27.02.2014

OGH: Datenschutz - Geheimhaltungsinteresse und allgemeine Verfügbarkeit

OGH 28.11.2013, 6 Ob 165/13b (Veröffentlichung von Gerichtsakten mit personenbezogenen Daten im Internet)
[...] Ausführlich beschäftigt sich Jahnel aaO Rz 2/18 ff mwN mit der Frage der allgemeinen Verfügbarkeit von Daten. Zusammenfassend (Rz 2/21 f) kommt er zum Ergebnis, dass von einer „allgemeinen Verfügbarkeit" nur gesprochen werden kann, wenn zumindest eine (massen-)mediale oder Online-Öffentlichkeit der Daten vorliegt. Die Veröffentlichung der Daten müsse in einer Form erfolgt sein, die jedermann eine Kenntnisnahme ermögliche, und diese Kenntnisnahmemöglichkeit müsse jedenfalls im Zeitpunkt der Datenverwendung noch bestehen.
4.3. Der erkennende Senat schließt sich diesen Meinungen an. Danach ist schon nach dem Vorbringen des Bundes nicht davon auszugehen, dass es sich zum Zeitpunkt, als die Daten vom Landesgericht Wiener Neustadt versehentlich an Google übermittelt und im Internet abrufbar gemacht wurden, bereits um allgemein verfügbare Daten gehandelt hat. Allein durch den bis dahin möglicherweise erfolgten Aufruf der Sache und allenfalls das Aufliegen eines „Verhandlungsspiegels" wurden die Daten keineswegs einer Allgemeinheit in dem von der Literatur geforderten Umfang verfügbar. Zudem war die vom Bund behauptete Verfügbarkeit im Zeitpunkt der hier zu beurteilenden Datenverwendung nicht mehr gegeben. [...]

26.02.2014

Greek Presidency: 4 Proposals regarding the planned EU Data Protection Reform

Somewhat older news: On 31.01.2014, the Greek Presidency of the Council of the European Union has issued 4 notes (proposals) to DAPIX regarding the proposed Data Protection Reform (Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation):
    1. One-stop-shop mechanism (pdf)
    2. Data portability
    3. Data Protection Impact and Prior Checks 
    4. Article 26 (Processor)
More here

23.02.2014

Handelsgericht Wien: Verschweigungsklausel in AGB der paybox Bank AG unwirksam

HG Wien 17.2.2014, 19 Cg 126/13w (nicht rechtskräftig)
Der Verein für Konsumenteninformation (VKI) hat - im Auftrag der Arbeiterkammer Kärnten - eine Verbandsklage gegen die paybox Bank eingebracht und auf Unterlassung der Verwendung einer "Verschweigungsklausel" in den AGB geklagt. Das HG Wien gab dem VKI in erster Instanz vollinhaltlich Recht (u.a. verweist das HG Wien auf die Entscheidung 1 Ob 210/12g des OGH vom 11.4.2013). Mehr dazu hier.

EDPS: Opinion on Communications on "Rebuilding Trust in EU-US Data Flows" and Safe Harbor

Opinion of the European Data Protection Supervisor on the Communication from the Commission to the European Parliament and the Council on "Rebuilding Trust in EU-US Data Flows" and on the Communication from the Commission to the European Parliament and the Council on "the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU"
In his Opinion the EDPS said that measures must include the effective application and enforcement of the instruments regulating international transfers between the EU and the USA, in particular the existing Safe Harbour principles. In addition, the reformed EU rules on data protection should provide for clarity and consistency, particularly in terms of addressing issues such as the conditions for data transfers, processing personal information for law enforcement purposes and conflicts in international law. It is, therefore, essential that progress is made quickly to thwart the attempts serving political and economic interests to restrict the fundamental rights to privacy and data protection. [...]
Source: Press release

