29.05.2014

Ö: Parl. Anfragebeantwortung - Datenmissbrauch durch Apps auf Smartphones

Anfragebeantwortung durch den Bundeskanzler Werner Faymann zu der schriftlichen Anfrage (1159/J) der Abgeordneten Rouven Ertlschweiger, MSc, Kolleginnen und Kollegen an den Bundeskanzler betreffend "Datenmissbrauch durch die Anwendungsprogramme (Apps) auf Smartphones" (1091/AB)
[...] Zu den Fragen 4 und 5:
Erachten Sie die bestehenden Regelungen zum Schutz der Konsumenten vor Datenmissbrauch durch Anwendungsprogramme auf mobilen elektronischen Geräten für ausreichend?
Wenn nein, welche Maßnahmen zur Verbesserung der Situation wurden bzw. werden von Ihnen getroffen?
Welche rechtlichen Möglichkeiten sehen Sie, um die unerlaubte bzw. unerkannte Weitergabe von Handy-Daten einzuschränken bzw. völlig zu unterbinden?
Soweit Handy-Daten „unerlaubt“, d.h. entgegen rechtlicher Verbotsnormen weitergegeben werden, kommt nur eine nachträgliche Sanktionierung im Falle der Aufdeckung in Frage. Diesbezüglich verweise ich auf die einschlägigen Strafbestimmungen des DSG 2000 (§§ 51 ff). Die allfällige „unerkannte“ Weitergabe von Handy-Daten spricht die Frage der Transparenz gegenüber den Betroffenen an. Grundsätzlich sind Auftraggeber, d.h. insbesondere Anbieter von Kommunikationsdienstleistungen sowie Internetdiensteanbieter schon nach dem DSG 2000 (§ 24) zu einer ausreichenden Information verpflichtet. Hier stellt sich primär die Frage der effektiven Verfolgung mangelhafter Informationstätigkeit durch die Aufsichtsbehörde bzw. – bei nachteiligen Folgen im Nachhinein – durch Betroffene vor Zivilgerichten. Die völlige Einschränkung bzw. Unterbindung solcher unerkannten Weitergaben kann insofern nicht unmittelbar mittels einer legistischen Maßnahme bewerkstelligt werden, sondern hängt vom entsprechenden Bewusstsein und der sozialen Interaktion aller Beteiligten ab.
Zu Frage 7: [...]
Das Bundeskanzleramt ist bestrebt, im Rahmen seiner Beteiligung am Rechtssetzungsverfahren im EU-Rat betreffend die Datenschutz-Grundverordnung auf eine klare Regelungen hinzuwirken, welche die Informationsmindesterfordernisse für Auftraggeber insbesondere auf dem Feld der Internetdienste so definiert, dass eine wirksame Anwendung in der künftigen Praxis erwartbar ist. Die Einzelheiten dieser Transparenzanforderungen sind sich nach wie vor im Stadium der Diskussion.

27.05.2014

FTC: Report on Data Brokers

FTC report, “Data Brokers: A Call for Transparency and Accountability
In this report issued today on the data broker industry, the Federal Trade Commission finds that data brokers operate with a fundamental lack of transparency. The Commission recommends that Congress consider enacting legislation to make data broker practices more visible to consumers and to give consumers greater control over the immense amounts of personal information about them collected and shared by data brokers.
The report is the result of a study of nine data brokers, representing a cross-section of the industry, undertaken by the FTC to shed light on the data broker industry. Data brokers obtain and share vast amounts of consumer information, typically behind the scenes, without consumer knowledge. Data brokers sell this information for marketing campaigns and fraud prevention, among other purposes. Although consumers benefit from data broker practices which, for example, help enable consumers to find and enjoy the products and services they prefer, data broker practices also raise privacy concerns. [...]

26.05.2014

Big Data Protection - How to Make the Draft EU Regulation on Data Protection Future Proof

Big Data Protection - How to Make the Draft EU Regulation on Data Protection Future Proof (pdf). Lecture delivered during the public acceptance of the appointment of  professor of Global ICT Law at Tilburg University on 14 February 2014 by Prof. dr. Lokke Moerel:
[...] 9. Suggestions for improvement of the Proposed Regulation
To ensure that companies and governments (as The Economist says) manage the data flows well and make the right choices about when to restrict or encourage the flow and use of data, I propose to delete from the Proposed Regulation the:
• purpose limitation principle;
• data minimisation principle;
• storage minimisation principle;
• prohibition on the processing of the special categories of data unless one of the limitative grounds is available;
• prescriptive documentation requirement;
• right to object to profiling;
• ex-ante consultation and authorisation requirements of the Data Protection Authorities for more sensitive data processing operations. Instead I suggest: [...]

