31.03.2014

Datenschutzrat: Kontrolle von Datensicherheitskonzepten und -maßnahmen des Bundes

Beschluss des Datenschutzrates betreffend die Kontrolle von Datensicherheitskonzepten und -maßnahmen des Bundes (pdf)
Der Datenschutzrat hat sich in seiner Funktion als Beratungsorgan der Bundesregierung gemäß § 41 Abs. 2 DSG 2000 in der 219. Sitzung am 21. März 2014 mit der unzulässigen Veröffentlichung von 400.000 BIFIE-Schultestdaten sowie 37.000 Lehrer- und Schulleiterdaten (E-Mail Adressen) auf einem externen Server und in diesem Zusammenhang mit Datensicherheitsfragen beschäftigt. Mehrere Prüfverfahren sowie die strafrechtlichen Ermittlungen durch die Staatsanwaltschaft sind zum gegenwärtigen Zeitpunkt noch nicht abgeschlossen.
Die im Datenschutzrat mit informierten Vertretern geführte Diskussion wird daher zum Anlass genommen, die einzelnen Bundesministerinnen und Bundesminister zu ersuchen, ihre Datensicherheitskonzepte und die ihrer nachgeordneten Dienststellen, ihrer ausgegliederten Unternehmen, ihrer Dienstleister sowie ihrer Werksauftragsnehmer insbesondere hinsichtlich der Einhaltung der Datensicherheitsmaßnahmen nach § 14 DSG 2000 zu überprüfen.
[...]
Der Datenschutzrat vertritt überdies in diesem Zusammenhang die Auffassung, dass – um ein geordnetes Krisenmanagement bei derartigen Verletzungen der Datensicherheit zu gewährleisten – bundesweit eine zentrale Anlaufstelle für Meldungen über derartige Sicherheitsvorfälle betraut werden sollte. Diese Aufgabe könnte auch einer bereits bestehenden Einrichtung übertragen werden.

OGH: Recht am eigenen Bild und postmortales Persönlichkeitsrecht

OGH 17.02.2014, 4 Ob 203/13a (siehe auch Die Presse)
[...] 1.4. Die Lehre zum postmortalen Schutz der immateriellen Aspekte des Persönlichkeitsrechts bezieht sich meist auf das allgemeine Persönlichkeitsrecht nach § 16 ABGB; dessen spezielle Ausprägungen in den §§ 77 f UrhG werden kaum tiefer erörtert.
(a) Zur Begründung des allgemeinen postmortalen Persönlichkeitsschutzes werden - ausgehend von einer alten Diskussion im deutschen Recht (vgl einerseits Westermann, Das allgemeine Persönlichkeitsrecht nach dem Tode seines Trägers FamRZ 1969, 561 [566], andererseits Heldrich, Der Persönlichkeitsschutz Verstorbener, FS Lange [1970] 163 [169]) - im Wesentlichen zwei Ansätze vertreten. Zum einen wird ein eigenes Recht des Angehörigen angenommen, das ihm wegen seines Interesses am Ruf des Verstorbenen zuerkannt werden müsse, zum anderen ein weiterbestehendes Recht des Verstorbenen, das treuhändig vom Angehörigen wahrgenommen werde. In der österreichischen Literatur überwiegt dabei (mit unterschiedlichen Nuancen) die zweitgenannte Auffassung (vgl etwa Koziol, Österreichisches Haftpflichtrecht2 [1984] 16 f; Aicher in Rummel3 § 16 Rz 28; Posch in Schwimann4 § 16 Rz 48; zuletzt ausführlich Handler, Der Schutz von Persönlichkeitsrechten [2008] 74 ff); nur F. Bydlinski (Paradoxer Geheimnisschutz post mortem, JBl 1999, 553) nimmt ein eigenes Recht des Angehörigen an, dessen Zweck und Inhalt aber „ausschließlich in der Wahrung der personalen Interessen des Verstorbenen und der inhaltsgleichen Interessen des Angehörigen“ bestehe. Darin liegt, wie F. Bydlinski selbst ausführt, eine „Doppelbegründung“, die zwar komplizierte dogmatische Erwägungen vermeidet, inhaltlich aber ebenso wie die Treuhandkonstruktion in erster Linie auf die als fortbestehend angesehenen Interessen des Verstorbenen abstellt.
(b) Bei den §§ 77 und 78 UrhG soll es demgegenüber schon aufgrund des Wortlauts dieser Bestimmungen jedenfalls „auch“ um den Persönlichkeitsschutz der nahen Angehörigen gehen, wobei allerdings auch hier - teilweise unter Rückgriff auf die bereits zitierten Materialien - die Wahrung des Rufes des Verstorbenen als entscheidendes Kriterium angesehen wird (Aicher aaO; Korn/J. Neumayer, Persönlichkeitsschutz im Zivil- und Wettbewerbsrecht [1991] 119; A. Kodek in Kucsko, urheber.recht [2008] 1049 f; vgl auch Handler aaO 77). Richtig ist, dass Korn/J. Neumayer in diesem Zusammenhang nicht von den Angehörigen, sondern von den „Erben“ des Verstorbenen sprechen. Da sie diese Abweichung vom Gesetzeswortlaut aber nicht weiter begründen, dürften sie sich dabei wohl nur im Ausdruck vergriffen haben.
1.5. Auf dieser Grundlage ist nach Ansicht des Senats für die §§ 77 und 78 UrhG daran festzuhalten, dass
-              das Gesetz nach dem Tod des Betroffenen einen Anspruch der nahen Angehörigen vorsieht,
-              es dabei schon nach dem Wortlaut dieser Bestimmungen auf deren Interessen ankommt,
-              diese Interessen aber im Regelfall schon dann beeinträchtigt sein werden, wenn die Interessenabwägung zu Lebzeiten des Betroffenen zu dessen Gunsten ausgegangen wäre.
Eine besondere Begründung für eine eigene Interessenbeeinträchtigung der Angehörigen ist daher nicht erforderlich. Diese Auslegung ergibt sich nicht nur aus den Gesetzesmaterialien, die einen solchen typischen Interessengleichlauf annehmen, sondern stimmt im Ergebnis auch mit jenen Wertungen überein, die dem postmortalen Schutz des allgemeinen Persönlichkeitsrechts zugrunde liegen: Zweck des Rechts der Angehörigen ist zumindest auch die Wahrung der Interessen des Verstorbenen. [...]

