31.07.2014

VfGH: Volltext des Urteils zur Verfassungswidrigkeit der Vorratsdatenspeicherung

Einige subjektiv vorgenommene Auszüge für mein digitales Gedächtnis:
[...] Im Hinblick vor allem auf die auch von den Antragstellern angeführten Möglichkeiten der Verknüpfung mit anderen Informationen (zB den Schlüssen, die aus gehäuften Anrufen einer bestimmten Teilnehmernummer gezogen werden können) besteht an den betroffenen Daten jedenfalls ein schutzwürdiges Geheimhaltungsinteresse iSd § 1 Abs. 1 DSG 2000. [...]
2.3.11.1. Ausgangspunkt der Beurteilung der Verhältnismäßigkeit der Vorratsdatenspeicherung ist die Einsicht, dass das Grundrecht auf Datenschutz in einer demokratischen Gesellschaft – in der hier bedeutsamen Schutzrichtung – auf die Ermöglichung und Sicherung vertraulicher Kommunikation zwischen den Men-schen gerichtet ist. Der Einzelne und seine freie Persönlichkeitsentfaltung sind nicht nur auf die öffentliche, sondern auch auf die vertrauliche Kommunikation in der Gemeinschaft angewiesen; die Freiheit als Anspruch des Individuums und als Zustand einer Gesellschaft wird bestimmt von der Qualität der Informationsbeziehungen (vgl. Berka, Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Freiheit und Sicherheit, 18. ÖJT, 2012, Band I/1, 22). [...] 2.3.17. Im Ergebnis sind die antragstellenden Parteien daher insoweit im Recht, als sie der Sache nach geltend machen, dass die Regelungen in ihrem Zusammenhang nicht verhältnismäßig sind: Die Beschränkungen dieses Grundrechts auf Datenschutz nach dem Gesetzesvorbehalt des § 1 Abs. 2 DSG 2000 wären nur auf Grund von Gesetzen zulässig, die aus den in Art. 8 Abs. 2 EMRK genannten Gründen notwendig sind und die ausreichend präzise, also für jedermann vorhersehbar, regeln, unter welchen Voraussetzungen die Ermittlung bzw. die Verwendung personenbezogener Daten für die Wahrnehmung konkreter Verwaltungsaufgaben erlaubt ist. Gesetzliche Beschränkungen des Grundrechts auf Datenschutz müssen das gelindeste Mittel zur Zielerreichung bilden und in einer Abwägung zwischen der Schwere des Eingriffs und dem Gewicht der mit ihnen verfolgten Ziele verhältnismäßig sein.
Diese Anforderungen erfüllen die Regelungen betreffend die Vorratsdatenspeicherung in ihrer Zusammenschau (§ 135 Abs. 2a StPO iVm § 102a TKG 2003, § 53 Abs. 3a Z 3 SPG iVm § 102a TKG 2003, § 53 Abs. 3b SPG iVm § 102a TKG 2003) aus den angeführten Gründen nicht.
[...]
(Viel) mehr bei Dr. Lehofer (e-comm), inbesondere auch mit einem Hinweis auf das "[Grund?]Recht auf informationelle Selbstbestimmung".

30.07.2014

EDPS: Report of workshop on Privacy, Consumers, Competition and Big Data

Report of workshop on Privacy, Consumers, Competition and Big Data
On 2 June 2014 in the European Parliament in Brussels, the European Data Protection Supervisor hosted a workshop on the policy implications for the fields of data protection, competition and consumer protection of the rapidly expanding digital economy in the EU and in other regions, particularly the U.S. The event followed the publication, as part of the EDPS’ advisory and consultative role, of the Preliminary Opinion on the subject. [...]
More at Hogan Lovells here.

EU Commission: New RFID standards will help to comply with EU Data Protection rules

New EU-wide technical standards [EN 16570:2014] have been agreed that will help users of Radio Frequency Identification (RFID) smart chips and systems comply with EU Data Protection rules and the Commission’s 2009 recommendation on RFID (see IP/09/740). A “data protection impact assessment [EN 16571:2014; deutsch: "Verfahren zur Datenschutzfolgenabschätzung (PIA) von RFID"] process has also been agreed. 
Practical effects of these new standards will include:
People using electronic travel passes, or buying clothes and supermarket items with RFID tags in the label, will know that smart chips are present thanks to the RFID sign (see right). 
Retailers can use RFID technology to improve stock management and prevent theft, confident that they are respecting current EU data protection rules.
RFID application developers can rely on the Privacy Impact Assessment standards to ensure “data protection by design” within EU data protection rules. 
In sectors such as healthcare and banking where RFID use is exploding, this rapid set of changes will take place in the legal mainstream rather than in a grey zone. [...] 
Companies or public authorities using smart chips should:
give consumers clear and simple information so that they understand if their personal data will be used, the type of collected data (such as name, address or date of birth, for example when registering for a travel subscription card) and for what purpose.
provide clear labelling to identify the devices that 'read' the information stored in smart chips, and provide a contact point for citizens to obtain more information.
should conduct privacy and data protection impact assessments, reviewed by national data protection authorities, before using smart chips. 
Retail associations and organisations should promote consumer awareness on products containing smart chips through the use of a common European sign (see above). [...]
Source: Press release
Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications (WP 180)

29.07.2014

ICO: Report on "Big data and data protection"

UK Information Commissioner’s Office (ICO), Big data and data protection
[...] The ICO’s report sets out how the law applies when big data uses personal information. It details which aspects of the law organisations need to particularly consider, and highlights that organisations can stay the right side of the law and still innovate. [...]
Source: Press release

