31.12.2013

Österreich: Übermittlung von Arzneimittel-Verschreibungsdaten - Datenschutzkommission stellt Verfahren gg. IMS Health ein

Wie Der Standard und Futurezone berichten, hat die Datenschutzkommission (DSK; ab 1.1.2014 Datenschutzbehörde, DSB) das Verfahren gegen die Marktforschungsfirma IMS Health eingestellt. Die Wiener Ärztekammer hatte die Firma im August verdächtigt, Patientendaten [Informationen über Medikamentenverschreibungen] unzulässig erworben und weitergegeben zu haben. Die Kommission geht dagegen davon aus, dass keine Verletzung des Datenschutzes vorliegt. Auch Disziplinarmaßnahmen gegen beteiligte Ärzte gab es nicht.
Aus der den Berichten zugrunde liegenden APA-Pressemeldung (Update 06.01.2013: Presseaussendung der Datenschutzkommission betreffend IMS Health (PDF):
Im Zuge des Verfahrens wurde IMS Health die Möglichkeit eingeräumt, zu den medial erhobenen Vorwürfen Stellung zu nehmen. IMS Health führte dazu aus, dass direkt personenbezogene Daten (das sind solche Daten, die eine Person eindeutig identifizieren, wie bspw. Name, Sozialversicherung etc.) von Patienten nicht übermittelt würden. IMS Health erhalte statistische Daten von Ärzten, Apotheken, dem pharmazeutischen Großhandel und Krankenhäusern zum Zweck der Marktforschung. Es handle sich dabei um Daten zu Verschreibungen (Ärzte), Verkaufs- und Einkaufsdaten (Apotheken, Großhandel) und
Verbrauchsdaten (Krankenhäuser). Eine personenbezogene Verwendung dieser Daten sei nicht möglich, da die Daten bereits zum Zeitpunkt der Erhebung durch IMS Health keinen Personenbezug aufweisen würden.
Die gesammelten Informationen würden über bereit gestellte Schnittstellen verschlüsselt übertragen. Eine Rückführbarkeit auf einzelne Patienten sei IMS Health nicht möglich.

Das Bundesministerium für Gesundheit (BMG) gab - nach Rücksprache mit der Datenschutzkommission - ein technisches Gutachten in Auftrag, welches bestätigte, dass IMS Health mit rechtlich zulässigen Mitteln einen Personenbezug auf Basis der übermittelten Daten nicht herstellen könne. [...] Alle Systeme würden mit Patientennummern arbeiten, wobei die gesammelten Daten einer Patientennummer zugeordnet würden. [...]
Für die Datenschutzkommission steht folglich fest, dass ein Personenbezug zu einzelnen Patienten durch IMS Health mit rechtlich zulässigen Mitteln nicht hergestellt werden kann bzw. dass dies technisch nicht möglich ist.
Damit ist aber eine Rückführbarkeit auf einzelne Patienten ausgeschlossen. Eine Verletzung datenschutzrechtlicher Vorschriften liegt sohin nicht vor. Die Datenschutzkommission hat daher das Verfahren eingestellt.
Anmerken muss man hierzu, dass die Übermittlung von pseudonymisierten ("indirekt personenbezogenen") und anonymisierten Daten grundsätzlich zulässig ist (siehe hier und hier) und aus der Pressemeldung wohl auf eine pseudonymisierte Verwendung geschlossen werden kann ("Patientennummer"; "Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmbar").
NachleseÄrztekammer zu Weitergabe von VerschreibungsdatenÄrztekammer kündigt Verbot für unklaren Datenhandel an350 österreichische Ärzte verkaufen Verschreibungsdaten;

Austria: Data Protection Commission replaced by Data Protection Authority (Datenschutzbehörde) as of 1.1.2014

As of 1 January 2014 the Austrian Datenschutzkommission (Data Protection Commission) will be replaced by the Datenschutzbehörde ("DSB"; Data Protection Authority) as the Austrian supervisory authority within the meaning of Art. 28 of Directive 95/46/EC. Look here for additional information (pdf).

Rundschreiben (DSK-K036.500/0028-DSK/2013; pdf): [...] Die Datenschutzkommission teilt mit, dass gemäß § 61 Abs. 9 des Datenschutzgesetzes 2000 – DSG 2000 idF BGBl. I Nr. 83/2013 (DSG-Novelle 2014) mit Ablauf des 31. Dezember 2013 die Datenschutzbehörde an die Stelle der Datenschutzkommission tritt. Am 1. Jänner 2014 bei der Datenschutzkommission anhängige Verfahren sind nach Maßgabe der Bestimmungen des DSG 2000 von der Datenschutzbehörde fortzuführen. Erledigungen der Datenschutzkommission gelten als entsprechende Erledigungen der Datenschutzbehörde. Nach Beendigung des Verfahrens vor dem Verwaltungsgerichtshof betreffend den Bescheid oder die Säumnis der Datenschutzkommission oder vor dem Verfassungsgerichtshof betreffend den Bescheid der Datenschutzkommission ist das Verfahren von der Datenschutzbehörde fortzusetzen. Die Zuständigkeiten und Befugnisse der Datenschutzbehörde entsprechen jenen der Datenschutzkommission. [...]
Siehe in der Literatur auch Knyrim/Horn, Datenschutzverfahren nach der neuen Verwaltungsgerichtsbarkeit, in Jahnel (Hrsg), Datenschutzrecht und E-Government Jahrbuch 2013, 191 ff und Hickisch, Neues im Datenschutzrecht, Öffentliche Sicherheit 11-12/2013, 75 ff.

23.12.2013

VfGH: Berufsfotografie kein "reglementiertes Gewerbe" iSd GewO mehr

VfGH 27.11.2013, G 49/2013-7
Der Verfassungsgerichtshof hat - nach einem entsprechenden Antrag des Verwaltungsgerichtshofes - entschieden: Berufsfotografen sind kein "reglementiertes Gewerbe" mehr. Jene Passage der Gewerbeordnung, die die Reglementierung vorsah, wurde als wegen Verletzung des Rechts auf Freiheit der Erwerbsbetätigung als verfassungswidrig aufgehoben:
I. § 94 Z 20 Gewerbeordnung 1994, BGBl. Nr. 194 idF BGBl. I Nr. 42/2008, wird als verfassungswidrig aufgehoben. [...]

Update: Kundmachung des Bundeskanzlers über die Aufhebung des § 94 Z 20 der Gewerbeordnung 1994 durch den Verfassungsgerichtshof, BGBl I 212/2013

22.12.2013

EDPS publishes 2014 work programme

The European Data Protection Supervisor’s (EDPS) 2014 work programme in the area of legislative consultation identifies issues of strategic importance that are likely to be the cornerstones of his consultation work for 2014. The inventory, a strategic planning document also published today, highlights the key areas of focus for 2014. [...]
The key areas of strategic importance that are likely to form the basis of the EDPS' consultation work for 2014 include:
  • A new legal framework for data protection,
  • Rebuilding trust in global data flow in the aftermath of PRISM
  • Initiatives to bolster the economic growth and the Digital Agenda
  • Further developing the Area of Freedom, Security and Justice
  • Reform of the financial sector
  • Tax fraud and banking secrecy
The EDPS will focus in particular on initiatives such as the Commission Communication on rebuilding trust in EU-US data flows, the post-Stockholm Programme, initiatives against terrorism and extremism, and on open data, cloud computing and banking supervision. The EDPS will also issue opinions in other policy areas, such as competition and eHealth.
The ongoing work on one of the largest legislative dossiers in recent years - the two proposals for reforming the EU data protection framework - is the subject of very great interest at national, European and international level. [...]
Source: EDPS press release

Art. 29 WP releases Work Programme 2014 - 2015

The Article 29 Working Party has released its Work Programme 2014-2015 (WP 210):
[...] Activities for 2014-2015
The general strategic themes for the work programme are ensuring clarity and effectiveness:
  • in preparing for the new legal framework
  • in addressing globalisation
  • in responding to technological challenges
  • in delivering enforcement cooperation
The Working Party’s goal for the 2014-2015 period is to ensure a coherent and correct application of the current legal framework and to continue to prepare for the future legal framework. The revised legal framework will have consequences both for the rules and regulations regarding data protection
and for the functioning and duties of the Working Party itself (that will be succeeded by the European Data Protection Board).
[...]

Subgroups
The Working Party’s subgroups will work along the line of the strategic themes and will present draft documents for discussion and adoption by the plenary. In short the subgroups will focus on the following issues:
Future of Privacy subgroup
The subgroup will deal with both substance and procedural issues with regard to the necessary preparations for the new legal framework and the EDPB. The subgroup should come up with proposals to operationalise the EDPB, draft rules of procedure and the consistency mechanism. [...]
Key Provisions
The subgroup will temporarily be suspended as all key provisions of the 1995 Directive previously identified have been covered. [...]
Technology subgroup
The subgroup will focus on examining privacy issues related to technological developments, including the Internet of Things and wearable computing devices. Guidance will be provided on issues related to cloud computing and device fingerprinting. Finally the impact of the draft legal framework on existing WP29 guidance in this field will be examined.
International Transfers subgroup
The subgroup will examine the impact of the draft Regulation’s provisions on transfers with regard to existing transfer tools and reflect on adaptations of existing BCRs and Standard contractual clauses to the new legal framework where necessary. Following the evaluation report on the functioning of the Safe Harbour Agreement, the subgroup will present proposals for further action. [...]
Borders, Travel and Law Enforcement subgroup
The subgroup will continue examining new legislation, the implementation and evaluation of current legislation and non-legislative issues in the area of borders, travel and law enforcement. Of particular importance is the proposal for a new Police and Justice Data Protection Directive and the discussions following the NSA leaks. [...]
E-government subgroup
The subgroup will examine the use of apps for Egov services, safeguards in e-identification and other eGovernment services and will provide input in discussions relating to eSignatures and the Internal Market Information System (IMI).

