30.06.2014

Schweiz: Tätigkeitsbericht 2013/2014 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat seinen 21. Tätigkeitsbericht für den Zeitraum vom 1. April 2013 bis 31. März 2014 vorgestellt (Swiss Federal Data Protection and Information Commissioner has presentend his Annual Report, press release; summary of selected topics covered in the 21st Report on Activities)
[...] Dass die technologische Entwicklung die Privatsphäre des Einzelnen zunehmend in Bedrängnis bringt, lässt sich seit mehreren Jahren beobachten. Im Berichtsjahr galt die Aufmerksamkeit des EDÖB den sogenannten Personentracking-Systemen, die unter anderem im Einzelhandel eingesetzt werden. Sie ermöglichen es, Kundinnen und Kunden etwa mittels Gesichtserkennung automatisiert zu erfassen und deren Verhalten zu analysieren. Die Ergebnisse dienen z.B. dazu, Standorte von Werbeflächen zu optimieren. Dass der Einsatz solcher Systeme zum Teil ohne Wissen und Zustimmung der Betroffenen erfolgt, ist aus Datenschutzsicht problematisch. [...]
Quelle: Medienmitteilung; Résumé ausgewählter Themen des 21. Tätigkeitsberichts

27.06.2014

VfGH: Gesetze zur Vorratsdatenspeicherung in Österreich verfassungswidrig

Aus der Presseinformation des Verfassungsgerichtshofes zur Verkündung der Entscheidung G 47/2012 u.a. vom 27. Juni 2014 (mit dem Spruch der Entscheidung):
Die Gesetze zur Vorratsdatenspeicherung in Österreich sind verfassungswidrig. Sie widersprechen dem Grundrecht auf Datenschutz sowie dem Artikel 8 der Europäischen Menschenrechtskonvention („Recht auf Privat- und Familienleben“). Eine Frist zur Reparatur wird nicht gewährt. Die Aufhebung tritt mit Kundmachung der Aufhebung, die unverzüglich durch den Bundeskanzler zu erfolgen hat, in Kraft. 
Die Verfassungsrichterinnen und Verfassungsrichter begründen ihre Entscheidung – knapp zusammengefasst – wie folgt:
- Ein so gravierender Eingriff in die Grundrechte wie er durch die Vorratsdatenspeicherung erfolgt, muss so gestaltet sein, dass er mit dem Datenschutzgesetz und der Menschenrechtskonvention im Einklang steht.
- Ob ein solcher Eingriff verfassungsrechtlich zulässig ist, hängt davon ab, wie die Bedingungen für die Speicherung solcher Daten, die Anforderungen an deren Löschung sowie die Sicherungen beim Zugriff auf diese Daten geregelt sind. Die angefochtenen Bestimmungen des Telekommunikationsgesetzes, der Strafprozessordnung und des Sicherheitspolizeigesetzes erfüllen diese Anforderungen nicht.  [...]
Update: Press release of the Austrian Constitutional Court: Austrian Laws on Data Retention Found Unconstitutional - Legal provisions are in contradiction with data protection and the right to privacy.
Update 01.07.2014:  Kundmachung des Bundeskanzlers über die Aufhebung von Bestimmungen des Telekommunikationsgesetzes 2003, der Strafprozeßordnung 1975 und des Sicherheitspolizeigesetzes durch den Verfassungsgerichtshof, BGBl I 44/2014
Update 31.07.2014: Volltext des Erkenntnisses verfügbar

Cloud Service Level Agreement Standardisation Guidelines published (covering data protection measures)

On 26 June, the "Cloud Service Level Agreement Standardisation Guidelines" have been published, inter alia covering the following:
[...] 6. Personal Data Protection Service Level Objectives Overview
This paragraph focuses on the definition of appropriate SLOs with reference to the cases where the cloud service provider acts as a data processor, on behalf of its customer (data controller), which typically applies to B2B services. Providers that act as data controllers or joint controllers (notably by processing personal data for their own purposes, outside of an explicit mandate from the customer) may still make reference to this document, but they and their customers need to ensure compliance with legal obligations that may derive from their controller role. Besides, this paragraph concentrates on data protection measures that are suitable for being translated into SLOs, i.e. into objectives that must be achieved by the provider. Other data protection measures and obligations can be better managed through other instruments, such as adherence to a code of conduct, certification against an approved standard and the relevant contract and/or service agreement and applicable law. [...]
According to this press release, the European Commission will test these guidelines with users, in particular SMEs. It will also be discussed within the Expert Group on Cloud Computing Contracts set by the Commission in October 2013. This discussion will also involve other C-SIG activities, for example the data protection Code of Conduct for cloud computing providers that was prepared by the C-SIG on Code of Conduct. The draft Code of Conduct has been presented to the Article 29 Data Protection Working Party (European Data Protection Authorities).