OGH: UWG - § 5 ECG und die Verwendung von Kundendaten ohne DVR-Meldung

OGH 24.06.2014, 4 Ob 59/14a
Dass ein Verstoß gegen das Datenschutzgesetz 2000 eine Verletzung des UWG darstellen kann, ist nichts Neues. Im vorliegenden Verfahren klagte ein (auch in Österreich tätiger) deutscher Reiseveranstalter ein österreichisches Reisebüro auf Unterlassung u.a. wegen "Verarbeitung und Verwendung nutzerseitig zur Verfügung gestellter Daten ohne aktive Meldung bei der Datenschutzkommission" und beantragte eine einstweilige Verfügung.
Dazu der OGH, der dieses Begehren abwies:
[...] 2. Fehlende Meldung bei der Datenschutzkommission
2.1. Die Klägerin hat den Vorwurf einer Verletzung des DatenschutzG (DSG) darauf gegründet, dass die Beklagte trotz der offensichtlichen Verarbeitung und Verwendung nutzerseitig zur Verfügung gestellter Daten keine aktive Meldung bei der Datenschutzkommission vorgenommen habe.
2.2. Im Sicherungsverfahren wurde als bescheinigt festgestellt, dass die Kunden der Beklagten im Internet Buchungsanfragen absenden können. Eine Buchungsmöglichkeit im Internet besteht nicht; hierfür müsste zuerst ein Anmeldeformular ausgefüllt und personenbezogene Daten bekannt gegeben werden.
2.3. Unter diesen Umständen verweist die Klägerin zutreffend auf § 1 Abs 2 iVm Anlage 2 der Standard- und Musterverordnung 2004, wonach die dort enthaltenen Datenanwendungen als (vereinfacht) zu meldende Musteranwendungen gelten. Anlage 2 enthält in MA001 den Anwendungsbereich Personentransport- und Hotelreservierung mit den angeführten Zwecken „gewerbliche Reservierung von Flügen, Plätzen in anderen Verkehrsmitteln, Hotels und anderen Unterkünften, Reservierungen im Touristikbereich einschließlich automationsunterstützt erstellter und archivierter Textdokumente, wie zB Korrespondenz, in diesen Angelegenheiten“.
2.4. Dass die Beklagte bei Ausübung ihres Gewerbes eines Reisebüros mit Anfragemöglichkeit im Internet nicht unter diese Meldevorschrift nach dem DSG falle, weil sie keine personenbezogenen Daten ihrer Kunden für die in Anlage 2/MA001 genannten Zwecke verwende, hat sie nicht behauptet. Mangels aktiver Meldung bei der Datenschutzkommission betreffend die Verwendung und Verarbeitung nutzerseitig zur Verfügung gestellter Daten liegt auch eine Gesetzesverletzung vor. Dass diese allerdings auch geeignet wäre, der Beklagten einen sachlich nicht gerechtfertigten Vorsprung vor gesetzestreuen Mitbewerbern zu verschaffen (vgl RIS-Justiz RS0120712), ist nicht ersichtlich. Die Vorinstanzen haben deshalb das auf diesen Verstoß gegründete Unterlassungsbegehren im Ergebnis zu Recht abgewiesen. [...]
Das Unterlassungsbegehren war jedoch laut OGH berechtigt, soweit es sich auf die Verletzung von Informationspflichten nach § 5 ECG stützte.

25.07.2014

Art. 29 WP: Questions asked during meeting with search engines on the “right to be forgotten”

Press release: Article 29 Data Protection Working Party, European DPAs meet with search engines on the “right to be forgotten”:
Following the CJEU ruling in case C-131/12, EU data protection authorities (DPAs), united in the Article 29 Working Party, met yesterday with representatives of Google, Microsoft, and Yahoo!.
The objective of this meeting was to ask search engines about their practical implementation of the ruling, and to provide input to future WP29 guidelines. These guidelines will aim at ensuring a consistent handling of complaints by European DPAs facing requests lodged by individuals following delisting refusals by search engines. The guidelines should also frame the action of search engines ensuring the consistent and uniform implementation of the ruling.
The questions listed below were addressed during the meeting and the representatives of the three companies explained their views. They questions dealt mainly with the modalities of their delisting process
[...]. DPAs have also asked search engines to answer some questions in writing by the end of July.
Additional meetings may be organized in the future with other stakeholders. The WP29 guidelines are expected in the autumn.
[...]
Questions asked during the meeting
1. What information do you request from a data subject prior to considering a delisting request e.g. URLs, justification? Do you ask further motivation from the data subjects to substantiate their request?
2. Do you filter out some requests based on the location, nationality, or place of residence of the data subject? If so, what is the legal basis for excluding such requests?
3. Do you delist results displayed following a search:
a. Only on EU / EEA domains?
b. On all domains pages accessible from the EU / EEA or by EU/EEA residents?
c. On all domains on a global basis?
[...]

EU Data Protection reform: Note on the Right to be forgotten and the Google judgment

Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Right to be forgotten and the Google judgment (Note dated 3 July 2014; 11289/154)
[...] The Google judgment sheds new light on the existing possibilities for data subjects on the basis of the existing Directive to exercise their rights to erasure of data and to object to personal data processing with regard to online controllers. The purpose of this note is, building on the Google judgment, to examine how the future legislation on the right to be forgotten and the right to erasure should be developed. [...]

Study: Data Retention after the Judgement of the CJEU

Franziska Boehm and Mark D. Cole, Data Retention after the Judgement of the Court of Justice of the European Union (pdf; Funding for this study was provided by the Greens/EFA Group in the European Parliament.)
From the Executive Summary:
This study analyses the Data Retention Directive Judgement of the Court of Justice of the European Union of 8 April 2014 and evaluates its impact on other data retention measures at Member States as well as at EU level.
Results of the analysis of the Data Retention Judgement
With its decision on the Data Retention Directive, the Court’s Grand Chamber has delivered a key judgement.
First, the judgement has major consequences on the relationship between the rights to data protection and privacy on the one hand and law enforcement (LE) measures on the other hand in the EU and its Member States. With the complete and retrospective annulment of the Data Retention Directive (DRD) it emphasizes the seriousness of the violation of fundamental rights by the Directive. It opposes the general and undifferentiated nature of data retention measures foreseen in the Directive and gives important clarifications with regard to the relationship between and scope of Article 7 and 8 CFR.
Second, by referring to the guarantees of the ECHR and its interpretation in the ECtHR case law in the context of data retention measures, the CJEU links irreversibly the two legal orders even closer than in the past and opens the possibility to interpret Article 8 ECHR and Article 7 and 8 CFR in a parallel way. Therefore, the statements of the Court not only refer to the singular case of the DRD, but also establish general principles for similar data retention measures.
[...]

24.07.2014

Gutachten: Die Regulierung des Datenschutzes und des Urheberrechts in der digitalen Welt

"Die Regulierung des Datenschutzes und des Urheberrechts in der digitalen Welt" - Eine vergleichende Untersuchung zu den USA, Großbritannien, Frankreich und Schweden, Gutachten (pdf, 2 MB: Zusammenfassung hier) im Auftrag des Verbraucherzentrale Bundesverbands (Pressemeldung)

Revised version of the draft General Data Protection Regulation

Revised version of the draft General Data Protection Regulation (dated 30.6.2014, 11028/14; see here for a minor correction on page 169):
This version seeks to take account of the discussions on the draft Regulation that took place in the Working Party on Information Exchange and Data Protection under the Greek Presidency. All changes made to the original Commission proposal are underlined text, or, where text has been deleted, indicated by (…). Where existing text has been moved, this text is indicated in italics. The most recent changes are marked in bold underlining.

