30.11.2013

Commission proposes new rules on protection of undisclosed know-how and business information

On 28.11.2013, the European Commission has proposed new rules on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure.
The draft directive introduces a common definition of trade secrets, as well as means through which victims of trade secret misappropriation can obtain redress. It will make it easier for national courts to deal with the misappropriation of confidential business information, to remove the trade secret infringing products from the market and make it easier for victims to receive damages for illegal actions.
Text of the proposal (Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure) and more here.

BGH: Universitäre E-Learningplattformen und Urheberrecht

BGH 28.11.2013, I ZR 76/12 - Meilensteine der Psychologie
Der u.a. für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass eine Universität den Teilnehmern einer Lehrveranstaltung nur dann Teile eines urheberrechtlich geschützten Werkes auf einer elektronischen Lernplattform zur Verfügung stellen darf, wenn diese Teile höchstens 12% des Gesamtwerks und nicht mehr als 100 Seiten ausmachen und der Rechtsinhaber der Universität keine angemessene Lizenz für die Nutzung angeboten hat. [...]
Quelle: BGH

27.11.2013

BRD: Koalitionsvertrag und Datenschutz

Koalitionsvertrag zwischen CDU, CSU und SPD (pdf) - Ich bin ja gespannt, wie oft das Wort "Datenschutz" im Koalitionsvertrag zwischen SPÖ und der ÖVP (sofern ein solcher überhaupt zustande kommen sollte) vorkommen wird ...

BGH: Google-Adwords-Anzeige für ein Arzneimittel - verlinkte Pflichtangaben ausreichend

BGH, Urteil vom 6. Juni 2013, I ZR 2/12
Eine Google-Adwords-Anzeige für ein Arzneimittel verstößt nicht allein deshalb gegen § 4 HWG, weil die Pflichtangaben nicht in der Anzeige selbst enthalten sind. Es ist vielmehr ausreichend, dass die Anzeige einen eindeutig als solchen klar erkennbaren elektronischen Verweis enthält, der unzweideutig darauf hinweist, dass der Nutzer über ihn zu den Pflichtangaben gelangt; der elektronische Verweis muss zu einer Internetseite führen, auf der die Pflichtangaben unmittelbar, das heißt ohne weitere Zwischenschritte leicht lesbar wahrgenommen werden können. (amtlicher Leitsatz)

European Commission: Reports on Safe Harbor, TFTP and PNR Agreements

According to this press release (Update: see also these FAQs), the European Commission has set out the actions that need to be taken to restore trust in data flows between the EU and the U.S., following deep concerns about revelations of large-scale U.S. intelligence collection programmes have had a negative impact on the transatlantic relationship. The Commission's response today takes the form of
(1) a strategy paper (a Communication) on transatlantic data flows setting out the challenges and risks following the revelations of U.S. intelligence collection programmes, as well as the steps that need to be taken to address these concerns (COM(2013) 846: Communication - Rebuilding Trust in EU-US Data Flows - not the final version); 
(2) an analysis of the functioning of 'Safe Harbour' which regulates data transfers for commercial purposes between the EU and U.S. (COM(2013) 847: Communication on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU - not the final version); and
(3) a report on the findings of the EU-US Working Group (see MEMO/13/1059) on Data Protection which was set up in July 2013
(4) a review of the existing agreements on Passenger Name Records (PNR), see MEMO/13/1054,
(5) as well as a review of the Terrorist Finance Tracking Programme (TFTP) regulating data exchanges in these sectors for law enforcement purposes, see MEMO/13/1164.

What is the European Commission proposing today with regards to Safe Harbour?
On the basis of a thorough analysis published today and consultations with companies, the European Commission is making 13 recommendations to improve the functioning of the Safe Harbour scheme. The Commission is calling on U.S. authorities to identify remedies by summer 2014. The Commission will then review the functioning of the Safe Harbour scheme based on the implementation of these 13 recommendations.
Furthermore, the Commission today adopted a Terrorist Finance Tracking Programme (TFTP) evaluation report (communication on the joint report) and a report on the joint review of the US Passenger Name Record (PNR) Agreement. According to this press release, the Commission assessed the value of financial information data provided under the EU-US TFTP Agreement in the fight against terrorism and how PNR data has been used by US authorities for the purpose of fighting serious crime and terrorism. The Commission also adopted a Communication on a European Terrorist Finance Tracking System (TFTS), concluding that the establishment of such a system is not expected at this stage.

Look here for more information and the press releases/memos are available here:
European Commission calls on the U.S. to restore trust in EU-U.S. data flows
EU-US agreements: Commission reports on TFTP and PNR  
The EU-US TFTP Agreement: main elements
Restoring Trust in EU-US data flows - Frequently Asked Questions
Frequently asked questions: The EU-US agreement on the transfer of Passenger Name Record (PNR) data
EU-US agreements: Commission reports on TFTP and PNR (speech)

