31.03.2015

Technical Report: Facebook Tracking Through Social Plug-ins

"Facebook Tracking Through Social Plug-ins - Technical report prepared at the request of the Belgian Privacy Commission" (pdf). This is Annex 1 of the report already mentioned hereThe technical report presented provides a technical description of Facebook tracking through social plug-ins such as the "Like Button". The report was written by KU Leuven and iMinds researchers Güneş Acar (COSIC), Brendan Van Alsenoy (ICRI/CIR), Frank Piessens (DistriNet), Claudia Diaz (COSIC), Bart Preneel (COSIC) at the request of the Belgian Privacy Commission.
For an overview of the results look also here.
Update: Facebook' view.

GDPR: Presidency's Note to DAPIX containing questions relating to Chapters III and VIII

Note from the Presidency to the Working Group on Information Exchange and Data Protection (DAPIX), Subject: Proposal for a Regulation of the European Parliament and of the Council
on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapters III and VIII:
After the DAPIX meeting on 23-24 March 2015 and in order to prepare the DAPIX meeting on
30-31 March 2015, the Presidency has prepared a number of questions relating to Chapter III and
VIII. The questions are set out below in order of appearance in the text. ... [inter alia, covering "The right to be forgotten and erasure (Article 17)" and "Profiling (Article 20)"]
Source: Statewatch

27.03.2015

Art. 29 WP: Renewal of the TFTP Agreement between EU and US

Letter from the Art. 29 WP to the Latvian Presidency on the renewal of the TFTP Agreement between EU and US (pdf):
[...] The agreement between the European Union and the United States of America regarding thetransfer of financial messaging data for the purpose of Terrorist Finance Tracking Program (“TFTP”) entered into force on 1 August 2010. The agreement has an initial duration of five years, but shall be renewed automatically for one year at a time as long as the contracting partners do not indicate they wish to terminate the agreement at least six months in advance. The Working Party is not aware such notification has been issued.
[...] The Working Party specifically refers to the public reports of 14 March 2012 indicating that, given the nature of the TFTP, it might not be possible to fulfil all intended safeguards of Article 4. It also refers to its assessment of 18 March 2013, specifically to the issues deserving further consideration referred to in the final part of the report. The reports are available on the JSB website (http://europoljsb.consilium.europa.eu/about.aspx). [...]

"Opinion on the adequacy of the Safe Harbor Decision" by Prof. Böhm

Via Europe vs Facebook, regarding the case Schrems v. (Irish) Data Protection Commissioner (C-362/14), look here for an inofficial transcript of the CJEU hearing (pdf), the Advocate General will deliver his opinion on 24 June 2015:
"Opinion on the adequacy of the Safe Harbor Decision" - Comparison between Safe Harbor and Directive 95/46 by Prof. Dr. Franziska Böhm (pdf):
The opinion includes a brief comparison between the basic data protection guarantees of Directive 95/46 and the guarantees stipulated by the Safe Harbor Decision (SHD in the following). It should give a quick overview of the most important data protection principles in both instruments and serve as background information for the written observations. [...]

Ö: Parl. Anfragebeantwortung "Internetkriminalität - Strafdelikte durch IT-Medium im Jahr 2014"

Anfragebeantwortung durch die Bundesministerin für Inneres Mag. Johanna Mikl-Leitner zu der schriftlichen Anfrage (3571/J) der Abgeordneten Dr. Johannes Jarolim, Kolleginnen und Kollegen an die Bundesministerin für Inneres betreffend "Internetkriminalität - Strafdelikte durch IT-Medium im Jahr 2014"
[...] Zu Frage 20:
Im Bereich der Internetkriminalität haben im Jahr 2014 vor allem die „widerrechtlichen
Zugriffe auf IT-Systeme“ sowie der Tatbestand des „Missbrauchs von Computerprogrammen
oder Zugangsdaten“ zugenommen.
[...] Zu Frage 24:
Aufgrund der derzeitigen Rechtslage wird im Rahmen der Kriminalprävention verstärkt auf die Gefahren bei der Nutzung des Internet und insbesondere von sozialen Medien bei Anfragen an die Meldestelle hingewiesen, da ein starker Anstieg bei Tathandlungen mit Identitätsdiebstahl und Erpressungen nach sexuellen Handlungen vor laufender Kamera im Internet verzeichnet werden konnte. Die strafrechtlich relevanten Sachverhalte werden in der Kriminalstatistik jedenfalls erfasst, aber der gegenständliche kriminologische Sachverhalt nicht detailliert ausgewiesen, weshalb deliktsspezifische Zahlen nicht vorliegen. 
[...]

