28.10.2014

Draft GDPR: Presidency note regarding inclusion of the public sector, freedom of expression etc.

Presidency note to DAPIX, dated 16 October 2014, on Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter II, Article 21 and Chapter IX
The purpose of this Presidency note is to further solutions for the following issues:
  • the inclusion of the public sector in the scope of the draft General Data Protection Regulation (hereinafter referred to as the ‘GDPR’) and the leeway that Member States should be given in this regard;
  • the leeway that Member States should have in adopting national laws both in order to specify data protection rules (Article 6(3)) and in posing certain limitations to data protection rules (Article 21);
  • concomitantly with the two previous issues, the need for specific data protection regimes in Chapter I
[...] c. Defining the relationship with the freedom of expression?
12. On the question of how to deal with the possible conflict with the freedom of expression, delegations have suggested several options. The Presidency has endeavoured to list the
various options below:
a) According to a 'minimalistic' option, it is not necessary to refer in the Regulation to a Member State duty to 'reconcile' or 'balance' the data protection rights and obligations with the freedom of expression, as the latter fundamental right is binding on Member States at any rate. A recital recalling the freedom of expression, possibly including a reference to Article 11 of the Charter, would suffice according to this view.
b) A second option corresponds to the current text of Article 80, by which national law must 'reconcile' both fundamental rights. It has been pointed out that national law not necessarily refers to statutory law, but also covers case law. Indeed this balancing will often need to be done on a case-by-case basis.
c) A third option, which follows the approach of Article 9 of the 1995 Directive, is one whereby the Regulation would list the articles from which derogations may derogate to the extent necessary for the protection of the freedom of expression. Such derogation should be worded, like Article 52 of the Charter, in an optional manner and subject to the proportionality principle. A possible drafting is set out in the annex as an alternative option to Article 80. Of course, such derogatory provision could also be introduced in Article 21.
d) Finally one could envisage inserting an overarching provision in Article 1 by which Member States would be empowered to introduce, under domestic law, derogations or exemptions from any part of the Regulation, whenever necessary to strike the appropriate balance with the freedom of expression.
More (in German) here.

BGH: EuGH-Vorlage betreffend "Personenbezug von dynamischen IP-Adressen"

BGH 28.10.2014, VI ZR 135/13
Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. [...]
Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen.
1. Der Unterlassungsanspruch setzt voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um "personenbezogene Daten" handelt, die von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt werden. Das könnte in den Fällen, in denen der Kläger während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie*** dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.
2. Geht man von "personenbezogenen Daten" aus, so dürfen die IP-Adressen des Nutzers nicht ohne eine gesetzliche Erlaubnis gespeichert werden (§ 12 Abs. 1 TMG*), wenn – wie hier – eine Einwilligung des Nutzers fehlt. Nach dem für die rechtliche Prüfung maßgebenden Vortrag der Beklagten ist die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich. Ob das für eine Erlaubnis nach § 15 Abs. 1 TMG** ausreicht, ist fraglich. Systematische Erwägungen sprechen dafür, dass diese Vorschrift eine Datenerhebung und -verwendung nur erlaubt, um ein konkretes Nutzungsverhältnis zu ermöglichen, und dass die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Art. 7 Buchstabe f der EG-Datenschutz-Richtlinie**** könnte aber eine weitergehende Auslegung gebieten. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob die EG-Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann. [...]

27.10.2014

OGH: unzulässige Umgehung eines rechtskräftigen Verbots der Verwendung einer AGB-Klausel

OGH 18.09.2014, 1 Ob 37/14v
Ein Unternehmen darf das rechtskräftige Verbot, sich auf eine unzulässige Klausel zu berufen, nicht durch Vorschiebung eindeutig untauglicher Rechtsgründe umgehen. 
Aus dem Urteil: [...] 12. Die systematisch gehandhabte Praxis der Beklagten, durch Vorschiebung - wie gezeigt - eindeutig nicht tauglicher Rechtsgründe Konsumenten als ehemalige Partner eines Vermögensverwaltungsvertrags zur Zahlung jener Beträge zu veranlassen, die in einer rechtskräftig als unzulässig nach dem KSchG erkannten Klausel ihrer allgemeinen Geschäftsbedingungen festgelegt waren, ist eine über Unterlassungsklage nach § 28a KSchG zu verbietende Geschäftspraxis. [...]
Quelle: OGH

