31.01.2015

BRD: Muster eines Auftragsdatenverarbeitungsvertrags für das Gesundheitswesen (Ö: "Dienstleistervertrag")

Eine verbandsübergreifende Arbeitsgruppe bestehend aus Vertretern des Berufsverbandes der Datenschutzbeauftragten Deutschlands e. V. (BvD, „Arbeitskreis Medizin“), des Bundesverbandes Gesundheits-IT e.V. (bvitg), der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS, Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“) und der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD, Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“) hat ein kommentiertes Muster einesAuftragsdatenverarbeitungsvertrags [nach österr. Diktion "Dienstleistervertrag"] erarbeitet, die auf die besonderen Belange des Gesundheitswesens eingeht und den Datenschutz bei der Einbindung von Dienstleistern im Gesundheitsbereich sicherstellen soll. [...] Der von der Arbeitsgruppe erarbeitete Muster-ADV-Vertrag bietet eine Hilfestellung, um das Thema Auftragsdatenverarbeitung im Gesundheitswesen so weit wie möglich praxisgerecht für Auftragnehmer (IT-Hersteller) und Auftraggeber (Arztpraxen, Krankenhäuser, ...) vertraglich umzusetzen.
Quelle: Gemeinsame Presseerklärung von BvD, bvitg, GMDS und GDD

30.01.2015

Datenschutzstelle Liechtenstein: Empfehlung zum Internet der Dinge

Im Zusammenhang mit dem Internet der Dinge hat die Datenschutzstelle ein Dokument mit Informationen zu den spezifischen Datenschutzrisiken und konkreten Empfehlungen für verschiedenste Beteiligte, wie Geräteherstellen, Entwicker und Nutzer, veröffentlicht.
Quelle: Datenschutzstelle

OGH: Urheberrechtl. Unterlassungsanspruch gegen Hostprovider setzt Abmahnung voraus

OGH 21.10.2014, 4 Ob 140/14p 
Ein Unterlassungsanspruch gegen die in § 81 Abs 1a UrhG genannten Diensteanbieter setzt eine Abmahnung voraus. Dieses Erfordernis ist nur erfüllt, wenn die Rechtsverletzung für den Provider durch die Abmahnung ohne Notwendigkeit weiterer Nachforschungen offenkundig wird. Die Abmahnung kann durch entsprechendes Vorbringen in einem bereits anhängigen Verfahren ersetzt werden. In diesem Fall entsteht aber nur dann ein Unterlassungsanspruch, wenn der Provider das beanstandete Verhalten fortsetzt (Wiederholungsgefahr) oder das Vorliegen einer Rechtsverletzung bestreitet (Erstbegehungsgefahr).
Dem Gehilfen einer Immaterialgüterrechtsverletzung kann nur sein Tatbeitrag, nicht aber das tatbestandliche Verhalten des unmittelbaren Täters untersagt werden.

27.01.2015

FTC issues report and business advice on Internet of Things

In a detailed report on the Internet of Things, released today, the staff of the Federal Trade Commission recommend a series of concrete steps that businesses can take to enhance and protect consumers’ privacy and security, as Americans start to reap the benefits from a growing world of Internet-connected devices. [...]
In addition to the report, the FTC also released a new publication for businesses containing advice about how to build security into products connected to the Internet of Things. “Careful Connections: Building Security in the Internet of Things” encourages companies to implement a risk-based approach and take advantage of best practices developed by security experts, such as using strong encryption and proper authentication. [...]
Source: Press release
From the Conclusion:
The IoT presents numerous benefits to consumers, and has the potential to change the
ways that consumers interact with technology in fundamental ways. In the future, the Internet of
Things is likely to meld the virtual and physical worlds together in ways that are currently
difficult to comprehend. From a security and privacy perspective, the predicted pervasive
introduction of sensors and devices into currently intimate spaces – such as the home, the car,
and with wearables and ingestibles, even the body – poses particular challenges. As physical
objects in our everyday lives increasingly detect and share observations about us, consumers will
likely continue to want privacy. The Commission staff will continue to enforce laws, educate
consumers and businesses, and engage with consumer advocates, industry, academics, and other
stakeholders involved in the IoT to promote appropriate security and privacy protections. At the
same time, we urge further self-regulatory efforts on IoT, along with enactment of data security
and broad-based privacy legislation.

