31.12.2013

Österreich: Übermittlung von Arzneimittel-Verschreibungsdaten - Datenschutzkommission stellt Verfahren gg. IMS Health ein

Wie Der Standard und Futurezone berichten, hat die Datenschutzkommission (DSK; ab 1.1.2014 Datenschutzbehörde, DSB) das Verfahren gegen die Marktforschungsfirma IMS Health eingestellt. Die Wiener Ärztekammer hatte die Firma im August verdächtigt, Patientendaten [Informationen über Medikamentenverschreibungen] unzulässig erworben und weitergegeben zu haben. Die Kommission geht dagegen davon aus, dass keine Verletzung des Datenschutzes vorliegt. Auch Disziplinarmaßnahmen gegen beteiligte Ärzte gab es nicht.
Aus der den Berichten zugrunde liegenden APA-Pressemeldung (Update 06.01.2013: Presseaussendung der Datenschutzkommission betreffend IMS Health (PDF):
Im Zuge des Verfahrens wurde IMS Health die Möglichkeit eingeräumt, zu den medial erhobenen Vorwürfen Stellung zu nehmen. IMS Health führte dazu aus, dass direkt personenbezogene Daten (das sind solche Daten, die eine Person eindeutig identifizieren, wie bspw. Name, Sozialversicherung etc.) von Patienten nicht übermittelt würden. IMS Health erhalte statistische Daten von Ärzten, Apotheken, dem pharmazeutischen Großhandel und Krankenhäusern zum Zweck der Marktforschung. Es handle sich dabei um Daten zu Verschreibungen (Ärzte), Verkaufs- und Einkaufsdaten (Apotheken, Großhandel) und
Verbrauchsdaten (Krankenhäuser). Eine personenbezogene Verwendung dieser Daten sei nicht möglich, da die Daten bereits zum Zeitpunkt der Erhebung durch IMS Health keinen Personenbezug aufweisen würden.
Die gesammelten Informationen würden über bereit gestellte Schnittstellen verschlüsselt übertragen. Eine Rückführbarkeit auf einzelne Patienten sei IMS Health nicht möglich.

Das Bundesministerium für Gesundheit (BMG) gab - nach Rücksprache mit der Datenschutzkommission - ein technisches Gutachten in Auftrag, welches bestätigte, dass IMS Health mit rechtlich zulässigen Mitteln einen Personenbezug auf Basis der übermittelten Daten nicht herstellen könne. [...] Alle Systeme würden mit Patientennummern arbeiten, wobei die gesammelten Daten einer Patientennummer zugeordnet würden. [...]
Für die Datenschutzkommission steht folglich fest, dass ein Personenbezug zu einzelnen Patienten durch IMS Health mit rechtlich zulässigen Mitteln nicht hergestellt werden kann bzw. dass dies technisch nicht möglich ist.
Damit ist aber eine Rückführbarkeit auf einzelne Patienten ausgeschlossen. Eine Verletzung datenschutzrechtlicher Vorschriften liegt sohin nicht vor. Die Datenschutzkommission hat daher das Verfahren eingestellt.
Anmerken muss man hierzu, dass die Übermittlung von pseudonymisierten ("indirekt personenbezogenen") und anonymisierten Daten grundsätzlich zulässig ist (siehe hier und hier) und aus der Pressemeldung wohl auf eine pseudonymisierte Verwendung geschlossen werden kann ("Patientennummer"; "Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmbar").
NachleseÄrztekammer zu Weitergabe von VerschreibungsdatenÄrztekammer kündigt Verbot für unklaren Datenhandel an350 österreichische Ärzte verkaufen Verschreibungsdaten;

Austria: Data Protection Commission replaced by Data Protection Authority (Datenschutzbehörde) as of 1.1.2014

As of 1 January 2014 the Austrian Datenschutzkommission (Data Protection Commission) will be replaced by the Datenschutzbehörde ("DSB"; Data Protection Authority) as the Austrian supervisory authority within the meaning of Art. 28 of Directive 95/46/EC. Look here for additional information (pdf).