20.03.2015

DSR: Stellungnahme zur geplanten Novellierung des Informationsweiterverwendungsgesetz

Entwurf eines Bundesgesetzes, mit dem das Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen geändert wird - Stellungnahme des Datenschutzrates (pdf)
[...] Vorweg merkt der Datenschutzrat an, dass der Anwendungsbereich des DSG 2000 sowohl natürliche als auch juristische Personen umfasst, während die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) ausschließlich natürliche Personen schützt. [...]
In diesem Zusammenhang hält der Datenschutzrat ausdrücklich fest, dass aus den gesetzlichen Bestimmungen nicht ausreichend klar hervor geht, dass – bei Fehlen expliziter gesetzlicher Weiterverwendungsverbote – die allgemeinen Regelungen des DSG 2000 zur Beurteilung der Zulässigkeit der (Weiter)Verwendung von personenbezogenen Daten herangezogen werden müssen.
Da diese grundlegenden Fragestellungen den Anwendungsbereich des Gesetzes (und damit die Vorgaben für die Weiterverwendung einer Vielzahl personenbezogener Daten) betreffen, sollten die gesetzlichen Bestimmungen im Hinblick auf den Schutz der Daten juristischer Personen und Personengemeinschaften entsprechend überarbeitet und präzisiert werden. [...]

BRD: Safe Harbor kein ausreichender Schutz für Datentransfer in die USA

Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18. und 19. März 2015
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist darauf hin, dass die Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.
Im Jahr 2010 haben die deutschen Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich bereits ausgeführt, dass die Erklärung über eine Selbst-Zertifizierung, wie sie die Safe Harbor-Grundsätze vorsehen, für Datenübermittlungen in die USA nicht ausreicht. Sie wiesen darauf hin, dass sich übermittelnde Unternehmen von den Datenempfängern nachweisen lassen müssen, dass die Safe Harbor-Grundsätze auch eingehalten werden. Mit den Enthüllungen von Edward Snowden wurde offengelegt, dass US-Sicherheitsbehörden systematisch und massenhaft auf in die USA übermittelte personenbezogene Daten zugreifen, und damit die Safe Harbor-Grundsätze mit großer Wahrscheinlichkeit gravierend verletzt werden.
Die Konferenz weist darauf hin, dass bei Übermittlungen in einen Staat, in dem europäisches Datenschutzrecht nicht direkt anwendbar ist, zumindest folgende Garantien für den Datenschutz gegeben sein müssen: Die Zweckbindung der Daten ist grundsätzlich sicherzustellen. Staatliche Zugriffsmöglichkeiten müssen auf ein angemessenes und grundrechtskonformes Maß begrenzt bleiben. Den Betroffenen ist ein effektiver Anspruch auf Auskunft und auf Berichtigung bzw. Löschung falscher bzw. unzulässig gespeicherter Daten zu gewähren. Bei Verstößen bedarf es eines effektiven Rechtsschutzes. Formelle und sprachliche Barrieren dürfen nicht dazu führen, dass die Betroffenen ihre Rechte nicht wahrnehmen können.