21.12.2013

US Senate: Staff Report - A Review of the Data Broker Industry

[...] Chairman John D. (Jay) Rockefeller IV released a majority staff report [A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes] summarizing the Commerce Committee’s investigation into how data brokers collect, compile, and sell consumer information. In spite of the key role they play in determining what advertisements and offers consumers receive, data brokers remain largely invisible to the consumers whose data populate their databases.
The Committee majority staff report finds that:
- Data brokers collect a huge volume of detailed information on hundreds of millions of consumers, including financial, health, and other personal information; consumers have little or no awareness of these activities;
- Data brokers then use this consumer information to create marketing products that group consumers in categories, some of which focus on consumers’ financial vulnerability;
- Data brokers create products for use in online targeted marketing that are based on offline dossiers collected by the companies; and
- Data brokers operate behind a veil of secrecy, subject to limited statutory consumer protections, and some perpetuate this secrecy by limiting customers from disclosing their data sources.

Source: Press release; for the Senate Hearing entitled What Information Do Data Brokers Have on Consumers, and How Do They Use It? look here. More here and here, be sure to check out Pam Dixon's Congressional Testimony: What Information Do Data Brokers Have on Consumers? This testimony was given to the Senate Commerce Committee on December 18, 2013 at a hearing dedicated to shedding light on data broker industry practices and how that affects consumers. The full testimony contains numerous examples of data broker activities, consumer scoring, and discusses the solutions that are needed, including a requirement for data broker opt out.

19.12.2013

Terminhinweis: Symposium „Whistle Blowing“ (Uni Linz)

Das Kooperationssymposium der Universität Salzburg und der Universität Linz setzt sich zum Ziel, aktuelle Rechtsfragen rund um das Generalthema „Whistleblowing“ umfassend zu beleuchten und Schnittstellen zwischen Arbeits- und Datenschutzrecht, Straf- und Kapitalmarktrecht sichtbar zu machen. Die Veranstaltung findet am Do, den 23. 1. 2014, ab 10:00 an der Universität Linz statt. Mehr dazu hier.

18.12.2013

Vorschläge für die Ausräumung der Bedenken der EU bzgl. der US-Überwachungsprogramme (Non-Paper)

Wie auf der Tagung des AStV vom 14. November 2013 angekündigt, legt der Vorsitz hiermit – als Reaktion auf die von amerikanischer Seite in der Ad-hoc-Arbeitsgruppe EU–USA "Datenschutz" wiederholt vorgetragene Bitte – den Entwurf eines Non-Papers ["Beitrag der EU und ihrer Mitgliedstaaten im Kontext der von den USA vorgenommenen Überprüfung der Überwachungsprogramme"] vor, das Vorschläge [Recht auf Privatsphäre und Zugang zu Rechtsmittel auch für in der EU ansässige Personen; Beachtung der Prinzipien von Notwendigkeit und Verhältnismäßigkeit) enthält, wie im Kontext der von den USA vorgenommenen Überprüfung der Überwachungsprogramme die Bedenken der EU und ihrer Mitgliedstaaten ausgeräumt werden könnten. Die amerikanische Seite hob hervor, dass sie die Beiträge von europäischer Seite dringend benötige. Der in der Anlage wiedergegebene Beitrag folgt auf den Bericht über die Feststellungen der EUKo-Vorsitzenden der Ad-hoc-Arbeitsgruppe EU–USA "Datenschutz" und die Mitteilung der Kommission an das Europäische Parlament und den Rat mit dem Titel "Rebuilding Trust in EU-US Data Flows" (Wiederherstellung des Vertrauens in die Datenübertragung zwischen der EU und den USA). [...]

Update: On December 18, the President’s Review Group on Intelligence and Communications Technologies released its report entitled “Liberty and Security in a Changing World - Report and Recommendations of The President’s Review Group on Intelligence and Communications Technologies" (see page 19 on the recommendations for the "Surveillance of Non-US Persons")

15.12.2013

ETSI: Final Report on Cloud Standards Coordination

[...] Following the request from the European Commission, ETSI launched the Cloud Standards
Coordination (CSC) initiative in a fully open and transparent way, open for all stakeholders. After an analysis of major aspects of cloud computing standardization, the final Report provides:
• A definition of roles in cloud computing;
• The collection and classification of over 100 cloud computing Use Cases;
• A list of around 20 relevant organizations in cloud computing Standardization and a selection of around 150 associated documents, Standards & Specifications as well as Reports & White Papers produced by these organizations;
• A classification of activities that need to be undertaken by Cloud Service Customers or Cloud Service Providers over the whole Cloud Service Life-Cycle;
• A mapping of the selected cloud computing documents (in particular Standards & Specifications) on these activities.

Based on these technical results, conclusions regarding the status of Cloud Standardization at the time of this writing have been developed, concerning general aspects (fragmentation, etc.) and
more specific topics of Interoperability, Security & Privacy and Service Level Agreements. [...]

ENISA publishes new study on securing personal data in the context of data retention

ENISA's new report (Securing personal data in the context of data retention) aims at providing a set of recommendations for a common European approach on the security measures that should be taken in relation to retained data, taking into account existing specifications on security measures.
The new study provides the results of (a) a survey on the national implementation of the Data retention legislation in six selected Member States on the requirements regarding technical and organisational security measures and the implementation of the data security principles that are provided for in the Directive, and (b) a state-of-the-art analysis of the security measures proposed for the protection of personal data collected and stored in the context of the DRD.
In the case of the Data Retention Directive being revised [considering the pending proceedings for a preliminary ruling at the ECJ, this remains to be seen], ENISA makes the following recommendations to European Commission for consideration in the context of the DRD Review process:
  • Include clear references to minimum security requirements for personal data protection.  State-of-the-art security frameworks have already been developed; changing the security mechanisms is neither easy nor inexpensive, however minimum security requirements should be imposed. 
  • A clear and realistic threat model should be considered, including also the reference to “deliberate” destruction, loss or alteration, storage, processing, access or disclosure. [...]

Art. 29 WP: Opinion on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems

Opinion 07/2013 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems (‘DPIA Template’) prepared by Expert Group 2 of the Commission’s Smart Grid Task Force (2064/13/EN):
2.7 Conclusions and recommendations
The WP29 recognises the work carried out by the EG2 group and realises that the second version of the template constitutes considerable improvement with respect to the previous version insofar as the methodology is better outlined and actionable. Nonetheless, there is still a series of unclear elements and a need for more clarity in some parts, which, if addressed as indicated, will contribute in a determinant way to the successful deployment and use of the template. [...]

Datenschutzrat: Kritische Stellungnahmen zu ELGA-Verordnungsentwürfen

Der Datenschutzrat fasste in der Sitzung vom 25.11.2013 einstimmig Beschlüsse zur Umsetzung der Gesundheitsakte ELGA, wobei zu den beiden Verordnungsentwürfen des Gesundheitsministeriums kritische Anmerkungen (u.a. zur konkreten Rollenverteilung der Beteiligten als Auftraggeber oder Dienstleister und zur Frage welcher Verschlüsselungs-Algorithmus eingesetzt wird) getroffen wurden:
Update 28.12.2013:
  • Verordnung des Bundesministers für Gesundheit, mit der nähere Regelungen für die Gesundheitstelematik getroffen werden – Gesundheitstelematikverordnung 2013 (GTelV 2013), BGBl II 506/2013 
  • Verordnung des Bundesministers für Gesundheit zur Implementierung von ELGA (ELGA-Verordnung – ELGA-VO), BGBl II 505/2013



OLG Wien: Unzulässige ergänzende Vertragsauslegung nach Wegfall einer gesetzwidrigen Klausel

OLG Wien 28.11.2013,  5 R 173/13t (nicht rechtskräftig, ordentliche Revision zulässig)
Der VKI hat die Wiener Privatbank in einem Verbandsverfahren - im Auftrag des Konsumentenschutzministeriums - auf Unterlassung geklagt. Dabei geht es um ein Berufen der Bank auf missbräuchliche Vertragsklauseln, indem Konsumenten bei Vermögensverwaltungsverträgen Kündigungsentschädigungen verrechnet werden, die weder durch eine vertragliche Vereinbarung noch durch § 1014 ABGB gedeckt sind. Nach dem klagsstattgebenden erstinstanzlichen Urteil des HG Wien hat nun das OLG Wien als Berufungsgericht bestätigt: Werden unzulässige Klauseln vereinbart, stellt die Berufung auf eine ergänzende Vertragsauslegung als Verstoß gegen die Klausel-RL eine unzulässige Geschäftspraktik dar, die mit (neuerlicher) Unterlassungsklage gem § 28a KSchG bekämpft werden kann.
Das OLG Wien hat die ordentliche Revision für zulässig erklärt, "weil sich der OGH mit der Frage, ob die Voraussetzungen des § 28a Abs 1 KSchG auch dann vorliegen, wenn der Unternehmer nach der Unwirksamerklärung einer Klausel in seinen AGB diese Klausel unter Berufung auf ergänzende Vertragsauslegung im Ergebnis weiterhin anwendet, noch nicht auseinandergesetzt hat."

