31.01.2014

Apps: ICO Guidance on Privacy, IAPP's Comparison of Privacy Guidelines and mHealth

  • ICO, Privacy in mobile apps - Guidance for app developers: The guidance highlights the benefits of taking a 'privacy by design' approach to app development, covering issues like privacy-friendly defaults and giving users effective control over their privacy settings. More at ICO's blog.
  • IAPP Westin Research Center has released the  Mobile App Privacy Tool, which analyses the most recent, mobile app-specific guidance from seven leading regulators and industry groups. The tool reflects industry best practices, privacy advocates’ input, as well as non-binding recommendations from both U.S. and European regulators.
  • European Journal of ePractice n° 21, From eHealth to mHealth: Society becomes the driver of its health activities: mHealth Regulatory Environments containing inter alia the following articles:
    • "Comparison of US and EU Regulatory Approaches to Mobile Health Apps: Use Cases of myVisionTrack and USEFIL"
    • "Being Smart: Challenges in the Use of Mobile Applications in Clinical Setting"
    • "The Regulatory Context of Mobile Health in the United States and a Conceptual Framework for Privacy and Security"

30.01.2014

General Data Protection Regulation: ICO issues comparative analysis of proposed text and LIBE's amendments

Comparative analysis of the European Commission text and the European Parliament’s LIBE (civil liberties) Committee amendments - ICO's brief commentary detailing the main differences between the LIBE text and the Commission’s original proposal here.

BGH: Umfang einer von der SCHUFA zu erteilenden Auskunft (Update)

BGH 28.01.2014, VI ZR 156/13 (dzt. noch nicht verfügbar)
Die Klägerin hat gegen die beklagte Wirtschaftsauskunftei SCHUFA einen datenschutzrechtlichen Auskunftsanspruch geltend gemacht. Die Beklagte sammelt und speichert im Rahmen ihrer Tätigkeit personenbezogene Daten, die für die Beurteilung der Kreditwürdigkeit der Betroffenen relevant sein können. Darüber hinaus erstellt sie, u.a. auch unter Berücksichtigung der hinsichtlich des jeweiligen Betroffenen vorliegenden Daten, sog. Scorewerte. Ein Score stellt einen Wahrscheinlichkeitswert über das künftige Verhalten von Personengruppen dar, der auf der Grundlage statistisch-mathematischer Analyseverfahren berechnet wird. [...]

Nachdem die Finanzierung eines Automobilkaufs der Klägerin zunächst aufgrund einer unrichtigen Auskunft der Beklagten gescheitert war, wandte sich die Klägerin an die Beklagte. Diese übersandte ihr nachfolgend eine Bonitätsauskunft sowie mehrfach eine "Datenübersicht nach § 34 Bundesdatenschutzgesetz". Die Klägerin ist der Ansicht, die von der Beklagten erteilte Auskunft genüge nicht den gesetzlichen Anforderungen as Amtsgericht hat die Klage im Wesentlichen abgewiesen. Die Berufung der Klägerin beim Landgericht blieb ohne Erfolg.
Mit ihrer vom Landgericht zugelassenen Revision hat die Klägerin ihr Begehren weiterverfolgt, ihr hinsichtlich einzelner Scorewerte Auskunft darüber zu erteilen, welche Merkmale zur Scoreberechnung in welcher Gewichtung eine Rolle spielen. Der für Ansprüche nach dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofs hat die Revision zurückgewiesen
Allerdings hat die Beklagte Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte eingeflossen sind. Diese Auskunft hat die Beklagte gegenüber der Klägerin (teilweise erst im vorliegenden Verfahren) erteilt. Ihr wurden alle bei der Beklagten zu ihrer Person gespeicherten Daten übermittelt. [...]
Einen darüber hinausgehenden Auskunftsanspruch der Klägerin hat das Berufungsgericht zu Recht verneint. Die von ihr beanspruchten konkreten Angaben zu Vergleichsgruppen zählen nicht zu den Elementen des Scoringverfahrens, über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG Auskunft zu erteilen ist. Gleiches gilt für die Gewichtung der in den Scorewert eingeflossenen Merkmale. [...]
Quelle: Pressemitteilung BGH
For a summary in English look here: Federal German Court Rules on Credit Scoring and Data Subject Access Rights
Update 26.02.2014: Im Folgenden die Leitsätze des BGH:
a) Ein durch eine Bonitätsauskunft der SCHUFA Betroffener hat gemäß § 34 Abs. 4 Satz 1 Nr. 4 BDSG einen Anspruch auf Auskunft darüber, welche personenbezo-genen, insbesondere kreditrelevanten Daten dort gespeichert sind und in die den Kunden der Beklagten mitgeteilten Wahrscheinlichkeitswerte (Scorewerte) einflie-ßen.
b) Die sogenannte Scoreformel, also die abstrakte Methode der Scorewertberechnung, ist hingegen nicht mitzuteilen.
c) Zu den als Geschäftsgeheimnis geschützten Inhalten der Scoreformel zählen die im ersten Schritt in die Scoreformel eingeflossenen allgemeinen Rechengrößen, wie etwa die herangezogenen statistischen Werte, die Gewichtung einzelner Berechnungselemente bei der Ermittlung des Wahrscheinlichkeitswerts und die Bildung etwaiger Vergleichsgruppen als Grundlage der Scorekarten.

