30.09.2014

BRD: ULD legt Revision gegen OVG-Urteil über dsr. Zulässigkeit von Facebook-Fanpages ein

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wird das Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts (OVG) vom 04.09.2014 [4 LB 20/13; pdf] vor dem Bundesverwaltungsgericht anfechten, in dem entschieden wurde, dass schleswig-holsteinische Betreiber von Facebook-Fanpages für Datenschutzverstöße, die bei der Benutzung der Seite stattfinden, nicht verantwortlich sein sollen. Das OVG hat in seinem Urteil, dessen Begründung gerade vorgelegt wurde, die Revision zugelassen, weil entscheidende Rechtsfragen bisher nicht höchstrichterlich entschieden worden sind. [...]
Quelle: ULD

Datenschutzbehörde: Anregung zur Reform des § 152 GewO (Auskunfteien über Kreditverhältnisse)

Aus der Stellungnahme der Datenschutzbehörde zu dem Ministerialentwurf betreffend ein Bundesgesetz, mit dem die Gewerbeordnung 1994, das Allgemeine Sozialversicherungsgesetz und das Bankwesengesetz geändert werden:
[...] 2. Reform des § 152 GewO
Die Datenschutzbehörde erlaubt sich bei dieser Gelegenheit die Reform des § 152 GewO (Auskunfteien über Kreditverhältnisse) anzuregen. Die Branche ist nach wie vor größtenteils unreguliert, spielt aber im Alltag eine immer größere Rolle. Mittlerweile ist es in Österreich kaum noch möglich, einen Handyvertrag ohne Bonitätsprüfung zu erhalten. In diesem Kontext gibt es eine Vielzahl von Beschwerden an die Datenschutzbehörde, die dadurch in die Rolle einer inoffiziellen Aufsichts- und Regulierungsbehörde gedrängt wird.

26.09.2014

Art. 29 WP: Letter to Google regarding its Privacy Policy (+ list of possible compliance measures)

Letter from the Article 29 Working Party on Google Privacy Policy, Annex: List of possible compliance measures
At the beginning of 2012, EU data protection authorities launched an in-depth investigation to assess the compliance of Google’s privacy policy with European Data Protection legislation. This process unveiled several issues with the privacy policy and the combination of data across services.
Following this investigation, national procedures were conducted in 2013 and 2014 in a number of EU Member States, some of which concluded that the current privacy policy did not meet the requirements laid down in the respective national laws.
Google must meet its obligations with respect to the European and national data protection legal frameworks and has to determine the means to achieve these legal requirements. In order to guide Google in this compliance effort, the Article 29 Working Party has developed guidelines containing a common list of measures that your company could implement. A draft version was presented to representatives of Google on 2 July 2014, at a meeting in Paris in presence of five European Data protection authorities.
[...]

25.09.2014

Ö: Parlam. Anfrage betreffend Überprüfung der Löschung der Vorratsdaten

Anfrage der Abgeordneten Niko Alm, Beate Meinl-Reisinger, Nikolaus Scherak und Kollegen an den Bundesminister für Verkehr, Innovation und Technologie betreffend Überprüfung der Löschung der Vorratsdaten (2597/J):
 Die Beantwortung der schriftlichen parlamentarischen Anfrage Nr. 1956/J, "Vorratsdatenspeicherung und die forensisch sichere Löschung der erhobenen Daten" hat aus unserer Sicht weitere Fragen aufgeworfen. Die Vorratsdatenspeicherung stellte einen so weitreichenden und anlasslosen Eingriff in die Grundrechte der Bürger_innen dar. Es ist uns daher ein Anliegen, festzustellen, ob die im Zuge der tatsächlich in Österreich durchgeführten Vorratsdatenspeicherung gespeicherten Daten nun auch unwiederbringlich gelöscht wurden.
Aus diesem Grund stellen die unterfertigten Abgeordneten nachstehende Anfrage:

1. Wer genau sind die Betreiber, an die das Schreiben des BMVIT mit dem Hinweis auf die Löschungsverpflichtung im Juli versandt wurde? (Bitte um genaue Auflistung und Datum des Briefes)
2. Was genau stand in dem Schreiben? (Bitte um genauen Wortlaut inkl. möglicher Anhänge)
3. Wurde dem BMVIT der Eingang des Schreibens von allen angeschriebenen Betreibern bestätigt?
a. Wenn nein, wieso nicht?
4. Hat das BMVIT in dem Schreiben eine Löschbestätigung gefordert?
a. Wenn nein, wieso nicht?
b. Wenn ja, von wem hat es diese erhalten?
5. Wer überprüft, ob die Daten ordnungsgemäß gelöscht wurden?

