Opinion 3/2012 on developments in biometric technologies
May 6, 2012
Council of Europe: Draft - Modernisation of Convention 108
THE CONSULTATIVE COMMITTEE OF THE CONVENTION FOR THE PROTECTION OF
INDIVIDUALS WITH REGARD TO AUTOMATIC PROCESSING OF PERSONAL DATA [ETS No. 108] (T-PD): Modernisation of Convention 108: new proposals
See this webpage for more on the process of modernisation.
INDIVIDUALS WITH REGARD TO AUTOMATIC PROCESSING OF PERSONAL DATA [ETS No. 108] (T-PD): Modernisation of Convention 108: new proposals
See this webpage for more on the process of modernisation.
May 5, 2012
VfGH: EU-Grundrechte-Charta als Prüfungsmaßstab
VfGH 14.3.2012, U 466/11‐18, U 1836/11‐13:
(...) 5.8. Zusammengefasst bedeutet dies, dass der Verfassungsgerichtshof – gegebenenfalls nach Einholung einer Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß Art. 267 AEUV – die Grundrechte‐Charta in ihrem Anwendungsbereich (Art. 51 Abs. 1 GRC) als Maßstab für nationales Recht heranzieht und entgegenstehende generelle Normen gemäß Art. 139 bzw. Art. 140 B‐VG aufhebt. Damit kommt der Verfassungsgerichtshof für diesen Bereich auch der vom Gerichtshof der Europäischen Union postulierten Bereinigungspflicht nach (vgl. EuGH 2.7.1996, Rs. C‐290/94, Kommission/Griechenland, Slg. 1996, I‐3285; 24.3.1988, Rs. 104/86, Kommission/Italien, Slg. 1988, 1799; 18.1.2001, Rs. C‐162/99, Kommission/Italien, Slg. 2001, I‐541; s. auch EuGH 7.1.2004, Rs. C‐201/02, Wells, Slg. 2004, I‐723; 21.6.2007, Rs. C‐231/06 ‐ C‐233/06, Jonkman, Slg. 2007, I‐5149).
5.9. Zu betonen bleibt, dass dann keine Vorlagepflicht an den Gerichtshof der Europäischen Union besteht, wenn eine Rechtsfrage nicht entscheidungserheblich ist (vgl. EuGH 6.10.1982, Rs. 283/81, Cilfit, Slg. 1982, 3415; 15.9.2005, Rs. C‐495/03, Intermodal, Slg. 2005, I‐8151), das heißt, wenn die Antwort auf diese Frage, wie auch immer sie ausfällt, keinerlei Einfluss auf die Entscheidung des Rechtstreits haben kann. Dies ist im Bereich der Grundrechte‐Charta dann der Fall, wenn ein verfassungsgesetzlich gewährleistetes Recht, insbesondere ein Recht der EMRK, den gleichen Anwendungsbereich wie ein Recht der Grundrechte‐Charta hat. In diesem Fall erfolgt die Entscheidung des Verfassungsgerichtshofs daher auf Grund der österreichischen Verfassungslage, ohne dass eine Vorabentscheidung im Sinne des Art. 267 AEUV einzuholen wäre. (...)
Reding: Commission has no intention of becoming a "super-data protection authority"
Somewhat older: Viviane Reding's speech on "Strong and independent data protection authorities: the bedrock of the EU's data protection reform" at the Spring Conference of European
Data Protection Authorities, 3 May 2012:
(...) The Commission has no intention of becoming a "super-data
protection authority". This is not our job, and it cannot be our job.
The deliberation and determination of individual cases is for the data
protection authorities, not for the Commission. But we all know that
individual cases may well raise important general questions about the
way the rules operate or have been intended to operate. They may also
highlight consistency problems that – with the best will in the world –
the European Data Protection Board cannot resolve. (...)
My aim is that
we develop, by summer 2013, objective guidelines for an ideal,
effective, financially independent national data protection authority
that can make a strong contribution to cooperation and coordination with
other data protection authorities. We should in my view do this
regardless of the reform itself. Because we do not need strong data
protection authorities in the distant future. We need them now. (...)