29.03.2014

Art. 29 WP: Opinion on Personal Data Breach Notification

Opinion 03/2014 on Personal Data Breach Notification (WP 213), adopted on 25 March 2014
Executive Summary
In this Opinion, the Article 29 Working Party provides guidance to controllers in order to help them to decide whether to notify data subjects in case of a “personal data breach”. Although this opinion considers the existing obligation of providers of electronic communications regarding Directive 2002/58/EC, it provides examples from multiple sectors, in the context of the draft data protection regulation, and presents good practices for all controllers.
While notification to the competent authority is required for all data breaches under directive 2002/58/EC, this opinion analyses personal data breaches requiring notification to data subjects and presents what the controllers could have done in the implementation of their system to avoid the personal data breach in the first place or, at least, what measures could have been implemented in the first place to exempt the controller from notifying the data subjects.
The opinion also provides answers to some of the main questions regarding personal data breaches and the application of Directive 2002/58/EC.

27.03.2014

OGH: Bildnisschutz - Abbildung eines Strafverteidigers in einer Zeitung samt Offenlegung seiner Wohnadresse

OGH 17.02.2014, 4 Ob 124/13h
[...] 5. Bei der Prüfung, ob berechtigte Interessen des Abgebildeten verletzt werden, ist darauf abzustellen, ob die geltend gemachten Interessen des Abgebildeten bei objektiver Prüfung des einzelnen Falles als schutzwürdig anzusehen sind (RIS-Justiz RS0078088). Das Interesse eines Rechtsanwalts an der Geheimhaltung seiner Privatadresse ist als grundsätzlich schutzwürdig anzusehen.
6. Dieses Interesse des Klägers an der Wahrung seiner Anonymität (Art 8 EMRK) ist mit dem ebenfalls grundrechtlich geschützten Interesse der Beklagten an der Berichterstattung (Art 10 EMRK) abzuwägen (4 Ob 166/10f = MR 2011, 16 - Tiroler Top-Polizist; 4 Ob 101/12z = MR 2013, 115 - Polizist des Jahres I; allgemein zur Interessenabwägung RIS-Justiz RS0078088 [insb T2]).
7. Die Interessenabwägung schlägt zugunsten des Klägers aus, denn es liegt auf der Hand, dass die Bekanntgabe der Privatadresse eines als Strafverteidiger tätigen Rechtsanwalts in dessen berechtigte Sicherheitsinteressen eingreift. Demgegenüber ist der Beklagten zwar ein Interesse an der Berichterstattung an sich zuzugestehen. Doch auch das echte Informationsbedürfnis darf nicht weiter als unbedingt notwendig gehen (vgl RIS-Justiz RS0077883). Hier ist kein Grund ersichtlich, welches Interesse die beklagte Medieninhaberin an der Veröffentlichung der (Identifizierungsmöglichkeit der) Privatadresse des Klägers haben sollte. [...]

CJEU: Judgment "kino.to": right of the copyright holder to require an ISP to block an infringing website

Judgment of the CJEU 26.11.2013, C-314/12 - UPC Telekabel Wien, for the Advocate General’s Opinion see here.
An internet service provider may be ordered to block its customers’ access to a copyright-infringing website - Such an injunction and its enforcement must, however, ensure a fair balance between the fundamental rights concerned (Press release)
[...] On those grounds, the Court (Fourth Chamber) hereby rules:
1.      Article 8(3) of Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society must be interpreted as meaning that a person who makes protected subject-matter available to the public on a website without the agreement of the rightholder, for the purpose of Article 3(2) of that directive, is using the services of the internet service provider of the persons accessing that subject-matter, which must be regarded as an intermediary within the meaning of Article 8(3) of Directive 2001/29.
2.      The fundamental rights recognised by EU law must be interpreted as not precluding a court injunction prohibiting an internet service provider from allowing its customers access to a website placing protected subject-matter online without the agreement of the rightholders when that injunction does not specify the measures which that access provider must take and when that access provider can avoid incurring coercive penalties for breach of that injunction by showing that it has taken all reasonable measures, provided that (i) the measures taken do not unnecessarily deprive internet users of the possibility of lawfully accessing the information available and (ii) that those measures have the effect of preventing unauthorised access to the protected subject-matter or, at least, of making it difficult to achieve and of seriously discouraging internet users who are using the services of the addressee of that injunction from accessing the subject-matter that has been made available to them in breach of the intellectual property right, that being a matter for the national authorities and courts to establish.
Siehe auch die ausführliche Besprechung von Lehofer.

25.03.2014

US: Privacy Papers for Policy Makers 2013

The "Future of Privacy Forum" recently presented its fourth annual “Privacy Papers for Policy Makers" representing cutting-edge research and analytical work on a variety of important privacy topics. The featured papers analyze current and emerging privacy issues and propose solutions or offer free analysis that could lead to new approaches in privacy law. If you have limited time, there is a handy digest available here.

