21.07.2017

EuGH (Schlussanträge): handschriftliche Prüfungsarbeit als personenbezogene Daten?

EuGH, Schlussanträge GA Kokott vom 20.07.2017,  Rs C‑434/16 (opinion, english version), Peter Nowak gegen Data Protection Commissioner (Vorabentscheidungsersuchen des Supreme Court [Irland]):
I.      Einleitung
1.        Besteht eine Prüfungsarbeit aus personenbezogenen Daten, so dass der Prüfungsteilnehmer deshalb möglicherweise auf der Grundlage der Datenschutzrichtlinie(2) vom Veranstalter der Prüfung Zugang zu seiner eigenen Arbeit verlangen kann? Darum geht es im vorliegenden Vorabentscheidungsersuchen des irischen Supreme Court. Das Ausgangsverfahren richtet sich jedoch nicht unmittelbar auf Zugang zu einer Prüfungsarbeit, sondern betrifft die Weigerung des ehemaligen irischen Datenschutzbeauftragten, einer Beschwerde wegen Verweigerung des Zugangs nachzugehen.
2.        Im Zentrum steht die Frage, ob die in einer Prüfungsarbeit enthaltenen Ausführungen des Prüfungsteilnehmers personenbezogene Daten sein können. Am Rande kann allerdings auch erörtert werden, ob es von Bedeutung ist, dass die Arbeit handschriftlich erstellt wurde, und ob auch Korrekturanmerkungen des Prüfers auf der Arbeit personenbezogene Daten des Prüfungsteilnehmers sind.
3.        Zwar wird die Datenschutzrichtlinie demnächst durch die noch nicht anwendbare Datenschutz-Grundverordnung(3) abgelöst, doch der Begriff der personenbezogenen Daten wird davon nicht berührt. Daher ist dieses Vorabentscheidungsersuchen auch für die zukünftige Anwendung des Datenschutzrechts der Union von Bedeutung. [...]
V.      Ergebnis
70.      Ich schlage dem Gerichtshof daher vor, wie folgt zu entscheiden:
Bei einer handschriftlichen Prüfungsarbeit, die einem Prüfungsteilnehmer zugeordnet werden kann, handelt es sich einschließlich etwaiger Korrekturanmerkungen von Prüfern um personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. (A handwritten examination script capable of being ascribed to an examination candidate, including any corrections made by examiners that it may contain, constitutes personal data within the meaning of Article 2(a) of Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data.)

19.07.2017

OGH: Unterlassung der Verwendung und Beseitigung von "Bonitätsdaten", Fristenlauf nach § 34 Abs 1 DSG 2000

OGH 29.05.2017, 6 Ob 217/16d
[...] 2. Zum Fristenlauf nach § 34 Abs 1 DSG
Entscheidend ist hier, wann bei rechtswidrigen Dauerzuständen der Beginn des Fristenlaufs anzusetzen ist. Dazu hat sich in anderen Bereichen bereits eine gefestigte Rechtsprechung entwickelt:
Solange im Lauterkeitsrecht ein gesetzwidriger Zustand fortbesteht, bleibt gemäß § 20 Abs 2 UWG der Anspruch auf seine Beseitigung nach § 15 UWG und auf Unterlassung der Gesetzesverletzung gewahrt. [...]
Im Schadenersatzrecht besteht folgende Rechtsprechung: Bei fortgesetzter Schädigung beginnt die Verjährung für den Ersatz des erstentstandenen Schadens mit der Kenntnis des Beschädigten von ihm zu laufen; für jede weitere Schädigung beginnt eine neue Verjährung in dem Zeitpunkt, in welchem sie dem Beschädigten zur Kenntnis gelangt (RIS-Justiz RS0034536). Eine fortgesetzte Schädigung in diesem Sinn liegt vor, wenn durch eine schädigende Anlage, Nichtbeseitigen eines gefährlichen oder Aufrechterhalten eines rechtswidrigen Zustands Schäden hervorgerufen werden (RIS-Justiz RS0034536 [T13]). [...]
Im Sinn dieser Rechtsprechung ist es auch bei auf § 32 DSG gestützten Unterlassungs- und Beseitigungsansprüchen sachgerecht, bei rechtswidrigen Dauerzuständen wie im vorliegenden Fall sowohl die subjektive einjährige als auch die objektive dreijährige Präklusivfrist nicht vor Beendigung dieses Dauerzustands beginnen zu lassen.
3. Zu § 39 Abs 2 BWG
[...] Die von der Revisionswerberin aus § 39 Abs 2 BWG abgeleiteten Verpflichtungen finden im Wortlaut der Bestimmung keine Deckung. § 39 Abs 2 BWG sieht lediglich ein von der Rechtsordnung grundsätzlich gebilligtes überwiegendes berechtigtes Interesse an der Sammlung, Aufbewahrung und Weitergabe bonitätsrelevanter personenbezogener Daten iSd § 8 Abs 1 Z 4 DSG 2000 vor. Diese Bestimmung legt jedoch nicht die Aufnahme bestimmter personenbezogenen Daten in eine Datenanwendung iSd § 4 Z 7 DSG 2000 und den Betrieb eines – kreditinstitutsübergreifenden – Informationsverbundsystems (§ 4 Z 13, § 50 DSG 2000) über bonitätsrelevante Daten verpflichtend fest (6 Ob 112/10d). [...]
Anmerkung: Mit Ausführungen des OLG Innsbruck zur Rechtswirksamkeit der Zustimmungserklärung  über die Weitergabe von Daten an die Kleinkreditevidenz.

