23.12.2014

BGH-Vorlagefragen: Personenbezug von IP-Adressen

BGH, Beschluss vom 28. Oktober 2014 - VI ZR 135/13
Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung des Unionsrechts vorgelegt:
1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) Datenschutz-Richtlinie - dahin auszulegen, dass eine Internetprotokoll Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

22.12.2014

Consolidated version of the draft General Data Protection Regulation

Note from Presidency to DAPIX dazed 19 December 2014: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), 15395/14
Delegations find attached a revised version of the draft General Data Protection Regulation. This version seeks to take account of the discussions on the draft Regulation that took place in the Working Party on Information Exchange and Data Protection under the Italian Presidency.  [...]
Source: Statewatch

18.12.2014

Study: Data protection regime applying to the inter-agency cooperation (EU criminal justice and law enforcement)

Study by Paul de Hert and Vagelis Papakonstantinou "The data protection regime applying to the inter-agency cooperation and future architecture of the EU criminal justice and law enforcement area" (pdf; PE 510.001)
Abstract
Upon request by the LIBE Committee, this study aims at identifying data protection shortcomings in the inter-agency cooperation in the EU criminal justice and law enforcement area. Its objective is also to outline, under six possible scenarios, the interplay among the data protection legal instruments currently being discussed, as well as the response each scenario could provide to such shortcomings.

17.12.2014

BRD: IT-Sicherheitsgesetz (Entwurf der dt. BReg.); Stärkung der Unabhängigkeit der Bundes-Datenschutzaufsicht

Mit dem heute auf Vorschlag von Bundesinnenminister de Maizière beschlossenen Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) liegt eines der ersten konkreten Ergebnisse in Umsetzung der Digitalen Agenda der Bundesregierung vor.
Wie im Koalitionsvertrag vereinbart, enthält der Gesetzentwurf Anforderungen an die IT-Sicherheit Kritischer Infrastrukturen, also der Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie etwa die Energieversorgung. Die Betreiber Kritischer Infrastrukturen sollen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. [...]
Quelle: BMI-Pressemeldung
--
Der Innenausschuss hat den Weg frei gemacht für die von der Regierungskoalition geplante „Stärkung der Unabhängigkeit der Datenschutzaufsicht im Bund“. Gegen die Stimmen der Oppositionsfraktionen Die Linke und Bündnis 90/Die Grünen verabschiedete das Gremium einen entsprechenden Gesetzentwurf der Bundesregierung (18/2848) am Mittwochvormittag in modifizierter Fassung. Die Vorlage steht am Donnerstag zur abschließenden Beratung auf der Tagesordnung des Bundestagsplenums. Danach soll das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit den rechtlichen Status einer obersten Bundesbehörde erhalten, die eigenständig und unabhängig ausgestaltet ist. [...]
Quelle: BT-Pressemeldung

16.12.2014

Neuerscheinung (BRD): Formularhandbuch Datenschutzrecht

Diese Woche Update: Am 22.12.2014 soll im Verlag C.H. Beck das "Marktfolgeprodukt" zu der bereits hier erwähnten Mustersammlung "Datennutzungs- und Datenschutzverträge" (die ich besitze und welche tlw. sehr brauchbar auch für österreichische "Rechtsanwender" ist) erscheinen:
In Österreich ist der Markt natürlich weitaus kleiner, hier existiert mW nur ein relativ teures Werk (da nur ein Abschnitt das Datenschutzrecht ieS behandelt).

BRD: Studie zu Scoring nach der BDSG-Novelle 2009

Abschlussbericht: Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen (study report entitled „Scoring after the data protection amendment 2009 and new developments“)
Aus der Zusammenfassung: In der vom Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein zusammen mit der GP-Forschungsgruppe im Auftrag der Bundesanstalt für Landwirtschaft und Ernährung (BLE) für das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV) bzw. Bundesministerium der Justiz und für Verbraucherschutz (BMJV)
erstellten Studie „Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen“ erfolgen eine umfassende Analyse der rechtlichen Grundlagen für das Scoring nach der Novelle des Datenschutzrechts 2009, eine empirische Untersuchung der Scoring-Praxis und eine verbraucherschutzbezogene Evaluierung sowie daraus abgeleitete Empfehlungen.
Es wird festgestellt, dass die Datenschutznovelle für Banken und Auskunfteien Auswirkungen hinsichtlich ihres Auskunftsverhaltens hatte, dass Beeinträchtigungen der Verbraucherrechte
aber weiter bestehen.
[...]
Quellen: Heise; o.a. Bericht

15.12.2014

Dutch DPA imposes incremental penalty payment on Google

The Dutch Data Protection Authority [College bescherming persoonsgegevens- CBP] has imposed an incremental penalty payment on Google. This sanction may amount to 15 million euros. The reason for the sanction is that Google is acting in breach of several provisions of the Dutch data protection act with its new privacy policy, introduced in 2012. [...]
Source and more on this: CBP press release; thanks to F. Borgesius. See also my post dated 1. December 2013.

Ö: Parl. Anfragebeantwortung - Zugriffsrechte bei Navigations-Apps

Anfragebeantwortung durch den Bundesminister für Arbeit, Soziales und Konsumentenschutz Rudolf Hundstorfer zu der schriftlichen Anfrage (2794/J) der Abgeordneten Walter Rauch, Kolleginnen und Kollegen an den Bundesminister für Arbeit, Soziales und Konsumentenschutz betreffend Zugriffsrechte bei Navigations-Apps (2604/AB):
[...] Frage 4) Die Zustimmung ist laut dem österreichischen Datenschutzgesetz (DSG) die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des oder der Betroffenen, dass er oder sie in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner oder ihrer Daten einwilligt.
Wird seitens des Anbieters einer App nicht vollständig darauf hingewiesen, welche Daten verarbeitet werden, oder ist nicht klar wofür die Berechtigung überhaupt benötigt wird, kommt es in diesen Bereichen zu keiner wirksamen Zustimmungserklärung der KonsumentInnen im Sinne des DSG.
Allerdings ist die Verarbeitung von Daten nach dem DSG auch ohne Zustimmungserklärung zulässig, wenn die Verarbeitung der Daten zur Erfüllung einer vertraglichen Verpflichtung zwischen dem Anbieter einer App und KonsumentInnen erforderlich ist. Darüber hinaus ist die Verarbeitung von Daten unzulässig.
[...]

Frage 12) Die Zugriffsrechte und die Verarbeitung der personenbezogenen Daten bei Navigationsapps
sind Teil des umfassenden Problems der Datenverarbeitung im Zusammenhang mit internetbasierten
Anwendungen. So wurde auf der Webseite konsumentenfragen.at unter anderem
bereits auch über den Datenhunger bei Handyspielen und bei Fitnessarmbändern informiert.
Dass die Nutzung einer Anwendung nur mit Zustimmung zu einer Zugriffsberechtigung
möglich ist, die über das notwendige Maß hinausgeht, wird aus der Sicht des Konsumentenschutzes
äußerst kritisch gesehen.
[...]

Hintergrund der Anfrage war diese Studie der AK.

11.12.2014

EuGH: Private Videoüberwachung (auch) des öffentlichen Raums nicht von Ausnahme der persönlichen/familiären Tätigkeit gedeckt

EuGH 11.12.2014, C-212/13 - František Ryneš / Úřad pro ochranu osobních údajů 
Die Richtlinie zum Schutz personenbezogener Daten ist auf die Videoaufzeichnung mit einer Überwachungskamera anwendbar, die von einer Person an ihrem Einfamilienhaus angebracht wurde und auf den öffentlichen Straßenraum gerichtet ist. Die Richtlinie ermöglicht jedoch die Würdigung des berechtigten Interesses dieser Person, das Eigentum, die Gesundheit und das Leben seiner selbst und seiner Familie zu schützen.
[...] In seinem heutigen Urteil weist der Gerichtshof erstens darauf hin, dass sich der Begriff der personenbezogenen Daten im Sinne dieser Richtlinie auf alle Informationen über eine bestimmte
oder bestimmbare natürliche Person bezieht. Als bestimmbar wird eine Person angesehen, die durch Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen Identität sind, direkt oder indirekt identifiziert werden kann. Das von einer Kamera aufgezeichnete Bild einer Person fällt somit unter den Begriff der personenbezogenen Daten, da es die Identifikation der betroffenen Person ermöglicht.
Ebenso fällt die Videoüberwachung, bei der personenbezogene Daten aufgezeichnet und gespeichert werden, in den Anwendungsbereich der Richtlinie, da sie eine automatisierte Verarbeitung dieser Daten darstellt.
Der Gerichtshof stellt zweitens fest, dass die Ausnahme, die in der Richtlinie für die Datenverarbeitung vorgesehen ist, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird, eng auszulegen ist. Daher kann eine Videoüberwachung, die sich auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet, nicht als eine „ausschließlich persönliche oder familiäre Tätigkeit“ angesehen werden.
[...]
Quelle: Pressemeldung EuGH (pdf; English version here)
Aus dem Urteil: 
Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:
Art. 3 Abs. 2 zweiter Gedankenstrich der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Betrieb eines von einer natürlichen Person an ihrem Einfamilienhaus zum Zweck des Schutzes des Eigentums, der Gesundheit und des Lebens der Besitzer des Hauses angebrachten Kamerasystems, das Videos von Personen auf einer kontinuierlichen Speichervorrichtung wie einer Festplatte aufzeichnet und dabei auch den öffentlichen Raum überwacht, keine Datenverarbeitung darstellt, die im Sinne dieser Bestimmung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.