OGH: Veröffentlichungsverbot von StA-Ermittlungsakten auf privater Website (gestützt auf § 8 Abs 4 DSG)

OGH  15.12.2014, 6 Ob 6/14x
[...]  2.1. Erst- und Zweitkläger stützen sich auch in ihrem außerordentlichen Revisionsrekurs auf die Bestimmungen des Datenschutzgesetzes 2000. Tatsächlich handelt es sich bei den veröffentlichten Ermittlungsakten(-bestandteilen) um strafrechtsbezogene Daten im Sinn des § 8 Abs 4 DSG 2000, die zwar vom Gesetzgeber nicht als sensible Daten eingestuft werden, dennoch aber einen besonderen Schutz genießen. Daten (auch nur) über den Verdacht (Fritz, Strafrechtlich relevante Daten vs. Zustimmung der Betroffenen, Jahrbuch Datenschutzrecht und E-Government 2013 [2014] 45) der Begehung von Straftaten - konkret wird wegen des Verdachts nach §§ 146, 168a StGB ermittelt - stellen nach dieser Bestimmung eine eigene Datenkategorie dar, deren Verwendung grundsätzlich schutzwürdige Interessen des Betroffenen verletzt. Die Regelungstechnik des § 8 Abs 4 DSG 2000 entspricht jener bei Verwendung von sensiblen Daten gemäß § 9 DSG 2000, sodass eine Verwendung strafrechtsbezogener Daten nur dann zulässig ist, wenn einer der taxativ aufgezählten Verwendungsfälle vorliegt (Dohr/Pollirer/Weiss/Knyrim, DSG² [2014] § 8 Anm 18).
[...] 2.5. Damit kann den Beklagten mittels auf § 32 Abs 2, § 7 Abs 2, § 8 Abs 4 DSG 2000 gestützter einstweiliger Verfügung verboten werden, auf der besagten Internetplattform oder in vergleichbaren Medien den Ermittlungsakt, Aktenstücke oder Aktenbestandteile zu veröffentlichen.
§ 8 Abs 4 Datenschutzgesetz 2000 schützt nach seinem Wortlaut den von der Verwendung von strafrechtsbezogenen Daten in seinen schutzwürdigen Geheimhaltungsinteressen Betroffenen, also im hier interessierenden Zusammenhang den Verdächtigen oder Beschuldigten, gegen den das Ermittlungsverfahren geführt wird. Dies ist nach dem als bescheinigt angenommenen Sachverhalt zunächst einmal der Zweitkläger, der auch bereits als Beschuldigter einvernommen wurde. [...]
Quelle: Pressemeldung des OGH

Ö: GPA-Broschüre „Datenschutz ohne Kontrolle ist wie Suppe essen mit der Gabel“

Auszug aus dem Blog der Gewerkschaft der Privatangestellten, Druck, Journalismus, Papier:
Die 2010 erschienene Broschüre der GPA-djp wurde überarbeitet und aktualisiert. Sie enthält eine Reihe von Praxis-Tipps sowie Informationen zum ArbeitnehmerInnen-Datenschutz und richtet sich vor allem an BetriebsrätInnen, denen auf Grund des maßgeblichen Regelungsinstruments des betrieblichen Datenschutzes, nämlich der Betriebsvereinbarung, eine bedeutende und entscheidende Rolle hinsichtlich der Wahrung der datenschutzrechtlichen Interessen der ArbeitnehmerInnen zukommt. [...]
Die Broschüre ist offenbar nur für Mitglieder zugänglich.

EuGH: EuGVVO - Gerichtliche Zuständigkeit bei Urheberrechtsverletzung im Internet

EuGH 22.01.2015, Rs C‑441/13
Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen Frau Hejduk, wohnhaft in Wien (Österreich), und der EnergieAgentur.NRW GmbH (im Folgenden: EnergieAgentur) mit Sitz in Düsseldorf (Deutschland) wegen Feststellung, dass eine Urheberrechtsverletzung begangen wurde, indem von Frau Hejduk hergestellte Lichtbilder ohne ihre Zustimmung auf der Website von EnergieAgentur veröffentlicht wurden. [...]
Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:
Art. 5 Nr. 3 der Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil‑ und Handelssachen ist dahin auszulegen, dass im Fall der Geltendmachung einer Verletzung von Urheber‑ und verwandten Schutzrechten, die vom Mitgliedstaat des angerufenen Gerichts gewährleistet werden, dieses Gericht in Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs für eine Klage auf Schadensersatz wegen Verletzung dieser Rechte durch die Veröffentlichung von geschützten Lichtbildern auf einer in seinem Bezirk zugänglichen Website zuständig ist. Dieses Gericht ist nur für die Entscheidung über den Schaden zuständig, der im Hoheitsgebiet des Mitgliedstaats verursacht worden ist, zu dem es gehört.

EP/STOA: Study on "Mass Surveillance - What are the risks for the citizens ...?"

Somewhat older, some catching up to do ...