Report on findings by EU Co-chair of ad hoc EU-US Working Group on Data Protection

Somewhat older: Report on the findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection (16987/13, dated 27 November 2013; pdf)
5. SUMMARY OF MAIN FINDINGS
(1) Under US law, a number of legal bases allow large-scale collection and processing, for foreign intelligence purposes, including counter-terrorism, of personal data that has been transferred to the US or is processed by US companies. The US has confirmed the existence and the main elements of certain aspects of these programmes, under which data collection and processing is done with a basis in US law that lays down specific conditions and safeguards. Other elements remain unclear, including the number of EU citizens affected by these surveillance programmes and the geographical scope of surveillance programmes under Section 702.
(2) There are differences in the safeguards applicable to EU data subjects compared to US data subjects, namely:
[...](4) A lack of clarity remains as to the use of other available legal bases, the existence of other surveillance programmes as well as limitative conditions applicable to these programmes. This is especially relevant regarding Executive Order 12333.
(5) Since the orders of the FISC are classified and companies are required to maintain secrecy with regard to the assistance they are required to provide, there are no avenues, judicial or administrative, for either EU or US data subjects to be informed of whether their personal data is being collected or further processed. There are no opportunities for individuals to obtain access, rectification or erasure of data, or administrative or judicial redress. 
[...]
For assessments (in German) look here and here.

13.12.2013

EuGH (Schlussanträge der GA): kein Recht auf Zugang zu Akten mit personenbezogenen Daten (Art 12 f DatenschutzRL)

EuGH, Schlussanträge der Generalanwältin Sharpston vom 12.12.2013, verb Rs C‑141/12 und C‑372/12 - Y. S. (English version here) 
Ergebnis
93.      Nach alledem bin ich der Ansicht, dass die Fragen der Rechtbank Middelburg und des Raad van State vom Gerichtshof wie folgt zu beantworten sind:
1.      Tatsachen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, sind als „personenbezogene Daten“ im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr anzusehen. Dagegen ist die der Entscheidung über eine Rechtsfrage zugrunde liegende Begründung – die mit einer rechtlichen Einordnung von Tatsachen, die sich auf eine bestimmte oder bestimmbare Person beziehen, und ihrer Beurteilung vor dem Hintergrund des anwendbaren Rechts einhergeht – nicht von der Definition der „personenbezogenen Daten“ in dieser Richtlinie umfasst. Die Richtlinie 95/46 verpflichtet die Mitgliedstaaten daher nicht, Zugang zu einer solchen rechtlichen Analyse zu gewähren, wenn sie in ein internes Dokument aufgenommen worden ist, das auch personenbezogene Daten enthält.
2.      Nach Art. 12 der Richtlinie 95/46 ist Zugang zu Daten zu gewähren, die von der Definition der „personenbezogenen Daten“ in dieser Richtlinie umfasst sind, es sei denn, der Zugang ist nach Art. 13 dieser Richtlinie eingeschränkt oder ausgenommen.
3.      Die Richtlinie 95/46 begründet kein Recht auf Zugang zu einem bestimmten Dokument oder einer bestimmten Akte, in der personenbezogene Daten aufgeführt oder verwendet werden. Sie konkretisiert auch nicht die materielle Form, in der personenbezogene Daten zugänglich zu machen sind. Nach Art. 12 der Richtlinie 95/46 steht den Mitgliedstaaten ein erheblicher Ermessensspielraum zur Verfügung, die Form zu bestimmen, in der personenbezogene Daten zugänglich zu machen sind. Bei der entsprechenden Beurteilung haben die Mitgliedstaaten insbesondere (i) die materielle(n) Form(en), in der bzw. denen diese Informationen vorhanden sind und der betroffenen Person zugänglich gemacht werden können, (ii) die Art der personenbezogenen Daten und (iii) die Ziele des Auskunftsrechts zu berücksichtigen.
4.      Der Schutz der Rechte und Freiheiten anderer Personen im Sinne von Art. 13 Abs. 1 Buchst. g der Richtlinie 95/46 umfasst nicht die Rechte und Freiheiten der Behörde, die personenbezogene Daten verarbeitet. Das Interesse an einem ungestörten internen Gedankenaustausch innerhalb der Behörde steht auch nicht in Verbindung mit den nach Art. 13 Abs. 1 Buchst. d oder f dieser Richtlinie geschützten Interessen.
5.      Art. 41 der Charta der Grundrechte der Europäischen Union normiert Rechte, die gegenüber Organen, Einrichtungen und sonstigen Stellen der Union geltend gemacht werden können und ist daher nicht auf personenbezogene Daten und andere Informationen anwendbar, die im Besitz eines Mitgliedstaats sind.

12.12.2013

ECJ: Data Protection Directive does not preclude levying of fees

ECJ (CJEU) 12.12.2013, C‑486/12
1        This request for a preliminary ruling concerns the interpretation of Article 12 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31).
2        The request has been made in proceedings brought by X concerning payment of a fee for delivery of a certified transcript containing personal data. [...]
On those grounds, the Court (Eighth Chamber) hereby rules:
1.      Article 12(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as not precluding the levying of fees in respect of the communication of personal data by a public authority.
2.      Article 12(a) of Directive 95/46 must be interpreted as meaning that, in order to ensure that fees levied when the right to access personal data is exercised are not excessive for the purposes of that provision, the level of those fees must not exceed the cost of communicating such data. It is for the national court to carry out any verifications necessary, having regard to the circumstances of the case.

USA: Financial Regulators Issue Final Guidance on Social Media

On 11 December, the Federal Financial Institutions Examination Council (FFIEC), on behalf of its members, released final guidance (Social Media: Consumer Compliance Risk Management Guidance) on the applicability of consumer protection and compliance laws, regulations, and policies to activities conducted via social media by banks, savings associations, and credit unions, as well as nonbank entities supervised by the Consumer Financial Protection Bureau. The guidance is effective immediately. [...]

ECJ (Advocate General’s Opinion): Data Retention Directive is incompatible with the Charter of Fundamental Rights

ECJ - Advocate General’s Opinion in Joined Cases, C-293/12 - Digital Rights Ireland and C-594/12 - Seitlinger and Others (DE)
Today’s Opinion is delivered in proceedings relating to two references for a preliminary ruling,
made by the High Court of Ireland and the Verfassungsgerichtshof (Constitutional Court, Austria)
respectively.
According to the Advocate General, Mr Cruz Villalón, the Data Retention Directive is incompatible with the Charter of Fundamental Rights. He proposes, however, that the effects of the finding of invalidity should be suspended in order to enable the EU legislature to adopt, within a reasonable period, the measures necessary to remedy the invalidity found to exist.
Source: Press release

Taken from the Opinion:
VII –  Conclusion
159. In light of the foregoing considerations, I propose that the Court should answer the questions referred by the High Court in Case C‑293/12 and the Verfassungsgerichtshof in Case C‑594/12 as follows:
(1)      Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC is as a whole incompatible with Article 52(1) of the Charter of Fundamental Rights of the European Union, since the limitations on the exercise of fundamental rights which that directive contains because of the obligation to retain data which it imposes are not accompanied by the necessary principles for governing the guarantees needed to regulate access to the data and their use.
(2)      Article 6 of Directive 2006/24 is incompatible with Articles 7 and 52(1) of the Charter of Fundamental Rights of the European Union in that it requires Member States to ensure that the data specified in Article 5 of that directive are retained for a period whose upper limit is set at two years.

Update 13.12.2013: Erste Stellungnahmen österr. Blogger finden sich hier und hier.
 

11.12.2013

EuGH (Schlussanträge): Vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten

EuGH (Schlussanträge des Generalanwalts) 10.12.2013, C-288/12

I –    Einleitung
1.        Mit ihrer Klage vom 24. Mai 2012 beantragt die Europäische Kommission, festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(2) verstoßen hat, dass es die Amtszeit der Kontrollstelle für den Datenschutz vorzeitig beendet hat. Die Kommission wirft Ungarn insoweit eine Verletzung der nach Art. 28 Abs. 1 Unterabs. 2 geforderten Unabhängigkeit der Kontrollstelle für den Datenschutz vor.
2.        Wie in den Rechtssachen, in denen die Urteile vom 9. März 2010, Kommission/Deutschland(3), und vom 16. Oktober 2012, Kommission/Österreich(4), ergangen sind, geht es in der vorliegenden Rechtssache um den Umfang der den Mitgliedstaaten nach Art. 28 Abs. 1 Unterabs. 2 der Richtlinie auferlegten Pflicht, eine oder mehrere Kontrollstellen für den Schutz personenbezogener Daten einzurichten, die „die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen“.
[...]
VIII – Ergebnis

91.      In Anbetracht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor,
–        festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen hat, dass es die Amtszeit des Datenschutzbeauftragten vorzeitig beendet hat,
–        Ungarn zu verurteilen, seine eigenen Kosten und die Kosten der Europäischen Kommission zu tragen,
–        den Europäischen Datenschutzbeauftragten zu verurteilen, seine eigenen Kosten zu tragen.