19.02.2014

London: IP Transactions course

I am currently in London, where I attend a 5-day course on "IP Transactions: Law and Practice" at the University College London (UCL) organized by Mark Anderson. It is highly recommendable for lawyers who are involved in international business in that specific area. Not only do the experienced speakers come from well known law firms (such as Ashurst, Bird and Bird, Bristows, Linklaters, Pinsent Masons, Taylor Wessing, Clarion etc), the material presented is excellent and practical (in addition to the slides you`ll also get full articles of the topics presented). Adding to it, there are case studies going through various real-world IP-related agreements (i.e. licensing, assignment, consultancy agreements, NDAs) analysing their shortcomings as well as the pitfalls present.
Some of the topics covered include the following: Trade Secrets and know‐how; CDAs, MOUs, term  sheets, options; Ownership of,  and rights in, Intellectual Property; IP terms in a commercial  joint venture; Warranties,  representations  and  indemnities; IP and commercial  issues in M&A; IP assignments  and novation agreements; Unversities and Life Sciences; How competition laws affect IP transactions; IP
pooling agreements; Key clauses to negotiate in media agreements; Supply and licensing of IT products to a major customer; software supply agreements etc.
Update 23.02.2014: I am back from London, all in all a great course in a vibrant city with very nice colleagues (inter alia from the Netherlands, Costa Rica, Brazil, Japan), see Mark Anderson's blog for more.

15.02.2014

EDPS: Letter to Council regarding progress on the data protection reform

Taken from this EDPS letter dated 14.02.2014 to the President of the Council of the EU:
In view of the on-going negotiations on the data protection reform package, and in particular of the forthcoming JHA Council meeting on 3-4 March, we would like to draw your attention to a number of outstanding issues. [...]
In view of the on-going discussions, we feel that it is useful to set out the position of the EDPS on three crucial outstanding issues related to the proposed GDPR.  [...]

1. The scope of the proposed GDPR
We understand that the option of excluding the public sector from the scope of the GDPR - or
at least introducing far-reaching exceptions and derogations - is still on the table. [...]
Excluding the public sector would thus not only considerably delay the legislative process, but it would also mean an important step back when compared with today’s data protection framework. [...] Moreover, the boundaries between the ‘public’ and ‘private’ sectors are much less clear-cut than it might appear. [...]
2. The one-stop-shop principle
Put simply, the one-stop-shop principle means that when the processing of personal data takes place in more than one Member State, one single supervisory authority should be responsible for monitoring the activities of the controller or processor throughout the Union and taking the related decisions. [...] In our view, the role of a lead authority should not be seen as an exclusive competence, but rather as a structured way of cooperating with other locally competent supervisory authorities. [...]
3. The risk-based approach and accountability
[...] Accountability also means that compliance efforts should be primarily directed at areas where this is most needed, having regard, for example, to the sensitivity of the data or the risk involved in a specific processing operation. [...]

13.02.2014

Study: Contractual arrangements applicable to creators (in selected EU Member States)

Contractual arrangements applicable to creators: law and practice of selected Member States (PE 493.041): 
This report discusses the legal framework applicable to copyright contracts as well as the practices in artistic sectors. A careful revision of the copyright provisions, contractual law principles and case law in 8 Member States is presented together with a more specific analysis of a set of issues particularly relevant nowadays, such as collective bargaining, digital exploitation, imbalanced contracts, and reversion rights, among others. A set of recommendations aiming at improving the level of fairness in copyright contracts is proposed at the end of the study.

Australian Law Reform Commission issues Final Report on "Copyright and the Digital Economy"

The Australian Law Reform Commission (ALRC) has published its Final Report on "Copyright and the Digital Economy" (pdf, summary here):
[...] 4. The Case for Fair Use
Recommendation 4–1 The Copyright Act 1968 (Cth) should provide an exception for fair use.
5. The Fair Use Exception
Recommendation 5–1 The fair use exception should contain:
(a) an express statement that a fair use of copyright material does not infringe copyright;
(b) a non-exhaustive list of the factors to be considered in determining whether the use is a fair use (‘the fairness factors’); and
(c) a non-exhaustive list of illustrative uses or purposes that may qualify as fair use (‘the illustrative purposes’).
[...]

