DATENSCHUTZGRUNDVERORDNUNG KAPITEL VII ("ZUSAMMENARBEIT UND KOHÄRENZ") - Datenschutzbehörde
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NEWSLETTER 1 / 2018
DATENSCHUTZGRUNDVERORDNUNG KAPITEL VII („ZUSAMMENARBEIT UND KOHÄRENZ“)
Kapitel VII (Artikel 60 bis Artikel 76) schafft völlig neue haltensregeln gemäß Artikel 40, der Akkreditierungen
Regelungen betreffend die Kooperation der Aufsichtsbe- gemäß Artikel 41, der Festlegung von Standard-Daten-
hörden, welche in drei Abschnitten dargelegt werden. schutzklauseln gemäß Artikel 46, der Genehmigung von
Im Mittelpunkt des ersten Abschnittes („Zusammen- Vertragsklauseln gemäß Artikel 46 und der Annahme
arbeit“) steht der „One-Stop-Shop Mechanismus“ ge- verbindlicher interner Vorschriften im Sinne des Artikel
mäß Artikel 60, im Zuge dessen ein Betroffener seine 47 vorgesehen. Darüber hinaus können jede Aufsichtsbe-
Beschwerde auch in grenzüberschreitenden Fällen an die hörde, der Vorsitz des Ausschusses oder die Kommission
Aufsichtsbehörde seines Wohnsitzes richten kann, wel- die Überprüfung einer Angelegenheit mit allgemeiner
che anschließend im Rahmen des Mechanismus mit an- Geltung oder mit Auswirkungen in mehr als einem Mit-
deren Aufsichtsbehörden zusammenarbeitet. Ziel dieser gliedstaat verlangen (Artikel 64 Absatz 2). Obwohl Stel-
Zusammenarbeit ist die gemeinsame Erarbeitung eines lungnahmen des Europäischen Datenschutzausschusses
Entscheidungsentwurfes, der durch die federführende für die Aufsichtsbehörden nicht verbindlich sind, kann
Aufsichtsbehörde (Artikel 56 Absatz 1) unter Einbezie- deren Nichtbefolgung oder Nichteinholung gemäß Arti-
hung der Standpunkte der betroffenen Aufsichtsbehör- kel 65 Absatz 1 lit. c zweiter Fall einen verbindlichen Be-
den (Artikel 4 Z 22) erstellt wird. schluss nach sich ziehen.
Weitere Instrumente der Kooperation zwischen den Ein solcher Beschluss ist außerdem dann vom Europä-
Aufsichtsbehörden, die auch im „One-Stop-Shop Mecha- ischen Datenschutzausschuss zu fällen, wenn im Rahmen
nismus“ Anwendung finden können, sind die gegensei- des „One-Stop-Shop Verfahrens“ Einspruch gegen den
tige Amtshilfe gemäß Artikel 61 und die gemeinsamen Beschlussentwurf der federführenden Behörde erhoben
Maßnahmen der Aufsichtsbehörden gemäß Artikel 62. wurde oder ein solcher von der federführenden Behör-
Abschnitt 2 widmet sich dem Kohärenzverfahren, wel- de als nicht maßgeblich oder nicht begründet abgelehnt
ches zur einheitlichen Rechtsanwendung der DSGVO in wurde (Artikel 65 Absatz 1 lit. a). Auch positive oder ne-
der gesamten Europäischen Union beitragen soll (Artikel gative Kompetenzkonflikte zwischen den betroffenen
63). Zu diesem Zweck kann der in Abschnitt 3 neu geschaf- Aufsichtsbehörden sollen durch Beschluss des Europäi-
fene Europäische Datenschutzausschuss zu bestimmten schen Datenschutzausschusses gelöst werden (Artikel 65
Maßnahmen der Aufsichtsbehörden Stellungnahmen Absatz 1 lit. b).
abgeben (Artikel 64) und für die Aufsichtsbehörden ver- Gegen Beschlüsse des Europäischen Datenschutzaus-
bindliche Beschlüsse erlassen (Artikel 65). Stellungnah- schusses gemäß Artikel 65 kann jede natürliche oder ju-
men des europäischen Datenschutzausschusses sind ristische Person sowie die beschwerte Aufsichtsbehörde
etwa im Bereich der Datenschutz-Folgenabschätzung gemäß Artikel 263 AEUV beim EuGH eine Nichtigkeitskla-
gemäß Artikel 35 (betreffend die „Black-List“), der Ver- ge erheben (Erwägungsgrund 143 der DSGVO).