10.12.2014

Letter by 23 DPAs to app marketplaces regarding privacy policies

Global privacy guardians urge app marketplaces to make links to privacy policies mandatory
From the Press release:
All the undersigned privacy enforcement authorities believe that an app marketplace operator should, acting as a responsible corporate citizen, make the basic commitment to require each app that can access or collect personal information, to provide users with timely access to the app’s privacy policy. We therefore expect a marketplace operator would put in practice, if it has not already, this advice, and implement the necessary protections, to ensure the privacy practice transparency of apps offered in their stores.
Open letter available here.

09.12.2014

OGH: Videokamera-Attrappe des Mieters

OGH 26.06.2014, 8 Ob 47/14s - Videokameraattrappe (des Bestandnehmers)
[...] 2.2 Aus diesen Grundsätzen folgt, dass die Anbringung einer Kameraattrappe, die sich für einen unbefangenen, objektiven Betrachter als Überwachungsmaßnahme darstellt, im Allgemeinen zulässig ist, wenn sich diese Maßnahme nach Maßgabe des Eindrucks für einen solchen Betrachter ausschließlich auf den eigenen Wohn- bzw Garagenbereich des beklagten Mieters bezieht. [...]
2.3 Eine Kameraattrappe hat keinen realen Erfassungsbereich. Aus diesem Grund ist nur der für andere Personen (Hausbewohner, Besucher) bestehende Eindruck des Überwachtwerdens maßgebend. Ob eine derartige begründete Befürchtung bestehen muss, richtet sich nach den örtlichen Gegebenheiten und der Situierung und Ausrichtung der (vermeintlichen) Überwachungsanlage. [...]
Aufgrund der Situierung und Ausrichtung der Kameraattrappe besteht für einen unbefangenen, objektiven Betrachter bei Benützung des Hofbereichs und des Gehwegs daher nicht der Eindruck, sich im (vermeintlichen) Überwachungsbereich der Kamera zu befinden. Hinsichtlich der Kameraattrappe an der Garagenwand müssen nur zwei Garagenbenützer an der Abstellfläche der Beklagten vorbeigehen. Diese gelangen in den (vermeintlichen) Erfassungsbereich der Kameraattrappe, wobei nach dem - wieder durch die Situierung und Ausrichtung der Kameraattrappe bestimmten - Eindruck nur die Unterschenkel erfasst werden. Auch in dieser Hinsicht ist nicht von einem unzulässigen Überwachungsdruck auszugehen, weil für einen unbefangenen, objektiven Betrachter die Befürchtung einer identifizierenden Überwachung nicht bestehen kann. [...]
Mehr zu diesem Beschluss bei RA Dr. Thiele (pdf). Siehe zu Videoüberwachung und Mietrecht hier im Blog.
Update 15.12.2014:  Die DSB (Datenschutzbehörde) zu Kameraattrappen (siehe unter Punkt 10.)

Österreich: Parl. Anfragebeantwortung zu "Fahrservice Uber" (Gewerberecht)

Anfragebeantwortung durch den Bundesminister für Wissenschaft, Forschung und Wirtschaft Dr. Reinhold Mitterlehner zu der schriftlichen Anfrage (2712/J) der Abgeordneten Peter Wurm, Kolleginnen und Kollegen an den Bundesminister für Wissenschaft, Forschung und Wirtschaft betreffend "Fahrservice Uber" (2570/AB):
[...] Auf Basis der meinem Ressort bislang vorliegenden Informationen wäre der Betrieb der Online-Plattform durch das Fahrservice Uber als freies Gewerbe einzustufen. Aus derzeitiger Sicht liegen keine Anhaltspunkte für eine Umgehung gewerberechtlicher Regelungen vor, weswegen mein Ressort auch keinen Anlass für eine spezifische Überprüfung erkennt. Sollten sich künftig andere Anhaltspunkte ergeben, werden die zuständigen Gewerbebehörden der Länder entsprechende Veranlassungen zu treffen haben.

Joint statement of the European Data Protection Authorities assembled in the Article 29 Working Party

Joint statement of the European Data Protection Authorities assembled in the Article 29 Working Party (WP227), the statement is also available on this website:
[...] 12. The EU draft data protection package should be adopted in 2015. Whilst contributing to the unification of the European digital market, it must ensure a high level of data protection to individuals, in accordance with European values and fundamental rights.
13. The European level of protection of personal data should not be eroded, wholly or in part, by bilateral or international agreements, including agreements on trade in goods or services with third countries.
14. EU data protection rules are necessary to safeguard the political, social and economic situation of the EU and those subject to EU legislation. Their principles must be considered to be of an internationally mandatory nature under public and private international law. Foreign laws or international agreements cannot override them nor can organizations derogate from them by contract.
[...]
Next steps
16. The Working Party welcomes comments on this Statement by all interested stakeholders, whether public or private. Such comments may be addressed through the dedicated website available at www.europeandatagovernance-forum.com. The Working Party will take these comments into account in its activities over the year 2015.
The website mentioned above recommends to use the following CNIL e-mail address: Such comments may be addressed at edgf@cnil.fr.

CoE issues report on "The rule of law on the Internet and in the wider digital world"

"The rule of law on the Internet and in the wider digital world" (pdf; summary available here; press release), Issue paper published by the Council of Europe, Commissioner for Human Rights
[...] The European data protection model is increasingly being taken up outside the Council of Europe area: Convention No. 108 (currently under a process of modernisation) is becoming the global gold standard in guaranteeing the international rule of law in this specific respect, which is crucial for the Internet and the wider digital world. [...] 
Data protection on European lines provides the first and most important cornerstone for the rule of law on the Internet and in the wider digital world. As a result, it will be crucial to ensure that the review (modernisation) of Convention No. 108, currently under way, does not lead to any lowering of the standards. Accession by the USA to Convention No. 108 would be particularly valuable, not just for US citizens, but as a move towards a more comprehensive global approach to respect for the fundamental right to data protection and the rights that it enables. [...]

Ö: Bericht über Datenaustausch mit den USA (["Prüm-like"] PCSC-Abkommen)

Bericht der Bundesministerin für Inneres über die Entschließung des Nationalrates vom 29. Februar 2012, E 232-NR/XXIV. GP betreffend Abkommen zwischen der Regierung der Republik Österreich und der Regierung der Vereinigten Staaten von Amerika über die Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerer Straftaten (PCSC) - Berichtszeitraum 1. Mai 2013 bis 30. April 2014 (III-82 d.B.), Kommunique des Ausschusses für innere Angelegenheiten; mehr dazu im Blog hier (data-sharing agreement with USA in criminal/terrorist matters):

[...] 3.   Erfahrungen mit der Anwendung des Abkommens
3.1.       Für die Zusammenarbeit im Bereich daktyloskopische Daten
Nachdem der operative Datenaustausch wegen der noch laufenden technischen Umsetzungsarbeiten noch nicht aufgenommen wurde, liegen keine Erfahrungen vor.
3.2.       Für die Zusammenarbeit gemäß Artikel 10 des Abkommens
Im Bereich der Übermittlung personenbezogener und anderer Daten zur Verhinderung schwerer Straftaten mit einer transnationalen Dimension liegen derzeit keine Erfahrungen vor, [...]
 Für die Zusammenarbeit bei der Verhinderung von terroristischen Straftaten stellt das Inkrafttreten des Abkommens eine qualitativ-rechtliche Verbesserung für den Datenaustausch dar und bildet eine gute Grundlage für die bilaterale Kooperation. Nach den Vorgaben des Abkommens kann ein Datenaustausch immer nur anlassbezogen stattfinden.[...]

06.12.2014

Art. 29 WP: Surveillance of electronic communications for intelligence and national security purposes

Working Document on surveillance of electronic communications for intelligence and national security purposes, WP 228 adopted on 5 December 2014
This Working Document contains the legal analysis behind the WP29 Opinion on surveillance of electronic communications for intelligence and national security purposes that was adopted on 10 April 2014. The focus of this Opinion lies with the follow up that is needed after the Snowden revelations. To this end, it contains several recommendations on how to restore respect for the fundamental rights of privacy and data protection by the intelligence and security services, and on how to improve supervision of these entities’ activities while maintaining national security. The current Working Document contains the result of the discussions and legal analysis on which the Working Party’s recommendations are based. [...]

04.12.2014

Österreich: Handel mit Daten aus dem Zentralen Melderegister?