28.01.2014

EU Agency FRA publishes Handbook on European Data Protection Law (incl. case law; updated)

The "Handbook on European data protection law" (pdf) is designed to familiarise legal practitioners who are not specialised in the field of data protection with this area of law. It provides an overview of the EU’s and the CoE’s applicable legal frameworks. The handbook explains key jurisprudence, summarising major rulings of both the European Court of Human Rights (ECtHR) and the Court of Justice of the European Union (CJEU). Where no such case law exists, it presents practical illustrations with hypothetical scenarios. In a nutshell, this handbook aims to help ensure that the right to data protection is upheld with vigour and determination.Source: European Union Agency for Fundamental Rights
Update 05.06.2014: Revised edition of European data protection handbook launched in more languages (in German here)

Also published: Report on "Access to data protection remedies in EU Member States" (summary here) which addresses matters related to the protection of personal data (Article 8) and the right to an effective remedy (Article 47) falling under Titles II ‘Freedoms’ and VI ’Justice’ of the Charter of Fundamental Rights of the European Union.
This FRA socio‑legal project, which offers an analysis of the 28 EU Member States’ data protection regimes and of interviews with relevant parties in 16 Member States, highlights the challenges people face when seeking such remedies. It finds that only a few are aware of their right to data protection and that there is a lack of legal expertise in the field.
Source: FRA

BRD: Landesbeauftragter für den Datenschutz Baden-Württemberg - Tätigkeitsbericht 2012/2013

31. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2012/2013 (pdf)
Der Landesbeauftragte für den Datenschutz [Baden-Württemberg], Jörg Klingbeil, hat am 27. Januar 2014 seinen Tätigkeitsbericht vorgestellt, der die Jahre 2012 und 2013 umfasst. Als aktuelle Herausforderungen für den Datenschutz bezeichnete Jörg Klingbeil die Spähaffäre angloamerikanischer Geheimdienste (vgl. Kapitel 1.1, S. 9 ff.) und die zunehmende massenhafte Datenspeicherung und -auswertung für unterschiedliche Zwecke („Big Data“, vgl. Kapitel 1.2, S. 15 ff.): [...]
Jetzt muss entschlossen gehandelt werden, um die Souveränität zurückzugewinnen. Dazu gehören eine rasche europäische Datenschutzreform und die Aussetzung des Safe-Harbor-Abkommens, das bestenfalls nur noch symbolische Bedeutung hat. Außerdem sind im Transatlantischen Freihandelsabkommen (TTIP) gleiche Datenschutzstandards für Amerikaner wie Europäer auszuhandeln. Parallel dazu sind völkerrechtliche Abkommen zur Eindämmung von Geheimdienstaktivitäten erforderlich, [...]
Quelle: Pressemeldung

Data Protection Day 2014: Full Speed on EU Data Protection Reform?

According to this press release by the European Commission, the European Parliament is expected to adopt the proposals in first reading in the April 2014 Plenary session. An agreement on the data protection reform is thus possible before the end of this year. As a comparison: the current 1995 data protection directive took five years to negotiate.
Update: Today, on European Data Protection Day, Vice-President Reding called for a "Data Protection Compact for Europe" - eight principles that should govern the way data is processed by the public and the private sector, read her speech ("A data protection compact for Europe") here
Update: EUobserver reports that EU justice commissioner Viviane Reding, the European Parliament lead negotiators on the package, the Greek EU presidency and the incoming Italian EU presidency Wednesday (22 January) agreed to set the deadline until before the end of the year. “They have elaborated a road map and now they need to deliver on it basically but I think the political agreement to get this done before the end of the year is there,” Reding’s spokesperson Mina Andreeva told this website. [...]

25.01.2014

"Freundefinder" und AGB: Facebook verliert Berufung vor dem KG Berlin

Nach der Vorinstanz LG Berlin 06.03.2012, 16 O 551/10 (vzbv) hat nunmehr auch das Kammergericht Berlin mit Urteil vom 24.01.2014, 5 U 427/12 (Update: Volltext hier) entschieden, dass Facebook mit seinem "Freundefinder" und seinen Geschäftsbedingungen gegen Verbraucherrechte verstößt:
Das LG Berlin hatte der Facebook Ireland Limited bestimmte Verfahrensweisen bei der Versendung von Freundschaftsanfragen an Dritte untersagt und die Verwendung eines unzureichenden Hinweises auf Datenimport bei der Registrierung beanstandet. Ferner hatte es Facebook die Verwendung verschiedener Vertragsklauseln verboten. Hiergegen hatte Facebook Berufung zum Kammergericht eingelegt. Das KG Berlin hat die Berufung zurückgewiesen. Schriftliche Entscheidungsgründe liegen noch nicht vor.
Quellen: juris; vzbv; Pressemeldung des KG Berlin
Update 12.03.2014: Link zum Volltext eingefügt. Hervorzuheben ist insbesondere, dass das Kammergericht Berlin - im Gegensatz zum Schleswig-Holsteinischen Oberverwaltungsgericht - festgestellt hat, dass für Facebook deutsches Datenschutzrecht gilt.