Paper by Solove/Hartzog: The FTC and Privacy and Security Duties for the Cloud

Just for my digital memory:
Solove, Daniel J. and Hartzog, Woodrow, The FTC and Privacy and Security Duties for the Cloud (April 14, 2014). 13 BNA Privacy & Security Law Report 577 (2014). Available at SSRN: http://ssrn.com/abstract=2424998

ICO: Protecting personal data in online services - learning from the mistakes of others

ICO, Report on "Protecting personal data in online services: learning from the mistakes of others" (pdf; 12 May 2014):
[...] This report relates to the seventh data protection principle and is intended to inform organisations about appropriate measures to safeguard personal data being processed by their computer systems. It is particularly relevant to organisations operating in an online environment.
4. The ICO recognises that there is a large amount of guidance already available in the wider field of information security, and this report is not intended as a comprehensive manual on the topic. Instead, it draws upon this existing knowledge while specifically focusing on the most significant threats to data protection. These are defined as those that have either resulted in a severe breach of the DPA or frequently occur in the ICO's casework. In almost all aspects the threats are not new and have been discussed in many information security publications.
[...]

Ö: Datenschutzbehörde zieht EuGH-Vorabentscheidungsersuchen mangels Aktivlegitimation zurück

Mit Schreiben an den Gerichtshof der Europäischen Union (EuGH) vom 29. April 2014 hat die Datenschutzbehörde das von der früheren Datenschutzkommission beim EuGH gestellte Vorabentscheidungsersuchen [...] zurückgezogen. Die anhängigen Beschwerdeverfahren betreffend Auskunftserteilung über den Inhalt von durch Internet-Service-Provider und Telekom-Unternehmen gespeicherten Vorratsdaten werden nun fortgesetzt:
Aus dem Schreiben:
[...] 4. Daraus folgt, dass die Datenschutzbehörde, anders als die Datenschutzkommission, nicht mehr gemäß Artikel 267 AEUV aktiv legitimiert wäre, dem Gerichtshof ein Vorabentscheidungsersuchen vorzulegen. Die Datenschutzbehörde hätte vielmehr die anhängigen Beschwerden zu entscheiden und abzuwarten, ob mögliche Fragen der Auslegung des Unionsrechts von den Rechtsmittelgerichten aufgegriffen werden. [...] 
Quelle: DSB; siehe auch hier bei e-comm (Lehofer).

23.05.2014

Art. 29 WP: Press release - the right to be forgotten (CJEU)

The European data protection authorities assembled in the Article 29 Working Party (WP29) welcome the European Court of Justice (ECJ) ruling of 13 May 2014 which sets a milestone for EU data protection in respect of search engines and, more generally, in the online world. In particular, it retains a wide interpretation of the notion of "establishment" for determining the applicability of the EU Directive 95/46/EC and national law to search engines. It also clarifies the concepts of "data processing" and "controller" as regards the processing of personal data by search engines, and recognises a right to be forgotten for individuals, subject to conditions. The WP29 will discuss at its next plenary the operational and legal consequences of this ruling. [...]
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20140523_wp29_press_release_ecj_google.pdf

22.05.2014

California: Recommendations on Developing a Meaningful Privacy Policy

On 21 May, Attorney General Kamala D. Harris issued a series of recommendations for businesses that directly address recent changes to California privacy law. The guide, Making Your Privacy Practices Public, provides businesses with an up-to-date resource to craft a useful, transparent privacy policy for consumers. [...]
http://oag.ca.gov/news/press-releases/attorney-general-kamala-d-harris-issues-guide-privacy-policies-and-do-not-track
The guide is available here: http://bit.ly/RUh7Do

21.05.2014

CNIL publishes its Activity Report 2013

CNIL, Rapport d’Activité 2013 (pdf; in French). And I am afraid I had overlooked this: First issue of CNIL IP Reports: “Privacy towards 2020” – 42 experts share their visions of the future of privacy with the French regulation authority (in English; Sept. 2013): Press release; Report (pdf).

BRD: Beschluss - Smartes Fernsehen nur mit smartem Datenschutz

Gemeinsame Position der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) und der Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten, (Pressemeldung hier):

Aus datenschutzrechtlicher Sicht sind die folgenden Anforderungen zu beachten:
1. Die anonyme Nutzung von Fernsehangeboten muss auch bei Smart-TV Nutzung gewährleistet sein. Eine Profilbildung über das individuelle Fernsehverhalten ist ohne informierte und ausdrückliche Einwilligung der Zuschauer unzulässig.

2. Soweit Web- oder HbbTV-Dienste über Smart-TV-Geräte genutzt werden, unterliegen diese als Telemedien den datenschutzrechtlichen Anforderungen des Telemediengesetzes. Endgerätehersteller, Sender sowie alle sonstigen Anbieter von Telemedien müssen entweder eine entsprechende Einwilligung der Betroffenen einholen oder zumindest die folgenden rechtlichen Vorgaben beachten: [...]
3. Beachtung des Prinzips „privacy by default“: Die Grundeinstellungen der Smart-TV-Geräte und Web-Dienste sind durch die Hersteller und Anbieter derart zu gestalten, dass dem Prinzip der anonymen Nutzung des Fernsehens
hinreichend Rechnung getragen wird.
[...]
4. Smart-TV-Geräte, die HbbTV- Angebote der Sender sowie sonstige Web-Dienste müssen über sicherheitstechnische Mechanismen verfügen, die die Geräte und den Datenverkehr vor dem Zugriff unbefugter Dritter schützen.

