Sonntag, 28. Juli 2024
Die Europäische Kommission hat am 25.7.2024 ihren Zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO), COM(2024) 357 final, veröffentlicht (hier findet man die zuvor ergangenen Rückmeldungen aus der Zivilgesellschaft zur Sondierung). Der vorliegende Bericht ist der zweite Bericht der Kommission über die Anwendung der Datenschutz-Grundverordnung (DSGVO), der gemäß Artikel 97 DSGVO angenommen wurde; den ersten Bericht findet man hier: COM/2024/357 final.
Laut Kommission muss der Fokus auf folgende Elemente gerichtet werden, damit die Ziele der DSGVO erreicht werden:
- solide Durchsetzung der DSGVO, beginnend mit der raschen Annahme des Vorschlags der Kommission über Verfahrensregeln, um in Fällen, die Einzelpersonen in der gesamten EU betreffen, schnelle Rechtsbehelfe und Rechtssicherheit zu schaffen;
- aktive Unterstützung von Interessenträgern, insbesondere KMU und kleinen Marktteilnehmern, durch die Datenschutzbehörden bei ihren Bemühungen um Einhaltung der Vorschriften;
- einheitliche Auslegung und Anwendung der DSGVO in der gesamten EU;
- wirksame Zusammenarbeit zwischen den Regulierungsbehörden sowohl auf nationaler als auch auf EU-Ebene, um die einheitliche und kohärente Anwendung des wachsenden Regelwerks der EU im digitalen Bereich sicherzustellen;
- weitere Förderung der internationalen Datenschutzstrategie der Kommission.
Update: Hier der Beitrag der GDPR Multistakeholder Expert Group.
Der ständig zunehmende Trend zur Auslagerung “in die Cloud” führt da und dort zu Reaktionen von Behörden. So führte eine Informationsfreiheitsanfrage in Deutschland vor Kurzem zur Veröffentlichung der sogenannten “roten Linien” des BSI aus dem Jahr 2022, in denen festgelegt ist, welche Anforderungen Cloud-Angebote für eine souveräne Verwaltungscloud (”Requirements for Cloud Platforms in the Federal Administration“, pdf) erfüllen müssen. In bestimmten Sektoren existieren zudem (”unverbindliche”) Empfehlungen, die teilweise strengere Anforderungen enthalten, so z.B. die Aufsichtsmitteilung der deutschen BaFin zu Auslagerungen an Cloud-Anbieter, die als Aufsatzthema einiges an Stoff bietet (Thalhofer/Monschke, CR 2024, 366-373).
DIe CNIL übt Kritik an dem European certification scheme for cloud services (EUCS draft), da dieses (dereit) nicht mehr die Möglichkeit enthält, bei “sehr sensiblen” Verarbeitungen sicherzustellen, dass der Cloud-Anbieter nicht unter außereuropäische Rechtsvorschriften fällt. Ein höheres Schutzniveau sei für bestimmte “kritische” Datenverarbeitungen erforderlich (z.B. große Gesundheitsdatenbanken, strafrechtliche Daten oder Daten über Minderjährige), bei denen die in der Europäischen Union gehosteten Daten nicht dem Risiko eines unbefugten Zugriffs durch Behörden in Drittländern ausgesetzt werden sollten: In diesen Fällen empfiehlt die CNIL, dass der Dienstleister ausschließlich europäischem Recht unterliegen (on-shoring) und ein angemessenes Schutzniveau bieten soll. In Frankreich beinhalte die Zertifizierung SecNumCloud der Agence nationale de la sécurité des systèmes d'information (ANSSI) für Cloud-Dienste dieses Kriterium und schützt die Daten vor dem Zugriff ausländischer Behörden, so die CNIL.
Damit den Datenschutz- und IT-Recht-affinen Jurist:innen nicht langweilig wird, sorgt die EU u.a. mit Cloud Switching in Art 1 Abs. 1 lit d und Abs 3 lit f Data Act - es bleibt viel zu lesen und zu tun, IT-Compliance wird nicht leichter. Froh muss derjenige sein, der einen leistungsfähigen Anbieter findet, welcher all diese Anforderungen erfüllen kann und will …
Freitag, 12. Juli 2024
Heute, 12.7.2024, wurde der AI Act (KI VO) im Amtsblatt der Europäischen Union kundgemacht:
- deutsche Sprachfassung (Langtitel): Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)Text von Bedeutung für den EWR
- englische Sprachfassung: Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)Text with EEA relevance.
Die Bestimmungen des AI Act treten gemäß Artikel 113 KI VO “gestaffelt” in Geltung, siehe dazu die folgende Grafik (© RTR, CC BY 4.0):
Montag, 1. Juli 2024
Diese in der Praxis relevante Frage will ein neues Paper der GMDS Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG), verfasst von Dr. Bernd Schütze, beantworten. Hintergrund ist die Definition eines Cloud-Computing-Dienstes im Unionsrecht, in concreto in Artikel 6 Z 30 NIS-2-Richtlinie (diese RL ist am 16. Jänner 2023 in Kraft getreten und ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen), wonach der Begriff
|
|
„Cloud-Computing-Dienst“ einen digitalen Dienst [bezeichnet], der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
|
Dr. Schütze geht in diesem Dokument u.a. auf die möglichen Rechtsfolgen des Vorliegens eines Cloud-Dienstes ein - diese Folgen werden in der Praxis manchmal übersehen (siehe aus österreichischer Sicht auch den Verweis auf das GTelG unten).