08.12.2013

BRD: Düsseldorfer Kreis - Verwendung personenbezogener Daten für Werbezwecke

Düsseldorfer Kreis: Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke (pdf)
Der Düsseldorfer Kreis hat eine Ad-hoc-Arbeitsgruppe „Werbung und Adresshandel“ unter Leitung des Bayerischen Landesamts für Datenschutzaufsicht eingerichtet und diese mit der Erarbeitung von Anwendungshinweisen zu den BDSG-Regelungen für den werblichen Umgang mit personenbezogenen Daten beauftragt. In zwei Sitzungen und nachfolgendem schriftlichen Verfahren wurden Anwendungshinweise formuliert, die in diesem Dokument abgedruckt und als beschlossen anzusehen sind.

05.12.2013

USA: App Developer Settles FTC Charges

A review of your app's privacy policy could be due (and I'd like to add that enforcement is very much alive in the USA):
The creator of one of the most popular apps for Android mobile devices has agreed to settle Federal Trade Commission charges that the free app, which allows a device to be used as a flashlight, deceived consumers about how their geolocation information would be shared with advertising networks and other third parties. (...)
Source: FTC press release

Excerpt from the Complaint:
(...) 5. The Brightest Flashlight App purportedly works by activating all lights on a mobile device, including, where available, the device’s LED camera flash and screen to provide outward-facing illumination.  While running, however, the application also transmits, or allows the transmission of, data from the mobile device to various third parties, including advertising networks.  The types of data transmitted include, among other things, the device’s precise geolocation along with persistent device identifiers that can be used to track a user’s location over time. (...)
10. Respondents’ Privacy Policy does not disclose or adequately disclose to consumers that the Brightest Flashlight App transmits or allows the transmission of device data, including precise geolocation along with persistent device identifiers, to third parties, including advertising networks. (...)

Commission: Consultation on EU Copyright Rules

The European Commission has today launched a public consultation as part of its on-going efforts to review and modernise EU copyright rules. The consultation invites stakeholders to share their views on areas identified in the Communication on Content in the Digital Single Market (IP/12/1394), i.e. territoriality in the Single Market, harmonisation, limitations and exceptions to copyright in the digital age; fragmentation of the EU copyright market; and how to improve the effectiveness and efficiency of enforcement while underpinning its legitimacy in the wider context of copyright reform. [...] The consultation is open until 5 February 2014.
Source: Press release, more here.

Handelsgericht Wien: 8 von 9 AGB-Klauseln der Zalando GmbH gesetzwidrig

Handelsgericht Wien 29.11.2013, 39 Cg 96/12d (nicht rechtskräftig)
Der Verein für Konsumenteninformation (VKI) führt - im Auftrag des Bundesministeriums für Arbeit, Soziales und Konsumentenschutz - eine Unterlassungsklage gegen das Versandhandelsunternehmen Zalando GmbH mit Sitz in Berlin. Das HG Wien hat nun in erster Instanz entschieden: 8 von 9 angefochtenen AGB-Klauseln sind gesetzwidrig und damit unwirksam.

[...] Klausel 6: Wir speichern Ihre Bestell- und Adressdaten zur Nutzung im Rahmen der Auftragsabwicklung (auch durch von uns eingesetzte Auftragsabwicklungspartner oder Versandpartner), für eventuelle Gewährleistungsfälle, für Verbesserungen unseres Angebots und für Produktempfehlungen gegenüber Kunden gemäß des Inhalts unserer Datenschutzerklärung.
Die §§ 3f des - mangels Niederlassung der deutschen Beklagten in Österreich anwendbaren - BDSG sehen Informationen an den Betroffenen vor, um welche konkreten Daten es sich handelt und an wen diese gelangen sollen, auf deren Grundlage dieser seine Einwilligung zur Datenverwendung erteilen kann. Dadurch, dass die Bestell- und Adressdaten des Kunden auch durch nicht näher umschriebene Dritte ("Partner") gespeichert werden sollen, uzw für Angebotsverbesserungen und Produktempfehlungen, wird die Reichweite der Klausel nicht ausreichend transparent. [...] 
Klausel 8: Ihre personenbezogenen Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zweck der Vertragsabwicklung oder Abrechnung erforderlich ist oder Sie zuvor eingewilligt haben. Im Rahmen der Bestellabwicklung erhalten beispielsweise die hier von uns eingesetzten Dienstleister (wie bspw Transporteur, Logistiker, Banken) die notwendigen Daten zur Bestell- und Auftragsabwicklung.
Auch wenn die Weitergabe der personenbezogenen Daten des Kunden an Dritte hier zumindest auf den Zweck der Vertragsabwicklungen oder Abrechnung bzw der Bestell- und Auftragsabwicklung beschränkt ist, ist die Klausel aus den zu Klausel 6 angeführten Gründen (s oben) nicht ausreichend transparent.
Klausel 9: Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen.
Das Unterlassungsbegehren wurde abgewiesen. Nach Ansicht des HG Wien betrifft die Klausel nur Kunden, die - aufgrund eines Facebook-Profils und der damit verbundenen Zustimmung zu den Datenverwendungsrichtlinien von Facebook - wissen, dass Facebook ihre Daten sammelt, die von Besuchen auf anderen Websites herrühren. Nachdem es heutzutage ferner eine weit verbreitete und allgemein bekannte Erfahrung ist, dass im Internet Spuren hinterlassen und Daten von diversen Stellen gespeichert werden, geht das HG Wien davon aus, dass die Klausel allein der Warnung und Information der Kunden dient.
Der VKI hatte argumentiert, es sei für den Kunden gröblich benachteiligend und überraschend, dass während des Besuchs auf der Homepage der Beklagten Daten von Facebook gesammelt werden. [...]

Quelle: VKI

02.12.2013

LG Berlin: Urteil vzbv vs. Google im Volltext

Nicht nur Datenschutzbehörden machen Google derzeit das Leben etwas schwerer als es sein könnte, auch ein zivilrechtliches Vorgehen bietet sich an: Urteil des Landgerichts Berlin vom 19.11.2013, 15 O 402/12 (nicht rechtskräftig), mehr hier.
For an overview in English (analyzing the court's press release rather than the back then unavailable full-text) go here.

01.12.2013

Dutch DPA: Google's privacy policy in breach of data protection law

The combining of personal data by Google since the introduction of its new privacy policy on 1 March 2012 is in breach of the Dutch data protection act [Wet bescherming persoonsgegevens]. This is the conclusion of the investigation by the Dutch data protection authority [College bescherming persoonsgegevens]. Google combines the personal data from internet users that are collected by all kinds of different Google services, without adequately informing the users in advance and without asking for their consent. The investigation shows that Google does not properly inform users which personal data the company collects and combines, and for what purposes. "Google spins an invisible web of our personal data, without our consent. And that is forbidden by law", says the chairman of the Dutch data protection authority, Jacob Kohnstamm.
The Dutch DPA has invited Google to attend a hearing, after which the authority will decide whether it will take enforcement measures.
Source: Press release; inofficial translation of the findings (pdf)
It is worth mentioning that this is happening in the context of coordinated enforcement actions by several European DPAs, see here and here as well as CNIL's recommendations (pdf) regarding Google's Privacy Policy.

30.11.2013

Commission proposes new rules on protection of undisclosed know-how and business information

On 28.11.2013, the European Commission has proposed new rules on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure.
The draft directive introduces a common definition of trade secrets, as well as means through which victims of trade secret misappropriation can obtain redress. It will make it easier for national courts to deal with the misappropriation of confidential business information, to remove the trade secret infringing products from the market and make it easier for victims to receive damages for illegal actions.
Text of the proposal (Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure) and more here.

BGH: Universitäre E-Learningplattformen und Urheberrecht

BGH 28.11.2013, I ZR 76/12 - Meilensteine der Psychologie
Der u.a. für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass eine Universität den Teilnehmern einer Lehrveranstaltung nur dann Teile eines urheberrechtlich geschützten Werkes auf einer elektronischen Lernplattform zur Verfügung stellen darf, wenn diese Teile höchstens 12% des Gesamtwerks und nicht mehr als 100 Seiten ausmachen und der Rechtsinhaber der Universität keine angemessene Lizenz für die Nutzung angeboten hat. [...]
Quelle: BGH

27.11.2013

BRD: Koalitionsvertrag und Datenschutz

Koalitionsvertrag zwischen CDU, CSU und SPD (pdf) - Ich bin ja gespannt, wie oft das Wort "Datenschutz" im Koalitionsvertrag zwischen SPÖ und der ÖVP (sofern ein solcher überhaupt zustande kommen sollte) vorkommen wird ...