CJEU: Website may redirect internet users via hyperlinks to accessible protected works

CJEU (EuGH) 13.02.2014, C-466/12 - Svensson et al
The owner of a website may, without the authorisation of the copyright holders, redirect internet users, via hyperlinks, to protected works available on a freely accessible basis on another site. This is so even if the internet users who click on the link have the impression that the work is appearing on the site that contains the link.
Der Inhaber einer Internetseite darf ohne Erlaubnis der Urheberrechtsinhaber über Hyperlinks auf geschützte Werke verweisen, die auf einer anderen Seite frei zugänglich sind. Das gilt auch dann, wenn Internetnutzer, die einen Link anklicken, den Eindruck haben, dass das Werk auf der Seite erscheint, die den Link enthält.
Source: CJEU (DE) 

[...] On those grounds, the Court (Fourth Chamber) hereby rules:
1.      Article 3(1) of Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society, must be interpreted as meaning that the provision on a website of clickable links to works freely available on another website does not constitute an ‘act of communication to the public’, as referred to in that provision.
2.      Article 3(1) of Directive 2001/29 must be interpreted as precluding a Member State from giving wider protection to copyright holders by laying down that the concept of communication to the public includes a wider range of activities than those referred to in that provision.

USA: NIST issues final Cybersecurity Framework and "Roadmap"

To help organizations charged with providing the nation's financial, energy, health care and other critical systems better protect their information and physical assets from cyber attack, the Commerce Department's National Institute of Standards and Technology (NIST) today released a Framework for Improving Critical Infrastructure Cybersecurity. The framework provides a structure that organizations, regulators and customers can use to create, guide, assess or improve comprehensive cybersecurity programs. [...] NIST also released today a "Roadmap" document to accompany the framework. It lays out a path toward future framework versions and ways to identify and address key areas for cybersecurity development, alignment and collaboration. [...]
Source: NIST

09.02.2014

Draft mandate of the EU-US Working Group on Data Protection

Thanks to Erich Möchel, the "non-mandate" of the EU-side of the EU-US Working Group on Data Protection as regards intelligence services has been made available (full document here):

BRD: Gutachten zur Zulässigkeit der Markt- und Meinungsforschung nach Datenschutzrecht und UWG

Hornung, Die Zulässigkeit der Markt- und Meinungsforschung nach Datenschutz- und Wettbewerbsrecht, Gutachten für den ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.V., 2. Dezember 2013.
[...] Die vorgeschlagene Auslegung von § 30a BDSG einerseits, § 7 (v.a. Abs. 2 Nr. 2 bis 4 und
Abs. 3) UWG andererseits ermöglicht es, beide Normen einheitlich zu verstehen und Erhebungen
der Markt- und Meinungsforschung sowohl § 30a BDSG zu unterstellen, als auch von
§ 7 Abs. 2 Nr. 2 bis 4 und Abs. 3 UWG auszunehmen, wenn sie die folgenden Kriterien erfüllen: [...]

Österreich: Datenschutzbehörde zu "Dashcams" und dem Recht auf Löschung/Richtigstellung

Die Datenschutzbehörde (DSB; vormals Datenschutzkommission, DSK) hat vor Kurzem FAQs zu folgenden Themen veröffentlicht:
Update 11.02.2014: Auch bei Fahrten mit "Dashcams" in die benachbarte Schweiz und Bayern ist Vorsicht geboten.
Update 21.03.2014Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 25./26. Februar 2014), Unzulässigkeit von Videoüberwachung aus Fahrzeugen
(sog. Dashcams)