OGH: Abschlagszahlung bei vorzeitiger Kündigung des Mobilfunkvertrages rechtswidrig

OGH 17.6.2014, 10 Ob 54/13h
Der VKI ging erfolgreich gegen folgende Klausel in den AGB eines Mobilfunkunternehmens vor:
"Weiters verrechnen wir Ihnen eine Abschlagszahlung von 80 Euro je aktivierter SIM- Karte - für
Vorteile (zB Endgerätestützung, Gesprächsgutschrift) die wir Ihnen bei Vertragsabschluss oder bei Abgabe eines weiteren Kündigungsverzichts gewährt haben.
"
Dazu der OGH:
[...] Entgegen der Ansicht der Beklagten sagt die Bestimmung des § 25 Abs 4 Z 3 lit b TKG aber nichts über die Zulässigkeit der zusätzlichen, darüber noch hinausgehenden Abschlagszahlung aus (vgl RIS-Justiz RS0113221 [T3]), die im bekämpften zweiten Absatz der Klausel aufscheint. Sie ist vielmehr nach den § 864a und § 879 Abs 3 ABGB zu prüfen. [...]
4.3. Da feststeht, dass unabhängig davon, wann ein Kunde den Vertrag kündigt, jedenfalls alle bis zum Ablauf der vereinbarten Vertragslaufzeit ausstehenden Entgelte und rückverrechneten Rabatte (nach-)gezahlt werden müssen, ist nicht nachvollziehbar, aus welchen Gründen der Kunde bei vorzeitiger Vertragsauflösung auch noch verpflichtet sein sollte, eine Abschlagszahlung in Höhe von 80 EUR für „Vorteile (zB Endgerätestützung, Gesprächsgutschrift)“ zu leisten; dies, unabhängig davon, ob er solche „Vorteile“ überhaupt noch nutzen kann. [...] Dass die zusätzliche Abschlagszahlung einer Vertragsstrafe gleichkommt, die nicht zulässig vereinbart werden kann, weil die bekämpfte Klausel gegen die § 864a und § 879 Abs 3 ABGB verstößt, haben die Vorinstanzen somit zutreffend erkannt. [...]
Die Beklagte hatte sich übrigens (erfolglos) darauf berufen, dass auch der größte Mobilfunkbetreiber Österreichs eine ähnliche Klausel verwenden würde ... Übrigens betrifft das Urteil nicht das "kostenlose Sonderkündigungsrecht" gem § 25 Abs 3 TKG.
Quelle: VKI

22.07.2014

OGH: Sperrverfügung gegen Access-Provider war zulässig (kino.to)

Laut dieser Pressemeldung der am Verfahren beteiligten Rechtsanwaltskanzlei hat der OGH die einstweilige Verfügung gegen UPC (nach Unterbrechung für ein Vorabentscheidungsverfahren vor dem EuGH) betreffend die Sperre von kino.to als rechtens beschieden:
In dem von österreichischen und deutschen  Filmproduzenten seit 2010 mit Unterstützung des Vereins für Anti-Piraterie (VAP) gegen den Internet-Provider UPC geführten Musterprozess hat nun der Oberste Gerichtshof (OGH) entschieden: Die gegen UPC angeordnete einstweilige Verfügung zur Sperre des Zugangs zum berüchtigten Portal kino.to wurde zu Recht erlassen. [...]
Der Volltext der Entscheidung liegt - soweit ersichtlich - im RIS noch nicht vor. Mehr auf Futurezone.

Update 24.07.2014: Der Beschluss des OGH vom 24.06.2014 ist verfügbar: 4 Ob 71/14s:
[...] 6. Dem vom Rekursgericht mit einstweiliger Verfügung erlassenen Erfolgsverbot stehen daher keine unionsrechtlichen Gründe entgegen. Der angefochtene Beschluss ist zu bestätigen. Die dieser Entscheidung zugrunde liegenden Erwägungen können wie folgt zusammengefasst werden:
Werden auf einer Website Schutzgegenstände ohne Zustimmung der Rechteinhaber zugänglich gemacht, kann Access-Providern von Nutzern untersagt werden, ihren Kunden den Zugang zu dieser Website zu vermitteln. Das gilt nicht, wenn dadurch auch der rechtmäßige Zugang zu Informationen verhindert würde. Konkrete Maßnahmen zur Verhinderung des Zugangs können nicht angeordnet werden. [...]

Laut OGH soll der von einer Sperre betroffene Nutzer künftig auch direkt gegen den Rechteinhaber, der die Sperre veranlasst hat, gerichtlich vorgehen können (ergänze: wenn er/sie sichs leisten kann und dieser "Erwägung" auch die Untergerichte folgen):
[...] 5.2. Darüber hinaus kann erwogen werden, dass Nutzer ihr Recht auf rechtmäßigen Informationszugang auch unmittelbar gegen einen Rechteinhaber geltend machen können, der es - mittelbar - durch die Veranlassung unzulässiger oder überschießender Sperrmaßnahmen verletzt. Denn der EuGH geht offenkundig davon aus, dass dieses Recht allseitige Wirkung hat und daher auch von Dritten zu beachten ist. Trifft das zu, könnte ein Nutzer nach Einleitung eines Exekutionsverfahrens auch Exszindierungsklage gegen den betreibenden Rechteinhaber erheben. Denn diese Klage steht grundsätzlich auch bei der Exekution zur Erwirkung von Handlungen und Unterlassungen zur Verfügung (Jakusch in Angst2, § 37 Rz 3 mwN; RIS-Justiz RS0000994 [zu § 353 EO]). Es genügt, wenn der Betreibende ein Verhalten des Verpflichteten erzwingen will, das in ein absolut geschütztes Recht eines Dritten eingreift, der diesen Eingriff nicht aufgrund einer besonderen Rechtsbeziehung zum Betreibenden zu dulden hat (3 Ob 174/97b). Ein solcher Fall läge im gegebenen Zusammenhang vor, wenn aufgrund der Ausführungen des EuGH ein absolut geschütztes Recht auf rechtmäßigen Zugang zu Informationen anzunehmen ist. [...]
Update 29.07.2014: So it begins ... Österreichische Provider müssen (u.a.) Pirate Bay blocken, Der Standard.
Update 08.07.2015: OGH 19.05.2015, 4 O b22/15m: "Website-Sperren" von www.kinox.to und www.movie4k.to

Canvas fingerprinting: Very soon, we'll all want old-fashioned cookies back ...

G. Acar, C. Eubank, S. Englehardt, M. Juarez, A. Narayanan, C. Diaz, The Web never forgets: Persistent tracking mechanisms in the wild. Under submission.
We present the first large-scale studies of three advanced web tracking mechanisms - canvas fingerprinting, evercookies and use of "cookie syncing" in conjunction with evercookies. Canvas fingerprinting, a recently developed form of browser fingerprinting, has not previously been reported in the wild; our results show that over 5% of the top 100,000 websites employ it. [...]
From the conclusion:
We present a large-scale study of tracking mechanisms that misuse browser features to circumvent users' tracking preferences. We employed innovative measurement methods to reveal their prevalence and sophistication in the wild. Current options for users to mitigate these threats are limited, in part due to the di culty of distinguishing unwanted tracking from benign behavior. In the long run, a viable approach to online privacy must go beyond add-ons and browser extensions. These technical e orts can be buttressed by regulatory oversight. In addition, privacy-friendly browser vendors who have hitherto attempted to take a neutral stance should consider integrating defenses more deeply into the browser.
They quote Felten's post "If You're Going to Track Me, Please Use Cookies", he was so right - stateless tracking is on the rise ...