EuGH: Embedding von öffentlich zugänglichen Werken auf einer Website


EuGH 21.10.2014, C-348/13 (pdf; auf InfoCuria liegt das Urteil noch nicht vor) - hier: Einbetten eines Youtube-Videos mittels "Framing"
Die Einbettung eines auf einer Website öffentlich zugänglichen geschützten Werkes in eine andere Website mittels eines Links unter Verwendung der Framing-Technik, wie sie im Ausgangsverfahren in Frage steht, allein stellt keine öffentliche Wiedergabe im Sinne von Art. 3 Abs. 1 der Richtlinie 200l/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft dar, soweit das betreffende Werk weder für ein neues Publikum noch nach einem speziellen technischen Verfahren wiedergegeben wird, das sich von demjenigen der ursprünglichen Wiedergabe unterscheidet.

Liechtenstein: Muster-Datenschutzerklärung für Internetseitenbetreiber der Datenschutzstelle

Die Datenschutzstelle der Liechtensteinischen Landesverwaltung hat eine "Muster-Datenschutzerklärung für Internetseitenbetreiber" veröffentlicht (Da ich diese erst heute entdeckt habe, kann ich nicht sagen, wie lange diese bereits online ist), sowie Formulierungsvorschläge und Hinweise zu spezifischen Fällen (wie zB Web-Analysen, Social Plugins).
Update: Muster-Datenschutzhinweis

22.10.2014

International Data Privacy Law Journal: Articles on proposed EU Data Protection Reform online

Issue No. 4 (November 2014) of the International Data Privacy Law (IDPL) journal contains Symposium articles on the proposed EU Data Protection Reform, inter alia covering
- Transboundary data protection and international business compliance
- Privacy management practices in the proposed EU regulation 
For my fellow Austrians: Waltraut Kotschy's article is entitled "The proposal for a new General Data Protection Regulation—problems solved?"

OGH: Bloßer Verweis bzgl. Entgelte auf die Homepage (Startseite) in AGB unzulässig

OGH 25.07.2014, 5 Ob 118/13h
Die Klausel „Die Entgelte für die zur Verfügung gestellten Dienste sind der jeweils gültigen y***** Tarifübersicht zu entnehmen, die im Internet unter www.y*****.at abrufbar ist.“ ist unzulässig.
Der Oberste Gerichtshof beurteilte die wiedergegebene, in AGB enthalten gewesene Klausel als unzulässig, weil mit dem bloßen Verweis auf eine Startseite ohne weiterführende Angaben, wie dort die Tarifübersicht aufgefunden werden kann, oder einer Angabe, wie außerhalb des Mediums Internet Auskünfte über Entgelte erlangt werden können, der Verweis unvollständig bleibt und ein nicht unerheblicher Suchaufwand beim Verbraucher ausgelöst wird, der geeignet ist, diesen von der Informationsbeschaffung über Entgelte abzuhalten.
Quelle: OGH-Pressemeldung vom 21.10.2014 (Hinweis: siehe dazu auch schon hier)

USA: The Importance of the Internet and Transatlantic Data Flows for U.S. and EU Trade and Investment

"The Importance of the Internet and Transatlantic Data Flows for U.S. and EU Trade and Investment"  (pdf) by J. Meltzer (Brookings Institution):
The first part of this paper provides an overview of the U.S.-EU economic relationship and how growth in Internet access and data flows are driving an increasing amount of transatlantic trade and investment. The second part calculates the economic value of the free flow of data for U.S. and EU services trade and investment.
This paper does not, however, cover "data privacy" issues, at least I could not find the word "privacy" in it. See already here for another U.S. paper (imho) trying to influence TTIP negotiations. 