EP: Entschließung zu Smart Grids

Entschließung des Europäischen Parlaments vom 4. Februar 2014 zu lokalen und regionalen Auswirkungen der Entwicklung von intelligenten Netzen (European Parliament resolution of 4 February 2014 on the local and regional consequences of the development of smart grids), 2013/2128(INI)
[...] Datenschutz und Privatsphäre
23. betont, dass intelligente Energiesysteme mit großen Mengen personenbezogener Daten und vielen Profilen betrieben werden und ein erhebliches Risiko für Beeinträchtigung der Datensicherheit bergen; betont, dass hohe Standards für intelligente Zähler hinsichtlich Datenschutz und Schutz der Privatsphäre wichtig sind und dazu die Bürger in die Lage versetzen, über die Daten, die an die Netzbetreiber weitergegeben werden und über das absolute Mindestmaß an Daten, das für die Bereitstellung von Energie absolut erforderlich ist, hinausgehen, selbst zu entscheiden und die Kontrolle über diese Daten zu behalten; stellt fest, dass Bedenken insbesondere im Zusammenhang mit der Sicherheit von intelligenten Netzsystemen und dem Nutzen von intelligenten Messsystemen für Verbraucher bestehen, und fordert eine umfangreichere Prüfung dieser Bereiche und weitere Untersuchungen zum Datenschutz bei intelligenten Messsystemen; betont daher, dass personenbezogene Daten ausnahmslos geschützt werden müssen, damit sie sicher bleiben; betont, dass die Datensicherheit in Strategien zur Einführung intelligenter Netze integriert sein muss;
24. unterstreicht die Notwendigkeit einer besseren Regulierung und Praxis bezüglich Datenschutz und Schutz der Privatsphäre, wenn intelligente Messsysteme installiert werden; betont, dass der Datenschutz und der Schutz der Privatsphäre für alle mit dem Netz verbundenen Einzelpersonen und Haushalte für die Funktionsfähigkeit und die Einführung intelligenter Netze unentbehrlich sind; [...]

08.02.2014

Österreich: Umsetzungsentwurf für Verbraucherrechte-RL liegt vor

Seit 3.2.2014 liegt nunmehr ein "Ministerialentwurf betreffend Bundesgesetz, mit dem das allgemeine bürgerliche Gesetzbuch und das Konsumentenschutzgesetz geändert werden und ein Bundesgesetz über Fernabsatz- und außerhalb von Geschäftsräumen geschlossene Verträge (Fern- und Auswärtsgeschäfte-Gesetz - FAGG) erlassen wird (Verbraucherrechte-Richtlinie-Umsetzungsgesetz - VRUG)" (4/ME 25. GP) vor, mit welchem die Verbraucherrechte-RL 2011/83/EU in Österreich umgesetzt werden soll. Zur Vorgeschichte siehe bereits hier im Blog.
Die (kurze) Begutachtungsfrist endet am 28.02.2014, als Inkrafttreten ist grundsätzlich der 13.06.2014 vorgesehen.
Update 01.04.2014: Regierungsvorlage liegt vor.

07.02.2014

VwGH: E-Mail-Werbung einer politischen Gruppe ist "Direktwerbung" iSd § 107 Abs 2 TKG & Tatortfiktion