18.07.2014

EuGH: (Rechtliche) Analyse in Entscheidungsentwurf als solche kein personenbezogenes Datum

EuGH 17.07.2014, verb Rs C‑141/12 und C‑372/12 - Y. S.
[...] Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
1. Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass es sich zum einen bei den Daten über denjenigen, der einen Aufenthaltstitel beantragt, die in einem Verwaltungsdokument wie der in den Ausgangsverfahren in Rede stehenden „Entwurfsschrift“ wiedergegeben sind, in dem im Rahmen des Verfahrens, das dem Erlass einer Entscheidung über den Antrag auf Erteilung eines derartigen Titels vorgeschaltet ist, der zuständige Sachbearbeiter die Gründe darlegt, auf denen der Entscheidungsentwurf beruht, und zum anderen bei den Daten, die gegebenenfalls in der in der Entwurfsschrift enthaltenen rechtlichen Analyse wiedergegeben sind, um „personenbezogene Daten“ im Sinne dieser Bestimmung handelt. Diese Einstufung gilt allerdings nicht für die Analyse als solche.
2. Art. 12 Buchst. a der Richtlinie 95/46 und Art. 8 Abs. 2 der Charta der Grundrechte der Europäischen Union sind dahin auszulegen, dass derjenige, der einen Aufenthaltstitel beantragt, ein Auskunftsrecht hinsichtlich sämtlicher ihn betreffenden personenbezogenen Daten hat, die Gegenstand einer Verarbeitung durch die nationalen Verwaltungsbehörden im Sinne von Art. 2 Buchst. b dieser Richtlinie sind. Zur Wahrung dieses Auskunftsrechts genügt es, dass der Antragsteller eine vollständige Übersicht dieser Daten in verständlicher Form erhält, d. h. in einer Form, die es ihm ermöglicht, von den genannten Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der Richtlinie gemäß verarbeitet werden, so dass er gegebenenfalls die ihm in dieser Richtlinie verliehenen Rechte ausüben kann.
3. Art. 41 Abs. 2 Buchst. b der Charta der Grundrechte der Europäischen Union ist dahin auszulegen, dass derjenige, der einen Aufenthaltstitel beantragt, sich gegenüber den nationalen Behörden nicht auf diese Bestimmung berufen kann.

White paper: A Risk-based Approach to Privacy

The Centre for Information Policy Leadership at Hunton & Williams (the “Centre”) has recently published a white paper entitled "A Risk-based Approach to Privacy: Improving Effectiveness in Practice".
According to this press release, [t]he white paper explores the fundamental question of how the ultimate purpose of privacy laws – to protect individuals from both tangible and intangible harm – can be achieved more effectively in the modern information age. Given the increasing challenges of Big Data, ubiquitous computing and information flows, the Internet of Things and non-consumer facing data processing, organizations require tools that help them implement and comply with applicable legal requirements more effectively and to ensure appropriate prioritization within their privacy programs. The Centre’s Privacy Risk Framework Project seeks to explore the potential of the risk-based approach as one such tool. In addition to a comprehensive study of the various possible applications and uses of the risk-based approach, the Project also seeks to develop a practical methodology for identifying and evaluating specific privacy harms to consumers to facilitate appropriate mitigations and processing decisions by organizations. [...]
From the paper itself: 
XII. Next Steps
43. The Centre will continue work towards a comprehensive privacy risk framework, drawing on the expertise of its members, project participants and privacy experts, including from academia and the regulators community. It will also seek to collaborate with other organisations interested in the risk-based approach to privacy.
[...]

OGH: Schadenersatzrechtliche Wandlung auf der Grundlage des § 933a ABGB

OGH 27.05.2014, 9 Ob 14/14w (Pressemeldung des OGH dazu hier):
[...] Der Oberste Gerichtshof hat die Möglichkeit einer schadenersatzrechtlichen Wandlung auf der Grundlage des § 933a ABGB bereits bejaht. Dazu wurde in der Entscheidung 7 Ob 23/13b ausgeführt: „§ 933a Abs 1 ABGB schreibt als lex specialis, die den §§ 1295 ff ABGB vorgeht, den in der Rechtsprechung vertretenen Grundsatz der vollen Konkurrenz zwischen Gewährleistung und Schadenersatz explizit im Gesetz fest. Damit wird klargestellt, dass der Übernehmer wegen der vom Übergeber verschuldeten (= schuldhaft nicht vor Übergabe beseitigten) Mängel auch Anspruch auf Schadenersatz hat. Demgemäß sind Geldersatzansprüche - auch neben dem Recht auf Wandlung eines Kaufvertrags - keinesfalls ausgeschlossen (2 Ob 95/06v = RIS-Justiz RS0122651). Nach Judikatur und Lehre steht dem Besteller bei einem unbrauchbaren Werk aus dem Titel des Schadenersatzes der Anspruch auf Rückerstattung des gesamten Werklohns zu (1 Ob 109/09z; vgl auch 6 Ob 7/06g, 3 Ob 295/05m; 9 Ob 3/13a [zum Kauf] je mwN). Die Ansicht, dass dem Übernehmer bei nicht bloß geringfügigem Mangel und Vorliegen der übrigen Voraussetzungen auch die Möglichkeit einzuräumen ist, ganz vom Vertrag loszukommen (schadenersatzrechtliche Wandlung), wird auch in der Lehre vertreten (Zusammenstellung der herrschenden Ansicht bei Zöchling-Jud in Kletečka/Schauer, ABGB-ON.01, § 933a Rz 26 Fn 70; P. Bydlinski in Koziol/Bydlinski/Bollenberger³, § 933a Rz 9; Ofner in Schwimann³, § 933a Rz 17; aA Zöchling-Jud aaO, § 933a Rz 27).“ An dieser Argumentation hielt der Oberste Gerichtshof auch angesichts der dort verfahrensgegenständlichen Kaufsache (mangelhafter Traktor) fest.
Entgegen der Ansicht des Beklagten kam danach auch im vorliegenden Fall eine Rückabwicklung des Kaufvertrags unter Rückzahlung des Kaufpreises (abzüglich eines Benützungsentgelts) Zug um Zug gegen Rückstellung des von der Klägerin gekauften Fahrzeugs in Frage.
Der Beklagte wendet dagegen den Verbesserungsvorrang des § 933a ABGB ein. Die Klägerin hätte eine Verbesserung der Mängel durch Herbeiführen der Typisierung der infolge einer Fahrwerksänderung nicht typisierten Fahrzeugteile herbeiführen müssen, was für 650 EUR möglich gewesen wäre.
Dem Behelf der Verbesserung liegt jedoch nicht die Konzeption zugrunde, dass der Käufer der mangelhaften Sache nach Zahlung des Kaufpreises noch einen weiteren Vermögensaufwand tätigen müsste, um eine mangelfreie Sache zu erhalten. [...]

CJEU’s Judgment on the Right to Be Forgotten: the WP29 Will Meet with Search Engines

According to this press release, the data protection authorities have invited search engines to discuss with them, on July 24th, the practical implementation of the key principles in this CJEU case in order to finalise the WP29’s guidelines foreseen for autumn 2014.

16.07.2014

ICO: Annual report 2013/14 published

Information Commissioner’s Annual Report and Financial Statements 2013/14 (Report Presented to Parliament pursuant to Section 52(1) of the Data Protection Act 1998 and Section 49(1) of the Freedom of Information Act 2000 and Accounts Presented to Parliament pursuant to paragraph 10(2) of Schedule 5 to the Data Protection Act 1998)
The latest annual report shows that the ICO responded to a record number of data protection and freedom of information complaints this year. Information Commissioner, Christopher Graham, said: “Facebook, care.data, Google: it is clear that organisations’ use of data is getting ever more complicated. People need to know someone is watching over their information. [...] 
The ICO’s written submission to the Intelligence and Security Committee in February is now available. The Information Commissioner will appear before the committee in the autumn.