26.06.2014

Study finds 4 in 10 organisations obstruct access to personal data

An international study [Exercising democratic rights under surveillance regimes] examines the obstacles facing citizens in accessing their personal data will be presented at a conference in Sheffield this week. It finds serial malpractice and obfuscation on the part of public and private sector organisations when citizens seek clarification of what these organisations know about them.  The study forms part of the IRISS (Increasing Resilience in Surveillance Societies) project, funded by the European Union. It documents the actual experience citizens have when trying to use the law to access their data.
European and national laws give citizens the right to know how their personal data is used, shared and processed by private and public sector organisations. The study, encompassing citizen interactions with 327 sites, found that what should have been a straightforward process was complex, confusing, frustrating and, in the end, largely unsuccessful. [...]
Source: press release; FM4 (Österreich EU-Schlusslicht bei Datenschutzpraxis)

Study: Legal and practical problems of rights clearance from the perspective of a content provider and alternative models

Study commissioned by ISPA Internet Service Providers Austria, coordination: Prof. Dr. Andreas Wiebe, LL.M.
This study aims at identifying the main obstacles to an efficient rights management for online music and presenting alternatives with the potential to considerably improve the situation. It takes as a starting point the situation of an on-demandstreaming-service offering transmission of music over the internet. The service selects the titles itself or is based on the concept of user-generated-content (e.g., play.fm). The subject of the study is the rights management of the titles to be played, not any rights the service itself may acquire through the transmission.  [...]

Studie: Gemeinnützige Medien-Archive in Österreich

Verband Freier Radios Öster­reich (Hrsg), Gemeinnützige Medien-Archive in Österreich - Rechtliche Grundlagen, Nutzungsbarrieren und Lösungsansätze. U.a. mit Beiträgen von Tschohl, Reis und Thiele

Factsheet on EU-US negotiations on data protection

Since 29 March 2011, the European Union has been negotiating with the United States government an international framework agreement (so-called ‘Data Protection Umbrella Agreement’) in order to protect personal data transferred between the EU and the U.S. for law enforcement purposes. This includes cases in which personal data is sent from the EU to the U.S. for the prevention, detection, investigation and prosecution of criminal offences, including terrorism. [..]
Source: Factsheet; see also this press release "EU-U.S. Justice Ministerial in Athens: Vice-President Reding welcomes U.S. announcement on data protection umbrella agreement" [US is seeking to extend guarantees of the Privacy Act to EU citizens]

25.06.2014

Art. 29 WP: Opinion on the protection of personal data in Quebec

The Article 29 Data Protection Working Party has issued "Opinion 7/2014 on the protection of personal data in Quebec" (WP219) which was adopted on 4 June 2014. Its assessment of the adequacy of the data protection legislation in force in Quebec resulted in seven "critical" points regarding  the territorial scope of the Quebec Act, the transparency principle, the right of access, a (missing) clear definition of the notion of “sensitive information”, clarification of the onward transfer principle in Quebec’s law as well as more information on data transfers, and the specification that any decision on the level of adequacy of Quebec is limited to the scope of the Quebec Act respecting the protection of personal information in the private sector.

EU-Canada agreement on Passenger Name Records (PNR)

The EU and Canada signed today their new agreement on the processing and transfer of Passenger Name Record (PNR) data by air carriers to the Canadian competent authorities (Agreement between Canada and the European Union on the transfer and processing of Passenger Name Record; 12657/1/13 REV 1). It will replace the existing agreement from 2006. [...] The European Parliament will now be asked to give its consent to the agreement, which is necessary before the Council can adopt its decision on the conclusion of the agreement. [...]
Source: Press release of the Council of the EU

24.06.2014

EU Coypright Reform: White Paper - A Copyright Policy for Creativity and Innovation in the EU (leak)

Someone leaked an internal draft (pdf) of a White Paper of the EU Commission entitled "A Copyright Policy for Creativity and Innovation in the European Union".

23.06.2014

EuGH: Schlussanträge - Erhebung der Privatkopievergütung (erfasste Trägermedien etc.)