... zumindest suggeriert dies die Schriftliche Anfrage der Abgeordneten Mag. Albert Steinhauser, Kolleginnen und Kollegen an die Bundesministerin für Inneres betreffend Handel mit Daten aus dem Zentralen Melderegister (3247/J)
Siehe zur Zulässigkeit der Verwendung von Meldedaten §§ 16a ff Meldegesetz 1991, insb § 16a Abs 5 und 5a leg cit (Hervorhebung durch mich):
(5) Abgesehen von den in Abs. 4 genannten Fällen ist der Bundesminister für Inneres ermächtigt, bestimmten Personen im Rahmen des § 16 Abs. 1 auf Antrag eine Abfrageberechtigung im Wege des Datenfernverkehrs auf die im Zentralen Melderegister verarbeiteten Daten, für die keine Auskunftssperre besteht, zu eröffnen; hiefür muss glaubhaft sein, dass diese Personen regelmäßig Meldeauskünfte zur erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen benötigen.
(5a) Eine gemäß Abs. 5 eingeräumte Abfrageberechtigung darf im konkreten Fall nur für die glaubhaft gemachten eigenen Zwecke in Anspruch genommen werden; die bloße Weitergabe von im Wege dieser Abfrageberechtigung ermittelten Meldedaten an Dritte ist kein eigener Zweck im Sinne dieser Bestimmung. Liegen die für die Erteilung der Berechtigung notwendigen Voraussetzungen nicht mehr vor, hat der Berechtigte dies unverzüglich dem Bundesminister für Inneres zu melden.
Update: Meldegesetz-Durchführungsverordnung
Update 04.02.2015: Anfragebeantwortung (3086/AB; pdf):
[...] Antragsteller oder Antragstellerinnen haben im Rahmen eines Verwaltungsverfahrens ihren Bedarf im Sinne des § 16a Abs. 5 Meldegesetz 1991 glaubhaft zu machen. Die jeweilige Antragsbegründung wird vom Bundesministerium für Inneres eingehend geprüft, wobei regelmäßig ein Gewerbe- bzw. Berufsberechtigungsnachweis verlangt wird. Sofern Antragsbegründungen nicht eindeutig die Zwecke der beabsichtigten Abfragen erkennen lassen, werden Verbesserungsaufträge erteilt, mit denen beispielsweise die Darstellung der konkreten Arbeitsabläufe oder die Vorlage weiterer Nachweise aufgetragen werden. Erst wenn das Bundesministerium für Inneres im konkreten Fall zur Überzeugung gelangt, dass die Voraussetzungen des § 16a Abs. 5 Meldegesetz 1991 erfüllt sind, wird die Abfrageberechtigung
eröffnet.
[...]

03.12.2014

GDPR: Presidency note to finalise discussions on the inclusion of the public sector & Chapter IX

Presidency Note to Council: Proposal (Corrigendum; dated 1 December 2014) for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
- Public sector and Chapter IX
= Partial general approach
1. The purpose of this Presidency note is to finalise discussions on the inclusion of the public sector in the scope of the draft General Data Protection Regulation (hereinafter referred to as the ‘GDPR’) and on specific processing situations set out in Chapter IX. [...]
4. The Council is invited to reach a partial general approach on the text of Article 1, Article 6, paragraphs (2) and (3), Article 21 and Chapter IX contained in the Annex on the following understanding: [...]

Press release regarding tomorrow's Justice Council:
Věra Jourová, the EU's Commissioner for Justice, Consumers and Gender will represent the European Commission for the first time at the Justice Council on 4 December. [...]. On the reform of EU data protection rules (IP/12/46), Ministers are expected to clinch another partial agreement on rules for the public sector and advance discussions on the one-stop-shop, signalling the gathering momentum for the completion of the negotiations by 2015. [...]
Update 4.12.2014The Council is expected to reach a partial general approach on specific issues of the draft regulation setting out a general EU framework for data protection, on the understanding that nothing is agreed until everything is agreed. The partial general approach includes some articles which are crucial to the question of the public sector (Article 1, Article 6, paragraphs (2) and (3), Article 21) as well as chapter IX (provisions relating to specific data processing situations) and the related recitals (16140/14).
The Council will also hold an orientation debate on the "one stop shop" mechanism on the basis of
a proposal presented by the Presidency (15656/1/14 REV 1)
. [...]
Sources: Statewatch; Council (pdf)

02.12.2014

BGH: Zur Widerrufsbelehrung auf einer gewöhnlichen Webseite

BGH 15.05.2014 - III ZR 368/13 (pdf)
a) Die bloße Abrufbarkeit einer Widerrufsbelehrung auf einer gewöhnlichen Webseite ("ordinary website") des Unternehmers reicht für die formgerechte Mitteilung der Widerrufsbelehrung an den Verbraucher nach § 355 Abs. 2 Satz 1 und Abs. 3 Satz 1, § 126b BGB nicht aus (Anschluss an BGH, Urteil vom 29. April 2010 - I ZR 66/08, NJW 2010, 3566).
b) Die vom Unternehmer in einem Online-Anmeldeformular vorgegebene, vom Kunden (Verbraucher) bei der Anmeldung zwingend durch Anklicken mit einem Häkchen im Kontrollkasten zu versehende Bestätigung
"Widerrufserklärung □ Widerrufsbelehrung zur Kenntnis genommen und ausgedruckt oder
abgespeichert?" 

ist gemäß § 309 Nr. 12 Buchst. b BGB sowie deshalb unwirksam, weil sie von den verbraucherschützenden Regelungen in § 355 Abs. 2 und 3, § 360 Abs. 1 BGB zum Nachteil des Verbrauchers abweicht.
c) Ist eine vom Unternehmer vorformulierte Bestätigung des Kunden unwirksam, so kann der Unternehmer dem Widerruf des Kunden nicht den Einwand unzulässiger Rechtsausübung entgegenhalten und gegen den Kunden auch keinen Schadensersatzanspruch wegen arglistiger Täuschung oder sonstiger Treuepflichtverletzung geltend machen, indem er den Vorwurf erhebt, dass der Kunde diese Bestätigung wahrheitswidrig erteilt habe.

Mehr dazu hier (auch zur dt. Rechtslage nach Umsetzung der VerbraucherrechteRL); OGH-Judikatur in Österreich; EuGH 05.07.2012, Rs C‑49/11

Art. 29 WP: Co-Operation Procedure for Issuing Common Opinions on “Contractual clauses”

Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on “Contractual clauses” Considered as compliant with the EC Model Clauses, WP 226
[...] In many Member States, national authorisations are not only required for the use of ad hoc contracts3 [such as in Austria] but also for the use of Model Clauses4 [such as in Austria].[...] 
With this document, the Article 29 Working Party is creating a procedure enabling companies who are willing to make use of identical contractual clauses (which are based on Model Clauses with some divergences such as additional clauses) in different Member States, in order to: frame transfers from different EU Member States; obtain a coordinated position of the competent DPAs regarding the proposed contract; and decide in particular if the contract is still in conformity with a standard contractual clause. [...]

30.11.2014

VwGH: Auskunftsumfang bei Videoüberwachung (§§ 26 iVm 50e DSG 2000)

Verwaltungsgerichtshof 29.10.2014, 2013/01/0127 (pdf)
Dem Fahrgast eines Nahverkehrsunternehmens wurde zu seinem Auskunftsbegehren mitgeteilt, dass keine Auswertung der Daten aus der Videoüberwachung in den Fahrzeugen des Nahverkehrsunternehmens erfolgt sei. Daher begehrte er von der Datenschutzkommission, dem Nahverkehrsunternehmen die vollständige und gesetzeskonforme Auskunftserteilung aufzutragen.
Die Datenschutzkommission stellte fest [K121.698/0004-DSB/2013], dass die gespeicherten Bilddaten, soweit keine Auswertung zu einem der zulässigen Zwecke erfolge, ohne angesehen zu werden, nach 48 Stunden automatisch überschrieben und damit gelöscht werden. Die Bildaufzeichnungen der Videoüberwachung in den Stationen und in den Fahrzeugen wurden für den gegenständlichen Ort und Zeitraum nicht ausgewertet. Das Bestehen eines Auskunftsrechts aus nichtausgewerteten Videoaufzeichnungen wurde verneint, weshalb die an die Datenschutzkommission gerichtete Beschwerde abgewiesen worden war.
Der vom Fahrgast angerufene Verwaltungsgerichtshof schloss sich dieser Auffassung an. § 26 Datenschutzgesetz 2000 (DSG 2000) regelt die Auskunft im Allgemeinen; für die Videoüberwachung modifiziert § 50e DSG 2000 dieses Auskunftsrecht dahin, dass dem Auskunftswerber statt der schriftlichen Auskunft grundsätzlich durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten (aufgezeichnete Videodaten) Auskunft zu erteilen ist. Wenn zur Person des Auskunftswerbers aber keine verarbeiteten Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes. Dies gilt auch für die Videoüberwachung. Wenn keine verarbeiteten Daten vorhanden sind, besteht ein über diese Negativauskunft hinausgehendes weiteres Recht auf Auskunft nicht. 
Festgestellt wurde, dass das Nahverkehrsunternehmen dem Fahrgast mitteilte, dass die Bildaufzeichnungen der Videoüberwachung (in den Stationen und Fahrzeugen) für den gegenständlichen Ort und Zeitraum nicht ausgewertet wurden. Der Fahrgast hat daher die Negativauskunft erhalten, dass zu seiner Person keine Daten vorhanden sind. Ein weiteres Recht auf Auskunft steht ihm nicht zu.
Der Fahrgast wurde somit durch den angefochtenen Bescheid in dem behaupteten Recht nicht verletzt, die Beschwerde wurde als unbegründet abgewiesen.
Anmerkung: Zur verschlüsselten Aufzeichnung führte der VwGH wie folgt aus: "Im Hinblick auf diese verschlüsselte Videoüberwachung, bei der die Daten nicht auf Personen rückgeführt werden konnten, bestand zusätzlich aus diesem Grund kein über die Auskunft des Betreibens einer verschlüsselten Videoüberwachung hinausgehendes Auskunftsrecht (vgl. dazu die Gesetzesmaterialien, RV 472 BlgNR 24. GP, Seite 21 mit Hinweis auf § 29 DSG 2000).
Quelle: VwGH