BGH: Google-Adwords-Anzeige für ein Arzneimittel - verlinkte Pflichtangaben ausreichend

BGH, Urteil vom 6. Juni 2013, I ZR 2/12
Eine Google-Adwords-Anzeige für ein Arzneimittel verstößt nicht allein deshalb gegen § 4 HWG, weil die Pflichtangaben nicht in der Anzeige selbst enthalten sind. Es ist vielmehr ausreichend, dass die Anzeige einen eindeutig als solchen klar erkennbaren elektronischen Verweis enthält, der unzweideutig darauf hinweist, dass der Nutzer über ihn zu den Pflichtangaben gelangt; der elektronische Verweis muss zu einer Internetseite führen, auf der die Pflichtangaben unmittelbar, das heißt ohne weitere Zwischenschritte leicht lesbar wahrgenommen werden können. (amtlicher Leitsatz)

European Commission: Reports on Safe Harbor, TFTP and PNR Agreements

According to this press release (Update: see also these FAQs), the European Commission has set out the actions that need to be taken to restore trust in data flows between the EU and the U.S., following deep concerns about revelations of large-scale U.S. intelligence collection programmes have had a negative impact on the transatlantic relationship. The Commission's response today takes the form of
(1) a strategy paper (a Communication) on transatlantic data flows setting out the challenges and risks following the revelations of U.S. intelligence collection programmes, as well as the steps that need to be taken to address these concerns (COM(2013) 846: Communication - Rebuilding Trust in EU-US Data Flows - not the final version); 
(2) an analysis of the functioning of 'Safe Harbour' which regulates data transfers for commercial purposes between the EU and U.S. (COM(2013) 847: Communication on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU - not the final version); and
(3) a report on the findings of the EU-US Working Group (see MEMO/13/1059) on Data Protection which was set up in July 2013
(4) a review of the existing agreements on Passenger Name Records (PNR), see MEMO/13/1054,
(5) as well as a review of the Terrorist Finance Tracking Programme (TFTP) regulating data exchanges in these sectors for law enforcement purposes, see MEMO/13/1164.

What is the European Commission proposing today with regards to Safe Harbour?
On the basis of a thorough analysis published today and consultations with companies, the European Commission is making 13 recommendations to improve the functioning of the Safe Harbour scheme. The Commission is calling on U.S. authorities to identify remedies by summer 2014. The Commission will then review the functioning of the Safe Harbour scheme based on the implementation of these 13 recommendations.
Furthermore, the Commission today adopted a Terrorist Finance Tracking Programme (TFTP) evaluation report (communication on the joint report) and a report on the joint review of the US Passenger Name Record (PNR) Agreement. According to this press release, the Commission assessed the value of financial information data provided under the EU-US TFTP Agreement in the fight against terrorism and how PNR data has been used by US authorities for the purpose of fighting serious crime and terrorism. The Commission also adopted a Communication on a European Terrorist Finance Tracking System (TFTS), concluding that the establishment of such a system is not expected at this stage.

Look here for more information and the press releases/memos are available here:
European Commission calls on the U.S. to restore trust in EU-U.S. data flows
EU-US agreements: Commission reports on TFTP and PNR  
The EU-US TFTP Agreement: main elements
Restoring Trust in EU-US data flows - Frequently Asked Questions
Frequently asked questions: The EU-US agreement on the transfer of Passenger Name Record (PNR) data
EU-US agreements: Commission reports on TFTP and PNR (speech)

HG Wien: erstinstanzliches Urteil in Verbandsklage gegen Inkassobüro

Handelsgericht Wien 14.11.2013, 18 Cg 79/13a (pdf; nicht rechtskräftig)
Der Verein für Konsumenteninformation (VKI) geht im Auftrag des Konsumentenschutzministeriums gegen Klauseln in Vertragsformblättern von Inkassobüros mit Verbandsklage vor. Das Handelsgericht Wien (HG Wien) hat nun in zwei Entscheidungen festgehalten, dass auf Ratenzahlungsvereinbarungen, die in den vorliegenden Fällen und in der Praxis regelmäßig einen entgeltlichen Zahlungsaufschub darstellen, das am 11.6.2010 in Kraft getretene Verbraucherkreditgesetz anzuwenden ist. Das hat wesentliche Konsequenzen für die Schuldner: Zum einen gibt es ein gesetzliches Rücktrittsrecht, zum anderen können Zinsen, falls der effektive Jahreszinssatz nicht angegeben ist, auf die gesetzlichen Zinsen von 4 Prozent pro Jahr ermäßigt werden. Dazu gibt es umfangreiche Informationspflichten zu erfüllen. Eine Reihe von Klauseln der Inkassobüros wurden im Übrigen für intransparent erklärt. (Quelle: VKI)

26.11.2013

ECJ (Advocate General’s Opinion): internet provider can be required to block access to a website

CJEU 26.11.2013, C-314/12 (Advocate General’s Opinion; not yet available in English, see this official press release in English) - UPC
According to Advocate General Cruz Villalón an internet provider can be required to block access by its customers to a website [in this case: kino.to] which infringes copyright. Such a court injunction must refer to specific blocking measures and achieve an appropriate balance between the opposing interests which are protected by fundamental rights.

Nach Ansicht von Generalanwalt Pedro Cruz Villalón kann einem Internetprovider aufgegeben werden, für seine Kunden den Zugang zu einer Urheberrechte verletzenden Website zu sperren. Eine solche gerichtliche Anordnung muss jedoch konkrete Sperrmaßnahmen bezeichnen und ein angemessenes Gleichgewicht zwischen den sich gegenüberstehenden, grundrechtlich geschützten Interessen sicherstellen (Pressemeldung). Update: Für eine erste fundierte Einschätzung siehe diesen Blogeintrag von Dr. Lehofer.

V –    Ergebnis
110. Aus den oben genannten Gründen schlage ich dem Gerichtshof vor, auf die vom Obersten Gerichtshof vorgelegten Fragen wie folgt zu antworten:
1.      Art. 8 Abs. 3 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass eine Person, die ohne Zustimmung des Rechteinhabers Schutzgegenstände im Internet zugänglich macht und damit Rechte aus Art. 3 Abs. 2 der Richtlinie 2001/29 verletzt, die Dienste der Provider jener Personen nutzt, die auf diese Schutzgegenstände zugreifen.
2.      Es ist mit der im Rahmen von Art. 8 Abs. 3 der Richtlinie 2001/29 erforderlichen Abwägung zwischen den Grundrechten der Beteiligten nicht vereinbar, einem Provider ganz allgemein und ohne Anordnung konkreter Maßnahmen zu verbieten, seinen Kunden den Zugang zu einer bestimmten, das Urheberrecht verletzenden Website zu ermöglichen. Dies gilt auch, wenn der Provider Beugestrafen wegen Verletzung dieses Verbots durch den Nachweis abwenden kann, dass er alle zumutbaren Maßnahmen zur Erfüllung des Verbots getroffen hat.
3.      Eine gegen einen Provider gemäß Art. 8 Abs. 3 der Richtlinie 2001/29 verhängte konkrete Sperrmaßnahme bezüglich einer konkreten Website ist nicht allein deswegen prinzipiell unverhältnismäßig, weil sie einen nicht unbeträchtlichen Aufwand erfordert, aber ohne besondere technische Kenntnisse leicht umgangen werden kann. Es ist Sache der nationalen Gerichte, im konkreten Fall unter Einbeziehung aller relevanten Umstände eine Abwägung zwischen den Grundrechten der Beteiligten vorzunehmen und so ein angemessenes Gleichgewicht zwischen diesen Grundrechten sicherzustellen.

24.11.2013

Gutachten: Inkassounternehmen und die EU-Datenschutzgrundverordnung

Gutachten von Hoeren/Kaufmann, Inkassounternehmen und die  EU-Datenschutzgrundverordnung: Eine grundrechtliche Einordnung (pdf), Auftraggeber: Bundesverband Deutscher Inkasso-Unternehmen (BDIU)
Kernaussage des Gutachtens laut dieser Pressemeldung: Der Entwurf der Datenschutzgrundverordnung verstößt sowohl gegen deutsches als auch gegen europäisches Verfassungsrecht. Zu diesem Ergebnis kommen die IT- und Medienrechtsexperten Professor Thomas Hoeren (Westfälische Wilhelms-Universität Münster) und Professor Noogie C. Kaufmann (Fachhochschule Münster). Der vorliegende Entwurf der EU-Verordnung verletzt laut ihrer Analyse eklatant die Berufsfreiheit von Inkassounternehmen und verstößt somit gegen das deutsche Grundgesetz, konkret gegen Artikel 12 Absatz 1.
According to an expert opinion by Prof. Thomas Hoeren and Prof. Noogie C. Kaufmann, the EU General Data Protection Regulation threatens the business of German Credit Agencies and Collection Agencies, English summary here.

Literaturhinweis: Datennutzungs- und Datenschutzverträge

In Kürze erscheint im Otto Schmidt-Verlag das Buch "Datennutzungs- und Datenschutzverträge - Muster, Klauseln, Erläuterungen" herausgegeben von Moos. Laut dem Verlag haben Herausgeber und Autoren erstmals 30 kommentierte Muster und Klauseln (u.a. Verträge zur Datenschutzorganisation, Unternehmensrichtlinien, Datenschutzerklärungen und Einwilligungen, Verträge über internationale Datentransfers) in einer Sammlung vereint, die entweder dem unmittelbaren Schutz personenbezogener Daten dienen oder deren gezielte Nutzung zum Gegenstand haben. Auch wenn das Buch auf die deutsche Rechtslage abstellt, kann der Inhalt für die österreichische Praxis mE wohl hilfreiche Anregungen bieten.