Just for my personal legal memory:
SCHLUSSANTRÄGE DES GENERALANWALTS PEDRO CRUZ VILLALÓN vom 18. Juni 2014, Rechtssache C‑463/12 - Copydan Båndkopi gegen Nokia Danmark A/S
VIII – Ergebnis
113. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Østre Landsret wie folgt zu beantworten:
1.       Art. 5 Abs. 2 Buchst. b der Richtlinie 2001/29 des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft ist dahin auszulegen, dass er grundsätzlich der Regelung eines Mitgliedstaats nicht entgegensteht, die die Erhebung der Privatkopievergütung zur Finanzierung des gerechten Ausgleichs auf Speicherkarten von Mobiltelefonen vorsieht, soweit der angemessene Ausgleich, der zwischen den verschiedenen Kategorien von Rechtsinhabern und Nutzern von Schutzgegenständen gesichert werden muss, gewährleistet ist, und folglich ein Zusammenhang zwischen der Erhebung und dem mutmaßlichen Gebrauch dieser Karten zur privaten Vervielfältigung besteht, da die primäre oder wesentliche Funktion dieser Karten insoweit keine Auswirkungen hat.
Jedoch ist die Richtlinie 2001/29 dahin auszulegen, dass sie der Regelung eines Mitgliedstaats entgegensteht, die die Erhebung der Privatkopievergütung zur Finanzierung des gerechten Ausgleichs auf auswechselbare Träger für die Vervielfältigung, wie Speicherkarten von Mobiltelefonen, vorsieht, und sie gleichzeitig für nicht auswechselbare, in Anlagen oder Geräte integrierte Träger, die gerade als Träger für die private Vervielfältigung dienen und hauptsächlich als solche verwendet werden, ausschließt, ohne dass dieser Ausschluss objektiv gerechtfertigt ist.
Es ist Sache des vorlegenden Gerichts, die etwaigen objektiven Rechtfertigungen dieses Ausschlusses zu würdigen und daraus die entsprechenden Schlüsse zu ziehen.
2.       Die Richtlinie 2001/29 ist dahin auszulegen, dass sie der Regelung eines Mitgliedstaats entgegensteht, die die Erhebung der Privatkopievergütung zur Finanzierung des gerechten Ausgleichs nach ihrem Art. 5 Abs. 2 Buchst. b auf Vervielfältigungen zum privaten Gebrauch aus unerlaubten Quellen sowie auf Vervielfältigungen zum privaten Gebrauch vorsieht, die von den Rechtsinhabern ausdrücklich gestattet sind und für die die Zahlung eines Entgelts oder eine andere Form des gerechten Ausgleichs erfolgt ist.
3.      Die Richtlinie 2001/29 ist dahin auszulegen, dass weder der Einsatz noch der Nichteinsatz wirksamer technischer Schutzmaßnahmen für Dateien mit geschützten Werken eine Auswirkung auf die Erhebung der Privatkopievergütung zur Finanzierung des gerechten Ausgleichs nach Art. 5 Abs. 2 Buchst. b dieser Richtlinie haben.
4.      Die Richtlinie 2001/29 ist dahin auszulegen, dass sie der Regelung eines Mitgliedstaats nicht entgegensteht, die die Erhebung der Privatkopievergütung zur Finanzierung des gerechten Ausgleichs auf private Vervielfältigungen vorsieht, die den Rechtsinhabern nur einen geringfügigen Nachteil verursachen.
5.      Die Richtlinie 2001/29 ist dahin auszulegen, dass sie grundsätzlich einer nationalen Regelung, wie der im Ausgangsrechtsstreit in Rede stehenden, nicht entgegensteht, die die Erhebung der Privatkopievergütung zur Finanzierung des gerechten Ausgleichs auf Träger für die Vervielfältigung bei deren Herstellern und Importeuren vorsieht, sofern diese Hersteller und Importeure die Vergütung auf die Nutzer, die diese Träger für Privatkopien erwerben, tatsächlich abwälzen können oder wenn sie sie erstattet bekommen können, falls diese Träger zu offensichtlich anderen Zwecken als zur Anfertigung von Privatkopien erworben werden.
Es ist Sache des vorlegenden Gerichts, diese Umstände zu würdigen und daraus die entsprechenden Schlüsse zu ziehen.

AG Hamburg: Hotel-WLAN und Filesharing - keine Haftung des Hotels (hier: des Geschäftsführers)

Amtsgericht Hamburg 10.06.2014, Az. 25b C 431/13 (nicht rechtskräftig)
Mehr dazu hier.

20.06.2014

OGH: Zulässigkeit von Wettbewerbsklauseln und Verschwiegenheitsverpflichtungen bei Unternehmensverkauf

OGH 23.04.2014, 4 Ob 46/14i
1.1. Wettbewerbsklauseln sind nicht nur im Geltungsbereich ausdrücklicher gesetzlicher Regelungen (zB §§ 36, 37 AngG; § 25 HVertrG), sondern ganz allgemein nur beschränkt zulässig, insbesondere dann, wenn sie die Berufs- und Erwerbsinteressen des Verpflichteten über den Rahmen der schutzwürdigen Interessen des Berechtigten hinaus beschränken (8 Ob 141/08f).
1.2. Eine Konkurrenzklausel ist sittenwidrig iSd § 879 Abs 1 ABGB, wenn durch die Klausel Beschränkungen im übergroßen Umfang ohne zeitliche oder örtliche Begrenzungen auferlegt werden oder ein auffallendes Missverhältnis zwischen den durch das Verbot zu schützenden Interessen des einen Vertragsteils und der dem anderen Teil auferlegten Beschränkung besteht (8 Ob 141/08f; 16 Ok 8/10; vgl RIS-Justiz RS0016609; RS0016608; RS0016607; RS0016610).
1.3. Wettbewerbsverbote, die dem Veräußerer im Zusammenhang mit der Übertragung eines Unternehmens auferlegt werden, sind bis zu drei Jahre gerechtfertigt, wenn zusammen mit dem Unternehmen der Geschäftswert und das know-how übertragen werden, ohne letzteres nur zwei Jahre (Bekanntmachung der Kommission  [...]
3.1. Die Verletzung wettbewerbsregelnder Vertragspflichten fällt nach der UWG-Nov 2007 weiterhin unter die lauterkeitsrechtliche Generalklausel. An die Stelle der nach altem Recht erforderlichen Absicht, einen Wettbewerbsvorteil zu erlangen, hat nun die objektive Eignung des Verhaltens zu treten, den Wettbewerb zum Nachteil von rechtstreuen Vertragspartnern nicht bloß unerheblich zu beeinflussen (RIS-Justiz RS0078846 [T9]). Um die Unlauterkeit zu begründen, muss die Wettbewerbshandlung unabhängig von der Vertragsverletzung unlauter sein (vgl 4 Ob 84/07t mwN; vgl auch RIS-Justiz RS0078872, RS0031669). [...]
3.2. Der Beklagte hat der Klägerin eine Internet-Plattform [...] verkauft und sich verpflichtet, über den Abschluss und Inhalt des Kaufvertrags Stillschweigen zu wahren. Er hat später im Internet ein Buch eines dritten Autors beworben, [...]
3.3. Das Rekursgericht hat dieses Verhalten des Beklagten zwar als Verstoß gegen eine vertragliche Verschwiegenheitsverpflichtung, nicht aber als lauterkeitswidrigen Vertragsbruch iSd § 1 UWG beurteilt; die vom Beklagten eingegangene Verpflichtung habe keine unmittelbare Regelung des Wettbewerbs zwischen den Streitteilen zum Gegenstand, befasse sie sich doch nicht mit Absatzmöglichkeiten, Umsatzsicherung, Marktzugang, Werbemaßnahmen, Kundenbindungen, Gebietsschutz, Produktions- oder Vertriebsfragen uä.
3.4. Diese Beurteilung legt im Einzelfall die in Frage stehende Verschwiegenheitsverpflichtung in vertretbarer Weise dahin aus, dass sie keinen unmittelbar wettbewerbsregelnden Inhalt hat.

