Michael Mrak

Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus?

Uncategorized
Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus?

Gerade mal über eine Woche im Amt wirft US-Präsident Trump mit seinen Dekreten so einiges über den Haufen. Das Datenschutz-Abkommen Privacy Shield könnte dazu gehören, analysiert der ehemalige deutsche Bundesdatenschützer Peter Schaar.

Ausführliche Analyse auf heise.de

 

Michael Mrak

Startschuss für Differential Privacy in iOS 10.3

Apple, Differential Privacy

Um Apples AI-Assistenten zu verbessern, hat Apple ein Analyse-Tool für die Kundendaten in der iCloud in der neuesten iOS-Beta implementiert. Datenschutzrechtlich ist dieses Vorhaben normalerweise äußerst bedenklich. Apple hat jedoch eine Möglichkeit gefunden, die bisher kaum ein Konzern in solchem Ausmaß nutzt: Differential Privacy.

Beschreibung von Differential Privacy

Weitere Informationen auf MTN.de

Michael Punz

Erstes Vereinsseminar von PrivacyOfficers.at zum Thema „Umsetzungsprojekte zur EU-DSGVO“ war ein voller Erfolg

DSGVO, Umsetzungsprojekt
Erstes Vereinsseminar von PrivacyOfficers.at zum Thema „Umsetzungsprojekte zur EU-DSGVO“ war ein voller Erfolg

Am Abend des 1. Februar 2017 fand das erste Vereinsseminar von PrivacyOfficers.at statt. Dabei stellte ein aktives Mitglied von PrivacyOfficers.at den derzeitigen Stand des „Umsetzungsprojektes zur EU-DSGVO“ vor. Durch die angeregte Diskussion und die vielen Inputs der anderen Mitglieder konnte jeder der Teilnehmer wertvolle Anregungen für das eigene Unternehmen bzw. für die eigene Organisation mitnehmen.

Im Seminar wurde vom Vortragenden eindrucksvoll gezeigt, wie ein effizientes System – sowohl auf organisatorischer als auch auf technischer Ebene – aufgebaut wurde, mit dem die zukünftigen Bestimmungen der EU-DSGVO praxistauglich adressiert werden können.

Das nächste Vereinsseminar findet im Mai (ebenfalls in Wien) zum Thema „Datensicherheit in der Praxis – Stand der Technik“ statt. Alle Mitglieder von PrivacyOfficers.at sind herzlich dazu eingeladen. Details zum nächsten Vereinsseminar folgen per Mail in den nächsten Tagen.

Markus Kastelitz

Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Art. 29 WP, Datenschutzbeauftragter, DSGVO, Header
Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe hat im Dezember 2016 u.a. “Guidelines on Data Protection Officers (‘DPOs’)” veröffentlicht, die (bis Ende Jänner 2017) kommentiert werden können. Privacyofficers.at hat diese Möglichkeit genutzt und folgende Stellungnahme abgegeben:

In general, Privacyofficers.at welcomes the approach of the WP29 to further illustrate the GDPR and create a benefit for the addressees in the practical adoption of its provisions. Nevertheless, we would like to draw your attention to three issues which we find to be debatable in the view of a practical implementation:

1. Section 3.2. of the Guidelines (“Necessary resources”) – last bullet point:
The WP29 clarifies that an external DPO can fulfill the duties of a DPO for a data controller/processor either by a single representative or by a team. We welcome this approach; however, the option of carrying out the tasks of a DPO as a team should also be open to internal DPOs. We are of the opinion that controllers/processors should be free to appoint a single DPO or a team/board with the tasks of a DPO as long as all team members benefit from the provisions of the GDPR regarding dismissal etc. Therefore, we would recommend a clarification of the Guidelines in this regard.

2. Section 3.4. of the Guidelines (“Dismissal or penalty for performing DPO tasks”):
The WP29 argues that the cancellation of a contract with an external DPO shall only be possible and legally enforceable in the case the external DPO is in breach of its duties of being a DPO. This interpretation could be in conflict with the principle of freedom of contract. Each controller should be able to engage an external DPO but also to terminate the assignment of an external DPO in compliance with the relevant contract and applicable law. An external DPO is, in essence, a service provider commissioned to perform the controller´s / processor’s duties. The strict interpretation by the WP29 would lead to a situation where a controller cannot switch from an external DPO to an internal DPO unless the external DPO has failed to fulfill its duties under the GDPR. We are of the opinion that such an interpretation is not in line with the GDPR requirements and the principle of freedom of contract. We would therefore kindly ask for a re-evaluation or clarification of the Guidelines as regards this matter.