ECHR: Factsheet on Personal data protection (July 2017)

European Court of Human Rights: Factsheet on Personal data protection (case law of the ECHR; July 2017; pdf)

05.07.2017

BRD: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU im BGBl

Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU, BGBl (pdf) - BDSG-neu

For my digital legal memory only ;)

DSGVO: Vermischtes (Verarbeitungsverzeichnis-Muster and more)

28.06.2017

Österreich: DSGVO-Anpassungsgesetz - aktueller Stand (Updates)

Mangels einer Verfassungsmehrheit (in der Regierungsvorlage eines "Datenschutz-Anpassungsgesetz 2018" waren - typisch für Österreich - Verfassungsbestimmungen enthalten, siehe Artikel 1 und § 1 DSG) im Verfassungsausschuss wurde mit den Stimmen von SP und VP ein "modifizierter" Text (aufgrund eines sog. "Gesamtändernden Abänderungsantrags") beschlossen, zudem kam es aufgrund von Interventionen von Forschungseinrichtungen zu einer sog. "Ausschussfeststellung" (hier haben auch die Grünen zugestimmt, siehe den Ausschussbericht), diese lautet wie folgt:
„Der Verfassungsausschuss geht in Bezug auf § 7 (’Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistischer Zwecke’) davon aus, dass die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs gemäß Erwägungsgrund 113 der Datenschutz-Grundverordnung auch durch die Erlassung spezialgesetzlicher Regelungen erreicht werden können. Damit sollen die in der Datenschutz-Grundverordnung vorgesehenen Öffnungsklauseln (insbesondere Art. 89 DSGVO) im Sinne der gedeihlichen Entwicklung des Hochschul-, Forschungs- und Innovationsstandortes Österreich genutzt werden, um praxisnahe Regelungen für die im öffentlichen Interesse liegenden Archivzwecke, die wissenschaftlichen oder historischen Forschungszwecke oder die statistischen Zwecke, insbesondere für pseudonymisierte Daten und Regelungen zur Registerforschung zu schaffen sowie Rechtssicherheit insbesondere für bereits bestehende biologische Proben- und Datensammlungen zu gewährleisten.“

Geändert wurde im Vergleich zur Regierungsvorlage u.a. Folgendes:
  • Art 8 DSGVO: § 4 Abs 4 DSG sieht die Einwilligungsfähigkeit ab dem Alter von 14 Jahren vor (anstelle von 16)
  • Art 10 DSGVO: § 4 Abs 3 DSG erlaubt unter bestimmten Voraussetzungen die Verarbeitung "strafrechtsbezogener" Daten durch Private (in der RV fehlte so eine Regelung komplett, was auch heftig kritisiert wurde)
  • Befugnisse der Aufsichtbehörde (Datenschutzbehörde): § 11 Abs 1 DSG sah u.a. vor , dass die Datenschutzbehörde nur im Fall eines begründeten Verdachtes auf Verletzung der Rechte und Pflichten Datenverarbeitungen überprüfen hätte können. Der "begründete Verdacht" wurde beseitigt (s nunmehr § 22 Abs 1).
  • Anpassung der "Reichweite" des § 25 (nunmehr § 7), um DSGVO-konform zu sein. Dies könnte auf die von mir im Auftrag meines Arbeitgebers verfasste Stellungnahme zurückgehen: "Ad § 25 DSG idF DS-AnpG 2018 (“Verarbeitung zum Zweck der wissenschaftlichen Forschung und Statistik“): Auffällig ist zunächst, dass in § 25 DSG idF DS-AnpG 2018 keine Rede von „im öffentlichen Interesse liegenden Archivzwecken“ und „historischen Forschungszwecken“ ist, obwohl diese in der DSGVO ausdrücklich genannt (und privilegiert) werden (siehe ua Art 5 Abs 1 lit b, Art 9 Abs 2 lit j, Art 89 Abs 1). Sofern dadurch tatsächlich beabsichtigt wird, den Umfang der Datenverarbeitung für diese Zwecke einzuschränken, erscheint dies als (unzulässige) Beschränkung des Anwendungsbereichs der DSGVO durch nationales Recht."
  • Update, Einschränkung des Verweises auf das ArbVG: § 11: Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.
Das Datenschutz-Anpassungsgesetz 2018 soll morgen, 29.6.2017 vom Nationalrat beschlossen werden, angeblich soll es noch zu einer kleinen Abänderung kommen ...
Update 29.06.2017: Vom Nationalrat (mit einem Abänderungsantrag) beschlossen, womit in das „DSG neu“ eine Norm aufgenommen wird, die die „alten“ unter dem DSG 2000 eingeholten Zustimmungserklärungen auch unter der neuen Rechtslage ab 25.5.2018 für wirksam erklärt (sofern diese auch der DSGVO entsprechen – als Vorlage diente offenbar der Beschluss des deutschen "Düsseldorfer Kreises": https://datenschutz-berlin.de/attachments/1254/2016-Duesseldorfer-Kreis-Alteinwilligung.pdf?1474624406)
Update 03.07.2017: Abänderungsantrag verlinkt; auf der TO des Bundesrats am 06.07.2017
Update 07.07.2017: Der Bundesrat hat gestern zugestimmt (Pressemeldung), next steps: Bundeskanzler und Bundespräsident, danach Kundmachung im BGBl.