23.03.2014

OGH: Beachtlichkeit einer automatisierten (E-Mail-)Abwesenheitsnotiz

OGH 29.01.2014, 9 Ob 56/13w (zum Zeitpunkt der Veröffentlichung noch nicht verfügbar)
Elektronische Vertragserklärungen und andere rechtlich erhebliche elektronische Erklärungen gelten als zugegangen, wenn sie die Partei, für die sie bestimmt sind, unter gewöhnlichen Umständen abrufen kann. Das Kreditkartenunternehmen will automatisierte elektronische Antwortschreiben generell nicht berücksichtigen. Werden sie schon dann generiert, wenn eine E-Mail gar nicht in die Mailbox des Empfängers gelangt, so ist die E-Mail des Absenders gerade nicht abrufbar. Aber auch wenn eine E-Mail technisch in der Mailbox des Empfängers einlangt, ist einem Karteninhaber nicht stets und überall ein Abruf möglich oder zumutbar (Erkrankung, fehlender Empfang, Erholung etc). Verständigt er das Kreditkartenunternehmen mittels einer automatisiert generierten Abwesenheitsnotiz von einer vorübergehenden Verhinderung, so darf dieses nicht mehr von einer nahezu zeitgleichen Zustellung der elektronischen Monatsrechnung ausgehen.
Quelle: Pressemeldung OGH

21.03.2014

BRD: Modelle zur Vergabe von "Datenschutz-Prüfzertifikaten" im Wege der Selbstregulierung

Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 25./26. Februar 2014), Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbstregulierung entwickelt und durchgeführt werden
[...] III. Abstimmung im Düsseldorfer Kreis
Der Düsseldorfer Kreis verfolgt die Entwicklung von sowohl auf Landesebene mit dieser Zielrichtung begleiteten Initiativen als auch auf Bundesebene begonnenen weiteren Initiativen. Er beteiligt sich an einer ergebnisoffenen Diskussion, um zu op-timalen Verfahrensgestaltungen zu gelangen.
Die im Düsseldorfer Kreis zusammenwirkenden Aufsichtsbehörden sehen daher als gemeinsame Aufgabe, sich auf inhaltliche und verfahrensmäßige Anforderungen für Zertifizierungsverfahren zu verständigen und zu Beratungsersuchen im Interesse einer bundesweit einheitlichen Aufsichtspraxis auf im Düsseldorfer Kreis abgestimm-ter Grundlage Stellung zu nehmen.
[...]

BRD: Unzulässigkeit von Videoüberwachung aus Fahrzeugen (sog. Dashcams)

Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 25./26. Februar 2014)
[...] Soweit mit den Dashcams in öffentlich zugänglichen Bereichen gefilmt wird und als Hauptzweck der Aufnahmen die Weitergabe von Filmaufnahmen zur Dokumentation eines Unfallhergangs angegeben wird, ist der Einsatz – auch wenn die Kameras von Privatpersonen eingesetzt werden – an den Regelungen des Bundesdatenschutzgesetzes zu messen. Gemäß § 6b Abs. 1 Nr. 3 und Abs. 3 des Bundesdatenschutzgesetzes (BDSG) ist eine Beobachtung und Aufzeichnung mittels Videokameras nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
Diese Voraussetzungen sind in aller Regel nicht erfüllt, da die schutzwürdigen Interessen der Verkehrsteilnehmer überwiegen. [...]
Siehe hier zur Rechtslage in Österreich und der Schweiz.
Update 22.08.2014: 2 aktuelle dt. Urteile zu Dashcams: Verwaltungsgericht Ansbach; Amtsgericht München.

18.03.2014

BRD: Gutachten zum Verbraucher-Tracking

Verbraucher-Tracking, Kurzgutachten von Jan Schallaböck, iRights.Law (13. März 2014), Studie erstellt im Auftrag von Bündnis 90 - Die Grünen (Bundestagsfraktion)
[...] Das vorgelegte Kurzgutachten hat Defizite und Problemstellungen im Bereich des Verbraucher-Trackings identifiziert. Diese sind in zwei Bereichen anzusiedeln: Erstens der Transparenz der Datenverarbeitungen, die auf Tracking aufbauen; zweitens deren Kontrolle. Derzeitige Praktiken gefährden nicht nur das Vertrauen der Nutzer als Verbraucher. Darüber hinaus berühren sie auch das Vertrauen der Bürgerinnen und Bürger in die Datenverarbeitung in einer demokratisch verfassten Gesellschaft schlechthin. [...]
Mehr auf heise.de.

Data Retention: AK Vorrat strongly criticizes the opinion delivered by Advocate General Villalón

Arbeitskreis Vorratsdatenspeicherung (AK Vorrat), civil society response to the opinion of Advocate General Cruz Villalón in cases Digital Rights Ireland et.al. (C-293/12 and C-594/12) regarding the Data Retention Directive 2006/24/EC
[...] The EU must no longer force blanket and indiscriminate telecommunications data retention on its Member States but prohibit such laws in favour of expedited preservation and targeted collection of traffic data that is needed for a specific investigation. [...]
More here.

OGH: (Unbefristeter) Markenlizenzvertrag ist ordentlich kündbar

OGH 20.01.2013, 4 Ob 223/13t
[...] Auf unbestimmte Zeit eingegangene Dauerschuldverhältnisse können nach allgemeinem Zivilrecht im Regelfall auch ohne wichtigen Grund aufgelöst werden (Rummel in Rummel³ § 859 Rz 27 mwN; 4 Ob 302/72 = SZ 45/20; 4 Ob 119/09t; RIS-Justiz RS0018924).
Dies gilt jedenfalls auch für einen Markenlizenzvertrag, der ja dem Gestattungsempfänger kein vom Markeninhaber abgeleitetes eigenes Kennzeichenrecht verschafft. Wollte man einem Markeninhaber allein die Möglichkeit einer Kündigung aus wichtigem Grund zugestehen, stünde dies in Widerspruch zu seinem Ausschließlichkeitsrecht aus seiner Marke, das nicht über die sich aus Art 5 bis 7 MarkenRL ergebenden Grenzen hinaus eingeschränkt werden darf (zu einem vergleichbaren Sachverhalt in diesem Sinne auch jüngst EuGH 19. 9. 2013, C-661/11 - Martin Y Paz, Rn 55, 59, 61). Die in RIS-Justiz RS0009392 enthaltenen Entscheidungen sind nicht auf markenrechtlicher Grundlage ergangen und somit nicht einschlägig. Ob die Möglichkeit der ordentlichen Kündigung aufgrund der zitierten Entscheidung des EuGH auch dann bestünde, wenn sie vertraglich ausgeschlossen wurde, ist hier nicht zu beurteilen.
Argumente gegen die als Regelfall anzunehmende freie Kündbarkeit hat nach allgemeinen Grundsätzen jene Partei vorzutragen und nachzuweisen, die sich auf den Fortbestand des Vertrags beruft (vgl 3 Ob 104/10f), das sind hier die Beklagten. [...]