3. Section 4.4. of the Guidelines (“The DPO´s role in record-keeping”):
We regard the possibility of assigning the task of a data controller/processor to keep records of processing activities to the DPO, as the WP29 suggests, very critical for four reasons:
a. The DPO should be able to perform its duties and rights in full autonomy and without any interference by the controller / processor. On top of that, other tasks assigned to the DPO shall not lead to any conflicts of interest in executing the task of a DPO. It is foreseeable that a task principally assigned to the data controller, where noncompliance might lead to a fine as imposed by Art. 83, might create conflicts and could endanger the full autonomy of DPOs, for example in case the DPO does not follow instructions given by the data controller regarding the records to “cover-up” data processing not fully in line with the GDPR.

b. Furthermore, the DPO has – from the viewpoint of the tasks assigned by the GDPR- a sole control and advisory function, and is not responsible for the controller’s / processor`s compliance with the GDPR. Should the DPO be mandated to keep the records of all processing activities of the controller, this is in conflict with the nature of these tasks assigned and would very likely lead to a conflict of interests.

c. Also from a practical perspective the assignment of this task causes certain issues: Such a register has to follow specific requirements of IT or other responsible departments within a controller’s organization. It is not ensured that a DPO is receiving complete information of all processing activities within a controller’s business as the DPO is not responsible to have a complete list/register of all processing operations. The DPO has the role of an advisor and supervisor but not that of an “implementer”. This obligation lies with the controller / processor and not with the DPO.

d. Finally, the autonomy of the DPO opens up the possibility to impose fines on the data controller based on the activities of the DPO – while having only very limited influence over the DPO. As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

Markus Kastelitz

ENISA: PETs controls matrix – A systematic approach for assessing online and mobile privacy tools

ENISA, Privacy, Privacy Enhancing Technologies (PET)

Following previous work in the field of privacy engineering, in 2016 ENISA defined the ‘PETs control matrix’, an assessment framework and tool for the systematic presentation and evaluation of online and mobile privacy tools for end users. The term ‘PET’ is used in the context of this work with a narrow focus, addressing standalone privacy tools or services (and not the broader concept of privacy enhancing technologies).
Final Report (Dec. 2016): PETs controls matrix – A systematic approach for assessing online and mobile privacy tools; Annex 1: PETs Control Matrix – Assessment QuastionnairesAnnex 2: PETs Control Matrix – Excel Tool (Windows version); Source: ENISA

Markus Kastelitz

BayLDA: Bedingungen für die Einwilligung eines Kindes gemäß Art. 8 DSGVO

DSGVO, Einwilligung/Zustimmung, Kind

In der DS-GVO regelt Art. 8 DS-GVO neu, was genau zu beachten ist, wenn die Verarbeitung personenbezogener Daten von Kindern auf eine Einwilligung gestützt wird. Es wird sich in der Praxis jedoch zeigen müssen, wie häufig die Anwendungsfälle des Art. 8 DS-GVO auftreten werden – und wie die Verfahren dazu in der Praxis dann gestaltet werden. Die Besonderheiten hat das BayLDA in einem weiteren Papier [pdf] zusammengefasst. Quelle: Bayerisches Landesamt für Datenschutzaufsicht

Markus Kastelitz
Markus Kastelitz

Datenschutzbehörde veröffentlicht Guidance zu Whistleblower-Hotlines (Hinweisgebersysteme)

Datenschutzbehörde, DVR, Header, Whistleblowing
Datenschutzbehörde veröffentlicht Guidance zu Whistleblower-Hotlines (Hinweisgebersysteme)

Hinweisgebersysteme (pdf; verfasst von HR Mag. Lechner) samt DVR-Mustermeldung und Auflagen für Hinweisgebersysteme (im Anhang)

Markus Kastelitz

European Commission: Draft Regulation on Privacy and Electronic Communications and more

Big Data, Datenschutz, Datentransfers, DSGVO, ePrivacy, Header
European Commission: Draft Regulation on Privacy and Electronic Communications and more
Markus Kastelitz

Debattenbeiträge zur Einwilligung nach der DSGVO veröffentlicht

DSGVO, Einwilligung/Zustimmung

​- Dürager/Kotschy, NEUERUNGEN ZUR ZUSTIMMUNG (EINWILLIGUNG) NACH DER DS-GVO – Debattenbeitrag zur Datenschutz-Grundverordnung 2 (Stand 2.12.2016, pdf)

– Dürager/Kotschy, NEUERUNGEN ZUR ZUSTIMMUNG: BESTEHT NACH DER DS-GVO EIN GENERELLES KOPPELUNGSVERBOT? – Debattenbeitrag  zur Datenschutz-Grundverordnung 3 (Stand 9.1.2017, pdf)