UN Report: The right to privacy in the digital age

The right to privacy in the digital age, Report of the Office of the United Nations High Commissioner for Human Rights 
Summary
In its resolution 68/167, the General Assembly requested the United Nations High Commissioner for Human Rights to submit a report on the protection and promotion of the right to priv acy in the context of domestic and extraterritorial surveillance and/or the interception of digital communications and the collection of personal data, including on a mass scale, to the Human Rights Council at its twentyseventh session and to the General Assembly at its sixtyninth session, with views and recommendations, to be considered by Member States. The present report is submitted pursuant to that request. The Office of the High Commission er will also submit the report to the General Assembly at its session, pursuant to the request of the Assembly. [...]

V. Conclusions and recommendations
[...] 49. Effectively addressing the challenges related to the right to privacy in the context of modern communications technology will require an ongoing, concerted multi-stakeholder engagement. This process should include a dialogue involving all interested stakeholders, including Member States, civil society, scientific and technical communities, the business sector, academics and human rights experts. As communication technologies continue to evolve, leadership will be critical to ensuring that these technologies are used to deliver on their potential towards the improved enjoyment of the human rights enshrined in the international legal framework. [...]

Pew Research: Global Opposition to U.S. Surveillance

Pew Research Center, Global Opposition to U.S. Surveillance and Drones, but Limited Harm to America’s Image, July 2014
This report examines global public opinion about the United States, China and the international balance of power. It is based on 48,643 interviews in 44 countries with adults 18 and older, conducted from March 17 to June 5, 2014. For more details, see survey methods and topline results.
Chapter 1 explores America’s image worldwide, including views of President Obama, U.S. drone strikes and electronic surveillance. Chapter 2 looks at China’s image, including the economic impact China is having on other countries and ratings for President Xi. Chapter 3 examines perceptions about the balance of power between the U.S. and China. And Chapter 4 focuses on public opinion in Asia regarding the potential for conflict between China and its neighbors, views about key allies and threats, and other issues.
[...]
Source: Pew Research

Russia: Privacy law amendment introduces obligation to store personal data in Russia (updated)

On July 9, 2014, Russia’s Council of the Federation (the upper chamber of the Russian Parliament) approved Bill No. 553424-6 amending Russia’s existing laws on privacy, information technology and protection of information. Media reports indicate that the bill, which had been adopted by the lower chamber of the Russian Parliament on July 3, 2014, was signed into law by President Vladimir Putin. The law introduces obligation of operators to store and process personal data of Russian nationals only in the databases located in Russia. The introduced obligation will practically mean the companies operating in Russia and dealing with natural persons (for example, retailers, social networks, those operating in international transportation, banking and other similar spheres) will be forced to place their servers within Russia if they plan to continue making business in the market. [...] The Law will come into force from September 1, 2016. [...]
Sources: Alrud Law Firm; Hunton & Williams; The Register
Update 18.09.2014: According to Rapsinews "... The law was to take effect on September 1, 2016. However, a bill was recently submitted to the State Duma proposing that the personal data law take effect on January 1, 2015. ..."
Update 22.10.2014: TASS - Russian MP says law on Internet data storage to come into force in 2016

EU: "Cookie Law" Sweep Day(s) planned for September 2014

On July 11, 2014, the French Data Protection Authority (CNIL) announced that from September 15 - 19, 2014 a European “cookies sweep day” will take place. During that initiative, each EU data protection authority taking part in this compliance sweep will review how users are informed of, and consent to the use of, cookies.
Source: Hunton & Williams

14.07.2014

OGH: Verrechnung von "Zahlscheinentgelten" gesetzwidrig (updated)

OGH 17.06.2014, 10 Ob 27/14i
In einem Verfahren gegen T-Mobile - das der VKI im Auftrag des Sozialministeriums führte - entschied der OGH nun endgültig, dass die Verrechnung von Zahlscheinentgelten gesetzwidrig ist.
Seit 1.11.2009 verbietet § 27 Abs 6 zweiter Satz ZaDiG (Zahlungsdienstegesetz) die Verrechnung von Strafentgelten für die Bezahlung per Zahlschein oder Onlinebanking.
Trotzdem wurden diese Strafentgelte weiterhin von Unternehmen verrechnet. Die Angelegenheit wurde schlussendlich auch dem EuGH vorgelegt, wobei dieser klarstellte, dass es sich bei Zahlscheinen um "Zahlungsinstrumente" handelt und ein Verbot eines "Zahlscheinentgeltes" nicht dem EU-Recht widerspricht.
Nunmehr liegt auch ein Urteil des OGH vor, das die Verrechnung von Strafentgelten für die Zahlung einer Rechnung mit Zahlschein oder Erteilung eines Überweisungsauftrages im Onlinebanking verbietet.
Das Verbot der Verrechnung von Zusatzentgelten gilt auch für Versicherungsverträge die ab dem 1.11.2009 abgeschlossen wurden, stellte der OGH in einem obiter dictum klar. [...]
Quelle: VKI
Update 17.07.2014: Urteil im RIS verfügbar; Pressemeldung OGH
Update 22.08.2014: OGH 25.06.2014, 9 Ob 33/14i - Verrechnung der Zahlscheingebühr nunmehr auch durch A1 Telekom unzulässig.
Update 27.08.2014: OGH 9.7.2014, 7 Ob 78/14t - "Zahlscheingebühr" nun auch für Versicherungen verboten.

13.07.2014

OGH: Unzulässigkeit der Verwertung von YouTube-Videos (ausgenommen durch Streaming)

OGH 20.05.2014, 4 Ob 82/14h
Die Klägerin hatte ein Video über einen Polizeieinsatz hergestellt und auf das Videoportal „YouTube“ hochgeladen. Die Beklagte veröffentlichte in ihrer Tageszeitung einen Artikel über den Polizeieinsatz und illustrierte ihn mit vier Standbildern, die sie dem hochgeladenen Video entnommen hatte. Weder die Klägerin noch die YouTube LLC hatten dieser Nutzung zugestimmt.
Die Klägerin beantragte, der Beklagten mit einstweiliger Verfügung die Vervielfältigung, Verbreitung oder sonstige Verwertung von Standbildern des Videos zu verbieten. Die Beklagte bestritt nicht, dass das Urheberrecht für das Video bei der Klägerin lag, wandte aber ein, dass sich aus den Nutzungsbedingungen von YouTube die Zulässigkeit der Verwertung ergebe.
Damit drang sie nicht durch: Zwar sehen die Nutzungsbedingungen von YouTube vor, dass ein Nutzer, der Inhalte hochlädt, allen anderen Nutzern die Verwertung dieser Inhalte erlaubt, dies allerdings nur, „soweit dies durch die Funktionalität der Dienste und im Rahmen dieser Bestimmungen gestattet wird.“ Daraus folgt, dass Dritte die Inhalte grundsätzlich nur durch Streaming nutzen dürfen; jede andere – kommerzielle oder nicht-kommerzielle - Verwertung müsste gesondert von YouTube oder vom hochladenden Nutzer gestattet werden. Da im konkreten Fall keine solche Erlaubnis vorlag, hatte der Antrag der Klägerin in allen Instanzen Erfolg.
Quelle: OGH