ENISA: Information Security certification practice in the EU

Security certification practice in the EU - Information Security Management Systems - A case study (pdf):
This study focuses on two objectives: The first objective is to provide expertise from other certification areas to the reform of the European data protection legislation, as the new proposed legislation identifies privacy certification as a means to achieve implementation of data protection requirements. The second objective is to identify, based on existing knowledge, recommendations and steps to be followed for achieving the objectives of the aforementioned EU cyberstrategy, namely the development of voluntary EU-wide certification schemes building on existing schemes in the EU. [...]   

21.11.2013

VfGH: Pflicht zur Jahresabschluss-Veröffentlichung in Wr. Zeitung verfassungskonform

VfGH 03.10.2013, G 88/2011
RIS-Leitsatz: Abweisung des - zulässigen - Individualantrags auf Aufhebung von Bestimmungen des Unternehmensgesetzbuches betreffend die Verpflichtung zur Veröffentlichung des Jahresabschlusses großer Aktiengesellschaften im Amtsblatt zur Wiener [Zeitung]; zusätzlich zur Veröffentlichung in der Datenbank des Firmenbuchs vorgesehene Veröffentlichung in einem periodisch erscheinenden, weitgehend unentgeltlich zugänglichen Medium angesichts der besseren Zugänglichkeit von Informationen für die interessierte Öffentlichkeit im rechtspolitischen Ermessen des Gesetzgebers

20.11.2013

USA: GAO releases Report on Information Resellers and Privacy issues

On November 15, the U.S. Government Accountability Office (GAO) has released a report entitled "Information Resellers: Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace" (pdf) that addresses (1) privacy laws applicable to consumer information held by resellers, (2) gaps in the law that may exist, and (3) views on approaches for improving consumer data privacy.

No overarching federal privacy law governs the collection and sale of personal information among private-sector companies, including information resellers. Instead, a variety of laws tailored to specific purposes, situations, or entities governs the use, sharing, and protection of personal information. For example, the Fair Credit Reporting Act limits the use and distribution of personal information collected or used to help determine eligibility for such things as credit or employment, but does not apply to information used for marketing. Other laws apply specifically to health care providers, financial institutions, videotape service providers, or to the online collection of information about children.
The current statutory framework for consumer privacy does not fully address new technologies--such as the tracking of online behavior or mobile devices--and the vastly increased marketplace for personal information, including the proliferation of information sharing among third parties. With regard to data used for marketing, no federal statute provides consumers the right to learn what information is held about them and who holds it. In many circumstances, consumers also do not have the legal right to control the collection or sharing with third parties of sensitive personal information (such as their shopping habits and health interests) for marketing purposes. As a result, although some industry participants have stated that current privacy laws are adequate--particularly in light of self-regulatory measures under way--GAO found that gaps exist in the current statutory framework for privacy. [emphasis added]
Source: Press release

USA: Report - "Big Credit Bureaus, Big Mistakes"

According to new analysis from the U.S. PIRG Education Fund (“Big Credit Bureaus, Big Mistakes: The CFPB’s Consumer Complaint Database Gets Real Results for Victims of Credit Reporting Errors,”), thousands of consumers with errors on their credit reports are getting relief through the Consumer Financial Protection Bureau (CFPB). The report also found that credit reporting agencies vary widely in how they respond to consumer complaints: Equifax responded to over half with relief, while Experian responded with relief to only 5 percent. [...]
Source: Press release

OGH: Änderung der Rechtsprechung zur Zulässigkeit von verkaufsfördernden Maßnahmen (UWG)

OGH 22.10.2013, 4 Ob 129/13v
Die Beklagte warb in ihrer Zeitung für eine von ihr zusammengestellte, im Handel erhältliche „Edition“ von Tonträgern mit musikalischen Inhalten. Dazu druckte sie einen Gutschein ab, mit dem ein Tonträger dieser Edition bei einer bestimmten Handelskette um 4,99 EUR statt um 7,99 EUR erworben werden konnte. Die Zeitung der Beklagten kostete im Einzelverkauf einen Euro.
Ein Mitbewerber beantragte, der Beklagten diese verkaufsfördernde Maßnahme nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) zu verbieten: Es entstehe dadurch ein „übersteigerter Kaufanreiz“, denn es sei denkbar, dass Kunden die Zeitung allein deshalb kauften (und allenfalls ungelesen entsorgten), um in den Genuss des Gutscheins zu kommen. Tatsächlich hatte der Oberste Gerichtshof in älteren Entscheidungen solche Überlegungen angestellt. Nun hielt er diese Ansicht aber nicht aufrecht: Das beantragte Verbot sei aus Gründen des Verbraucherschutzes nicht erforderlich, solange das Angebot der Beklagten keine irreführenden Angaben enthalte. ["Eine den Preis der Hauptware übersteigende Ersparnis bei einer Nebenware ist ohne Hinzutreten besonderer Umstände (Irreführung, Drucksituation etc) nicht geeignet, die „Rationalität“ des Verbraucherverhaltens auszuschließen. Hat der Verbraucher in einem solchen Fall Interesse an der Nebenware, ist es vielmehr aus seiner Sicht sachgerecht, die Hauptware auch dann zu erwerben, wenn er daran (isoliert betrachtet) keinen Bedarf hat. Verbraucherschutzerwägungen können die Rechtsprechung zur Unzulässigkeit von Vorspannangeboten oder hochwertigen Zugaben daher nicht tragen."] Auf andere Gründe – etwa die gezielte Behinderung von Mitbewerbern - hatte der Kläger sein Begehren nicht gestützt. ["Auf Gründe des Mitbewerberschutzes (§ 1 Abs 1 Z 1 UWG) hat die Klägerin ihr Begehren nicht gestützt. Auf damit verbundene Fragen - etwa den auch bei Koppelungsangeboten möglichen Missbrauch einer marktbeherrschenden Stellung (4 Ob 84/12z = ÖBl 2013, 22 - Hahnenkamm-Gewinnspiel) oder sonstige Formen eines Behinderungswettbewerbs (vgl 4 Ob 158/08a = MR 2008, 368 - Nimm 3, zahl 2!) - ist daher nicht einzugehen."] Seine Unterlassungsklage wurde daher abgewiesen.
Quelle: OGH

18.11.2013

BRD: Abhöraktivitäten der NSA - Bundesdatenschutzbeauftragter legt Bericht vor

Unterrichtung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: Abhöraktivitäten US-amerikanischer Nachrichtendienste in Deutschland (pdf; BT-Drs 18/59), Bericht an den Deutschen Bundestag gemäß § 26 Absatz 2 Satz 3 BDSG

B. Kernaussagen
· Grundrechtsschutz und Sicherheit müssen insbesondere im Bereich der Nachrichtendienste
in einem ausgewogenen Verhältnis stehen. Dies setzt eine effektive und lückenlose unabhängige Kontrolle nachrichtendienstlicher Tätigkeiten voraus.
· Die berichteten anlasslosen Massendatenerhebungen sind schnell, umfassend, detailliert und – soweit rechtlich zulässig – auch öffentlich aufzuklären.
· Strukturelle und/oder regelungstechnische Defizite sind unverzüglich und nachhaltig zu beseitigen – auf nationaler wie internationaler Ebene.
· Die Zusammenarbeit deutscher mit ausländischen Nachrichtendiensten darf nicht dazu führen, durch Aufgabenteilung nationale (verfassungs-)rechtliche Beschränkungen für ihre Tätigkeit zu umgehen („Befugnis-Hopping“).
· Aufgrund der Gesetzgebungs- und Kontrollkompetenz des Deutschen Bundestages über die Nachrichtendienste des Bundes ist eine engere Kooperation der parlamentarisch bestellten Kontrollorgane und die Beseitigung bestehender Kontrolldefizite dringend erforderlich.


16.11.2013

EDPS: Proposal on EU-wide harmonization of electronic communications services will unduly limit internet freedom

Opinion of the European Data Protection Supervisor on the Proposal for a Regulation of the European Parliament and of the Council laying down measures concerning the European single market for electronic communications and to achieve a Connected Continent, and amending Directives 2002/20/EC, 2002/21/EC and 2002/22/EC and Regulations (EC) No 1211/2009 and (EU) No 531/2012
Excerpt from the press release: The European Commission's proposal on harmonising electronic communications services across the EU will unduly limit internet freedom, says the European Data Protection Supervisor (EDPS). In his Opinion, the EDPS welcomes the inclusion of the principle of net neutrality - the impartial transmission of information on the internet – in the text, but also said that it is devoid of substance because of the almost unlimited right of providers to manage internet traffic. [...]
Excerpt from the Opinion: 
43. The EDPS recalls that respect for the rights to privacy and the protection of personal data, and for the confidentiality of communications, is crucial to building consumer trust and confidence in the European single market for electronic communications. In that regard, the EDPS provides the following key recommendations:
  • Traffic management measures constitute a restriction to net neutrality, which the proposal sets out as the key principle applicable to Internet use in the EU, and interfere with end-users' rights to confidentiality of communications, privacy and personal data protection. In view of this, such measures should be subject to strict transparency, necessity and proportionality requirements. In particular:
    • Using traffic management for the purposes of implementing a legislative provision or preventing and impeding serious crimes may entail a wide-scale, preventive and systematic monitoring of communications content which would be contrary to Articles 7 and 8 of the EU Charter of Fundamental Rights, as well as Article 5(1) of Directive 2002/58/EC and Directive 95/46/EC. Reference to these grounds should be removed from Article 23(5)(a) of the proposal; [...]