24.09.2014

Art. 29 WP: Letter to Microsoft's CEO on the Microsoft Service Agreement

Letter from the Article 29 Working Party to the Microsoft CEO on the Microsoft Service Agreement:
[...] Furthermore, the Working Party has taken notice that Microsoft has proactively reminded third-party publishers which use Microsoft advertising services of the need to obtain user consent for cookies on their websites and the need to provide prominent information about privacy settings and opt-out tools. The Working Party encourages Microsoft to pursue its efforts to make sure that third party websites embedding Microsoft targeted advertising comply with the requirements of EU data protection law and respect their contractual commitments.
In the context of the growing concern of users for the confidentiality of their personal data, the Working Party reminds Microsoft only to transfer users’ data to law enforcement authorities with a valid legal request and to ensure that there is a sound legal basis for all data transfers outside the EEA
. [...]

Safe Harbour: Schrems v. Data Protection Commission (C-362/14) "in camera" at LIBE meeting

According to this Draft Agenda, this case will be presented by the EP Legal Service, the public being not admitted:
"24 September 2014, 12.00 – 12.30
In camera
6. Request for a preliminary ruling by the High Court of Ireland in case of Schrems v. Data Protection Commission (C362/14) - Safe Harbour decision
LIBE/8/00818
Presentation by the EP Legal Service"

Art. 29 WP: Opinion 8/2014 on the Recent Developments on the Internet of Things (IoT)

The Article 29 Data Protection Working Party has just issued its "Opinion 8/2014 on the Recent Developments on the Internet of Things" (WP 223), essentially focusing on three specific IoT developments (Wearable Computing, Quantified Self and Home Automation):
[...] Beyond legal and technical compliance, what is at stake is, in fact, the consequence it may have on society at large. Organisations which place privacy and data protection at the forefront of product development will be well placed to ensure that their goods and services respect the principles of privacy by design and are equipped with the privacy friendly defaults expected by EU citizens.
For now, this analysis has only been stated in very general terms by a number of regulators and stakeholders, in the EU and elsewhere. The WP29 has decided to take the issue further by adopting this opinion. In this way, it intends to contribute to the uniform application of the legal data protection framework in the IoT as well as to the development of a high level of protection with regard to the protection of personal data in the EU. Compliance with this framework is key to meeting the legal, technical but also, since it relies on the qualification of data protection as a fundamental human right, the societal challenges described above.
Thus, this opinion identifies the main data protection risks that lie within the ecosystem of the IoT before providing guidance on how the EU legal framework should be applied in this context. The Working Party supports the incorporation of the highest possible guarantees for individual users at the heart of the projects by relevant stakeholders. In particular, users must remain in complete control of their personal data throughout the product lifecycle, and when organisations rely on consent as a basis for processing, the consent should be fully informed, freely given and specific. To help them meet this end, the Working Party designed a comprehensive set of practical recommendations addressed to the different stakeholders concerned (device manufacturers, application developers, social platforms, further data recipients, data platforms and standardisation bodies) to help them implement privacy and data protection in their products and services.
[...]
IoT stakeholders aim at offering new applications and services through the collection and the further combination of this data about individuals – whether in order to measure the user’s environment-specific data “only”, or to specifically observe and analyse his/her habits. In other words, the IoT usually implies the processing of data that relate to identified or identifiable natural persons, and therefore qualifies as personal data in the sense of article 2 of the EU Data Protection Directive.
The processing of such data in this context relies on the coordinated intervention of a significant number of stakeholders (i.e. device manufacturers – sometimes also acting as data platforms; data aggregators or brokers; application developers; social platforms; device lenders or renters, etc.). The respective roles of these stakeholders will be considered further in the opinion.
[...]
Press release available here.