Rundschreiben (DSK-K036.500/0028-DSK/2013; pdf): [...] Die Datenschutzkommission teilt mit, dass gemäß § 61 Abs. 9 des Datenschutzgesetzes 2000 – DSG 2000 idF BGBl. I Nr. 83/2013 (DSG-Novelle 2014) mit Ablauf des 31. Dezember 2013 die Datenschutzbehörde an die Stelle der Datenschutzkommission tritt. Am 1. Jänner 2014 bei der Datenschutzkommission anhängige Verfahren sind nach Maßgabe der Bestimmungen des DSG 2000 von der Datenschutzbehörde fortzuführen. Erledigungen der Datenschutzkommission gelten als entsprechende Erledigungen der Datenschutzbehörde. Nach Beendigung des Verfahrens vor dem Verwaltungsgerichtshof betreffend den Bescheid oder die Säumnis der Datenschutzkommission oder vor dem Verfassungsgerichtshof betreffend den Bescheid der Datenschutzkommission ist das Verfahren von der Datenschutzbehörde fortzusetzen. Die Zuständigkeiten und Befugnisse der Datenschutzbehörde entsprechen jenen der Datenschutzkommission. [...]
Siehe in der Literatur auch Knyrim/Horn, Datenschutzverfahren nach der neuen Verwaltungsgerichtsbarkeit, in Jahnel (Hrsg), Datenschutzrecht und E-Government Jahrbuch 2013, 191 ff und Hickisch, Neues im Datenschutzrecht, Öffentliche Sicherheit 11-12/2013, 75 ff.

23.12.2013

VfGH: Berufsfotografie kein "reglementiertes Gewerbe" iSd GewO mehr

VfGH 27.11.2013, G 49/2013-7
Der Verfassungsgerichtshof hat - nach einem entsprechenden Antrag des Verwaltungsgerichtshofes - entschieden: Berufsfotografen sind kein "reglementiertes Gewerbe" mehr. Jene Passage der Gewerbeordnung, die die Reglementierung vorsah, wurde als wegen Verletzung des Rechts auf Freiheit der Erwerbsbetätigung als verfassungswidrig aufgehoben:
I. § 94 Z 20 Gewerbeordnung 1994, BGBl. Nr. 194 idF BGBl. I Nr. 42/2008, wird als verfassungswidrig aufgehoben. [...]

Update: Kundmachung des Bundeskanzlers über die Aufhebung des § 94 Z 20 der Gewerbeordnung 1994 durch den Verfassungsgerichtshof, BGBl I 212/2013

22.12.2013

EDPS publishes 2014 work programme

The European Data Protection Supervisor’s (EDPS) 2014 work programme in the area of legislative consultation identifies issues of strategic importance that are likely to be the cornerstones of his consultation work for 2014. The inventory, a strategic planning document also published today, highlights the key areas of focus for 2014. [...]
The key areas of strategic importance that are likely to form the basis of the EDPS' consultation work for 2014 include:
  • A new legal framework for data protection,
  • Rebuilding trust in global data flow in the aftermath of PRISM
  • Initiatives to bolster the economic growth and the Digital Agenda
  • Further developing the Area of Freedom, Security and Justice
  • Reform of the financial sector
  • Tax fraud and banking secrecy
The EDPS will focus in particular on initiatives such as the Commission Communication on rebuilding trust in EU-US data flows, the post-Stockholm Programme, initiatives against terrorism and extremism, and on open data, cloud computing and banking supervision. The EDPS will also issue opinions in other policy areas, such as competition and eHealth.
The ongoing work on one of the largest legislative dossiers in recent years - the two proposals for reforming the EU data protection framework - is the subject of very great interest at national, European and international level. [...]
Source: EDPS press release

Art. 29 WP releases Work Programme 2014 - 2015

The Article 29 Working Party has released its Work Programme 2014-2015 (WP 210):
[...] Activities for 2014-2015
The general strategic themes for the work programme are ensuring clarity and effectiveness:
  • in preparing for the new legal framework
  • in addressing globalisation
  • in responding to technological challenges
  • in delivering enforcement cooperation
The Working Party’s goal for the 2014-2015 period is to ensure a coherent and correct application of the current legal framework and to continue to prepare for the future legal framework. The revised legal framework will have consequences both for the rules and regulations regarding data protection
and for the functioning and duties of the Working Party itself (that will be succeeded by the European Data Protection Board).
[...]