20.05.2014

Ö: Datenschutzbehörde zur "Löschung aus dem Internet"

Die österreichische Datenschutzbehörde gibt hier einen Überblick zum Thema "Löschung aus dem Internet" und geht darin auch kurz auf das rezente EuGH-Urteil C‑131/12 ein. Das Fazit:
Bitte beachten Sie, dass trotz dieses Urteils eine allgemeine Aussage über ein Löschungsrecht gegen Such­maschinen­betreiber noch nicht möglich ist. In Österreich muss die Durchsetzung der Löschung durch eine Klage nach § 32 DSG 2000 vor Gericht erfolgen.
Bedenken Sie auch, dass jeder Such­maschinen­betreiber einzeln geklagt werden müsste. Angesichts der Marktanteile der Such­maschinen müsste man immer zwei bis vier Such­maschinen­betreiber auf Löschung klagen. Die Löschungsklage gegen den Inhaber der Originalseite wird daher auf absehbare Zeit die optimale Lösung bleiben.

Ö: DSK/Datenschutzbehörde veröffentlicht Datenschutzbericht 2012/2013

Die Datenschutzkommission (DSK) ist bzw. war bis Ende 2013 die nationale Datenschutz-Kontrollstelle im Sinne des Art.28 der Datenschutzrichtlinie 95/46/EG. Ihr hiermit vorgelegter fünfzehnter Datenschutzbericht umfasst den Zeitraum vom 1. Jänner 2012 bis 31. Dezember 2013. Es handelt sich hierbei um den letzten Datenschutzbericht der Datenschutzkommission, da diese am 31. Dezember 2013 aufgelöst und durch eine neue Datenschutzbehörde ersetzt [wurde].

[...] 5.1.1 Grundsätzliches zur Personalausstattung
Trotz punktueller Hilfestellung durch den Verfassungsdienst des Bundeskanzleramtes hat sich an der Tatsache, dass die Datenschutzkommission – gemessen an der Einwohnerzahl – viel weniger Personal besitzt als die meisten anderen Datenschutz-Kontrollstellen der Mitgliedsstaaten der Europäischen Union, grundsätzlich nichts geändert. Einige dieser anderen Behörden wurden wiederholt aufgestockt, so dass die österreichische Behörde im Vergleich dazu entsprechend abfällt.
[...]
[...] 8.4 Gesetzlicher Handlungsbedarf
8.4.1 Entlastung des DVR
Wie bereits im vorigen Datenschutzbericht ausgeführt wurde, stellt eines der Hauptprobleme der Datenschutzkommission die permanente Überlastung des DVR dar. In diesem Zusammenhang ist auch zu erwähnen, dass der am 25. Jänner 2012 von der Europäischen Kommission vorgestellte Entwurf einer Datenschutz-Grundverordnung eine generelle Meldepflicht nicht mehr vorsieht, dass aber riskante Datenverwendungen auch weiterhin vorweg von der Datenschutzbehörde geprüft werden sollen. Es scheint daher erwägenswert, im Lichte dieser geplanten Entwicklungen auf EU-Ebene bereits gewisse Entlastungen im Meldewesen vorzusehen.
[...]
8.4.2 Bonitätsinformation
Wie auch im vorhergehenden Berichtszeitraum wurden auch in diesem Berichtszeitraum bei der Datenschutzkommission einige Beschwerden bezüglich der Ermittlung und weiteren Verwendung von Kredit- und Bonitätsinformationen eingebracht. Wie bereits im letzten Datenschutzbericht angesprochen ist die Datenschutzkommission bei der Behandlung dieser Fälle zur Auffassung gelangt, dass in diesem Bereich, in dem nicht ordnungsgemäße Datenverwendung für die Betroffenen auch sehr wichtige wirtschaftliche Implikationen hat, gesetzlicher Handlungsbedarf besteht, soweit die anstehenden Probleme nicht durch Verhaltensregeln gemäß § 6 Abs. 4 DSG 2000 gelöst werden können:
[...]
8.4.3 Videoüberwachung
Wie bereits in den vorhergegangenen Berichten erachtet es die Datenschutzkommission für notwendig, den Begriff der Videoüberwachung (§ 50a Abs. 1 DSG 2000) zu schärfen.
[...]

Deutsche Telekom: Konzernrichtlinie Datenschutz als Binding Corporate Rules anerkannt

Die Deutsche Telekom AG hat das Verfahren zur Anerkennung ihrer Konzernrichtlinie Datenschutz [pdf; "Leitlinie (Code of Conduct) zum Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten in der Deutschen Telekom Gruppe"; Code of Conduct for the Protection of the Individual’s Right to Privacy in the Handling of Personal Data within the Deutsche Telekom Group"] als unternehmensweite Datenschutzregelung (Binding Corporate Rules) erfolgreich abgeschlossen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, hat am vergangenen Freitag dem Telekomvorstandsmitglied Dr. Thomas Kremer offiziell ein Genehmigungsschreiben überreicht. In diesem wird bestätigt, dass die Deutsche Telekom AG künftig nach Maßgabe ihrer Bindung Corporate Rules personenbezogene Daten ins Ausland übermitteln kann, ohne dafür im Einzelfall eine Genehmigung einholen zu müssen. [...]
Quelle: BfDI

16.05.2014

Report: Mobile Health and Fitness Apps and Information Privacy

I overlooked this report which is dated July 15, 2013: Mobile Health and Fitness Applications and Information Privacy, Report to California Consumer Protection Foundation by Linda Ackerman. It is cited in the Workshop Slides (pages 22 et seq. - scary stuff in those slides from an European point of view) of the FTC's seminar entitled Consumer Generated and Controlled Health Data.

