19.08.2016

OGH zum DSG 2000: Datenübermittlung und Unterlassungsanspruch (§§ 7 Abs 2, 32 Abs 2)

OGH, 27.06.2016, 6 Ob 191/15d
[...] 4.4.2. § 7 Abs 2 Z 2 DSG 2000 verpflichtet den Empfänger vor der Übermittlung im Hinblick auf den (rechtmäßigen) Zweck der Übermittlung, wenn dies nicht außer Zweifel steht, glaubhaft zu machen, dass er tatsächlich selbst die gesetzliche Zuständigkeit oder rechtliche Befugnis besitzt. Der Empfänger hat seine rechtliche Befugnis initiativ glaubhaft zu machen. Die Beurteilung, ob die Glaubhaftmachung gelungen ist oder ob keine Zweifel vorliegen, obliegt dem Übermittler (vgl Jahnel, Datenschutzrecht Rz 4/122; Knyrim, Datenschutzrecht³ 127; Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung 415 f; Drobesch/Grosinger, Datenschutzgesetz 134).
4.4.3. Eine am Wortsinn haftende Interpretation des § 7 Abs 2 Z 2 DSG 2000 würde nicht nur jede Datenveröffentlichung unmöglich machen (vgl Jahnel, Datenschutzrecht Rz 4/126; Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung 417 f), sondern stünde oft auch Übermittlungen zu einem rechtmäßigen Zweck ohne Ersuchen aus Antrieb des Übermittlers an einen Empfänger, der tatsächlich über die gesetzliche Zuständigkeit oder rechtliche Befugnis verfügt, um die Daten zu diesem Zweck verwenden zu dürfen, entgegen.
4.4.4. Dieses Auslegungsergebnis ist vom Schutzzweck der Norm (es soll im Interesse des Betroffenen sichergestellt werden, dass die Daten nach der Weitergabe einer befugten „Empfangsstelle“ zukommen, Jahnel, Datenschutzrecht Rz 4/128) nicht gefordert und steht mit dem in Art 10 Abs 1 EMRK normierten Recht auf freie Meinungsäußerung und Informationsfreiheit in Widerspruch. Hinsichtlich des Rechts auf Zugänglichkeit und Empfang von Informationen verbietet Art 10 EMRK in erster Linie die Beschränkung des Empfangs von Informationen, die andere einer Person zukommen lassen oder beabsichtigen zukommen zu lassen (vgl VfGH G 264/2015 mwN). [...]
4.4.6. Nach Auffassung des Senats reicht es für die Bejahung eines Unterlassungsanspruchs nach § 32 Abs 2 DSG 2000 nicht aus, dass der Übermittler vor der Übermittlung Zweifel an der ausreichenden gesetzlichen Zuständigkeit oder rechtlichen Befugnis des Empfängers im Hinblick auf den Übermittlungszweck hatte oder haben musste. Im Hinblick auf den Schutzzweck des § 7 Abs 2 Z 2 DSG 2000 ist entscheidend, dass die Übermittlung an einen im Hinblick auf den Übermittlungszweck tatsächlich nicht befugten Empfänger erfolgte. [...]
5.4.2. Zutreffend ist das Berufungsgericht davon ausgegangen, dass die Datenverwendung im verfassungsrechtlich garantierten Recht des Beklagten auf Eigentum (Art 5 StGG) eine rechtliche Basis hat und für die Durchsetzung seiner Rechtsposition als Miteigentümer, die Verwaltung durch die P*****, deren Geschäftsführer die Kläger waren, zu beenden, erforderlich war. Er hatte unter diesem Gesichtspunkt auch ein berechtigtes Interesse an der Übermittlung der strafrechtsbezogenen Daten der Kläger, die weder einen Bezug zum Beklagten noch zu den Miteigentümergemeinschaften, an denen der Beklagte Anteile hält, noch einen Bezug zu irgendeiner der Miteigentümergemeinschaften hatten (Verdacht der Untreue zu Lasten der P***** F***** GmbH). Dies ergibt sich schon daraus, dass der Umfang der Untreuehandlungen, derer die Kläger verdächtig und die Gegenstand des Ermittlungsverfahrens sind, die vom Beklagten vertretene Rechtsposition der Notwendigkeit eines Verwalterwechsels, um rechtswidrige Eingriffe der Kläger in sein Eigentum abzuwehren, untermauert. [...]
6.4.1. Die Kläger meinen, der vom Beklagten verfolgte Zweck sein Eigentum zu schützen, indem er die Miteigentümer informiere, wäre ohne Herstellung einer Datei und deren Übermittlung zu erreichen gewesen, hätte der Beklagte die ihm in Papierform zugestellte Anordnung lediglich „in Papierform“ kopiert und die Kopien in der Versammlung der Miteigentümergemeinschaften ausgeteilt. Die Datenübermittlung sei daher nicht das gelindeste Mittel gewesen.
6.4.2. Dem ist nicht zu folgen. Das Gebot des gelindesten Mittels ist nicht als grundsätzliches Abwehrrecht des Betroffenen gegen die Verwendung von EDV-Systemen durch Dritte zu verstehen. Personenbezogene Daten dürfen bei Vorliegen eines legitimen Verwendungszwecks, bei Nichtverletzung schutzwürdiger Geheimhaltungsinteressen und bei Achtung der Verhältnismäßigkeit stets in jenem Ausmaß verwendet werden, der zur Verfolgung dieses Ziels erforderlich ist. Es ist nicht zu prüfen, ob der Verwendungszweck durch konventionelle Maßnahmen des Auftraggebers (also ohne automationsunterstützte Datenverarbeitungssysteme) erreicht werden könnte (Ennöckl, Der Schutz der Privatsphäre in der elektronischen Datenverarbeitung 411 f). [...]