ENISA: Good Practice Guide for securely deploying Governmental Clouds

Good Practice Guide for securely deploying Governmental Clouds (pdf)
In this report, ENISA identifies the Member States with operational government Cloud infrastructures and underlines the diversity of Cloud adoption in the public sector in Europe. Moreover through this document, ENISA aims to assist Member States in elaborating a national Cloud strategy implementation, to understand current barriers and suggest solutions to overcome those barriers, and to share the best practices paving the way for a common set of requirements for all Member States.  Finally, the new report presents ten recommendations for successfully rolling out governmental cloud services, as Cloud is recommended as cheaper and safer for data protection of the citizens:
Top ten recommendations for the secure deployment of governmental clouds:
  • Support the development of an EU strategy for governmental Clouds
  • Develop a business model to guarantee sustainability as well as economies of scale for gov-Cloud solutions
  • Promote the definition of a regulatory framework to address the “locality problem”
  • Promote the definition of a framework to mitigate the “loss of control” problem
  • Develop a common SLA framework
  • Enhance compliance to EU and country specific regulations for Cloud solutions
  • Develop a certification framework
  • Develop a set of security measures for all deployment models
  • Support academic research for cloud computing
  • Develop provisions for privacy enhancement

OGH: SMS-Zusendung kostenpflichtiger Zusatzangebote mit "opt-out" - Verstoß gegen § 1a UWG

OGH 23.09.2013, 4 Ob 27/13v
Die beklagte Anbieterin von Telefondienstleistungen versandte im Mai 2011 bzw Anfang Juli 2011 an die Mobiltelefonnummern mancher ihrer Kunden Kurznachrichten (SMS) folgenden Inhalts:
"Lieber T***** Kunde! Ab 15. 05. telefonieren sie mit der Option Sonderrufnummern um nur EUR 2,--/Monat (Ohne Bindung) unlimitiert zu Banken, Behörden und Firmen. Gilt für Sonderrufnummern (0720xx, 50xx, 57xx, 59xx, 05xx) österreichweit. Benötigen Sie die Option nicht, antworten Sie mit NEIN bis 14. 05. Ihr T***** Team“
"Seit 1. 7. telefonieren Sie gratis mit der T***** Option Sonderrufnummern unlimitiert zu Banken, Behörden und Firmen. Gilt für Sonderrufnummern (072xx, 50xx, 57xx, 59xx, 05xx) österreichweit. Ab 1. 8. zahlen Sie für diese Option EUR 2,--/Monat. Benötigen Sie diese Option nicht, antworten Sie mit NEIN bis 25. 7. 2011" [...]
1.7. Zusammenfassend ist daher festzuhalten, dass dem Kunden eine Vertragsänderung aufgedrängt wird, die zu einem Gebührenzuschlag für eine nicht bestellte Leistung führt. Diese Belästigung bzw unzulässige Beeinflussung ist als aggressive Geschäftspraktik nach § 1a UWG zu qualifizieren, die auch geeignet ist, die wirtschaftliche Entscheidung des Durchschnittsverbrauchers oder den Wettbewerb zwischen Unternehmen spürbar zu beeinflussen. [...]
2.8. Die beanstandete Geschäftspraktik bliebe daher auch im Fall der Aufnahme der von der Beklagten vorgeschlagenen Klausel in ihre Geschäftsbedingungen oder Vertragsformblätter unzulässig. Der von der Beklagten angebotene Unterlassungsvergleich war daher nicht dazu angetan, die Wiederholungsgefahr zu beseitigen. Der geltend gemachte Unterlassungsanspruch besteht daher - im Einklang mit den Vorinstanzen - zu Recht. [...]

Der VKI weist in seiner Pressemeldung (wie auch der OGH) auf Folgendes hin: Einer Klausel zur Einführung von neuen Diensten mittels SMS im Rahmen einer Erkärungsfiktion war im Übrigen bereits auch von der Telekom-Control-Kommission mit [nicht rechtskräftigem] Bescheid vom 27.2.2012 widersprochen worden (G 07/12-11).

OGH: schladming.com - kein Domain-Übertragungsanspruch

OGH 22.10.2013, 4 Ob 59/13z - schladming.com
Nach Auswertung des österreichischen und deutschen Schrifttums sowie der OGH-Vojudikatur als auch der Rechtsprechung des BGH kommt der OGH zu folgendem Ergebnis: Wer durch eine Internet-Domain in seinen Namensrechten verletzt ist, hat mangels Rechtsgrundlage keinen Anspruch gegen den Domaininhaber auf Übertragung der Domain.

Der Beklagte ist Inhaber der Domain www.schladming.com, unter der er touristische Informationen veröffentlicht. Die mit der second-level-domain gleichnamige Stadtgemeinde begehrte als Klägerin die Unterlassung der Verwendung der Domain, die Einwilligung in die Löschung sowie deren Übertragung an sie. Es liege eine Namensanmaßung vor, die Verwechslungsgefahr auslöse. Die Nutzer nähmen an, die unter der strittigen Domain aufrufbare Website werde von der Klägerin betrieben. [...]
Der nur von der Klägerin angerufene Oberste Gerichtshof bestätigte die Abweisung des Übertragungsanspruchs mangels Anspruchsgrundlage ["12. Zusammengefasst ist festzuhalten, dass der begehrte Übertragungsanspruch mangels geeigneter Rechtsgrundlage nicht zu Recht besteht. Sollte ein praktisches Bedürfnis danach bestehen, wäre es Sache des Gesetzgebers, eine entsprechende Anspruchsgrundlage zu schaffen."]. Auch bereicherungsrechtliche Ansprüche bestünden nicht. Die strittige Domain sei nämlich kein der Klägerin ausschließlich zugewiesenes Rechtsgut, weil es auch Dritte (etwa namensgleiche Personen) geben könne, die - ebenso wie die Klägerin - berechtigte Ansprüche auf die Domain geltend machen könnten. In einem solchen Fall wäre es nicht sachgerecht, der Klägerin allein auf Grund ihrer früheren Klagsführung einen Vorteil (nämlich den Besitz der Domain) zu gewähren und sie damit besser zu stellen, als sie ohne die Verletzungshandlung stünde.
Quelle: OGH

13.11.2013

EPO: Guidance on Patents for Software

The European Patent Office (EPO) has released a brief brochure entitled "Patents for software? European law and practice" (pdf) concerning the protection of computer-implemented inventions by patents. In this publication, the EPO explains the conditions for patent protection of computer-implemented inventions, why they benefit society and the EPO practice (via IPR Helpdesk).

10.11.2013

USA: Data Brokers and the Federal Government

The report Data Brokers and the Federal Government: A New Front in the Battle for Privacy Opens,  Part III in a series was published October 30, 2013 (Report authors: Bob Gellman and Pam Dixon).
This report focuses on government use of commercial data brokers, the implications for that usage, and what needs to be done to address privacy problems. The government must bring itself fully to heel in the area of privacy. If it is going to outsource its data needs to commercial data brokers, it needs to attach the privacy standards it would have been held to if it had collected the data itself. Outsourcing is not an excuse for evading privacy obligations.
This report discusses new Office of Management and Budget (OMB) guidance for an initiative (Do Not Pay Initiative) that on one hand provides for expanded use of commercial data brokers by federal agencies and on the other it establishes new privacy standards for the databases used in the Initiative. [...]
Source: World Privacy Forum

USA: Cyber liability & data breach insurance claims - A study of claim payouts

The third annual NetDiligence® Cyber Liability & Data Breach Insurance Claims study (pdf) uses actual cyber liability insurance reported claims to illuminate the real costs of incidents from an insurer’s perspective.
It is our hope that actuaries, risk managers and others working in the field of data security will use this information to properly price policies, perform more accurate risk assessments and implement better safeguards and action plans to protect organizations from data breaches.
For this study, we asked insurance underwriters about data breaches and the claim losses they sustained. We looked at the type of data exposed, the cause of loss and the business sector in which the incident occurred. For the first time, this year we also looked at the size of the affected organization. We then looked at the costs associated with Crisis Services (forensics, notification, credit monitoring, and legal counsel), legal (defense and settlement), and Fines (PCI & regulatory).
This report summarizes our findings for a sampling of 145 data breach insurance claims, 140 of which involved the exposure of sensitive data in a variety of sectors, including government, healthcare, hospitality, financial services, professional services, retail and many more.

DHS: Privacy Office Issues 2013 Annual Report to Congress

On 6 November 2013, the Department of Homeland Security Privacy Office’s issued its 2013 Annual Report to Congress (pdf), highlighting the achievements of the Privacy Office for the period July 2012 - June 2013.

Google Analytics: "neue" Hinweise für Webseitenbetreiber

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat vor einiger Zeit eine Anleitung für den datenschutzkonformen Einsatz von Google Analytics online gestellt. Die Tipps sind zwar auf dessen Zuständigkeitsbereich Hamburg beschränkt, da es allerdings in Österreich meines Wissens keine offiziellen Hinweise der DSK o.ä. gibt, wird ein Befolgen der Hinweise nicht nachteilig sein.
In der Anleitung kam es laut dieser deutschen Website (und einem User-Post von Franz Berger vom 1.11.2013) zu Änderungen betreffend eine Widerspruchslösung ("Opt-out") für Browser auf Smartphones, das aktuelle Infoblatt (englische Version hier) stammt laut Adobe Reader vom 27.05.2013.