BRD: Apps und Datenschutz - Transparenzpflichten (Update)

Die deutschen Datenschutzbeauftragten der Länder geben (laut heise) kommenden Montag eine 33seitige Orientierungshilfe (Update 23.06.2014: Link eingefügt) heraus, welche die datenschutzrechtlichen Anforderungen an Programmierer und Entwickler von Apps konkretisieren soll (Stichworte: "Privacy by Design" und Privacy by Default").
Am 05.06.2014 hat bereits der Hessische Datenschutzbeauftragte eine Empfehlung (pdf) herausgegeben (Auszug):
Empfehlung
Diese Problematik zeigt deutlich die Wichtigkeit der Transparenz als eines der „neuen Datenschutzziele“ (s.a. M. Rost, A. Pfitzmann: Datenschutz-Schutzziele – revisited, DuD, 2009 S. 353).
Deshalb sollten Anbieter in der Beschreibung der App im Google Play Store detailliert und vollständig folgende Angaben machen oder darauf verlinken:
• Welche Berechtigungen werden für welche Softwarefunktionalität gebraucht?
• Wie werden die dadurch gewonnen Daten verarbeitet?
Dabei sollten keine standardmäßigen Berechtigungsbeschreibungen - wie man Sie aus dem Google Play Store kennt - verwendet werden, da sie in ihrer Abstraktheit nicht konkret zur Softwarefunktionalität der App passen. Diese Beschreibung sollte immer auf dem aktuell zu Installation angebotenen Versionsstand basieren. Durch veraltete Beschreibungen entstehen andernfalls Missverständnisse. Zusätzlich sollten diese Angaben auch Teil der Datenschutzerklärung der App sein, die ebenfalls im Google Play Store verlinkt sein muss. Dann können die App-Nutzer erkennen, dass ihre persönlichen Daten nicht verdeckt ausspioniert werden.

Update 23.06.2014: Die Datenschutzaufsichtsbehörden des Bundes und der Länder für den nichtöffentlichen Bereich haben eine „Orientierungshilfe zu den Datenschutzanforderungen anApp-Entwickler und App-Anbieter“ erstellt, in der sie die Rahmenbedingungen für eine gesetzeskonforme Entwicklung und Nutzung von Apps dargestellt haben. (Quelle: Bayerisches Landesamt für Datenschutzaufsicht): "Die Orientierungshilfe richtet sich an Entwickler und Anbieter mobiler Applikationen (Apps). Sie zeigt datenschutzrechtliche und technische Anforderungen auf und macht diese anhand plakativer Beispiele verständlich."
German DPAs have issued guidelines for mobile apps directed at developers and providers (available in German only).

18.06.2014

Irish High Court refers questions regarding data transfers to US (PRISM) to CJEU (updated)

Irish High Court, Judgment (HTML; Scan here) of Justice Hogan, 18 June 2014 [2013 No. 765 JR; [2014] IEHC 310]
Questions to the CJEU (more at europevfacebook; Irish Times) which could have a major impact on the EU-US Safe Harbor Agreement (depending on the judgment of the CJEU):
71. Given the general novelty and practical importance of these issues which have considerable practical implications for all 28 Member States of the European Union, it is appropriate that this question should be determined by the Court of Justice. In these circumstances, I propose to refer the following questions to that Court in accordance with Article 267 TFEU:
“Whether in the course of determining a complaint which has been made to an independent office holder who has been vested by statute with the functions of administering and enforcing data protection legislation that personal data is being transferred to another third country (in this case, the United States of America) the laws and practices of which, it is claimed, do not contain adequate protections for the data subject, that office holder is absolutely bound by the Community finding to the contrary contained in Commission Decision of 26 July 2000 (2000/520/EC) having regard to Article 7 and Article 8 of the Charter of Fundamental Rights of the European Union (2000/C 364/01), the provisions of Article 25(6) of Directive 95/46/EC notwithstanding? Or, alternatively, may the office holder conduct his or her own investigation of the matter in the light of factual developments in the meantime since that Commission Decision was first published?”
  