Der Begriff Cloud Computing beschreibt, kurz gesprochen, das Anbieten von IT-Ressourcen, die bedarfsorientiert (skalierbar) vor allem über das Internet zur Verfügung gestellt werden,[1] wobei – auch aufgrund der ständigen technischen Fortentwicklung – keine abschließende Definition existiert. Der Begriff des Cloud Computing ist auch in Legaldefinitionen im österreichischen Recht abgebildet, so wird (derzeit) in § 3 Z 17 NISG[2] ein „Cloud-Computing-Dienst“ definiert als „ein digitaler Dienst, der den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht.” Im Schulwesen findet sich in § 8 Abs 2 IKT-Schulverordnung[3] der nicht näher definierte Begriff des „Clouddiensteanbieters”.[4]
—
[1] Siehe ausf Österreichisches Informationssicherheitshandbuch (Version 4.2.3) A.3.1; NIST, The NIST Definition of Cloud Computing, Special Publication 800-145 (2011) 2.
[2] Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen BGBl I 2018/111.
[4] Nur am Rande sei hier noch auf den in § 6 Abs 3 GTelG 2012 verwendeten Begriff des „Cloud Computing” hingewiesen, welcher wie folgt lautet: „Es ist sicherzustellen, dass die Speicherung von Gesundheitsdaten und genetischen Daten in Datenspeichern, die einem Verantwortlichen (Art. 4 Z 7 DSGVO) bedarfsorientiert von einem Auftragsverarbeiter (Art. 4 Z 8 DSGVO) bereitgestellt werden („Cloud Computing“), nur dann erfolgt, wenn die Gesundheitsdaten und genetischen Daten mit einem dem aktuellen Stand der Technik entsprechenden Verfahren (Abs. 1 Z 2) verschlüsselt worden sind.”
Seit heute, dem 1.7.2024, ist der (wesentliche) Teil der Novelle des österreichischen DatenschutzG durch BGBl I 62/2024 in Kraft. Mit dieser Änderung wird in § 9 Abs 1 und 1a DSG ein sogenanntes datenschutzrechtliches “Medienprivileg” nromiert - diese Änderung war notwendig geworden, da der VfGH (G 287-288/2022) die vorhergehende Regelung für verfassungswidrig befunden hatte. Das Grundrecht auf Datenschutz erlaube es nicht, prinzipiell der Meinungsäußerungs- und Informationsfreiheit für Tätigkeiten, die zu journalistischen Zwecken ausgeübt werden, den Vorrang vor dem Schutz personenbezogener Daten einzuräumen, so der VfGH in seiner damailigen Pressemeldung.
Man wird sehen, ob die auch weiterhin bestehenden, relativ weitgehenden Ausnahmen (insbesondere was die Betroffenenrechte angeht) in der novellierten Fassung des DSG die verfassungs- und unionsrechtlichen Anforderungen erüllen …
Dienstag, 25. Juni 2024
Bislang war die Datenschutzbehörde (DSB) die einzige Aufsichtsbehörde für den Datenschutz in Österreich. Als Reaktion auf das Urteil des EuGH vom 16.1.2024 (Rs C‑33/22), womit im Wesentlichen die Zuständigkeit der DSB auch für den Gesetzgebungsbereich bejaht wurde (Gewaltenteilung!), wird nunmehr ein Parlamentarisches Datenschutzkomitee als “sektorale” Aufsichtsbehörde eingerichtet, das per Landesverfassungsgesetz auch für Landtage, Landesrechnungshöfe und Landesvolksanwälte zuständig gemacht werden kann. Die im Nationalrat vertretenen Parteien haben sich auf ein Gesetzespaket geeinigt, mit dem u.a. das Geschäftsordnungsgesetz, das Informationsordnungsgesetz, das Datenschutzgesetz, das Rechnungshof-, das Volksanwaltschaftsgesetz und das B-VG entsprechend geändert werden:
Am Rande sei angemerkt, dass die Einrichtung einer Datenschutzaufsichtsstelle für den parlamentarischen Bereich seit vielen Jahren auf Basis eines Erkenntnisses des VfGH aus dem Jahr 2010 (
B 1048/09) vorgeschlagen wurde, auch vom Verfasser dieser Zeilen, siehe
Kastelitz/Konrath/Neugebauer, Datenschutz und Parlament, in Lienbacher/Wielinger (Hrsg), Jahrbuch Öffentliches Recht 2011, 149 ff.
Das deutsche Bundeskartellamt hat am 19.6.2024 den Abschlussbericht zu seiner verbraucherrechtlichen Sektoruntersuchung „Scoring beim Online-Shopping“ veröffentlicht. Das Bundeskartellamt kommt zu dem Ergebnis, dass Online-Händler, Zahlungsdienstleister und Auskunfteien die geltenden Vorgaben des Verbraucherrechts nicht immer einhalten - dabei geht das Kartellamt auch auf damit verbundene (datenschutz-)rechtliche Themen (DSGVO, BDSG, UWG, Digital Markets Act, AI Act und EU‐Verbraucherkreditrichtlinie) sowie Online-Bonitätsprüfungen ein.
Der vollständige Bericht zur Sektoruntersuchung „Scoring beim Online-Shopping“ ist auf der Internetseite des Bundeskartellamtes abrufbar.
Montag, 24. Juni 2024
Wie in diesem Blog berichtet, hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysierte darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.eur … use-microsoft-365_en). Gegen diese Entscheidung des EDSB sind sowohl die Europäische Kommission als auch Microsoft Ireland Operations vor das EuG gezogen, siehe Rechtssachen T-262/24 und T-265/24; Stand 24.6.2024 sind noch keine weiteren Dokumente veröffentlicht.