DSB Newsletter 1 / 2018 1
www.dsb.gv.at dsb@dsb.gv.at
Abschnitt 3 enthält schließlich Regelungen hinsicht- deren Tätigkeit insbesondere die Einwohner jenes
lich des neu etablierten Europäischen Datenschutzaus- Mitgliedstaates erfasst. Dies gilt auch, wenn die
schuss. Dieser wird durch die DSGVO als „Einrichtung Hauptniederlassung in einem anderen Mitglied-
der Union“ mit eigener Rechtspersönlichkeit (Artikel 68 staat liegt (hier: Irland).
Absatz 1) und Unabhängigkeit (Artikel 69) ausgestattet –– Somit kann eine Kontrollstelle sämtliche übertra-
und ersetzt die Art. 29-Datenschutzgruppe. Neben dem genen Befugnisse gemäß Art. 28 Abs. 3 der Richt-
in Abschnitt 2 dargelegten Kohärenzverfahren nimmt der linie 95/46 gegenüber dem für die Verarbeitung
Europäische Datenschutzausschuss zahlreiche weitere Verantwortlichen ausüben, und zwar auch dann,
Tätigkeiten wahr, wie etwa die Beratung der Kommission wenn dieser Verantwortliche seinen Sitz in einem
(Artikel 70 Absatz 1 lit. b,c,q, r und s), die Bereitstellung anderen Mitgliedstaat oder einem Drittstaat hat.
von Leitlinien, Empfehlungen und bewährten Verfahren
(Artikel 70 Absatz 1 lit. d,e,f,g,h,i,j und m sowie die Über- Folgt der Gerichtshof diesen Schlussanträgen, könnte
prüfung betreffend lit. e und f), die Ausarbeitung von für Österreich abgeleitet werden:
Leitlinien für die Aufsichtsbehörden (Artikel 70 Absatz 1 –– Besitzt ein Unternehmen eine Zweigniederlassung
lit. k) und die Führung eines öffentlichen elektronischen in Österreich, so kann die Datenschutzbehörde im
Registers der Beschlüsse der Aufsichtsbehörden und Ge- Rahmen ihrer Befugnisse auch gegen einen Auf-
richte im Zusammenhang mit dem Kohärenzverfahren traggeber mit Sitz im Ausland vorgehen.
(Artikel 70 Absatz lit. y).
Im Fokus Ausgewählte Entscheidungen der DSB
Schlussantrag des Generalanwalts in der Rechtssa- Auswertung von Telefondaten für dienstliche Kon-
che C-210/16 (Wirtschaftsakademie Schleswig-Hol- trollmaßnahmen
stein GmbH, Facebook) Im Bescheid vom 8.11.2017, GZ: DSB-D122.718/0006-
–– Im gegenständlichen Verfahren geht es um einen DSB/2017, hatte sich die Datenschutzbehörde mit einer
Rechtsstreit zwischen der Wirtschaftsakademie Frage der Zulässigkeit von Kontrollmaßnahmen am Ar-
Schleswig-Holstein GmbH und dem Unabhängigen beitsplatz zu befassen. Der Beschwerdeführer, ein wäh-
Landeszentrum für Datenschutz Schleswig-Hol- rend des Beschwerdeverfahrens entlassener Vertragsbe-
stein. diensteter des Bundes, beschwerte sich über behauptete
–– Verfahrensgegenstand ist die Rechtmäßigkeit ei- Eingriffe in sein Grundrecht auf Geheimhaltung durch Er-
ner Anordnung Letzterer gegenüber der Wirt- mittlungen seiner Personalstelle, durch die der Verdacht
schaftsakademie, eine bei Facebook Ireland Ltd pflichtwidrigen Verhaltens überprüft werden sollte. Für
betriebene „Fanpage“ zu deaktivieren. Besucher diesen Zweck wurden u.a. Einzelverbindungsnachweise
der Fanpage würden nicht darüber informiert, für die Nebenstelle und das Diensthandy des Beschwer-
dass personenbezogene Daten von Facebook mit- deführers angefordert. Hinsichtlich der solcherart er-
tels Cookies erhoben werden. folgten Ermittlung von Daten zu (Sprach-) Telefonver-
bindungen war die Beschwerde teilweise erfolgreich, da
Der Generalanwalt führt im Wesentlichen aus: der auch auf Vertragsbedienstete anzuwendende 2. Satz
–– Betreiber einer Fanpage eines sozialen Netzwerks in § 79e Abs. 3 BDG 1979 „Telefonie“ ausdrücklich von
wie Facebook sind auch als für die Verarbeitung den gemäß Unterabschnitt 5a des BDG 1979 zulässigen
Verantwortliche hinsichtlich der Phase der Verar- dienstrechtlichen Kontrollmaßnahmen ausnimmt (eine
beitung anzusehen. Bestimmung, die erst im Zuge der parlamentarischen Be-
–– Die gemeinsame Verantwortlichkeit (Betreiber der ratungen in den Gesetzestext aufgenommen wurde). Es
Fanpage, Facebook Inc. und Facebook Ireland) be- fehlte daher an einer ausreichenden rechtlichen Grundla-
deutet keine gleichrangige Verantwortlichkeit. Die ge für den Grundrechtseingriff. Die Ermittlung von Daten
für die Verarbeitung Verantwortlichen können im zu sonstigen Kommunikationsverbindungen, einschließ-
unterschiedlichen Ausmaß an der Verarbeitung lich SMS, war dagegen nach Ansicht der DSB rechtmäßig,
beteiligt sein. da die erforderlichen dienstrechtlichen Voraussetzungen
–– Die Datenverarbeitung eines Unternehmens findet für Kontrollmaßnahmen hier gegeben waren.