Subgroups
The Working Party’s subgroups will work along the line of the strategic themes and will present draft documents for discussion and adoption by the plenary. In short the subgroups will focus on the following issues:
Future of Privacy subgroup
The subgroup will deal with both substance and procedural issues with regard to the necessary preparations for the new legal framework and the EDPB. The subgroup should come up with proposals to operationalise the EDPB, draft rules of procedure and the consistency mechanism. [...]
Key Provisions
The subgroup will temporarily be suspended as all key provisions of the 1995 Directive previously identified have been covered. [...]
Technology subgroup
The subgroup will focus on examining privacy issues related to technological developments, including the Internet of Things and wearable computing devices. Guidance will be provided on issues related to cloud computing and device fingerprinting. Finally the impact of the draft legal framework on existing WP29 guidance in this field will be examined.
International Transfers subgroup
The subgroup will examine the impact of the draft Regulation’s provisions on transfers with regard to existing transfer tools and reflect on adaptations of existing BCRs and Standard contractual clauses to the new legal framework where necessary. Following the evaluation report on the functioning of the Safe Harbour Agreement, the subgroup will present proposals for further action. [...]
Borders, Travel and Law Enforcement subgroup
The subgroup will continue examining new legislation, the implementation and evaluation of current legislation and non-legislative issues in the area of borders, travel and law enforcement. Of particular importance is the proposal for a new Police and Justice Data Protection Directive and the discussions following the NSA leaks. [...]
E-government subgroup
The subgroup will examine the use of apps for Egov services, safeguards in e-identification and other eGovernment services and will provide input in discussions relating to eSignatures and the Internal Market Information System (IMI).

21.12.2013

US Senate: Staff Report - A Review of the Data Broker Industry

[...] Chairman John D. (Jay) Rockefeller IV released a majority staff report [A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes] summarizing the Commerce Committee’s investigation into how data brokers collect, compile, and sell consumer information. In spite of the key role they play in determining what advertisements and offers consumers receive, data brokers remain largely invisible to the consumers whose data populate their databases.
The Committee majority staff report finds that:
- Data brokers collect a huge volume of detailed information on hundreds of millions of consumers, including financial, health, and other personal information; consumers have little or no awareness of these activities;
- Data brokers then use this consumer information to create marketing products that group consumers in categories, some of which focus on consumers’ financial vulnerability;
- Data brokers create products for use in online targeted marketing that are based on offline dossiers collected by the companies; and
- Data brokers operate behind a veil of secrecy, subject to limited statutory consumer protections, and some perpetuate this secrecy by limiting customers from disclosing their data sources.

Source: Press release; for the Senate Hearing entitled What Information Do Data Brokers Have on Consumers, and How Do They Use It? look here. More here and here, be sure to check out Pam Dixon's Congressional Testimony: What Information Do Data Brokers Have on Consumers? This testimony was given to the Senate Commerce Committee on December 18, 2013 at a hearing dedicated to shedding light on data broker industry practices and how that affects consumers. The full testimony contains numerous examples of data broker activities, consumer scoring, and discusses the solutions that are needed, including a requirement for data broker opt out.

19.12.2013

Terminhinweis: Symposium „Whistle Blowing“ (Uni Linz)

Das Kooperationssymposium der Universität Salzburg und der Universität Linz setzt sich zum Ziel, aktuelle Rechtsfragen rund um das Generalthema „Whistleblowing“ umfassend zu beleuchten und Schnittstellen zwischen Arbeits- und Datenschutzrecht, Straf- und Kapitalmarktrecht sichtbar zu machen. Die Veranstaltung findet am Do, den 23. 1. 2014, ab 10:00 an der Universität Linz statt. Mehr dazu hier.

18.12.2013

Vorschläge für die Ausräumung der Bedenken der EU bzgl. der US-Überwachungsprogramme (Non-Paper)

Wie auf der Tagung des AStV vom 14. November 2013 angekündigt, legt der Vorsitz hiermit – als Reaktion auf die von amerikanischer Seite in der Ad-hoc-Arbeitsgruppe EU–USA "Datenschutz" wiederholt vorgetragene Bitte – den Entwurf eines Non-Papers ["Beitrag der EU und ihrer Mitgliedstaaten im Kontext der von den USA vorgenommenen Überprüfung der Überwachungsprogramme"] vor, das Vorschläge [Recht auf Privatsphäre und Zugang zu Rechtsmittel auch für in der EU ansässige Personen; Beachtung der Prinzipien von Notwendigkeit und Verhältnismäßigkeit) enthält, wie im Kontext der von den USA vorgenommenen Überprüfung der Überwachungsprogramme die Bedenken der EU und ihrer Mitgliedstaaten ausgeräumt werden könnten. Die amerikanische Seite hob hervor, dass sie die Beiträge von europäischer Seite dringend benötige. Der in der Anlage wiedergegebene Beitrag folgt auf den Bericht über die Feststellungen der EUKo-Vorsitzenden der Ad-hoc-Arbeitsgruppe EU–USA "Datenschutz" und die Mitteilung der Kommission an das Europäische Parlament und den Rat mit dem Titel "Rebuilding Trust in EU-US Data Flows" (Wiederherstellung des Vertrauens in die Datenübertragung zwischen der EU und den USA). [...]