HG Wien: erstinstanzliches Urteil in Verbandsklage gegen Inkassobüro

Handelsgericht Wien 14.11.2013, 18 Cg 79/13a (pdf; nicht rechtskräftig)
Der Verein für Konsumenteninformation (VKI) geht im Auftrag des Konsumentenschutzministeriums gegen Klauseln in Vertragsformblättern von Inkassobüros mit Verbandsklage vor. Das Handelsgericht Wien (HG Wien) hat nun in zwei Entscheidungen festgehalten, dass auf Ratenzahlungsvereinbarungen, die in den vorliegenden Fällen und in der Praxis regelmäßig einen entgeltlichen Zahlungsaufschub darstellen, das am 11.6.2010 in Kraft getretene Verbraucherkreditgesetz anzuwenden ist. Das hat wesentliche Konsequenzen für die Schuldner: Zum einen gibt es ein gesetzliches Rücktrittsrecht, zum anderen können Zinsen, falls der effektive Jahreszinssatz nicht angegeben ist, auf die gesetzlichen Zinsen von 4 Prozent pro Jahr ermäßigt werden. Dazu gibt es umfangreiche Informationspflichten zu erfüllen. Eine Reihe von Klauseln der Inkassobüros wurden im Übrigen für intransparent erklärt. (Quelle: VKI)

26.11.2013

ECJ (Advocate General’s Opinion): internet provider can be required to block access to a website

CJEU 26.11.2013, C-314/12 (Advocate General’s Opinion; not yet available in English, see this official press release in English) - UPC
According to Advocate General Cruz Villalón an internet provider can be required to block access by its customers to a website [in this case: kino.to] which infringes copyright. Such a court injunction must refer to specific blocking measures and achieve an appropriate balance between the opposing interests which are protected by fundamental rights.

Nach Ansicht von Generalanwalt Pedro Cruz Villalón kann einem Internetprovider aufgegeben werden, für seine Kunden den Zugang zu einer Urheberrechte verletzenden Website zu sperren. Eine solche gerichtliche Anordnung muss jedoch konkrete Sperrmaßnahmen bezeichnen und ein angemessenes Gleichgewicht zwischen den sich gegenüberstehenden, grundrechtlich geschützten Interessen sicherstellen (Pressemeldung). Update: Für eine erste fundierte Einschätzung siehe diesen Blogeintrag von Dr. Lehofer.

V –    Ergebnis
110. Aus den oben genannten Gründen schlage ich dem Gerichtshof vor, auf die vom Obersten Gerichtshof vorgelegten Fragen wie folgt zu antworten:
1.      Art. 8 Abs. 3 der Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass eine Person, die ohne Zustimmung des Rechteinhabers Schutzgegenstände im Internet zugänglich macht und damit Rechte aus Art. 3 Abs. 2 der Richtlinie 2001/29 verletzt, die Dienste der Provider jener Personen nutzt, die auf diese Schutzgegenstände zugreifen.
2.      Es ist mit der im Rahmen von Art. 8 Abs. 3 der Richtlinie 2001/29 erforderlichen Abwägung zwischen den Grundrechten der Beteiligten nicht vereinbar, einem Provider ganz allgemein und ohne Anordnung konkreter Maßnahmen zu verbieten, seinen Kunden den Zugang zu einer bestimmten, das Urheberrecht verletzenden Website zu ermöglichen. Dies gilt auch, wenn der Provider Beugestrafen wegen Verletzung dieses Verbots durch den Nachweis abwenden kann, dass er alle zumutbaren Maßnahmen zur Erfüllung des Verbots getroffen hat.
3.      Eine gegen einen Provider gemäß Art. 8 Abs. 3 der Richtlinie 2001/29 verhängte konkrete Sperrmaßnahme bezüglich einer konkreten Website ist nicht allein deswegen prinzipiell unverhältnismäßig, weil sie einen nicht unbeträchtlichen Aufwand erfordert, aber ohne besondere technische Kenntnisse leicht umgangen werden kann. Es ist Sache der nationalen Gerichte, im konkreten Fall unter Einbeziehung aller relevanten Umstände eine Abwägung zwischen den Grundrechten der Beteiligten vorzunehmen und so ein angemessenes Gleichgewicht zwischen diesen Grundrechten sicherzustellen.

24.11.2013

Gutachten: Inkassounternehmen und die EU-Datenschutzgrundverordnung

Gutachten von Hoeren/Kaufmann, Inkassounternehmen und die  EU-Datenschutzgrundverordnung: Eine grundrechtliche Einordnung (pdf), Auftraggeber: Bundesverband Deutscher Inkasso-Unternehmen (BDIU)
Kernaussage des Gutachtens laut dieser Pressemeldung: Der Entwurf der Datenschutzgrundverordnung verstößt sowohl gegen deutsches als auch gegen europäisches Verfassungsrecht. Zu diesem Ergebnis kommen die IT- und Medienrechtsexperten Professor Thomas Hoeren (Westfälische Wilhelms-Universität Münster) und Professor Noogie C. Kaufmann (Fachhochschule Münster). Der vorliegende Entwurf der EU-Verordnung verletzt laut ihrer Analyse eklatant die Berufsfreiheit von Inkassounternehmen und verstößt somit gegen das deutsche Grundgesetz, konkret gegen Artikel 12 Absatz 1.
According to an expert opinion by Prof. Thomas Hoeren and Prof. Noogie C. Kaufmann, the EU General Data Protection Regulation threatens the business of German Credit Agencies and Collection Agencies, English summary here.