11.07.2014

EPRS paper: Overcoming Transatlantic differences on intellectual property - IPR and TTIP

European Parliamentary Research Service, Overcoming Transatlantic differences on intellectual property - IPR and the TTIP negotiations, from the Executive Summary:
Recent studies demonstrate the important contribution of intellectual property rights (IPR) to the American and EU economies. Royalties and licence fees based on IPR figure high among the exports of both, and applications, and grants, for IPR protection made by Europeans in the US and vice-versa represent an important share of the totals. The differences between the respective IPR systems are comparatively small, yet seen as hard to overcome. The negotiation of the EU-US Transatlantic Trade and Investment Partnership (TTIP) may present the opportunity for a step change in EU-US relations in respect of IPR. [...]
Source: Press release; see also this briefing entitled "Towards an EU-US trade and investment deal"

European Parliament: Note on the Commission's proposal for a Directive on Protection of trade secrets

Briefing, Initial Appraisal of a European Commission Impact Assessment, Impact Assessment (SWD (2013) 471, SWD (2013) 472 (summary) for a Commission proposal for a Directive of the European Parliament and the Council on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure (COM (2013) 813):
This note seeks to provide an initial analysis of the strengths and weaknesses of the European Commission's Impact Assessment (IA) accompanying its proposal which was adopted on 28 November 2013. [...]
Overall, the IA is of reasonable quality, with a wealth of background information, especially in the annexes. One of its weaknesses, however, is the over-complication of the presentation of the problem definition. The link to the defined objectives and the extent and nature of the problem is not always clear. The difficulty in defining monitoring indicators already at this stage, might suggest a possible flaw, notably in the initial definition of the problem and objectives. [...]

EuGH (Schlussanträge): Videoüberwachung (auch) des öffentl. Raums fällt nicht unter Art 3 Abs 2 DatenschutzRL

EuGH 10.07.2014, Rs C‑212/13 (Schlussanträge des Generalanwalts Jäaskinen) - František Ryneš gegen Úřad pro ochranu osobních údajů (Vorabentscheidungsersuchen des Nejvyšší správní soud [Tschechische Republik]):
Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr regelt diesen Bereich umfassend. Allerdings findet diese Richtlinie gemäß ihrem Art. 3 Abs. 2 zweiter Gedankenstrich keine Anwendung auf die Verarbeitung personenbezogener Daten, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“.
2. Der Nejvyšší správní soud (oberster tschechischer Verwaltungsgerichtshof) ersucht den Gerichtshof um die Auslegung dieser Ausnahme im Rahmen eines Rechtsstreits zwischen Herrn František Ryneš und dem Úřad pro ochranu osobních údajů (Amt für den Schutz personenbezogener Daten, im Folgenden: Amt) wegen dessen Entscheidung, Herr Ryneš habe mehrfach gegen Vorschriften über den Schutz personenbezogener Daten verstoßen, indem er unter dem Gesims seines Hauses eine Überwachungskamera installiert habe, die nicht nur sein Haus, sondern auch den öffentlichen Straßenraum und das gegenüberliegende Haus aufgenommen habe. [...]
V –    Ergebnis
68. Nach alledem schlage ich dem Gerichtshof vor, die vom Nejvyšší správní soud vorgelegte Frage wie folgt zu beantworten:
Der Betrieb eines Kamerasystems, das an einem Einfamilienhaus zum Zweck des Schutzes des Eigentums, der Gesundheit und des Lebens der Besitzer des Hauses angebracht ist und auch den öffentlichen Raum überwacht, fällt nicht unter die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommene Verarbeitung personenbezogener Daten im Sinne von Art. 3 Abs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Parlam. Anfrage: Betrieb von Tor-Servern in Österreich

Offenbar war diese Verurteilung mit ein Anstoß für folgende Anfragen:
Schriftliche Anfrage der Abgeordneten Mag. Nikolaus Alm, Kolleginnen und Kollegen an die Bundesministerin für Verkehr, Innovation und Technologie betreffend Betrieb von Tor-Servern in Österreich (2054/J) und
Schriftliche Anfrage der Abgeordneten Mag. Nikolaus Alm, Kolleginnen und Kollegen an den Bundesminister für Justiz betreffend Betrieb von Tor-Servern in Österreich (2053/J):
1. Ist es richtig, dass der Betrieb von Tor-Servern (Bridges, Non-Exit Relays, Exit-Nodes) in den Anwendungsbereich des E-Commerce-Gesetzes (ECG) fällt?
a. Wenn nein, warum nicht?
b. Wenn ja, gilt dann folglich für diese Betreiber_innen der Haftungsausschluss gem § 13 ECG, der auch für alle anderen Internet Service Provider gilt?
2. Besteht aus Sicht des BMJ Rechtsunsicherheit in Bezug auf den Betrieb von Tor-Servern (Bridges) in Österreich bzw. die zivilrechtliche oder strafrechtliche Verantwortlichkeit für diesen?
a. Wenn ja, plant das BMJ eine rechtliche Präzisierung oder Reformierung in diesem Bereich?
3. Besteht aus Sicht des BMJ Rechtsunsicherheit in Bezug auf den Betrieb von Tor-Servern (Non-Exit Relays) in Österreich bzw. die zivilrechtliche oder strafrechtliche Verantwortlichkeit für diesen?
a. Wenn ja, plant das BMJ eine rechtliche Präzisierung oder Reformierung in diesem Bereich?
4. Besteht aus Sicht des BMJ Rechtsunsicherheit in Bezug auf den Betrieb von Tor-Servern (Exit-Nodes) in Österreich bzw. die zivilrechtliche oder strafrechtliche Verantwortlichkeit für diesen?
a. Wenn ja, plant das BMJ eine rechtliche Präzisierung oder Reformierung in diesem Bereich?
5. Wie oft wurden seit Bestehen des E-Commerce-Gesetzes (ECG) Zivilverfahren unter Einbeziehung des ECG eingeleitet? (Bitte um Aufschlüsselung nach Jahren)
6. Wie oft wurden seit Bestehen des E-Commerce-Gesetzes (ECG) Strafverfahren wegen Beitragstäterschaft eines Diensteanbieters gemäß ECG eingeleitet? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
a. Wie oft wurde in den genannten Verfahren Hausdurchsuchungen angeordnet? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
b. Wie oft kam es in den genannten Verfahren zu Verurteilungen des Diensteanbieters?(Bitte um Aufschlüsselung nach Jahren, Strafausmaß und Hauptdelikt)

c. Wie oft kam es in den genannten Verfahren zur Einstellung des Verfahrens gegen den Diensteanbieter? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
d. Wie oft kam es in den genannten Verfahren zur Einstellung des Verfahrens aufgrund der Anwendbarkeit von § 13 ECG? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
7. Wie viele Strafverfahren gab es seit September 2002 gegen Betreiber_innen von Tor-Servern wegen Beitragstäterschaft? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
a. Wie oft wurde in den genannten Verfahren Hausdurchsuchungen angeordnet? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
b. Wie oft gab es in den genannten Verfahren Beschlagnahmungen von Tor-Servern? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
c. Wie oft kam es in den genannten Verfahren zu Verurteilungen der Betreiber_innen von Tor-Servern? (Bitte um Aufschlüsselung nach Jahren, Strafausmaß und Hauptdelikt)
d. Wie oft kam es in den genannten Verfahren zur Einstellung des Verfahrens gegen Betreiber_innen von Tor-Servern? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)
e. Wie oft kam es in den genannten Verfahren zur Einstellung des Verfahrens aufgrund der Anwendbarkeit von § 13 ECG? (Bitte um Aufschlüsselung nach Jahren und Hauptdelikt)

