DATENSCHUTZGRUNDVERORDNUNG KAPITEL VII ("ZUSAMMENARBEIT UND KOHÄRENZ") - Datenschutzbehörde
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NEWSLETTER 1 / 2018 DATENSCHUTZGRUNDVERORDNUNG KAPITEL VII („ZUSAMMENARBEIT UND KOHÄRENZ“) Kapitel VII (Artikel 60 bis Artikel 76) schafft völlig neue haltensregeln gemäß Artikel 40, der Akkreditierungen Regelungen betreffend die Kooperation der Aufsichtsbe- gemäß Artikel 41, der Festlegung von Standard-Daten- hörden, welche in drei Abschnitten dargelegt werden. schutzklauseln gemäß Artikel 46, der Genehmigung von Im Mittelpunkt des ersten Abschnittes („Zusammen- Vertragsklauseln gemäß Artikel 46 und der Annahme arbeit“) steht der „One-Stop-Shop Mechanismus“ ge- verbindlicher interner Vorschriften im Sinne des Artikel mäß Artikel 60, im Zuge dessen ein Betroffener seine 47 vorgesehen. Darüber hinaus können jede Aufsichtsbe- Beschwerde auch in grenzüberschreitenden Fällen an die hörde, der Vorsitz des Ausschusses oder die Kommission Aufsichtsbehörde seines Wohnsitzes richten kann, wel- die Überprüfung einer Angelegenheit mit allgemeiner che anschließend im Rahmen des Mechanismus mit an- Geltung oder mit Auswirkungen in mehr als einem Mit- deren Aufsichtsbehörden zusammenarbeitet. Ziel dieser gliedstaat verlangen (Artikel 64 Absatz 2). Obwohl Stel- Zusammenarbeit ist die gemeinsame Erarbeitung eines lungnahmen des Europäischen Datenschutzausschusses Entscheidungsentwurfes, der durch die federführende für die Aufsichtsbehörden nicht verbindlich sind, kann Aufsichtsbehörde (Artikel 56 Absatz 1) unter Einbezie- deren Nichtbefolgung oder Nichteinholung gemäß Arti- hung der Standpunkte der betroffenen Aufsichtsbehör- kel 65 Absatz 1 lit. c zweiter Fall einen verbindlichen Be- den (Artikel 4 Z 22) erstellt wird. schluss nach sich ziehen. Weitere Instrumente der Kooperation zwischen den Ein solcher Beschluss ist außerdem dann vom Europä- Aufsichtsbehörden, die auch im „One-Stop-Shop Mecha- ischen Datenschutzausschuss zu fällen, wenn im Rahmen nismus“ Anwendung finden können, sind die gegensei- des „One-Stop-Shop Verfahrens“ Einspruch gegen den tige Amtshilfe gemäß Artikel 61 und die gemeinsamen Beschlussentwurf der federführenden Behörde erhoben Maßnahmen der Aufsichtsbehörden gemäß Artikel 62. wurde oder ein solcher von der federführenden Behör- Abschnitt 2 widmet sich dem Kohärenzverfahren, wel- de als nicht maßgeblich oder nicht begründet abgelehnt ches zur einheitlichen Rechtsanwendung der DSGVO in wurde (Artikel 65 Absatz 1 lit. a). Auch positive oder ne- der gesamten Europäischen Union beitragen soll (Artikel gative Kompetenzkonflikte zwischen den betroffenen 63). Zu diesem Zweck kann der in Abschnitt 3 neu geschaf- Aufsichtsbehörden sollen durch Beschluss des Europäi- fene Europäische Datenschutzausschuss zu bestimmten schen Datenschutzausschusses gelöst werden (Artikel 65 Maßnahmen der Aufsichtsbehörden Stellungnahmen Absatz 1 lit. b). abgeben (Artikel 64) und für die Aufsichtsbehörden ver- Gegen Beschlüsse des Europäischen Datenschutzaus- bindliche Beschlüsse erlassen (Artikel 65). Stellungnah- schusses gemäß Artikel 65 kann jede natürliche oder ju- men des europäischen Datenschutzausschusses sind ristische Person sowie die beschwerte Aufsichtsbehörde etwa im Bereich der Datenschutz-Folgenabschätzung gemäß Artikel 263 AEUV beim EuGH eine Nichtigkeitskla- gemäß Artikel 35 (betreffend die „Black-List“), der Ver- ge erheben (Erwägungsgrund 143 der DSGVO). DSB Newsletter 1 / 2018 1 www.dsb.gv.at dsb@dsb.gv.at
