Michael Punz

Erstes Vereinsseminar von PrivacyOfficers.at zum Thema „Umsetzungsprojekte zur EU-DSGVO“ war ein voller Erfolg

DSGVO, Umsetzungsprojekt
Erstes Vereinsseminar von PrivacyOfficers.at zum Thema „Umsetzungsprojekte zur EU-DSGVO“ war ein voller Erfolg

Am Abend des 1. Februar 2017 fand das erste Vereinsseminar von PrivacyOfficers.at statt. Dabei stellte ein aktives Mitglied von PrivacyOfficers.at den derzeitigen Stand des „Umsetzungsprojektes zur EU-DSGVO“ vor. Durch die angeregte Diskussion und die vielen Inputs der anderen Mitglieder konnte jeder der Teilnehmer wertvolle Anregungen für das eigene Unternehmen bzw. für die eigene Organisation mitnehmen.

Im Seminar wurde vom Vortragenden eindrucksvoll gezeigt, wie ein effizientes System – sowohl auf organisatorischer als auch auf technischer Ebene – aufgebaut wurde, mit dem die zukünftigen Bestimmungen der EU-DSGVO praxistauglich adressiert werden können.

Das nächste Vereinsseminar findet im Mai (ebenfalls in Wien) zum Thema „Datensicherheit in der Praxis – Stand der Technik“ statt. Alle Mitglieder von PrivacyOfficers.at sind herzlich dazu eingeladen. Details zum nächsten Vereinsseminar folgen per Mail in den nächsten Tagen.

Markus Kastelitz

Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Art. 29 WP, Datenschutzbeauftragter, DSGVO, Header
Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe hat im Dezember 2016 u.a. “Guidelines on Data Protection Officers (‘DPOs’)” veröffentlicht, die (bis Ende Jänner 2017) kommentiert werden können. Privacyofficers.at hat diese Möglichkeit genutzt und folgende Stellungnahme abgegeben:

In general, Privacyofficers.at welcomes the approach of the WP29 to further illustrate the GDPR and create a benefit for the addressees in the practical adoption of its provisions. Nevertheless, we would like to draw your attention to three issues which we find to be debatable in the view of a practical implementation:

1. Section 3.2. of the Guidelines (“Necessary resources”) – last bullet point:
The WP29 clarifies that an external DPO can fulfill the duties of a DPO for a data controller/processor either by a single representative or by a team. We welcome this approach; however, the option of carrying out the tasks of a DPO as a team should also be open to internal DPOs. We are of the opinion that controllers/processors should be free to appoint a single DPO or a team/board with the tasks of a DPO as long as all team members benefit from the provisions of the GDPR regarding dismissal etc. Therefore, we would recommend a clarification of the Guidelines in this regard.

2. Section 3.4. of the Guidelines (“Dismissal or penalty for performing DPO tasks”):
The WP29 argues that the cancellation of a contract with an external DPO shall only be possible and legally enforceable in the case the external DPO is in breach of its duties of being a DPO. This interpretation could be in conflict with the principle of freedom of contract. Each controller should be able to engage an external DPO but also to terminate the assignment of an external DPO in compliance with the relevant contract and applicable law. An external DPO is, in essence, a service provider commissioned to perform the controller´s / processor’s duties. The strict interpretation by the WP29 would lead to a situation where a controller cannot switch from an external DPO to an internal DPO unless the external DPO has failed to fulfill its duties under the GDPR. We are of the opinion that such an interpretation is not in line with the GDPR requirements and the principle of freedom of contract. We would therefore kindly ask for a re-evaluation or clarification of the Guidelines as regards this matter.

3. Section 4.4. of the Guidelines (“The DPO´s role in record-keeping”):
We regard the possibility of assigning the task of a data controller/processor to keep records of processing activities to the DPO, as the WP29 suggests, very critical for four reasons:
a. The DPO should be able to perform its duties and rights in full autonomy and without any interference by the controller / processor. On top of that, other tasks assigned to the DPO shall not lead to any conflicts of interest in executing the task of a DPO. It is foreseeable that a task principally assigned to the data controller, where noncompliance might lead to a fine as imposed by Art. 83, might create conflicts and could endanger the full autonomy of DPOs, for example in case the DPO does not follow instructions given by the data controller regarding the records to “cover-up” data processing not fully in line with the GDPR.

b. Furthermore, the DPO has – from the viewpoint of the tasks assigned by the GDPR- a sole control and advisory function, and is not responsible for the controller’s / processor`s compliance with the GDPR. Should the DPO be mandated to keep the records of all processing activities of the controller, this is in conflict with the nature of these tasks assigned and would very likely lead to a conflict of interests.