23.09.2014

Art. 29 WP: Statement on specific aspects (= results of the last JHA meeting) of the draft data protection regulation

Statement on the results of the last JHA meeting, WP 222:
During the last Justice and Home Affairs (JHA) meeting (5 and 6 June), the EU Council reached a general approach on specific aspects of the draft data protection regulation.
This approach covered the following issues:
- the provisions on territorial scope Article 3(2);
- the definitions of Binding Corporate Rules and "international organisations" (Articles 4 (17) and (21); and
- the provisions on transfers of personal data to third countries or international organizations (Chapter V).
The WP29 welcomes this agreement as it constitutes an important step in the process towards an EU comprehensive framework on data protection. The WP29 would like to stress the importance of a range of options to enable transfers. However, it remains concerned regarding the impact on the resources of data protection authorities if the process regarding those new transfers’ tools are not properly promoted or enabled. In the context of the forthcoming negotiations, the WP29 would like to share its views on this general approach.
[...]
Update 24.09.2014: Letter from the Article 29 Working Party on the Statement of the results of the last JHA Meeting

Art. 29 WP: Comments on “Protection of personal data within the financial services providers”

Letter from the Article 29 Working Party to OECD on OECD draft effective approaches to support the implementation of the remaining G20/OECD high level principles on financial consumer protection (14 May 2014), Annex: Comments on “Protection of personal data within the financial services providers”:
1) The Working Party welcomes the emphasis put by the Draft EA on basic data protection principles in particular in paragraph 251. The WP29 wishes to add that a relevant role is also played by the principle of purpose limitation according to which personal data are to be collected for specified, explicit and legitimate purposes and not be further processed in a way incompatible with those purposes, as broadly described in its Opinion 03/2013 (WP203). The WP29 also stresses the importance of the principle of proportionality which requires that the processing should not exceed the limits of what is appropriate and necessary in order to achieve the intended legitimate purposes. Proportionality should also be considered in respect of data retention. Appropriate policies should ensure that data retention is “proportionate” to the legitimate aim pursued and that data are kept for no longer than is necessary for such purpose. This fundamental principle should be valid in both the general principles on the protection of personal data within the financial service providers (page 43 of the Draft EA) and in the principles on Credit reporting systems’ data sharing (page 45 et seq.). [...]
Other documents recently released by the Working Party:
Letter from the Article 29 Working Party to the International Organisation of Securities Commissions on IOSCO’s multilateral memorandum of understanding concerning consultation and cooperation and the exchange of information (MMoU)
Letter from the Article 29 Working Party to OECD, G20, European Commission, European Parliament, Council of the European Union on OECD Common Reporting StandardAnnex: Specific issues identified in respect of CRS

Art. 29 WP: Statement on Statement of the WP29 on the impact of the development of big data

Statement on Statement of the WP 29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU, WP221
The data protection authorities of the European Union, represented in the Article 29 Working Party (WP29), consider that the development of big data technologies can have important consequences on the protection of individuals with regard to the processing of their personal data in the EU.  The Working Party will continue to follow the development of this trend closely. For now, it has decided to publish the following statement to communicate a number of key messages on this issue. [...]

18.09.2014

EU Commission issues "mythbusting" Factsheet on the "Right to be Forgotten"

Factsheet on Myth-Busting: The Court of Justice of the EU and the "Right to be Forgotten" (pdf)
On 13 May 2014, the Court of Justice of the European Union acknowledged that under existing European data protection legislation, EU citizens have the right to request internet search engines such as Google, to remove search results directly related to them.
This landmark ruling has sparked a lively and timely debate on the rights and wrongs of the so-called right to be forgotten. It is important to make sure the discussion is based on facts. A sober reading of the judgment shows that the concerns that have emerged in this debate are exaggerated or simply unfounded. [...]
Source: DG Justice press release