Vorratsdatenspeicherung: Liste der speicherpflichtigen Betreiber
Apr 24, 2012
EDPS issues opinion on ACTA
Today, the European Data Protection Supervisor (EDPS) adopted his Opinion on the proposal for a Council Decision on the conclusion of the Anti-Counterfeiting Trade Agreement (ACTA). The Opinion shows that the lack of precision of the Agreement about the measures to be deployed to tackle infringements of intellectual property rights ('IP rights') on the Internet may have unacceptable side effects on fundamental rights of individuals, if they are not implemented properly. It underlines that many of the measures to strengthen IP enforcement online could involve the large scale monitoring of users' behaviour and of their electronic communications. These measures are highly intrusive to the private sphere of individuals, and should only be implemented if they are necessary and proportionate to the aim of enforcing IP rights.
Apr 20, 2012
EDPS: Open-Data Paket und Datenschutzanforderungen
Stellungnahme vom 18. April 2012 zum Maßnahmenpaket der Europäischen Kommission zu offenen Daten und dem Vorschlag für eine Richtlinie, die Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors (PSI-Richtlinie) ändert:
Der EDSB fordert Datenschutzvorkehrungen, bevor Informationen des öffentlichen Sektors, die personenbezogene Daten enthalten, weiterverwendet werden können.
Der EDSB fordert Datenschutzvorkehrungen, bevor Informationen des öffentlichen Sektors, die personenbezogene Daten enthalten, weiterverwendet werden können.
Apr 19, 2012
EuGH: Vorratsdatenspeicherung, Datenschutz und Urheberrecht
EuGH 19.04.2012, Rs C-461/10:
Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG ist dahin auszulegen, dass sie der Anwendung nationaler Rechtsvorschriften nicht entgegensteht, die auf der Grundlage von Art. 8 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums erlassen wurden und nach denen einem Internetdienstleister zu dem Zweck, einen Internetteilnehmer oder ‑nutzer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP(Internetprotokoll)-Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll, da derartige Rechtsvorschriften nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24 fallen.
Der Umstand, dass der betreffende Mitgliedstaat die Richtlinie 2006/24 trotz des Ablaufs der Umsetzungsfrist noch nicht umgesetzt hat, ist im Ausgangsverfahren unerheblich.
Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und die Richtlinie 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.
Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG ist dahin auszulegen, dass sie der Anwendung nationaler Rechtsvorschriften nicht entgegensteht, die auf der Grundlage von Art. 8 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums erlassen wurden und nach denen einem Internetdienstleister zu dem Zweck, einen Internetteilnehmer oder ‑nutzer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP(Internetprotokoll)-Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll, da derartige Rechtsvorschriften nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24 fallen.
Der Umstand, dass der betreffende Mitgliedstaat die Richtlinie 2006/24 trotz des Ablaufs der Umsetzungsfrist noch nicht umgesetzt hat, ist im Ausgangsverfahren unerheblich.
Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und die Richtlinie 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.
Apr 1, 2012
EDPS: Opinion on serious cross-border threats to health proposal
Opinion of the European Data Protection Supervisor on the proposal for a decision of the European Parliament and of the Council on serious cross-border threats to health, 28.03.2012
Mar 26, 2012
FTC: Final Report on US Consumer Privacy
Protecting Consumer Pricacy in an Era of Rapid Change: http://t.co/Blr5TRlG
Mar 22, 2012
Datenschutzrat: Datenschutzrechtliche Anmerkungen zum „Smart Metering“
Stellungnahme des (österr.) Datenschutzrates: Datenschutzrechtliche Anmerkungen zum „Smart Metering“ und der Einführung intelligenter Messgeräte (mit sehr deutlicher Kritik an den rechtlichen Grundlagen für das "roll-out" von Smart Meters):
[...] Die datenschutzrechtliche Problematik des sog. „Smart Metering“ besteht va. darin, dass sich aus den dabei anfallenden Messdaten detaillierte Rückschlüsse auf das Nutzungsverhalten und damit auch auf das Privatleben Betroffener in Haushalten ziehen lassen. So kann etwa nachvollzogen werden, welche Haushaltsgeräte zu welchem Zeitpunkt in Betrieb gesetzt werden. Auch ergeben sich genaue Anhaltspunkte über den Tagesablauf Betroffener.
Um den Datenschutzinteressen angemessen Rechnung zu tragen, bedürfte es insbesondere der Hinterfragung der Dauer der Messintervalle bzw. Überlegungen, ob und inwieweit hinsichtlich der Weitergabe an Stellen außerhalb eines Haushaltes mit aggregierten Daten das Auslangen gefunden werden könnte.