ENISA: Report on e-Finance fraud and correlation with banks’ authentication mechanisms

The report entitled "eID Authentication methods in e-Finance and e-Payment services - Current practices and Recommendations" analyses current e-Finance fraud and correlates it with the financial institutions’ customers’ authentication mechanisms. The report emphasises the need for updated security mechanisms and provides 10 recommended approaches.
Source: ENISA

CJEU: Concept of ‘effective technological measures’ (interpretation of Art. 6 of Directive 2001/29/EC)

CJEU 23.01.2014, Case C‑355/12 (in German here) - Nintendo
[...] On those grounds, the Court (Fourth Chamber) hereby rules:
Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society must be interpreted as meaning that the concept of an ‘effective technological measure’, for the purposes of Article 6(3) of that directive, is capable of covering technological measures comprising, principally, equipping not only the housing system containing the protected work, such as the videogame, with a recognition device in order to protect it against acts not authorised by the holder of any copyright, but also portable equipment or consoles intended to ensure access to those games and their use. 
It is for the national court to determine whether other measures or measures which are not installed in consoles could cause less interference with the activities of third parties or limitations to those activities, while still providing comparable protection of the rightholder’s rights. Accordingly, it is relevant to take account, inter alia, of the relative costs of different types of technological measures, of technological and practical aspects of their implementation, and of a comparison of the effectiveness of those different types of technological measures as regards the protection of the rightholder’s rights, that effectiveness however not having to be absolute. That court must also examine the purpose of devices, products or components, which are capable of circumventing those technological measures. In that regard, the evidence of use which third parties actually make of them will, in the light of the circumstances at issue, be particularly relevant. The national court may, in particular, examine how often those devices, products or components are in fact used in disregard of copyright and how often they are used for purposes which do not infringe copyright.

24.01.2014

FRA issues comprehensive guide to European data protection law

In January 2014, the European Union Agency for Fundamental Rights (FRA) will publish two new reports on data protection. One will look at access to data protection remedies across EU Member States while the other will be a handbook on European data protection law.
The handbook is the first comprehensive guide to European law on data protection and takes into account case law from the European Court of Human Rights and the Court of Justice of the European Union.
Source: FRA
Update 28.01.2014: For the data protection handbook and the report on remedies see here.

USA: PCLOB issues critical report on mass surveillance

Privacy and Civil Liberties Oversight Board (PCLOB): Report on the Telephone Records Program Conducted under Section 215 of the USA PATRIOT Act and on the Operations of the Foreign Intelligence Surveillance Court; separate Statements by Board Members Elisebeth Collins Cook and Rachel Brand


22.01.2014

USA: FTC settles with 12 U.S.-EU Safe Harbor "Violators"

Twelve U.S. businesses have agreed to settle Federal Trade Commission charges that they falsely claimed they were abiding by an international privacy framework known as the U.S.-EU Safe Harbor that enables U.S. companies to transfer consumer data from the European Union to the United States in compliance with EU law.
The companies settling with the FTC represent a cross-section of industries, including retail, professional sports, laboratory science, data broker, debt collection, and information security. The companies handle a variety of consumer information, including in some instances sensitive data about health and employment. The twelve companies are: [...]
[...] The Commission’s complaint alleges that (inter alia) Level 3 falsely represented that it was a “current” participant in the Safe Harbor Frameworks when, in fact, from June 2012 until November 2013, Level 3 was not a “current” participant in the Safe Harbor Frameworks. [...]
Source and more on this: FTC

Furthermore, the U.S. Department of Commerce’s International Trade Administration (ITA) has published a document entitled "Key Points Concerning the Benefits, Oversight, and Enforcement of Safe Harbor" (pdf), to seemingly counter arguments in the EU questioning the U.S.-EU Safe Harbor Agreement.

20.01.2014

EU General Data Protection Regulation: State of Play (revised draft version)

Revised draft version issued by the Presidency of the Council of the European Union on 16 December 2013: Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)

19.01.2014

Art. 29 WP: Letter to ICANN regarding the 2013 Registrar Accreditation Agreement

Letter, dated 8 Janurary 2014, from the Article 29 Working Party to ICANN (pdf)
[...] The Working Party acknowledges ICANN’s efforts to recognise some of the data protection and privacy concerns which arise in the 2013 RAA and for your continued dialogue in this matter. The 2013 RAA approved by the ICANN Board on 27 June 2013 however does not contain any material changes which address the concerns described in our letter of 6 June 2013 and thus the Working Party is compelled to continue this discussion.
[...] The Working Party’s objection to the Data Retention Requirement in the 2013 RAA arises because the requirement is not compatible with Article 6(e) of the European Data Protection Directive 95/46/EC which states that personal data must be:
“kept in a form which permits identification of data subjects for no longer than is necessary for the
purposes for which the data were collected”
The 2013 RAA fails to specify a legitimate purpose which is compatible with the purpose for which the data was collected, for the retention of personal data of a period of two years after the life of a domain registration or six months from the relevant transaction respectively. [...]