BRD (VG Ansbach) - Betrieb einer On-Board-Kamera ("Dashcam") in einem Pkw

Urteil des Verwaltungsgerichts Ansbach vom 12.08.2014, AN 4 K 13.01634
[...] Die Verwendung der On-Board-Kamera des Klägers stellt einen schwerwiegenden (2.) Verstoß gegen die datenschutzrechtlichen Vorschriften dar (1.). [...] 
Der Kläger macht mit seiner On-Board-Kamera umfassende heimliche Aufzeichnungen des gesamten Verkehrsgeschehens vor seinem Fahrzeug. Eine solche großflächige Beobach-tung von öffentlichen Straßen stellt schon deshalb einen schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen dar, weil durch die permanente Aufzeichnung mit der On-Board-Kamera eine Vielzahl von Personen in kurzer Zeit in ihrem allgemeinen Persönlichkeitsrecht betroffen wird. Auf den jeweiligen Videofilmen wird festgehalten, wann ein Betroffener die jeweilige Straße mit welchem Verkehrsmittel und gegebenenfalls auch in welcher Begleitung passiert. Grundsätzlich kann auch nicht davon ausgegangen werden, dass der Betroffene sich nur kurzzeitig, wie bei einer auf einen bestimmten, festen Ort gerichteten Kamera, im Aufzeichnungsbereich aufhält, da es der Kläger selbst in der Hand hat, wie lange er einen Betroffenen aufzeichnet. Auch wenn der Kläger erklärt, dass die Videoaufzeichnungen dann wieder gelöscht würden, wenn sich keine besonderen Vorkommnisse ereignet hätten, ändert dies an der Beurteilung nichts, da es nicht dem Kläger überlassen bleiben kann, wie er mit derart hergestellten Videoaufnahmen verfährt. Allein der Kläger entscheidet, welche Sequenzen der Videoaufzeichnung er durch die Betätigung des Knopfes manuell sichert oder welche er, ohne Betätigung des Knopfes, dadurch längerfristig speichert, dass er die Daten frühzeitig von der Speicherkarte auf einen anderen Datenträger überträgt, um ein Überschreiben der Daten zu verhindern. Zwar möchte der Kläger mithilfe der On-Board-Kamera seine verfassungsrechtlich garantierten Rechte (Eigentum, Ehre) schützen, trotzdem überwiegen die Interessen der Betroffenen, die keine Anhaltspunkte für eine Beobachtung liefern, erheblich. [...]
Quelle: Via Dr. Carlo Piltz, Pressemitteilung des VG Ansbach ("Kläger gewinnt „Dashcam“-Verfahren wegen
eines Formfehlers") hier.
Update 7.10.2014: Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 06.10.2014:
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) legt keine Berufung gegen das DashCam-Urteil des Verwaltungsgerichts Ansbach ein. Selbst wenn das Urteil nicht in allen Punkten überzeugt, hat es das wesentliche datenschutzrechtliche Interesse des BayLDA, die unzulässige Nutzung von DashCams festzustellen, klar und deutlich bestätigt. [...]

17.09.2014

BRD (BayLDA): Gegenüberstellung DS-GVO-Entwurf Kommission vs. Parlament

Synopse des Bayerischen Landesamtes für Datenschutzaufsicht
[...] Um interessierten Bürgerinnen und Bürgern die Möglichkeit zu erleichtern, sich einen Überblick über die Auffassungen der Europäischen Kommission und des Europäischen Parlaments zu verschaffen, hat das BayLDA die Gegenüberstellung der beiden in Deutsch vorliegenden Dokumente, d.h. des Vorschlags der Europäischen Kommission und der Stellungnahme des Europäischen Parlaments dazu in einem Dokument zusammengefasst. [...]

16.09.2014

Report: US concerns about (current) EU Data Protection Requirements

On 11 September, 2014, the U.S. International Trade Commission has released a report entitled Digital Trade in the U.S. and Global Economies, Part 2:
[...] Particular Concern about EU Data Protection Requirements [footnotes omitted]
Firms across industry sectors reported that complying with data privacy and protection laws can be difficult as laws vary among countries, creating unpredictability and extra costs. Many industry representatives state that instead of relying on often burdensome and conflicting legal requirements, privacy governance should emphasize organizational accountability and enforceable codes of conduct; representatives also advocate for privacy and data protection requirements that are interoperable.EU data protection regulations are considered by experts and industry representatives to be among the strictest and most difficult to comply with in the world. Moving data out of the EU is forbidden unless the destination country has “adequate” protection, which in practice has meant protection equivalent to that provided in the EU; only a handful of countries have met this standard. Although the European Commission has not found the U.S. privacy framework to be adequate, U.S. firms that certify compliance with the Safe Harbor Framework developed by the U.S. Department of Commerce and the European Commission, and that are subject to the enforcement jurisdiction of the Federal Trade Commission (FTC), are allowed to process data in the United States on EU citizens. Certain sectors, including finance and insurance, are not subject to FTC jurisdiction and thus cannot rely on the Safe Harbor Framework.While industry representatives stated that the Safe Harbor Framework is critical to moving data between the United States and the EU, they also reported that substantial difficulties remain. For example, the circumstances under which an Internet Protocol (IP) address or a cookie identifier will be treated as identifiable personal information, and thus subject to heightened data protection requirements, reportedly vary across EU member states
. [...]