Problematisch erscheinen bei der bereits erlassenen IMA-VO 2011 daher vorweg die in § 3 festgelegten Anforderungen an intelligente Messgeräte. Die intelligenten Messgeräte sind nach Z 2 dieser Bestimmung dahingehend auszustatten, dass eine Messung und Speicherung von Zählerständen, Leistungsmittelwerten oder Energie-verbrauchswerten in einem Intervall von 15 Minuten möglich ist. Völlig unklar ist hierbei aus welchem Grund dieses auffallend enge Zeitintervall gewählt wurde, dies auch insbesondere im Hinblick auf die Grundsätze der Datensparsamkeit und der datenschutzrechtlichen Verhältnismäßigkeit bei der Verwendung von personenbezogenen Daten.[...] Der Datenschutzrat regt daher zur Thematik der Einführung intelligenter Messgeräte nochmals dringend an, die datenschutzrechtlichen Bedenken im Rahmen einer Änderung des ElWOG 2010 sowie des GWG 2011 und überdies der IMA-VO 2011 vollständig zu berücksichtigen. [...]
[...] Die datenschutzrechtliche Problematik des sog. „Smart Metering“ besteht va. darin, dass sich aus den dabei anfallenden Messdaten detaillierte Rückschlüsse auf das Nutzungsverhalten und damit auch auf das Privatleben Betroffener in Haushalten ziehen lassen. So kann etwa nachvollzogen werden, welche Haushaltsgeräte zu welchem Zeitpunkt in Betrieb gesetzt werden. Auch ergeben sich genaue Anhaltspunkte über den Tagesablauf Betroffener.
Um den Datenschutzinteressen angemessen Rechnung zu tragen, bedürfte es insbesondere der Hinterfragung der Dauer der Messintervalle bzw. Überlegungen, ob und inwieweit hinsichtlich der Weitergabe an Stellen außerhalb eines Haushaltes mit aggregierten Daten das Auslangen gefunden werden könnte.
Problematisch erscheinen bei der bereits erlassenen IMA-VO 2011 daher vorweg die in § 3 festgelegten Anforderungen an intelligente Messgeräte. Die intelligenten Messgeräte sind nach Z 2 dieser Bestimmung dahingehend auszustatten, dass eine Messung und Speicherung von Zählerständen, Leistungsmittelwerten oder Energie-verbrauchswerten in einem Intervall von 15 Minuten möglich ist. Völlig unklar ist hierbei aus welchem Grund dieses auffallend enge Zeitintervall gewählt wurde, dies auch insbesondere im Hinblick auf die Grundsätze der Datensparsamkeit und der datenschutzrechtlichen Verhältnismäßigkeit bei der Verwendung von personenbezogenen Daten.[...] Der Datenschutzrat regt daher zur Thematik der Einführung intelligenter Messgeräte nochmals dringend an, die datenschutzrechtlichen Bedenken im Rahmen einer Änderung des ElWOG 2010 sowie des GWG 2011 und überdies der IMA-VO 2011 vollständig zu berücksichtigen. [...]
Mar 21, 2012
BEREC: blocking of VoIP and P2P traffic is common
Somewhat older: BEREC preliminary findings on traffic management practices in Europe show that blocking of VoIP and P2P traffic is common, other practices vary widely.
CNIL: Data Protection Questionnaire to Google
CNIL sent Google a detailed questionnaire regarding its new privacy policy. CNIL prepared this questionnaire on behalf of and in cooperation with the Article 29 Working Party, that gathers the EU data protection authorities. CNIL has been designated to lead the investigation in Europe regarding the new privacy policy.
Mar 19, 2012
Recommendation on preparations for roll-out of smart metering
Commission Recommendation of 9 March 2012 on preparations for the roll-out of smart metering systems (2012/148/EU)
EU-U.S. joint statement on data protection
EU-U.S. joint statement on data protection by European Commission Vice-President Viviane Reding and U.S. Secretary of Commerce John Bryson
Mar 14, 2012
VersRÄG 2012: Zulässigkeit der Ermittlung von Gesundheitsdaten durch Versicherer
Die Regierungsvorlage eines Versicherungsrechts-Änderungsgesetz 2012 hat den Justizausschuss des Nationalrats passiert und bringt Neuerungen u.a. im Bereich des Datenschutzes (so darf der Versicherer nicht mehr die Anamnese, die gesamte Krankengeschichte oder den gesamten Pflegebericht ermitteln), sollte der weitere Gesetzwerdungsprozess wie geplant verlaufen:
Aus den Erläuterungen der RV:
"[...] Die versicherungsvertragsrechtlichen Bestimmungen über die Zulässigkeit der Ermittlung von personenbezogenen Gesundheitsdaten durch private Versicherer haben in der Praxis zu Unklarheiten geführt, welche Gesundheitsdaten Krankenanstalten an private Versicherer weitergeben werden dürfen. Dies hat zu datenschutzrechtlichen Bedenken Anlass gegeben, zumal vielfach den Versicherern alle personenbezogenen Gesundheitsdaten übermittelt worden sind. [...]