Update 30.07.2014: Final Questions referred to the CJEU (pdf):
"Whether in the course of determining a complaint which has been made to an independent office holder who has been vested by statute with the functions of administering and enforcing data protection legislation that personal data is being transferred to another third country (in this case the United States of America) the laws and practices of which, it is claimed, do not contain adequate protections for the data subject, that office holder absolutely bound by the Community finding to the contrary contained in Commission Decision of 26 July 2000 (2000/520/EC) having regard to Article 7, Article 8 and Article 47 of the Chatter of Fundamental Rights of the European Union (2000/C 364/01), the provisions of Article 25(6) of Directive 95/46/EC notwithstanding? Or, alternatively, may and/or must the office holder conduct his or her own investigation of the matter in the light of factual developments in the meantime since that Commission Decision was first published?"
This case is registered at the CJEU under C-362/14 - Maximillian Schrems v Data Protection Commissioner

BGH: UWG - Datenerhebung bei Minderjährigen zu Werbezwecken bei Durchführung eines Gewinnspiels unzulässig

BGH, Urteil vom 22. Januar 2014, I ZR 218/12 
Eine gesetzliche Krankenkasse verstößt gegen das Verbot, die geschäftliche Unerfahrenheit von Jugendlichen auszunutzen (§ 4 Nr. 2 UWG), wenn sie im Zusammenhang mit der Durchführung eines Gewinnspiels von den Teilnehmern im Alter zwischen 15 und 17 Jahren umfangreiche personenbezogene Daten erhebt, um diese (auch) zu Werbezwecken zu nutzen.
Aus der (umfangreichen) Begründung:
[...] aa) Hiervon ausgehend hat das Berufungsgericht mit Recht angenommen, dass die Datenerhebung in der konkret durchgeführten Art und Weise geeignet ist, die geschäftliche Unerfahrenheit von Jugendlichen auszunutzen. Es hat rechtsfehlerfrei festgestellt, dass Jugendliche im Alter zwischen 15 und 17 Jahren noch nicht die nötige Reife besitzen, die Tragweite einer Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen. [...]

DG Justice: Guidance document on EU Directive on consumer rights

DG JUSTICE GUIDANCE DOCUMENT concerning Directive 2011/83/EU of the European Parliament and of the Council of 25 October 2011 on consumer rights, amending Council Directive 93/13/EEC and Directive 1999/44/EC of the European Parliament and of the Council and repealing Council Directive 85/577/EEC and Directive 97/7/EC of the European Parliament and of the Council (including two Annexes: ANNEX I – Model for the Display of consumer information about online digital products; ANNEX II – Consumer information requirements in the Consumer Rights, Services and E-Commerce Directives):
The purpose of this guidance document is to facilitate the effective application of Directive 2011/83/EU on consumer rights ('the Directive'), adopted on 25 October 2011. Member States were required to transpose it into national laws by 13 December 2013. All national transposition measures have to apply from 13 June 2014. [...]

17.06.2014

Art. 29 WP: Varia - recent press releases and letters on Big Data, BCR for processors etc.

The Article 29 Data Protection Working Party has recently issued two press releases on
  • its Plenary meeting of 3 and 4 June 2014 (released on 12 June 2014): The European data protection authorities, assembled in the Article 29 Working Party (WP29) at its Plenary meeting of 3 and 4 June 2014 decided to react to two rulings of the Court of Justice of the European Union (CJEU): the 'Costeja' ruling concerning Google and the ruling that invalidates the Data Retention Directive. They also decided to share their preliminary thoughts on the Obama administration’s report on big data. Moreover, the authorities replied to consultations on a draft Code of Conduct for Cloud Computing and on a "Do Not Track" standard for websites. Furthermore, in the context of the EU data protection reform, the authorities adopted a letter to the EU Institutions on the dropped reference to binding corporate rules for processors and a statement on the role of a risk-based approach in data protection legal frameworks. [...] and 
  • one regarding "Big Data" (dated 11 June 2014): In this light, the European data protection authorities assembled in the Article 29 Working Party (WP29) sent a letter to Mr. John Podesta, Counselor to the US President, to share their preliminary thoughts on his recommendations, published last May, on these issues. The Working Party intends to release its own analysis later this year. [...]
as well as two letters (as mentioned in the press releases above):

Ö: Gesamtbericht 2012 - Einsatz besonderer Ermittlungsmaßnahmen ("Lausch- und Spähangriffe")