Update: On December 18, the President’s Review Group on Intelligence and Communications Technologies released its report entitled “Liberty and Security in a Changing World - Report and Recommendations of The President’s Review Group on Intelligence and Communications Technologies" (see page 19 on the recommendations for the "Surveillance of Non-US Persons")

15.12.2013

ETSI: Final Report on Cloud Standards Coordination

[...] Following the request from the European Commission, ETSI launched the Cloud Standards
Coordination (CSC) initiative in a fully open and transparent way, open for all stakeholders. After an analysis of major aspects of cloud computing standardization, the final Report provides:
• A definition of roles in cloud computing;
• The collection and classification of over 100 cloud computing Use Cases;
• A list of around 20 relevant organizations in cloud computing Standardization and a selection of around 150 associated documents, Standards & Specifications as well as Reports & White Papers produced by these organizations;
• A classification of activities that need to be undertaken by Cloud Service Customers or Cloud Service Providers over the whole Cloud Service Life-Cycle;
• A mapping of the selected cloud computing documents (in particular Standards & Specifications) on these activities.

Based on these technical results, conclusions regarding the status of Cloud Standardization at the time of this writing have been developed, concerning general aspects (fragmentation, etc.) and
more specific topics of Interoperability, Security & Privacy and Service Level Agreements. [...]

ENISA publishes new study on securing personal data in the context of data retention

ENISA's new report (Securing personal data in the context of data retention) aims at providing a set of recommendations for a common European approach on the security measures that should be taken in relation to retained data, taking into account existing specifications on security measures.
The new study provides the results of (a) a survey on the national implementation of the Data retention legislation in six selected Member States on the requirements regarding technical and organisational security measures and the implementation of the data security principles that are provided for in the Directive, and (b) a state-of-the-art analysis of the security measures proposed for the protection of personal data collected and stored in the context of the DRD.
In the case of the Data Retention Directive being revised [considering the pending proceedings for a preliminary ruling at the ECJ, this remains to be seen], ENISA makes the following recommendations to European Commission for consideration in the context of the DRD Review process:
  • Include clear references to minimum security requirements for personal data protection.  State-of-the-art security frameworks have already been developed; changing the security mechanisms is neither easy nor inexpensive, however minimum security requirements should be imposed. 
  • A clear and realistic threat model should be considered, including also the reference to “deliberate” destruction, loss or alteration, storage, processing, access or disclosure. [...]

Art. 29 WP: Opinion on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems

Opinion 07/2013 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems (‘DPIA Template’) prepared by Expert Group 2 of the Commission’s Smart Grid Task Force (2064/13/EN):
2.7 Conclusions and recommendations
The WP29 recognises the work carried out by the EG2 group and realises that the second version of the template constitutes considerable improvement with respect to the previous version insofar as the methodology is better outlined and actionable. Nonetheless, there is still a series of unclear elements and a need for more clarity in some parts, which, if addressed as indicated, will contribute in a determinant way to the successful deployment and use of the template. [...]

Datenschutzrat: Kritische Stellungnahmen zu ELGA-Verordnungsentwürfen

Der Datenschutzrat fasste in der Sitzung vom 25.11.2013 einstimmig Beschlüsse zur Umsetzung der Gesundheitsakte ELGA, wobei zu den beiden Verordnungsentwürfen des Gesundheitsministeriums kritische Anmerkungen (u.a. zur konkreten Rollenverteilung der Beteiligten als Auftraggeber oder Dienstleister und zur Frage welcher Verschlüsselungs-Algorithmus eingesetzt wird) getroffen wurden:
Update 28.12.2013:
  • Verordnung des Bundesministers für Gesundheit, mit der nähere Regelungen für die Gesundheitstelematik getroffen werden – Gesundheitstelematikverordnung 2013 (GTelV 2013), BGBl II 506/2013 
  • Verordnung des Bundesministers für Gesundheit zur Implementierung von ELGA (ELGA-Verordnung – ELGA-VO), BGBl II 505/2013



OLG Wien: Unzulässige ergänzende Vertragsauslegung nach Wegfall einer gesetzwidrigen Klausel

