28.08.2013

Bayerischer LfD: Social Plugins in Internetauftritten bayerischer Behörden

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz, Dr. Thomas Petri vom 27.8.2013 "Facebook & Co: Social Plugins (Like-Button etc.) in Internetauftritten bayerischer Behörden"

Die Prüfung von 5592 Webseiten bayerischer Behörden führt zu einem weitgehend erfreulichen Ergebnis: Nur noch eine der zunächst aufgefallenen 66 Webseiten bindet weiterhin Social Plugins unzulässig direkt ein. Die für diese Webseite verantwortliche öffentliche Stelle hat der Bayerische Landesbeauftragte für den Datenschutz nunmehr beanstandet.
Der Bayerische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hatte im April dieses Jahres 5592 Webseiten bayerischer öffentlicher Stellen geprüft. 66 Stellen, die Social Plugins in ihren Internetauftritt unzulässig direkt eingebunden hatten, wurden konkret aufgefordert, dies zu unterlassen.
Denn andernfalls erhält beispielsweise Facebook unzulässig Daten der Besucher der Behördenwebseite. Dies erfolgt dann ohne gesetzliche Grundlage und ohne Möglichkeit von Seitenbesuchern, dies vor dem Seitenaufruf zu erkennen. Bei der Nachprüfung der 66 auffälligen Webseiten hat sich lediglich eine verantwortliche Stelle uneinsichtig gezeigt.
Dr. Thomas Petri: "Grundsätzlich freue ich mich über das Ergebnis der Nachprüfung. Fast alle von mir angeschriebenen Stellen haben unmittelbar reagiert und Social Plugins entweder ganz aus ihrem Internetauftritt entfernt oder sie verwenden zumindest die 2-Klick-Lösung. Hier zeigt sich, dass die meisten der bayerischen öffentlichen Stellen die Privatsphäre der Bürgerinnen und Bürger durchaus ernst nehmen. Noch schöner wäre es allerdings, wenn ich einzelne bayerische öffentliche Stellen nicht erst zur Einhaltung der datenschutzrechtlichen Vorschriften auffordern oder wie nun in einem Fall sogar beanstanden müsste. Ich werde weiter darauf drängen, dass auch die beanstandete Stelle ihr rechtswidriges Vorgehen beendet."
Weitere Informationen zur Einbindung von Social Plugins finden Sie auf www.datenschutz-bayern.de:
Update 19.11.2013: Pressemeldung des Landesbeauftragten für den Datenschutz Baden-Württemberg (pdf)

South Africa: Protection of Personal Information Bill Approved

According to this press release dated 22 August 2013, the National Assembly has unanimously approved all the National Council of Provinces (NCOP) amendments to the Protection of Personal Information Bill, which effectively means that Parliament has now approved this Bill and this is a welcome development.
The Protection of Personal Information Bill gives expression to the right to privacy provided for in the Constitution. The right to privacy includes the right to protection against unlawful collection, retention, dissemination and use of anyone’s personal information.
The Bill is comprehensive and regulates the manner in which personal information may be processed, by establishing conditions in harmony with international standards that prescribe the minimum threshold requirements for the lawful processing of personal information.
As a means of achieving its objectives, the Bill establishes the Office of the Information Regulator as an independent, statutory body, accountable to the National Assembly. The Information Regulator, amongst other duties and functions, will take over from the Human Rights Commission powers and functions relating to the Promotion of Access to Information Act (PAIA).
The Bill has been referred to the President for his assent. [...]

For background information look at this 2005 Discussion Paper by the South African Law Reform Commission.

26.08.2013

Directive 2013/40/EU on attacks against information systems published in OJ


Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA

The objectives of this Directive are to approximate the criminal law of the Member States in the area of attacks against information systems by establishing minimum rules concerning the definition of criminal offences and the relevant sanctions and to improve cooperation between competent authorities, including the police and other specialised law enforcement services of the Member States, as well as the competent specialised Union agencies and bodies, such as Eurojust, Europol and its European Cyber Crime Centre, and the European Network and Information Security Agency (ENISA). [...]
[...] This Directive aims, inter alia, to introduce criminal penalties for the creation of botnets, namely, the act of establishing remote control over a significant number of computers by infecting them with malicious software through targeted cyber attacks. [...] 
This Directive does not impose criminal liability where the objective criteria of the offences laid down in this Directive are met but the acts are committed without criminal intent, for instance where a person does not know that access was unauthorised or in the case of mandated testing or protection of information systems, such as where a person is assigned by a company or vendor to test the strength of its security system. [...]