Abschnitt 3 enthält schließlich Regelungen hinsicht- deren Tätigkeit insbesondere die Einwohner jenes lich des neu etablierten Europäischen Datenschutzaus- Mitgliedstaates erfasst. Dies gilt auch, wenn die schuss. Dieser wird durch die DSGVO als „Einrichtung Hauptniederlassung in einem anderen Mitglied- der Union“ mit eigener Rechtspersönlichkeit (Artikel 68 staat liegt (hier: Irland). Absatz 1) und Unabhängigkeit (Artikel 69) ausgestattet –– Somit kann eine Kontrollstelle sämtliche übertra- und ersetzt die Art. 29-Datenschutzgruppe. Neben dem genen Befugnisse gemäß Art. 28 Abs. 3 der Richt- in Abschnitt 2 dargelegten Kohärenzverfahren nimmt der linie 95/46 gegenüber dem für die Verarbeitung Europäische Datenschutzausschuss zahlreiche weitere Verantwortlichen ausüben, und zwar auch dann, Tätigkeiten wahr, wie etwa die Beratung der Kommission wenn dieser Verantwortliche seinen Sitz in einem (Artikel 70 Absatz 1 lit. b,c,q, r und s), die Bereitstellung anderen Mitgliedstaat oder einem Drittstaat hat. von Leitlinien, Empfehlungen und bewährten Verfahren (Artikel 70 Absatz 1 lit. d,e,f,g,h,i,j und m sowie die Über- Folgt der Gerichtshof diesen Schlussanträgen, könnte prüfung betreffend lit. e und f), die Ausarbeitung von für Österreich abgeleitet werden: Leitlinien für die Aufsichtsbehörden (Artikel 70 Absatz 1 –– Besitzt ein Unternehmen eine Zweigniederlassung lit. k) und die Führung eines öffentlichen elektronischen in Österreich, so kann die Datenschutzbehörde im Registers der Beschlüsse der Aufsichtsbehörden und Ge- Rahmen ihrer Befugnisse auch gegen einen Auf- richte im Zusammenhang mit dem Kohärenzverfahren traggeber mit Sitz im Ausland vorgehen. (Artikel 70 Absatz lit. y). Im Fokus Ausgewählte Entscheidungen der DSB Schlussantrag des Generalanwalts in der Rechtssa- Auswertung von Telefondaten für dienstliche Kon- che C-210/16 (Wirtschaftsakademie Schleswig-Hol- trollmaßnahmen stein GmbH, Facebook) Im Bescheid vom 8.11.2017, GZ: DSB-D122.718/0006- –– Im gegenständlichen Verfahren geht es um einen DSB/2017, hatte sich die Datenschutzbehörde mit einer Rechtsstreit zwischen der Wirtschaftsakademie Frage der Zulässigkeit von Kontrollmaßnahmen am Ar- Schleswig-Holstein GmbH und dem Unabhängigen beitsplatz zu befassen. Der Beschwerdeführer, ein wäh- Landeszentrum für Datenschutz Schleswig-Hol- rend des Beschwerdeverfahrens entlassener Vertragsbe- stein. diensteter des Bundes, beschwerte sich über behauptete –– Verfahrensgegenstand ist die Rechtmäßigkeit ei- Eingriffe in sein Grundrecht auf Geheimhaltung durch Er- ner Anordnung Letzterer gegenüber der Wirt- mittlungen seiner Personalstelle, durch die der Verdacht schaftsakademie, eine bei Facebook Ireland Ltd pflichtwidrigen Verhaltens überprüft werden sollte. Für betriebene „Fanpage“ zu deaktivieren. Besucher diesen Zweck wurden u.a. Einzelverbindungsnachweise der Fanpage würden nicht darüber informiert, für die Nebenstelle und das Diensthandy des Beschwer- dass personenbezogene Daten von Facebook mit- deführers angefordert. Hinsichtlich der solcherart er- tels Cookies erhoben werden. folgten Ermittlung von Daten zu (Sprach-) Telefonver- bindungen war die Beschwerde teilweise erfolgreich, da Der Generalanwalt führt im Wesentlichen aus: der auch auf Vertragsbedienstete anzuwendende 2. Satz –– Betreiber einer Fanpage eines