Norwegian Consumer Council: Apple iCloud violates Norwegian and European law

The Norwegian Consumer Council [Forbrukerrådet] published a study earlier this year about terms of services in online storage services. The study shows that the contracts do not adequately protect consumer rights and privacy. [...] The Norwegian Consumer Council has now lodged a complaint [pdf] about Apple’s terms with the Norwegian Consumer Ombudsman for violating several articles of Norwegian law. [...] According to the complaint, the most serious issue found in the study was Apple’s unilateral right to change the Agreement at any time, at their own discretion, and without giving users notice.
Source: Forbrukerrådet

14.05.2014

USA: Report on the Importance of Cross-Border Data Transfers to Prosperity

[...] In order to preserve the benefits of cross-border data transfers, the Chamber has partnered with the global privacy and cybersecurity experts at Hunton & Williams LLP to develop a white paper entitled Business Without Borders: The Importance of Cross-Border Data Transfers to Global Prosperity [with an Annex containing a short overview data transfer restrictions in key regions]. The paper highlights the benefits of cross-border data transfers across all sectors of the economy and presents pragmatic solutions for developing mechanisms that protect privacy while facilitating data flows. [...]
Source: U.S. Chamber of Commerce; Hunton & Williams

13.05.2014

CJEU: Google v Spanish DPA (right to be forgotten etc; updated)

Tomorrow, 13.05.2014 (around 9:30 CET) could be an interesting day for data protection afficionados, the CJEU will publish its judgment in the Case C‑131/12 - Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD), for the Opinion of the AG see here. Inter alia, the hotly disputed territorial scope of the application of national/European data protection legislation will (hopefully) be addressed ...

Update 13.05.2014: 
From the press release (DE):
An internet search engine operator is responsible for the processing that it carries out of personal data which appear on web pages published by third parties
Thus, if, following a search made on the basis of a person’s name, the list of results displays a link to a web page which contains information on the person in question, that data subject may approach the operator directly and, where the operator does not grant his request, bring the matter before the competent authorities in order to obtain, under certain conditions, the removal of that link from the list of results
[...]
In today’s judgment, the Court of Justice finds, first of all, that by searching automatically, constantly and systematically for information published on the internet, the operator of a search engine ‘collects’ data within the meaning of the [data protection] directive [95/46/EC]. [...] The Court further holds that the operator of the search engine is the ‘controller’ in respect of that processing, within the meaning of the directive, given that it is the operator which determines the purposes and means of the processing. [...] 
As regards the directive’s territorial scope, the Court observes that Google Spain is a subsidiary of Google Inc. on Spanish territory and, therefore, an ‘establishment’ within the meaning of the directive. The Court rejects the argument that the processing of personal data by Google Search is not carried out in the context of the activities of that establishment in Spain. The Court holds, in this regard, that where such data are processed for the purposes of a search engine operated by an undertaking which, although it has its seat in a non-member State, has an establishment in a Member State, the processing is carried out ‘in the context of the activities’ of that establishment, within the meaning of the directive, if the establishment is intended to promote and sell, in the Member State in question, advertising space offered by the search engine in order to make the service offered by the engine profitable.[...]

From the judgment (DE):
On those grounds, the Court (Grand Chamber) hereby rules:
1.      Article 2(b) and (d) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data are to be interpreted as meaning that, first, the activity of a search engine consisting in finding information published or placed on the internet by third parties, indexing it automatically, storing it temporarily and, finally, making it available to internet users according to a particular order of preference must be classified as ‘processing of personal data’ within the meaning of Article 2(b) when that information contains personal data and, second, the operator of the search engine must be regarded as the ‘controller’ in respect of that processing, within the meaning of Article 2(d).
2.      Article 4(1)(a) of Directive 95/46 is to be interpreted as meaning that processing of personal data is carried out in the context of the activities of an establishment of the controller on the territory of a Member State, within the meaning of that provision, when the operator of a search engine sets up in a Member State a branch or subsidiary which is intended to promote and sell advertising space offered by that engine and which orientates its activity towards the inhabitants of that Member State.
3.      Article 12(b) and subparagraph (a) of the first paragraph of Article 14 of Directive 95/46 are to be interpreted as meaning that, in order to comply with the rights laid down in those provisions and in so far as the conditions laid down by those provisions are in fact satisfied, the operator of a search engine is obliged to remove from the list of results displayed following a search made on the basis of a person’s name links to web pages, published by third parties and containing information relating to that person, also in a case where that name or information is not erased beforehand or simultaneously from those web pages, and even, as the case may be, when its publication in itself on those pages is lawful.
4.      Article 12(b) and subparagraph (a) of the first paragraph of Article 14 of Directive 95/46 are to be interpreted as meaning that, when appraising the conditions for the application of those provisions, it should inter alia be examined whether the data subject has a right that the information in question relating to him personally should, at this point in time, no longer be linked to his name by a list of results displayed following a search made on the basis of his name, without it being necessary in order to find such a right that the inclusion of the information in question in that list causes prejudice to the data subject. As the data subject may, in the light of his fundamental rights under Articles 7 and 8 of the Charter, request that the information in question no longer be made available to the general public on account of its inclusion in such a list of results, those rights override, as a rule, not only the economic interest of the operator of the search engine but also the interest of the general public in having access to that information upon a search relating to the data subject’s name. However, that would not be the case if it appeared, for particular reasons, such as the role played by the data subject in public life, that the interference with his fundamental rights is justified by the preponderant interest of the general public in having, on account of its inclusion in the list of results, access to the information in question.