UK: ICO consults on conducting privacy impact assessments code of practice

The new [draft here] code of practice on conducting privacy impact assessments (PIAs) is intended to replace the current PIA Handbook. The aim of the new code is to produce a practical guide which will help organisations conduct assessments of new projects that involve the use of personal information. The code explains the key principles behind a PIA and suggests how a PIA can be integrated with an organisation’s project and risk management processes.
We are consulting to gather the views of stakeholders and the public about the new draft code. These views will inform the final version.
The closing date for the consultation is 5 November 2013. We will publish the finalised code of practice on this website along with a summary of consultation responses. 

Source: ICO (Information Commissioner’s Office)

Dt. BVerfG: Zum Datenschutz im privaten Versicherungsrecht

BVerfG, 1 BvR 3167/08 vom 17.7.2013
Nach einem am [13.08.2013] veröffentlichten Beschluss der 3. Kammer des Ersten Senats des Bundesverfassungsgerichts muss eine versicherungsvertragliche Obliegenheit zur Schweigepflichtentbindung hinreichend eng ausgelegt werden, um dem Versicherten die Möglichkeit zur informationellen Selbstbestimmung zu bieten. Soweit keine gesetzlichen Regelungen über die informationelle Selbstbestimmung greifen, kann es zur Gewährleistung eines schonenden Ausgleichs der verschiedenen Grundrechtspositionen geboten sein, zum Beispiel durch eine verfahrensrechtliche Lösung im Dialog zwischen Versichertem und Versicherer die zur Abwicklung des Versicherungsfalls erforderlichen Daten zu ermitteln. Die Anforderungen an diesen Dialog festzulegen und ihn auszugestalten, zählt zu den Aufgaben der Zivilgerichte.[...]
Quelle: Pressemitteilung

Aus dem Beschluss:
(1) Durch die von den vorformulierten Einzelermächtigungen vorgesehene Entbindung von der Schweigepflicht würde der Beklagten ermöglicht, auch über das für die Abwicklung des Versicherungsfalls erforderliche Maß hinaus in weitem Umfang sensible Informationen über die Beschwerdeführerin einzuholen. Dies trifft die Belange der Beschwerdeführerin erheblich, weil sich die Daten auf detaillierte Angaben zu ihrer Gesundheit und den ärztlichen Behandlungen, also auf Angaben höchstpersönlicher Natur beziehen. Zwar werden in den Einzelermächtigungen vier Auskunftsstellen benannt. Aus den Einzelermächtigungen war jedoch nicht ansatzweise erkennbar, welche konkreten Informationen die Beklagte zur Prüfung des Versicherungsfalls benötigt. [...]

VwGH: Keine (konkludente) Einwilligung zum "Cold Calling" bei Veröffentlichung von Kontaktdaten

VwGH 26.06.2013, 2013/03/0048 (Hervohebung durch mich):
[...] 2. Ziel des Gesetzgebers ist es, durch die Bestimmung des § 107 Abs 1 TKG jedem Teilnehmer Schutz vor unerbetenen Anrufen zu gewähren (vgl VwGH vom 25. Februar 2004, 2003/03/0284, VwSlg 16.297 A, zur Vorläuferbestimmung des § 101 des TKG aus dem Jahr 2007, wobei die Gesetzesmaterialien zu § 107 TKG aus dem Jahr 2003 nicht erkennen lassen, dass diesbezüglich eine Änderung eingetreten wäre, vgl RV 128 BlgNR 22. GP, S 20 f; vgl auch VwGH vom 24. März 2010, 2007/03/0143).
Der Zweck dieses Schutzes der Privatsphäre (vgl dazu Oberster Gerichtshof vom 18. Mai 1999, 4 Ob 113/99t, OGH vom 29. April 2003, 4 Ob 24/03p, und OGH vom 2. August 2005, 1 Ob 104/05h, unter Hinweis auf das Erkenntnis des Verfassungsgerichtshofs vom 10. Oktober 2002, G 267/01 ua, VfSlg 16.688) ist bei der Auslegung des Begriffs "zu Werbezwecken" zu berücksichtigen, sodass entgegen der Beschwerde der Begriff "zu Werbezwecken" in § 107 Abs 1 TKG jedenfalls auch die Anbahnung des Abschlusses eines Vertrags mit dem Unternehmen des Beschwerdeführers im Rahmen der Anpreisung eines Produkts bzw eines Verkaufsgesprächs erfasst (vgl in diesem Sinn nochmals VwSlg 16.297 A).
3. Da das Verbot unerbetener Anrufe nach § 107 Abs 1 TKG bezüglich der geschützten Teilnehmer keine Unterscheidung bezüglich Konsumenten, Unternehmer oder Gewerbetreibende enthält, schützt diese Regelung auch Teilnehmer, wenn sie - wie vorliegend - offensichtlich Gewerbetreibende sind.
[...] 
4. Weiters versagt das Vorbringen, der Teilnehmer habe sich mittels seines Auftritts im Internet - wo er "sämtliche seiner Daten, insbesondere Kontaktdaten und Unternehmensgegenstand, veröffentlicht" habe - soweit exponiert, dass er damit rechnen habe müssen, auch durch potentielle Lieferanten dementsprechend kontaktiert zu werden.
Bei der nach § 107 Abs 1 TKG erforderlichen vorherigen Einwilligung handelt es sich um eine zustimmende Willenserklärung des (zukünftigen) Anrufempfängers, wobei für diese Zustimmung ein gesetzliches Formerfordernis nicht besteht, sodass auch eine konkludente Zustimmung nicht ausgeschlossen werden kann
[...]
Dass der gegenständliche Teilnehmer im Internet (oder in einem Telefon-Teilnehmerverzeichnis) insbesondere seine Kontaktdaten und seinen Unternehmensgegenstand veröffentlicht, ist entgegen der Beschwerde nicht zwingend so zu verstehen, dass damit die vorherige Zustimmung zum Erhalt von Anrufen zu Werbezwecken erteilt worden wäre. Selbst wenn nämlich angesichts der Gestaltung dieser Hinweise des Teilnehmers kein Zweifel daran bestünde, dass der Teilnehmer werbend auf seine gewerbliche Tätigkeit hinweist, rechtfertigt das nicht die Annahme, dass damit schlechthin die Zustimmung zum Erhalt von Anrufen zu Werbezwecken gegeben werde (vgl dazu VwGH vom 26. April 2007, 2005/03/0143).
[...]