VwGH 19.12.2013, 2011/03/0198 (Original-pdf hier
[...] Zur Erreichung dieses Schutzzweckes ist der Begriff "Direktwerbung" weit und umfassend auszulegen. Schon von daher ist nicht ersichtlich, warum das direkte Bewerben einer politischen Gruppe im Wege eines ohne vorherige Zustimmung des Empfängers zugeschickten E-Mail nicht die oben beschriebenen verpönten Wirkungen zeitigen sollte. Eine weite Auslegung des Begriffes verlangen aber auch die zitierten Gesetzesmaterialen zum TGK 2003, die unter dem Begriff "Direktwerbung" jeden Inhalt verstehen, der für ein bestimmtes Produkt, aber auch für eine bestimmte Idee einschließlich bestimmter politischer Anliegen wirbt oder dafür Argumente liefert. Zudem hat der Oberste Gerichtshof - in Orientierung an den Gesetzesmaterialien - wiederholt die Auffassung vertreten, dass der Begriff der "Direktwerbung" weit auszulegen ist. Er erfasst jede elektronische Post, die für ein bestimmtes Produkt, aber auch für eine bestimmte Idee (einschließlich politischer Anliegen) wirbt oder dafür Argumente liefert; darunter fällt etwa auch jede Maßnahme, die dazu dient, auf ein eigenes Bedürfnis und die Möglichkeit seiner Befriedigung hinzuweisen, wobei auch schon die Anregung zur Inanspruchnahme bestimmter Leistungen diesem Begriff unterstellt werden kann; dabei hindert auch die Gestaltung als Newsletter oder Informations-Mail die Qualifikation als Werbung nicht (vgl OGH vom 30. September 2009, Zl 7 Ob168/09w). Im Lichte ihres Vorbringens kann zudem nicht bezweifelt werden, dass die Beschwerdeführer nicht lediglich ein Informationsinteresse im Rahmen der bevorstehenden Wahl befriedigen wollten, sondern dabei insbesondere auch das Erlangen einer Unterstützungserklärung im Auge hatten. [...]
Die Eingabe einer E-Mail-Adresse in ein öffentliches Online-Mitgliederverzeichnis ist entgegen der Beschwerde nicht als (konkludente) Zustimmung zum Empfang von elektronischer Post zu Werbezwecken zu verstehen, zumal daraus ein konkreter Rechtsfolgewille zum Erhalt elektronischer Post zu Werbezwecken (für ein bestimmtes Produkt, aber auch für eine bestimmte Idee einschließlich bestimmter politischer Anliegen samt der Weitergabe von Argumenten dafür) nicht ableitbar ist. [...]

Update 15.02.2014: Siehe VwGH 19.12.2013, 2012/03/0052 zur Tatortfiktion (§ 107 Abs 6 TKG 2003) beim Versand von Werbemails (nicht Server, sondern Ort des Abrufens der unerbetenen Sendung entscheidend).

06.02.2014

Liechtenstein: Richtlinie Big Data veröffentlicht

Die Datenschutzstelle (DSS) der Landesverwaltung des Fürstentums Liechtenstein hat eine "Richtlinie Big Data" veröffentlicht: "Die Richtlinie beschreibt Big Data und damit zusammenhängende Begriffe. Sie zeigt Chancen und Risiken auf und stellt dar, welchen Einfluss Big Data auf die Privatsphäre hat."

Auch interessant: Die Datenschutzstelle hat am 28.1.2014 in Zusammenarbeit mit der Universität Liechtenstein und mit Beteiligung des IKT Forum Liechtenstein einen öffentlichen Vortragsabend mit anschliessender Podiumsdiskussion unter dem Titel "Wie gesund ist Big Data? Chancen und Risiken von Datensammlungen im Gesundheitswesen" veranstaltet. Hier [Link funktioniert nicht mehr, Zusammenfassung hier] sind die Folien (ua von Peter Schaar).

03.02.2014

Data Protection Laws of the World Handbook issued

DLA Piper’s Data Protection Laws of the World Handbook (2014; pdf) has been updated to include additional chapters from Costa Rica, Honduras, Morocco, Panama, Israel, Serbia and Trinidad & Tobago to bring the total number of jurisdictions covered to 72.

Big Data and Privacy and the Value of Privacy


  • The Future of Privacy Forum just published a collection of papers entitled "Big Data and Privacy: Making Ends Meet" (pdf). These essays address the following questions: Does Big Data present new challenges or is it simply the latest incarnation of the data regulation debate? Does Big Data create fundamentally novel opportunities that civil liberties concerns need to accommodate? Can de-identification sufficiently minimize privacy risks? What roles should fundamental data privacy concepts such as consent, context, and data minimization play in a Big Data world? What lessons can be applied from other fields? More at FPF here.
  • Savage, Scott and Waldman, Donald M., The Value of Online Privacy, available at SSRN 

02.02.2014

Literaturhinweis: Grundrechte und Datenschutz (Whistleblowing, VDS, parlament. Anfragen)