17.10.2014

Ö: Navi-Apps - Erhebung der Zugriffsrechte und der anwendbaren Datenschutzbestimmungen

Arbeiterkammer Wien (Roland Huber, Daniela Zimmer), Navi-Apps: Zugriffsrechte & Datenschutzbestimmungen von App-Anbietern für Smartphones (pdf)
Ziel der Untersuchung ist die Erhebung der Zugriffrechte bei exemplarisch ausgewählten NAVI Apps im Zuge der Installation am Smartphone, sowie der Transparenz und des Inhalts der von den App-Anbietern verwendeten Datenschutzbestimmungen. Insbesondere folgende Fragen sollen beantwortet werden:
  • Welchen Zugriffsrechten muss bei Installation der Navi-Apps zugestimmt werden?
  • Welche Daten werden laut Datenschutzbestimmungen der Anbieter gesammelt, gespeichert und verwertet?
Umfang: Es wurde eine Auswahl von 9 Navi Apps des Android Playstores untersucht:
M8, TomTom D-A-CH, Mapfactor, Sygic, Wisepilot, CoPilot GPS, Navigon Europe, Navigate 6 und Google Maps
[...]
Update 28.10.2014: Schriftliche Anfrage der Abgeordneten Walter Rauch, Kolleginnen und Kollegen an den Bundesminister für Arbeit, Soziales und Konsumentenschutz betreffend Zugriffsrechte bei Navigations-Apps (2794/J)
Update 15.12.2014: Beantwortung der Anfrage.

VfGH: Datenübermittlung (gesamter E-Mailverkehr) an den Rechnungshof datenschutzrechtlich unzulässig

Verfassungsgerichtshof 9.10.2014, KR 1/2014-19 (pdf) - Antrag des Rechnungshofes auf "bulk-Übermittlung" von E-Mails des Verkehrsministeriums abgewiesen (Pressemeldung):
[...] 3.3.3. Zusammenfassung
Zusammengefasst sind schutzwürdige Geheimhaltungsinteressen eines Betroffenen nur dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung, welche dem öffentlichen Auftraggeber die bestimmte automationsunterstützte Datenverarbeitung erlaubt, vorliegt. Eine solche gesetzliche Ermächtigung muss Aussagen über die zu verarbeitenden Datenarten, die Betroffenenkreise und über die Empfänger der Daten enthalten. Eine solche Ermächtigungsgrundlage liegt in concreto nicht vor. Subsidiär kann die Datenverarbeitung auf das Vorliegen von überwiegenden berechtigten Interessen des öffentlichen Auftraggebers gestützt werden, die unter anderem dann vorliegen, wenn entweder die Datenverwendung eine wesentliche Voraussetzung für die Wahrnehmung der gesetzlich übertragenen Aufgaben (§ 8 Abs 3 Z 1 DSG 2000) darstellt oder sonst eine Verwendungskonstellation vorliegt, welche die Verletzung schutzwürdiger Geheimhaltungsinteressen ausschließt. Ein Gesetz im Sinne des § 8 Abs 3 Z 1 DSG 2000 kann der Rechnungshof in Bezug auf die pauschale Einsichtnahme in private E-Maildaten von Mitarbeitern eines gebarungskontrollunterworfenen Rechtsträgers nicht für sich in Anspruch nehmen.
In jedem Fall hätte daher der Rechnungshof im Sinne einer verfassungs- und unionsrechtskonformen Auslegung des § 3 RHG die Anhaltspunkte für einen konkreten Verdacht gegen bestimmte Personen beschreiben müssen, und sein Übermittlungsansuchen dahin strukturieren müssen (Sachverhaltsangaben in Bezug auf Verdacht der Rechtsverletzung, Nennung der Betroffenen, Spezifikation von Suchworten, Beschränkung auf dienstliche E-Mails, Zeitraum der Abfrage). Da dies unterblieben ist, musste der Antragsgegner das Übermittlungsersuchen, das der Rechnungshof in Verkennung der gesetzlichen Anforderungen gestellt hat, zurückweisen. In Hinblick auf die vom Antragsgegner als datenschutzrechtlicher Auftraggeber wahrzunehmende Verpflichtung, personenbezogene Daten erst nach Prüfung des Übermittlungsersuchens in Hinblick auf die Wahrung der datenschutzrechtlichen Grundsätze herauszugeben, kann die Verweigerung der Herausgabe der personenbezogenen Daten der Mitarbeiter dem Antragsgegner daher nicht zum Vorwurf gemacht werden. Vielmehr war er dazu aus datenschutzrechtlicher Sicht verpflichtet und konnte diese Pflicht auch nicht durch die Einsichtsrechte des Rechnungshofs aufgrund der Gebarungskontrolle unterlaufen werden
. [...]
3.4.1. Verletzung des Zweckbindungsgrundsatzes
Die Anfrage des Rechnungshofs auf Übermittlung von Daten geschah unter Verletzung des Zweckbindungsgrundsatzes. Daten dürfen nach § 6 Abs 1 Z 2 DSG 2000 nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.