28.11.2014

2. Stellungnahme des dt. Bundesrates zur geplanten Datenschutz-Grundverordnung

Der [deutsche] Bundesrat hat in seiner Sitzung am 28. November 2014 erneut zum Entwurf einer EU Datenschutz-Grundverordnung Stellung genommen - die erste Stellungnahme erfolgte im Januar 2012. Er bedauert, dass die bisherigen Beratungsergebnisse Bund und Länder vor erhebliche Anpassungsaufgaben stellen, die für die Betroffenen aber keine spürbaren Rechtsvorteile im Datenschutz bewirken. Er sieht zudem mit Sorge, dass die verbleibenden Regelungsspielräume der Mitgliedstaaten unbestimmt sind und damit zunächst eine Rechtsunsicherheit besteht. Die Länder bitten die Bundesregierung daher, im Zuge der weiteren Beratungen darauf hinzuwirken, dass die Befugnisse der Mitgliedstaaten zur Fortentwicklung datenschutzrechtlicher Garantien rechtssicher ausgestaltet werden. Zudem bitten sie darum, bei den Verhandlungen auf ein hohes Datenschutzniveau und darauf hinzuwirken, dass die Neuerungen die Rechte der Beteiligten an gerichtlichen Verfahren nicht beeinträchtigen. Die Pläne, auch nichteuropäische Anbieter von Diensten den zukünftigen europäischen Datenschutz-Standards zu unterstellen, begrüßt der Bundesrat. [...]
Quelle: Bundesrat; BR-Drs 550/14, Beratungshistorie

BRD: Gemeinsames Schreiben von 4 Bundesministern an EU-Kommission zu DS-GVO, Safe Harbor, Urheberrecht etc.

Der Rahmen für Innovation, Wachstum, Wettbewerb, Sicherheit, Verbraucher- und Datenschutz in der digitalen Wirtschaft wird sich in maßgeblichen Teilen nur gemeinsam auf der europäischen Ebene setzen lassen. Das haben die für die Digitale Agenda zuständigen Bundesminister Sigmar Gabriel (Wirtschaft und Energie), Thomas de Maizière (Inneres), Alexander Dobrindt (Verkehr und digitale Infrastruktur) und Heiko Maas (Justiz und Verbraucherschutz) gegenüber der neu gewählten EU-Kommission deutlich gemacht und ihre Vorschläge für einen digitalen Ordnungsrahmen in der Europäischen Union unterbreitet. [...]
Die vier Minister bekräftigen ihren Willen, die Verhandlungen der EU-Datenschutzverordnung im nächsten Jahr abzuschließen. Die Einwilligung soll als wichtige Rechtsgrundlage für die Datenverarbeitung im privaten Bereich gestärkt werden. Besonders datenschutzfreundliche Anbieter sollen ein Datensiegel erhalten. Angesichts der jüngst offenbarten Massenüberwachung müsse das Safe-Harbor-Abkommen "zügig neu verhandelt werden". [...]
Quelle: BMJV; Schreiben (pdf; English translation)

27.11.2014

Art. 29 WP: Opinion 9/2014 on the application of Directive 2002/58/EC to device (browser) fingerprinting

Article 29 Data Protection Working Party, Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting, adopted on 25 November 2014, WP 224 (inofficial version here):
1. Summary
Device fingerprinting presents serious data protection concerns for individuals. For example, a number of online services have proposed device fingerprinting as an alternative to HTTP cookies for the purpose of providing analytics or for tracking without the need for consent under Article 5(3).1 This demonstrates that the risks presented by device fingerprinting are not theoretical and research has shown that device fingerprinting is already being exploited.2
In this Opinion, the Article 29 Working Party (WP29) addresses the topic of device fingerprinting and the applicability of Article 5(3) of the ePrivacy Directive 2002/58/EC, as amended by Directive 2009/136/EC, without prejudice to the provisions of the Data Protection Directive 95/46/EC. The key message of this Opinion is that Article 5(3) of the ePrivacy Directive is applicable to device fingerprinting.
This Opinion expands upon the earlier Opinion 04/2012 on Cookie Consent Exemption3 and indicates to third-parties
[“Third-party” as referred to in Recital 66 of Directive 2009/136/EC] who process device fingerprints which are generated through the gaining of access to or the storing of information on the user’s terminal device that they may only do so with the valid consent of the user (unless an exemption applies). [...]
8. Conclusion
This Opinion addresses the topic of device fingerprinting and the applicability of Article 5(3) of the ePrivacy Directive 2002/58/EC, as amended by Directive 2009/136/EC, without prejudice to the provisions of the Data Protection Directive 95/46/EC. This Opinion expands upon the earlier Opinion 04/2012 on Cookie Consent Exemption and confirms that, in a number of circumstances, the technology leads to the gaining of access to, or storing of, information on the user’s terminal device. Thus Article 5(3) of the ePrivacy Directive also applies to instances of device fingerprinting.
Therefore, parties who wish to process device fingerprints which are generated through the gaining of access to, or the storing of, information on the user’s terminal device must first obtain the valid consent of the user (unless an exemption applies).

Source: @Cellular_PP (inofficial version); Art. 29 WP

UN resolution: “The right to privacy in the digital age”

[...] Noting that while metadata can provide benefits, certain types of metadata, when aggregated, can reveal personal information and can give an insight into an individual’s behaviour, social relationships, private preferences and identity, 
Emphasizing that unlawful or arbitrary surveillance and/or interception of communications, as well as unlawful or arbitrary collection of personal data, as highly intrusive acts, violate the right to privacy, can interfere with the right to freedom of expression and may contradict the tenets of a democratic society, including when undertaken on a mass scale, [...] 
4. Calls upon all States:
[...] c) To review their procedures, practices and legislation regarding the surveillance of communications, their interception and the collection of personal data, including mass surveillance, interception and collection, with a view to upholding the right to privacy by ensuring the full and effective implementation of all their obligations under international human rights law;
(d) To establish or maintain existing independent, effective, adequately resourced and impartial judicial, administrative and/or parliamentary domestic oversight mechanisms capable of ensuring transparency, as appropriate, and accountability for State surveillance of communications, their interception and the collection of personal data;
[...]
Source: United Nations; full-text available here (pdf).

Art. 29 WP: Guidelines on the implementation of the CJEU's judgement on the "right to be forgotten" (full-text)

[...] On Wednesday 26 November 2014, the European data protection authorities assembled in the Article 29 Working Party (WP29) have adopted guidelines on the implementation of the CJEU’s judgment [C-131/12]. These guidelines contain the common interpretation of the ruling as well as the common criteria to be used by the data protection authorities when addressing complaints. [...]
Under EU law, everyone has a right to data protection. In practice, DPAs will focus on claims where there is a clear link between the data subject and the EU, for instance where the data subject is a citizen or resident of an EU Member State.
The guidelines also contain the list of common criteria which the data protection authorities will apply to handle the complaints filed with their national offices following refusals of de-listing by search engines. The list contains 13 main criteria and should be seen as a flexible working tool to help DPAs during the decision-making processes. Criteria will be applied on a case by case basis and in accordance with the relevant national legislations. [...]

Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google Spain and inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/121, WP225
Source: Art. 29 WP press release (pdf)

26.11.2014

OLG Wien: 22 AGB-Klauseln der bob (A1) unzulässig, darunter auch Teile der "Datenschutzklausel"

OLG Wien 30.10.2014, 4 R 64/14g (pdf; nicht rechtskräftig):
Zu der Datenschutzklausel (§ 15 Abs 2 der AGB):
Klausel 16: Stamm- und Verkehrsdaten im Sinne der Bestimmungen des TKG 2003 werden für Zwecke der Besorgung von Kommunikationsdiensten und damit in Zusammenhang stehenden Leistungen und für ihre Erbringung erforderlicher Leistungen verwendet.
Das OLG Wien hält die Klausel gemäß § § 4 Z 14 DSG iVm § 8 Abs 1 Z 2 DSG für unzulässig. Eine wirksame Zustimmung zur Verwendung nicht sensibler Daten liegt nur vor, wenn der Betroffene weiß, welche seiner Daten zu welchem Zweck verwendet werden (RS0115216). Die Definitionen bleiben unbestimmt und lassen nicht erkennen, um konkret welche Daten es sich hierbei handeln soll. Es geht nicht hervor, konkret welche Daten den genannten Zwecken dienen sollen. Die Klausel ist dadurch intransparent iSd § 6 Abs 3 KSchG. Auch den Umfang der Verwendung von Daten determiniert die Klausel nicht hinreichend deutlich.
Klausel 17: A 1 Telekom Austria ist berechtigt, Stammdaten und andere für die Identität maßgebliche personenbezogene Daten, die für die Überprüfung der Kreditwürdigkeit des Kunden oder für die Eintreibung von Forderungen notwendig sind, an Dritte zu übermitteln.
Eine Zustimmung des Kunden zur Übermittlung seiner Daten an Dritte in AGB verstößt gegen das Transparenzgebot, wenn für ihn offen bleibt, auf welche konkreten Daten von welchen Dritten zugegriffen werden kann (6 Ob 16/01y). Welche Daten unter den Begriffen "Stammdaten" und "maßgebliche personenbezogene Daten" in der beanstandeten Klausel zu verstehen sind, ist aufgrund der Unbestimmtheit dieser Begriffe nicht  klar determiniert. Bereits dies macht die vorliegende Klausel unzulässig. Das Wort "auch" lässt in Zusammenhang mit bestimmt bezeichneten Unternehmen nur den Rückschluss zu, dass das von A1 unmittelbar davor eingeräumte Recht zur Datenübermittlung an nicht bestimmt bezeichnete Dritte gerade gerade nicht die bestimmt bezeichneten Unternehmen betrifft, sondern solche, deren Identität dem Kunden verborgen bleibt.
Quelle: VKI