OLG Wien 28.11.2013,  5 R 173/13t (nicht rechtskräftig, ordentliche Revision zulässig)
Der VKI hat die Wiener Privatbank in einem Verbandsverfahren - im Auftrag des Konsumentenschutzministeriums - auf Unterlassung geklagt. Dabei geht es um ein Berufen der Bank auf missbräuchliche Vertragsklauseln, indem Konsumenten bei Vermögensverwaltungsverträgen Kündigungsentschädigungen verrechnet werden, die weder durch eine vertragliche Vereinbarung noch durch § 1014 ABGB gedeckt sind. Nach dem klagsstattgebenden erstinstanzlichen Urteil des HG Wien hat nun das OLG Wien als Berufungsgericht bestätigt: Werden unzulässige Klauseln vereinbart, stellt die Berufung auf eine ergänzende Vertragsauslegung als Verstoß gegen die Klausel-RL eine unzulässige Geschäftspraktik dar, die mit (neuerlicher) Unterlassungsklage gem § 28a KSchG bekämpft werden kann.
Das OLG Wien hat die ordentliche Revision für zulässig erklärt, "weil sich der OGH mit der Frage, ob die Voraussetzungen des § 28a Abs 1 KSchG auch dann vorliegen, wenn der Unternehmer nach der Unwirksamerklärung einer Klausel in seinen AGB diese Klausel unter Berufung auf ergänzende Vertragsauslegung im Ergebnis weiterhin anwendet, noch nicht auseinandergesetzt hat."

Report on findings by EU Co-chair of ad hoc EU-US Working Group on Data Protection

Somewhat older: Report on the findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection (16987/13, dated 27 November 2013; pdf)
5. SUMMARY OF MAIN FINDINGS
(1) Under US law, a number of legal bases allow large-scale collection and processing, for foreign intelligence purposes, including counter-terrorism, of personal data that has been transferred to the US or is processed by US companies. The US has confirmed the existence and the main elements of certain aspects of these programmes, under which data collection and processing is done with a basis in US law that lays down specific conditions and safeguards. Other elements remain unclear, including the number of EU citizens affected by these surveillance programmes and the geographical scope of surveillance programmes under Section 702.
(2) There are differences in the safeguards applicable to EU data subjects compared to US data subjects, namely:
[...](4) A lack of clarity remains as to the use of other available legal bases, the existence of other surveillance programmes as well as limitative conditions applicable to these programmes. This is especially relevant regarding Executive Order 12333.
(5) Since the orders of the FISC are classified and companies are required to maintain secrecy with regard to the assistance they are required to provide, there are no avenues, judicial or administrative, for either EU or US data subjects to be informed of whether their personal data is being collected or further processed. There are no opportunities for individuals to obtain access, rectification or erasure of data, or administrative or judicial redress. 
[...]
For assessments (in German) look here and here.

13.12.2013

EuGH (Schlussanträge der GA): kein Recht auf Zugang zu Akten mit personenbezogenen Daten (Art 12 f DatenschutzRL)