Gesamtbericht Einsatz besonderer Ermittlungsmaßnahmen im Jahr 2012 (III-79 d.B.):
Im Einzelnen wurden 2012 in zwei Fällen eine optische und/oder akustische Überwachung nach § 136 Abs. 1 Z 3 StPO ("großer Späh- und Lauschangriff") angeordnet und durchgeführt. [...]
Optische Überwachungen im Sinn der "Videofalle" nach § 136 Abs. 3 Z 1 und 2 StPO wurden in 158 Fällen angeordnet, wobei in 95 Fällen die Überwachung außerhalb von Räumen (§ 136 Abs. 3 Z 1 StPO) und in 63 Fällen innerhalb von Räumen mit Zustimmung des Inhabers (§ 136 Abs. 3 Z 2 StPO) erfolgte. [...]
Was nun die Anordnung der Auskunft über Vorratsdaten gemäß § 135 Abs. 2a StPO betrifft, spricht der Bericht von insgesamt 326 Geschäftsfällen zwischen 1. April 2012 und 31. März 2013, von denen 139 im Berichtszeitraum abgeschlossen werden konnten. [...]
Quelle: Parlamentskorrespondenz

13.06.2014

Ö: Tätigkeitsbericht der RTR-Schlichtungsstelle (Telekommunikation) veröffentlicht

Die RTR-GmbH hat heute ihre Erfahrungen aus den Streitbeilegungsverfahren in Form des Tätigkeitsberichts der Schlichtungsstelle (pdf) veröffentlicht. Pressemeldung hier.
Im Berichtsjahr 2013 fällt vor allem der signifikante Rückgang bei den eingelangten Verfahrensanträgen auf. Diese gingen im Vergleich zum Vorjahr um absolut 1.511 Anträge, somit fast 35 %, zurück. Diese Tendenz ist umso bemerkenswerter, als sich die Anzahl neuer Schlichtungsanträge schon von 2011 auf 2012 erheblich reduziert hatte. Die Ursache für diese erfreuliche Entwicklung ist leicht festgestellt: Die am 1. Mai 2012 in Kraft getretene Kostenbeschränkungsverordnung (KostbeV) konnte 2013 erstmals über eine gesamte Jahresdauer ihre Wirksamkeit unter Beweis stellen. Die Anzahl jener Beschwerdefälle, bei denen das Bestreiten der Verrechnung von verbrauchsabhängigen Datendiensten wesentlicher Inhalt ist, konnte durch diese Verordnung in einem Ausmaß reduziert werden, dass diesen Fällen keine dominante Bedeutung mehr zukommt. Bei Verbrauchern ist das mögliche Risiko nunmehr mit 60,- Euro gedeckelt und liegt ca. um den Faktor 10 unter dem durchschnittlichen Streitwert der entsprechenden Verfahren des Jahres 2011. Natürlich gibt es nach wie vor Verfahren zu dieser Problematik, aber es ist nunmehr ein Verfahrensgegenstand wie viele andere. Der signifikante Rückgang in diesem Bereich wurde erfreulicherweise auch nicht durch Anstiege in anderen Beschwerdebereichen, wie z.B. dem Content-Billing, wettgemacht. [...] 
Die wesentlichsten Themen für 2013 sollen in Folge kurz dargelegt werden. Inhaltlich betrachtet kann man für das Berichtsjahr allerdings feststellen, dass es keinen dominanten Beschwerdegegenstand gegeben hat. [...]

12.06.2014

Parlam. Anfragebeantwortung: Zugriff auf Vorratsdaten in Österreich

Passend zur heutigen Verhandlung vor dem VfGH:
Anfragebeantwortung (1179/AB) durch den Bundesminister für Justiz Dr. Wolfgang Brandstetter zu der schriftlichen Anfrage (1292/J) der Abgeordneten Mag. Albert Steinhauser, Kolleginnen und Kollegen an den Bundesminister für Justiz betreffend der Anwendung des § 135 Abs 2a StPO iVm §§ 102a und 102b TKG
1.    Wie oft wurden im Zeitraum 1.4.2013 – 31.3.2014 auf Basis der Strafprozessordnung auf Vorratsdaten zugegriffen?
Zu 1:
Nach dem mir vorliegenden Bericht des Rechtsschutzbeauftragen, dem gemäß § 147 Abs. 1 Z 2a StPO die Prüfung und Kontrolle der Anordnung, Genehmigung, Bewilligung und Durchführung betreffend die Auskunft über Vorratsdaten nach § 135 Abs. 2a StPO obliegt, sind diesem im Kalenderjahr 2013 insgesamt 354 (durchschnittlich 29,5 pro Monat) Anordnungen einer Auskunft über Vorratsdaten gemäß § 135 Abs. 2a StPO übermittelt worden. Im Vorjahr waren es demgegenüber 326 Anordnungen (durchschnittlich 27 pro Monat).
[...]
8.    Auf Basis des Verdachts der Begehung welcher konkreten strafbaren Tatbestände wurde im angegebenen Zeitraum auf Vorratsdaten zugegriffen?
Zu 8:
Die den Anordnungen zugrundeliegenden Tatbestände waren (zusammengefasst):

  • 113 Fälle Diebstahlsdelinquenz
  • 59 Fälle Suchtgiftdelinquenz
  • 52 Fälle Raub
  • 43 Fälle Beharrliche Verfolgung
  • 38 Fälle Betrugsdelinquenz
  • 16 Fälle Gefährliche Drohung. [...]
20. In wie vielen Fällen hat der Rechtsschutzbeauftrage gegen die Bewilligung einer Vorratsdatenspeicherung im angegebenen Zeitraum Beschwerde erhoben?
 Zu 20:
Der Rechtsschutzbeauftrage hat insgesamt 44 Beschwerden eingebracht, wovon 34 noch im
selben Jahr erledigt wurden. 33 davon waren erfolgreich.