Die Zulässigkeit der Erhebung von Gesundheitsdaten durch private Versicherer soll ausführlicher geregelt werden. Diese „Ermittlung personenbezogener Gesundheitsdaten“ ist in der Praxis vor allem für die Direktverrechnung von Leistungen untersuchender oder behandelnder Ärzte, der Krankenanstalten oder sonstiger Einrichtungen der Krankenversorgung oder Gesundheitsvorsorge (Gesundheitsdienstleister) unumgänglich. Dementsprechend sollen die für die Abwicklung der Direktverrechnung unverzichtbaren Daten aufgrund gesetzlicher Ermächtigung übermittelt werden. Freilich sollen dafür besonders strenge Einschränkungen gelten, um dem Grundrecht auf Datenschutz gebührend Rechnung zu tragen. [...]"
Aus den Erläuterungen der RV:
"[...] Die versicherungsvertragsrechtlichen Bestimmungen über die Zulässigkeit der Ermittlung von personenbezogenen Gesundheitsdaten durch private Versicherer haben in der Praxis zu Unklarheiten geführt, welche Gesundheitsdaten Krankenanstalten an private Versicherer weitergeben werden dürfen. Dies hat zu datenschutzrechtlichen Bedenken Anlass gegeben, zumal vielfach den Versicherern alle personenbezogenen Gesundheitsdaten übermittelt worden sind. [...]
Die Zulässigkeit der Erhebung von Gesundheitsdaten durch private Versicherer soll ausführlicher geregelt werden. Diese „Ermittlung personenbezogener Gesundheitsdaten“ ist in der Praxis vor allem für die Direktverrechnung von Leistungen untersuchender oder behandelnder Ärzte, der Krankenanstalten oder sonstiger Einrichtungen der Krankenversorgung oder Gesundheitsvorsorge (Gesundheitsdienstleister) unumgänglich. Dementsprechend sollen die für die Abwicklung der Direktverrechnung unverzichtbaren Daten aufgrund gesetzlicher Ermächtigung übermittelt werden. Freilich sollen dafür besonders strenge Einschränkungen gelten, um dem Grundrecht auf Datenschutz gebührend Rechnung zu tragen. [...]"
Im Nationalrat: Übereinkommen über Computerkriminalität aus dem Jahr 2001
Nach über 10 Jahren hat es das Übereinkommen des Europarats über Computerkriminalität (Convention on Cybercrime) nach Österreich - genauer in den Justizausschuss des Nationalrats - geschafft ...
Aus den Erläuterungen:
"[...] Mit der Ratifikation des Übereinkommens des Europarats über Computerkriminalität, welches Österreich am 23. November 2001 in Budapest unterzeichnet hat, soll die Bedeutung der konsequenten strafrechtlichen Verfolgung krimineller Handlungen im Bereich der Computerkriminalität unterstrichen werden.
3. Inhalt, Problemlösung:
Das Übereinkommen enthält einerseits materielle Straftatbestände, welche von den Unterzeichnerstaaten ins nationale Recht umzusetzen sind, andererseits umfangreiche strafprozessuale Vorschriften, die der Durchsetzung des Strafanspruchs dienen sollen. Die strafbaren Tatbestände des Übereinkommens umfassen zum Beispiel den unbefugten Zugang zu einem Computersystem (sog. „Hacking“), die Fälschung von Computerdaten sowie bestimmte Handlungen in Zusammenhang mit Kinderpornographie und Urheberrechtsverstöße. Zur Verfolgung von Verstößen gegen das Übereinkommen und anderer mittels eines Computersystems begangener Verstöße sind spezielle Befugnisse der zuständigen Behörden (u.a. umgehende Sicherung gespeicherter Computerdaten, Durchsuchung und Beschlagnahme gespeicherter Computerdaten, Erhebung von Verkehrs- und Inhaltsdaten in Echtzeit) vorgesehen. Mit der Schaffung von harmonisierten Regelungen im Bereich der internationalen Zusammenarbeit soll insbesondere der Auslieferungs- und Rechtshilfeverkehr im Hinblick auf das Erfordernis der beiderseitigen Strafbarkeit erleichtert werden. [...]"