EuGH, Schlussanträge der Generalanwältin Sharpston vom 12.12.2013, verb Rs C‑141/12 und C‑372/12 - Y. S. (English version here) 
Ergebnis
93.      Nach alledem bin ich der Ansicht, dass die Fragen der Rechtbank Middelburg und des Raad van State vom Gerichtshof wie folgt zu beantworten sind:
1.      Tatsachen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, sind als „personenbezogene Daten“ im Sinne von Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr anzusehen. Dagegen ist die der Entscheidung über eine Rechtsfrage zugrunde liegende Begründung – die mit einer rechtlichen Einordnung von Tatsachen, die sich auf eine bestimmte oder bestimmbare Person beziehen, und ihrer Beurteilung vor dem Hintergrund des anwendbaren Rechts einhergeht – nicht von der Definition der „personenbezogenen Daten“ in dieser Richtlinie umfasst. Die Richtlinie 95/46 verpflichtet die Mitgliedstaaten daher nicht, Zugang zu einer solchen rechtlichen Analyse zu gewähren, wenn sie in ein internes Dokument aufgenommen worden ist, das auch personenbezogene Daten enthält.
2.      Nach Art. 12 der Richtlinie 95/46 ist Zugang zu Daten zu gewähren, die von der Definition der „personenbezogenen Daten“ in dieser Richtlinie umfasst sind, es sei denn, der Zugang ist nach Art. 13 dieser Richtlinie eingeschränkt oder ausgenommen.
3.      Die Richtlinie 95/46 begründet kein Recht auf Zugang zu einem bestimmten Dokument oder einer bestimmten Akte, in der personenbezogene Daten aufgeführt oder verwendet werden. Sie konkretisiert auch nicht die materielle Form, in der personenbezogene Daten zugänglich zu machen sind. Nach Art. 12 der Richtlinie 95/46 steht den Mitgliedstaaten ein erheblicher Ermessensspielraum zur Verfügung, die Form zu bestimmen, in der personenbezogene Daten zugänglich zu machen sind. Bei der entsprechenden Beurteilung haben die Mitgliedstaaten insbesondere (i) die materielle(n) Form(en), in der bzw. denen diese Informationen vorhanden sind und der betroffenen Person zugänglich gemacht werden können, (ii) die Art der personenbezogenen Daten und (iii) die Ziele des Auskunftsrechts zu berücksichtigen.
4.      Der Schutz der Rechte und Freiheiten anderer Personen im Sinne von Art. 13 Abs. 1 Buchst. g der Richtlinie 95/46 umfasst nicht die Rechte und Freiheiten der Behörde, die personenbezogene Daten verarbeitet. Das Interesse an einem ungestörten internen Gedankenaustausch innerhalb der Behörde steht auch nicht in Verbindung mit den nach Art. 13 Abs. 1 Buchst. d oder f dieser Richtlinie geschützten Interessen.
5.      Art. 41 der Charta der Grundrechte der Europäischen Union normiert Rechte, die gegenüber Organen, Einrichtungen und sonstigen Stellen der Union geltend gemacht werden können und ist daher nicht auf personenbezogene Daten und andere Informationen anwendbar, die im Besitz eines Mitgliedstaats sind.

12.12.2013

ECJ: Data Protection Directive does not preclude levying of fees

ECJ (CJEU) 12.12.2013, C‑486/12
1        This request for a preliminary ruling concerns the interpretation of Article 12 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31).
2        The request has been made in proceedings brought by X concerning payment of a fee for delivery of a certified transcript containing personal data. [...]
On those grounds, the Court (Eighth Chamber) hereby rules:
1.      Article 12(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as not precluding the levying of fees in respect of the communication of personal data by a public authority.
2.      Article 12(a) of Directive 95/46 must be interpreted as meaning that, in order to ensure that fees levied when the right to access personal data is exercised are not excessive for the purposes of that provision, the level of those fees must not exceed the cost of communicating such data. It is for the national court to carry out any verifications necessary, having regard to the circumstances of the case.

USA: Financial Regulators Issue Final Guidance on Social Media

On 11 December, the Federal Financial Institutions Examination Council (FFIEC), on behalf of its members, released final guidance (Social Media: Consumer Compliance Risk Management Guidance) on the applicability of consumer protection and compliance laws, regulations, and policies to activities conducted via social media by banks, savings associations, and credit unions, as well as nonbank entities supervised by the Consumer Financial Protection Bureau. The guidance is effective immediately. [...]

ECJ (Advocate General’s Opinion): Data Retention Directive is incompatible with the Charter of Fundamental Rights

ECJ - Advocate General’s Opinion in Joined Cases, C-293/12 - Digital Rights Ireland and C-594/12 - Seitlinger and Others (DE)
Today’s Opinion is delivered in proceedings relating to two references for a preliminary ruling,
made by the High Court of Ireland and the Verfassungsgerichtshof (Constitutional Court, Austria)
respectively.
According to the Advocate General, Mr Cruz Villalón, the Data Retention Directive is incompatible with the Charter of Fundamental Rights. He proposes, however, that the effects of the finding of invalidity should be suspended in order to enable the EU legislature to adopt, within a reasonable period, the measures necessary to remedy the invalidity found to exist.
Source: Press release

Taken from the Opinion:
VII –  Conclusion
159. In light of the foregoing considerations, I propose that the Court should answer the questions referred by the High Court in Case C‑293/12 and the Verfassungsgerichtshof in Case C‑594/12 as follows:
(1)      Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC is as a whole incompatible with Article 52(1) of the Charter of Fundamental Rights of the European Union, since the limitations on the exercise of fundamental rights which that directive contains because of the obligation to retain data which it imposes are not accompanied by the necessary principles for governing the guarantees needed to regulate access to the data and their use.
(2)      Article 6 of Directive 2006/24 is incompatible with Articles 7 and 52(1) of the Charter of Fundamental Rights of the European Union in that it requires Member States to ensure that the data specified in Article 5 of that directive are retained for a period whose upper limit is set at two years.