13.03.2014

OGH: Auskunftsanspruch bei anonymen Beleidigungen im Internet und das Redaktionsgeheimnis

OGH 23.01.2014, 6 Ob 133/13x
Der Betreiber einer Website, von dem ein etwa in seiner Ehre Verletzter oder in seinem Kredit Geschädigter die Bekanntgabe der E-Mail-Adresse von Postern begehrt, kann sich jedenfalls dann nicht auf das Redaktionsgeheimnis berufen, wenn es sich um eine unmoderierte Website handelt und die (anonym auftretenden) Poster daher ohne jegliche Kontrolle ihre Postings auf der Website veröffentlichen können. (Quelle: OGH)
Aus dem Urteil:
[...] 1. Die außerordentliche Revision der Beklagten greift ausschließlich die Frage auf, ob der Medieninhaber einer Website die Bekanntgabe der E-Mail-Adresse eines Nutzers, der einen Online-Kommentar zu einem auf der Website veröffentlichen redaktionellen Beitrag verfasste (Posting), unter Hinweis auf das Redaktionsgeheimnis nach § 31 MedienG verweigern darf. Dass im Hinblick auf § 18 Abs 4 ECG grundsätzlich ein Anspruch auf Auskunft über eine E-Mail-Adresse besteht, stellt sie hingegen nicht (mehr) in Abrede; dies entspricht auch der Rechtsprechung des Obersten Gerichtshofs (6 Ob 104/11d [...]
1.5. Diese Haftungsbeschränkungen und der allgemeine Grundsatz, dass berechtigte Ansprüche auch durchsetzbar sein sollen, stützen somit die Überlegung, dass eine Berufung auf das Redaktionsgeheimnis dann unzulässig ist, wenn ein Posting in keinerlei Zusammenhang mit einer journalistischen Tätigkeit steht; die vom Schweizer Bundesgericht (MMR-Aktuell 2010, 311076) vertretene Auffassung, Medienhäuser könnten sich grundsätzlich auch bezüglich der Verfasser von Blog-Kommentaren auf ihren Internetseiten auf den Quellenschutz berufen, teilt der erkennende Senat nicht, der im Übrigen auch die Überlegung nicht für stichhältig erachtet, der Verletzte könne ja ohnehin vom Betreiber der Website Abhilfe verlangen: Dies würde nämlich lediglich dazu führen, dass Personen, die unter dem (vermeintlichen) Deckmantel der Anonymität im Internet andere Personen in einer § 1330 ABGB und/oder medienrechtliche Bestimmungen verletzenden Weise insultieren, einfach auf andere unmoderierte Websites ausweichen und dort ihre Insultationen fortsetzen, was den Verletzten zu weiteren Klagsführungen zwingen würde.
Ob die hier vertretene Auffassung auch für moderierte Diskussionsforen gilt (auf diese nehmen Windhager/Gahleitner aaO ausdrücklich Bezug und verneinen die Frage), kann dahingestellt bleiben: Die inkriminierten Beiträge der Nutzer wurden erst über Aufforderung der Kläger gelöscht; eine sonstige „Moderation“ ist nicht erkennbar. [...]
Update 21.05.2014: A short English summary is available at here (IRIS – Legal Observations of the European Audiovisual Observatory): In a decision of 23 January 2014, the Austrian Oberste Gerichtshof (Supreme Court - OGH) ruled that a website’s operators were obliged under Article 18(4) of the E-Commerce-Gesetz (E-Commerce Act - ECG) to disclose to the party concerned the e-mail addresses of users who had posted insulting comments about him. The court rejected the defence of editorial confidentiality. [...]

EP: Safe Harbour principles do not provide adequate protection for EU citizens

P7_TA-PROV(2014)0230 (Word, p. 253 et seq.)
US NSA surveillance programme, surveillance bodies in various Member States and impact on EU citizens' fundamental rights (A7-0139/2014 - Rapporteur: Claude Moraes)
European Parliament resolution of 12 March 2014 on the US NSA surveillance programme, surveillance bodies in various Member States and their impact on EU citizens’ fundamental rights and on transatlantic cooperation in Justice and Home Affairs (2013/2188(INI)):

[...] International transfers of data
US data protection legal framework and US Safe Harbour
36. Notes that the companies identified by media revelations as being involved in the large-scale mass surveillance of EU data subjects by the US NSA are companies that have self-certified their adherence to the Safe Harbour, and that the Safe Harbour is the legal instrument used for the transfer of EU personal data to the US (examples being Google, Microsoft, Yahoo!, Facebook, Apple and LinkedIn); expresses its concerns that these organisations have not encrypted information and communications flowing between their data centres, thereby enabling intelligence services to intercept information; welcomes the subsequent statements by some US companies that they will accelerate plans to implement encryption of data flows between their global data centres;
37. Considers that large-scale access by US intelligence agencies to EU personal data processed by Safe Harbour does not meet the criteria for derogation under ‘national security’;
38. Takes the view that, as under the current circumstances the Safe Harbour principles do not provide adequate protection for EU citizens, these transfers should be carried out under other instruments, such as contractual clauses or BCRs, provided these instruments set out specific safeguards and protections and are not circumvented by other legal frameworks;
[...]
See also this EP press release.

