betrdsba – Page 8 – Datenschutz IHS

EuGH zu Privacy Shield

Am 16.7. hat der EuGH das Urteil in der Rechtssache C-311/18 betreffend des Vorabentscheidungsansuchens des Hohen Gerichtshof Irlands gefällt. Dem Verfahren liegt die Beschwerde von Max Schrems zugrunde, dass aufgrund der Gesetze der Vereingten Staaten (FISA), kein ausreichender Schutz der personenbezogenen Daten bei der Übermittlung von Facebook Ireland an Facebook US bestehe.

Der Hohe Gerichtshof Irland wollte im wesentlichen wissen, ob

EU Recht in diesem Fall anwendbar ist,
der Angemessenheitsbeschluss der Kommission bezüglich des Privacy Shield Abkommens gültig in dem Sinne ist, das ein ausreichendes Schutzniveau besteht und
über Auslegung und Gültigkeit des Beschlusses über die Standardvertragsklauseln.

Der EuGh bejahte die erste Frage hinsichtlich der Anwendbarkeit der DSGVO. Den Beschluss hinsichtlich des Privacy Shield Abkommens erklärte er jedoch für ungültig. Hinsichtlich der Standardvertragsklauseln hob er den Beschluss nicht auf, jedoch müsse dies im Einzelfall geprüft werden.

Rechtssprechung der DSB zum Medienprivileg

Wie der stv. Leiter der DSB Dr. Schmidl in einem Beitrag im jusIT 2/2020 darlegt ändert die Behörde ihre Rechtssprechungspraxis zum Medienprivileg (§9 DSG). Ging die Behörde bisher von einem weiten Anwendungsbereich des §9 Abs 1 DSG aus, was in vielen Fällen ihre Unzuständigkeit begründete, ist sie nun unter Berücksichtigung der Rechtssprechung des EuGH zu eienr differenzierteren Auslegung gelangt. Letztlich wird es nun immer zu einer Einzelfallprüfung verbunden mit einer Güterabwägung ob das Grundrecht auf Datenschutz oder jenes auf freie Meinungsäußerung überwiegt kommen.

Leitlinien des EDSA zur Einwilligung

Der europäische Datenschutzauschuss (EDSA, european data protection board, EDPB) hat die Leitlinien zur Einwilligung angenommen und veröffentlicht.

Update 2: Contact Tracing (Tracking Apps)

Die EU Kommission hat ein Instrumentarium und Leitlinien bezüglich Contact Tracing Apps veröffentlicht.

Der europäische Datenschutzausschuss hat Leitlinien bezüglich der Verwendung von Standortdaten und Contact Tracing Apps im Kontext des COVID-19 Ausbruchs veröffentlicht.

Laut Medienberichten soll am 11 Mai eine auf DP3T basierende Contact Tracing App veröffentlicht werden. DP3T gilt als dezentrale Alternative zu PEPP-PT. Auf Github sind auch Dokumente zur Funktionsweise und implementierung von DP3T bereitgestellt. Für eine dezentral basierten Technik spricht, dass diese dem Datenminimierungsprinzip und daher auch dem Gebot Privacy by Design und Default besser entscpricht als ein sonst gleichwertige Technik die Daten zentral vorhält.

Ebenfalls in den Medien wird über den Review des Codes der Stopt Corona App des Roten Kreuz berichtet. Demnach ist geplant diese App auf DP3T Standard umzustellen. Der Bericht über die technische und rechtliche Umsetzung der App ist hier veröffentlicht.

Update: Informationen zu COVID-19 und Datenschutz

Der europäische Datenschutzausschuss hat die Richtlinie Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak veröffentlicht.

Update: Contact Tracing (Tracking Apps)

In zahlreichen Medienberichten wird weiterhin über Contact Tracing/Tracking Apps diskutiert. Dabei bestehen nicht nur datenschutzrechtliche sondern auch technische Schwierigkeiten. Um letztere zu lösen haben Google und Apple eine gemeinsame Initiative angekündigt. Daneben gibt es aber auch alternativ Vorschläge und differenzierte Sichtweisen, wie beispielsweise netzpolitik.org berichtet.

Aus datenschutzrechlticher Sicht wird auf jeden Fall auch die technische Umsetzung und deren Risiken Bestandteil einer Datenschutz-Folgennabschätzung sein müssen, auch um die Grundsätze des Privacy by Design und Default in der Umsetzung zu überprüfen. Eine gekürzte DSFA für die “Stopp Corona” App des roten Kreuzes liegt nun im Umfang von 90 Seiten vor.