VfGH: Vorratsdatenspeicherung - Sammelantrag weitestgehend unzulässig

Heute findet im "Verfahren gegen die Vorratsdatenspeicherung" eine öffentliche Verhandlung vor dem VfGH statt. Rechtzeitig zuvor hat der VfGH wieder einmal zu dem überformalen Begriff der "aktuellen Betroffenheit" Stellung genommen, der schon vielen Beschwerdeführern zum Verhängnis geworden ist. Laut dieser Pressemeldung und diesem Beschluss ist der Antrag von insgesamt über 11.000 Personen („Sammelantrag“) aus formalen Gründen weitestgehend unzulässig. Die jeweilige aktuelle Betroffenheit der über 11.000 Antragsteller von der Vorratsdatenspeicherung wurde nicht ausreichend dargestellt. Dies aber ist für einen zulässigen Individualantrag an den VfGH unbedingt erforderlich.
Für den ersten Antragsteller in diesem „Sammelantrag“ hingegen ist dessen aktuelle Betroffenheit durch die Vorratsdatenspeicherung sehr wohl ausgeführt. Dessen Antrag wurde daher nicht als unzulässig zurückgewiesen.
[...]
Der VfGH geht also offenbar davon aus, dass diese 11.000 Personen nicht von der VDS betroffen sind bzw. waren [Update: und hat auch keinen Verbesserungsauftrag zur Vorlage der TK-Verträge erteilt], der EuGH war hier realitätsnäher (Rn 56, Hervorhebung durch den Verfasser): Zu der Frage, ob der mit der Richtlinie 2006/24 verbundene Eingriff auf das absolut Notwendige beschränkt ist, ist festzustellen, dass nach Art. 3 dieser Richtlinie in Verbindung mit ihrem Art. 5 Abs. 1 alle Verkehrsdaten betreffend Telefonfestnetz, Mobilfunk, Internetzugang, Internet-E-Mail und Internet-Telefonie auf Vorrat zu speichern sind. Sie gilt somit für alle elektronischen Kommunikationsmittel, deren Nutzung stark verbreitet und im täglichen Leben jedes Einzelnen von wachsender Bedeutung ist. Außerdem erfasst die Richtlinie nach ihrem Art. 3 alle Teilnehmer und registrierten Benutzer. Sie führt daher zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung. [...]

11.06.2014

Justice Council: EU data protection reform on track?

Yes, at least according to this press release dated 6 June 2014:
[...] On the data protection reform, we clearly moved from dormant to dynamic negotiations.
Thanks to the constructive spirit of Charalambos and the Greek Presidency in general today we agreed on two very important pillars of the data protection reform: 
First, agreement on the rules that govern data transfers to third countries (the so-called "Chapter V" of the Regulation). The Regulation sets out three avenues which can be used to make legal data transfers. One, when the Commission has found that a third country is "adequate" in terms of data protection. This means that certain conditions – set out in the law – like for example having robust data protection legislation or a data protection authority in place, are met. Two, when appropriate safeguards exist, including for example binding corporate rules approved by data protection authorities. And three: in clearly defined specific situations which necessitate the transfer, for example a tax or competition investigation. 
These three roads will lead the way to secure data transfers. In the light of all the surveillance revelations, this is an important signal. 
Second, Ministers agreed on the territorial scope of the data protection regulation. In simple words: EU data protection law will apply to non-European companies if they do business on our territory - the European Single Market. [...] 
We also discussed once more the one-stop shop principle according to which there should be one decision by one single data protection regulator when it comes to cross-border services involving data processing. [...] Positions are coming closer to the model for such a system with the general understanding that there should be a "lead authority" which works closely with other concerned authorities, notably the local authority with which citizens lodge a complaint (to ensure "proximity"). [...]
See here for a Note from the Presidency to COREPER for an "Orientation debate on one-stop-shop mechanism"

05.06.2014

EU-Grundrechteagentur: überarbeitetes Handbuch zum europäischen Datenschutzrecht (deutsche Fassung)

Das "Handbook on European data protection law" (Handbuch zum europäischen Datenschutzrecht; PDF) der Agentur der EU für Grundrechte liegt nunmehr auch in der deutschen Sprachfassung vor, zudem wurde es überarbeitet. Zum ursprünglichen Blogeintrag siehe hier.

