreseeable that a task principally assigned to the data controller, where noncompliance might lead to a fine as imposed by Art. 83, might create conflicts and could endanger the full autonomy of DPOs, for example in case the DPO does not follow instructions given by the data controller regarding the records to “cover-up” data processing not fully in line with the GDPR.

b. Furthermore, the DPO has – from the viewpoint of the tasks assigned by the GDPR- a sole control and advisory function, and is not responsible for the controller’s / processor`s compliance with the GDPR. Should the DPO be mandated to keep the records of all processing activities of the controller, this is in conflict with the nature of these tasks assigned and would very likely lead to a conflict of interests.

c. Also from a practical perspective the assignment of this task causes certain issues: Such a register has to follow specific requirements of IT or other responsible departments within a controller’s organization. It is not ensured that a DPO is receiving complete information of all processing activities within a controller’s business as the DPO is not responsible to have a complete list/register of all processing operations. The DPO has the role of an advisor and supervisor but not that of an “implementer”. This obligation lies with the controller / processor and not with the DPO.

d. Finally, the autonomy of the DPO opens up the possibility to impose fines on the data controller based on the activities of the DPO – while having only very limited influence over the DPO. As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

Markus Kastelitz

BayLDA: Bedingungen für die Einwilligung eines Kindes gemäß Art. 8 DSGVO

DSGVO, Einwilligung/Zustimmung, Kind

In der DS-GVO regelt Art. 8 DS-GVO neu, was genau zu beachten ist, wenn die Verarbeitung personenbezogener Daten von Kindern auf eine Einwilligung gestützt wird. Es wird sich in der Praxis jedoch zeigen müssen, wie häufig die Anwendungsfälle des Art. 8 DS-GVO auftreten werden – und wie die Verfahren dazu in der Praxis dann gestaltet werden. Die Besonderheiten hat das BayLDA in einem weiteren Papier [pdf] zusammengefasst. Quelle: Bayerisches Landesamt für Datenschutzaufsicht

Markus Kastelitz
Markus Kastelitz

European Commission: Draft Regulation on Privacy and Electronic Communications and more

Big Data, Datenschutz, Datentransfers, DSGVO, ePrivacy, Header
European Commission: Draft Regulation on Privacy and Electronic Communications and more
Markus Kastelitz

Debattenbeiträge zur Einwilligung nach der DSGVO veröffentlicht

DSGVO, Einwilligung/Zustimmung

​- Dürager/Kotschy, NEUERUNGEN ZUR ZUSTIMMUNG (EINWILLIGUNG) NACH DER DS-GVO – Debattenbeitrag zur Datenschutz-Grundverordnung 2 (Stand 2.12.2016, pdf)

– Dürager/Kotschy, NEUERUNGEN ZUR ZUSTIMMUNG: BESTEHT NACH DER DS-GVO EIN GENERELLES KOPPELUNGSVERBOT? – Debattenbeitrag  zur Datenschutz-Grundverordnung 3 (Stand 9.1.2017, pdf)

Quelle: BIM

Markus Kastelitz

GDPR: Risk, High Risk, Risk Assessments and Data Protection Impact Assessments

Datenschutz-Folgeabschätzung, DSGVO

Guidance paper on Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR (pdf)

The present guidance paper on risk, high risk and DPIAs has the following objectives:   (1) to identify and analyse the GDPR provisions on risk, high risk, risk assessment and DPIAs; (2) to analyse the practical impacts, challenges and implementation in practice of  these provisions;  and (3) to provide suggestions on how these provisions can be consistently interpreted, implemented and enforced across Europe. […]

Markus Kastelitz

DSGVO: Berichtigung der deutschen Sprachfassung im Amtsblatt veröffentlicht

DSGVO

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, L 314/72 vom 22.11.2016

Markus Kastelitz

Bitkom (BRD): Aktualisierter Leitfaden zur Übermittlung personenbezogener Daten

BDSG, BRD, Datentransfers, DSGVO

Zur deutschen Rechtslage (mit Hinweisen auf die DSGVO):

Der schon länger bestehende Leitfaden zur »Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer« gibt einen Überblick, was generell bei Datenübermittlungen zu beachten ist. Er wurde nun aufgrund der aktuellen Entwicklungen auf Basis der geltenden Rechtslage aktualisiert. Weiterhin wurden Ausblicke auf die Rechtslage nach der Datenschutz-Grundverordnung eingefügt. Der Leitfaden soll für die Zeit bis zum 25. Mai 2018 Orientierung bieten. Rechtzeitig vor diesem Datum wird es eine weitere Überarbeitung – dann komplett auf Basis der EU-Verordnung geben. Quelle: Bitkom

Markus Kastelitz

Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability) 

Art. 29 WP, Datenportabilität, Datenschutzbeauftragter, DSGVO, Header
Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability) 

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

From the press release: Consistent with its 2016 Action Plan decided in February 2016, the WP29 adopted during the December plenary:

To complement this, the WP29 welcomes any additional comments that stakeholders may have on the adopted guidelines until the end of January  2017.  The comments on guidelines can be sent to the following addresses: JUST-ARTICLE29WP-SEC@ec.europa.eu and presidenceg29@cnil.fr. Finally, the guidelines on Data Protection Impact Assessments and Certification will be ready in 2017.

Markus Kastelitz

DSGVO: Kurzüberblick One Stop Shop

DSGVO, Uncategorized

Bayerisches Landesamt für Datenschutzaufsicht, ​Kurz-Papier “Der One Stop Shop” (pdf): Die DS-GVO führt das Konzept des One Stop Shop [OSS] ein, wenn es um sog. grenzüberschreitende Verarbeitung personenbezogener Daten geht. Das bedeutet: Bei grenzüberschreitender Verarbeitung ist die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Für Unternehmen hat das den Vorteil, dass sie wegen ein und derselben Verarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen. Quelle: BayLDA

Markus Kastelitz

Dt. Anwaltverein – Stellungnahme zur Frage des „Eigentums“ an Daten und Informationen

BRD, Dateneigentum, Datenschutz, DSGVO

Stellungnahme (Nr. 75/2016) des Deutschen Anwaltvereins vom 25.11.2016 durch den Ausschuss Informationsrecht zur Frage des „Eigentums“ an Daten und Informationen (pdf)
Der DAV befasst sich mit der Frage des „Eigentums“ an Daten und Informationen, gibt einen Überblick zur in Deutschland geltenden Rechtslage und warnt vor übereilter Gesetzgebung auf europäischer Ebene.
Quelle: Newsroom DAV
Weitere aktuelle Stellungnahmen: SN 81/16: Datenschutz und Mandatsgeheimnis; SN 84/16: Datenschutz-Anpassungs- und -Umsetzungsgesetz