12.03.2014

European Parliament votes in favour of data protection reform

[...] The European Parliament voted on its first reading of the draft legislation, in order to consolidate the work done so far and hand it over to the next Parliament. This ensures that the MEPs newly elected in May can decide not to start from scratch, but instead build on work done during the current term.
The draft regulation was approved by 621 votes to 10, with 22 abstentions.
The draft directive was approved by 371 votes to 276, with 30 abstentions.
Source: EP

The European Parliament today cemented the strong support previously given at committee level to the European Commission's data protection reform (MEMO/13/923 and MEMO/14/60) by voting in plenary with 621 votes in favour, 10 against and 22 abstentions for the Regulation and 371 votes in favour, 276 against and 30 abstentions for the Directive). The reports of MEPs Jan-Philipp Albrecht and Dimitrios Droutsas, on which members of the European Parliament voted, are a strong endorsement of the Commission's data protection reform and an important signal of progress in the legislative procedure. The data protection reform will ensure more effective control of people over their personal data, and make it easier for businesses to operate and innovate in the EU's Single Market. [...]
To become law the proposed Regulation has to be adopted by the Council of Ministers using the "ordinary legislative procedure" (co-decision). The European Parliament stands ready to negotiate with the Council of the EU as soon as the Council defines its position.
On 4 March 2014 Ministers in the Council discussed the data protection reform, focusing on its territorial scope and on aspects relating to international transfers (MEMO/14/144 and SPEECH/14/175). Ministers broadly supported the principle that non-European companies when offering goods and services to European consumers, will have to apply the EU data protection law in full. The next meeting of Justice Ministers on the data protection reform will take place in June 2014.[...]
Source: European Commission

BRD: Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“

Düsseldorfer Kreis, Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ (Stand: 19.02.2014)

Um bei den privaten Betreibern von Videoüberwachungsanlagen vorhandene Wissenslücken hinsichtlich der datenschutzrechtlichen Anforderungen zu schließen, haben die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nicht-öffentlichen Bereich unter der Federführung des Landesbeauftragten für den Datenschutz Baden-Württemberg eine Orientierungshilfe zu dieser Thematik erarbeitet. Diese soll darüber informieren, unter welchen Voraussetzungen eine Videoüberwachung zulässig ist und welche gesetzlichen Vorgaben einzuhalten sind. [...]
Quelle: Landesbeauftragter für den Datenschutz Baden-Württemberg

10.03.2014

OGH: Nichtanwendbarkeit von § 25 TKG bei "garantiertem Entgelt"

OGH 20.01.2014, 4 Ob 115/13k (siehe auch Die Presse)
[...] 2.1. Die Beklagte bot das Kombinationspaket in ihrer Werbung, die den Verträgen mit ihren Kunden zugrunde lag, um ein monatliches Grundentgelt von 19,90 EUR auf die Dauer der Vertragslaufzeit an. Dennoch erhöhte sie während der Laufzeiten der Verträge einseitig das Grundentgelt um eine Internet-service-pauschale von jährlich 15 EUR. Auch wenn diese Erhöhung von der Beklagten nicht als solche tituliert, sondern mit der Einführung einer Internet-service-pauschale (für nicht bestellte und wirtschaftlich nicht werthaltige Leistungen) „bemäntelt“ wurde, ändert dies nichts daran, dass es sich im Ergebnis um eine Erhöhung des Grundentgelts handelte. Die - an sich richtige - Behauptung der Beklagten, sie habe ja das monatliche Aktions-Grundentgelt gar nicht erhöht, ist daher irrelevant.
2.2. Wenn sich die Beklagte auf § 25 TKG beruft, so übersieht sie, dass diese Bestimmung nichts über die Zulässigkeit von Vertragsänderungen im Einzelfall aussagt, sondern nur allgemein unter anderem die Vorgangsweise bei Änderungen der Allgemeinen Geschäftsbedingungen und Entgeltbestimmungen der Betreiber von Kommunikationsnetzen regelt. Im vorliegenden Fall geht es einzig darum, ob die - den jeweiligen Kundenverträgen zugrundeliegenden - Werbeankündigungen der Beklagten so zu verstehen sind, dass das Grundentgelt auf die Dauer der Vertragslaufzeit garantiert wird. Aufgrund des eindeutigen Wortlauts der Werbeankündigung … kommt … auf die Dauer der Vertragslaufzeit ein monatliches Grundentgelt in der Höhe von € 19,90 (inkl. USt) zur Verrechnung … ist dies gewiss zu bejahen. Einer anderen Deutung ist diese Aussage nicht zugänglich. Somit kommt § 25 TKG im vorliegenden Fall nicht zur Anwendung. [...]
3.3. Der Teilnehmer hat zwar gemäß § 25 Abs 3 TKG die Möglichkeit, den Vertrag bei Änderung der Allgemeinen Geschäftsbedingungen und Entgeltbestimmungen vorzeitig zu kündigen, jedoch ist eine derartige Kündigung von Internet-, Mobiltelefon- und Festnetztelefonieleistungen in der Regel mit Mühen und Unannehmlichkeiten wie der zeitweiligen Unterbrechung der Internetverbindung bzw dem allfälligen Verlust der bisherigen Telefonnummer und im Fall des Abschlusses mit einem alternativen Anbieter mit der Notwendigkeit einer Neuinstallation der technischen Anwendungsmöglichkeiten verbunden. Der Teilnehmer wird daher im Zweifel von einer Vertragskündigung Abstand nehmen. Er wird daher genötigt bzw durch die Ausnutzung der Machtposition der Beklagten (Verfügung über Telefon- und Internetverbindung) dahingehend beeinflusst, am Vertrag festzuhalten. Diese wettbewerbliche Nötigung bzw unzulässige Beeinflussung durch die Ausnutzung einer Machtposition ist als aggressive Geschäftspraktik im Sinn von § 1a UWG zu qualifizieren (vgl dazu Burgstaller in Wiebe/Kodek, UWG2 § 1a Rz 75, 116). [...]

