30.09.2017

Publikation (Vorankündigung): Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO

Ich habe gemeinsam mit Walter Hötzendorfer und Renate Riedl für das Jahrbuch Datenschutzrecht 2017 (herausgegeben von Prof. Dr. Jahnel im NWV Verlag) einen über 30 Seiten langen Beitrag mit dem Titel "Ausgewählte Fragen der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO" verfasst. Als Anlagen haben wir auf Grundlage einer Analyse der bestehenden Ansätze ein umfangreiches Muster für einen Datenschutz-Folgenabschätzungs-Bericht und ein Muster über die Ermittlung der Notwendigkeit einer Datenschutz-Folgenabschätzung erstellt. Der Erscheinungstermin des Jahrbuches ist voraussichtlich im Oktober 2017.

06.09.2017

EGMR: Überwachung der Internetnutzung am Arbeitsplatz

ECHR, CASE OF BĂRBULESCU v. ROMANIA (Application no. 61496/08), Grand Chamber judgment, 5 September 2017:
141. Having regard to all the above considerations, and notwithstanding the respondent State’s margin of appreciation, the Court considers that the domestic authorities did not afford adequate protection of the applicant’s right to respect for his private life and correspondence and that they consequently failed to strike a fair balance between the interests at stake. There has therefore been a violation of Article 8 of the Convention.
Facts of the case (summary, pdf), Factsheet on Surveillance at workplace (pdf), FAQs (pdf)

23.08.2017

VG Köln: Autokennzeichen und Personenbezug

http://www.justiz.nrw.de/nrwe/ovgs/vg_koeln/j2017/13_K_6093_15_Urteil_20170216.html

17.08.2017

Österreichische Datenschutzbehörde aktualisiert DSGVO-Leitfaden

Leitfaden zur Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, zusammengestellt von Dr. Matthias Schmidl, Stand: Juli 2017 (pdf)
Einige interessante Auszüge, die mir beim neuerlichen Überfliegen aufgefallen sind (wobei ich keinen Vergleich mit der ursprünglichen Fassung vorgenommen habe):

  • Seite 19 ff: Kurzüberblick über das Datenschutz-Anpassungsgesetz 2018
  • Seite 27: Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Voraussichtlich ab August/September 2017 wird eine Schnittstelle zur Verfügung stehen, sodass bestehende DVR-Meldungen in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können (Anmerkung: siehe die neue Export-Funktion).
  • Seite 32 f: Kann ein Datenschutzbeauftragter verantwortlicher Beauftragter nach § 9 VStG sein? Der Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann.
  • Seite 31 f: Was ist eine „öffentliche Stelle“? [...]Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das Datenschutzanpassungsgesetz 2018 heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den Verantwortlichen des öffentlichen Bereichs. Darunter fallen alle Verantwortliche,
    • die in Formen des öffentlichen Rechts eingerichtet sind oder
    • zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung).
 Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. [...]

Berlin Group: Arbeitspapiere zu E-learning und nachrichtendienstl. Informationsbeschaffung

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation, die von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Frau Maja Smoltczyk, geleitet wird, hat auf ihrer 61. Sitzung am 24. und 25. April 2017 in Berlin zwei Arbeitspapiere verabschiedet, Pressemitteilung deutsch, Pressemitteilung englisch
Veröffentlichte Arbeitspapiere „E-Learning Plattformen“ und „Internationale Grundsätze zur Regulierung der nachrichtendienstlichen Informationsbeschaffung“ (Working Paper on E-Learning Platforms englishdeutsch; Working Paper: ‘Towards International Principles or Instruments to Govern Intelligence Gathering’ englishdeutsch)

11.08.2017

UK: New Data Protection Bill: the planned reforms & GDPR derogations

Department for Digital, Culture, Media and Sport, Statement of Intent dated 7 August 2017 (pdf); Annex - Summary of GDPR derogations in the Data Protection Bill (pdf) made available by the Open Rights Group

10.08.2017

BRD: Studie zur "Eigentumsordnung" für Mobilitätsdaten

"Eigentumsordnung" für Mobilitätsdaten? - Eine Studie aus technischer, ökonomischer und rechtlicher Perspektive (pdf; mit einem kurzen Exkurs betreffend Gesundheitsdaten), Auftraggeber: dt. Bundesministerium für Verkehr und digitale Infrastruktur
Die Studie wird einer breiten Fachkonsultation zugänglich gemacht, siehe hier.

01.08.2017

DSGVO: Deutsche Datenschutzkonferenz veröffentlicht Kurzpapiere Nr. 4 bis 8

Deutsche Datenschutzkonferenz: Kurzpapiere Nr. 4 bis 8 (pdf; Quelle: BayLDA):

BRD: Bundesarbeitsgericht zur Überwachung eines Dienstnehmers mittels Keylogger

Bundesarbeitsgericht, Urteil vom 27. Juli 2017, 2 AZR 681/16
Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG* unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. [...]