Literaturhinweis: Datennutzungs- und Datenschutzverträge

In Kürze erscheint im Otto Schmidt-Verlag das Buch "Datennutzungs- und Datenschutzverträge - Muster, Klauseln, Erläuterungen" herausgegeben von Moos. Laut dem Verlag haben Herausgeber und Autoren erstmals 30 kommentierte Muster und Klauseln (u.a. Verträge zur Datenschutzorganisation, Unternehmensrichtlinien, Datenschutzerklärungen und Einwilligungen, Verträge über internationale Datentransfers) in einer Sammlung vereint, die entweder dem unmittelbaren Schutz personenbezogener Daten dienen oder deren gezielte Nutzung zum Gegenstand haben. Auch wenn das Buch auf die deutsche Rechtslage abstellt, kann der Inhalt für die österreichische Praxis mE wohl hilfreiche Anregungen bieten.

ENISA: Information Security certification practice in the EU

Security certification practice in the EU - Information Security Management Systems - A case study (pdf):
This study focuses on two objectives: The first objective is to provide expertise from other certification areas to the reform of the European data protection legislation, as the new proposed legislation identifies privacy certification as a means to achieve implementation of data protection requirements. The second objective is to identify, based on existing knowledge, recommendations and steps to be followed for achieving the objectives of the aforementioned EU cyberstrategy, namely the development of voluntary EU-wide certification schemes building on existing schemes in the EU. [...]   

21.11.2013

VfGH: Pflicht zur Jahresabschluss-Veröffentlichung in Wr. Zeitung verfassungskonform

VfGH 03.10.2013, G 88/2011
RIS-Leitsatz: Abweisung des - zulässigen - Individualantrags auf Aufhebung von Bestimmungen des Unternehmensgesetzbuches betreffend die Verpflichtung zur Veröffentlichung des Jahresabschlusses großer Aktiengesellschaften im Amtsblatt zur Wiener [Zeitung]; zusätzlich zur Veröffentlichung in der Datenbank des Firmenbuchs vorgesehene Veröffentlichung in einem periodisch erscheinenden, weitgehend unentgeltlich zugänglichen Medium angesichts der besseren Zugänglichkeit von Informationen für die interessierte Öffentlichkeit im rechtspolitischen Ermessen des Gesetzgebers

20.11.2013

USA: GAO releases Report on Information Resellers and Privacy issues

On November 15, the U.S. Government Accountability Office (GAO) has released a report entitled "Information Resellers: Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace" (pdf) that addresses (1) privacy laws applicable to consumer information held by resellers, (2) gaps in the law that may exist, and (3) views on approaches for improving consumer data privacy.

No overarching federal privacy law governs the collection and sale of personal information among private-sector companies, including information resellers. Instead, a variety of laws tailored to specific purposes, situations, or entities governs the use, sharing, and protection of personal information. For example, the Fair Credit Reporting Act limits the use and distribution of personal information collected or used to help determine eligibility for such things as credit or employment, but does not apply to information used for marketing. Other laws apply specifically to health care providers, financial institutions, videotape service providers, or to the online collection of information about children.
The current statutory framework for consumer privacy does not fully address new technologies--such as the tracking of online behavior or mobile devices--and the vastly increased marketplace for personal information, including the proliferation of information sharing among third parties. With regard to data used for marketing, no federal statute provides consumers the right to learn what information is held about them and who holds it. In many circumstances, consumers also do not have the legal right to control the collection or sharing with third parties of sensitive personal information (such as their shopping habits and health interests) for marketing purposes. As a result, although some industry participants have stated that current privacy laws are adequate--particularly in light of self-regulatory measures under way--GAO found that gaps exist in the current statutory framework for privacy. [emphasis added]
Source: Press release

USA: Report - "Big Credit Bureaus, Big Mistakes"

According to new analysis from the U.S. PIRG Education Fund (“Big Credit Bureaus, Big Mistakes: The CFPB’s Consumer Complaint Database Gets Real Results for Victims of Credit Reporting Errors,”), thousands of consumers with errors on their credit reports are getting relief through the Consumer Financial Protection Bureau (CFPB). The report also found that credit reporting agencies vary widely in how they respond to consumer complaints: Equifax responded to over half with relief, while Experian responded with relief to only 5 percent. [...]
Source: Press release

OGH: Änderung der Rechtsprechung zur Zulässigkeit von verkaufsfördernden Maßnahmen (UWG)