auch in jenem Mitgliedstaat statt, in welchem für Der Bescheid ist rechtskräftig.
die Förderung des Verkaufs von Werbeflächen das
Unternehmen eine Tochtergesellschaft gründet,
2 DSB Newsletter 1 / 2018
www.dsb.gv.at dsb@dsb.gv.atAuskunft zu Kommunikationsvorgängen Betriebsvereinbarung Videoüberwachung
Im Bescheid vom 17.12.2015, GZ: DSB-D122.259/0008- Der VwGH hat mit Erkenntnis vom 23. Oktober 2017,
DSB/2015, hatte sich die Datenschutzbehörde mit der Zl. Ro 2016/04/0051, ein Erkenntnis des BVwG vom 13.
Verantwortung im Organisationsgefüge einer Kirche Juli 2016 aufgehoben. Bei dem zugrundeliegenden Sach-
sowie mit Fragen des Umfangs des Auskunftsrechts zu verhalt geht es um die Ablehnung der Registrierung ei-
Kommunikationsvorgängen zu befassen. Der Beschwer- ner beim Datenverarbeitungsregister gemeldeten Vi-
deführer wollte in Erfahrung bringen, ob eine Seelsorge- deoüberwachungsanlage, bei der die gemäß § 50c Abs.
rin (Diakonin der Evangelischen Kirche A.B.) mit einem 1 letzter Satz DSG 2000 vorzulegende Betriebsvereinba-
Vertreter eines Pflegeheimbetreibers Informationen zu rung nicht beigebracht wurde.
seinen Beschwerden über die Betreuung seines Vaters Inhaltlich hat der VwGH die Entscheidung des Ver-
ausgetauscht hatte. Dazu verlangte er datenschutzrecht- waltungsgerichts bzw. der Datenschutzbehörde im We-
liche Auskünfte von der Seelsorgerin, deren Arbeitge- sentlichen bestätigt und insbesondere festgehalten, dass
ber (Evangelische Kirche A.B.) und der Landeskirche die DSB die Frage, ob eine Betriebsvereinbarung gemäß
(Evangelische Kirche A. und H.B.); letztere ist allein als § 96a ArbVG abzuschließen (und damit vorzulegen) ist
Auftraggeberin im DVR eingetragen. Laut Sachverhalts- oder nicht, selbstständig als Vorfrage beurteilen kann.
feststellungen hatte es zwar Telefongespräche und SMS Der Revisionswerber hat jedoch auch die fehlen-
gegeben, die SMS-Inhaltsdaten waren aber bereits ge- de Durchführung einer mündlichen Verhandlung beim
löscht. Die DSB wies die Beschwerde ab und hielt fest, BVwG gerügt. Diese hat er zwar nicht ausdrücklich ver-
dass das datenschutzrechtliche Auskunftsrecht auf Da- langt, deren Notwendigkeit leitet sich jedoch aus der,
ten beschränkt ist, die Teil eines zumindest teilweise in der Bescheidbeschwerde beantragten zeugenschaft-
automationsunterstützen Verarbeitungsprozesses oder lichen Einvernahme mehrerer Personen ab. Zwar kann
einer manuellen Datei sind. Keine Auskunft geschuldet das Verwaltungsgericht gemäß § 24 Abs. 4 VwGVG unter
wird daher ganz allgemein über Kommunikationsinhalte gewissen Voraussetzungen von einer Verhandlung abse-
im menschlichen Sozialleben, etwa über den Inhalt von hen, eine ausreichende diesbezügliche Begründung des
Telefongesprächen. Hierzu muss auch keine Beweisauf- Verwaltungsgerichts fehlt jedoch in der bekämpften Ent-
nahme stattfinden. scheidung, weshalb die Revision zum Erfolg führte.