ENISA: How to implement incident reporting in cloud computing

ENISA, Incident Reporting for Cloud Computing (pdf)
The report looks at four different cloud computing scenarios and investigates how incident reporting schemes could be set up, involving cloud providers, cloud customers, operators of critical infrastructure and government authorities:
  1. Cloud service used by a critical information infrastructure operator;
  2. Cloud service used by customers in multiple critical sectors;
  3. Cloud service for government and public administration (a gov-cloud);
  4. Cloud service used by SMEs and citizens.
Using surveys and interviews with experts, we identified a number of key issues:
  • In most EU Member States, there is no national authority to assess the criticality of cloud services.
  • Cloud services are often based on other cloud services. This increases complexity and complicates incident reporting.
  • Cloud customers often do not put incident reporting obligations in their cloud service contracts.
The report contains several recommendations, based on feedback from cloud experts in industry and government [...]
Source: ENISA

OGH: Leerkassettenvergütung auf Festplatten - Zurückverweisung an Erstgericht

OGH 19.11.2013, 4 Ob 138/13t (Veröffentlichung in Kürze Volltext verfügbar)
Das Verfahren zur Feststellung der Berechtigung von Verwertungsgesellschaften, eine den Urhebern zufließende Vergütung zur Abgeltung von zulässigen Privatkopien auf hiefür geeignetem Trägermaterial (§ 42b UrhG) auch auf Festplatten von Computern einzuheben, wird an das Erstgericht zurückverwiesen.
Die Klägerin vertreibt Computer samt Zubehör, die beklagte Verwertungsgesellschaft hat Tarife für eine Leerkassettenvergütung auf Festplatten von Computern bekanntgegeben. Die Klägerin begehrt die Feststellung, dass ein Anspruch der Beklagten gegenüber der Klägerin auf Zahlung einer Leerkassettenvergütung auf Festplatten von Computern nicht besteht.
Das Berufungsgericht hat (einer Entscheidung des OGH vom 12. 7. 2005, 4 Ob 115/05y zum selben Thema folgend) das stattgebende Urteil des Erstgerichts bestätigt. Der OGH hebt die Urteile der Vorinstanzen auf und verweist zur neuerlichen Entscheidung nach Verfahrensergänzung an das Erstgericht zurück. Seit der Vorentscheidung haben sich die technischen Gegebenheiten und die Nutzergewohnheiten verändert, weshalb eine neuerliche Prüfung des Sachverhalts notwendig ist.
[...]
Feststellungen zum tatsächlichen Ausmaß der Nutzung von Festplatten für Privatkopien haben die Vorinstanzen nicht getroffen. Ebenso bleibt im weiteren Verfahren zu prüfen, ob das Vergütungssystem des § 42b UrhG den unionsrechtlichen Vorgaben des gerechten Ausgleichs (dazu EuGH C-521/11 – Amazon und im Anschluss daran 4 Ob 142/13f) entspricht.
Quelle: OGH
Update: Aus dem nunmehr vorliegenden Volltext:
[...] 12. Ob Computer-Festplatten tatsächlich in dem von der Beklagten vorgebrachten Ausmaß für die Speicherung von urheberrechtlich geschütztem Material verwendet werden, wird diese im fortgesetzten Verfahren zu beweisen haben. Das Erstgericht wird diesbezüglich gegebenenfalls ein Sachverständigen-Gutachten einzuholen haben.
13. Es ist somit - falls sich die Tatsachenbehauptungen der Beklagten im Wesentlichen als zutreffend erweisen sollten - grundsätzlich von einer Vergütungspflicht im Sinn von § 42b Abs 1 UrhG in Bezug auf Computer-Festplatten auszugehen. Deren Multifunktionalität wird allerdings bei der nach § 42b Abs 4 vorzunehmenden Bemessung der Vergütung zu berücksichtigen sein (so auch Karl, Multifunktionale Speicherträger im Lichte des Gericom-Urteils, MR 2006, 141).
14. Ob und gegebenenfalls in welchem Umfang das Vergütungssystem des § 42b UrhG - insbesondere im Zusammenhang mit der Rückvergütung nach § 42b Abs 6 UrhG - als „gerechter Ausgleich“ iSv Art 5 Abs 2 lit b RL 2001/29/EG (Info-RL) gelten kann, wird zudem erst nach Vorliegen der vom Erstgericht auch in diesem Verfahren im Sinn der Entscheidung 4 Ob 142/13f zu treffenden Feststellungen beurteilt werden können. Das Erstgericht wird mit den Parteien eine insofern möglichst verfahrensökonomische Vorgangsweise zu erörtern haben.
15. Bereits jetzt kann jedoch vorweggenommen werden, dass „hinreichende praktische Schwierigkeiten“ bei der Identifizierung und Verpflichtung der privaten Nutzer zur Zahlung des Ausgleichs nicht schon deswegen zu verneinen sind, weil sie „hausgemacht“ seien, wie die Klägerin in ihrem Fortsetzungsantrag vorbringt. [...] Im vorliegenden Fall hat daher die Beklagte [die beklagte Verwertungsgesellschaft] die Voraussetzungen des Vergütungssystems nach § 42b UrhG und insbesondere dessen Unionsrechtskonformität zu behaupten und zu beweisen. [...]