3.4.2. Verletzung des Verhältnismäßigkeitsgebots
Das Übermittlungsersuchen hat jedenfalls auch die Grenzen des Verhältnismäßigkeitsgebotes außer Acht gelassen. Selbst wenn nämlich ins Treffen geführt werden sollte, dass die Übermittlung von E-Mail-Daten sämtlicher Mitarbeiter ohne Vorliegen eines konkreten Verdachts nicht die Interessen der Betroffenen verletzen sollte, so wäre diese Anfrage jedenfalls im Sinne des Verhältnismäßigkeitsgebotes überschießend und damit unzulässig.
[...]

16.10.2014

The World Legal Information Institute’s International Privacy Law Library

For my personal legal memory:
The World Legal Information Institute’s International Privacy Law Library contains the largest freely accessible and searchable collection of privacy law materials in the world. The library enables online searches over more than 30 specialised privacy law databases, as well as incorporating search results of privacy cases and other resources from numerous other databases of general court cases, legal articles and legislation. The library is being constantly updated through the network of legal information institutes cooperating with WorldLII. The library has existed for more than a decade but a recent grant allows it to add significant new materials from around the world to the collection.
The International Privacy Law Library is available at
http://www.worldlii.org/int/special/privacy/  (Source)
User Guide to WorldLII’s International Privacy Law Library (pdf)

Int. Conference of Data Protection & Privacy Commissioners: Resolutions adopted (Enforcement Cooperation, Big Data etc.)

The 36th International Conference of Data Protection and Privacy Commissioners therefore resolves to continue to encourage efforts to bring about more effective cooperation in cross-border investigation and enforcement in appropriate cases and: [...] Resolution on enforcement cooperation

15.10.2014

Results of a research project on electronic mass surveillance: "it fails drastically"

According to this article by Prof. Scheinin, [e]lectronic mass surveillance – including the mass trawling of both metadata and content by the US National Security Agency – fails drastically in striking the correct balance between security and privacy that American officials and other proponents of surveillance insist they are maintaining. We arrived at this conclusion by subjecting a wide-range of surveillance technologies to three separate assessments by three parallel expert teams representing engineers, ethicists, and lawyers. [...]
Source: Just Security
A very interesting project: SURVEILLE - Surveillance: Ethical Issues, Legal Limitations, and Efficiency. All SURVEILLE publications for public dissemination are available here. Especially intriguing: SURVEILLE Deliverable 2.6 Matrix of Surveillance Technologies

13.10.2014

BRD: Entschließungen der Datenschutzbeauftragten u.a. zu RTBF, Datenschutz im Kfz, Marktmacht und informat. Selbstbestimmung

[...] Die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im Einzelnen folgende Entschließungen gefasst [pdfs]:
Quelle: Pressemeldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

JHA Council agrees partial general approach on chapter IV of GDPR

The Council reached a partial general approach on specific aspects of the draft regulation setting out a general EU framework for data protection. The partial general approach includes chapter IV of the draft regulation (controller and processor).
The Council also held a policy debate on the "right to be forgotten" principle following the European Court of Justice judgment in the Google Spain case. This judgment acknowledges the possibility for data subjects, on the basis of the existing directive, to exercise their rights to erasure of data and to object to personal data processing against online controllers such as search engines.
[...]
Sources and further info: Council press release; The Parliament; Netzpolitik.org; Erich Moechel on FM4 (in German)

07.10.2014

Österr. Datenschutzrat: World-Anti-Doping Agency (WADA) u. anwendbares kanadisches Datenschutzrecht

