23.12.2014

BGH-Vorlagefragen: Personenbezug von IP-Adressen

BGH, Beschluss vom 28. Oktober 2014 - VI ZR 135/13
Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV folgende Fragen zur Auslegung des Unionsrechts vorgelegt:
1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG 1995, L 281/31) Datenschutz-Richtlinie - dahin auszulegen, dass eine Internetprotokoll Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

22.12.2014

Consolidated version of the draft General Data Protection Regulation

Note from Presidency to DAPIX dazed 19 December 2014: Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), 15395/14
Delegations find attached a revised version of the draft General Data Protection Regulation. This version seeks to take account of the discussions on the draft Regulation that took place in the Working Party on Information Exchange and Data Protection under the Italian Presidency.  [...]
Source: Statewatch

18.12.2014

Study: Data protection regime applying to the inter-agency cooperation (EU criminal justice and law enforcement)

Study by Paul de Hert and Vagelis Papakonstantinou "The data protection regime applying to the inter-agency cooperation and future architecture of the EU criminal justice and law enforcement area" (pdf; PE 510.001)
Abstract
Upon request by the LIBE Committee, this study aims at identifying data protection shortcomings in the inter-agency cooperation in the EU criminal justice and law enforcement area. Its objective is also to outline, under six possible scenarios, the interplay among the data protection legal instruments currently being discussed, as well as the response each scenario could provide to such shortcomings.

17.12.2014

BRD: IT-Sicherheitsgesetz (Entwurf der dt. BReg.); Stärkung der Unabhängigkeit der Bundes-Datenschutzaufsicht

Mit dem heute auf Vorschlag von Bundesinnenminister de Maizière beschlossenen Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) liegt eines der ersten konkreten Ergebnisse in Umsetzung der Digitalen Agenda der Bundesregierung vor.
Wie im Koalitionsvertrag vereinbart, enthält der Gesetzentwurf Anforderungen an die IT-Sicherheit Kritischer Infrastrukturen, also der Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie etwa die Energieversorgung. Die Betreiber Kritischer Infrastrukturen sollen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. [...]
Quelle: BMI-Pressemeldung
--
Der Innenausschuss hat den Weg frei gemacht für die von der Regierungskoalition geplante „Stärkung der Unabhängigkeit der Datenschutzaufsicht im Bund“. Gegen die Stimmen der Oppositionsfraktionen Die Linke und Bündnis 90/Die Grünen verabschiedete das Gremium einen entsprechenden Gesetzentwurf der Bundesregierung (18/2848) am Mittwochvormittag in modifizierter Fassung. Die Vorlage steht am Donnerstag zur abschließenden Beratung auf der Tagesordnung des Bundestagsplenums. Danach soll das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit den rechtlichen Status einer obersten Bundesbehörde erhalten, die eigenständig und unabhängig ausgestaltet ist. [...]
Quelle: BT-Pressemeldung

16.12.2014

Neuerscheinung (BRD): Formularhandbuch Datenschutzrecht

Diese Woche Update: Am 22.12.2014 soll im Verlag C.H. Beck das "Marktfolgeprodukt" zu der bereits hier erwähnten Mustersammlung "Datennutzungs- und Datenschutzverträge" (die ich besitze und welche tlw. sehr brauchbar auch für österreichische "Rechtsanwender" ist) erscheinen:
In Österreich ist der Markt natürlich weitaus kleiner, hier existiert mW nur ein relativ teures Werk (da nur ein Abschnitt das Datenschutzrecht ieS behandelt).

BRD: Studie zu Scoring nach der BDSG-Novelle 2009

Abschlussbericht: Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen (study report entitled „Scoring after the data protection amendment 2009 and new developments“)
Aus der Zusammenfassung: In der vom Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein zusammen mit der GP-Forschungsgruppe im Auftrag der Bundesanstalt für Landwirtschaft und Ernährung (BLE) für das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV) bzw. Bundesministerium der Justiz und für Verbraucherschutz (BMJV)
erstellten Studie „Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen“ erfolgen eine umfassende Analyse der rechtlichen Grundlagen für das Scoring nach der Novelle des Datenschutzrechts 2009, eine empirische Untersuchung der Scoring-Praxis und eine verbraucherschutzbezogene Evaluierung sowie daraus abgeleitete Empfehlungen.
Es wird festgestellt, dass die Datenschutznovelle für Banken und Auskunfteien Auswirkungen hinsichtlich ihres Auskunftsverhaltens hatte, dass Beeinträchtigungen der Verbraucherrechte
aber weiter bestehen.
[...]
Quellen: Heise; o.a. Bericht