Update 20.05.2014: For a list of articles with lively discussions regarding the scope and the consequences of this judgment, see e-comm (Lehofer).

12.05.2014

Liechtenstein: Datenschutzstelle veröffentlicht Tätigkeitsbericht 2013

Datenschutzstelle des Fürstentums Liechtenstein, Tätigkeitsbericht 2013, Pressemitteilung hier (pdf):
Der NSA-Skandal stand im vergangenen Jahr nicht nur in den Medien, sondern auch bei
der Datenschutzstelle (DSS) im Vordergrund.
Doch der Big Brother ist nicht mehr alleine. Neue Möglichkeiten wie Google Glass oder die
neu aufkommende Problematik von Mikro-Drohnen führen dazu, dass jeder Einzelne
immer leichter zum „Small Brother“ werden kann. Damit gibt es neben dem Staat und den
Unternehmen eine dritte Gruppe von Datensammlern. Diese Entwicklungen bestätigen,
dass griffige Massnahmen auf internationaler und europäischer Ebene nötig sind, damit
der Privatsphäre weiterhin der Schutz zukommt, den ihr die Väter der Verfassung
beimessen wollten.
[...]

Ö: Datenschutzrat - Stellungnahme zur B-VG-Novelle betreffend die Informationsfreiheit

Stellungnahme des Datenschutzrats zu dem Ministerialentwurf betreffend Bundesverfassungsgesetz, mit dem das Bundes-Verfassungsgesetz geändert wird (48/SN-19/ME):
[...] 3) Datenschutzrechtliche Fragestellungen zum Entwurf
Dem Datenschutzrat erscheinen folgende Fragen zum Entwurf relevant:
  • In welchem Verhältnis stehen die Informationsverpflichtungen nach Art. 22a Abs. 1 bis 3 B-VG und das Grundrecht auf Datenschutz nach § 1 DSG 2000, zumal beide Bestimmungen verfassungsrechtlich normiert sind?
  • Stellt Art. 22a B-VG eine Eingriffsnorm in das Grundrecht auf Datenschutz nach § 1 Abs. 2 DSG 2000 dar?
  • Nach welchen Kriterien soll die datenschutzrechtliche Abwägung nach Art. 22a Abs. 2 B-VG vorgenommen werden [...]
Der Datenschutzrat sieht grundsätzlich in dem vorgeschlagenen Grundrecht auf Zugang zu Informationen ein Spannungsverhältnis zum Grundrecht auf Datenschutz und weist darauf hin, dass künftig im Rahmen von Veröffentlichungen und des Rechts auf Informationszugang eine Interessenabwägung zwischen diesen beiden Grundrechten vorgenommen werden muss. [...]

New method of citing the case-law of the Court of Justice of the European Union

New method of citing the case-law of the Court of Justice of the European Union on the basis of the ECLI (European Case-Law Identifier)
I. The context of the alteration of the method of citing the case-law
As part of an initiative taken by the Council, a European Case-Law Identifier (ECLI) has recently been created. That identifier is intended to provide an unambiguous reference both to national and European case-law and to define a minimum set of uniform metadata for the case-law.  It thus facilitates the consultation and citation of case-law in the European Union. [...]

Additionally, the publication arrangements for the Electronic Reports of Cases are changing. From now on, the Reports will be published only electronically and the paper version will no longer appear. [...]