18.08.2016

BayLDA: Prüfkatalog für den technischen Datenschutz bei Apps

BayLDA, Prüfkatalog für den technischen Datenschutz bei Apps mit normalem Schutzbedarf (in Anlehnung an die Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter)

Gutachten: Die DSGVO und das nationale Recht – Erste Überlegungen zum nationalen Regelungsbedarf

Kühling/Martini/Heberlein/Kühl/Nink/Weinzierl/Wenzel, Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum nationalen Regelungsbedarf, 525 Seiten, Münster, 2016 (pdf; Rechtsgutachten im Auftrag des dt. BMI u.a. zu den Öffnungsklauseln, Regelungsspielräume der Mitgliedsstaaten)

PhD-Thesis: The allocation of responsibility and risk among actors involved in personal data processing

Brendan VAN ALSENOY, Regulating data protection: the allocation of responsibility and risk among actors involved in personal data processing (pdf)
Abstract: European data protection law aims to ensure that at least one organization or individual is adequately incentivized to install and maintain an appropriate level of data protection. In order to reach this objective, the European legislature has adopted the concepts of ‘controller’ and ‘processor’.Together, these concepts provide the basis upon which responsibility for compliance with the substantive provisions of this Directive is allocated. Despite the fundamental importance of both these concepts, technological and societal developments have rendered it increasingly difficult to apply these concepts in practice. The dissertation seeks to ascertain whether or not (and if so, how) the allocation of responsibility and risk among actors involved in the processing of personal data might be revised in a manner which increases legal certainty while maintaining at least an equivalent level of data protection.
Source: KU Leuven

07.08.2016

Österreich: Praxishandbuch zur DSGVO erschienen

Am 04.08.2016 ist das Praxishandbuch "Datenschutz-Grundverordnung - Das neue Datenschutzrecht in Österreich und der EU" im Verlag Manz (Wien) erschienen, Näheres dazu bei Manz (Disclaimer: Ich habe darin einen Beitrag verfasst).
Bild: (C) Manz Verlag

05.08.2016

Paper on Online tracking: A 1-million-site measurement and analysis

Princeton Web CensusPaper (pdf) by Steven Englehardt and Arvind Narayanan: Online tracking: A 1-million-site measurement and analysis is the largest and most detailed measurement of online tracking to date. We measure stateful (cookie-based) and stateless (fingerprinting-based) tracking, the effect of browser privacy tools, and "cookie syncing". [...]

Vermischtes zur DSGVO (Update)

OGH: Scheidungsvergleich im Grundbuch und Datenschutz

OGH 11.07.2016, 5 Ob 125/16t
[...] 3. Auch die vom Antragsteller behaupteten aus Art 8 Abs 2 EMRK, Art 52 der Charta der Grundrechte der Europäischen Union abgeleiteten datenschutzrechtlichen Bedenken sind nicht zu teilen. Die Prüfung der gesamten Urkunde, auf deren Grundlage die Eigentumseinverleibung erfolgen soll, ist zufolge §§ 87 Abs 1, 94 Abs 1 GBG gesetzlich zwingend vorgeschrieben und dient (ua) dem Schutz des verfassungsrechtlich gewährleisteten (verbücherten) Eigentums (§§ 1 Abs 2, 8 Abs 1 Z 1 DSG 2000). Die Einstellung von Urkunden in das Urkundenarchiv ist nicht Gegenstand und Vorfrage dieser Entscheidung. Es besteht daher kein Anlass für die vom Antragsteller angeregte Einleitung eines Vorabentscheidungs- oder eines Gesetzesprüfungsverfahrens. [...]
Quelle: Pressemeldung OGH

IWGDPT: Working Paper on Privacy and Security Issues in Internet Telephony (VoIP)

The International Working Group on Data Protection in Telecommunications, chaired by the Berlin Commissioner for Data Protection and Freedom of Information, Ms. Maja Smoltczyk, has adopted a Working Paper on Privacy and Security Issues in Internet Telephony (VoIP) and related Communication Technologies such as instant messaging and video telephony services [Arbeitspapier zu Privatsphäre- und Sicherheitsaspekten bei Internettelefonie (Voice over IP – VoIP)] at its 59th meeting on 24-25 April 2016 in Oslo (Norway).
The paper contains recommendations for improving the protection of privacy and security in these services to all relevant stakeholders: legislators and regulators, VoIP providers, software developers, hardware manufacturers and users. The recommendations apply to all types of multimedia services offered by telecommunication providers as well as over-the-top providers. [...]

FDA: Guidance on Low Risk (General Wellness) Devices

FDA, General Wellness: Policy for Low Risk Devices (pdf):
The Food and Drug Administration (FDA) is issuing this guidance document to provide clarity to industry and FDA staff on the Center for Devices and Radiological Health’s (CDRH’s) compliance policy for low risk products that promote a healthy lifestyle (general wellness products). This guidance does not apply to products (e.g., drugs, biologics, dietary supplements, foods, or cosmetics) regulated by other FDA Centers or to combination products. [...]