Aus den Erläuterungen:
"[...] Mit der Ratifikation des Übereinkommens des Europarats über Computerkriminalität, welches Österreich am 23. November 2001 in Budapest unterzeichnet hat, soll die Bedeutung der konsequenten strafrechtlichen Verfolgung krimineller Handlungen im Bereich der Computerkriminalität unterstrichen werden.
3. Inhalt, Problemlösung:
Das Übereinkommen enthält einerseits materielle Straftatbestände, welche von den Unterzeichnerstaaten ins nationale Recht umzusetzen sind, andererseits umfangreiche strafprozessuale Vorschriften, die der Durchsetzung des Strafanspruchs dienen sollen. Die strafbaren Tatbestände des Übereinkommens umfassen zum Beispiel den unbefugten Zugang zu einem Computersystem (sog. „Hacking“), die Fälschung von Computerdaten sowie bestimmte Handlungen in Zusammenhang mit Kinderpornographie und Urheberrechtsverstöße. Zur Verfolgung von Verstößen gegen das Übereinkommen und anderer mittels eines Computersystems begangener Verstöße sind spezielle Befugnisse der zuständigen Behörden (u.a. umgehende Sicherung gespeicherter Computerdaten, Durchsuchung und Beschlagnahme gespeicherter Computerdaten, Erhebung von Verkehrs- und Inhaltsdaten in Echtzeit) vorgesehen. Mit der Schaffung von harmonisierten Regelungen im Bereich der internationalen Zusammenarbeit soll insbesondere der Auslieferungs- und Rechtshilfeverkehr im Hinblick auf das Erfordernis der beiderseitigen Strafbarkeit erleichtert werden. [...]"
Comparative Study on the EU-USA PNR 2011 Draft Agreement
"Comparative Study on the 2011 draft Agreement between the Unites States of America and the European Union on the use and transfer of Passenger Name Records (PNR) to the United States Department of Homeland Security" by Hornung/Boehm (Funding for this study was provided by the Greens/EFA Group in the European Parliament):
"This study compares the three PNR agreements: those of 2004 and 2007, as well as the current draft of 2011 matching them against the requests put forward by the European Parliament in its resolution of 5 May 2010 and the proposal for a police and criminal justice data protection directive of the Commission of 25 January 2012. The outcomes of the analysis are briefly summarized in the following:
The draft 2011 PNR agreement, which is currently undergoing the consent procedure in the European Parliament, provides only very few improvements when compared to the 2004 and 2007 agreements and in some regards even lowers the data protection standards of the former agreements. Data transferred under the agreement can be used for purposes not related to terrorist and serious transnational crimes, retention periods have been extended, and data subject rights are still not enforceable. The draft 2011 agreement also clearly does not meet the data protection standards envisaged in the proposed directive on data protection in the field of police and criminal justice. [...]"
"This study compares the three PNR agreements: those of 2004 and 2007, as well as the current draft of 2011 matching them against the requests put forward by the European Parliament in its resolution of 5 May 2010 and the proposal for a police and criminal justice data protection directive of the Commission of 25 January 2012. The outcomes of the analysis are briefly summarized in the following:
- Purpose and use of the data have been extended
- Retention period has been extended
- Transfer to third parties has been broadened
- Independence of supervision is still not guaranteed
- Amount of data sets has not been reduced; less protection for sensitive data
- Data subject’s rights and judicial review still not enforceable [...]
The draft 2011 PNR agreement, which is currently undergoing the consent procedure in the European Parliament, provides only very few improvements when compared to the 2004 and 2007 agreements and in some regards even lowers the data protection standards of the former agreements. Data transferred under the agreement can be used for purposes not related to terrorist and serious transnational crimes, retention periods have been extended, and data subject rights are still not enforceable. The draft 2011 agreement also clearly does not meet the data protection standards envisaged in the proposed directive on data protection in the field of police and criminal justice. [...]"
Mar 8, 2012
Opinion of the EDPS on EU data protection reform package
Opinion of the European Data Protection Supervisor on the data protection reform package
Subscribe to:
Posts (Atom)