09.03.2014

Art. 29 WP and APEC Members introduce Tool to Map Data Transfer Privacy Requirements

"Joint work between experts from the Article 29 Working Party and from APEC Economies, on a referential for requirements for Binding Corporate Rules submitted to national Data Protection Authorities in the EU and Cross Border Privacy Rules submitted to APEC CBPR Accountability Agents"
The project maps together the requirements for APEC Cross Border Privacy Rules (CBPRs) and EU Binding Corporate Rules (BCRs). The document, jointly designed by APEC officials and the EU’s Article 29 Data Protection Working Party, is designed to be a practical reference tool for companies that seek “double certification” under these APEC and EU systems, and shows the substantial overlap between the two.
This document (hereinafter “referential”) identifies the requirements common or similar to both the Binding Corporate Rules (hereinafter “BCR”) as usually authorized by national Data Protection Authorities in the European Union (hereinafter “EU”) for transfers of personal data outside of the EU but within a corporate group, and the Asia-Pacific Economic Cooperation (hereinafter “APEC”) Cross Border Privacy Rules system (hereinafter “CBPR”). This referential also identifies the additional elements required for BCR approval and CBPR certification as regards the authorization and compliance review process of both national Data Protection Authorities in the EU (hereinafter “DPAs”) and APEC CBPR recognized 
Accountability Agents. It is without prejudice to the individual authorization of BCR by national DPAs in line with EU data protection law and the certification of CBPR by APEC CBPR recognized Accountability Agents (hereinafter “APEC Accountability Agents”).

Transatlantic Privacy Enforcement: MoU between FTC and ICO

On 6 March 2014, the U.S. Federal Trade Commission (FTC) signed a memorandum of understanding, entitled "MEMORANDUM OF UNDERSTANDING BETWEEN THE UNITED STATES FEDERAL TRADE COMMISSION AND THE INFORMATION COMMISSIONER’S OFFICE OF THE UNITED KINGDOM ON MUTUAL ASSISTANCE IN THE ENFORCEMENT OF LAWS PROTECTING PERSONAL INFORMATION IN THE PRIVATE SECTOR" with the Information Commissioner’s Office (ICO) of the United Kingdom  to promote increased cooperation and communication between the two agencies in their efforts to protect consumer privacy.
Source: FTC

Datenschutzbehörde: FAQs zu "Datenschutz und Medien" und "Datenschutz und Direktwerbung"

Die österreichische Datenschzubehörde hat vor kurzem 2 neue FAQs veröffentlicht:

BRD: Skript IT-Recht veröffentlicht (Update: Internetrecht-Skriptum)

Prof. Dr. Hoeren (Universität Münster) hat sein bekanntes Skriptum zum IT-Vertragsrecht wieder einmal überarbeitet. Aktualisiert wurde u.a. die Rechtssprechung zu Gebrauchtsoftware, zum Schutz von Software, zu Softwaremängeln und Softwareerstellungsverträgen.
Update 13.03.2014: Auch das Skriptum "Internetrecht" wurde einem Update unterzogen.

Garante (Italian Data Protection Authority) fines Google €1,000,000 over its Street View operations

Italy's DPA, the Grante issued an injunction against Google Inc according to which Google is being fined €1,000,000 for violation of Articles 13, 161 and 164-bis, paragraph 2, of the Italian Data Protection Act (in Italian: Ordinanza di ingiunzione nei confronti di Google Inc. - 18 dicembre 2013 [2954309])
Update 04.04.2014: More here and here (Google has settled a case relating to privacy breaches in Italy around its street-mapping service [Street View], paying a fine of one million euros).

USA: ACLU California - Metadata: Piecing Together a Privacy Solution

Even though this paper is geared towards the current US state of play, metadata is a hot topic in Europe, too:
[...] [T]he ACLU of California [on Feb. 27 2014] released "Metadata: Piecing Together a Privacy Solution," [pdf] a new policy paper that offers a way forward. It explains why lawmakers might have originally decided to give metadata less protection than content — and why the reasons for doing so are no longer valid in the modern world. It highlights the sensitive information that metadata can expose and provides evidence of actual abuses that have occurred in past years. Drawing from recent court cases, state laws, and analysis, it provides a simple roadmap for courts and lawmakers looking to enhance protections for metadata and ensure that our right to privacy remains alive and well in the modern era. [...]
The distinction between content (which receives stronger protection) and metadata might have made sense decades ago when technology to collect and analyze data was virtually nonexistent. But in the modern world, non-content does not mean non-sensitive. Indeed, the explosion of data mining, targeted advertising and other new technologies is driven by the realization that companies and the government can learn a great deal about an individual simply be recording their actions. [...]

ICO: Updated privacy impact assessments code of practice

On 25 February, the [UK] Information Commissioner’s Office (ICO) has published its updated privacy impact assessments code of practice to help organisations respect people’s privacy when changing the way they handle people’s information. 
The code explains the privacy issues that organisations should consider when planning projects that use personal information, including the need to consult with stakeholders, identify privacy risks and address these risks in the final project plan.
Source: ICO

07.03.2014

Art.29 WP issues Opinions on necessity, proportionality and BCRs

The Article 29 Working Party has just published the following opinions adopted on 27 February 2014:

Ö: Literaturhinweis mit Leseprobe "Datenschutzrecht" (Musterhandbuch Öffentliches Recht)

Im Verlag Manz ist vor kurzem das "Musterhandbuch Öffentliches Recht" (Herausgeber: Wilhelm Bergthaler; Christoph Grabenwarter) erschienen. Hier ist eine 21-seitige Leseprobe zum Thema Datenschutzrecht von RA Dr. Knyrim abrufbar.

European Parliament: Q&A on EU data protection reform

Q&A on EU data protection reform (04.03.2014)
What happens next?
Parliament's negotiating team is ready to start negotiations with member states. The Council's Greek Presidency wants to have a negotiating mandate ready as soon as possible. Once the Council (EU member states) has agreed on a common position, the talks will start. Parliament aims is to reach an agreement before the end of 2014.
Once adopted, member states would have 2 years to bring the regulation into effect and transpose the directive into their national laws.


Key dates in Parliament
 
  • 12.03.2014: Plenary vote, first reading
  • Second half of 2014: Parliament-Council negotiations
  • Before end of 2014: EP-Council agreement
Nevertheless, I personally doubt that this is the definitive "road map" given the latest news (pdf) from the Justice and Home Affairs Council. (DE)

EPIC: FTC complaint about WhatsApp Sale to Facebook

EPIC has filed a complaint to the Federal Trade Commission concerning Facebook's proposed purchase of WhatsApp. More here.