European Parliament - STOA: Study on "Mass Surveillance - What are the risks for the citizens and the opportunities for the European Information Society? What are the possible mitigation strategies?
Part 1 - Risks and opportunities raised by the current generation of network services and applications:
This document identifies the risks of data breaches for users of publicly available Internet services such as email, social networks and cloud computing, and the possible impacts for them and the European Information Society. It presents the latest technology advances allowing the analysis of user data and their meta-data on a mass scale for surveillance reasons. It identifies technological and organisational measures and the key stakeholders for reducing the risks identified. Finally the study proposes possible policy options, in support of the risk reduction measures identified by the study. [...]
The STOA project “Mass Surveillance – Risks, Opportunities and Mitigation Strategies Part 1” was
carried out by TECNALIA Research and Investigation in Spain.

Part 2 – Technology foresight, options for longer-term security and privacy improvements:
The main objective of part two of this study is to provide the European Parliament with policy options, based on technology foresight, with regard to the protection of the European Information Society against mass surveillance from a perspective of technology and organisational foresight. Four scenarios with two to four technology options each were developed in this study, leading to twenty-three policy options. [...]
The STOA project “Mass surveillance – Risks, Opportunities and Mitigation Strategies – Part 2
Technology foresight, options for longer-term security and privacy improvements” was carried out by
Capgemini Consulting, part of Capgemini Netherlands BV.

14.01.2015

Österreich: Hinweise auf Datenschutz-Veranstaltungen

Gestern (13.01.2015) fand der Neujahrsempfang der Datenschutzbehörde (DSB) statt. Neben der prägnanten Rede der Behördenleiterin ist besonders erwähnenswert, dass der Newsletter 1/2015 der DSB (ausnahmsweise) in Papierform auflag. Außer einem Editorial enthält dieser unter der Rubrik "Im Fokus" einen informativen Beitrag zum Thema Videoüberwachung mit Dashcams, zwei ausgewählte Entscheidungen der DSB (zur Videoüberwachung durch eine Hausverwaltung [DSB-D215.463/0006-DSB/2014], die in einem Mandatsbescheid gemäß § 30 Abs 6a DSG 2000 endete und der Verwendung ua des Geburtsdatums in einer Anonymverfügung) sowie einen Kurzüberlick zu Kamera-Attrappen und Datenschutz anhand der Judikatur des OGH. Der Newsletter ist mW noch nicht online verfügbar (Stand 14.01.2015), kann aber hier abonniert werden.
Update 09.02.2015: Newsletter 01/2015 ist online verfügbar.

Am 28.01.2015 findet im Bundeskanzleramt anlässlich des 9. Europäischen Datenschutztages eine Veranstaltung zum Thema "Was bedeutet Datenschutz für Unternehmen?" statt, die via Livestream übertragen wird. Ich bin bereits angemeldet und finde hoffentlich die Zeit, diesen interessanten Termin vor Ort wahrzunehmen.

09.01.2015

OGH: Datenschutzrechtliche Ausführungen im Zusammenhang mit missbräuchlichen Datenbankabfragen (insb. allg. Verfügbarkeit)