Dt. Bundesregierung: Datenschutz im Auto

Datenschutz im Auto: Antwort der [dt.] Bundesregierung auf die Kleine Anfrage der Abgeordneten Renate Künast, Stephan Kühn (Dresden), Dr. Konstantin von Notz, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN (BT-Drs 18/1166 und 18/1362):
[...] 5. Wer hat nach Auffassung der Bundesregierung die Rechte an diesen Daten (vgl. die Fragen 1 und 2; bitte jeweils aufschlüsseln und die Rechtsgrundlage nennen)?
Die Frage von „Rechten an Daten“ ist höchst komplex. Das Bundesdatenschutzgesetz (BDSG) setzt nicht bei Eigentums- oder anderen dinglichen Rechten an, sondern unterscheidet zwischen dem für die Datei Verantwortlichen (verantwortliche Stelle, § 3 Absatz 7 BDSG) und demjenigen, um dessen Daten es sich handelt (Betroffener, § 3 Absatz 1 BDSG). Betroffener in diesem Sinne ist einerseits der Fahrzeughalter, andererseits der Fahrzeugnutzer (Fahrer), der allerdings oftmals ohne die Hinzunahme weiterer Erkenntnisse nicht bestimmbar sein wird. Ob der Betroffene gleichzeitig verantwortliche Stelle ist, er also die jeweils anfallenden Daten selbst oder unter Zuhilfenahme Dritter erhebt, verarbeitet oder nutzt, hängt davon ab, ob er selbst die Datenherrschaft über die gespeicherten Daten ausüben kann. In den Fällen, in denen er selbst diese Datenherrschaft nicht oder nicht effektiv ausüben kann, sei es dadurch, dass ihm die notwendigen Gerätschaften regelmäßig nicht zur Verfügung stehen, sei es, dass die notwendigen Kenntnisse hierfür nur schwer zu erwerben sind, ist von einer Datenherrschaft und damit der Eigenschaft als verantwortliche Stelle bei demjenigen auszugehen, der oder die diese Gerätschaften und Kenntnisse besitzt, es sei denn, sie nutzen das eine oder das andere ausschließlich im Auftrage des Betroffenen. Wer verantwortliche Stelle und Betroffener ist, ist in jedem konkreten Einzelfall zu ermitteln und lässt sich nicht pauschal beantworten. In mehrpolaren Verhältnissen – etwa einem Kfz-Hersteller, einem Halter, einem Fahrer, einer Werkstatt, einem Verkehrsdienst-Anbieter etc. – ist die Zuordnung häufig äußerst schwierig. Die Bundesregierung setzt sich daher dafür ein, das System der datenschutzrechtlichen Verantwortlichkeiten im Zuge der Verhandlungen einer Datenschutz-Grundverordnung auf EU-Ebene fortzuentwickeln.
[...]

OLG Wien: Unwirksame E-Banking-AGB-Klauseln (BAWAG)

OLG Wien 1 R 5/14h, 1 R 6/14f (nicht rechtskräftig) 
Der Verein für Konsumenteninformation (VKI) führt im Auftrag des Konsumentenschutzministeriums eine Verbandsklage gegen die umstrittenen E-Banking-Bedingungen der BAWAG PSK. Zahlreiche Kunden führten Beschwerde darüber, dass in den AGB alle möglichen Risken auf die Kunden verschoben werden und von den Kunden völlig überzogene Sorgfaltspflichten verlangt werden. Das OLG Wien hat nun das Urteil des HG Wien bestätigt: 9 beanstandete Klauseln sind gesetzwidrig.
Quelle: VKI

08.05.2014

New handbook on EU broadband state aid

The broadband State aid rules explained - An eGuide for Decision Makers
Abstract
The present Guide is targeting on public sector decision makers and it aims at explaining the principles of the European Commission’s assessment of public support to broadband deployment projects on the basis of the “Broadband Guidelines”. The objective is to make broadband infrastructure deployment faster and easier. The Guide illuminates the implications of broadband deployment in white, grey and black (basic broadband or NGA) areas and it elucidates in detail the key criteria applied for the assessment of State aid (compatibility conditions, “step change”, the proportionality of a broadband measure, and the balancing test). Furthermore, the Guide presents an overview of a range of measures that either are not constituting State aid (e.g. rolling-out a broadband network for non-commercial purposes, activities under the “market economy investor principle”) or, albeit constituting State aid, for which no notification is required (like e.g. support under an already existing broadband framework scheme, the “de minimis” rule, the upcoming new possibilities under the revised General Block Exemption Regulation, and State aid approval for broadband projects under the Regional (State) aid Guidelines). In addition, the Guide gives detailed recommendations as to an efficient execution of a broadband project, in particular vis-à-vis the pre-notification and notification. 

Draft Impact Assessment on the "Modernisation of the EU copyright acquis"

Full text of the Draft Impact Assessment on the "Modernisation of the EU copyright acquis" (provisional version; Statewatch, pdf)

SEC: Social Media OK for Company Announcements if Investors Are Alerted

On April 2nd, the Securities and Exchange Commission [...] issued a report that makes clear that companies can use social media outlets like Facebook and Twitter to announce key information in compliance with Regulation Fair Disclosure (Regulation FD) so long as investors have been alerted about which social media will be used to disseminate such information. [...]
Source: Press release

OLG Wien: Automatische Umstellung auf elektronische Rechnung unzulässig

OLG Wien 25.03.2014, 1 R 21/14m
Der VKI führt im Auftrag des Sozialministeriums eine Verbandsklage gegen T-Mobile zur Frage der Zulässigkeit der automatischen Umstellung von der Papierrechnung auf die Onlinerechnung, wenn der Kunde nicht aktiv widerspricht. Nun folgte auch das Oberlandesgericht Wien als Berufungsgericht der Auffassung des VKI. Sowohl die verwendeten Mitteilungen an die Kunden über die sofort erfolgende Umstellung wie auch die faktische Umsetzung sind binnen zwei Monaten zu unterlassen. [...]
Quelle: VKI

Global Privacy Enforcement Network: Privacy Sweep on mobile apps

The exploding popularity of mobile applications is raising a number of privacy concerns, prompting the  Global Privacy Enforcement Network (GPEN) to focus its 2014 international Privacy Sweep on mobile apps. The Sweep from May 12 to 18, 2014, involving 27 privacy enforcement authorities from around the world, is aimed at shedding light on the collection and use of personal information on mobile apps. [...]
Source: Office of the Privacy Commissioner of Canada; for the 1st sweep that took place in 2013 look here. This year, 27 privacy enforcement authorities are participating in the Sweep – up from 19 in 2013.