OGH 22.10.2013, 4 Ob 129/13v
Die Beklagte warb in ihrer Zeitung für eine von ihr zusammengestellte, im Handel erhältliche „Edition“ von Tonträgern mit musikalischen Inhalten. Dazu druckte sie einen Gutschein ab, mit dem ein Tonträger dieser Edition bei einer bestimmten Handelskette um 4,99 EUR statt um 7,99 EUR erworben werden konnte. Die Zeitung der Beklagten kostete im Einzelverkauf einen Euro.
Ein Mitbewerber beantragte, der Beklagten diese verkaufsfördernde Maßnahme nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) zu verbieten: Es entstehe dadurch ein „übersteigerter Kaufanreiz“, denn es sei denkbar, dass Kunden die Zeitung allein deshalb kauften (und allenfalls ungelesen entsorgten), um in den Genuss des Gutscheins zu kommen. Tatsächlich hatte der Oberste Gerichtshof in älteren Entscheidungen solche Überlegungen angestellt. Nun hielt er diese Ansicht aber nicht aufrecht: Das beantragte Verbot sei aus Gründen des Verbraucherschutzes nicht erforderlich, solange das Angebot der Beklagten keine irreführenden Angaben enthalte. ["Eine den Preis der Hauptware übersteigende Ersparnis bei einer Nebenware ist ohne Hinzutreten besonderer Umstände (Irreführung, Drucksituation etc) nicht geeignet, die „Rationalität“ des Verbraucherverhaltens auszuschließen. Hat der Verbraucher in einem solchen Fall Interesse an der Nebenware, ist es vielmehr aus seiner Sicht sachgerecht, die Hauptware auch dann zu erwerben, wenn er daran (isoliert betrachtet) keinen Bedarf hat. Verbraucherschutzerwägungen können die Rechtsprechung zur Unzulässigkeit von Vorspannangeboten oder hochwertigen Zugaben daher nicht tragen."] Auf andere Gründe – etwa die gezielte Behinderung von Mitbewerbern - hatte der Kläger sein Begehren nicht gestützt. ["Auf Gründe des Mitbewerberschutzes (§ 1 Abs 1 Z 1 UWG) hat die Klägerin ihr Begehren nicht gestützt. Auf damit verbundene Fragen - etwa den auch bei Koppelungsangeboten möglichen Missbrauch einer marktbeherrschenden Stellung (4 Ob 84/12z = ÖBl 2013, 22 - Hahnenkamm-Gewinnspiel) oder sonstige Formen eines Behinderungswettbewerbs (vgl 4 Ob 158/08a = MR 2008, 368 - Nimm 3, zahl 2!) - ist daher nicht einzugehen."] Seine Unterlassungsklage wurde daher abgewiesen.
Quelle: OGH

18.11.2013

BRD: Abhöraktivitäten der NSA - Bundesdatenschutzbeauftragter legt Bericht vor

Unterrichtung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: Abhöraktivitäten US-amerikanischer Nachrichtendienste in Deutschland (pdf; BT-Drs 18/59), Bericht an den Deutschen Bundestag gemäß § 26 Absatz 2 Satz 3 BDSG

B. Kernaussagen
· Grundrechtsschutz und Sicherheit müssen insbesondere im Bereich der Nachrichtendienste
in einem ausgewogenen Verhältnis stehen. Dies setzt eine effektive und lückenlose unabhängige Kontrolle nachrichtendienstlicher Tätigkeiten voraus.
· Die berichteten anlasslosen Massendatenerhebungen sind schnell, umfassend, detailliert und – soweit rechtlich zulässig – auch öffentlich aufzuklären.
· Strukturelle und/oder regelungstechnische Defizite sind unverzüglich und nachhaltig zu beseitigen – auf nationaler wie internationaler Ebene.
· Die Zusammenarbeit deutscher mit ausländischen Nachrichtendiensten darf nicht dazu führen, durch Aufgabenteilung nationale (verfassungs-)rechtliche Beschränkungen für ihre Tätigkeit zu umgehen („Befugnis-Hopping“).
· Aufgrund der Gesetzgebungs- und Kontrollkompetenz des Deutschen Bundestages über die Nachrichtendienste des Bundes ist eine engere Kooperation der parlamentarisch bestellten Kontrollorgane und die Beseitigung bestehender Kontrolldefizite dringend erforderlich.


16.11.2013

EDPS: Proposal on EU-wide harmonization of electronic communications services will unduly limit internet freedom

Opinion of the European Data Protection Supervisor on the Proposal for a Regulation of the European Parliament and of the Council laying down measures concerning the European single market for electronic communications and to achieve a Connected Continent, and amending Directives 2002/20/EC, 2002/21/EC and 2002/22/EC and Regulations (EC) No 1211/2009 and (EU) No 531/2012
Excerpt from the press release: The European Commission's proposal on harmonising electronic communications services across the EU will unduly limit internet freedom, says the European Data Protection Supervisor (EDPS). In his Opinion, the EDPS welcomes the inclusion of the principle of net neutrality - the impartial transmission of information on the internet – in the text, but also said that it is devoid of substance because of the almost unlimited right of providers to manage internet traffic. [...]
Excerpt from the Opinion: 
43. The EDPS recalls that respect for the rights to privacy and the protection of personal data, and for the confidentiality of communications, is crucial to building consumer trust and confidence in the European single market for electronic communications. In that regard, the EDPS provides the following key recommendations:
  • Traffic management measures constitute a restriction to net neutrality, which the proposal sets out as the key principle applicable to Internet use in the EU, and interfere with end-users' rights to confidentiality of communications, privacy and personal data protection. In view of this, such measures should be subject to strict transparency, necessity and proportionality requirements. In particular:
    • Using traffic management for the purposes of implementing a legislative provision or preventing and impeding serious crimes may entail a wide-scale, preventive and systematic monitoring of communications content which would be contrary to Articles 7 and 8 of the EU Charter of Fundamental Rights, as well as Article 5(1) of Directive 2002/58/EC and Directive 95/46/EC. Reference to these grounds should be removed from Article 23(5)(a) of the proposal; [...]