Update: Siehe auch OGH 19.03.2013, 4 Ob 13/13k
[...] 1.4. Eine (wirksame) Einwilligung im Sinn des § 107 Abs 1 und Abs 2 TKG 2003 kann nur dann vorliegen, wenn der Betroffene im Zeitpunkt der Abgabe seiner Willenserklärung weiß, von welchen Unternehmen er Werbung zu erwarten hat und welche Produkte dabei beworben werden (vgl 4 Ob 221/06p = RIS-Justiz RS0121957 zur Einwilligung mittels AGB).
[...] Allein daraus, dass jemand auf einer Immobilienplattform als Vermieter Angebote unter Bekanntgabe von Kontaktdaten einstellt, kann noch nicht auf eine - auch nur konkludente - Zustimmung des Vermieters geschlossen werden, von einem Mitbewerber des Plattformbetreibers in der Absicht kontaktiert zu werden, das Angebot auch auf dessen Immobilienplattform einzustellen. [...]

02.08.2013

Handelsgericht Wien: 8 von 9 Klauseln der T-Mobile-AGB rechtswidrig

HG Wien 22.07.2013, 57 Cg 110/12w (nicht rechtskräftig):
Die Verbandsklage des VKI im Auftrag der Arbeiterkammer Vorarlberg gegen T-Mobile drang bei 8 von 9 inkriminierten Klauseln durch, diese wurden als gesetzwidrig beurteilt (darunter Klauseln betreffend die vorzeitige Vertragsauflösung und Abschlagszahlungen, einvernehmliche Änderung der AGB und LB außerhalb des § 25 TKG 2003, Gewährleistungs-/Haftungsausschluss, Wertsicherungsklausel, Verzugszinsen).
Siehe hier für eine Zusammenfassung.

Klausel 3:
14.4 Nur Ihre Stammdaten (4.3 AGB) verwenden wir für Auskünfte über Ihre Kreditwürdigkeit und vermitteln diese hierzu an Kreditschutzverbände und Kreditinstitute. Im Falle des qualifizierten Zahlungsverzuges (Übergabe der Forderung nach zweimaliger erfolgloser Mahnung an ein Inkassoinstitut (insbesondere Inkassoauskünfte GmbH & Co KG, Infoscore Austria GmbH) zum Zwecke des Gläubigerschutzes bzw. zur Einbringlichmachung der Forderung) übergeben wir Ihre Stammdaten an anerkannte und befugte Kreditschutzverbände und Kreditinstitute (insbesondere Kreditschutzverband von 1870 Information GmbH, Deltavista GmbH). Sie können diese am Anmeldeformular gegebene Zustimmung zur Weitergabe Ihrer Daten an die oben genannten Institutionen jederzeit widerrufen.
Die Klausel verstößt gegen § 4 Z 12, §§ 6 und 7 DSG iVm § 6 Abs 3 KSchG. Zum einen wird nicht taxativ angeführt, an wen und zu welchem Zweck die Daten übermittelt werden sollen. Die Klausel verstößt somit gegen das Transparenzgebot des § 6 Abs 3 KSchG. Zudem werden die im § 7 Abs 2 DSG vorgesehenen Schranken für die Übermittlung von Daten nicht erfüllt. Die Klausel ist somit nichtig.

