28.11.2017

BGH: Vorlagefragen an EuGH zu "Cookies"

BGH 5.10.2017, I ZR 7/16
Beschluss: Vorlage an EuGH zur Belehrung über Verwendung von sog. "Cookies"
1. a) Handelt es sich um eine wirksame Einwilligung i.S.d. Art. 5 Abs. 3 und des Art. 2f der Richtlinie 2002/58/EG i.V.m. Art. 2h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2f der Richtlinie 2002/58/EG i.V.m. mit Art. 2h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung i.S.d. Art. 6 Abs. 1a der Verordnung (EU) 2016/679 vor?
2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

14.11.2017

OGH: Eigentumsfreiheitsklage gegen den Betreiber einer Internetplattform für Mountainbiker

OGH 18.10.2017, 7 Ob 80/17s 
Eine Eigentumsfreiheitsklage nach § 523 ABGB gegen den Betreiber einer Internetplattform für Mountainbiker, der einen Eintrag trotz Löschungsaufforderung aufrecht erhält, obwohl ihm vom Eigentümer mitgeteilt wurde,  dass das Befahren der veröffentlichten Route mangels Zustimmung unberechtigt erfolgt, ist zulässig. [...]
Quelle: PM OGH
Aus dem Urteil:
[...] Insofern rechtfertigt das Aufrechterhalten der falschen Informationen auf dem Onlineportal, obwohl eine Richtigstellung jederzeit und leicht möglich ist und dies von den beteiligten Verkehrskreisen auch erwartet wird, einen Unterlassungs- und Beseitigungsanspruch, hatte es die Beklagte doch leicht in der Hand, weitere Störungen durch Mountainbiker, die aufgrund des Eintrags handeln (unmittelbarer Störer), zu unterbinden und so weitere Rechtsverletzungen nicht mehr zu veranlassen. [...]

EuGH (Schlussanträge): Max Schrems vs. Facebook Ireland ("Sammelklage")

EuGH Rs C‑498/16Ergebnis
124. Im Licht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die vom Obersten Gerichtshof (Österreich) vorgelegten Fragen wie folgt zu beantworten:
1.      Art. 15 Abs. 1 der Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass Tätigkeiten wie Veröffentlichungen, das Halten von Vorträgen, der Betrieb von Websites oder die Sammlung von Spenden zur Durchsetzung von Ansprüchen nicht zum Verlust der Verbrauchereigenschaft in Bezug auf Ansprüche im Zusammenhang mit dem eigenen, für private Zwecke genutzten Facebook-Konto führen.
2.      Ein Verbraucher kann auf der Grundlage von Art. 16 Abs. 1 der Verordnung Nr. 44/2001 nicht gleichzeitig mit seinen eigenen Ansprüchen auch gleichgerichtete Ansprüche geltend machen, die ihm von anderen Verbrauchern mit Wohnsitz an einem anderen Ort im gleichen Mitgliedstaat, in einem anderen Mitgliedstaat oder in einem Drittstaat abgetreten wurden.
Aus der Pressemeldung des EuGH (pdf):
Nach Ansicht von Generalanwalt Bobek kann sich Herr Schrems hinsichtlich der privaten Nutzung seines eigenen Facebook-Kontos auf seine Verbrauchereigenschaft stützen, um Facebook Ireland vor den österreichischen Gerichten zu verklagen
Herr Schrems kann sich jedoch in Bezug auf Ansprüche, die ihm von anderen Verbrauchern abgetreten wurden, nicht auf seine Verbrauchereigenschaft berufen

09.11.2017

DSGVO-Fragenkataloge (Bayern, Niedersachsen, Liechtenstein)

GDD veröffentlicht Praxishilfe zur Datenschutz-Folgenabschätzung

GDD-Arbeitskreis DS-GVO-Praxis veröffentlicht Praxishilfe Nr. 10. Die Datenschutz-Folgenabschätzung (DSFA) soll gem. Art. 35 DS-GVO eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen.
Quelle: GDDGDD-Praxishilfe DS-GVO X (pdf) - Voraussetzungen der Datenschutz-Folgenabschätzung, Version 1.0, Stand November 2017

08.11.2017

BRD: Planspiel Datenschutz-Folgenabschätzung

Im Rahmen eines Planspiels haben das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern für einen hypothetischen Beispielsfall eine Datenschutz-Folgenabschätzung durchgeführt. Die Autoren haben sich dabei an einem DSFA-Framework orientiert, das dem  „Whitepaper Datenschutz-Folgenabschätzung“ und einem Aufsatz von Bieker et al. entnommen wurde. Für die Risikoabschätzung und die Bestimmung der Maßnahmen wurde das Standard-Datenschutzmodell verwendet.
Quelle: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

07.11.2017

Publikation (Vorankündigung): Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO (Update)

Ich habe gemeinsam mit Walter Hötzendorfer und Renate Riedl für das Jahrbuch Datenschutzrecht 2017 (herausgegeben von Prof. Dr. Jahnel im NWV Verlag) einen über 30 Seiten langen Beitrag mit dem Titel "Ausgewählte Fragen der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO" verfasst. Als Anlagen haben wir auf Grundlage einer Analyse der bestehenden Ansätze ein umfangreiches Muster für einen Datenschutz-Folgenabschätzungs-Bericht und ein Muster über die Ermittlung der Notwendigkeit einer Datenschutz-Folgenabschätzung erstellt. Der Erscheinungstermin des Jahrbuches ist voraussichtlich im Oktober November 2017.

Update 7.11.2017: Erscheint in den nächsten Tagen, Link zum Verlag und Inhaltsverzeichnis (pdf)

06.11.2017

BvD: Gutachten zur Stellung, Pflichten und Haftung des Datenschutzbeauftragten in der DSGVO

Gutachterliche Stellungnahme zu Änderungen der Stellung des Datenschutzbeauftragten durch die Datenschutz-Grundverordnung im Auftrag des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. (pdf); Pressemeldung

vzbv: Urteil gegen Facebook (anwendbares Datenschutzrecht, Einwilligung u. Infopflicht)

Facebook darf personenbezogene Daten seiner in Deutschland lebenden Nutzer nicht ohne deren wirksame Einwilligung herausgeben. In Facebooks App-Zentrum, in dem Computerspiele von Drittanbietern angeboten werden, wurden Nutzer nicht ausreichend über Umfang und Zweck der Datenweitergabe informiert. Das hat das Kammergericht nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. [...] Wegen der grundsätzlichen Bedeutung des Falls hat das Kammergericht die Revision zum Bundesgerichtshof zugelassen.
Quelle: Pressemeldung vzbv; Urteil KG Berlin (pdf)