Am 21. Mai hat der Rat die Verordnung über künstliche Intelligenz (KI Gesetz) angenommen. Diese tritt 20 Tage nach Veröffentlichung im Amtsblatt in Kraft.
Tag: Rechtstext
EU Parlament ratifiziert EU Gesundheitsdatenraum Verordnung
Das EU Parlament hat am 24. April die Verordnung über den europäischen Raum für Gesundheitsdaten (Health Data Space) angenommen. Nun muss der Rat dieser zustimmen, damit die Verordnung in Kraft treten kann.
Rat stimmt Data Act zu
Der EU Rat hat dem Data Act zugstimmt und damit den Ratifizierungsprozess abgeschlossen. Der Data Act muss un im Amtsblatt der EU veröffentlicht werden um 20 Tage darauf in Kraft zu treten. Allerdings sieht der Data Act eine 20 monatige Frist bevor er anwendbar ist vor.
Vorschlag Ergänzungsverordnung zur DSGVO
Die EU-Kommission hat einen Verordnungsentwurf zur Harmonisierung der Verfahrensvorschriften bei grenzüberschreitenden Fällen veröffentlicht (Proposal for a Regulation laying down additional procedural rules relating to the enforcement of GDPR). Gemäß der Pressemitteilung soll dies zu einer Harmonisierung der Rechte der Betroffenen, der beteiligten Parteien und der Straffung der Zusammenarbeit der Behörden und der Streitbeilegung führen, indem nicht mehr in einem Verfahren mehrere nationale Verfahrensbestimmungen sondern einheitliche EU-Bestimmungen anzuwenden sind. Es gibt jedoch auch Kritik, dass diese Bestimmungen der federführenden Behörde noch mehr Einfluss auf die Verfahren gibt, sodass große Unternehmen durch Wahl des Firmensitzes sich noch mehr Vorteile verschaffen könnten.
Es bleibt abzuwarten ob die Verordnung noch innerhalb dieser Periode die Gesetzgebungsverfahren durchläuft. Sollte dies der Fall sein, sind Verfahren vor dem EuGH nicht auszuschließen.
Diese Verordnung verändert die DSGVO nicht, sie harmonisiert lediglich die Verfahrensbestimmungen der Aufsichtsbehörden in grenzüberschreitenden Fällen.
Angemssenheitsbeschluss der Kommission: USA
Die EU Kommission hat einen Angemessenheitsbeschluss bezüglich des neuen Datenschutzrahmens (Data Privacy Framework) erlassen. Dies ist das Nachfolgeabkommen zu den vom EuGH aufgehobenen Safe Harbour und Privacy Shield Abkommen. Bis zu einer neuerlichen Bewertung durch den EuGH können Datenübermittlungen in die USA nun auch auf dieses Abkommen gestützt werden. Ob das neue Abkommen nun das Recht auf einne Richter und ein faires Verfahren für EU-Bürger in den USA gewährt, bleibt abzuwarten. Eine Klärung durch den EuGH ist zu erwarten da bereits Klagen angekündigt sind.
EuGH zu Auskunftsrecht: Daten Dritter
Der EuGH hat in einem Urteil zum Auskunftsrecht entschieden, dass wenn Abfragen einer Datenbank Gegenstand des Auskunftsbegehrens sind, das Recht auf Auskunft den Zeitpunkt und Zweck der Abfrage, nicht aber die Identität der abfragenden Person umfasst. Is jedoch die Identität der abfragenden Person Vorraussetzung damit die betroffene Person ihre Rechte gemäß DSGVO wahrnehmen kann, ist unter weitesgehdner Wahrung der Privatsphäre der Abfragenden Person auch die Identität dieser bekannt zu geben.
Außerdem erstreckt sich das Recht auf Auskunft auch auf Vorfälle vor in Geltung treten der DSGVO, sofern das Ansuchen nach 28.5.2018 eingebracht wurde.
Novelle Bundesstatistik- und Forschungsorganisationsgesetz
Am 4.11. hat der Forschungsauschuss er österreichischen Parlaments sich für eine Novelle des Bundesstatistik- und Forschungsorganisationsgesetzes ausgesprochen um die wissenschaftliche Nutzung von Mikrodaten zu erleichtern. Die in den Stellungnahmen formulierten Bedenken der Datenschützer wurden dabei nicht berücksichtigt. Soweit es das Forschungsorganisationsgesetz betrifft, wurde zwar der grobste offensichtliche Fehler im §2d behoben wurde, andere Stellen die aber EU rechtswidrig sind (und von der DSB in bisherigen Verfahren daher schon unangewendet blieben) nicht korrigiert wurden.
Abzuwarten wird daher sein, wie die Rechtssprechung auf die von der Datenschutzbehörde und des Datenschutzrates formulierten Bedenken reagieren wird, dass einzelne Bestimmungen dieser Novelle gegen EU-Recht, Verfassungsrecht und die bisherige Rechtssprechung (auch des VFGH) verstoßen würden.
Verordnung der DSB über verpflichtende Datenschutzfolgeabschätzungen
Die Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz – Folgenabschätzung durchzuführen ist (DSFA-V) (Blacklist) ist im Bundesgetzblatt veröffentlicht worden.
Dabei besteht bei bestimmten Verabreitungen die Ausnahme, dass von einer erforderlichen DSFA abgesehen werden kann, wenn eine Betriebsvereinbarung vorliegt.
Kalifornien beschließt Consumer Privacy Act
Kalifornien hat den California Consumer Privacy Act besclossen, der ab 1.1.2020 gelten wird, wie zB Wired berichtet. Es legt Informations- und Auskunftspflichten von Unternehmen die Daten an Dritte verkaufen fest und gewährt den Betroffenen ein Widerspruchsrecht. Bußgelder sind nicht vorgesehen, jedoch steht der Klagsweg offen. Man darf gespannt sein, ob diese Gesetz noch verändert wird und ob es einerseits Vorbildwirkung für andere Staaten haben wird und andererseits es der EU-Kommission ermöglicht einen Angemessenheitsbeschluss bezüglich des Schutznieveaus in Kalifornien zu fassen. Dies würde Erleichterungen in der Datenübermittlung an in Kalifornien ansässigen Unternehmen bedeuten.
Antrag für Datenschutz-Deregulierungsgesetz
Mit dem Datenschutz-Deregulierungsgesetz soll die Bundesverfassung (Kompetenzregeln) und das Datenschutz-Anpassungsgeestz 2018 geändert werden. Im DSG sind vor allem Änderungen des Grundrechts und anderer Verfassungsbestimmungen sowie in der Bildverarbeitung vorgesehen.
Das Grundrecht in §1 soll nun nur mehr natürliche Personen umfassen. Juristische Personen wären demnach nur mehr dann erfasst, wenn Bestimmungen die dem DSG vorgehen dies vorsehen.
Der Antrag wurde von Abgeordneten der ÖVP, SPÖ und FPÖ eingebracht.