sozialen Netzwerks in § 79e Abs. 3 BDG 1979 „Telefonie“ ausdrücklich von wie Facebook sind auch als für die Verarbeitung den gemäß Unterabschnitt 5a des BDG 1979 zulässigen Verantwortliche hinsichtlich der Phase der Verar- dienstrechtlichen Kontrollmaßnahmen ausnimmt (eine beitung anzusehen. Bestimmung, die erst im Zuge der parlamentarischen Be- –– Die gemeinsame Verantwortlichkeit (Betreiber der ratungen in den Gesetzestext aufgenommen wurde). Es Fanpage, Facebook Inc. und Facebook Ireland) be- fehlte daher an einer ausreichenden rechtlichen Grundla- deutet keine gleichrangige Verantwortlichkeit. Die ge für den Grundrechtseingriff. Die Ermittlung von Daten für die Verarbeitung Verantwortlichen können im zu sonstigen Kommunikationsverbindungen, einschließ- unterschiedlichen Ausmaß an der Verarbeitung lich SMS, war dagegen nach Ansicht der DSB rechtmäßig, beteiligt sein. da die erforderlichen dienstrechtlichen Voraussetzungen –– Die Datenverarbeitung eines Unternehmens findet für Kontrollmaßnahmen hier gegeben waren. auch in jenem Mitgliedstaat statt, in welchem für Der Bescheid ist rechtskräftig. die Förderung des Verkaufs von Werbeflächen das Unternehmen eine Tochtergesellschaft gründet, 2 DSB Newsletter 1 / 2018 www.dsb.gv.at dsb@dsb.gv.at
Auskunft zu Kommunikationsvorgängen Betriebsvereinbarung Videoüberwachung Im Bescheid vom 17.12.2015, GZ: DSB-D122.259/0008- Der VwGH hat mit Erkenntnis vom 23. Oktober 2017, DSB/2015, hatte sich die Datenschutzbehörde mit der Zl. Ro 2016/04/0051, ein Erkenntnis des BVwG vom 13. Verantwortung im Organisationsgefüge einer Kirche Juli 2016 aufgehoben. Bei dem zugrundeliegenden Sach- sowie mit Fragen des Umfangs des Auskunftsrechts zu verhalt geht es um die Ablehnung der Registrierung ei- Kommunikationsvorgängen zu befassen. Der Beschwer- ner beim Datenverarbeitungsregister gemeldeten Vi- deführer wollte in Erfahrung bringen, ob eine Seelsorge- deoüberwachungsanlage, bei der die gemäß § 50c Abs. rin (Diakonin der Evangelischen Kirche A.B.) mit einem 1 letzter Satz DSG 2000 vorzulegende Betriebsvereinba- Vertreter eines Pflegeheimbetreibers Informationen zu rung nicht beigebracht wurde. seinen Beschwerden über die Betreuung seines Vaters Inhaltlich hat der VwGH die Entscheidung des Ver- ausgetauscht hatte. Dazu verlangte er datenschutzrecht- waltungsgerichts bzw. der Datenschutzbehörde im We- liche Auskünfte von der Seelsorgerin, deren Arbeitge- sentlichen bestätigt und insbesondere festgehalten, dass ber (Evangelische Kirche A.B.) und der Landeskirche die DSB die Frage, ob eine Betriebsvereinbarung gemäß (Evangelische Kirche A. und H.B.); letztere ist allein als § 96a ArbVG abzuschließen (und damit vorzulegen) ist Auftraggeberin im DVR eingetragen. Laut Sachverhalts- oder nicht, selbstständig als Vorfrage beurteilen kann. feststellungen hatte es zwar Telefongespräche und SMS Der Revisionswerber hat jedoch auch die fehlen- gegeben, die SMS-Inhaltsdaten waren aber bereits ge- de Durchführung einer mündlichen Verhandlung beim löscht. Die DSB wies die Beschwerde ab und hielt fest, BVwG gerügt. Diese hat er zwar nicht ausdrücklich ver- dass das datenschutzrechtliche Auskunftsrecht auf Da- langt, deren Notwendigkeit leitet sich jedoch aus der, ten beschränkt ist, die Teil eines zumindest teilweise in der Bescheidbeschwerde beantragten zeugenschaft- automationsunterstützen Verarbeitungsprozesses oder lichen Einvernahme mehrerer