11.09.2014

OGH: EuGH-Vorabentscheidungsverfahren - Indexklausel als Änderung von Vertragsbedingungen gem. Art 20 UniversaldienstRL?

OGH 28.04.2014, 8 Ob 72/13s (EuGH Rs C-326/14 - A1 Telekom Austria)
Spruch
I. Dem Gerichtshof der Europäischen Union wird gemäß Art 267 AEUV folgende Frage betreffend die Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. 3. 2002 über den Universaldienst und die Nutzungsrechte bei elektronischen Kommunikationsnetzen und -diensten, geändert durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. 11. 2009 (Universaldienstrichtlinie), zur Vorabentscheidung vorgelegt:
Ist das in Art 20 Abs 2 der Universaldienstrichtlinie für die Teilnehmer vorgesehene Recht, „bei der Bekanntgabe von Änderungen der Vertragsbedingungen“ den Vertrag ohne Zahlung von Vertragsstrafen zu widerrufen, auch für den Fall vorzusehen, dass sich eine Anpassung der Entgelte aus den Vertragsbedingungen ableitet, die bereits bei Vertragsabschluss vorsehen, dass in der Zukunft eine Anpassung der Entgelte (Steigerung/Reduktion) entsprechend den Veränderungen eines objektiven Verbraucherpreisindex, der die Geldwertentwicklung abbildet, zu erfolgen hat?
II. Das Verfahren wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union ausgesetzt.

Gefunden bei: HR Dr. Lehofer (e-comm) mit weiteren aktuellen Hinweisen zu Telekomcausen vor dem EuGH. Siehe zur Thematik auch Docekal, TKG-Kündigungsrecht bei Indexanpassung, VbR 2014, 88.

EuGH: Bibliotheken - Digitalisierung von Büchern ohne Zustimmung der Rechtsinhaber

EuGH 11.09.2014, Rs C-117/13 - Technische Universität Darmstadt / Eugen Ulmer KG
Ein Mitgliedstaat darf Bibliotheken gestatten, bestimmte Bücher aus ihrem Bestand ohne Zustimmung der Rechtsinhaber zu digitalisieren, um sie an elektronischen Leseplätzen bereitzustellen
Die Mitgliedstaaten dürfen innerhalb bestimmter Grenzen und unter bestimmten Voraussetzungen, darunter die Zahlung eines gerechten Ausgleichs an die Rechtsinhaber, den Nutzern gestatten, von der Bibliothek digitalisierte Bücher auf Papier auszudrucken oder auf einem USB-Stick zu speichern
. Quelle: Pressemeldung EuGH

EU Commission: Juncker requests swift conclusion of negotiations on the reform of Europe’s data protection rules


From the mission letter to Ansip (Vice-President for the Digital Single Market): ... You should also oversee, during the first six months of the mandate, the conclusion of negotiations on the reform of Europe’s data protection rules as well as the review of the Safe Harbour arrangement with the U.S. ...
More here at IAPP.
See already Juncker's Agenda presented in July 2014: [...] By creating a connected digital single market, we can generate up to € 250 billion of additional growth in Europe in the course of the mandate of the next Commission, thereby creating hundreds of thousands of new jobs, notably for younger job-seekers, and a vibrant knowledge-based society. To achieve this, I intend to take, within the first six months of my mandate, ambitious legislative steps towards a connected digital single market, notably by swiftly concluding negotiations on common European data protection rules; by adding more ambition to the ongoing reform of our telecoms rules; by modernising copyright rules in the light of the digital revolution and changed consumer behaviour; and by modernising and simplifying consumer rules for online and digital purchases. [...]