Baumgartner, Grundrechte und Datenschutz, AnwBl 2014/01, 24
Das Spannungsverhältnis zwischen Datenschutz und Kontrolle macht es notwendig, eine Balance zwischen dem grundrechtlichen Geheimnisschutz und konfligierenden Interessen zu finden. Vor diesem Hintergrund werden die datenschutzrechtlichen Implikationen staatlicher Überwachung sowie grund- und datenschutzrechtliche Fragen des sog Whistleblowings erörtert. Darüber hinaus wird die Bedeutung des Datenschutzes im Zusammenhang mit parlamentarischen Anfragen illustriert [zu Letzterem wird ausführlich auf Kastelitz/Konrath/Neugebauer verwiesen].

VKI: Verrechnung von Inkassokosten setzt konkreten Schaden beim Gläubiger voraus

BG Innere Stadt Wien 10.01.2014, 36 C 127/13i (nicht rechtskräftig, Stand 30.01.2014)
In einem Musterprozess des VKI im Auftrag des Bundesministeriums für Arbeit, Soziales und Konsumentenschutz hält das Bezirksgericht Innere Stadt Wien fest, dass einem säumigen Schuldner nur dann Inkassokosten in Rechnung gestellt werden dürfen, wenn das Inkassobüro dem Gläubiger diese Kosten tatsächlich in Rechnung stellt und ihm dadurch ein Schaden entstanden ist. Nur fiktive Inkassokosten können vom Schuldner nicht verlangt werden.
Quelle: VKI

Bundestag: Datenschutz und Zusammenarbeit von Finanzdienstleistern mit US-amerik. IT-Unternehmen

Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund des NSA-Skandals [IT-Outsourcing durch Banken, Versicherungen etc. und Datenschutz], BT-Drs 18/321 (pdf), Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Dr. Axel Troost, Susanna Karawanskij, Klaus Ernst, weiterer Abgeordneter und der Fraktion DIE LINKE (Drucksache 18/225):

Vorbemerkung der Fragesteller
Die Allianz SE, das weltgrößte Versicherungsunternehmen, möchte zukünftig ihre Rechenzentren auslagern und an das amerikanische IT-Unternehmen IBM übergeben. Dies wirft unter anderem datenschutzrechtliche sowie verbraucherschutzpolitische Probleme auf [...]

[Zu Safe Harbor, siehe insb die Antworten zu Fragen 24 & 26]
Um Verstößen gegen Safe-Harbor-Prinzipien entgegenzuwirken, arbeiten nach entsprechenden Ausführungen auf der Homepage des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die zuständigen Behörden in den USA und die EU-Datenschutzbehörden eng zusammen. Besondere Bedeutung habe dabei auch die Frage, wie die Betroffenen, also Organisationen, Verbraucher und Unternehmensmitarbeiter besser über die sich aus der Vereinbarung ergebenden Rechte unterrichtet werden können. Gesetzliche Kontrollmöglichkeiten gemeinsam mit amerikanischen Behörden bestehen nicht. [Hervorhebung durch den Verf] [...]
Deutschland setzt sich weiter dafür ein, dass der Schutz der Bürgerinnen und Bürger bei Drittstaatenübermittlungen deutlich verbessert wird. Dies gilt insbesondere für Safe Harbor. Für Modelle wie Safe Harbor sollte in der neuen europäischen Datenschutz-Grundverordnung ein robuster Rechtsrahmen mit klaren Vorgaben für Garantien der Bürgerinnen und Bürger geschaffen werden. Ziel sollte es insbesondere sein, die Individualrechte der Bürgerinnen und Bürger zu stärken und ihnen bessere Rechtsschutzmöglichkeiten zur Verfügung zu stellen, die Registrierung der US-Unternehmen in der EU vorzunehmen und die staatliche Kontrolle seitens der EU-Datenschutzaufsichtsbehörden in Modellen wie Safe Harbor zu stärken. [...]
Siehe auch die Kurzbesprechung hier.