European Parliament: Note on Data Protection Aspects of e-Call

This briefing note [pdf; PE 518.748] deals with the data protection aspects of the Commission’s Proposal for a Regulation of the European Parliament and of the Council concerning type-approval requirements for the deployment of the eCall in-vehicle system and amending Directive 2007/46/EC COM(2013) 316 final. It explains why the eCall system entails the processing of personal data. It deals with the data protection issues both for the mandatory 112-based eCall in-vehicle system as well as additional private emergency and added value services offered in parallel or building on the public 112-based eCall.

03.06.2014

BGH: Haftung des Inhabers eines Internetanschlusses (BearShare)

BGH, Urteil vom 8. Januar 2014, I ZR 169/12 (Volltext seit heute verfügbar)
a) Der Inhaber eines Internetanschlusses haftet grundsätzlich nicht als Störer auf Unterlassung, wenn volljährige Familienangehörige den ihnen zur Nutzung überlassenen Anschluss für Rechtsverletzungen missbrauchen. Erst wenn der Anschlussinhaber konkrete Anhaltspunkte für einen solchen Missbrauch hat, muss er die zur Verhinderung von Rechtsverletzungen erforderlichen Maßnahmen ergreifen.
b) Wird über einen Internetanschluss eine Rechtsverletzung begangen, ist eine tatsächliche Vermutung für eine Täterschaft des Anschlussinhabers nicht begründet, wenn zum Zeitpunkt der Rechtsverletzung (auch) andere Personen diesen Anschluss benutzen konnten. Dies ist insbesondere dann der Fall, wenn der Internetanschluss zum Zeitpunkt der Rechtsverletzung nicht hinreichend gesichert war oder bewusst anderen Personen zur Nutzung überlassen wurde (Anschluss an BGH, Urteil vom 12. Mai 2010 - I ZR 121/08, BGHZ 185, 330 - Sommer unseres Lebens; Urteil vom 15. November 2012 I ZR 74/12, GRUR 2013, 511 = WRP 2013, 799 - Morpheus).
c) Wird über einen Internetanschluss eine Rechtsverletzung begangen, trägt der Anschlussinhaber eine sekundäre Darlegungslast. Dieser entspricht er dadurch, dass er vorträgt, ob andere Personen und gegebenenfalls welche anderen Personen selbständigen Zugang zu seinem Internetanschluss hatten und als Täter der Rechtsverletzung in Betracht kommen. Insoweit ist der Anschlussinhaber im Rahmen des Zumutbaren auch zu Nachforschungen verpflichtet (Fortführung von BGH, Urteil vom 12. Mai 2010 - I ZR 121/08, BGHZ 185, 330 - Sommer unseres Lebens; Urteil vom 15. November 2012 I ZR 74/12, GRUR 2013, 511 = WRP 2013, 799 - Morpheus).

Quelle: BGH

02.06.2014

OGH: Auskunftsanspruch nach § 18 Abs 4 ECG

OGH 10.04.2014, 6 Ob 58/14v
[...] 2.4. Nach der Entscheidung 6 Ob 104/11d ist als Name und Adresse eines Nutzers iSd § 18 Abs 4 ECG auch dessen Email-Adresse zu verstehen. Ob auch im vorliegenden Fall ein Anspruch auf Herausgabe der Email-Adressen besteht, muss aber nicht geprüft werden, weil der Kläger im vorliegenden Fall - anders als in dem der Entscheidung 6 Ob 104/11d zugrunde liegenden Fall - kein Begehren auf Herausgabe von Email-Adressen gestellt hat. Sowohl die beklagte Partei als auch der Erstrichter haben auf die Unmöglichkeit der Herausgabe der begehrten Daten hingewiesen; dennoch hat der Kläger nicht (statt dessen oder zusätzlich) die Herausgabe von Email-Adressen begehrt.
3.1. Dem Begehren des Klägers auf Bekanntgabe der IP-Adressen steht entgegen, dass es sich dabei nach den Feststellungen um dynamische IP-Adressen handelt. Da der Kläger somit durch Bekanntgabe der IP-Adressen Namen und Adresse der Poster auf legalem Weg nicht herausfinden kann, fehlt es am § 18 Abs 4 ECG verlangten Erfordernis, dass die Kenntnis dieser Informantin eine wesentliche Voraussetzung für die Rechtsverfolgung bildet (vgl auch 6 Ob 119/11k).
3.2. Im Übrigen ist - ohne dass dies im vorliegenden Fall abschließend geklärt werden müsste - zweifelhaft, ob IP-Adressen überhaupt von § 18 Abs 4 ECG umfasst sind. Nach den Gesetzesmaterialien erstreckt sich die Auskunftsverpflichtung des Providers nämlich auch im Falle des Abs 4 nur auf den Namen und die Adresse eines Nutzers, mit dem er Vereinbarungen über die Speicherung von Daten abgeschlossen hat. Weitergehende Informationen, etwa ein Userprofil oder andere Umstände, die zur Rechtsverletzung führen, können dem Auskunftswerber nicht mitgeteilt werden (ErläutRV 817 BlgNR 21. GP; vgl auch Anderl, ecolex 2012/367 [Entscheidungsanmerkung]). Die Entscheidung 6 Ob 119/11k lässt diese Frage offen. [...]
Siehe auch hier im Blog.