Anlässlich der Novellierung des Anti-Doping-Bundesgesetzes 2007 hatte sich der Datenschutzrat mit der WADA und dem aus diese anwendbaren kanadischen Datenschutzrecht auseinderzusetzen (pdf):
[...] Es stellen sich somit für den österreichischen Datenschutzrat mehrere Fragen:
1. Wurde der „Personal Information Protection and Electronic Dokuments Act“ in Kanada dahingehend geändert, dass dessen Datenschutzregelungen auch für nichtkommerzielle Tätigkeiten gelten?
2. Unterliegen künftig Übermittlungen von personenbezogenen und/oder sensiblen Gesundheitsdaten von Sportlerinnen und Sportler an die WADA mit Sitz in der Provinz Quebec damit der geltenden Fassung des Personal Information Protection and Electronic Documents Act und sind diese daher entsprechend der zitierten Entscheidung der EU-Kommission genehmigungsfrei?
3. Wenn nein, gibt es eine andere Rechtsgrundlage in Kanada, durch die sich eine
Aufsicht kanadischer Datenschutzbehörden über private Organisationen (wie beispielsweise die WADA), die im Rahmen nichtkommerzieller Tätigkeiten personenbezogene Daten erheben, verarbeiten oder weitergeben, ergibt?

4. Welche der in Artikel 14.5. des WADA-Code angesprochenen kanadischen Datenschutzbehörden sind in Quebec für die WADA hinsichtlich einer datenschutzrechtlichen Aufsicht nach nationalen Regelungen zuständig? [...]

Die Antworten dazu finden sich hier: Antwortschreiben des österreichischen Botschafters in Kanada (pdf)

06.10.2014

FDA: Recommendations on Cybersecurity of Medical Devices

On 1 October 2014, the U.S. Food and Drug Administration issued recommendations to manufacturers for managing cybersecurity risks to better protect patient health and information.
The final guidance, titled “Content of Premarket Submissions for Management of Cybersecurity in Medical Devices,” recommends that manufacturers consider cybersecurity risks as part of the design and development of a medical device, and submit documentation to the FDA about the risks identified and controls in place to mitigate those risks. The guidance also recommends that manufacturers submit their plans for providing patches and updates to operating systems and medical software.
Source: FDA

GDPR: Presidency Notes on Chapter IV (inclusion of the public sector; risk-based approach)

  • Presidency Note to DAPIX: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [First reading] - Chapter IV:
The purpose of this Presidency note is to find an integrated solution for the following issues: 
- the inclusion of the public sector in the scope of the draft General Data Protection
Regulation (hereinafter referred to as the ‘GDPR’) and the leeway that Member States
should be given in this regard; and

- concomitantly with this, the need for specific data protection regimes in Chapter IX. [...]
  • Presidency Note to Council: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [First reading] - Chapter IV:
[...] 3. The Presidency would like to express its sincere gratitude to delegations for their constructive co-operation on this. The Presidency is of the opinion that the outcome of this is a balanced revision of Chapter IV.
4. In this light, the Presidency invites the Council to reach a partial general approach on the text of Chapter IV contained in the Annex on the following understanding:
i. such partial general approach is to be reached on the understanding that nothing is agreed until everything is agreed and does not exclude future changes to be made to the text of Chapter IV to ensure the overall coherence of the Regulation;
ii. such partial general approach is without prejudice to any horizontal question;
iii. such partial general approach does not mandate the Presidency to engage in informal trilogues with the European Parliament on the text;
[...]
Source: C. Piltz's collection here.

BRD: Geplante Aufhebung der Befristung von § 52a UrhG (Update)