16.01.2014

8. Europäischer Datenschutztag: Veranstaltung im Bundeskanzleramt

Anlässlich des 8. Europäischen Datenschutztages am 28. Jänner 2014 findet am Freitag 24. Jänner 2014,  10.00 Uhr, im Kongresssaal des Bundeskanzleramtes eine Veranstaltung zur "Modernisierung und Rolle der Datenschutzkonvention des Europarates" statt. U.a. sind folgende Vorträge geplant:
  • »Die Modernisierung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten« von Dr. Jean-Philippe Walter, Stellvertreter des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten
  •  »Datenschutz im Europarat« von Dr. Eva Souhrada-Kirchmayer, Datenschutzbeauftragte des Europarates und Richterin am Bundesverwaltungsgericht (Kammer P, Gerichtsabt. W214)
  • »Datenschutzbehörde – Gegenwart und Zukunft« von HR Dr. Andrea Jelinek, Leiterin der Datenschutzbehörde (ehem. DSK) 
  • »Die neue Datenschutzkonvention – Schutz gegen den demokratischen Überwachungsstaat?« von Abg.z.NR a.D. Mag. Johann Maier, Vorsitzender des Datenschutzrates

15.01.2014

ENISA: Privacy revisited - clearer icons, standards and evaluation of online seals

Reports by ENISA:
- On the security, privacy and usability of online sealsThis report analyses the conditions under which online security and privacy seals (OSPS) can be deployed to support users to make an informed trust decision about Web services and their providers with respect to the provided security and privacy.
- Security certification practice in the EU - Information Security Management Systems - A case study: This report aims at providing input for the adoption of a framework on privacy certifications, as well as for eGovernment certification in Europe.
The two reports deal with
(1) how users can use seals to base their trust in a service, and
(2) what  we can learn from other certification initiatives to improve these seals. Some of the key challenges and corresponding recommendations are:
  • Users suffer from information overload. Therefore, web designers need to develop clearer privacy icons, which are based on research, including cultural and legal differences. 
  • Users are not sufficiently aware of what seals mean. Educational material should be provided to spread knowledge of the existence and meaning of seals.
  • Seals are not checked by the user. Service providers and web developers need to provide and implement seals that can be automatically checked.
  • Transparency. Policy makers should demand reliable statistics on certification and seals. The bodies issuing certificates/seals should keep updated, public records on certificates/seals that they have issued.
  • Reduction of burden. Standardization bodies and responsible stakeholders should develop best practices and standards merging the requirements for security and data protection in order to reduce burden.
  • Enforcement. The national policy makers should ensure enforcement of such requirements for genuine compliance, for instance by applying sanctions and/or ad-hoc assessments carried on by third parties.
Source: ENISA

14.01.2014

DSK: Webcam-Betrieb keine Videoüberwachung bei Verfolgung eines "reinen Informationszwecks"

Datenschutzkommission 14.06.2013, K212.780/0004-DSK/2013 (Empfehlung):
In ihrer Eingabe vom 30. August 2011 führten die Einschreiter aus, dass ihr Nachbar Helge W*** eine Webcam aufgestellt hätte, die sie in ihrer Privatsphäre stören würde. Über die Links *** könne auf die Webcam öffentlich zugegriffen werden. Die Webcam sei auf einem Wohngebäude der Ü*** Wohnungsgenossenschaft montiert und dokumentiere das Kommen und Gehen der Einschreiter. [...]

Die DSK wertete den Betrieb der Webcam nicht als Videoüberwachung gemäß § 50a Abs. 1 DSG 2000, da ein reiner Informationszweck verfolgt werde. Die Möglichkeit, durch Veröffentlichung der Bilder (= Übermittlung an einen unbestimmten Empfängerkreis) das Verhalten der Einschreiter (Anwesenheit, Betreten und Verlassen des Gebäudes, etc.) nachvollziehbar zu machen, stelle einen Eingriff in deren Geheimhaltungsrecht dar. Es liege auch kein Fall vor, der von der sogenannten „Panoramafreiheit“ gemäß § 54 Abs. 1 Z 5 Urheberrechtsgesetz gedeckt sei, da diese Bestimmung nur die Werknutzungsrechte an im öffentlichen Raum stehenden Kunstwerken (z.B. Werken der Baukunst) regle. Die DSK sprach die Empfehlung aus, die Webcam so einzustellen, dass die Liegenschaft samt Gebäude der Einschreiter nicht erfasst wird.
Quelle: Newsletter DSK (seit 1.1.2014: Datenschutzbehörde)