01.08.2013

OGH: Videoüberwachung und Unterlassungsanspruch

OGH 04.07.2013, 6 Ob 38/13a - Videoüberwachung einer Dachfläche
[...] Eine Videoüberwachung ist in datenschutzrechtlicher Sicht zwar grundsätzlich nur dann relevant, wenn sie für die Überwachung und somit zur Kontrolle von Menschen eingesetzt wird (Dohr/Pollirer/Weiss/Knyrim, DSG² § 50a Anm 1). Systematische, verdeckte, identifizierende Videoüberwachung stellt aber grundsätzlich einen Eingriff in das geschützte Recht auf Achtung der Geheimsphäre dar. Die Videoaufzeichnung ist dabei identifizierend, wenn sie aufgrund eines oder mehrerer Merkmale letztlich einer bestimmten Person zugeordnet werden kann. Muss sich jemand ständig kontrolliert fühlen, wenn er sein Haus betritt oder verlässt oder sich in seinem Garten aufhält, so bewirken getroffene Maßnahmen (selbst wenn das Gerät nur eine Attrappe einer Videokamera sein sollte) eine schwerwiegende Beeinträchtigung der Geheimsphäre des Betreffenden (RIS-Justiz RS0120422 [T2]). Geheime Bildaufnahmen im Privatbereich, fortdauernde unerwünschte Überwachungen und Verfolgungen stellen eine Verletzung der Geheimsphäre dar (RIS-Justiz RS0107155). Nach der Entscheidung 6 Ob 256/12h kann bei Bildaufnahmen schon ausreichen, wenn sie vom Aufgenommenen als unangenehm empfunden werden und ihn an der freien Entfaltung seiner Persönlichkeit hindern. Ob diese Voraussetzungen im konkreten Fall vorliegen, ist nach den Gegebenheiten des Einzelfalls zu prüfen [...]
Ob der Eingriff in absolut geschützte Rechte rechtswidrig ist, kann nur aufgrund einer umfassenden Interessenabwägung beurteilt werden (RIS-Justiz RS0008987). Steht ein Eingriff in die Privatsphäre fest (hier: durch systematische, identifizierende Videoüberwachung), trifft den Verletzer die Behauptungs- und Beweislast dafür, dass er in Verfolgung eines berechtigten Interesses handelte und dass die gesetzte Maßnahme ihrer Art nach zur Zweckerreichung geeignet war. Entspricht er dieser Behauptungs- und Beweislast, kann der Beeinträchtigte behaupten, dass die Maßnahme nicht das schonendste Mittel zur Zweckerreichung darstellt. Stellt sich dabei heraus, dass die Maßnahme nicht das schonendste Mittel war, erübrigt sich die Vornahme einer Interessenabwägung (RIS-Justiz RS0120423). [...] 
Auch Unterlassungsansprüche nach § 32 Abs 2 DSG 2000 setzen voraus, dass der Kläger Betroffener (§ 4 Z 3 DSG) ist und somit seine Daten entgegen den Bestimmungen des Datenschutzgesetzes 2000 verwendet worden sind. Auch hier ist somit die Gefahr bevorstehender widerrechtlicher Schädigung oder Wiederholungsgefahr Anspruchsvoraussetzung (Dohr/Pollirer/Weiss/Knyrim, DSG² § 32 Anm 7).
Entscheidend ist - entgegen der in der Revision vertretenen Ansicht - nicht, ob bei Klagseinbringung ein widerrechtlicher Eingriff noch andauerte, sondern ob zum Zeitpunkt des Schlusses der mündlichen Verhandlung erster Instanz die Gefahr bestand, dass sich ein bereits erfolgter Eingriff wiederholt (vgl RIS-Justiz RS0010497 [T4]). Es hängt also die Frage, ob ein Unterlassungsbegehren berechtigt ist, nicht davon ab, ob sich der Beklagte im Zeitpunkt des Schlusses der Verhandlung erster Instanz rechtswidrig verhält; vielmehr kommt es allein darauf an, ob die Gefahr künftiger Rechtsverletzungen besteht (RIS-Justiz RS0114254 [T3]).
[...]

China's expanding data protection framework

On July 16, 2013, China’s Ministry of Industry and Information Technology (“MIIT”) promulgated the “Telecommunication and Internet User Personal Data Protection Regulations” (inofficial English translation here) which take effect on September 1, 2013 and are based on previous regulatory instruments.
For more info on this look here and here. As regards the expansion of data protection provisions in China, be sure to read this background article by Greenleaf/Tian, China Expands Data Protection through 2013 Guidelines: A ‘Third Line’ for Personal Information Protection (With a Translation of the Guidelines)
Update 04.08.2013: Dataguidance, China: MIIT rules signify 'continuation of patchwork approach to privacy'