Videokonferenz-Tools: technische Anforderungen

Das BSI hat eine technische Leitlinie über die Sicherheitsaspekte und die Gestaltung des Lebenszyklus von Videokonferenzsystemen herausgegeben.

Videokonferenz-Tools

Bedingt durch die Ausgangsbeschränkungen zur Eindämmung der Covid-19 Pandemie werden vermehrt Videokonferenzen durchgeführt.

Die GDD hat eine Praxishilfe zur Auswahl entsprechender Produkte erstellt. Kritisch betrachtet die Umsetzung der Informationspflichten ein Vergleich der von noyb.eu durchgeführt wurde.

Tracking Apps für COVID-19

In vielen Staaten wird darüber diskutiert ob der Einsatz von Tracking Apps helfen kann, die Ausbreitung des Corona Virus durch diese Art des Monitorings zu verhindern bzw. genauere Angaben wer die Kontaktpersonen der letzten Zeit von positiv getesteten waren zu erlangen und zielgerichtetere Quarantäne und Testanordnungen ermöglichen.

Dabei ist darauf zu achten, dass solche Software DSGVO konform ist. Bei Software die vom Staat als verpflichtend zu verwenden vorgeschrieben wird, sollte gewährleistet sein, dass diese auch unabhängig überprüft werden kann (also am besten Open Source Software) und keine Daten ins nicht EU-Ausland übermittelt werden. Wie eine Analyse von epicenter.works betreffend der “Stoppt Corona App”des roten Kreuzes zeigt, erfüllt diese viele aber nicht alle wünschenswerten Punkte.

Setzt man eine solche App verpflichtend mit dem Argument ein, dass dann eine Lockerung von beschränkenden Maßnahmen möglich wäre, so wäre es jedoch sinnvoll über den nationalen Tellerrand hinauszublicken. Letzlich ist uns am meisten geholfen, wenn es möglichst schnell gelingt die Pandemie in ganz Europa zurück zu drängen. Ein aus dieser Sicht vielversprechender Ansatz mit österreichischer Beteiligung ist der PEPP-PT Standard, über den unter anderem auch von Heise, Golem, Spiegel und der Süddeutschen Zeitung berichtet wurde. Demnach waren sowohl der deutsche Bundesdatenschutzbeauftragte als auch das BSI (Bundesamt für Sicherheit und Information) in die Entwicklung eingebunden. Nähere Informationen finden sich auch bei den eingebunden Frauenhofer Instituten. Der Referenzcode soll ab 7.4. verfügbar sein.

Informationen zu COVID-19 und Datenschutz

Mit dem Ausbruch der COVID-19 Pandemie und den nationalstaatlichen Maßnahmen zur Eindämmung der “Corona Krise” stellen sich auch immer wieder Fragen, inweit datenschutzrechtliche Bestimmungen weiterhin anwendbar sind, oder ob nicht Gesundheit vor Datenschutz geht. Dazu ist festzuhalten, dass die DSGVO Bestimmungen enthält, die einen Spielraum eröffnen. Die Frage was wichtiger ist, Gesundheit oder Datenschutz ist daher ebenso falsch gestellt, wie die Frage ob öffentliche Sicherheit oder Datenschutz wichtiger sind. Die DSGVO ist anzuwenden und wo das Recht auf Schutz der personenbezogenen Daten beschränkt wird ist stets das gelindeste Mittel zu verwenden und braucht es eine entsprechende Rechtsgrundlage. Sofern eine Interessensabwägung unter diesen besonderen Rahmenbedingungen der Pandemie nun anders ausfällt als sonst, gilt diese nur bis zur Eindämmung der Pandemie und wird daher stets zu überprüfen sein. Andere in diesem Kontext wiederholt auftretende Fragen sind wer welche Daten – insbesondere Gesundheitsdaten – verarbeiten und an wem übermitteln darf.

Siehe dazu auch die Informationen europäischer und nationaler Stellen:

Der europäische Datenschutzbeauftragte hat eine Zusammenfassung zum Covid19 Ausbruch und Datenschutz veröffentlicht.
Der europäische Datenschutzausschuss hat eine Stellungnahme zur Verarbeitung von personenbezogenen Daten im Kontext des COVID-19 Ausbruchs veröffentlicht. An einer Richtlinie dazu wird gearbeitet.
Die österreichische Datenschutzbehörde stellt Informationen und mehrere Dokumente zur Verfügung.