Apps: Global Privacy Sweep Raises Concerns (Results of the 2014 GPEN Privacy Sweep)

A survey of over 1,200 mobile apps by 26 privacy regulators from across the world has shown that a high number of apps are accessing large amounts of personal information without adequately explaining how people’s information is being used. The survey by the Global Privacy Enforcement Network (GPEN) examined the privacy information provided by 1,211 mobile apps. [...] Source: ICO 
As mobile apps explode in popularity, many of them are seeking access to large amounts of personal information without adequately explaining how that information is being used, participants in the second annual Global Privacy Enforcement Network (GPEN) Privacy Sweep found. This year, 26 privacy enforcement authorities, including Ireland, participated in the second Global Privacy Enforcement Network Privacy Sweep. The theme of the Sweep - Mobile Privacy - was chosen because many privacy enforcement authorities had identified mobile apps as a key area of focus in light of the privacy implications for consumers.
The results of the Internet Sweep offer some insight into the types of permissions some of the world’s most popular mobile apps are seeking and the extent to which organisations are informing consumers about their privacy practices. [...] The Sweep, which took place May 12 to 18, 2014, involved 26 privacy enforcement authorities from around the world, up from 19 international participants during last year’s inaugural event. The growth of this year’s Sweep shows privacy enforcement authorities are more committed than ever to working together to promote privacy protection. [...] Source: Irish Data Protection Commissioner
[...] The privacy sweep results offer insight into the types of permissions some of the world’s most popular mobile apps are seeking and the extent to which organizations are informing consumers about their privacy practices. A number of specific examples illustrating these trends can be found in a blog post on the Office of the Privacy Commissioner of Canada’s website. [...] Source: Privacy Commissioner of Canada

Italy's DPA Garante: Medical Apps - More Transparency Is Needed on Data Use

More transparency is needed on the use of medical app downloaders' data in Italy.
The findings of the survey started in May by the Italian DPA to check compliance with Italian legislation by medical apps show that users are not protected adequately also in our country; moreover, users are too often unable to give their informed, free consent. The medical apps sector has been growing at an increasingly fast pace and has several highly sensitive implications for individuals' privacy. The initiative by the Italian DPA is part of the "Privacy Sweep 2014", promoted by the Global Privacy Enforcement Network (GPEN) – which is an international network tasked with enhancing DPAs' cooperation worldwide, including the Italian DPA. The decision to focus on medical or wellness apps is in line with the concerns that were voiced recently at European level in this regard. The European Commission launched a public consultation on mobile health a few months ago and published a Green Paper on mobile health. 

Half of the medical apps surveyed by the Italian DPA's "sweepers" out of a sample including those with the highest number of downloads on the various platforms (Android, iOs, Windows, etc.) do not provide information on data use prior to installation, or else provide very general information or request excessive data compared to their features. In many cases the privacy notice is not tailored to the small screen size and is thus hard to decipher; in yet other cases the privacy notice is found, for instance, in the technical credits area of the given device.
Based on the findings of the survey, the DPA is now considering further steps also with a view to issuing measures or sanctions.

Source: Garante

10.09.2014

Ö: Betrieb von Tor-Servern in Österreich (parl. Anfragebeantwortung)

Anfragebeantwortung (2033/AB) durch den Bundesminister für Justiz Dr. Wolfgang Brandstetter zu der schriftlichen Anfrage (2053/J) der Abgeordneten Mag. Nikolaus Alm, Kolleginnen und Kollegen an den Bundesminister für Justiz betreffend Betrieb von Tor-Servern in Österreich
Zu 1:
Der Betrieb von „Tor-Servern“ fällt in den Anwendungsbereich des E-Commerce-Gesetzes, wenn es sich um Diensteanbieter iSd § 3 Z 2 ECG handelt. Dafür ist Voraussetzung, dass ein idR entgeltlicher Dienst elektronisch im Fernabsatz bereitgestellt wird, der auf individuellen Abruf des Empfängers verfügbar ist
. Wenn dies bejaht wird, kommen – abhängig davon, welche Leistungen erbracht werden – die entsprechenden Regelungen des ECG über den Ausschluss der Verantwortlichkeit der Diensteanbieter nach §§ 13, 15 und 16 ECG zur Anwendung. Zudem sind für die Pflichten der Diensteanbieter die Bestimmungen des § 18 Abs. 1 und insbesondere Abs. 4 ECG zu beachten.
Zu 2 bis 4:
Das zur vorangehenden Frage Ausgeführte gilt auch für bridges, non-exit-relays und exitnodes. Aufgrund der Differenzierung der angebotenen Dienste der Provider in den §§ 13, 14, 15, 16 und 17 ECG ist bereits eine klare Regelung für Provider im Gesetz verankert. Da die Provider wissen, welche Arten von Diensten sie bereitstellen und welche Regelung des ECG daher auf sie zutrifft, ist keine Rechtsunsicherheit in diesem Bereich ersichtlich. Überdies ist zu beachten, dass dieser Bereich in die Zuständigkeit des Unionsrechts fällt und eine Änderung nur durch Österreich der E-Commerce-Richtlinie widersprechen könnte. Die strafrechtliche Würdigung von „Tor-Servern“ ist derzeit nicht Gegenstand von legistischen Überlegungen des Bundesministeriums für Justiz.
[...]
Fraglich könnte wohl die Entgeltlichkeit sein ...