Österreich: Parlam. Anfrage zum Opt-out bei Smart-Meters

Nationalrat, schriftliche Anfrage der Abgeordneten Mag. Albert Steinhauser, Kolleginnen und Kollegen an den Bundesminister für Wirtschaft, Familie und Jugend betreffend opt-out bei Smartmetern (396/J):
1)    Ist der Bericht des Wirtschaftsblatts zutreffend, wonach die opt-out-Regel des § 83 Abs 1 ElWOG [Anm.: Diese lautet auszugsweise: Im Rahmen der durch die Verordnung bestimmten Vorgaben für die Installation intelligenter Messgeräte hat der Netzbetreiber den Wunsch eines Endverbrauchers, kein intelligentes Messgerät zu erhalten, zu berücksichtigen.] so interpretiert werden soll, dass trotz opt-out-Wunsches des Kunden dennoch ein intelligentes Messgerät installiert werden soll?
2)    Handelt es sich dabei um einen Vorschlag von Mitarbeitern des Wirtschaftsministeriums?
3)    Falls ja: wessen Vorschlag ist diese Interpretation?
4)    Wie begründet sich diese, sowohl dem Wortlaut als auch dem Zweck der Gesetzesbestimmung klar zuwiderlaufende Interpretationsvariante?
5) Wie soll in diesem Fall die durch die opt-out Möglichkeit u.a. bezweckte Verhinderung illegaler Zugriffe auf die gegen den ausdrücklichen Wunsch der EndverbraucherInnen installierten intelligenten Messgeräte erreicht werden? [...]

Update: Beantwortung der Anfrage:
Antwort zu den Punkten 1 bis 4 der Anfrage:
Nein. Es handelt sich auch um keinen Interpretationsvorschlag meines Ressorts. 
Wie in der Anfrage bereits ausgeführt wird, sieht die mit Verfassungsmehrheit und auch Stimmen der Grünen beschlossene Novelle zum ElWOG 2010, BGBl. I Nr. 174/2013, in § 83 Abs. 1 diesbezüglich folgende Ergänzung vor:
"Im Rahmen der durch die Verordnung bestimmten Vorgaben für die Installation intelligenter Messgeräte hat der Netzbetreiber den Wunsch eines Endver-brauchers, kein intelligentes Messgerät zu erhalten, zu berücksichtigen."
Die Erläuterungen führen dazu aus:
"Lehnt ein Endverbraucher die Messung mittels eines intelligenten Messgerätes ab, so hat der Netzbetreiber diesem Wunsch zu entsprechen, solange die Vorgaben des § 1 Abs. 1 Z 3 Intelligente Messgeräte-Einführungsverordnung, BGBl. II Nr. 138/2012, erfüllt sind."
Diese in Gesetz und Erläuterungen angesprochenen Vorgaben des § 1 Abs. 1 Z 3 Intelligente Messgeräte-Einführungsverordnung lauten:
"Jeder Netzbetreiber gemäß § 7 Abs. 1 Z 51 ElWOG 2010 hat … im Rahmen der technischen Machbarkeit, bis Ende 2019 mindestens 95 vH der an sein Netz angeschlossenen Zählpunkte als intelligente Messgeräte (§ 7 Abs. 1 Z 31 ElWOG 2010) gemäß den Vorgaben der Verordnung der E-Control, mit der die Anforderungen an intelligente Messgeräte bestimmt werden (Intelligente Messgeräte-AnforderungsVO 2011), auszustatten, wobei eine leitungsgebundene Übertragung in Betracht zu ziehen ist."  
Die dargestellte einschlägige Rechtslage erscheint somit klar und nicht weiter interpretationsbedürftig.
Antwort zu Punkt 5 der Anfrage:
Unbeschadet der in der Antwort zu den Punkten 1 bis 4 der Anfrage getroffenen Klarstellungen ist festzuhalten, dass die Erhebung von Messdaten durch ein intelligentes Messgerät wie jede andere Datenanwendung den Rechtsvorschriften des Datenschutzgesetzes (DSG) unterliegt. Die Übermittlung von Verbrauchsdaten des Endverbrauchers an den Netzbetreiber bzw. durch den Netzbetreiber an den Stromlieferanten darf nur insoweit erfolgen, als dies gesetzlich explizit zulässig ist, der Erfüllung von Verträgen dient oder auf einer Zustimmung des Kunden beruht. Auch in allen übrigen Punkten wie Recht auf Löschung oder Auskunftsrecht findet das DSG Anwendung. Die Auslesung der personalisierten Viertelstundenwerte aus den Messgeräten ist zudem von einer Kundenzustimmung bzw. der Existenz eines bestehenden Vertrages abhängig. [...]

09.01.2014

France's CNIL fines Google for non-compliance of its Privacy Policy

On 3 January 2014, the CNIL's Sanctions Committee issued a 150 000 € monetary penalty to GOOGLE Inc. upon considering that the privacy policy implemented since 1 March 2012 does not comply with the French Data Protection Act. It ordered the company to publish a communiqué on this decision on its homepage Google.fr, within eight days as of its notification.