15.12.2014

Dutch DPA imposes incremental penalty payment on Google

The Dutch Data Protection Authority [College bescherming persoonsgegevens- CBP] has imposed an incremental penalty payment on Google. This sanction may amount to 15 million euros. The reason for the sanction is that Google is acting in breach of several provisions of the Dutch data protection act with its new privacy policy, introduced in 2012. [...]
Source and more on this: CBP press release; thanks to F. Borgesius. See also my post dated 1. December 2013.

Ö: Parl. Anfragebeantwortung - Zugriffsrechte bei Navigations-Apps

Anfragebeantwortung durch den Bundesminister für Arbeit, Soziales und Konsumentenschutz Rudolf Hundstorfer zu der schriftlichen Anfrage (2794/J) der Abgeordneten Walter Rauch, Kolleginnen und Kollegen an den Bundesminister für Arbeit, Soziales und Konsumentenschutz betreffend Zugriffsrechte bei Navigations-Apps (2604/AB):
[...] Frage 4) Die Zustimmung ist laut dem österreichischen Datenschutzgesetz (DSG) die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des oder der Betroffenen, dass er oder sie in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner oder ihrer Daten einwilligt.
Wird seitens des Anbieters einer App nicht vollständig darauf hingewiesen, welche Daten verarbeitet werden, oder ist nicht klar wofür die Berechtigung überhaupt benötigt wird, kommt es in diesen Bereichen zu keiner wirksamen Zustimmungserklärung der KonsumentInnen im Sinne des DSG.
Allerdings ist die Verarbeitung von Daten nach dem DSG auch ohne Zustimmungserklärung zulässig, wenn die Verarbeitung der Daten zur Erfüllung einer vertraglichen Verpflichtung zwischen dem Anbieter einer App und KonsumentInnen erforderlich ist. Darüber hinaus ist die Verarbeitung von Daten unzulässig.
[...]

Frage 12) Die Zugriffsrechte und die Verarbeitung der personenbezogenen Daten bei Navigationsapps
sind Teil des umfassenden Problems der Datenverarbeitung im Zusammenhang mit internetbasierten
Anwendungen. So wurde auf der Webseite konsumentenfragen.at unter anderem
bereits auch über den Datenhunger bei Handyspielen und bei Fitnessarmbändern informiert.
Dass die Nutzung einer Anwendung nur mit Zustimmung zu einer Zugriffsberechtigung
möglich ist, die über das notwendige Maß hinausgeht, wird aus der Sicht des Konsumentenschutzes
äußerst kritisch gesehen.
[...]

Hintergrund der Anfrage war diese Studie der AK.

11.12.2014

EuGH: Private Videoüberwachung (auch) des öffentlichen Raums nicht von Ausnahme der persönlichen/familiären Tätigkeit gedeckt