ENISA: Good Practice Guide for securely deploying Governmental Clouds

Good Practice Guide for securely deploying Governmental Clouds (pdf)
In this report, ENISA identifies the Member States with operational government Cloud infrastructures and underlines the diversity of Cloud adoption in the public sector in Europe. Moreover through this document, ENISA aims to assist Member States in elaborating a national Cloud strategy implementation, to understand current barriers and suggest solutions to overcome those barriers, and to share the best practices paving the way for a common set of requirements for all Member States.  Finally, the new report presents ten recommendations for successfully rolling out governmental cloud services, as Cloud is recommended as cheaper and safer for data protection of the citizens:
Top ten recommendations for the secure deployment of governmental clouds:
  • Support the development of an EU strategy for governmental Clouds
  • Develop a business model to guarantee sustainability as well as economies of scale for gov-Cloud solutions
  • Promote the definition of a regulatory framework to address the “locality problem”
  • Promote the definition of a framework to mitigate the “loss of control” problem
  • Develop a common SLA framework
  • Enhance compliance to EU and country specific regulations for Cloud solutions
  • Develop a certification framework
  • Develop a set of security measures for all deployment models
  • Support academic research for cloud computing
  • Develop provisions for privacy enhancement

OGH: SMS-Zusendung kostenpflichtiger Zusatzangebote mit "opt-out" - Verstoß gegen § 1a UWG

OGH 23.09.2013, 4 Ob 27/13v
Die beklagte Anbieterin von Telefondienstleistungen versandte im Mai 2011 bzw Anfang Juli 2011 an die Mobiltelefonnummern mancher ihrer Kunden Kurznachrichten (SMS) folgenden Inhalts:
"Lieber T***** Kunde! Ab 15. 05. telefonieren sie mit der Option Sonderrufnummern um nur EUR 2,--/Monat (Ohne Bindung) unlimitiert zu Banken, Behörden und Firmen. Gilt für Sonderrufnummern (0720xx, 50xx, 57xx, 59xx, 05xx) österreichweit. Benötigen Sie die Option nicht, antworten Sie mit NEIN bis 14. 05. Ihr T***** Team“
"Seit 1. 7. telefonieren Sie gratis mit der T***** Option Sonderrufnummern unlimitiert zu Banken, Behörden und Firmen. Gilt für Sonderrufnummern (072xx, 50xx, 57xx, 59xx, 05xx) österreichweit. Ab 1. 8. zahlen Sie für diese Option EUR 2,--/Monat. Benötigen Sie diese Option nicht, antworten Sie mit NEIN bis 25. 7. 2011" [...]
1.7. Zusammenfassend ist daher festzuhalten, dass dem Kunden eine Vertragsänderung aufgedrängt wird, die zu einem Gebührenzuschlag für eine nicht bestellte Leistung führt. Diese Belästigung bzw unzulässige Beeinflussung ist als aggressive Geschäftspraktik nach § 1a UWG zu qualifizieren, die auch geeignet ist, die wirtschaftliche Entscheidung des Durchschnittsverbrauchers oder den Wettbewerb zwischen Unternehmen spürbar zu beeinflussen. [...]
2.8. Die beanstandete Geschäftspraktik bliebe daher auch im Fall der Aufnahme der von der Beklagten vorgeschlagenen Klausel in ihre Geschäftsbedingungen oder Vertragsformblätter unzulässig. Der von der Beklagten angebotene Unterlassungsvergleich war daher nicht dazu angetan, die Wiederholungsgefahr zu beseitigen. Der geltend gemachte Unterlassungsanspruch besteht daher - im Einklang mit den Vorinstanzen - zu Recht. [...]

Der VKI weist in seiner Pressemeldung (wie auch der OGH) auf Folgendes hin: Einer Klausel zur Einführung von neuen Diensten mittels SMS im Rahmen einer Erkärungsfiktion war im Übrigen bereits auch von der Telekom-Control-Kommission mit [nicht rechtskräftigem] Bescheid vom 27.2.2012 widersprochen worden (G 07/12-11).

OGH: schladming.com - kein Domain-Übertragungsanspruch

OGH 22.10.2013, 4 Ob 59/13z - schladming.com
Nach Auswertung des österreichischen und deutschen Schrifttums sowie der OGH-Vojudikatur als auch der Rechtsprechung des BGH kommt der OGH zu folgendem Ergebnis: Wer durch eine Internet-Domain in seinen Namensrechten verletzt ist, hat mangels Rechtsgrundlage keinen Anspruch gegen den Domaininhaber auf Übertragung der Domain.