c. Also from a practical perspective the assignment of this task causes certain issues: Such a register has to follow specific requirements of IT or other responsible departments within a controller’s organization. It is not ensured that a DPO is receiving complete information of all processing activities within a controller’s business as the DPO is not responsible to have a complete list/register of all processing operations. The DPO has the role of an advisor and supervisor but not that of an “implementer”. This obligation lies with the controller / processor and not with the DPO.

d. Finally, the autonomy of the DPO opens up the possibility to impose fines on the data controller based on the activities of the DPO – while having only very limited influence over the DPO. As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

Markus Kastelitz

ENISA: PETs controls matrix – A systematic approach for assessing online and mobile privacy tools

ENISA, Privacy, Privacy Enhancing Technologies (PET)

Following previous work in the field of privacy engineering, in 2016 ENISA defined the ‘PETs control matrix’, an assessment framework and tool for the systematic presentation and evaluation of online and mobile privacy tools for end users. The term ‘PET’ is used in the context of this work with a narrow focus, addressing standalone privacy tools or services (and not the broader concept of privacy enhancing technologies).
Final Report (Dec. 2016): PETs controls matrix – A systematic approach for assessing online and mobile privacy tools; Annex 1: PETs Control Matrix – Assessment QuastionnairesAnnex 2: PETs Control Matrix – Excel Tool (Windows version); Source: ENISA

Markus Kastelitz

BayLDA: Bedingungen für die Einwilligung eines Kindes gemäß Art. 8 DSGVO

DSGVO, Einwilligung/Zustimmung, Kind

In der DS-GVO regelt Art. 8 DS-GVO neu, was genau zu beachten ist, wenn die Verarbeitung personenbezogener Daten von Kindern auf eine Einwilligung gestützt wird. Es wird sich in der Praxis jedoch zeigen müssen, wie häufig die Anwendungsfälle des Art. 8 DS-GVO auftreten werden – und wie die Verfahren dazu in der Praxis dann gestaltet werden. Die Besonderheiten hat das BayLDA in einem weiteren Papier [pdf] zusammengefasst. Quelle: Bayerisches Landesamt für Datenschutzaufsicht

Markus Kastelitz
Markus Kastelitz

Datenschutzbehörde veröffentlicht Guidance zu Whistleblower-Hotlines (Hinweisgebersysteme)

Datenschutzbehörde, DVR, Header, Whistleblowing
Datenschutzbehörde veröffentlicht Guidance zu Whistleblower-Hotlines (Hinweisgebersysteme)

Hinweisgebersysteme (pdf; verfasst von HR Mag. Lechner) samt DVR-Mustermeldung und Auflagen für Hinweisgebersysteme (im Anhang)

Markus Kastelitz

European Commission: Draft Regulation on Privacy and Electronic Communications and more

Big Data, Datenschutz, Datentransfers, DSGVO, ePrivacy, Header
European Commission: Draft Regulation on Privacy and Electronic Communications and more
Markus Kastelitz

Debattenbeiträge zur Einwilligung nach der DSGVO veröffentlicht

DSGVO, Einwilligung/Zustimmung

​- Dürager/Kotschy, NEUERUNGEN ZUR ZUSTIMMUNG (EINWILLIGUNG) NACH DER DS-GVO – Debattenbeitrag zur Datenschutz-Grundverordnung 2 (Stand 2.12.2016, pdf)

– Dürager/Kotschy, NEUERUNGEN ZUR ZUSTIMMUNG: BESTEHT NACH DER DS-GVO EIN GENERELLES KOPPELUNGSVERBOT? – Debattenbeitrag  zur Datenschutz-Grundverordnung 3 (Stand 9.1.2017, pdf)

Quelle: BIM

Markus Kastelitz

GDPR: Risk, High Risk, Risk Assessments and Data Protection Impact Assessments

Datenschutz-Folgeabschätzung, DSGVO

Guidance paper on Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR (pdf)

The present guidance paper on risk, high risk and DPIAs has the following objectives:   (1) to identify and analyse the GDPR provisions on risk, high risk, risk assessment and DPIAs; (2) to analyse the practical impacts, challenges and implementation in practice of  these provisions;  and (3) to provide suggestions on how these provisions can be consistently interpreted, implemented and enforced across Europe. […]

Markus Kastelitz

DSGVO: Berichtigung der deutschen Sprachfassung im Amtsblatt veröffentlicht

DSGVO

Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, L 314/72 vom 22.11.2016

Markus Kastelitz

EuGH: MS dürfen Betreibern keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen

EuGH, Vorratsdatenspeicherung

EuGH 21.12.2016, Urteil in den verb Rs C-203/15, Tele2 Sverige AB / Post- och telestyrelsen, und C-698/15, Secretary of State for the Home Department / Tom Watson u.a.