European Parliament refers EU-Canada PNR deal to the CJEU

The EU-Canada agreement on the transfer of Passenger Name Records (PNR) should be referred to the European Court of Justice (ECJ) for an opinion on whether it is in line with the EU treaties and Charter of Fundamental Rights, MEPs said in a vote on Tuesday. This is the first time that Parliament has asked that a PNR agreement be given a preliminary check by the Court before the final vote on the deal.
The resolution was approved by 383 votes to 271, with 47 abstentions. Before voting on the resolution, MEPs rejected a proposal to postpone it by 307 votes in favour, 380 against and 14 abstentions.
[...]
Source: Press release; European Parliament resolution of 25 November 2014 on seeking an opinion from the Court of Justice on the compatibility with the Treaties of the Agreement between Canada and the European Union on the transfer and processing of Passenger Name Record data (provisional text)

25.11.2014

Leak: Draft Data Protection Directive regarding law enforcement

Presidency Note to DAPIX: DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data - Chapters I, II and V
The purpose of this note is to explain the main changes that the Presidency is suggesting for the [first] two Chapters.
Source: Statewatch

BGH: Verwertung rechtswidrig beschaffter E-Mails durch die Presse (Volltext)

BGH 30.09.2014, VI ZR 490/12
Leitsätze: a) Das allgemeine Persönlichkeitsrecht in der Ausprägung der Vertraulichkeitssphäre und des Rechtes auf informationelle Selbstbestimmung schützt das Interesse des Kommunikationsteilnehmers daran, dass der Inhalt privater E-Mails nicht an die Öffentlichkeit gelangt.
b) Die Veröffentlichung rechtswidrig beschaffter oder erlangter Informationen ist vom Schutz der Meinungsfreiheit umfasst.
c) Werden rechtswidrig erlangte Informationen zum Zwecke der Berichterstattung verwertet, kommt es bei der Abwägung des von der Presse verfolgten Informationsinteresses der Öffentlichkeit und ihres Rechts auf Meinungsfreiheit mit dem Interesse des Betroffenen am Schutz seiner Persönlichkeit maßgeblich auf den Zweck der beanstandeten Äußerung und auf das Mittel an, mit dem der Zweck verfolgt wird.

24.11.2014

Report: Privacy, data protection and ethical risks in civil RPAS (drone) operations

Privacy, data protection and ethical risks in civil RPAS operations - Final Report (pdf) by Rachel L. Finn, David Wright and Anna Donovan (Trilateral Research & Consulting, LLP), Laura Jacques and Paul De Hert,
(Vrije Universiteit Brussel) dated 7 November 2014:
The use of remotely piloted aircraft systems (RPAS) is rapidly expanding for a range of civil and commercial purposes. However, it is already apparent that existing RPAS capabilities and applications raise a number of privacy, data protection and ethical issues, some of which are recognised in the European RPAS Steering Group’s Roadmap. [...]

15.11.2014

German delegation: GDPR - Processing in the employment context

Note from: German delegation To: Working Group on Information Exchange and Data Protection (DAPIX), Subject: General Data Protection Regulation - Processing in the employment context:
[...] In order to maintain the systematics of the European labour law in the framework of the General Data Protection Regulation, it is necessary to add an opening clause to the wording of the Regulation which will ensure that the standards set out in the Regulation are also applicable in the field of employment while, at the same time, enabling Member States to maintain or establish higher levels of protection. This must also be possible through collective bargaining agreements. [...]
Based on these considerations, the following regulation concerning the protection of employees' personal data is suggested: Article 82 Processing in the employment context [...]
Source: Statewatch

Draft GDPR leak: Chapter IX - Provisions relating to specific data processing situations

Presidency note to JHA Counsellors DAPIX/COREPER dated 14 November 2014:  Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter IX
Following the DAPIX meeting of 6-7 November 2014, delegations find attached a revised version of Chapter IX and the corresponding recitals.
Source: Statewatch

Presidency note to COREPER: Inclusion of the public sector in the scope of the draft General Data Protection Regulation

Proposal (from Presidency to COREPER, dated 13 November 2014) for a regulation of the European Parliament and oProf the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [First reading] - Public sector = Partial General approach
I. Introduction
1. The purpose of this Presidency note is to prepare the Council discussion at the JHA Council
meeting in December 2014 on the inclusion of the public sector in the scope of the draft
General Data Protection Regulation (hereinafter referred to as the ‘GDPR’) and the leeway
that Member States should be given in this regard.
Chapter IX of the GDPR, which provides for a number of specific data protection regimes for
specific types of processing, will also be submitted to the December Council for a partial
general approach. This Chapter will be the subject of a later note to CRP. 
2. The question whether and how to deal with processing of personal data by the public sector in
the draft General Data Protection Regulation (GDPR) is one of particular sensitivity and
importance to delegations. It was already debated at the JHA Informal Ministerial Meeting in
Nicosia in July 2012 and at the JHA Council meetings in October and December 2012. At the
latter Council meeting it was decided that the question as to whether and how the Regulation
could provide flexibility for the Member States’ public sector, would be decided following
completion of the first examination of the text of the GDPR. More recently, at the informal
Ministerial Meeting in Milan on 9 July 2014 an overall majority of Member States supported
a Regulation as legal instrument, but the need to provide Member States with sufficient
leeway to determine the data protection requirements applicable to the public sector was
equally emphasised. [...]
Source: Statewatch

Österreich: UWG-Novelle 2015 (Ministerialentwurf)

Ministerialentwurf betreffend ein Bundesgesetz, mit dem das Bundesgesetz gegen den unlauteren Wettwerb 1984 - UWG geändert wird (UWG-Novelle 2015), 79/ME
Aus den Erläuterungen (pdf):
Hauptgesichtspunkte des Entwurfes:
Im Mahnschreiben der Europäischen Kommission (EK) vom 26. September 2013 C(2013) 6080 final,
Vertragsverletzungsverfahren Nr. 2013/2168, wird die Auffassung vertreten, dass die Republik Österreich ihre Verpflichtungen aus der Richtlinie 2005/29/EG über unlautere Geschäftspraktiken (RL-UGP) nicht vollständig erfüllt habe.
Es ist nach Beurteilung aller Umstände davon auszugehen, dass die EK im laufenden Vorverfahren von dieser Meinung nicht abgehen und gem. Art. 258 Vertrag über die Arbeitsweise der Europäischen Union (AEUV), BGBl. III Nr. 86/1999 in der geltenden Fassung, eine Klage beim EuGH erheben wird. [...]
Es ist darüber hinaus nach Analyse der bisherigen EuGH-Entscheidungen zur Umsetzung der RL-UGP in nationales Recht davon auszugehen, dass in dem zu erwartenden EuGH-Verfahren den seitens Österreichs im bisherigen Schriftverkehr angeführten Argumenten, die sich an den österreichischen Legistischen Richtlinien orientieren, nicht gefolgt und die Klage der EK nicht abgewiesen werde. Zur möglichen Vermeidung eines wenig zielführenden Verfahrens vor dem EuGH sollte das Bundesgesetz gegen den unlauteren Wettbewerb 1984 (UWG) somit bereits jetzt entsprechend den Vorschlägen der EK abgeändert werden. Ein entsprechendes Mahnverfahren gibt es auch in Deutschland. [...]