On 1 March 2012, Google decided to merge into one single policy the different privacy policies applicable to about sixty of its services, including Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Nearly all Internet users in France are impacted by this decision due to the number of services concerned.
The « G29 » (the Working Group of all EU Data Protection Authorities) then decided to carry out an assessment of this privacy policy. It concluded that it failed to comply with the EU legal framework and correspondingly issued several recommendations, which Google Inc. did not effectively follow-up upon. Consequently, six EU Authorities individually initiated enforcement proceedings against the company.
In this context, the CNIL's Sanctions Committee issued a monetary penalty of 150 000 € to Google Inc. on 3 January 2014, upon considering that it did not comply with several provisions of the French Data Protection Act.
In its decision, the Sanctions Committee considers that the data processed by the company about the users of its services in France must be qualified as personal data. It also judged that French law applies to the processing of personal data relating to Internet users established in France, contrary to the company's claim.
On the substance of the case, the Sanctions Committee did not challenge the legitimacy of the simplification objective pursued by the company’s merging of its privacy policies.
Yet, it considers that the conditions under which this single policy is implemented are contrary to several legal requirements: [...]
Source: CNIL; look here for a scan of CNIL's decision (in French)
Update 15.01.2014Google appeals against CNIL's decision (Source: Le Figaro, in French)

08.01.2014

European Parliament (LIBE): leaked Draft Report on NSA surveillance programme(s) - updated

Draft Report on the US NSA surveillance programme, surveillance bodies in various Member States and their impact on EU citizens' fundamental rights and on transatlantic cooperation in Justice and Home Affairs (2013/2188(INI)), Committee on Civil Liberties, Justice and Home Affairs (LIBE), Rapporteur: Claude Moraes
[...] Based on this assessment, the rapporteur would like to submit to the vote of the Parliament the following measures: A European Digital Habeas corpus for protecting privacy based on 7 actions: Action 1: Adopt the Data Protection Package in 2014;
Action 2: Conclude the EU-US Umbrella agreement ensuring proper redress mechanisms for EU citizens in case of data transfers from the EU to the US for lawenforcement purposes;
Action 3: Suspend Safe Harbour until a full review is conducted and current loopholes are remedied making sure that transfers of personal data for commercial purposes from the Union to the US can only take place in compliance with EU highest standards;
Action 4: Suspend the TFTP agreement until i) the Umbrella agreement negotiations have been concluded; ii) a thorough investigation has been concluded based on EU analysis and all concerns raised by the Parliament in its resolution of 23 October have been properly addressed;
Action 5: Protect the rule of law and the fundamental rights of EU citizens, with a particular focus on threats to the freedom of the press and professional confidentiality (including lawyer-client relations) as well as enhanced protection for whistleblowers;
Action 6: Develop a European strategy for IT independence (at national and EU level);
Action 7: Develop the EU as a reference player for a democratic and neutral governance of Internet [...]

Update 14.02.2014The European Parliament should withhold its consent to an EU-US trade deal unless it fully respects EU citizens’ data privacy, says an inquiry report on US National Security Agency (NSA) and EU member states surveillance of EU citizens, approved by the Civil Liberties Committee on Wednesday [12.2.2014]. It adds that data protection rules should be excluded from the trade talks and negotiated separately with the US.
Update 02.03.2014: The final report has been published.

BGH: Haftung volljähriger Familienangehöriger für illegales Filesharing

BGH 8.1.2014, I ZR 169/12 (derzeit noch nicht verfügbar)
Der unter anderem für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass der Inhaber eines Internetanschlusses für das Verhalten eines volljährigen Familienangehörigen nicht haftet, wenn er keine Anhaltspunkte dafür hatte, dass dieser den Internetanschluss für illegales Filesharing missbraucht. [...]
Bei der Überlassung eines Internetanschlusses an volljährige Familienangehörige ist zu berücksichtigen, dass die Überlassung durch den Anschlussinhaber auf familiärer Verbundenheit beruht und Volljährige für ihre Handlungen selbst verantwortlich sind. Im Blick auf das besondere Vertrauensverhältnis zwischen Familienangehörigen und die Eigenverantwortung von Volljährigen darf der Anschlussinhaber einem volljährigen Familienangehörigen seinen Internetanschluss überlassen, ohne diesen belehren oder überwachen zu müssen; erst wenn der Anschlussinhaber - etwa aufgrund einer Abmahnung - konkreten Anlass für die Befürchtung hat, dass der volljährige Familienangehörige den Internetanschluss für Rechtsverletzungen missbraucht, hat er die zur Verhinderung von Rechtsverletzungen erforderlichen Maßnahmen zu ergreifen. [...]
Quelle: Pressemitteilung BGH
Update 15.01.2014: siehe zu Minderjährigen BGH 15.11.2012, I ZR 74/12 - Morpheus; für Österreich OGH 22.01.2008, 4 Ob 194/07v - Limewire
Update 03.06.2014: Volltext verfügbar.