23.06.2017

Art 29 WP: Opinion 2/2017 on data processing at work

Article 29 Working Party releases Opinion 2/2017 on data processing at work (WP 249, pdf), adopted on 8 June 2017:
"... Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer. ..."

14.06.2017

BfDI: Datenschutzrechtliche Empfehlungen zum automatisierten u. vernetzten Fahren

Datenschutzrechtliche Empfehlungen der BfDI zum automatisierten und vernetzten Fahren (pdf)

Datenschutzbehörde: Einwilligungerklärung in AGB, "Koppelungsverbot"

DSB 22.05.2017, DSB-D216.396/0003-DSB/2017
[...] Eine ausdrückliche Zustimmung des Betroffenen kann keinesfalls dann vorliegen, wenn sie bloß als Bestandteil von Allgemeinen Geschäftsbedingungen vom Betroffenen zur Kenntnis genommen wurde. Vielmehr liegt eine „ausdrückliche“ schriftliche Zustimmung nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung getrennt von etwaigen sonstigen vertraglichen Vereinbarungen gegeben hat.
Hinsichtlich der Form der Zustimmungserklärung ist daher zu verlangen, dass diese deutlich vom übrigen Text eines Formulars, eines Schriftstückes udgl. abgesetzt ist. Hinweise auf allgemeine Geschäftsbedingungen, auf Angaben in anderen Dokumenten, die nicht Bestandteil des unterzeichneten Papiers sind, sind nicht zulässig.
Die Zustimmungserklärung bedarf jedenfalls einer gesonderten Unterzeichnung, die einheitliche Unterzeichnung eines Formulars, in dem neben anderen Erklärungen auch die Zustimmungserklärung enthalten ist, reicht nicht aus. Es ist daher in solchen Fällen jedenfalls erforderlich, die Zustimmungserklärung vom übrigen Formulartext derart zu trennen, dass eine gesonderte Unterfertigung der Zustimmungserklärung und der sonstigen vom Formular vorgesehenen Angaben möglich ist (vgl. dazu Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht2 S 79 mwN).
Die „Stellungnahme 15/2011 zur Definition von Einwilligung“ (iSd Datenschutz-Richtlinie 95/46/EG) der Art 29 Datenschutzgruppe, WP 187, vom 13. Juli 2011, führt folgendes aus:
„Eine Einwilligung muss für den konkreten Fall erfolgen. Eine pauschale Einwilligung ohne genaue Festlegung des Zwecks ist nicht rechtmäßig. Diese Informationen sollten nicht in den allgemeinen Geschäftsbedingungen des Vertrags stehen, sondern es sollten stattdessen spezielle Einwilligungsklauseln gesondert von den allgemeinen Geschäftsbedingungen verwendet werden.
[...] Die Datenschutzbehörde/Datenschutzkommission hält daher in ständiger Rechtsprechung eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB für nicht zulässig (vgl. dazu etwa die Empfehlung der Datenschutzkommission vom 13. Juli 2012, GZ K 212.766/0010-DSK/2012). Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung einzugehen („Opt-in“ – Lösung, etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist).
[...] Der Hinweis von „O***“ auf Art. 6 Abs. 1 lit. f iVm EG 47 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) – zur Begründung überwiegender berechtigter Interessen – verfängt schon deshalb nicht, weil dieser Rechtsakt noch nicht in Geltung steht. [...]