Update: Beantwortung BMJ

Ö: Parlam. Anfrage zur Implementierung des elektronischen Gesundheitsakts (ELGA)

Schriftliche Anfrage der Abgeordneten Dr. Andreas F. Karlsböck, Kolleginnen und Kollegen an den Bundesminister für Gesundheit betreffend Unzulänglichkeiten im Gesetz zur Implementierung des elektronischen Gesundheitsakts (ELGA) (1983/J)
1. Wie stehen Sie zu den oben genannten datenschutzrechtlichen Bedenken bzw. was werden Sie unternehmen, um sie zu zerstreuen?
2. Wie sehen Sie die Verfassungskonformität des ELGA-Gesetzes im Lichte des Erkenntnisses des Verfassungsgerichtshofes vom 27.06.2014, mit dem die gesetzlichen Bestimmungen über die Vorratsdatenspeicherung aufgehoben wurden, und zwar mit dem Hinweis auf „die Gefahren für die Freiheit und die Unverhältnismäßigkeit des Eingriffs in das Grundrecht auf Datenschutz“?
3. Gemäß § 8 ELGA-G sind zur Erfüllung der darin aufgeführten Verpflichtungen seitens des Gesundheitsdienstanbieters Anschaffungen in Hard- und Software vorzunehmen, die mit erheblichem finanziellen und organisatorischen Aufwand verbunden sind und von offizieller Seite nicht vergolten werden?
Haben Sie vor, diese Aufwendungen künftig zu refundieren? Wenn ja, ab wann und in welcher Höhe? Wenn nein, warum nicht?
4. Gemäß § 6 ELGA-G ist die Vertraulichkeit der elektronischen Weitergabe von Gesundheitsdaten sicherzustellen. Die dafür erforderlichen technischen Maßnahmen treffen den Gesundheitsdienstanbieter zusätzlich schwer. Haben Sie vor, hier eine finanzielle Abgeltung einzuführen? Wenn ja, ab wann und in welcher Höhe? Wenn nein, warum nicht?
[...]

07.07.2014

Binding Corporate Rules: Art. 29 WP seeks to improve Commission's website

Letter from the Article 29 Working Party to Ms. Le Bail, Director General for DG Justice, European Commission, on the improvement of the BCR website section:
[...] In that aim, the website could add the following sections:
– the name of the company implementing BCR
– the lead authority
– the other authority involved
– the type of BCR (BCR Processor or BCR Controller)
– the material scope (categories of data subjects, such as employees, consumers, website users...)
– the geographical scope (worldwide or only for data originating from EU)
– the access to BCR policy (when available, which is generally not the case when it is restricted to employees data). [...]

Germany: Proposed roadmap to speed up the negotiations on EU data protection reform

Annex to Federal Minister de Maizière’s letter to the Greek and Italian Presidencies, Proposed roadmap to speed up the negotiations on EU data protection reform (Anlage zum Schreiben des Herrn Ministers an GRC- und ITA-Vorsitz, Vorschlag für eine Roadmap zur Beschleunigung der Verhandlungen über die EU-Datenschutzreform):
The Council has so far been unable to agree on the legal nature of the General Data Protection Regulation. For a number of Member States, the central concern is to pre-serve the specific data protection law for their public administrations, which in some cases exceeds the standards set by the General Data Protection Regulation. They also want to retain the possibility of setting higher standards of protection with regard to specific risks posed by certain authorities, digital records and public registers. For Germany, this is a very serious concern. [...]
To make substantial progress on this point and create clarity with regard to the many questions arising in relation to the public sector, I propose as a broader compromise an opening clause in Article 1 or 2 of the General Data Protection Regulation which would allow the Member States to go beyond the General Data Protection Regulation as needed and pass stricter national data protection legislation for the public sector (for example on the rights of data subjects, on data security measures or on record-keeping). [...]
Source: Netzpolitik.org

03.07.2014

BRD: BGH zur Vergütungspflicht von Druckern und PCs

BGH 03.07.2014, I ZR 28/11, I ZR 29/11, I ZR 30/11, I ZR 162/10 
Der u.a. für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass Drucker und PCs zu den vergütungspflichtigen Vervielfältigungsgeräten nach §§ 54, 54a Urheberrechtsgesetz in der bis zum 31. Dezember 2007 gültigen Fassung (UrhG aF) gehören. [...]
Hersteller von Druckern und PCs müssen an die Verwertungsgesellschaften der Wortautoren (VG Wort) und Fotografen (VG Bild-Kunst) für alle von 2002 bis einschließlich 2007 in Deutschland in Verkehr gebrachten Geräte eine pauschale Urheberrechtsvergütung zahlen. [...]

Quellen: BGH; Heise
Update 25.08.2014: Volltext verfügbar.
"Drucker und Plotter gehören zu den nach § 54a Abs. 1 UrhG aF vergütungspflich-tigen Vervielfältigungsgeräten (Aufgabe von BGH, Urteil vom 6. Dezember 2007 I ZR 94/05, BGHZ 174, 359 Drucker und Plotter I)."

EU guidelines to handle take down (removal of search engine results) requests

According to the latest ICO e-newsletter, ICO and its European counterparts on the Article 29 Working Party are working on guidelines to help data protection authorities respond to complaints about the removal of personal information from search engine results.
The guidelines are being developed in response to the recent judgement by the Court of Justice of the European Union that ordered Google to remove search engine results of a Spanish citizen. The recommendations aim to ensure a consistent approach by European data protection authorities in response to complaints when takedown requests are refused by the search engine provider. [...]