EuGH 11.12.2014, C-212/13 - František Ryneš / Úřad pro ochranu osobních údajů 
Die Richtlinie zum Schutz personenbezogener Daten ist auf die Videoaufzeichnung mit einer Überwachungskamera anwendbar, die von einer Person an ihrem Einfamilienhaus angebracht wurde und auf den öffentlichen Straßenraum gerichtet ist. Die Richtlinie ermöglicht jedoch die Würdigung des berechtigten Interesses dieser Person, das Eigentum, die Gesundheit und das Leben seiner selbst und seiner Familie zu schützen.
[...] In seinem heutigen Urteil weist der Gerichtshof erstens darauf hin, dass sich der Begriff der personenbezogenen Daten im Sinne dieser Richtlinie auf alle Informationen über eine bestimmte
oder bestimmbare natürliche Person bezieht. Als bestimmbar wird eine Person angesehen, die durch Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen Identität sind, direkt oder indirekt identifiziert werden kann. Das von einer Kamera aufgezeichnete Bild einer Person fällt somit unter den Begriff der personenbezogenen Daten, da es die Identifikation der betroffenen Person ermöglicht.
Ebenso fällt die Videoüberwachung, bei der personenbezogene Daten aufgezeichnet und gespeichert werden, in den Anwendungsbereich der Richtlinie, da sie eine automatisierte Verarbeitung dieser Daten darstellt.
Der Gerichtshof stellt zweitens fest, dass die Ausnahme, die in der Richtlinie für die Datenverarbeitung vorgesehen ist, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird, eng auszulegen ist. Daher kann eine Videoüberwachung, die sich auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet, nicht als eine „ausschließlich persönliche oder familiäre Tätigkeit“ angesehen werden.
[...]
Quelle: Pressemeldung EuGH (pdf; English version here)
Aus dem Urteil: 
Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:
Art. 3 Abs. 2 zweiter Gedankenstrich der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Betrieb eines von einer natürlichen Person an ihrem Einfamilienhaus zum Zweck des Schutzes des Eigentums, der Gesundheit und des Lebens der Besitzer des Hauses angebrachten Kamerasystems, das Videos von Personen auf einer kontinuierlichen Speichervorrichtung wie einer Festplatte aufzeichnet und dabei auch den öffentlichen Raum überwacht, keine Datenverarbeitung darstellt, die im Sinne dieser Bestimmung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.

10.12.2014

Letter by 23 DPAs to app marketplaces regarding privacy policies

Global privacy guardians urge app marketplaces to make links to privacy policies mandatory
From the Press release:
All the undersigned privacy enforcement authorities believe that an app marketplace operator should, acting as a responsible corporate citizen, make the basic commitment to require each app that can access or collect personal information, to provide users with timely access to the app’s privacy policy. We therefore expect a marketplace operator would put in practice, if it has not already, this advice, and implement the necessary protections, to ensure the privacy practice transparency of apps offered in their stores.
Open letter available here.

09.12.2014

OGH: Videokamera-Attrappe des Mieters

OGH 26.06.2014, 8 Ob 47/14s - Videokameraattrappe (des Bestandnehmers)
[...] 2.2 Aus diesen Grundsätzen folgt, dass die Anbringung einer Kameraattrappe, die sich für einen unbefangenen, objektiven Betrachter als Überwachungsmaßnahme darstellt, im Allgemeinen zulässig ist, wenn sich diese Maßnahme nach Maßgabe des Eindrucks für einen solchen Betrachter ausschließlich auf den eigenen Wohn- bzw Garagenbereich des beklagten Mieters bezieht. [...]
2.3 Eine Kameraattrappe hat keinen realen Erfassungsbereich. Aus diesem Grund ist nur der für andere Personen (Hausbewohner, Besucher) bestehende Eindruck des Überwachtwerdens maßgebend. Ob eine derartige begründete Befürchtung bestehen muss, richtet sich nach den örtlichen Gegebenheiten und der Situierung und Ausrichtung der (vermeintlichen) Überwachungsanlage. [...]
Aufgrund der Situierung und Ausrichtung der Kameraattrappe besteht für einen unbefangenen, objektiven Betrachter bei Benützung des Hofbereichs und des Gehwegs daher nicht der Eindruck, sich im (vermeintlichen) Überwachungsbereich der Kamera zu befinden. Hinsichtlich der Kameraattrappe an der Garagenwand müssen nur zwei Garagenbenützer an der Abstellfläche der Beklagten vorbeigehen. Diese gelangen in den (vermeintlichen) Erfassungsbereich der Kameraattrappe, wobei nach dem - wieder durch die Situierung und Ausrichtung der Kameraattrappe bestimmten - Eindruck nur die Unterschenkel erfasst werden. Auch in dieser Hinsicht ist nicht von einem unzulässigen Überwachungsdruck auszugehen, weil für einen unbefangenen, objektiven Betrachter die Befürchtung einer identifizierenden Überwachung nicht bestehen kann. [...]
Mehr zu diesem Beschluss bei RA Dr. Thiele (pdf). Siehe zu Videoüberwachung und Mietrecht hier im Blog.
Update 15.12.2014:  Die DSB (Datenschutzbehörde) zu Kameraattrappen (siehe unter Punkt 10.)