Update 13.12.2013: Erste Stellungnahmen österr. Blogger finden sich hier und hier.
 

11.12.2013

EuGH (Schlussanträge): Vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten

EuGH (Schlussanträge des Generalanwalts) 10.12.2013, C-288/12

I –    Einleitung
1.        Mit ihrer Klage vom 24. Mai 2012 beantragt die Europäische Kommission, festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(2) verstoßen hat, dass es die Amtszeit der Kontrollstelle für den Datenschutz vorzeitig beendet hat. Die Kommission wirft Ungarn insoweit eine Verletzung der nach Art. 28 Abs. 1 Unterabs. 2 geforderten Unabhängigkeit der Kontrollstelle für den Datenschutz vor.
2.        Wie in den Rechtssachen, in denen die Urteile vom 9. März 2010, Kommission/Deutschland(3), und vom 16. Oktober 2012, Kommission/Österreich(4), ergangen sind, geht es in der vorliegenden Rechtssache um den Umfang der den Mitgliedstaaten nach Art. 28 Abs. 1 Unterabs. 2 der Richtlinie auferlegten Pflicht, eine oder mehrere Kontrollstellen für den Schutz personenbezogener Daten einzurichten, die „die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahrnehmen“.
[...]
VIII – Ergebnis

91.      In Anbetracht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor,
–        festzustellen, dass Ungarn dadurch gegen seine Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen hat, dass es die Amtszeit des Datenschutzbeauftragten vorzeitig beendet hat,
–        Ungarn zu verurteilen, seine eigenen Kosten und die Kosten der Europäischen Kommission zu tragen,
–        den Europäischen Datenschutzbeauftragten zu verurteilen, seine eigenen Kosten zu tragen.

08.12.2013

BRD: Düsseldorfer Kreis - Verwendung personenbezogener Daten für Werbezwecke

Düsseldorfer Kreis: Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke (pdf)
Der Düsseldorfer Kreis hat eine Ad-hoc-Arbeitsgruppe „Werbung und Adresshandel“ unter Leitung des Bayerischen Landesamts für Datenschutzaufsicht eingerichtet und diese mit der Erarbeitung von Anwendungshinweisen zu den BDSG-Regelungen für den werblichen Umgang mit personenbezogenen Daten beauftragt. In zwei Sitzungen und nachfolgendem schriftlichen Verfahren wurden Anwendungshinweise formuliert, die in diesem Dokument abgedruckt und als beschlossen anzusehen sind.

05.12.2013

USA: App Developer Settles FTC Charges

A review of your app's privacy policy could be due (and I'd like to add that enforcement is very much alive in the USA):
The creator of one of the most popular apps for Android mobile devices has agreed to settle Federal Trade Commission charges that the free app, which allows a device to be used as a flashlight, deceived consumers about how their geolocation information would be shared with advertising networks and other third parties. (...)
Source: FTC press release

Excerpt from the Complaint:
(...) 5. The Brightest Flashlight App purportedly works by activating all lights on a mobile device, including, where available, the device’s LED camera flash and screen to provide outward-facing illumination.  While running, however, the application also transmits, or allows the transmission of, data from the mobile device to various third parties, including advertising networks.  The types of data transmitted include, among other things, the device’s precise geolocation along with persistent device identifiers that can be used to track a user’s location over time. (...)
10. Respondents’ Privacy Policy does not disclose or adequately disclose to consumers that the Brightest Flashlight App transmits or allows the transmission of device data, including precise geolocation along with persistent device identifiers, to third parties, including advertising networks. (...)

Commission: Consultation on EU Copyright Rules

The European Commission has today launched a public consultation as part of its on-going efforts to review and modernise EU copyright rules. The consultation invites stakeholders to share their views on areas identified in the Communication on Content in the Digital Single Market (IP/12/1394), i.e. territoriality in the Single Market, harmonisation, limitations and exceptions to copyright in the digital age; fragmentation of the EU copyright market; and how to improve the effectiveness and efficiency of enforcement while underpinning its legitimacy in the wider context of copyright reform. [...] The consultation is open until 5 February 2014.
Source: Press release, more here.

Handelsgericht Wien: 8 von 9 AGB-Klauseln der Zalando GmbH gesetzwidrig

Handelsgericht Wien 29.11.2013, 39 Cg 96/12d (nicht rechtskräftig)
Der Verein für Konsumenteninformation (VKI) führt - im Auftrag des Bundesministeriums für Arbeit, Soziales und Konsumentenschutz - eine Unterlassungsklage gegen das Versandhandelsunternehmen Zalando GmbH mit Sitz in Berlin. Das HG Wien hat nun in erster Instanz entschieden: 8 von 9 angefochtenen AGB-Klauseln sind gesetzwidrig und damit unwirksam.