Studie: Credit Scoring in Österreich

"Credit Scoring in Österreich", Studie (auch hier abrufbar) in Kooperation der Bundesarbeitskammer mit dem Institut für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften, Projektleitung: Walter Peissl, Autoren: Robert Rothmann, Jaro Sterbik-Lamina, Walter Peissl
Aus der Zusammenfassung:
Die vorliegende Studie analysiert das Phänomen des Credit Scorings von Privatpersonen aus Sicht derTechnikfolgenabschätzung. Neben den wesentlichen rechtlichen Rahmenbedingungen sowie einer Vorstellung der zentralen Stakeholder der Branche, erfolgt vor allem eine kritische Auseinandersetzung mit den Methoden des Scorings sowie den sich daraus ergebenden sozialen Implikationen. Den Abschluss bilden Handlungsempfehlungen zu einer sozialverträglichen Gestaltung des Technologie und Politikfeldes.
Dabei lässt sich grundsätzlich sagen, dass die Verfahren des Scorings gerade durch die Digitalisierung im Zuge der letzten Jahre hinsichtlich ihrer Eingriffsintensität einen wesentlichen Wandel erfahren haben. Während die bonitätsbezogene Informationssammlung über Privatpersonen und die Kontrolle der VerbraucherInnen über sogenannte „Schwarze Listen“ bereits seit den 1960er Jahren existiert, geht das Verfahren des Credit Scorings in seiner Qualität über derartige Negativdatenbanken hinaus. Statt einer eindimensionalen Betrachtung der Zahlungsmoral erfolgt eine multidimensionale Analyse sämtlicher Lebensumstände einer Person. Ein Blick auf die internationale Scoringlandschaft zeigt hier bedenkliche Tendenzen. So werden die Scoring-Modelle zunehmend mit externen, mitunter auch datenschutzrechtlich sensiblen Informationen angereichert die in ihrem ursprünglichen Entstehungskontext nicht für die Bonitätsbewertung gedacht waren. Diesen Entwicklungen steht eine weitgehende Unwissenheit der VerbraucherInnen um diese Verfahren gegenüber – aufmerksam wird man erst, wenn negative Aspekte offenbar werden.
[...]

02.07.2014

Council: Revised version of the draft EU General Data Protection Regulation (Note)

Statewatch has just published a Note from Presidency to Working Party on Information Exchange and Data Protection (State of Play in the Council developing its "position" prior to meeting with the European Parliament) dated 30 June 2014:
Delegations find attached a revised version of the draft General Data Protection Regulation. This
version seeks to take account of the discussions on the draft Regulation that took place in the
Working Party on Information Exchange and Data Protection under the Greek Presidency.
[...]

BRD: Innenminister startet In­itia­ti­ve zur Datenschutz-Grund­ver­ord­nung

Es scheint fast so, als ob die geplante EU-Datenschutzreform wieder etwas mehr Schub erhalten hätte, siehe auch Punkt 4. der Conclusions of the European Council sowie den "partial general approach on Article 3(2) (territorial scope), on the respective definitions of BCR and “international organisation” (Articles 4(17) and (21)) and on Chapter V"(hier, Seite 4):
In einem Schreiben an die aktuelle griechische und die zukünftige italienische Ratspräsidentschaft hat Bundesinnenminister Dr. Thomas de Maizière nun Vorschläge gemacht, um die derzeit festgefahrenen Verhandlungen zur Datenschutz-Grundverordnung voranzubringen.
Die Vorschläge betreffen jeweils Kernfragen, die bislang eine Einigung im Rat verhindert hatten.
Ein wichtiges deutsches Ziel sei etwa die Einführung einer Öffnungsklausel, die es den Mitgliedstaaten ausdrücklich erlaube, bei Bedarf über die Bestimmungen der Datenschutz-Grundverordnung hinauszugehen und strengere nationale Datenschutzbestimmungen im öffentlichen Bereich vorzusehen.
Beim "One-Stop-Shop" setzt de Maizière auf eine Stärkung der lokalen Datenschutzaufsicht und Bürgernähe und verwies auf einen umfassenden Vorschlag, den er bereits im Januar 2014 in Brüssel eingebracht hatte.
In Bezug auf Drittstaatenübermittlungen unterstreicht de Maizière die deutsche Forderung nach einer Regelung zur Datenherausgabe von Unternehmen an Behörden in Drittstaaten. Den Vorschlag für einen entsprechenden Art. 42a hatte Deutschland im Zuge der NSA-Debatte eingebracht. [...]
Schließlich mahnt de Maizière die Internettauglichkeit der Regelungen an. Die Datenschutz-Grundverordnung müsse gerade auf neue Herausforderungen wie Cloud Computing, Internet der Dinge und Big Data Antworten geben. [...]
Um hier entscheidend voranzukommen, wird er in Kürze in Deutschland Gespräche mit Vertretern aus Wirtschaft, Wissenschaft und Zivilgesellschaft führen und die Ergebnisse dem Rat präsentieren.
Dieser solle sich möglichst bald auf eine Roadmap verständigen, um zu den genannten Punkten schnell Ergebnisse zu erzielen. De Maizière möchte damit die Verhandlungen deutlich voranbringen, um eine Einigung mit dem Europäischen Parlament und der neuen Kommission spätestens 2015 sicherzustellen. Auf dieses Ziel hatten sich die Staats- und Regierungschefs im Oktober 2013 geeinigt.
Quelle: BMI Pressemeldung

BGH: Kein Auskunftanspruch über Anmeldedaten gegen Internetportalbetreiber

BGH 01.07.2014, VI ZR 345/13
[...] Der Betreiber eines Internetportals ist in Ermangelung einer gesetzlichen Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG grundsätzlich nicht befugt, ohne Einwilligung des Nutzers dessen personenbezogene Daten zur Erfüllung eines Auskunftsanspruchs wegen einer Persönlichkeitsrechtsverletzung an den Betroffenen zu übermitteln.
Nach dem Gebot der engen Zweckbindung des § 12 Abs. 2 TMG dürfen für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwendet werden, soweit eine Rechtsvorschrift dies erlaubt oder der Nutzer - was hier nicht in Rede stand - eingewilligt hat. Ein Verwenden im Sinne des § 12 Abs. 2 TMG stellt auch eine Übermittlung an Dritte dar. Eine Erlaubnis durch Rechtsvorschrift kommt außerhalb des Telemediengesetzes nach dem Gesetzeswortlaut lediglich dann in Betracht, wenn sich eine solche Vorschrift ausdrücklich auf Telemedien bezieht. Eine solche Vorschrift hat der Gesetzgeber bisher – bewusst – nicht geschaffen.
Dem durch persönlichkeitsrechtsverletzende Inhalte einer Internetseite Betroffenen kann allerdings ein Unterlassungsanspruch gegen den Diensteanbieter zustehen (vgl. Senatsurteil vom 25. Oktober 2011 – VI ZR 93/10, BGHZ 191, 219), den das Oberlandesgericht im Streitfall auch bejaht hat. Darüber hinaus darf der Diensteanbieter nach § 14 Abs. 2, § 15 Abs. 5 Satz 4 Telemediengesetz (TMG) auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestands-, Nutzungs- und Abrechnungsdaten erteilen, soweit dies u. a. für Zwecke der Strafverfolgung erforderlich ist.
Quelle: BGH

EU Commission: Action Plan on the enforcement of Intellectual Property Rights

Yesterday, the European Commission has adopted two communications – an Action Plan to address infringements of intellectual property rights in the EU and a Strategy for the protection and enforcement of intellectual property rights (IPR) in third countries.
The EU Action Plan sets out a number of actions to focus the EU's IPR enforcement policy on commercial scale infringements (the so-called 'follow the money' approach). The Strategy setting out an international approach examines recent changes and presents ways to improve the Commission's current means of action to promote enhanced IPR standards in third countries and to stem the trade in IPR infringing goods. [...]
Source: Press release; see also Enforcement of Intellectual Property Rights – Frequently Asked Questions