02.05.2014

Ö: NR-Beschluss - Fern- und Auswärtsgeschäfte-Gesetz (Verbraucherrechte-RL-Umsetzungsgesetz; updated: im BGBl)

Beschluss des Nationalrates vom 29. April 2014 betreffend ein Bundesgesetz, mit dem das allgemeine bürgerliche Gesetzbuch, das Konsumentenschutzgesetz und das Verbraucherbehörden-Kooperationsgesetz geändert werden und ein Bundesgesetz über Fernabsatz- und außerhalb von Geschäftsräumen geschlossene Verträge (Fern- und Auswärtsgeschäfte-Gesetz – FAGG) erlassen wird (Verbraucherrechte-Richtlinie-Umsetzungsgesetz – VRUG)
Beschlossener Gesetzestext; Anhang (Informationen zur Ausübung des Widerrufsrechts; Muster-Widerrufsformular)
Update 27.05.2014: Verbraucherrechte-Richtlinie-Umsetzungsgesetz – VRUG, kundgemacht am 26.05.2014 im BGBl I 33/2014 (im Anhang I mit der Muster-Widerrufsbelehrung und dem Muster-Widerrufsformular)

USA: White House Report on Big Data (and Privacy)

BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES (pdf)
[...] To that end, we make six actionable policy recommendations in our report to the President:
  1. Advance the Consumer Privacy Bill of Rights [...]
  2. Pass National Data Breach Legislation [...]
  3. Extend Privacy Protections to non-U.S. Persons [...]
  4. Ensure Data Collected on Students in School is used for Educational Purposes [...]
  5. Expand Technical Expertise to Stop Discrimination [...]
  6. Amend the Electronic Communications Privacy Act [...]
Source: Findings of the Big Data and Privacy Working Group Review; FACT SHEET: Big Data and Privacy Working Group Review

Ö: Evaluierungsbericht VerbandsverantwortlichkeitsG (strafrechtliche Verantwortung für jurist. Personen iVm DSG)

Bericht des Bundesministers für Justiz betreffend Evaluierung der Anwendung des Verbandsverantwortlichkeitsgesetzes aufgrund der Entschließung des Nationalrates vom 28. September 2005, E 138-NR/XXII.GP (Generalpräventive Wirksamkeit, Praxis und Anwendungsprobleme des Verbandsverantwortlichkeitsgesetzes [VbVG], Institut für Rechts- und Kriminalsoziologie
Wien, 2011)
Aus datenschutzrechtlicher Sicht ist hervorzuheben, dass es laut Tabelle 3, Seite 36 (der elektronischen Version) im Jahr 2008 offenbar drei Strafverfahren nach dem DSG 2000 iVm dem VbVG gab:


Paybox: Unzulässige Erklärungsfiktionsklausel (und andere AGB-Bestimmungen von Diners Club und PayLife)

Der Verein für Konsumenteninformation (VKI) führt - im Auftrag des Sozialministeriums (Diners Club und PayLife) bzw der Arbeiterkammer Kärnten (Paybox) -Verbandsklagen gegen drei Zahlungsdiensteanbieter wegen unzulässiger Klauseln in deren Allgemeinen Geschäftsbedingungen. Nun liegen Entscheidungen des Handelsgerichtes Wien (PayLife) und des OLG Wien als Berufungsgericht (Diners Club und Paybox) vor. Nahezu alle vom VKI eingeklagten typischen Klauseln im Zahlungsverkehr mit Karten oder mit dem Handy wurden von den Gerichten als gesetzwidrig und nichtig angesehen. Alle drei Urteile sind nicht rechtskräftig.
OLG Wien 18.04.2014, 30 R 15/14t (nicht rechtskräftig)
Der VKI hat - im Auftrag der Arbeiterkammer Kärnten - Paybox wegen einer "Verschweigung-Klausel" geklagt, nach der Paybox seinen Kunden eine Vertragsänderung mitteilen konnte und diese wirksam wurde, falls die Kunden nicht binnen zwei Monaten widersprachen. Diese Klausel ist gesetzwidrig.
Quelle: VKI; zur vorinstanzlichen Entscheidung.
Siehe auch weitere (nicht rechtskräftige) Urteile:
HG Wien: 8 Klauseln der paylife-Geschenkkarte sind gesetzwidrig (HG Wien 24.4.2014, 18 Cg 118/13m)
OLG Wien: 10 Klauseln der Diners Club Bank AG sind rechtswidrig (OLG Wien 25.3.2014, 1 R 25/14z)