USA: GAO issues report on In-Car Location-Based Services and Privacy Practices

United States Government Accountability Office, Report to the Chairman, Subcommittee on Privacy, Technology and the Law, Committee on the Judiciary, U.S. Senate, December 2013: In-Car Location-Based Services: Companies Are Taking Steps to Protect Privacy, but Some Risks May Not Be Clear to Consumers (GAO-14-81)

What GAO Found
Representatives from all 10 selected companies--auto manufacturers, portable navigation device (PND) companies, and developers of map and navigation applications for mobile devices--said they collect location data to provide consumers with location-based services. For example, companies collect location data to provide turn-by-turn directions. Nine companies share location data with third-party companies, such as traffic information providers, to provide services to consumers. Representatives from two companies said they share data where personally identifiable information has been removed (de-identified data) for purposes beyond providing services (e.g., for research), although such purposes are not always disclosed to consumers. All company representatives said that they do not share personally identifiable location data with or sell such data to marketing companies or data brokers.
All 10 selected companies have taken steps consistent with some, but not all, industry-recommended privacy practices. In addition, the companies' privacy practices were, in certain instances, unclear, which could make it difficult for consumers to understand the privacy risks that may exist. [...]
Source: Press release

06.01.2014

VfGH: Prüfungsbeschluss - zeitliche Annahmebeschränkungen für Anbringen per E-Mail

VfGH 11.12.2013, G 106/2013 (Prüfungsbeschluss; pdf): Prüfung des § 13 Abs 2 letzter Satz AVG idF BGBl I 5/2008 sowie des § 13 Abs 5 AVG idF BGBl I 100/2011 betreffend die Möglichkeit der Festlegung zeitlicher Annahmebeschränkungen für Anbringen mit E-Mail

[...] Nach der vorläufigen Auffassung des Verfassungsgerichtshofes dürfte es Art. 18 B-VG erfordern, dass es der Gesetzgeber jedenfalls bei fristgebundenen Anbringen von Beteiligten (zB Rechtmitteln) nicht der Behörde – ohne jegliche Schranken – überlässt, zeitliche Annahmebeschränkungen für Anbringen mit E-Mail festzulegen. [...]
4.2.2. Schließlich scheint § 13 Abs. 2 letzter Satz iVm § 13 Abs. 5 AVG auch gegen den Gleichheitssatz zu verstoßen. Es ist nämlich vorderhand keine sachliche Rechtfertigung dafür erkennbar, dass es bei schriftlichen Anbringen, die einem Zustelldienst im Sinne des § 2 Z 7 Zustellgesetz zur Übermittlung an die Behörde übergeben werden, auf den Zeitpunkt des Einlangens bei der Behörde nicht ankommt, weil die Tage des Postlaufes nicht eingerechnet werden, bei der Einbringung mit E-Mail aber darauf abgestellt wird, ob das E-Mail während der von der Behörde dafür festgesetzten Zeit einlangt, und zwar auch bei jenen Formen der elektronischen Einbringung, bei denen sowohl der Zeitpunkt des Einlangens (im Sinne der Rechtslage des § 13 Abs. 5 AVG idF BGBl. I 10/2004) als auch jener des Einbringens feststellbar ist. Unter dieser Voraussetzung dürfte es nämlich keine sachliche Rechtfertigung für eine unterschiedliche Behandlung von in Papierform einerseits und in elektronischer Form andererseits eingebrachten schriftlichen Anbringen geben. [...]

02.01.2014

Österreich: Änderung der Standard- und Muster-Verordnung 2004 (StMV-Novelle 2014) - Whistleblowingsysteme

514. Verordnung des Bundesministers für Verfassung und öffentlichen Dienst, mit der die Standard- und Muster-Verordnung 2004 geändert wird (StMV-Novelle 2014), BGBl II 514/2013

Auf Grund des § 17 Abs. 2 Z 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 83/2013, wird verordnet:
Die Standard- und Muster-Verordnung 2004 – StMV 2004, BGBl. II Nr. 312/2004, zuletzt geändert durch die Verordnung BGBl. II Nr. 213/2013, wird wie folgt geändert:
1. In der Anlage 1 wird im Inhaltsverzeichnis nach dem Eintrag „SA035 Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums“ der Eintrag „SA036 Hinweisgebersysteme gemäß § 99g BWG“ eingefügt.
2. In der Anlage 1 wird nach der Standardanwendung „SA035 Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums“ folgende Standardanwendung samt Überschrift eingefügt:
„SA036 Hinweisgebersysteme gemäß § 99g BWG
Zweck der Datenanwendung:
Führung von Hinweisgebersystemen der Kreditinstitute, der CRR-Wertpapierfirmen gemäß § 6 Abs. 2 des Wertpapieraufsichtsgesetzes 2007 (WAG 2007), BGBl. I Nr. 60/2007, und der gemäß § 99g des Bankwesengesetzes (BWG), BGBl. Nr. 532/1993, [...]