Michael Mrak

San Francisco verbietet sich Gesichtserkennung

Gesellschaft

Als erste Stadt in den USA hat San Francisco den Einsatz von Gesichtserkennungstechnologie durch Behörden verboten. Die Gefahr, dass der Einsatz solcher Technologie die Bürgerrechte verletzen könne, überwiege die vermeintlichen Vorteile bei Weitem, entschied der Stadtrat.

Story auf heise.de

Markus Kastelitz

dsv.li – Datenschutzverein in Liechtenstein gegründet

Datenschutz, Datenschutzbeauftragter, Liechtenstein

Es gibt sehr erfreuliche Neuigkeiten aus Liechtenstein:

Unter dem Namen dsv.li – Datenschutzverein in Liechtenstein wurde am 03. April 2019 ein “Schwester-Verein” von Privacyofficers.at gegründet, dessen vorrangiges Ziel (auch) die Schaffung eines aktiven Netzwerkes für Datenschutzbeauftragte und mit dem Thema Betraute in Liechtenstein ist.

Wir gratulieren herzlich und freuen uns auf eine (weiterhin) exzellente Zusammenarbeit!

Markus Kastelitz

Commission Expert Group: GDPR implemention in the Member States as of April 2019

DSGVO, GDPR

Für einen guten Überblick über die nationale Anpassungsgesetzgebung an die DSGVO siehe hier (pdf), für die JI-Richtlinie hier(pdf).

Markus Kastelitz
Markus Kastelitz

Österr. Datenschutzbehörde veröffentlicht Datenschutzbericht 2018

Datenschutzbehörde

Der Datenschutzbericht 2018 enthält u.a. einen Überblick zu ausgewählten Beschwerdeentscheidungen der DSB sowie der wesentlichen höchstgerichtlichen Judikatur (OGH, VwGH, EGMR, EuGH).

Markus Kastelitz

Dt. Datenschutzkonferenz: Hambacher Erklärung zu KI

Datenschutzkonferenz,, Künstliche Intelligenz (KI)

Die deutschen Datenschutzaufsichtsbehörden haben die sogenannte “Hambacher Erklärung zur Künstlichen Intelligenz” (pdf) verabschiedet. Sie nennt beispielhaft den Einsatz von KI-Systemen in der Medizin, insbesondere in der Diagnose, in der Sprachassistenz und bei der Bewertung von Bewerbungsunterlagen in der Bewerberauswahl. Aus dem geltenden Datenschutzrecht werden sieben Anforderungen abgeleitet, die bereits heute eingehalten werden müssen. So muss der Einsatz von KI-Systemen nachvollziehbar und erklärbar sein, den Grundsatz der Datenminimierung enthalten, Diskriminierungen vermeiden und benötigt technische und organisatorische Standards. Die Datenschutzaufsichtsbehörden wollen die Entwicklung begleiten und fordern Wissenschaft, Politik und Anwender auf, die Entwicklung von KI im Sinne des Datenschutzes zu steuern. Im Kern geht es darum, dass am Ende Menschen und nicht Maschinen über Menschen entscheiden.

Siehe hier zu den weiteren Entschließungen u.a. zum Brexit, zur biometrischen Analyse, Guidelines für Provider bzgl. Hackerangriffe, zu Facebook-Fanpages und Gemeinsame Verantwortlichkeit.

Markus Kastelitz
Michael Mrak

Bericht vom Seminar “aktuelle Datenschutzthemen”

Datenschutzbehörde, Seminar

Am 19. März fand in den Räumlichkeiten der Firma Microsoft ein Seminar für Vereinsmitglieder statt. Danke an Harald Leitenmüller, CTO von Microsoft Österreich für die Bereitstellung der Räumlichkeiten!

Dr. Thomas Menzel (DSB Bildungsteil BMBWF)

Zu Beginn erörterte Dr. Thomas Menzel (Datenschutzbeauftragter Bildungsteil BMBWF) aktuelle Herausforderungen und Projekte mit Datenschutz- und Datensicherheitsbezug und Aspekte der konformen Nutzung von IT und Cloudservices im Bildungsbereich.

Dr. Matthias Schmidl (Stv. Leiter der österreichischen Datenschutzbehörde)

Dr. Matthias Schmidl, Stellvertretender der Leiter Datenschutzbehörde berichtete über die Erfahrungen in den ersten 9 Monate nach Inkraftsetzung der DSGVO und erste Entscheidungen der Datenschutzbehörde.

Wir stellen allen Vereinsmitgliedern die Präsentation von Dr. Schmidl über unsere MeWe Mitgliedergruppe zur Verfügung!