OLG Wien: unzulässige Klauseln in einem Ratenzahlungs- und Anerkennungsformblatt eines Inkassobüros

OLG Wien 12.02.2014, 1 R 251/13h (nicht rechtskräftig)
Der VKI führt eine Verbandsklage gegen Klauseln in einem Ratenzahlungs- und Anerkennungsformblatt eines Inkassobüros, das OLG Wien beurteilte zahlreiche Klauseln bzw. Handlungspraktiken als gesetzwidrig, u.a. folgende Klausel: "Gemäß Datenschutzgesetz (DSG 2000) teilen wir Ihnen mit, dass wir Ihre Daten an die Kreditauskunftei Deltavista GmbH, Diefenbachgasse 35, 1150 Wien weitergeben. Sie können die weitere Verwendung der Daten für Bonitätsauskünfte dadurch vermeiden, indem Sie dieser Zahlungsaufforderung vollständig und fristgerecht nachkommen."
Dazu auszugsweise das OLG: [...] Es läge an der Beklagten - als nach eigenem Anspruch „Musterunternehmen“ (vgl Seite 3 in ON 2, AS 25) -, auch in datenschutzrechtlicher Sicht unmissverständlich klarzustellen, welche Daten sie für ihre Finanzdienstleistungen zulässigerweise verwendet, dass sie - wie sie behauptet - mit ihrer „bloßen Mitteilung“ keinerlei Rechtswirkungen anstrebt, und sie insbesondere nicht die Zustimmung des Verbrauchers (sei es nach § 8 Abs 1 Z 2 DSG 2000, sei es nach § 9 Z 6 DSG 2000) zu erlangen sucht. Anderenfalls hätte sie zur Erfüllung des Transparenzgebotes die Umstände, die den Konsumenten doch dazu veranlassen sollen, eine „gültige, insbesondere ohne Zwang abgegebene Willenserklärung [abzugeben], dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt“ (§ 4 Z 14 DSG 2000), konkret und vollständig offenzulegen (RIS-Justiz RS0115217, RS0115216). Es wäre dann auch an ihr gelegen, einen Hinweis auf den nach § 8 Abs 1 Z 2 oder § 9 Z 6 DSG 2000 jederzeit möglichen Widerruf zu machen, was das Höchstgericht bereits wiederholt als geboten angesehen hat (3 Ob 12/09z mwH). [...]
Mehr beim VKI hier.

06.03.2014

BGH: versuchter Betrug durch Betreiben von "Abo-Fallen" im Internet

BGH 05.03.2014, 2 StR 616/12 (Volltext noch nicht verfügbar)
Das Landgericht Frankfurt am Main hat den Angeklagten unter Freisprechung im Übrigen wegen versuchten Betrugs zu einer Freiheitsstrafe von zwei Jahren verurteilt und deren Vollstreckung zur Bewährung ausgesetzt. Aufgrund überlanger Verfahrensdauer hat es angeordnet, dass vier Monate der verhängten Strafe als vollstreckt gelten.
Nach den Feststellungen des Landgerichts betrieb der Angeklagte verschiedene kostenpflichtige Internetseiten, die jeweils ein nahezu identisches Erscheinungsbild aufwiesen, unter anderem einen sogenannten Routenplaner. Die Inanspruchnahme des Routenplaners setzte voraus, dass der Nutzer zuvor seinen Vor- und Zunamen nebst Anschrift und E-Mail-Adresse sowie sein Geburtsdatum eingab. Aufgrund der vom Angeklagten gezielt mit dieser Absicht vorgenommenen Gestaltung der Seite war für flüchtige Leser nur schwer erkennbar, dass es sich um ein kostenpflichtiges Angebot handelte. Die Betätigung der Schaltfläche "Route berechnen" führte nach einem am unteren Seitenrand am Ende eines mehrzeiligen Textes klein abgedruckten Hinweis zum Abschluss eines kostenpflichtigen Abonnements, das dem Nutzer zum Preis von 59,95 € eine dreimonatige Zugangsmöglichkeit zu dem Routenplaner gewährte. Dieser Fußnotentext konnte in Abhängigkeit von der Größe des Monitors und der verwendeten Bildschirmauflösung erst nach vorherigem "Scrollen" wahrgenommen werden.
Nach Ablauf der Widerrufsfrist erhielten die Nutzer zunächst eine Zahlungsaufforderung. An diejenigen, die nicht gezahlt hatten, versandte der Angeklagte Zahlungserinnerungen; einige Nutzer erhielten zudem Schreiben von Rechtsanwälten, in denen ihnen für den Fall, dass sie nicht zahlten, mit einem Eintrag bei der "SCHUFA" gedroht wurde. [...]
Der 2. Strafsenat hat das Rechtsmittel verworfen. Er hat ausgeführt, dass durch die auf Täuschung abzielende Gestaltung der Internetseite die Kostenpflichtigkeit der angebotenen Leistung gezielt verschleiert worden sei. Dies stelle eine Täuschungshandlung im Sinne des § 263 StGB dar. Die Erkennbarkeit der Täuschung bei sorgfältiger Lektüre schließe die Strafbarkeit nicht aus, denn die Handlung sei gerade im Hinblick darauf unternommen worden, die bei einem – wenn auch nur geringeren - Teil der Benutzer vorhandene Unaufmerksamkeit oder Unerfahrenheit auszunutzen. [...]
Quelle: Pressemitteilung des BGH

05.03.2014

EU: Final Report from the Expert Group on Intellectual Property Valuation

Final Report from the Expert Group on Intellectual Property Valuation (pdf)
From the summary: [...] This report summarises the conclusions and recommendations of a European Commission (EC) appointed panel of European IP valuation experts drawn from a range of disciplines including those involved with accounting, business valuation, IP consulting, litigation and damage award activities. The panel's task was to consider how IP valuation plays a part in the policy for the "Innovation Union" and the bottlenecks that occur. [...]
As a result of the in-depth analysis carried out in all the mentioned areas, the Expert Group
recommends a number of policy actions that could have a significant impact on reducing the
identified barriers in order to increase the efficient use of IP valuation and to make such valuation
flexible, transparent and reliable to respond to market requirements:

  • Establishing a data source containing information for use by valuation professionals, as a way to enhance credibility of valuations by improving data and available information on IP transactions,
  • Creating an organization to oversee IP valuation practice as a way to increase confidence in the quality of valuations being performed and to ensure that valuations are in line with generally accepted principles and standards,
  • Introducing a risk sharing scheme for banks to facilitate IP secured lending to innovative companies, especially SMEs,
  • Introducing an additional reporting section for intangible assets and IP that would increase the transparency of IP value within company accounts, providing important information to lenders, investors and stakeholders.