06.11.2014

OGH: Befugnisse des Betriebsrates durch das DSG 2000 nicht berührt

OGH 17.09.2014, 6 ObA 1/14m
Die Klägerin begehrt als Betriebsrat im Unternehmen der Beklagten Einsicht in Gehalts- und Lohnabrechnungen aller Mitarbeiter. Da sich mehrere Mitarbeiter sowohl mündlich als auch schriftlich gegenüber der Geschäftsführung gegen die Übermittlung derartiger Unterlagen an den Betriebsrat aussprachen und um Geheimhaltung ihrer Daten ersuchten, gewährte die Beklagte der Klägerin keine Einsicht. Dagegen richtet sich die vorliegende Klage. [...]
4.2. Ungeachtet des Fehlens einer ausdrücklichen § 31 DSG 1978 entsprechenden Bestimmung im DSG 2000 besteht nicht der geringste Anhaltspunkt dafür, dass der Gesetzgeber mit Erlassung des DSG 2000 am Verhältnis zwischen dem Datenschutzrecht und dem Arbeitsverfassungsrecht etwas ändern wollte. Vielmehr war der Gesetzgeber offenbar der Meinung, dass die Regelung des § 9 Z 11 DSG ausreicht. Diese Regelung bezieht sich allerdings lediglich auf sensible Daten. Dieser Bestimmung kommt jedoch eine umfassendere Bedeutung zu als es aufgrund ihrer systematischen Stellung im DSG den Anschein hat (ausführlich Löschnigg, Datenermittlung im Arbeitsverhältnis 270 f; im Ergebnis ebenso Strohmaier, Personalinformationssysteme und Mitbestimmung 150). Sie ist im heutigen System des DSG als Fortschreibung des früher ausdrücklich statuierten Grundsatzes, dass die Befugnisse des Betriebsrats durch das DSG nicht berührt werden, anzusehen.
5.1. Das Überwachungsrecht des Betriebsrats gemäß § 89 Z 1 ArbVG besteht auch ohne Zustimmung des betroffenen Arbeitnehmers (Reissner aaO § 89 ArbVG Rz 17; Mosler aaO § 91 ArbVG Rz 13). Lediglich zur Einsicht in Personalakten ist gemäß § 89 Z 4 ArbVG die Zustimmung des betroffenen Arbeitnehmers erforderlich (§ 89 Z 4 und § 91 Abs 2 Z 3 ArbVG). [...]

05.11.2014

Studie: Kommerzielle Digitale Überwachung im Alltag

KOMMERZIELLE DIGITALE ÜBERWACHUNG IM ALLTAG, Erfassung, Verknüpfung und Verwertung persönlicher Daten im Zeitalter von Big Data: Internationale Trends, Risiken und Herausforderungen anhand ausgewählter Problemfelder und Beispiele (pdf)
Studie im Auftrag der Bundesarbeitskammer, von Cracked Labs – Institut für Kritische Digitale Kultur, Projektleitung und Autor: Wolfie Christl
Aus dem Vorwort: Diese Studie basiert auf mehreren Jahren Forschungsarbeit, die größtenteils während der Entwicklung des kritisch-didaktischen Online-Spiels „Data Dealer“ erfolgt ist. Dieses Serious Game gilt inzwischen international als „Best Practice“ Projekt im Feld Datenschutz, Überwachung und Medienpädagogik. Die Zusammenfassung der Recherchen erfolgte zwischen Juli und Oktober 2014.
Ziel der Forschungsarbeit war es, einen umfassenden Blick darauf zu werfen, wie die Speicherung, Verknüpfung und Verwertung von digitalen persönlichen Daten heute im Detail funktioniert und welche gesellschaftlichen Implikationen sich daraus ergeben. Nicht zuletzt sollten Ant-worten auf die dringende Frage gefunden werden: Was tun? Diese Ziele konnten natürlich nicht vollständig erreicht werden. Dazu ist das Themenfeld nicht nur zu vielfältig und unübersichtlich, auch die Technologien und deren Anwendung verändern sich zu rasant. Wissenschaft und Forschung hinken der Entwicklung hinterher. [...]
Nach einem einleitenden Kapitel über Privatsphäre, Datenschutz, persönliche Daten und Überwachung folgen die drei Hauptkapitel: Nach einer Darstellung der inzwischen sehr weit gehenden Möglichkeiten der Verknüpfung und Analyse persönlicher Daten im Zeitalter von Big Data folgen ein Überblick über datenhungrige Geräte und Plattformen sowie ein Kapitel über die „Platzhirsche“ im Handel mit persönlichen Daten. [...]

02.11.2014

Recommendation: Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems

2014/724/EU: Commission Recommendation of 10 October 2014 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems
[...] I.   SCOPE
1.This Recommendation provides guidance to Member States on measures to be taken for the positive and wide-ranging dissemination, recognition and use of the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems (hereinafter referred to as ‘DPIA Template’), to help ensure the fundamental rights to protection of personal data and to privacy in the deployment of smart grid applications and systems and smart metering roll-out.
The DPIA Template is available on the website of the Smart Grid Task Force (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm). [...]

28.10.2014

Draft GDPR: Presidency note regarding inclusion of the public sector, freedom of expression etc.

Presidency note to DAPIX, dated 16 October 2014, on Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter II, Article 21 and Chapter IX
The purpose of this Presidency note is to further solutions for the following issues:
  • the inclusion of the public sector in the scope of the draft General Data Protection Regulation (hereinafter referred to as the ‘GDPR’) and the leeway that Member States should be given in this regard;
  • the leeway that Member States should have in adopting national laws both in order to specify data protection rules (Article 6(3)) and in posing certain limitations to data protection rules (Article 21);
  • concomitantly with the two previous issues, the need for specific data protection regimes in Chapter I
[...] c. Defining the relationship with the freedom of expression?
12. On the question of how to deal with the possible conflict with the freedom of expression, delegations have suggested several options. The Presidency has endeavoured to list the
various options below:
a) According to a 'minimalistic' option, it is not necessary to refer in the Regulation to a Member State duty to 'reconcile' or 'balance' the data protection rights and obligations with the freedom of expression, as the latter fundamental right is binding on Member States at any rate. A recital recalling the freedom of expression, possibly including a reference to Article 11 of the Charter, would suffice according to this view.
b) A second option corresponds to the current text of Article 80, by which national law must 'reconcile' both fundamental rights. It has been pointed out that national law not necessarily refers to statutory law, but also covers case law. Indeed this balancing will often need to be done on a case-by-case basis.
c) A third option, which follows the approach of Article 9 of the 1995 Directive, is one whereby the Regulation would list the articles from which derogations may derogate to the extent necessary for the protection of the freedom of expression. Such derogation should be worded, like Article 52 of the Charter, in an optional manner and subject to the proportionality principle. A possible drafting is set out in the annex as an alternative option to Article 80. Of course, such derogatory provision could also be introduced in Article 21.
d) Finally one could envisage inserting an overarching provision in Article 1 by which Member States would be empowered to introduce, under domestic law, derogations or exemptions from any part of the Regulation, whenever necessary to strike the appropriate balance with the freedom of expression.
More (in German) here.

BGH: EuGH-Vorlage betreffend "Personenbezug von dynamischen IP-Adressen"

BGH 28.10.2014, VI ZR 135/13
Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. [...]
Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen.
1. Der Unterlassungsanspruch setzt voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um "personenbezogene Daten" handelt, die von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt werden. Das könnte in den Fällen, in denen der Kläger während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie*** dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.
2. Geht man von "personenbezogenen Daten" aus, so dürfen die IP-Adressen des Nutzers nicht ohne eine gesetzliche Erlaubnis gespeichert werden (§ 12 Abs. 1 TMG*), wenn – wie hier – eine Einwilligung des Nutzers fehlt. Nach dem für die rechtliche Prüfung maßgebenden Vortrag der Beklagten ist die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich. Ob das für eine Erlaubnis nach § 15 Abs. 1 TMG** ausreicht, ist fraglich. Systematische Erwägungen sprechen dafür, dass diese Vorschrift eine Datenerhebung und -verwendung nur erlaubt, um ein konkretes Nutzungsverhältnis zu ermöglichen, und dass die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Art. 7 Buchstabe f der EG-Datenschutz-Richtlinie**** könnte aber eine weitergehende Auslegung gebieten. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob die EG-Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann. [...]

27.10.2014

OGH: unzulässige Umgehung eines rechtskräftigen Verbots der Verwendung einer AGB-Klausel

OGH 18.09.2014, 1 Ob 37/14v
Ein Unternehmen darf das rechtskräftige Verbot, sich auf eine unzulässige Klausel zu berufen, nicht durch Vorschiebung eindeutig untauglicher Rechtsgründe umgehen. 
Aus dem Urteil: [...] 12. Die systematisch gehandhabte Praxis der Beklagten, durch Vorschiebung - wie gezeigt - eindeutig nicht tauglicher Rechtsgründe Konsumenten als ehemalige Partner eines Vermögensverwaltungsvertrags zur Zahlung jener Beträge zu veranlassen, die in einer rechtskräftig als unzulässig nach dem KSchG erkannten Klausel ihrer allgemeinen Geschäftsbedingungen festgelegt waren, ist eine über Unterlassungsklage nach § 28a KSchG zu verbietende Geschäftspraxis. [...]
Quelle: OGH

EuGH: Embedding von öffentlich zugänglichen Werken auf einer Website


EuGH 21.10.2014, C-348/13 (pdf; auf InfoCuria liegt das Urteil noch nicht vor) - hier: Einbetten eines Youtube-Videos mittels "Framing"
Die Einbettung eines auf einer Website öffentlich zugänglichen geschützten Werkes in eine andere Website mittels eines Links unter Verwendung der Framing-Technik, wie sie im Ausgangsverfahren in Frage steht, allein stellt keine öffentliche Wiedergabe im Sinne von Art. 3 Abs. 1 der Richtlinie 200l/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft dar, soweit das betreffende Werk weder für ein neues Publikum noch nach einem speziellen technischen Verfahren wiedergegeben wird, das sich von demjenigen der ursprünglichen Wiedergabe unterscheidet.