Österreich: Parl. Anfragebeantwortung zu "Fahrservice Uber" (Gewerberecht)

Anfragebeantwortung durch den Bundesminister für Wissenschaft, Forschung und Wirtschaft Dr. Reinhold Mitterlehner zu der schriftlichen Anfrage (2712/J) der Abgeordneten Peter Wurm, Kolleginnen und Kollegen an den Bundesminister für Wissenschaft, Forschung und Wirtschaft betreffend "Fahrservice Uber" (2570/AB):
[...] Auf Basis der meinem Ressort bislang vorliegenden Informationen wäre der Betrieb der Online-Plattform durch das Fahrservice Uber als freies Gewerbe einzustufen. Aus derzeitiger Sicht liegen keine Anhaltspunkte für eine Umgehung gewerberechtlicher Regelungen vor, weswegen mein Ressort auch keinen Anlass für eine spezifische Überprüfung erkennt. Sollten sich künftig andere Anhaltspunkte ergeben, werden die zuständigen Gewerbebehörden der Länder entsprechende Veranlassungen zu treffen haben.

Joint statement of the European Data Protection Authorities assembled in the Article 29 Working Party

Joint statement of the European Data Protection Authorities assembled in the Article 29 Working Party (WP227), the statement is also available on this website:
[...] 12. The EU draft data protection package should be adopted in 2015. Whilst contributing to the unification of the European digital market, it must ensure a high level of data protection to individuals, in accordance with European values and fundamental rights.
13. The European level of protection of personal data should not be eroded, wholly or in part, by bilateral or international agreements, including agreements on trade in goods or services with third countries.
14. EU data protection rules are necessary to safeguard the political, social and economic situation of the EU and those subject to EU legislation. Their principles must be considered to be of an internationally mandatory nature under public and private international law. Foreign laws or international agreements cannot override them nor can organizations derogate from them by contract.
[...]
Next steps
16. The Working Party welcomes comments on this Statement by all interested stakeholders, whether public or private. Such comments may be addressed through the dedicated website available at www.europeandatagovernance-forum.com. The Working Party will take these comments into account in its activities over the year 2015.
The website mentioned above recommends to use the following CNIL e-mail address: Such comments may be addressed at edgf@cnil.fr.

CoE issues report on "The rule of law on the Internet and in the wider digital world"

"The rule of law on the Internet and in the wider digital world" (pdf; summary available here; press release), Issue paper published by the Council of Europe, Commissioner for Human Rights
[...] The European data protection model is increasingly being taken up outside the Council of Europe area: Convention No. 108 (currently under a process of modernisation) is becoming the global gold standard in guaranteeing the international rule of law in this specific respect, which is crucial for the Internet and the wider digital world. [...] 
Data protection on European lines provides the first and most important cornerstone for the rule of law on the Internet and in the wider digital world. As a result, it will be crucial to ensure that the review (modernisation) of Convention No. 108, currently under way, does not lead to any lowering of the standards. Accession by the USA to Convention No. 108 would be particularly valuable, not just for US citizens, but as a move towards a more comprehensive global approach to respect for the fundamental right to data protection and the rights that it enables. [...]

Ö: Bericht über Datenaustausch mit den USA (["Prüm-like"] PCSC-Abkommen)

Bericht der Bundesministerin für Inneres über die Entschließung des Nationalrates vom 29. Februar 2012, E 232-NR/XXIV. GP betreffend Abkommen zwischen der Regierung der Republik Österreich und der Regierung der Vereinigten Staaten von Amerika über die Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerer Straftaten (PCSC) - Berichtszeitraum 1. Mai 2013 bis 30. April 2014 (III-82 d.B.), Kommunique des Ausschusses für innere Angelegenheiten; mehr dazu im Blog hier (data-sharing agreement with USA in criminal/terrorist matters):

[...] 3.   Erfahrungen mit der Anwendung des Abkommens
3.1.       Für die Zusammenarbeit im Bereich daktyloskopische Daten
Nachdem der operative Datenaustausch wegen der noch laufenden technischen Umsetzungsarbeiten noch nicht aufgenommen wurde, liegen keine Erfahrungen vor.
3.2.       Für die Zusammenarbeit gemäß Artikel 10 des Abkommens
Im Bereich der Übermittlung personenbezogener und anderer Daten zur Verhinderung schwerer Straftaten mit einer transnationalen Dimension liegen derzeit keine Erfahrungen vor, [...]
 Für die Zusammenarbeit bei der Verhinderung von terroristischen Straftaten stellt das Inkrafttreten des Abkommens eine qualitativ-rechtliche Verbesserung für den Datenaustausch dar und bildet eine gute Grundlage für die bilaterale Kooperation. Nach den Vorgaben des Abkommens kann ein Datenaustausch immer nur anlassbezogen stattfinden.[...]