Der Beklagte ist Inhaber der Domain www.schladming.com, unter der er touristische Informationen veröffentlicht. Die mit der second-level-domain gleichnamige Stadtgemeinde begehrte als Klägerin die Unterlassung der Verwendung der Domain, die Einwilligung in die Löschung sowie deren Übertragung an sie. Es liege eine Namensanmaßung vor, die Verwechslungsgefahr auslöse. Die Nutzer nähmen an, die unter der strittigen Domain aufrufbare Website werde von der Klägerin betrieben. [...]
Der nur von der Klägerin angerufene Oberste Gerichtshof bestätigte die Abweisung des Übertragungsanspruchs mangels Anspruchsgrundlage ["12. Zusammengefasst ist festzuhalten, dass der begehrte Übertragungsanspruch mangels geeigneter Rechtsgrundlage nicht zu Recht besteht. Sollte ein praktisches Bedürfnis danach bestehen, wäre es Sache des Gesetzgebers, eine entsprechende Anspruchsgrundlage zu schaffen."]. Auch bereicherungsrechtliche Ansprüche bestünden nicht. Die strittige Domain sei nämlich kein der Klägerin ausschließlich zugewiesenes Rechtsgut, weil es auch Dritte (etwa namensgleiche Personen) geben könne, die - ebenso wie die Klägerin - berechtigte Ansprüche auf die Domain geltend machen könnten. In einem solchen Fall wäre es nicht sachgerecht, der Klägerin allein auf Grund ihrer früheren Klagsführung einen Vorteil (nämlich den Besitz der Domain) zu gewähren und sie damit besser zu stellen, als sie ohne die Verletzungshandlung stünde.
Quelle: OGH

13.11.2013

EPO: Guidance on Patents for Software

The European Patent Office (EPO) has released a brief brochure entitled "Patents for software? European law and practice" (pdf) concerning the protection of computer-implemented inventions by patents. In this publication, the EPO explains the conditions for patent protection of computer-implemented inventions, why they benefit society and the EPO practice (via IPR Helpdesk).

10.11.2013

USA: Data Brokers and the Federal Government

The report Data Brokers and the Federal Government: A New Front in the Battle for Privacy Opens,  Part III in a series was published October 30, 2013 (Report authors: Bob Gellman and Pam Dixon).
This report focuses on government use of commercial data brokers, the implications for that usage, and what needs to be done to address privacy problems. The government must bring itself fully to heel in the area of privacy. If it is going to outsource its data needs to commercial data brokers, it needs to attach the privacy standards it would have been held to if it had collected the data itself. Outsourcing is not an excuse for evading privacy obligations.
This report discusses new Office of Management and Budget (OMB) guidance for an initiative (Do Not Pay Initiative) that on one hand provides for expanded use of commercial data brokers by federal agencies and on the other it establishes new privacy standards for the databases used in the Initiative. [...]
Source: World Privacy Forum

USA: Cyber liability & data breach insurance claims - A study of claim payouts

The third annual NetDiligence® Cyber Liability & Data Breach Insurance Claims study (pdf) uses actual cyber liability insurance reported claims to illuminate the real costs of incidents from an insurer’s perspective.
It is our hope that actuaries, risk managers and others working in the field of data security will use this information to properly price policies, perform more accurate risk assessments and implement better safeguards and action plans to protect organizations from data breaches.
For this study, we asked insurance underwriters about data breaches and the claim losses they sustained. We looked at the type of data exposed, the cause of loss and the business sector in which the incident occurred. For the first time, this year we also looked at the size of the affected organization. We then looked at the costs associated with Crisis Services (forensics, notification, credit monitoring, and legal counsel), legal (defense and settlement), and Fines (PCI & regulatory).
This report summarizes our findings for a sampling of 145 data breach insurance claims, 140 of which involved the exposure of sensitive data in a variety of sectors, including government, healthcare, hospitality, financial services, professional services, retail and many more.

DHS: Privacy Office Issues 2013 Annual Report to Congress

On 6 November 2013, the Department of Homeland Security Privacy Office’s issued its 2013 Annual Report to Congress (pdf), highlighting the achievements of the Privacy Office for the period July 2012 - June 2013.

Google Analytics: "neue" Hinweise für Webseitenbetreiber

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat vor einiger Zeit eine Anleitung für den datenschutzkonformen Einsatz von Google Analytics online gestellt. Die Tipps sind zwar auf dessen Zuständigkeitsbereich Hamburg beschränkt, da es allerdings in Österreich meines Wissens keine offiziellen Hinweise der DSK o.ä. gibt, wird ein Befolgen der Hinweise nicht nachteilig sein.
In der Anleitung kam es laut dieser deutschen Website (und einem User-Post von Franz Berger vom 1.11.2013) zu Änderungen betreffend eine Widerspruchslösung ("Opt-out") für Browser auf Smartphones, das aktuelle Infoblatt (englische Version hier) stammt laut Adobe Reader vom 27.05.2013.

HG Wien: Gesetzwidrige Klauseln in "E-Banking-AGB" der BAWAG P.S.K.


Handelsgericht Wien 31.10.2013, 11 Cg 65/13s (nicht rechtskräftig)
Der Verein für Konsumenteninformation (VKI) führt - im Auftrag des Konsumentenschutzministeriums eine Verbandsklage gegen die umstrittenen E-Banking-Bedingungen der BAWAG PSK. Zahlreiche Kunden führten Beschwerde darüber, dass in den AGB alle möglichen Risken auf die Kunden verschoben werden und von den Kunden völlig überzogene Sorgfaltspflichten verlangt werden. Das Handelsgericht Wien (HG Wien) hat nun neun der zehn beanstandeten Klauseln für gesetzwidrig erklärt. Das Urteil ist nicht rechtskräftig.
Eine der Klauseln lautete wie folgt:
4. Bei der Nutzung von BAWAG P.S.K eBanking per APP ist der Kunde zudem verpflichtet, ein Sicherheitsmuster zu definieren, welches, wenn die APP im eingeloggten Zustand verlassen wird, für den neuerlichen Zugang einzugeben ist. Bei Nutzung von BAWAG P.S.K. eBanking per APP ist der Kunde verpflichtet, seine APP sowie das Betriebssystem seines mobilen Endgerätes immer auf dem neuesten Stand (Version) zu halten.