Liechtenstein: Muster-Datenschutzerklärung für Internetseitenbetreiber der Datenschutzstelle

Die Datenschutzstelle der Liechtensteinischen Landesverwaltung hat eine "Muster-Datenschutzerklärung für Internetseitenbetreiber" veröffentlicht (Da ich diese erst heute entdeckt habe, kann ich nicht sagen, wie lange diese bereits online ist), sowie Formulierungsvorschläge und Hinweise zu spezifischen Fällen (wie zB Web-Analysen, Social Plugins).
Update: Muster-Datenschutzhinweis

22.10.2014

International Data Privacy Law Journal: Articles on proposed EU Data Protection Reform online

Issue No. 4 (November 2014) of the International Data Privacy Law (IDPL) journal contains Symposium articles on the proposed EU Data Protection Reform, inter alia covering
- Transboundary data protection and international business compliance
- Privacy management practices in the proposed EU regulation 
For my fellow Austrians: Waltraut Kotschy's article is entitled "The proposal for a new General Data Protection Regulation—problems solved?"

OGH: Bloßer Verweis bzgl. Entgelte auf die Homepage (Startseite) in AGB unzulässig

OGH 25.07.2014, 5 Ob 118/13h
Die Klausel „Die Entgelte für die zur Verfügung gestellten Dienste sind der jeweils gültigen y***** Tarifübersicht zu entnehmen, die im Internet unter www.y*****.at abrufbar ist.“ ist unzulässig.
Der Oberste Gerichtshof beurteilte die wiedergegebene, in AGB enthalten gewesene Klausel als unzulässig, weil mit dem bloßen Verweis auf eine Startseite ohne weiterführende Angaben, wie dort die Tarifübersicht aufgefunden werden kann, oder einer Angabe, wie außerhalb des Mediums Internet Auskünfte über Entgelte erlangt werden können, der Verweis unvollständig bleibt und ein nicht unerheblicher Suchaufwand beim Verbraucher ausgelöst wird, der geeignet ist, diesen von der Informationsbeschaffung über Entgelte abzuhalten.
Quelle: OGH-Pressemeldung vom 21.10.2014 (Hinweis: siehe dazu auch schon hier)

USA: The Importance of the Internet and Transatlantic Data Flows for U.S. and EU Trade and Investment

"The Importance of the Internet and Transatlantic Data Flows for U.S. and EU Trade and Investment"  (pdf) by J. Meltzer (Brookings Institution):
The first part of this paper provides an overview of the U.S.-EU economic relationship and how growth in Internet access and data flows are driving an increasing amount of transatlantic trade and investment. The second part calculates the economic value of the free flow of data for U.S. and EU services trade and investment.
This paper does not, however, cover "data privacy" issues, at least I could not find the word "privacy" in it. See already here for another U.S. paper (imho) trying to influence TTIP negotiations. 

17.10.2014

Ö: Navi-Apps - Erhebung der Zugriffsrechte und der anwendbaren Datenschutzbestimmungen

Arbeiterkammer Wien (Roland Huber, Daniela Zimmer), Navi-Apps: Zugriffsrechte & Datenschutzbestimmungen von App-Anbietern für Smartphones (pdf)
Ziel der Untersuchung ist die Erhebung der Zugriffrechte bei exemplarisch ausgewählten NAVI Apps im Zuge der Installation am Smartphone, sowie der Transparenz und des Inhalts der von den App-Anbietern verwendeten Datenschutzbestimmungen. Insbesondere folgende Fragen sollen beantwortet werden:
  • Welchen Zugriffsrechten muss bei Installation der Navi-Apps zugestimmt werden?
  • Welche Daten werden laut Datenschutzbestimmungen der Anbieter gesammelt, gespeichert und verwertet?
Umfang: Es wurde eine Auswahl von 9 Navi Apps des Android Playstores untersucht:
M8, TomTom D-A-CH, Mapfactor, Sygic, Wisepilot, CoPilot GPS, Navigon Europe, Navigate 6 und Google Maps
[...]
Update 28.10.2014: Schriftliche Anfrage der Abgeordneten Walter Rauch, Kolleginnen und Kollegen an den Bundesminister für Arbeit, Soziales und Konsumentenschutz betreffend Zugriffsrechte bei Navigations-Apps (2794/J)
Update 15.12.2014: Beantwortung der Anfrage.

VfGH: Datenübermittlung (gesamter E-Mailverkehr) an den Rechnungshof datenschutzrechtlich unzulässig

Verfassungsgerichtshof 9.10.2014, KR 1/2014-19 (pdf) - Antrag des Rechnungshofes auf "bulk-Übermittlung" von E-Mails des Verkehrsministeriums abgewiesen (Pressemeldung):
[...] 3.3.3. Zusammenfassung
Zusammengefasst sind schutzwürdige Geheimhaltungsinteressen eines Betroffenen nur dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung, welche dem öffentlichen Auftraggeber die bestimmte automationsunterstützte Datenverarbeitung erlaubt, vorliegt. Eine solche gesetzliche Ermächtigung muss Aussagen über die zu verarbeitenden Datenarten, die Betroffenenkreise und über die Empfänger der Daten enthalten. Eine solche Ermächtigungsgrundlage liegt in concreto nicht vor. Subsidiär kann die Datenverarbeitung auf das Vorliegen von überwiegenden berechtigten Interessen des öffentlichen Auftraggebers gestützt werden, die unter anderem dann vorliegen, wenn entweder die Datenverwendung eine wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben (§ 8 Abs 3 Z 1 DSG 2000) darstellt oder sonst eine Verwendungskonstellation vorliegt, welche die Verletzung schutzwürdiger Geheimhaltungsinteressen ausschließt. Ein Gesetz im Sinne des § 8 Abs 3 Z 1 DSG 2000 kann der Rechnungshof in Bezug auf die pauschale Einsichtnahme in private E-Maildaten von Mitarbeitern eines gebarungskontrollunterworfenen Rechtsträgers nicht für sich in Anspruch nehmen.
In jedem Fall hätte daher der Rechnungshof im Sinne einer verfassungs- und unionsrechtskonformen Auslegung des § 3 RHG die Anhaltspunkte für einen konkreten Verdacht gegen bestimmte Personen beschreiben müssen, und sein Übermittlungsansuchen dahin strukturieren müssen (Sachverhaltsangaben in Bezug auf Verdacht der Rechtsverletzung, Nennung der Betroffenen, Spezifikation von Suchworten, Beschränkung auf dienstliche E-Mails, Zeitraum der Abfrage). Da dies unterblieben ist, musste der Antragsgegner das Übermittlungsersuchen, das der Rechnungshof in Verkennung der gesetzlichen Anforderungen gestellt hat, zurückweisen. In Hinblick auf die vom Antragsgegner als datenschutzrechtlicher Auftraggeber wahrzunehmende Verpflichtung, personenbezogene Daten erst nach Prüfung des Übermittlungsersuchens in Hinblick auf die Wahrung der datenschutzrechtlichen Grundsätze herauszugeben, kann die Verweigerung der Herausgabe der personenbezogenen Daten der Mitarbeiter dem Antragsgegner daher nicht zum Vorwurf gemacht werden. Vielmehr war er dazu aus datenschutzrechtlicher Sicht verpflichtet und konnte diese Pflicht auch nicht durch die Einsichtsrechte des Rechnungshofs aufgrund der Gebarungskontrolle unterlaufen werden
. [...]
3.4.1. Verletzung des Zweckbindungsgrundsatzes
Die Anfrage des Rechnungshofs auf Übermittlung von Daten geschah unter Verletzung des Zweckbindungsgrundsatzes. Daten dürfen nach § 6 Abs 1 Z 2 DSG 2000 nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

3.4.2. Verletzung des Verhältnismäßigkeitsgebots
Das Übermittlungsersuchen hat jedenfalls auch die Grenzen des Verhältnismäßigkeitsgebotes außer Acht gelassen. Selbst wenn nämlich ins Treffen geführt werden sollte, dass die Übermittlung von E-Mail-Daten sämtlicher Mitarbeiter ohne Vorliegen eines konkreten Verdachts nicht die Interessen der Betroffenen verletzen sollte, so wäre diese Anfrage jedenfalls im Sinne des Verhältnismäßigkeitsgebotes überschießend und damit unzulässig.
[...]

16.10.2014

The World Legal Information Institute’s International Privacy Law Library

For my personal legal memory:
The World Legal Information Institute’s International Privacy Law Library contains the largest freely accessible and searchable collection of privacy law materials in the world. The library enables online searches over more than 30 specialised privacy law databases, as well as incorporating search results of privacy cases and other resources from numerous other databases of general court cases, legal articles and legislation. The library is being constantly updated through the network of legal information institutes cooperating with WorldLII. The library has existed for more than a decade but a recent grant allows it to add significant new materials from around the world to the collection.
The International Privacy Law Library is available at
http://www.worldlii.org/int/special/privacy/  (Source)
User Guide to WorldLII’s International Privacy Law Library (pdf)

Int. Conference of Data Protection & Privacy Commissioners: Resolutions adopted (Enforcement Cooperation, Big Data etc.)