09.09.2014

Ö: Verletzungen des geistigen Eigentums im Jahr 2013 (parl. Anfragebeantwortung)

Anfragebeantwortung (1934/AB) durch den Bundesminister für Justiz Dr. Wolfgang Brandstetter zu der schriftlichen Anfrage (1903/J) der Abgeordneten Harry Buchmayr, Kolleginnen und Kollegen an den Bundesminister für Justiz betreffend "Verletzungen des geistigen Eigentums im Jahr 2013"
[...] 9. Wie hoch wird seitens Ihres Ressorts der durch Filesharer jährlich in Österreich angerichtete volkswirtschaftliche Schaden geschätzt? Wie hoch wird der Schaden für die EU geschätzt?
Zu 9:
Dem Bundesministerium für Justiz stehen nach wie vor keine eigenen Daten zur Verfügung, anhand derer der durch Filesharing entstandene Schaden seriös abgeschätzt werden könnte.
[...]
15. Wie sieht das Ressort das Problem sogenannter „illegaler Download- und Streamingportale? 
Zu 15:
Bei illegalen Download- oder Streamingportalen greift der Betreiber eines solchen Portals regelmäßig (zumindest) in das ausschließliche Recht der öffentlichen Zurverfügungstellung des Rechteinhabers ein. Das Problem dabei ist, dass die Betreiber solcher Portale oft im Ausland angesiedelt sind und deshalb oft nicht wirksam zum Entfernen der illegalen Inhalte verpflichtet werden können. Die Nutzer eines Streamingportals begehen in der Regel keine Urheberrechtsverletzung. Allerdings ist seit einer jüngeren Entscheidung des EuGH
[C‑435/12 - ACI Adam BV] klargestellt, dass der Download aus illegaler Quelle nicht durch die Ausnahme für private Vervielfältigung gedeckt ist, weshalb auch der bloße Download eine Urheberrechtsverletzung darstellt. [...]

08.09.2014

BRD: TTIP Freihandelsabkommen contra Datenschutz?

Freihandelsabkommen contra Datenschutz? von Thilo Weichert (ULD) 
Im Folgenden wird untersucht, inwieweit es Hinweise gibt, dass durch ein Freihandelsabkommen der Datenschutzstandard in Deutschland und Europa abgesenkt wird, inwieweit eine Festlegung eines einheitlichen Datenschutzniveaus zwischen den USA und der EU realistisch ist und welche Konsequenzen zu ziehen sind. [...]
8. Ergebnis
Angesichts der Erfahrungen mit der Behandlung des Datenschutzes durch die US-Administration und US-Unternehmen ist es zum gegenwärtigen Zeitpunkt nicht sinnvoll, mit den USA über ein Freihandelsabkommen zu verhandeln, bei dem Materien behandelt werden, die mit der Verarbeitung personenbezogener Daten einhergehen. Da praktisch jede Form des Handels eine solche Datenverarbeitung mit sich bringt, kann ein Freihandelsabkommen sein erklärtes Ziel nicht erreichen, solange die USA nicht anerkennen, dass auch im digitalen Bereich das Grundrecht auf Datenschutz allen Menschen unabhängig von ihrer Staatangehörigkeit und ihrem Wohnsitz zusteht, und solange nicht einige wesentliche sich aus der Grundrechtsbindung ergebenden Konsequenzen gezogen werden.
[...]