[...] § 1 Abs 1 DSG normiert einen (grundrechtlichen) Anspruch auf Geheimhaltung personenbezogener Daten, soweit ein schutzwürdiges Interesse daran besteht. Personenbezogene Daten sind nach der Legaldefinition des § 4 Z 1 DSG Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Darunter sind Informationen (im weitesten Sinn) zu verstehen, die mit einer Person in Verbindung stehen oder gebracht werden können (Dohr/Pollirer/Weiss/Knyrim, DSG2 § 4 Anm 2; Knyrim, Datenschutzrecht2, 14; Lehner/Lachmayer in Bauer/Reimer [Hrsg], Handbuch Datenschutzrecht, 98; Berka, Grundfreiheiten und Menschenrechte in Österreich Rz 481; vgl Grabenwarter/Pabel, EMRK5 § 22 Rz 10). In diesem Sinn geschützt ist im vorliegenden Fall daher auch - wie mit Blick auf die insofern unklaren Feststellungen im angefochtenen Urteil (vgl US 3 f) angemerkt wird - die (in der gezielt abgefragten Zeugenaussage enthaltene) Information darüber, dass bestimmte Personen (Mag. B***** oder seine Frau auf Käuferseite und ein namentlich genannter Verkäufer) einen Kaufvertrag über ein Auto abgeschlossen, in diesem Zusammenhang ein Zivilverfahren geführt und allenfalls eine inhaltlich unrichtige Urkunde mit dem Ziel der Abgabenverkürzung erstellt haben.
Bei der Annahme eines (vom Geheimhaltungsanspruch vorausgesetzten) schutzwürdigen Interesses legen Rechtsprechung und Lehre einen großzügigen Maßstab an: Es wird grundsätzlich angenommen, sofern es nicht im Sinn des § 1 Abs 1 zweiter Satz DSG auszuschließen ist. Ob es über diese gesetzlichen Ausschlusstatbestände hinaus einer eigenständigen Prüfung der Schutzwürdigkeit bedarf (so Dohr/Pollirer/Weiss/Knyrim, DSG2 § 1 Anm 7; Wiederin, Privatsphäre und Überwachungsstaat, 60 f; vgl RIS-Justiz RS0107203 [T4 und T5]) oder nicht (so unter Berufung auf die Gesetzesmaterialien zum DSG 2000 [EBRV 1613 BlgNR 20. GP, 34 f] etwa Duschanek in Korinek/Holoubek, Bundesverfassungsrecht § 1 DSG Rz 40 bis 42; Jahnel, Handbuch Datenschutzrecht, 2/26; im Ergebnis wohl auch Lehner/Lachmayer in Bauer/Reimer [Hrsg], Handbuch Datenschutzrecht, 98 f, die auf die informationelle Selbstbestimmung der betroffenen Person abstellen; vgl RIS-Justiz RS0116746; zum weiten gemeinschaftsrechtlichen Schutzbereich [auch hinsichtlich bereits veröffentlichter Daten] vgl Art 1 Abs 1 und Art 2 lit a und b der Richtlinie 95/46/EG [Datenschutzrichtlinie] und Art 8 GRC sowie EuGH, 16. 12. 2008, C-73/07), kann dahingestellt bleiben, weil vom festgestellten Schädigungsvorsatz (US 4 und 7) jedenfalls im Hinblick auf die Achtung des Privat- und Familienlebens (vgl § 1 Abs 1 DSG) relevante personenbezogene Daten (wie Namen, Adressen, Geburtsdaten und familiäre Beziehungen) der am Zivilverfahren Beteiligten erfasst waren.
Allgemeine Verfügbarkeit im Sinn des § 1 Abs 1 zweiter Satz DSG ist nur dann anzunehmen, wenn im Zeitpunkt der in Rede stehenden Verwendung von Daten diese tatsächlich (noch) jedermann zugänglich sind. Dies trifft etwa bei Daten zu, die in öffentlichen Registern oder Büchern, in Kundmachungen oder in sonstigen öffentlich abrufbaren Informationsquellen wie etwa dem Telefonbuch oder dem Internet auffindbar sind. (Einmal hergestellte) Öffentlichkeit bedeutet jedoch nicht in jedem Fall allgemeine Verfügbarkeit. Neben der jeweiligen Reichweite unterschiedlicher Arten von Öffentlichkeit (etwa in Form eines Gesprächs vor mehreren Anwesenden, einer Berichterstattung durch Massenmedien oder der Abrufbarkeit im Internet) ist - unter dem Aspekt fortdauernder Verfügbarkeit - die zeitliche Komponente zwischen (einmaliger) Veröffentlichung und Verwendung der Daten zu berücksichtigen. Nach diesen Kriterien kann von allgemeiner Verfügbarkeit in einer öffentlichen Verhandlung vorgekommener Daten - ohne (hier nicht festgestellte) qualifizierte Berichterstattung in Massenmedien oder dem Internet - nicht die Rede sein (ausführlich zur [fehlenden] allgemeinen Verfügbarkeit personenbezogener Daten von Beteiligten in Zivilverfahren 6 Ob 165/13b, EvBl-LS 2014/49 = JBl 2014, 401; zum Ganzen Jahnel, Handbuch Datenschutzrecht, 2/18 ff; zum Erfordernis des Fortdauerns der allgemeinen Verfügbarkeit Lehner/Lachmayer in Bauer/Reimer [Hrsg], Handbuch Datenschutzrecht, 99; EBRV 1613 BlgNR 20. GP, 35; zum weitgehend synonymen Verständnis des in § 8 Abs 2 DSG verwendeten Begriffs der „zulässigerweise veröffentlichten Daten“ vgl auch Wiederin, Privatsphäre und Überwachungsstaat, 59). [...]

Leak: Legal Services Opinion - Consequences of CJEU's ruling on the Data Retention Directive

Legal Opinion, Re: LIBE - Questions relating to the judgment of the Court of Justice of 8 April 2014 in Joined Cases C-293/12 and C-594/12, Digital Rights Ireland and Seitlinger and others – Directive 2006/24/EC on data retention – Consequences of the judgment
Sources: Netzpolitik (pdf); Access (pdf); Statewatch (pdf); Blogbeiträge: Netzpolitik; Access