Quelle: BIM

Markus Kastelitz

GDPR: Risk, High Risk, Risk Assessments and Data Protection Impact Assessments

Datenschutz-Folgeabschätzung, DSGVO

Guidance paper on Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR (pdf)

The present guidance paper on risk, high risk and DPIAs has the following objectives:   (1) to identify and analyse the GDPR provisions on risk, high risk, risk assessment and DPIAs; (2) to analyse the practical impacts, challenges and implementation in practice of  these provisions;  and (3) to provide suggestions on how these provisions can be consistently interpreted, implemented and enforced across Europe. […]

Markus Kastelitz

DSGVO: Berichtigung der deutschen Sprachfassung im Amtsblatt veröffentlicht

DSGVO

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, L 314/72 vom 22.11.2016

Markus Kastelitz

EuGH: MS dürfen Betreibern keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen

EuGH, Vorratsdatenspeicherung

EuGH 21.12.2016, Urteil in den verb Rs C-203/15, Tele2 Sverige AB / Post- och telestyrelsen, und C-698/15, Secretary of State for the Home Department / Tom Watson u.a.

Aus der EuGH-Pressemeldung (pdf; EN):
Die Mitgliedstaaten dürfen den Betreibern elektronischer Kommunikationsdienste keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen (The Members States may not impose a general obligation to retain data on providers of electronic communications services)
Das Unionsrecht untersagt eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. Es steht den Mitgliedstaaten aber frei, vorbeugend eine gezielte Vorratsspeicherung dieser Daten zum alleinigen Zweck der Bekämpfung schwerer Straftaten vorzusehen, sofern eine solche Speicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Speicherung auf das absolut Notwendige beschränkt ist. Der Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten muss von Voraussetzungen abhängig gemacht werden, zu denen insbesondere eine vorherige Kontrolle durch eine unabhängige Stelle und die Vorratsspeicherung der Daten im Gebiet der Union gehören

Markus Kastelitz

Bitkom (BRD): Aktualisierter Leitfaden zur Übermittlung personenbezogener Daten

BDSG, BRD, Datentransfers, DSGVO

Zur deutschen Rechtslage (mit Hinweisen auf die DSGVO):

Der schon länger bestehende Leitfaden zur »Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer« gibt einen Überblick, was generell bei Datenübermittlungen zu beachten ist. Er wurde nun aufgrund der aktuellen Entwicklungen auf Basis der geltenden Rechtslage aktualisiert. Weiterhin wurden Ausblicke auf die Rechtslage nach der Datenschutz-Grundverordnung eingefügt. Der Leitfaden soll für die Zeit bis zum 25. Mai 2018 Orientierung bieten. Rechtzeitig vor diesem Datum wird es eine weitere Überarbeitung – dann komplett auf Basis der EU-Verordnung geben. Quelle: Bitkom

Markus Kastelitz

EU Commission amends decisions on standard contractual clauses and adequacy decisions

Angemessenheitsentscheidung, Datentransfers, Standardvertragsklauseln

In the light of  CJEU Case C-362/14 Maximillian Schrems v Data Protection Commissioner, the EU Commission amends Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU and 2011/61/EU and Implementing Decisions 2012/484/EU and 2013/65/EU as well as Decisions 2001/497/EC and 2010/87/EU:

  •  COMMISSION IMPLEMENTING DECISION (EU) 2016/2297 of 16 December 2016 amending Decisions 2001/497/EC and 2010/87/EU on standard contractual clauses for the transfer of personal data to third countries and to processors established in such countries, under Directive 95/46/EC of the European Parliament and of the Council
  • COMMISSION IMPLEMENTING DECISION (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 585 anderen Abonnenten an

Anstehende Veranstaltungen

  1. BvD-Verbandstage 2018

    April 25 - April 26
  2. Praxistage 2018

    Mai 7 @ 08:00 - Mai 8 @ 17:00
  3. Umgang mit unstrukturierten Daten (z.B. E-Mail)

    Juni 7 @ 09:00 - 11:00
  4. DuD 2018 Datenschutz und Datensicherheit

    Juni 11 - Juni 13
  5. Betroffenenrechte

    September 12 @ 09:00 - 11:00

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 585 anderen Abonnenten an

Anstehende Veranstaltungen

  1. BvD-Verbandstage 2018

    April 25 - April 26
  2. Praxistage 2018

    Mai 7 @ 08:00 - Mai 8 @ 17:00
  3. Umgang mit unstrukturierten Daten (z.B. E-Mail)

    Juni 7 @ 09:00 - 11:00
  4. DuD 2018 Datenschutz und Datensicherheit

    Juni 11 - Juni 13
  5. Betroffenenrechte

    September 12 @ 09:00 - 11:00