Aus der EuGH-Pressemeldung (pdf; EN):
Die Mitgliedstaaten dürfen den Betreibern elektronischer Kommunikationsdienste keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen (The Members States may not impose a general obligation to retain data on providers of electronic communications services)
Das Unionsrecht untersagt eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. Es steht den Mitgliedstaaten aber frei, vorbeugend eine gezielte Vorratsspeicherung dieser Daten zum alleinigen Zweck der Bekämpfung schwerer Straftaten vorzusehen, sofern eine solche Speicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Speicherung auf das absolut Notwendige beschränkt ist. Der Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten muss von Voraussetzungen abhängig gemacht werden, zu denen insbesondere eine vorherige Kontrolle durch eine unabhängige Stelle und die Vorratsspeicherung der Daten im Gebiet der Union gehören

Markus Kastelitz

Bitkom (BRD): Aktualisierter Leitfaden zur Übermittlung personenbezogener Daten

BDSG, BRD, Datentransfers, DSGVO

Zur deutschen Rechtslage (mit Hinweisen auf die DSGVO):

Der schon länger bestehende Leitfaden zur »Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer« gibt einen Überblick, was generell bei Datenübermittlungen zu beachten ist. Er wurde nun aufgrund der aktuellen Entwicklungen auf Basis der geltenden Rechtslage aktualisiert. Weiterhin wurden Ausblicke auf die Rechtslage nach der Datenschutz-Grundverordnung eingefügt. Der Leitfaden soll für die Zeit bis zum 25. Mai 2018 Orientierung bieten. Rechtzeitig vor diesem Datum wird es eine weitere Überarbeitung – dann komplett auf Basis der EU-Verordnung geben. Quelle: Bitkom

Markus Kastelitz

EU Commission amends decisions on standard contractual clauses and adequacy decisions

Angemessenheitsentscheidung, Datentransfers, Standardvertragsklauseln

In the light of  CJEU Case C-362/14 Maximillian Schrems v Data Protection Commissioner, the EU Commission amends Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU and 2011/61/EU and Implementing Decisions 2012/484/EU and 2013/65/EU as well as Decisions 2001/497/EC and 2010/87/EU:

  •  COMMISSION IMPLEMENTING DECISION (EU) 2016/2297 of 16 December 2016 amending Decisions 2001/497/EC and 2010/87/EU on standard contractual clauses for the transfer of personal data to third countries and to processors established in such countries, under Directive 95/46/EC of the European Parliament and of the Council
  • COMMISSION IMPLEMENTING DECISION (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council
Markus Kastelitz

ENISA: Report on Smart Hospitals and Smart Health Services/Infrastructures

ENISA, Gesundheitswesen

ENISASmart Hospitals – Security and Resilience for Smart Health Service and Infrastructures (pdf)
This study proposes key recommendations for hospital information security executives and industry to enhance the level of information security in Smart Hospitals. Through the identification of assets and the related threats when IoT components are supporting a healthcare organisation the report described the Smart Hospital ecosystem and its specific objectives. Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, this document identifies mitigation techniques and good practices. […]
Based on the analysis of documents and empirical data, and the detailed examination of attack scenarios found to be particularly relevant for smart hospitals, the study proposes key recommendations primarily for hospital executives. […]
Source: ENISA

Michael Mrak

Gabriel bezeichnet Datenschutz als Auslaufmodell

Big Data, Cloud, Dateneigentum, Dow Jones, Post-Privacy

Deutschland: Bundeswirtschaftsminister Sigmar Gabriel (SPD) hält das deutsche Datenschutzmodell für aus der Zeit gefallen. Heutzutage müsse es um Datensouveränität gehen und nicht mehr um die möglichst große Vermeidung von Daten, sagte Gabriel zum Auftakt einer deutsch-französischen Konferenz zur Digitalwirtschaft am Dienstag in Berlin.

„Der Begriff Datenschutz ist falsch. Das ist das Gegenteil vom Geschäftsmodell Big Data“, erklärte der SPD-Chef weiter. Deutschland und Frankreich wollen auf ihrer zweiten Digitalkonferenz zum Motor für Europa werden, damit der Kontinent Anschluss in der derzeitigen Umwälzung der Weltwirtschaft hält.

Weiterlesen auf Finanzen.at

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 472 anderen Abonnenten an

Anstehende Veranstaltungen

  1. RSA Conference 2018

    April 16 - April 20
  2. DuD 2018 Datenschutz und Datensicherheit

    Juni 11 - Juni 13

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 472 anderen Abonnenten an

Anstehende Veranstaltungen

  1. RSA Conference 2018

    April 16 - April 20
  2. DuD 2018 Datenschutz und Datensicherheit

    Juni 11 - Juni 13