The 36th International Conference of Data Protection and Privacy Commissioners therefore resolves to continue to encourage efforts to bring about more effective cooperation in cross-border investigation and enforcement in appropriate cases and: [...] Resolution on enforcement cooperation

15.10.2014

Results of a research project on electronic mass surveillance: "it fails drastically"

According to this article by Prof. Scheinin, [e]lectronic mass surveillance – including the mass trawling of both metadata and content by the US National Security Agency – fails drastically in striking the correct balance between security and privacy that American officials and other proponents of surveillance insist they are maintaining. We arrived at this conclusion by subjecting a wide-range of surveillance technologies to three separate assessments by three parallel expert teams representing engineers, ethicists, and lawyers. [...]
Source: Just Security
A very interesting project: SURVEILLE - Surveillance: Ethical Issues, Legal Limitations, and Efficiency. All SURVEILLE publications for public dissemination are available here. Especially intriguing: SURVEILLE Deliverable 2.6 Matrix of Surveillance Technologies

13.10.2014

BRD: Entschließungen der Datenschutzbeauftragten u.a. zu RTBF, Datenschutz im Kfz, Marktmacht und informat. Selbstbestimmung

[...] Die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im Einzelnen folgende Entschließungen gefasst [pdfs]:
Quelle: Pressemeldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

JHA Council agrees partial general approach on chapter IV of GDPR

The Council reached a partial general approach on specific aspects of the draft regulation setting out a general EU framework for data protection. The partial general approach includes chapter IV of the draft regulation (controller and processor).
The Council also held a policy debate on the "right to be forgotten" principle following the European Court of Justice judgment in the Google Spain case. This judgment acknowledges the possibility for data subjects, on the basis of the existing directive, to exercise their rights to erasure of data and to object to personal data processing against online controllers such as search engines.
[...]
Sources and further info: Council press release; The Parliament; Netzpolitik.org; Erich Moechel on FM4 (in German)

07.10.2014

Österr. Datenschutzrat: World-Anti-Doping Agency (WADA) u. anwendbares kanadisches Datenschutzrecht

Anlässlich der Novellierung des Anti-Doping-Bundesgesetzes 2007 hatte sich der Datenschutzrat mit der WADA und dem aus diese anwendbaren kanadischen Datenschutzrecht auseinderzusetzen (pdf):
[...] Es stellen sich somit für den österreichischen Datenschutzrat mehrere Fragen:
1. Wurde der „Personal Information Protection and Electronic Dokuments Act“ in Kanada dahingehend geändert, dass dessen Datenschutzregelungen auch für nichtkommerzielle Tätigkeiten gelten?
2. Unterliegen künftig Übermittlungen von personenbezogenen und/oder sensiblen Gesundheitsdaten von Sportlerinnen und Sportler an die WADA mit Sitz in der Provinz Quebec damit der geltenden Fassung des Personal Information Protection and Electronic Documents Act und sind diese daher entsprechend der zitierten Entscheidung der EU-Kommission genehmigungsfrei?
3. Wenn nein, gibt es eine andere Rechtsgrundlage in Kanada, durch die sich eine
Aufsicht kanadischer Datenschutzbehörden über private Organisationen (wie beispielsweise die WADA), die im Rahmen nichtkommerzieller Tätigkeiten personenbezogene Daten erheben, verarbeiten oder weitergeben, ergibt?

4. Welche der in Artikel 14.5. des WADA-Code angesprochenen kanadischen Datenschutzbehörden sind in Quebec für die WADA hinsichtlich einer datenschutzrechtlichen Aufsicht nach nationalen Regelungen zuständig? [...]

Die Antworten dazu finden sich hier: Antwortschreiben des österreichischen Botschafters in Kanada (pdf)

06.10.2014

FDA: Recommendations on Cybersecurity of Medical Devices

On 1 October 2014, the U.S. Food and Drug Administration issued recommendations to manufacturers for managing cybersecurity risks to better protect patient health and information.
The final guidance, titled “Content of Premarket Submissions for Management of Cybersecurity in Medical Devices,” recommends that manufacturers consider cybersecurity risks as part of the design and development of a medical device, and submit documentation to the FDA about the risks identified and controls in place to mitigate those risks. The guidance also recommends that manufacturers submit their plans for providing patches and updates to operating systems and medical software.
Source: FDA

GDPR: Presidency Notes on Chapter IV (inclusion of the public sector; risk-based approach)

  • Presidency Note to DAPIX: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [First reading] - Chapter IV:
The purpose of this Presidency note is to find an integrated solution for the following issues: 
- the inclusion of the public sector in the scope of the draft General Data Protection
Regulation (hereinafter referred to as the ‘GDPR’) and the leeway that Member States
should be given in this regard; and

- concomitantly with this, the need for specific data protection regimes in Chapter IX. [...]
  • Presidency Note to Council: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [First reading] - Chapter IV:
[...] 3. The Presidency would like to express its sincere gratitude to delegations for their constructive co-operation on this. The Presidency is of the opinion that the outcome of this is a balanced revision of Chapter IV.
4. In this light, the Presidency invites the Council to reach a partial general approach on the text of Chapter IV contained in the Annex on the following understanding:
i. such partial general approach is to be reached on the understanding that nothing is agreed until everything is agreed and does not exclude future changes to be made to the text of Chapter IV to ensure the overall coherence of the Regulation;
ii. such partial general approach is without prejudice to any horizontal question;
iii. such partial general approach does not mandate the Presidency to engage in informal trilogues with the European Parliament on the text;
[...]
Source: C. Piltz's collection here.

BRD: Geplante Aufhebung der Befristung von § 52a UrhG (Update)

BT-Drs 18/2602:
[...] § 52a des Urheberrechtsgesetzes (UrhG) ist durch das erste Gesetz zur Regelung des Urheberrechts in der Informationsgesellschaft vom 10. September 2003 in das UrhG eingefügt worden. Diese Regelung erklärt es für zulässig, kleine Teile eines Werkes, Werke geringen Umfangs sowie einzelne Beiträge aus Zeitungen oder Zeitschriften zur Veranschaulichung im Unterricht an Schulen, Hochschulen und weiteren Einrichtungen einem bestimmt abgegrenzten Kreis von Personen für Unterrichtszwecke (§ 52a Absatz 1 Nummer 1 UrhG) oder für Forschungszwecke (§ 52a Absatz 1 Nummer 2 UrhG) öffentlich zugänglich zu machen, d. h. etwa in Intranets einzustellen. Dies gilt nur, soweit dies zu dem jeweiligen Zweck geboten und zur Verfolgung nicht kommerzieller Zwecke gerechtfertigt ist.
Zwischenzeitlich sind die entsprechenden Entscheidungen des BGH ergangen. Das Urteil vom 20. März 2013 – I ZR 84/11 – zu dem Urteil des OLG München liegt seit dem 24. Oktober 2013 mit den Entscheidungsgründen im Volltext vor. Das Urteil vom 28. November 2013 – I ZR 76/12 – zu dem Urteil des OLG Stuttgart wurde am 17. April 2014 mit den Entscheidungsgründen veröffentlicht. Die höchstrichterlichen Entscheidungen bestätigen, dass § 52a UrhG eine für die Praxis handhabbare Regelung ist, die einen ausgewogenen Interessenausgleich zwischen Rechtsinhabern und nutzenden Institutionen ermöglicht. Den Urteilen lassen sich keine Hinweise entnehmen, die eine Überarbeitung des Wortlauts der
Regelung nahelegen.
[...]
B. Lösung
Aufhebung der Befristung von § 52a UrhG durch Streichung des § 137k UrhG.
[...]
Update 28.11.2014: Dt. Bundesrat: Die Länder haben in ihrer Plenarsitzung am 28. November 2014 die Änderung des Urheberrechtsgesetzes gebilligt (BR-Drs 524/14).

01.10.2014

OLG Wien erklärt 7 von 9 Klauseln (auch zur Datenübermittlung) der Zalando-AGB als gesetzwidrig

OLG Wien 27.8.2014, 5 R 26/14a (pdf; nicht rechtskräftig, ordentl. Revision zugelassen)
Auszug datenschutzrechtlich relevanter Klauseln:
Klausel 6: Wir speichern Ihre Bestell- und Adressdaten zur Nutzung im Rahmen der Auftragsabwicklung (auch durch von uns eingesetzte Auftragsabwicklungspartner oder Versandpartner), für eventuelle Gewährleistungsfälle, für Verbesserungen unseres Angebots und für Produktempfehlungen gegenüber Kunden gemäß des Inhalts unserer Datenschutzerklärung. (15. in AGB)
Klausel 8: Ihre personenbezogenen Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zweck der Vertragsabwicklung oder Abrechnung erforderlich ist oder Sie zuvor eingewilligt haben. Im Rahmen der Bestellabwicklung erhalten beispielsweise die hier von uns eingesetzten Dienstleister (wie bspw Transporteur, Logistiker, Banken) die notwendigen Daten zur Bestell- und Auftragsabwicklung. (2.3. in AGB)

Beiden Klauseln fehlt es an der notwendigen Transparenz iSd § 6 Abs 3 KSchG, weil für den Verbraucher die Tragweite seiner Einwilligung nicht durchschaubar wird.
Klausel 9: Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen. (7. in AGB) Die Klausel will die Verbraucher nur darüber informieren, dass Facebook Daten über sie auch auf der Website der Beklagten sammelt, solange sie bei Facebook eingeloggt sind.

Der Klausel kommt erkennbar reiner Informationscharakter, nicht aber vertragsgestaltende Wirkung zu, sodass ihr Entfall ohne Konsequenzen bliebe. Die Klausel kann daher nicht gegen § 879 Abs 3 ABGB und
§ 6 Abs 3 KSchG verstoßen.
Quelle: VKI