02.03.2014

OGH: Internetauftritt mit abgekürztem Firmenwortlaut - "Impressum" und UWG-Verstoß

OGH 17.1.2014, 4 Ob 211/13b
[...] Nach dem als bescheinigt angenommenen Sachverhalt hat die Beklagte aber gegen die Offenlegungsverpflichtung des § 5 Abs 1 Z 1 und 4 ECG nicht verstoßen. Ihrem Internetauftritt ist ständig, leicht und unmittelbar zugänglich sowohl ihr Name/ihre Firma, als auch die Firmenbuchnummer und das Firmenbuchgericht zu entnehmen. Der Umstand, dass die Beklagte an verschiedenen Stellen ihres Internetauftritts Abkürzungen ihres Firmenwortlauts verwendet, Firmenbestandteile in Fettdruck hervorhebt oder allgemein gebräuchliche Abkürzungen (Ges. für Gesellschaft) verwendet gefährdet in keiner Weise die vom Gesetz angestrebte vollständige Information des Nutzers über Identität und Erreichbarkeit seines potentiellen Vertragspartners. Es schadet auch nicht, dass die erforderlichen Daten (Name oder Firmenwortlaut einerseits und Firmenbuchnummer und Firmenbuchgericht andererseits) nicht im eigens hervorgehobenen Feld „Impressum“ zusammengefasst sind, wenn sie sonst im Rahmen des Internetauftritts ständig, leicht und unmittelbar zugänglich sind, was nach den jeweiligen Umständen des Einzelfalls zu prüfen ist (hier etwa Firmennamen im rechten oberen Bereich der Homepage).
Diese Erwägungen lassen sich wie folgt zusammenfassen: Ob ein Diensteanbieter die Offenlegungsverpflichtungen des § 5 Abs 1 ECG erfüllt, ist nach den Umständen des Einzelfalls insoweit zu prüfen, ob der Nutzer die zur Identifizierung des Diensteanbieters sowie die zur Ermöglichung der Kontaktaufnahme notwendigen Daten ständig, leicht und unmittelbar erlangen kann. Die Verwendung allgemein gebräuchlicher Abkürzungen schadet ebensowenig wie die Verwendung individueller Abkürzungen etwa des Namens, wenn der ungekürzte vollständige Wortlaut dem Gesamtauftritt ständig, leicht und unmittelbar zu entnehmen ist. [...]
Siehe auch schon hier.

OGH: Haftungsfreizeichnung für leichte Fahrlässigkeit in "Entgeltordnung" unwirksam

OGH 22.01.2014, 2 Ob 234/13w
[...] 4.3. Nach dem allgemeinen Verständnis einer vom Vertragspartner stammenden „Tarifordnung“ oder - damit hier offenbar ident - einer „Entgeltordnung“ ist eine Klausel über einen Haftungausschluss darin nicht zu erwarten und ungewöhnlich. Vielmehr erwartet der Leser in einer solchen Ordnung lediglich die Auflistung von Entgelten für bestimmte Leistungen.
Dazu kommt, dass die Klägerin als Vertragspartnerin der Beklagten auch aufgrund der unter Punkt 1. dargestellten gesetzlichen Bestimmungen in der „Tarifordnung“ oder „Entgeltordnung“ mit einer Klausel über einen Haftungsausschluss nicht rechnen musste, weil diese gesetzlichen Bestimmungen eine Haftungsregelung in der Tarifordnung nicht vorsehen. Eine „Entgeltordnung“ ist im Gesetz überhaupt nicht vorgesehen.
Dass die Haftungsausschlussklausel für die Klägerin nachteilig ist, bedarf keiner Erörterung.
Dass die Beklagte die Klägerin auf diese Klausel besonders hingewiesen hätte, hat sie nicht behauptet.
Im Licht der unter Punkt 4.2. referierten Rechtsprechung ist somit der Haftungausschluss für leichte Fahrlässigkeit in Punkt 6.1 der Entgeltordnung eine ungewöhnliche Bestimmung im Sinne des § 864a ABGB, weshalb sie nicht Vertragsbestandteil zwischen den Streitteilen geworden ist. [...]

HG Wien: 22 AGB-Klauseln der A1 Telekom Austria AG ("Bob") rechtswidrig

Handelsgericht Wien 20.02.2014, 19 Cg 8/14v (nicht rechtskräftig)
Der VKI führt - im Auftrag des "Konsumentenschutzministeriums" (BMASK) - eine Verbandsklage gegen die A1 Telekom Austria AG. Insgesamt wurden 23 Klauseln abgemahnt, das HG Wien gab dem VKI bei 22 Klauseln Recht.
[...] Pkt 16.) Nach ständiger Rechtsprechung liegt eine wirksame Zustimmung iSd § 4 Z 14 DSG nur vor, wenn der Betroffene weiss, welche Daten zu welchem Zweck verwendet werden (RIS Justiz RS0115216). Die Klausel lässt offen, welche konkreten Daten zu welchem konkreten Zweck verwendet werden sollen. In Abs 2 des § 15 sind die Daten nur beispielsweise („insbesondere“) aufgezählt. Auch der Zweck ist unbestimmt. Aus der Anführung von „im Zusammenhang und für die Erbringung erforderliche Leistungen lassen den Verwendungszweck nicht hinreichend klar erkennen. [...]
Quelle: VKI