Der Richter des HG Wien dazu (Bei Android OS stelle ich mir das u.a. bei "älteren" Geräten etwas schwierig vor, die Kunden müssten ja bereits auf Version 4.4 sein):
§ 6 Abs 3 KschG lautet wie folgt:
Eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung ist unwirksam, wenn sie unklar oder unverständlich abgefaßt ist.
Diesem Transparenzgebot widerspricht die Klausel 4. Sie verpflichtet den Kunden seine „APP" und sein Betriebssystem „auf dem neuesten Stand zu halten“ ohne diesen neuesten Stand zu umschreiben. Unabhängig davon, dass diese Klausel auch eine unzulässige Risikoüberwälzung auf den Kunden enthält (siehe die Ausführungen zu den Klauseln 1, 2, 5 und 6) ist sie schon wegen Verstoßes gegen das Transparenzgebot nichtig.

08.11.2013

EuGH: DatenschutzRL - Ausnahmen von der Informationspflicht zulässig

EuGH 07.11.2013, C‑473/12
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Art. 13 Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass die Mitgliedstaaten nicht die Pflicht, wohl aber die Möglichkeit haben, eine oder mehrere der in dieser Bestimmung vorgesehenen Ausnahmen von der Pflicht, die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten zu informieren, in ihr nationales Recht umzusetzen.
Die Tätigkeit eines Privatdetektivs, der für einen Berufsverband handelt, um Verstöße gegen die berufsständischen Regeln eines reglementierten Berufs, im vorliegenden Fall des Berufs des Immobilienmaklers, aufzuspüren, fällt unter die in Art. 13 Abs. 1 Buchst. d der Richtlinie 95/46 vorgesehene Ausnahme.

VfGH: Aufhebung von § 140 Abs 3 StPO (Weiterverwendung von im Strafverfahren ermittelten Daten)

VfGH 01.10.2013, G 2/2013
Eine gesetzliche Regelung in der Strafprozessordnung sieht vor, dass sämtliche Daten, die für ein Strafverfahren zulässigerweise ermittelt wurden, auch für andere gerichtliche oder verwaltungsbehördliche Verfahren verwendet werden dürfen. Und zwar auch dann, wenn das Strafverfahren etwa mit Freispruch endete oder überhaupt eingestellt wurde. Eine solche pauschale, weitreichende Erlaubnis, Daten weiter zu verwenden, verletzt das Grundrecht auf Datenschutz. Die entsprechende Bestimmung in der Strafprozessordnung ist daher verfassungswidrig. (Pressemeldung)

[...]  I. § 140 Abs. 3 der Strafprozeßordnung 1975, BGBl. Nr. 631, idF BGBl. I Nr. 19/2004, wird als verfassungswidrig aufgehoben.
II. Die Aufhebung tritt mit Ablauf des 31. Oktober 2014 in Kraft.
[...]

Siehe zur Vorgeschichte bereits hier.

Bayern: Prüfung der Internetauftritte von 5592 Behörden betreffend "Social Plugins"

[....] Der Bayerische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hatte im April dieses Jahres 5592 Webseiten bayerischer öffentlicher Stellen geprüft. 66 Stellen, die Social Plugins in ihren Internetauftritt unzulässig direkt eingebunden hatten, wurden zunächst aufgefordert, dies zu unterlassen.
Denn andernfalls erhält beispielsweise Facebook unzulässig Daten der Besucher der Behördenwebseite. Dies erfolgt dann ohne gesetzliche Grundlage und ohne Möglichkeit von Seitenbesuchern, dies vor dem Seitenaufruf zu erkennen.
Bei der Nachprüfung der 66 auffälligen Webseiten hatte sich lediglich eine verantwortliche Stelle uneinsichtig gezeigt. Doch nach einer Beanstandung sowie der Einschaltung der Aufsichtsbehörde konnte der Bayerische Landesbeauftragte für den Datenschutz auch bei dieser Stelle die Einhaltung der datenschutzrechtlichen Vorschriften durchsetzen. [...]
Quelle: Pressemeldung (mit weiteren datenschutzrechtlichen Hinweisen zu Plugins von Social Networks)

06.11.2013

BRD: datenschutzrechtliche Empfehlungen zur Gestaltung von "Mobile Payment"

Deutschland: Experten legen Empfehlungen zur Gestaltung verbrauchergerechter Angebote von mobilen Bezahlverfahren vor:
Die Empfehlungen zur Zahlungssicherheit und zum Datenschutz richten sich an Anbieter von Mobile Payment-Verfahren und dienen insbesondere der Verbrauchersicherheit, den Verbraucherrechten sowie der Verbraucherinformation. Sie definieren Anforderungen an einen verbraucherfreundlichen Einsatz von Mobile Payment und enthalten grundlegende Kriterien u.a. zur Datenverarbeitung, Nutzerregistrierung und -authentifizierung, Zahlungsautorisierung, Transparenz und Kostenkontrolle sowie zu technisch-organisatorischen Sicherheitsvorkehrungen. Die Empfehlungen sind nicht abschließend. 
Empfehlungen der Arbeitsgruppe Datenschutz, die übrigen Empfehlungen sind in dieser Pressemeldung verlinkt.