Veranstaltungshinweise: ELGA und Informationsfreiheit

  • "Fakten zu ELGA – die elektronische Gesundheitsakte aus rechtlicher und technischer Sicht": Die Veranstaltung findet am 27. Juni 2014 am ReSoWi-Zentrum der Karl-Franzens-Universität Graz statt. In sechs von prominenten Vortragenden (Dr. Gerald Bachinger, Univ.-Prof. Dr. Dietmar Jahnel, DI Dr. Alexander Kollmann, Univ.-Prof. Dr. Stefan Perner, Dr. Sebastian Reimer, Dr. Karl A. Stroetmann) referierten Beiträgen werden folgende Themenbereiche über einen ganzen Tag verteilt abgehandelt [...]
  • "Zugang zu und Schutz vor Informationen - zwischen Informationsfreiheit und Geheimnisschutz": Die Veranstaltung findet am Donnerstag, 5. Juni 2014 von 19:30 bis 21.00 Uhr im Marietta Blau Saal der Universität Wien statt. Vortragende: SC Dr. Gerhard Hesse (Bundeskanzleramt Verfassungsdienst) . Mag. Ulrike Huemer (Stadt Wien, Gruppe Prozessmanagement und IKT-Strategie) . Dr. Max Mosing, LL.M LL.M. (Gassauer-Fleissner Rechtsanwälte GmbH) . MMag. Erika Ummenberger-Zierler (Bundesministerium für Wirtschaft, Familie und Jugend). Die Veranstaltung ist kostenfrei und öffentlich zugänglich. Um Anmeldung unter office@informationsrecht.at bis 28. Mai wird gebeten.

OGH: Videoüberwachung im Gangbereich eines Mietshauses

OGH 17.12.2013, 5 Ob 69/13b
Der Antragsteller ist Mieter der Wohnung top Nr 1 im Haus *****, das im Eigentum der Antragsgegnerin steht.
Der Antragsteller beabsichtigt die Anbringung einer Videokamera außenseitig am Türstock seiner Wohnungstür, um den Gangbereich vor seiner Wohnung überwachen zu können. [...] 
Der Mieter der Wohnung top Nr 2 hat der Anbringung einer Videokamera nicht zugestimmt. Mit dem verfahrenseinleitenden Antrag begehrt der Antragsteller, die Antragsgegnerin als Vermieterin zur Zustimmung zu der von ihm beabsichtigten Anbringung einer Videokamera zu verpflichten. [...] Beabsichtigt sei eine Videokamera, die keine Bilder aufzeichne, sondern in „Echtzeitübertragung“ lediglich an einen Bildschirm im Inneren der Wohnung des Antragstellers angeschlossen werde. Somit bestünden keine datenschutzrechtlichen Bedenken gegen die Anbringung der Kamera. [...]
Die Antragsgegnerin beantragte die Abweisung des Antrags. Durch die beabsichtigte Veränderung würden schutzwürdige Interessen der Vermieterin und anderer Mieter beeinträchtigt. Eine systematische Videoüberwachung stelle stets einen Eingriff in das durch § 16 ABGB iVm Art 8 EMRK garantierte Persönlichkeitsrecht auf Achtung des Privatbereichs und der Geheimsphäre einer Person dar. Es sei im berechtigten Interesse jedes Mieters, dass das Betreten oder Verlassen der Wohnung durch ihn, Mitbewohner oder Gäste nicht lückenlos überwacht und aufgezeichnet werde. Bereits durch das Vorhandensein einer Videokamera entstehe ein ständiger Überwachungsdruck, [...]
Rechtliche Beurteilung
Der Revisionsrekurs ist jedoch nicht berechtigt.
1. Das Begehren eines Mieters, die verweigerte Zustimmung des Vermieters zur Anbringung einer Videokamera außerhalb seines Bestandobjekts zu ersetzen, ist § 9 MRG zu unterstellen [...] und damit im Verfahren außer Streitsachen zu erledigen (§ 37 Abs 1 Z 6 MRG; RIS-Justiz RS0069665). [...]
Bildaufnahmen im Privatbereich, fortdauernde unerwünschte Überwachungen und Verfolgungen stellen eine Verletzung des durch Art 8 EMRK geschützten Persönlichkeitsrechts auf Achtung des Privatbereichs und der Geheimsphäre eines Menschen dar. Der Schutz der Privatsphäre eines Mieters vor solchen Maßnahmen endet auch nicht an der inneren Wohnungstür. Es ist ein durchaus berechtigtes Interesse daran zuzubilligen, dass das Betreten oder Verlassen einer Wohnung durch den Mieter, seine Mitbewohner oder Gäste nicht lückenlos überwacht und aufgezeichnet wird (RIS-Justiz RS0107155; zuletzt 6 Ob 38/13a Zak 2013/503, 277).
Dabei geht es maßgeblich nicht darum, ob eine solche Überwachung auch aufgezeichnet wird, weil es bereits eine schwerwiegende Beeinträchtigung der Privatsphäre (Geheimsphäre) darstellt, wenn sich ein Betroffener durch die Art der Anbringung und den äußeren Anschein einem ständigen Überwachungsdruck ausgesetzt fühlt. Diese schwerwiegende Beeinträchtigung der Privatsphäre wird schon dann bejaht, wenn es sich nicht um eine echte Videokamera, sondern eine als solche nicht erkennbare Kameraattrappe handelt (6 Ob 6/06k; 8 Ob 125/11g; RIS-Justiz RS0127583). Es ist daher ohne Bedeutung, dass der Antragsteller (derzeit) bloß die Genehmigung einer Echtzeitüberwachung durch eine Videokamera und keine darüber hinausgehenden Bildaufzeichnungen, die selbstverständlich jederzeit möglich wären, anstrebt. [...]