HG Wien: Gesetzwidrige Klauseln in "E-Banking-AGB" der BAWAG P.S.K.


Handelsgericht Wien 31.10.2013, 11 Cg 65/13s (nicht rechtskräftig)
Der Verein für Konsumenteninformation (VKI) führt - im Auftrag des Konsumentenschutzministeriums eine Verbandsklage gegen die umstrittenen E-Banking-Bedingungen der BAWAG PSK. Zahlreiche Kunden führten Beschwerde darüber, dass in den AGB alle möglichen Risken auf die Kunden verschoben werden und von den Kunden völlig überzogene Sorgfaltspflichten verlangt werden. Das Handelsgericht Wien (HG Wien) hat nun neun der zehn beanstandeten Klauseln für gesetzwidrig erklärt. Das Urteil ist nicht rechtskräftig.
Eine der Klauseln lautete wie folgt:
4. Bei der Nutzung von BAWAG P.S.K eBanking per APP ist der Kunde zudem verpflichtet, ein Sicherheitsmuster zu definieren, welches, wenn die APP im eingeloggten Zustand verlassen wird, für den neuerlichen Zugang einzugeben ist. Bei Nutzung von BAWAG P.S.K. eBanking per APP ist der Kunde verpflichtet, seine APP sowie das Betriebssystem seines mobilen Endgerätes immer auf dem neuesten Stand (Version) zu halten.

Der Richter des HG Wien dazu (Bei Android OS stelle ich mir das u.a. bei "älteren" Geräten etwas schwierig vor, die Kunden müssten ja bereits auf Version 4.4 sein):
§ 6 Abs 3 KschG lautet wie folgt:
Eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung ist unwirksam, wenn sie unklar oder unverständlich abgefaßt ist.
Diesem Transparenzgebot widerspricht die Klausel 4. Sie verpflichtet den Kunden seine „APP" und sein Betriebssystem „auf dem neuesten Stand zu halten“ ohne diesen neuesten Stand zu umschreiben. Unabhängig davon, dass diese Klausel auch eine unzulässige Risikoüberwälzung auf den Kunden enthält (siehe die Ausführungen zu den Klauseln 1, 2, 5 und 6) ist sie schon wegen Verstoßes gegen das Transparenzgebot nichtig.

08.11.2013

EuGH: DatenschutzRL - Ausnahmen von der Informationspflicht zulässig

EuGH 07.11.2013, C‑473/12
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Art. 13 Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass die Mitgliedstaaten nicht die Pflicht, wohl aber die Möglichkeit haben, eine oder mehrere der in dieser Bestimmung vorgesehenen Ausnahmen von der Pflicht, die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten zu informieren, in ihr nationales Recht umzusetzen.
Die Tätigkeit eines Privatdetektivs, der für einen Berufsverband handelt, um Verstöße gegen die berufsständischen Regeln eines reglementierten Berufs, im vorliegenden Fall des Berufs des Immobilienmaklers, aufzuspüren, fällt unter die in Art. 13 Abs. 1 Buchst. d der Richtlinie 95/46 vorgesehene Ausnahme.

VfGH: Aufhebung von § 140 Abs 3 StPO (Weiterverwendung von im Strafverfahren ermittelten Daten)

VfGH 01.10.2013, G 2/2013
Eine gesetzliche Regelung in der Strafprozessordnung sieht vor, dass sämtliche Daten, die für ein Strafverfahren zulässigerweise ermittelt wurden, auch für andere gerichtliche oder verwaltungsbehördliche Verfahren verwendet werden dürfen. Und zwar auch dann, wenn das Strafverfahren etwa mit Freispruch endete oder überhaupt eingestellt wurde. Eine solche pauschale, weitreichende Erlaubnis, Daten weiter zu verwenden, verletzt das Grundrecht auf Datenschutz. Die entsprechende Bestimmung in der Strafprozessordnung ist daher verfassungswidrig. (Pressemeldung)

[...]  I. § 140 Abs. 3 der Strafprozeßordnung 1975, BGBl. Nr. 631, idF BGBl. I Nr. 19/2004, wird als verfassungswidrig aufgehoben.
II. Die Aufhebung tritt mit Ablauf des 31. Oktober 2014 in Kraft.
[...]

Siehe zur Vorgeschichte bereits hier.

Bayern: Prüfung der Internetauftritte von 5592 Behörden betreffend "Social Plugins"

[....] Der Bayerische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hatte im April dieses Jahres 5592 Webseiten bayerischer öffentlicher Stellen geprüft. 66 Stellen, die Social Plugins in ihren Internetauftritt unzulässig direkt eingebunden hatten, wurden zunächst aufgefordert, dies zu unterlassen.
Denn andernfalls erhält beispielsweise Facebook unzulässig Daten der Besucher der Behördenwebseite. Dies erfolgt dann ohne gesetzliche Grundlage und ohne Möglichkeit von Seitenbesuchern, dies vor dem Seitenaufruf zu erkennen.
Bei der Nachprüfung der 66 auffälligen Webseiten hatte sich lediglich eine verantwortliche Stelle uneinsichtig gezeigt. Doch nach einer Beanstandung sowie der Einschaltung der Aufsichtsbehörde konnte der Bayerische Landesbeauftragte für den Datenschutz auch bei dieser Stelle die Einhaltung der datenschutzrechtlichen Vorschriften durchsetzen. [...]
Quelle: Pressemeldung (mit weiteren datenschutzrechtlichen Hinweisen zu Plugins von Social Networks)

06.11.2013

BRD: datenschutzrechtliche Empfehlungen zur Gestaltung von "Mobile Payment"

Deutschland: Experten legen Empfehlungen zur Gestaltung verbrauchergerechter Angebote von mobilen Bezahlverfahren vor:
Die Empfehlungen zur Zahlungssicherheit und zum Datenschutz richten sich an Anbieter von Mobile Payment-Verfahren und dienen insbesondere der Verbrauchersicherheit, den Verbraucherrechten sowie der Verbraucherinformation. Sie definieren Anforderungen an einen verbraucherfreundlichen Einsatz von Mobile Payment und enthalten grundlegende Kriterien u.a. zur Datenverarbeitung, Nutzerregistrierung und -authentifizierung, Zahlungsautorisierung, Transparenz und Kostenkontrolle sowie zu technisch-organisatorischen Sicherheitsvorkehrungen. Die Empfehlungen sind nicht abschließend. 
Empfehlungen der Arbeitsgruppe Datenschutz, die übrigen Empfehlungen sind in dieser Pressemeldung verlinkt.

03.11.2013

DSK: Zur Löschung von ehemals öffentlich verfügbaren Daten aus Datenbanken Dritter

DSK 20.03.2013, K212.804/0006-DSK/2013
[...] Die Datenschutzkommission sieht es daher nach sorgfältiger Abwägung als nicht unverhältnismäßig, dass die in der VKL festgelegten Aufbewahrungsfristen analog auch für die Inkassodatei herangezogen werden können.
Es kann in der Praxis durchaus zutreffen, dass die im Bescheid zur VKL ausdrücklich so ausgestalteten Maximalfristen regelmäßig ausgeschöpft werden, weil von Insolvenzen in der überwiegenden Mehrheit eine Mehrzahl von Gläubigern betroffen ist. Der Gesetzgeber trifft ja eine ähnliche Wertung mit den Fristen für die Dauer der Veröffentlichung in der öffentlich zugänglichen Ediktsdatei, die ja Quelle der Inkassodatei ist.
Für die Ediktsdatei besteht aber ein Löschungsanspruch nach § 256 Abs. 3 IO, dem nach Meinung der Datenschutzkommission insofern Rechnung zu tragen ist, als der M*** bei Erhalt eines Löschungsbegehrens im Einzelfall zu überprüfen hat, ob die Daten des Betroffenen weiter in der Inkassodatei aufzubewahren sind, wenn sie in der Ediktsdatei nicht mehr öffentlich verfügbar sind. Der M*** hat also in diesem Fall den Löschungsanspruch des Betroffenen im Einzelnen zu prüfen und die Löschung zu verfügen bzw. dem Betroffenen begründet mitzuteilen, warum die Löschung zu diesem Zeitpunkt nicht vorgenommen wird.
Da im konkreten Verfahren die Daten des Einschreiters in der Ediktsdatei des Bundes folgend einem entsprechenden Antrag gemäß § 256 Abs. 3 IO gelöscht wurden, auch gegenüber dem M*** ein solcher Antrag vom 12. September 2011 vorgelegen hat (der zwar auf das Widerspruchsrecht nach § 28 Abs. 2 DSG 2000 Bezug nahm, im Übrigen aber inhaltlich durch die Begründung für die Löschung aber durchaus auch als Antrag nach § 27 DSG 2000 zu verstehen war), und der M*** die Weigerung der Löschung im Einzelnen nicht begründet hat, wäre der M*** gehalten gewesen, diese Prüfung vorzunehmen bzw. zu wiederholen, entsprechend dem Ergebnis den Einschreiter von der Löschung zu informieren bzw. ihm auf den Einzelfall bezogen begründet darzulegen, warum seine Daten in der Inkassodatei nicht gelöscht wurden. Es war daher gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die obige Empfehlung zu erteilen. Eine Frist von zwei Wochen scheint, insbesondere in Bezug auf den Umfang der Prüfung des Löschungsbegehrens, angemessen.