BT-Drs 18/2602:
[...] § 52a des Urheberrechtsgesetzes (UrhG) ist durch das erste Gesetz zur Regelung des Urheberrechts in der Informationsgesellschaft vom 10. September 2003 in das UrhG eingefügt worden. Diese Regelung erklärt es für zulässig, kleine Teile eines Werkes, Werke geringen Umfangs sowie einzelne Beiträge aus Zeitungen oder Zeitschriften zur Veranschaulichung im Unterricht an Schulen, Hochschulen und weiteren Einrichtungen einem bestimmt abgegrenzten Kreis von Personen für Unterrichtszwecke (§ 52a Absatz 1 Nummer 1 UrhG) oder für Forschungszwecke (§ 52a Absatz 1 Nummer 2 UrhG) öffentlich zugänglich zu machen, d. h. etwa in Intranets einzustellen. Dies gilt nur, soweit dies zu dem jeweiligen Zweck geboten und zur Verfolgung nicht kommerzieller Zwecke gerechtfertigt ist.
Zwischenzeitlich sind die entsprechenden Entscheidungen des BGH ergangen. Das Urteil vom 20. März 2013 – I ZR 84/11 – zu dem Urteil des OLG München liegt seit dem 24. Oktober 2013 mit den Entscheidungsgründen im Volltext vor. Das Urteil vom 28. November 2013 – I ZR 76/12 – zu dem Urteil des OLG Stuttgart wurde am 17. April 2014 mit den Entscheidungsgründen veröffentlicht. Die höchstrichterlichen Entscheidungen bestätigen, dass § 52a UrhG eine für die Praxis handhabbare Regelung ist, die einen ausgewogenen Interessenausgleich zwischen Rechtsinhabern und nutzenden Institutionen ermöglicht. Den Urteilen lassen sich keine Hinweise entnehmen, die eine Überarbeitung des Wortlauts der
Regelung nahelegen.
[...]
B. Lösung
Aufhebung der Befristung von § 52a UrhG durch Streichung des § 137k UrhG.
[...]
Update 28.11.2014: Dt. Bundesrat: Die Länder haben in ihrer Plenarsitzung am 28. November 2014 die Änderung des Urheberrechtsgesetzes gebilligt (BR-Drs 524/14).

01.10.2014

OLG Wien erklärt 7 von 9 Klauseln (auch zur Datenübermittlung) der Zalando-AGB als gesetzwidrig

OLG Wien 27.8.2014, 5 R 26/14a (pdf; nicht rechtskräftig, ordentl. Revision zugelassen)
Auszug datenschutzrechtlich relevanter Klauseln:
Klausel 6: Wir speichern Ihre Bestell- und Adressdaten zur Nutzung im Rahmen der Auftragsabwicklung (auch durch von uns eingesetzte Auftragsabwicklungspartner oder Versandpartner), für eventuelle Gewährleistungsfälle, für Verbesserungen unseres Angebots und für Produktempfehlungen gegenüber Kunden gemäß des Inhalts unserer Datenschutzerklärung. (15. in AGB)
Klausel 8: Ihre personenbezogenen Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zweck der Vertragsabwicklung oder Abrechnung erforderlich ist oder Sie zuvor eingewilligt haben. Im Rahmen der Bestellabwicklung erhalten beispielsweise die hier von uns eingesetzten Dienstleister (wie bspw Transporteur, Logistiker, Banken) die notwendigen Daten zur Bestell- und Auftragsabwicklung. (2.3. in AGB)

Beiden Klauseln fehlt es an der notwendigen Transparenz iSd § 6 Abs 3 KSchG, weil für den Verbraucher die Tragweite seiner Einwilligung nicht durchschaubar wird.
Klausel 9: Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen. (7. in AGB) Die Klausel will die Verbraucher nur darüber informieren, dass Facebook Daten über sie auch auf der Website der Beklagten sammelt, solange sie bei Facebook eingeloggt sind.

Der Klausel kommt erkennbar reiner Informationscharakter, nicht aber vertragsgestaltende Wirkung zu, sodass ihr Entfall ohne Konsequenzen bliebe. Die Klausel kann daher nicht gegen § 879 Abs 3 ABGB und
§ 6 Abs 3 KSchG verstoßen.
Quelle: VKI

OGH: 10 von 11 AGB-Klauseln der yesss! unzulässig

OGH 25.7.2014, 5 Ob 118/13h
Der VKI führte im Auftrag des Bundesministerium für Arbeit, Soziales und Konsumentenschutz eine Verbandsklage gegen yesss! Telekommunikation GmbH (nunmehr A1) wegen zahlreicher rechtswidriger Klauseln in seinen Allgemeinen Geschäftsbedingungen. Das nun vorliegende Urteil des OGH bestätigt: 10 von 11 Klauseln sind unzulässig. Mehr dazu beim VKI hier.