Int. Working Group on Data Protection in Telecommunications: Working Paper on Big Data and Privacy

Working Paper on Big Data and Privacy, Privacy principles under pressure in the age of Big Data analytics (Skopje, 5.-6. May 2014):
[...] Scope
4. The purpose of this working paper is to highlight the privacy challenges associated with Big Data, primarily within the realm of the telecommunication industry, to help ensure these are placed on the agenda by data protection authorities and other stakeholders. The paper is intended for decision-makers, public authorities, industry and civil society.
5. Big Data covers a wide range of challenges. Many of the challenges, such as the risk of re-identification, could easily have been the subject of extensive reports in themselves. The purpose of this working paper, however, is to point out the key privacy challenges and not to address individual issues of a technical nature in detail.
[...]

05.09.2014

Art.29 WP: Statement on the CJEU ruling invalidating the Data Retention Directive

Statement on the ruling of the Court of Justice of the European Union (CJEU) which invalidates the Data Retention Directive (WP 220), adopted on 1 August 2014
The European data protection authorities assembled in the Article 29 Working Party (WP29) welcome the ruling of the Court of Justice of the European Union (CJEU) which invalidates the Data Retention Directive. They now urge the EU Member States and competent EU institutions to draw the consequences from the ruling which sets a new standard for national data retention legislations.[...]

BRD: Betreiber einer Facebook-Fanpage für Facebook-Datenverarbeitung datenschutzrechtlich nicht verantwortlich

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten.
Dies hat der 4. Senat des Schleswig-Holsteinischen Oberverwaltungsgerichts mit Urteil vom 4. September 2014 entschieden und damit die Berufung des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen ein Urteil des Verwaltungsgerichts Schleswig vom 09. Oktober 2013 zurückgewiesen.
[...]
Quelle: Pressemeldung OVG Schleswig; s.a. auch die Pressemeldung des ULD.
Update 30.09.2014: Volltext des Urteil liegt vor.

04.09.2014

UK: Data protection and journalism - a guide for the media

ICO has issued guidance entitled "Data protection and journalism - a guide for the media". This guide explains how the UK Data Protection Act (DPA) applies to journalism, advises on good practice, and clarifies the role of the Information Commissioner’s Office (ICO).
Source: ICO

03.09.2014

BRD: Erhebung, Ermittlung u. Weitergabe personenbezogener Daten durch die SCHUFA u. andere Auskunfteien

Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Klaus Ernst, Eva Bulling-Schröter,
Susanna Karawanskij, weiterer Abgeordneter und der Fraktion DIE LINKE (BT-Drs 18/2322)
Erhebung, Ermittlung und Weitergabe personenbezogener Daten durch die Schutzvereinigung für allgemeine Kreditsicherung und anderer Wirtschafts- und Kreditauskunfteien
[...] 4. Bei wem hat die Bundesregierung entsprechend der Äußerung des Parlamentarischen Staatsekretärs beim Bundesminister der Justiz und für Verbraucherschutz, Ulrich Kelber, in der Sendung „Die fragwürdigen Methoden von SCHUFA & Co.“ vom 23. Juli 2014 eine Studie über die SCHUFA und andere Wirtschafts- und Kreditauskunfteien in Auftrag gegeben, und wie lautet die konkrete Fragestellung der Studie? Wann wird diese Studie vorliegen, und wird diese der Öffentlichkeit zugänglich gemacht?
Das damalige Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV) hat nach öffentlicher Ausschreibung bei einer Bietergemeinschaft aus dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe ein wissenschaftliches Gutachten angefordert. Formaler Auftraggeber ist die Bundesanstalt für Landwirtschaft und Ernährung. Untersuchungsgegenstand sind das Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen. Es ist eine empirische Untersuchung zur rechtstatsächlichen Situation sowie eine verbraucherschutzbezogene Evaluierung des entsprechenden, mit der Bundesdatenschutzgesetz-Novelle 2009 geschaffenen Rechtsrahmens durchzuführen.
Die Studie hat auf Grundlage der Analyse des aktuellen Sach- und Rechtsstandes zu erörtern, inwieweit ein Reformbedarf der Regelungen im Bundesdatenschutzgesetz (BDSG) gesehen wird sowie ob gegebenenfalls Regelungsoptionen zur Änderung bzw. Ergänzung des bestehenden Rechtsrahmens angezeigt sind. Das Gutachten wird vom Bundesministerium der Justiz und für Verbraucherschutz (BMJV) voraussichtlich im Herbst 2014 veröffentlicht. [...]