06.12.2014

Art. 29 WP: Surveillance of electronic communications for intelligence and national security purposes

Working Document on surveillance of electronic communications for intelligence and national security purposes, WP 228 adopted on 5 December 2014
This Working Document contains the legal analysis behind the WP29 Opinion on surveillance of electronic communications for intelligence and national security purposes that was adopted on 10 April 2014. The focus of this Opinion lies with the follow up that is needed after the Snowden revelations. To this end, it contains several recommendations on how to restore respect for the fundamental rights of privacy and data protection by the intelligence and security services, and on how to improve supervision of these entities’ activities while maintaining national security. The current Working Document contains the result of the discussions and legal analysis on which the Working Party’s recommendations are based. [...]

04.12.2014

Österreich: Handel mit Daten aus dem Zentralen Melderegister?

... zumindest suggeriert dies die Schriftliche Anfrage der Abgeordneten Mag. Albert Steinhauser, Kolleginnen und Kollegen an die Bundesministerin für Inneres betreffend Handel mit Daten aus dem Zentralen Melderegister (3247/J)
Siehe zur Zulässigkeit der Verwendung von Meldedaten §§ 16a ff Meldegesetz 1991, insb § 16a Abs 5 und 5a leg cit (Hervorhebung durch mich):
(5) Abgesehen von den in Abs. 4 genannten Fällen ist der Bundesminister für Inneres ermächtigt, bestimmten Personen im Rahmen des § 16 Abs. 1 auf Antrag eine Abfrageberechtigung im Wege des Datenfernverkehrs auf die im Zentralen Melderegister verarbeiteten Daten, für die keine Auskunftssperre besteht, zu eröffnen; hiefür muss glaubhaft sein, dass diese Personen regelmäßig Meldeauskünfte zur erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen benötigen.
(5a) Eine gemäß Abs. 5 eingeräumte Abfrageberechtigung darf im konkreten Fall nur für die glaubhaft gemachten eigenen Zwecke in Anspruch genommen werden; die bloße Weitergabe von im Wege dieser Abfrageberechtigung ermittelten Meldedaten an Dritte ist kein eigener Zweck im Sinne dieser Bestimmung. Liegen die für die Erteilung der Berechtigung notwendigen Voraussetzungen nicht mehr vor, hat der Berechtigte dies unverzüglich dem Bundesminister für Inneres zu melden.
Update: Meldegesetz-Durchführungsverordnung
Update 04.02.2015: Anfragebeantwortung (3086/AB; pdf):
[...] Antragsteller oder Antragstellerinnen haben im Rahmen eines Verwaltungsverfahrens ihren Bedarf im Sinne des § 16a Abs. 5 Meldegesetz 1991 glaubhaft zu machen. Die jeweilige Antragsbegründung wird vom Bundesministerium für Inneres eingehend geprüft, wobei regelmäßig ein Gewerbe- bzw. Berufsberechtigungsnachweis verlangt wird. Sofern Antragsbegründungen nicht eindeutig die Zwecke der beabsichtigten Abfragen erkennen lassen, werden Verbesserungsaufträge erteilt, mit denen beispielsweise die Darstellung der konkreten Arbeitsabläufe oder die Vorlage weiterer Nachweise aufgetragen werden. Erst wenn das Bundesministerium für Inneres im konkreten Fall zur Überzeugung gelangt, dass die Voraussetzungen des § 16a Abs. 5 Meldegesetz 1991 erfüllt sind, wird die Abfrageberechtigung
eröffnet.
[...]

