ENISA: PETs controls matrix – A systematic approach for assessing online and mobile privacy tools

Following previous work in the field of privacy engineering, in 2016 ENISA defined the ‘PETs control matrix’, an assessment framework and tool for the systematic presentation and evaluation of online and mobile privacy tools for end users. The term ‘PET’ is used in the context of this work with a narrow focus, addressing standalone privacy tools or services (and not the broader concept of privacy enhancing technologies).
Final Report (Dec. 2016): PETs controls matrix – A systematic approach for assessing online and mobile privacy tools; Annex 1: PETs Control Matrix – Assessment QuastionnairesAnnex 2: PETs Control Matrix – Excel Tool (Windows version); Source: ENISA

BayLDA: Bedingungen für die Einwilligung eines Kindes gemäß Art. 8 DSGVO

In der DS-GVO regelt Art. 8 DS-GVO neu, was genau zu beachten ist, wenn die Verarbeitung personenbezogener Daten von Kindern auf eine Einwilligung gestützt wird. Es wird sich in der Praxis jedoch zeigen müssen, wie häufig die Anwendungsfälle des Art. 8 DS-GVO auftreten werden – und wie die Verfahren dazu in der Praxis dann gestaltet werden. Die Besonderheiten hat das BayLDA in einem weiteren Papier [pdf] zusammengefasst. Quelle: Bayerisches Landesamt für Datenschutzaufsicht

European Commission: Draft Regulation on Privacy and Electronic Communications and more

European Commission: Draft Regulation on Privacy and Electronic Communications and more

GDPR: Risk, High Risk, Risk Assessments and Data Protection Impact Assessments

Guidance paper on Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR (pdf)

The present guidance paper on risk, high risk and DPIAs has the following objectives:   (1) to identify and analyse the GDPR provisions on risk, high risk, risk assessment and DPIAs; (2) to analyse the practical impacts, challenges and implementation in practice of  these provisions;  and (3) to provide suggestions on how these provisions can be consistently interpreted, implemented and enforced across Europe. […]

EuGH: MS dürfen Betreibern keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen

EuGH 21.12.2016, Urteil in den verb Rs C-203/15, Tele2 Sverige AB / Post- och telestyrelsen, und C-698/15, Secretary of State for the Home Department / Tom Watson u.a.

Aus der EuGH-Pressemeldung (pdf; EN):
Die Mitgliedstaaten dürfen den Betreibern elektronischer Kommunikationsdienste keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen (The Members States may not impose a general obligation to retain data on providers of electronic communications services)
Das Unionsrecht untersagt eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. Es steht den Mitgliedstaaten aber frei, vorbeugend eine gezielte Vorratsspeicherung dieser Daten zum alleinigen Zweck der Bekämpfung schwerer Straftaten vorzusehen, sofern eine solche Speicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Speicherung auf das absolut Notwendige beschränkt ist. Der Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten muss von Voraussetzungen abhängig gemacht werden, zu denen insbesondere eine vorherige Kontrolle durch eine unabhängige Stelle und die Vorratsspeicherung der Daten im Gebiet der Union gehören

Bitkom (BRD): Aktualisierter Leitfaden zur Übermittlung personenbezogener Daten

Zur deutschen Rechtslage (mit Hinweisen auf die DSGVO):

Der schon länger bestehende Leitfaden zur »Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer« gibt einen Überblick, was generell bei Datenübermittlungen zu beachten ist. Er wurde nun aufgrund der aktuellen Entwicklungen auf Basis der geltenden Rechtslage aktualisiert. Weiterhin wurden Ausblicke auf die Rechtslage nach der Datenschutz-Grundverordnung eingefügt. Der Leitfaden soll für die Zeit bis zum 25. Mai 2018 Orientierung bieten. Rechtzeitig vor diesem Datum wird es eine weitere Überarbeitung – dann komplett auf Basis der EU-Verordnung geben. Quelle: Bitkom

EU Commission amends decisions on standard contractual clauses and adequacy decisions

In the light of  CJEU Case C-362/14 Maximillian Schrems v Data Protection Commissioner, the EU Commission amends Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU and 2011/61/EU and Implementing Decisions 2012/484/EU and 2013/65/EU as well as Decisions 2001/497/EC and 2010/87/EU:

  •  COMMISSION IMPLEMENTING DECISION (EU) 2016/2297 of 16 December 2016 amending Decisions 2001/497/EC and 2010/87/EU on standard contractual clauses for the transfer of personal data to third countries and to processors established in such countries, under Directive 95/46/EC of the European Parliament and of the Council
  • COMMISSION IMPLEMENTING DECISION (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council

ENISA: Report on Smart Hospitals and Smart Health Services/Infrastructures

ENISASmart Hospitals – Security and Resilience for Smart Health Service and Infrastructures (pdf)
This study proposes key recommendations for hospital information security executives and industry to enhance the level of information security in Smart Hospitals. Through the identification of assets and the related threats when IoT components are supporting a healthcare organisation the report described the Smart Hospital ecosystem and its specific objectives. Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, this document identifies mitigation techniques and good practices. […]
Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, the study proposes key recommendations primarily for hospital executives. […]
Source: ENISA

Gabriel bezeichnet Datenschutz als Auslaufmodell

Deutschland: Bundeswirtschaftsminister Sigmar Gabriel (SPD) hält das deutsche Datenschutzmodell für aus der Zeit gefallen. Heutzutage müsse es um Datensouveränität gehen und nicht mehr um die möglichst große Vermeidung von Daten, sagte Gabriel zum Auftakt einer deutsch-französischen Konferenz zur Digitalwirtschaft am Dienstag in Berlin.

„Der Begriff Datenschutz ist falsch. Das ist das Gegenteil vom Geschäftsmodell Big Data“, erklärte der SPD-Chef weiter. Deutschland und Frankreich wollen auf ihrer zweiten Digitalkonferenz zum Motor für Europa werden, damit der Kontinent Anschluss in der derzeitigen Umwälzung der Weltwirtschaft hält.

Weiterlesen auf Finanzen.at

Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability) 

Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability) 

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

From the press release: Consistent with its 2016 Action Plan decided in February 2016, the WP29 adopted during the December plenary:

To complement this, the WP29 welcomes any additional comments that stakeholders may have on the adopted guidelines until the end of January  2017.  The comments on guidelines can be sent to the following addresses: JUST-ARTICLE29WP-SEC@ec.europa.eu and presidenceg29@cnil.fr. Finally, the guidelines on Data Protection Impact Assessments and Certification will be ready in 2017.

DSGVO: Kurzüberblick One Stop Shop

Bayerisches Landesamt für Datenschutzaufsicht, ​Kurz-Papier „Der One Stop Shop“ (pdf): Die DS-GVO führt das Konzept des One Stop Shop [OSS] ein, wenn es um sog. grenzüberschreitende Verarbeitung personenbezogener Daten geht. Das bedeutet: Bei grenzüberschreitender Verarbeitung ist die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Für Unternehmen hat das den Vorteil, dass sie wegen ein und derselben Verarbeitung nicht mit mehreren Datenschutzaufsichtsbehörden parallel kommunizieren müssen. Quelle: BayLDA