Der Bescheid ist rechtskräftig.
Ausgewählte Entscheidungen der Gerichte
Löschungsbegehren bei Google
Derzeit sind vor dem EuGH zwei vom französischen
Conseil d’État in Vorlage gebrachte Verfahren anhän-
gig, in welchen es um die Auslegung des Urteils vom
13.05.2014, C 131/12, Google, geht.
Im Verfahren zur GZ C-136/17 geht es u.a. um die Fra-
ge, wie weit die Verpflichtung von Suchmaschinenbetrei-
bern geht, Löschungsbegehren stattzugeben und wann
Suchmaschinenbetreiber ein Löschungsbegehren zuläs-
sigerweise ablehnen können.
Das Verfahren zur GZ C-507/17 betrifft auch die Fra-
ge, wie weit die Löschungsverpflichtung von Suchma-
schinenbetreibern (konkret: Google) geht. Derzeit löscht
Google Suchergebnisse auf allen Google-Domains des
EWR bzw., auf Basis der Geoblocking-Methode, auf allen
Domains, die von einer IP-Adresse eines Mitgliedstaates
angesteuert werden. Die französische Datenschutzbe-
hörde (CNIL) ist der Ansicht, dass eine Löschung auf allen
Domains von Google zu erfolgen hat (de facto weltweite
Löschung), Google ist der Ansicht, dass dies nicht erfor-
derlich sei und u.a. dem Recht auf Zugang zu Informatio-
nen widerspreche.
DSB Newsletter 1 / 2018 3
www.dsb.gv.at dsb@dsb.gv.atGesetzesbegutachtung
Gesetzesbegutachtung––Stellungnahmen
Stellungnahmen DVR-Online Tipps und Tricks
Die DSB hat zu folgenden Gesetzesvorhaben eine Stel- Anmeldung für Parteienvertreter (Rechtsanwälte,
lungnahme abgegeben: Notare)
–– Zahlungsdienstegesetz 2018 Die Anmeldemöglichkeit mit Hilfe der „Online BKU
–– Intelligente Messgeräte-Einführungs-VO (Ände- (Bürgerkartenumgebung)“ steht aus Sicherheitsgründen
rung) nicht mehr zur Verfügung.
Die Anmeldung für Parteienvertreter erfolgt über
Hinweise zur DSGVO: die Lokale BKU. Um die lokale Bürgerkartenumgebung
Der Leitfaden zur DSGVO wurde aktualisiert.Beschlos- nutzen zu können, ist die Installation einer eigenen
sene Leitlinien der Artikel-29-Gruppe sind nun auch teil- BKU-Software erforderlich. Unter www.buergerkarte.at
weise in deutscher Version auf der Homepage der DSB - Bürgerkarte – Werkzeuge & Downloads finden Sie die
abrufbar. notwendige Software zum Downloaden.
Weblink: Weblinks:
–– Parlament aktiv: alle Stellungnahmen –– DSB: Anleitung
–– Leitfaden zur DSGVO –– USB: Antworten auf häufige Fragen – Wie kann ich
mein Unternehmen im USP registrieren?
– Handy-Signatur
– Finanz-Online
– Bürgerkarte
Impressum:
Medieninhaber, Herausgeber und Redaktion: Österreichische
Datenschutzbehörde (DSB), Wickenburggasse 8, 1080 Wien,
E-Mail: dsb@dsb.gv.at, Web: http://www.dsb.gv.at
Offenlegung gemäß § 25 Mediengesetz:
Der Newsletter der DSB ist ein wiederkehrendes elektronisches
Medium (§ 1 Abs. 1 Z 5a lit. c MedienG); die gesetzlich gebote-
nen Angaben sind über folgenden Link abrufbar: https://www.
dsb.gv.at/web/datenschutzbehorde/impressum-copyright
4 DSB Newsletter 1 / 2018
www.dsb.gv.at dsb@dsb.gv.atSie können auch lesen