03.12.2014

GDPR: Presidency note to finalise discussions on the inclusion of the public sector & Chapter IX

Presidency Note to Council: Proposal (Corrigendum; dated 1 December 2014) for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
- Public sector and Chapter IX
= Partial general approach
1. The purpose of this Presidency note is to finalise discussions on the inclusion of the public sector in the scope of the draft General Data Protection Regulation (hereinafter referred to as the ‘GDPR’) and on specific processing situations set out in Chapter IX. [...]
4. The Council is invited to reach a partial general approach on the text of Article 1, Article 6, paragraphs (2) and (3), Article 21 and Chapter IX contained in the Annex on the following understanding: [...]

Press release regarding tomorrow's Justice Council:
Věra Jourová, the EU's Commissioner for Justice, Consumers and Gender will represent the European Commission for the first time at the Justice Council on 4 December. [...]. On the reform of EU data protection rules (IP/12/46), Ministers are expected to clinch another partial agreement on rules for the public sector and advance discussions on the one-stop-shop, signalling the gathering momentum for the completion of the negotiations by 2015. [...]
Update 4.12.2014The Council is expected to reach a partial general approach on specific issues of the draft regulation setting out a general EU framework for data protection, on the understanding that nothing is agreed until everything is agreed. The partial general approach includes some articles which are crucial to the question of the public sector (Article 1, Article 6, paragraphs (2) and (3), Article 21) as well as chapter IX (provisions relating to specific data processing situations) and the related recitals (16140/14).
The Council will also hold an orientation debate on the "one stop shop" mechanism on the basis of
a proposal presented by the Presidency (15656/1/14 REV 1)
. [...]
Sources: Statewatch; Council (pdf)

02.12.2014

BGH: Zur Widerrufsbelehrung auf einer gewöhnlichen Webseite

BGH 15.05.2014 - III ZR 368/13 (pdf)
a) Die bloße Abrufbarkeit einer Widerrufsbelehrung auf einer gewöhnlichen Webseite ("ordinary website") des Unternehmers reicht für die formgerechte Mitteilung der Widerrufsbelehrung an den Verbraucher nach § 355 Abs. 2 Satz 1 und Abs. 3 Satz 1, § 126b BGB nicht aus (Anschluss an BGH, Urteil vom 29. April 2010 - I ZR 66/08, NJW 2010, 3566).
b) Die vom Unternehmer in einem Online-Anmeldeformular vorgegebene, vom Kunden (Verbraucher) bei der Anmeldung zwingend durch Anklicken mit einem Häkchen im Kontrollkasten zu versehende Bestätigung
"Widerrufserklärung □ Widerrufsbelehrung zur Kenntnis genommen und ausgedruckt oder
abgespeichert?" 

ist gemäß § 309 Nr. 12 Buchst. b BGB sowie deshalb unwirksam, weil sie von den verbraucherschützenden Regelungen in § 355 Abs. 2 und 3, § 360 Abs. 1 BGB zum Nachteil des Verbrauchers abweicht.
c) Ist eine vom Unternehmer vorformulierte Bestätigung des Kunden unwirksam, so kann der Unternehmer dem Widerruf des Kunden nicht den Einwand unzulässiger Rechtsausübung entgegenhalten und gegen den Kunden auch keinen Schadensersatzanspruch wegen arglistiger Täuschung oder sonstiger Treuepflichtverletzung geltend machen, indem er den Vorwurf erhebt, dass der Kunde diese Bestätigung wahrheitswidrig erteilt habe.

Mehr dazu hier (auch zur dt. Rechtslage nach Umsetzung der VerbraucherrechteRL); OGH-Judikatur in Österreich; EuGH 05.07.2012, Rs C‑49/11

Art. 29 WP: Co-Operation Procedure for Issuing Common Opinions on “Contractual clauses”

Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on “Contractual clauses” Considered as compliant with the EC Model Clauses, WP 226
[...] In many Member States, national authorisations are not only required for the use of ad hoc contracts3 [such as in Austria] but also for the use of Model Clauses4 [such as in Austria].[...] 
With this document, the Article 29 Working Party is creating a procedure enabling companies who are willing to make use of identical contractual clauses (which are based on Model Clauses with some divergences such as additional clauses) in different Member States, in order to: frame transfers from different EU Member States; obtain a coordinated position of the competent DPAs regarding the proposed contract; and decide in particular if the contract is still in conformity with a standard contractual clause. [...]