Personen ab. Zwar kann einer manuellen Datei sind. Keine Auskunft geschuldet das Verwaltungsgericht gemäß § 24 Abs. 4 VwGVG unter wird daher ganz allgemein über Kommunikationsinhalte gewissen Voraussetzungen von einer Verhandlung abse- im menschlichen Sozialleben, etwa über den Inhalt von hen, eine ausreichende diesbezügliche Begründung des Telefongesprächen. Hierzu muss auch keine Beweisauf- Verwaltungsgerichts fehlt jedoch in der bekämpften Ent- nahme stattfinden. scheidung, weshalb die Revision zum Erfolg führte. Der Bescheid ist rechtskräftig. Ausgewählte Entscheidungen der Gerichte Löschungsbegehren bei Google Derzeit sind vor dem EuGH zwei vom französischen Conseil d’État in Vorlage gebrachte Verfahren anhän- gig, in welchen es um die Auslegung des Urteils vom 13.05.2014, C 131/12, Google, geht. Im Verfahren zur GZ C-136/17 geht es u.a. um die Fra- ge, wie weit die Verpflichtung von Suchmaschinenbetrei- bern geht, Löschungsbegehren stattzugeben und wann Suchmaschinenbetreiber ein Löschungsbegehren zuläs- sigerweise ablehnen können. Das Verfahren zur GZ C-507/17 betrifft auch die Fra- ge, wie weit die Löschungsverpflichtung von Suchma- schinenbetreibern (konkret: Google) geht. Derzeit löscht Google Suchergebnisse auf allen Google-Domains des EWR bzw., auf Basis der Geoblocking-Methode, auf allen Domains, die von einer IP-Adresse eines Mitgliedstaates angesteuert werden. Die französische Datenschutzbe- hörde (CNIL) ist der Ansicht, dass eine Löschung auf allen Domains von Google zu erfolgen hat (de facto weltweite Löschung), Google ist der Ansicht, dass dies nicht erfor- derlich sei und u.a. dem Recht auf Zugang zu Informatio- nen widerspreche. DSB Newsletter 1 / 2018 3 www.dsb.gv.at dsb@dsb.gv.at
Gesetzesbegutachtung Gesetzesbegutachtung––Stellungnahmen Stellungnahmen DVR-Online Tipps und Tricks Die DSB hat zu folgenden Gesetzesvorhaben eine Stel- Anmeldung für Parteienvertreter (Rechtsanwälte, lungnahme abgegeben: Notare) –– Zahlungsdienstegesetz 2018 Die Anmeldemöglichkeit mit Hilfe der „Online BKU –– Intelligente Messgeräte-Einführungs-VO (Ände- (Bürgerkartenumgebung)“ steht aus Sicherheitsgründen rung) nicht mehr zur Verfügung. Die Anmeldung für Parteienvertreter erfolgt über Hinweise zur DSGVO: die Lokale BKU. Um die lokale Bürgerkartenumgebung Der Leitfaden zur DSGVO wurde aktualisiert.Beschlos- nutzen zu können, ist die Installation einer eigenen sene Leitlinien der Artikel-29-Gruppe sind nun auch teil- BKU-Software erforderlich. Unter www.buergerkarte.at weise in deutscher Version auf der Homepage der DSB - Bürgerkarte – Werkzeuge & Downloads finden Sie die abrufbar. notwendige Software zum Downloaden. Weblink: Weblinks: –– Parlament aktiv: alle Stellungnahmen –– DSB: Anleitung –– Leitfaden zur DSGVO –– USB: Antworten auf häufige Fragen – Wie kann ich mein Unternehmen im USP registrieren? – Handy-Signatur – Finanz-Online – Bürgerkarte Impressum: Medieninhaber, Herausgeber und Redaktion: Österreichische Datenschutzbehörde (DSB), Wickenburggasse 8, 1080 Wien, E-Mail: dsb@dsb.gv.at, Web: http://www.dsb.gv.at Offenlegung gemäß § 25 Mediengesetz: Der Newsletter der DSB ist ein wiederkehrendes elektronisches Medium (§ 1 Abs. 1 Z 5a lit. c MedienG); die gesetzlich gebote- nen Angaben sind über folgenden Link abrufbar: https://www. dsb.gv.at/web/datenschutzbehorde/impressum-copyright 4 DSB Newsletter 1 / 2018 www.dsb.gv.at dsb@dsb.gv.at
Sie können auch lesen