[...] Klausel 6: Wir speichern Ihre Bestell- und Adressdaten zur Nutzung im Rahmen der Auftragsabwicklung (auch durch von uns eingesetzte Auftragsabwicklungspartner oder Versandpartner), für eventuelle Gewährleistungsfälle, für Verbesserungen unseres Angebots und für Produktempfehlungen gegenüber Kunden gemäß des Inhalts unserer Datenschutzerklärung.
Die §§ 3f des - mangels Niederlassung der deutschen Beklagten in Österreich anwendbaren - BDSG sehen Informationen an den Betroffenen vor, um welche konkreten Daten es sich handelt und an wen diese gelangen sollen, auf deren Grundlage dieser seine Einwilligung zur Datenverwendung erteilen kann. Dadurch, dass die Bestell- und Adressdaten des Kunden auch durch nicht näher umschriebene Dritte ("Partner") gespeichert werden sollen, uzw für Angebotsverbesserungen und Produktempfehlungen, wird die Reichweite der Klausel nicht ausreichend transparent. [...] 
Klausel 8: Ihre personenbezogenen Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zweck der Vertragsabwicklung oder Abrechnung erforderlich ist oder Sie zuvor eingewilligt haben. Im Rahmen der Bestellabwicklung erhalten beispielsweise die hier von uns eingesetzten Dienstleister (wie bspw Transporteur, Logistiker, Banken) die notwendigen Daten zur Bestell- und Auftragsabwicklung.
Auch wenn die Weitergabe der personenbezogenen Daten des Kunden an Dritte hier zumindest auf den Zweck der Vertragsabwicklungen oder Abrechnung bzw der Bestell- und Auftragsabwicklung beschränkt ist, ist die Klausel aus den zu Klausel 6 angeführten Gründen (s oben) nicht ausreichend transparent.
Klausel 9: Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen.
Das Unterlassungsbegehren wurde abgewiesen. Nach Ansicht des HG Wien betrifft die Klausel nur Kunden, die - aufgrund eines Facebook-Profils und der damit verbundenen Zustimmung zu den Datenverwendungsrichtlinien von Facebook - wissen, dass Facebook ihre Daten sammelt, die von Besuchen auf anderen Websites herrühren. Nachdem es heutzutage ferner eine weit verbreitete und allgemein bekannte Erfahrung ist, dass im Internet Spuren hinterlassen und Daten von diversen Stellen gespeichert werden, geht das HG Wien davon aus, dass die Klausel allein der Warnung und Information der Kunden dient.
Der VKI hatte argumentiert, es sei für den Kunden gröblich benachteiligend und überraschend, dass während des Besuchs auf der Homepage der Beklagten Daten von Facebook gesammelt werden. [...]

Quelle: VKI

02.12.2013

LG Berlin: Urteil vzbv vs. Google im Volltext

Nicht nur Datenschutzbehörden machen Google derzeit das Leben etwas schwerer als es sein könnte, auch ein zivilrechtliches Vorgehen bietet sich an: Urteil des Landgerichts Berlin vom 19.11.2013, 15 O 402/12 (nicht rechtskräftig), mehr hier.
For an overview in English (analyzing the court's press release rather than the back then unavailable full-text) go here.

01.12.2013

Dutch DPA: Google's privacy policy in breach of data protection law

The combining of personal data by Google since the introduction of its new privacy policy on 1 March 2012 is in breach of the Dutch data protection act [Wet bescherming persoonsgegevens]. This is the conclusion of the investigation by the Dutch data protection authority [College bescherming persoonsgegevens]. Google combines the personal data from internet users that are collected by all kinds of different Google services, without adequately informing the users in advance and without asking for their consent. The investigation shows that Google does not properly inform users which personal data the company collects and combines, and for what purposes. "Google spins an invisible web of our personal data, without our consent. And that is forbidden by law", says the chairman of the Dutch data protection authority, Jacob Kohnstamm.
The Dutch DPA has invited Google to attend a hearing, after which the authority will decide whether it will take enforcement measures.
Source: Press release; inofficial translation of the findings (pdf)
It is worth mentioning that this is happening in the context of coordinated enforcement actions by several European DPAs, see here and here as well as CNIL's recommendations (pdf) regarding Google's Privacy Policy.