03.11.2013

DSK: Zur Löschung von ehemals öffentlich verfügbaren Daten aus Datenbanken Dritter

DSK 20.03.2013, K212.804/0006-DSK/2013
[...] Die Datenschutzkommission sieht es daher nach sorgfältiger Abwägung als nicht unverhältnismäßig, dass die in der VKL festgelegten Aufbewahrungsfristen analog auch für die Inkassodatei herangezogen werden können.
Es kann in der Praxis durchaus zutreffen, dass die im Bescheid zur VKL ausdrücklich so ausgestalteten Maximalfristen regelmäßig ausgeschöpft werden, weil von Insolvenzen in der überwiegenden Mehrheit eine Mehrzahl von Gläubigern betroffen ist. Der Gesetzgeber trifft ja eine ähnliche Wertung mit den Fristen für die Dauer der Veröffentlichung in der öffentlich zugänglichen Ediktsdatei, die ja Quelle der Inkassodatei ist.
Für die Ediktsdatei besteht aber ein Löschungsanspruch nach § 256 Abs. 3 IO, dem nach Meinung der Datenschutzkommission insofern Rechnung zu tragen ist, als der M*** bei Erhalt eines Löschungsbegehrens im Einzelfall zu überprüfen hat, ob die Daten des Betroffenen weiter in der Inkassodatei aufzubewahren sind, wenn sie in der Ediktsdatei nicht mehr öffentlich verfügbar sind. Der M*** hat also in diesem Fall den Löschungsanspruch des Betroffenen im Einzelnen zu prüfen und die Löschung zu verfügen bzw. dem Betroffenen begründet mitzuteilen, warum die Löschung zu diesem Zeitpunkt nicht vorgenommen wird.
Da im konkreten Verfahren die Daten des Einschreiters in der Ediktsdatei des Bundes folgend einem entsprechenden Antrag gemäß § 256 Abs. 3 IO gelöscht wurden, auch gegenüber dem M*** ein solcher Antrag vom 12. September 2011 vorgelegen hat (der zwar auf das Widerspruchsrecht nach § 28 Abs. 2 DSG 2000 Bezug nahm, im Übrigen aber inhaltlich durch die Begründung für die Löschung aber durchaus auch als Antrag nach § 27 DSG 2000 zu verstehen war), und der M*** die Weigerung der Löschung im Einzelnen nicht begründet hat, wäre der M*** gehalten gewesen, diese Prüfung vorzunehmen bzw. zu wiederholen, entsprechend dem Ergebnis den Einschreiter von der Löschung zu informieren bzw. ihm auf den Einzelfall bezogen begründet darzulegen, warum seine Daten in der Inkassodatei nicht gelöscht wurden. Es war daher gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die obige Empfehlung zu erteilen. Eine Frist von zwei Wochen scheint, insbesondere in Bezug auf den Umfang der Prüfung des Löschungsbegehrens, angemessen.

BGH: Empfehlungs-E-Mails als Spam

BGH 12.09.2013, I ZR 208/12
Schafft ein Unternehmen auf seiner Website die Möglichkeit für Nutzer, Dritten unverlangt eine sogenannte Empfehlungs-E-Mail zu schicken, die auf den Internetauftritt des Unternehmens hinweist, ist dies nicht anders zu beurteilen als eine unverlangt versandte Werbe-E-Mail des Unternehmens selbst. Richtet sich die ohne Einwilligung des Adressaten versandte Empfehlungs-E-Mail an einen Rechtsanwalt, stellt dies einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb dar.

01.11.2013

Liechtenstein: Richtlinie für die Bearbeitung von Personendaten im Arbeitsbereich

Datenschutzstelle des Fürstentums Liechtenstein, Richtlinie für die Bearbeitung von Personendaten im Arbeitsbereich (pdf, Okt. 2013):
[...] Die Richtlinie für die Bearbeitung von Personendaten im Arbeitsbereich umreisst das gesamte Spektrum des Arbeitsverhältnisses von der Bewerbung bis hin zur Zeit nach der Beendigung. So werden Themen wie die Bewerbung per Post oder Fax, die Einholung von Referenzauskünften durch den Arbeitgeber, die Nutzung von privaten Telekommunikationsmitteln im Geschäftsumfeld (Bring Your Own Device) und die datenschutzrelevanten Aspekte nach Abschluss des Arbeitsverhältnisses besprochen. Neben den allgemeinen datenschutzrechtlichen Pflichten des Arbeitgebers werden auch besonders praxisbezogene und aktuelle Bereiche wie das Auftreten in sozialen Netzwerken oder die Datenbearbeitung durch Dritte (z. B. Cloud Computing) behandelt. Zudem wird auch der rechtliche Rahmen erläutert, der die Bearbeitung von Personendaten im Arbeitsbereich vorgibt. [...]