Im Anschluss konnten sich unsere Vereinsmitglieder im Rahmen eines gemütliches Get-Together mit den Vortragenden und anderen VereinsmitgliederInnen austauschen.

Markus Kastelitz

Japan: Adequacy decision published

Adequacy, GDPR, Japan, Uncategorized

Durchführungsbeschluss (EU) 2019/419 der Kommission vom 23. Januar 2019 nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Japan im Rahmen des Gesetzes über den Schutz personenbezogener Informationen:

https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1553013579178&uri=CELEX:32019D0419

Markus Kastelitz

EDPB: Eighth Plenary session: Interplay ePrivacy Directive and GDPR, Statement on Elections & more

EDPB, ePrivacy, GDPR, Wahlen

https://edpb.europa.eu/news/news/2019/european-data-protection-board-eighth-plenary-session-interplay-eprivacy-directive_en

EDPB LIBE Report on the implementation of the GDPR – 26/02/2019

EDPB Statement 3/2019 on an ePrivacy regulation

EDPB Statement 2/2019 on the use of personal data in the course of political campaigns; Annex I to Statement 2/2019 on the use of personal data in the course of political campaigns

Markus Kastelitz

Österreichische Datenschutzbehörde: neue Adresse

Datenschutzbehörde

Die Datenschutzbehörde zieht derzeit in die Barichgasse 40-42, 1030 Wien um. Es sollte daher die Anschrift aktualisiert werden, sofern Sie z.B. in Datenschutzhinweisen genannt wird.

Markus Kastelitz

EDPB: Report on the Implementation of the GDPR with a special focus on the role and the means of the DPAs

Datenschutzbehörde, DSGVO, EDPB, GDPR

Implementation of the GDPR with a special focus on the role and the means of the DPAs: Written report to LIBE – First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities

Michael Mrak

EuGH: Entscheidung zu Videoaufnahmen in Polizeidienststelle

Datenschutz, EuGH

Im Fall C-345/17 hat der EuGH am 14.2.2019 folgendermaßen entschieden.

Die Videoaufzeichnung von Polizeibeamten in einer Polizeidienststelle während der Arbeit und die Veröffentlichung des Videos zB auf YouTube fällt in den Anwendungsbereich der DSRL (und damit wohl auch der DSGVO).

Der Sachverhalt: Eine Privatperson filmte in einer Polizeidienststelle in Lettland seine eigene Aussage im Rahmen eines Verfahrens gegen ihn und stellte diese Videoaufnahme, das Polizeibeamte und deren Tätigkeit in der Polizeidienststelle zeigte, auf der Website www.youtube.com. Auf YouTube hat jeder Nutzer die Möglichkeit, diese Videos online zu stellen, anzuschauen, zu beurteilen und/oder zu teilen.

Die Entscheidung des EuGH

  1. Es liegt keine Ausnahme vor; es handelt sich nicht um eine ausschließlich persönliche oder familiäre Tätigkeit, da das Video den persönlichen Bereich des Verantwortlichen durch die Veröffentlichung in YouTube „verlassen“ hat. Damit ist die Datenschutzrichtlinie (und auch die DSGVO seit 25.05.2018) auf den Sachverhalt anwendbar.
  2. Der Verantwortliche hatte auch argumentiert, dass es sich nicht um personenbezogene Daten handelt. Der EuGH hat dazu ausgeführt, dass auch Daten, die im Rahmen der beruflichen Tätigkeit anfallen als personenbezogene Daten anzusehen sind: Aus der Rechtsprechung des Gerichtshofs geht ferner hervor, dass Informationen nicht deshalb nicht als „personenbezogene Daten“ einzustufen sind, weil sie im Kontext einer beruflichen Tätigkeit stehen.
  3. Videoaufnahmen von Polizeibeamten während ihrer beruflichen Tätigkeit fallen daher in den Anwendungsbereich der DSRL, und damit auch in die DSGVO, wenn diese nicht ausschließlich zu familiären oder persönlichen Zwecken angefertigt werden.
  4. Derartige Videoaufnahmen und die Veröffentlichung auf einer Plattform können „Bürgerjournalismus“ darstellen, und damit in das Medienprivileg fallen.

Link zur Entscheidung

Markus Kastelitz

ICO: Data protection if there’s no Brexit deal

Brexit, Datenschutz, EDPB, ICO

Einen Kurzüberblick findet man beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in deutscher Sprache, wo auch auf wertvolle Tools der britischen Datenschutzbehörde ICO verlinkt wird.

Update 18.02.2018: EDPB Information note on data transfers under the GDPR in the event of a no-deal Brexit

Markus Kastelitz