Quelle: Hessischer Datenschutzbeauftragte; Presseerklärung; siehe zu den anderen Entschließungen, darunter zur geplanten DS-GVO, hier: Konferenz der Datenschutzbeauftragten

BGH: keine Haftung eines Hotel-Bewertungsportals für Nutzer-Behauptungen (Update)

BGH 19.03.2015, I ZR 94/13 - Hotelbewertungsportal
Der u.a. für das Wettbewerbsrecht zuständige I. Zivilsenat hat heute entschieden, dass die Betreiberin eines Hotelbewertungsportals nicht wegen Verstoßes gegen § 4 Nr. 8 UWG* oder § 3 Abs. 1 UWG** auf Unterlassung unwahrer Tatsachenbehauptungen eines Nutzers auf ihrem Portal haftet. [...]
Die beanstandete Nutzerbewertung ist keine eigene "Behauptung" der Beklagten, weil sie sich diese weder durch die Prüfung der Bewertungen noch durch deren statistische Auswertung inhaltlich zu Eigen gemacht hat. Die Beklagte hat die Behauptung auch nicht "verbreitet". Die Haftung eines Diensteanbieters im Sinne des § 2 Nr. 1 TMG***, der - wie die Beklagte - eine neutrale Rolle einnimmt, ist nach § 7 Abs. 2, § 10 Satz 1 Nr. 1 TMG**** eingeschränkt. Er haftet nur dann für die unwahren Tatsachenbehauptungen des Dritten, wenn er spezifische Prüfungspflichten verletzt hat, deren Intensität sich nach den Umständen des Einzelfalls richtet. Dazu zählen die Zumutbarkeit der Prüfungspflichten und die Erkennbarkeit der Rechtsverletzung. Hierbei darf einem Diensteanbieter keine Prüfungspflicht auferlegt werden, die sein Geschäftsmodell wirtschaftlich gefährdet oder seine Tätigkeit unverhältnismäßig erschwert. Die Beklagte hat danach keine spezifische Prüfungspflicht verletzt. Eine inhaltliche Vorabprüfung der Nutzerbewertungen ist ihr nicht zumutbar. Eine Haftung auf Unterlassung besteht in einem solchen Fall erst, wenn der Betreiber eines Internetportals Kenntnis von einer klaren Rechtsverletzung erlangt und sie gleichwohl nicht beseitigt. Dieser Pflicht hat die Beklagte genügt und deshalb auch keine wettbewerblichen Verkehrspflichten im Sinne des § 3 Abs. 1 UWG verletzt. Im Streitfall bestehen auch keine Anhaltspunkte dafür, dass die Beklagte ein hochgradig gefährliches Geschäftsmodell betreibt, das besondere Prüfungspflichten auslöst. 
Quelle: BGH
Update 12.05.2016: Siehe auch BGH 01.03.2016, VI ZR 34/15 - jameda.de (Arztbewertungsportal)

18.03.2015

GDPR: Presidency' s note to DAPIX regarding edited Chapters III and VIII

Note from the Presidency to DAPIX containing a revised text of Chapter III and
VIII covering R"ights of the Data Subject" as well as  "Remedies, Liability and Sanctions":
Following the discussions at the DAPIX meetings of 9-11, 24, 29-30 April and 13 -14 May 2013
relating to Chapter III and of 23-24 September and 28-29 October 2013 relating to Chapter VIII and
in light of the partial general approach on Chapter II, VI and VII reached at the JHA Council
meeting on 13 March 2015, the Presidency has made some changes to the text of Chapter III and
VIII, which are highlighted in the Annex in bold underlined.
Chapter III in its entirety was last discussed under the Irish Presidency and Chapter VIII in its
entirety under the Lithuanian Presidency. Article 17 on the right to be forgotten in light of the
Google case was discussed under the Italian Presidency (11289/1/14 REV 1), Article 20 on profiling
(10617/14) and Article 18 on data portability (10614/14) were discussed under the Hellenic
Presidency. Article 21 as well as the corresponding recital 59 were part of the partial general
approach on the flexibility of the public sector that was reached in December 2014. Recitals 111-113 were part of the partial general approach on the One-Stop Shop.[...]
Source: Statewatch; also very informative Statewatch Analysis: Second version: The Proposed Data Protection Regulation: What has the Council agreed so far? (pdf) by Steve Peers, Professor of Law, University of Essex

13.03.2015

GDPR: EU Council - Partial general approach on one-stop-shop & principles of data protection

The Council of the European Union - Justice and Home Affairs (JHA) has agreed on compromise texts regarding a one-stop-shop (OSS; Chapters VI and VII) mechanism as well as Chapter II (Principles relating to personal data processing).
However, one has to mention the "escape clause" contained in the texts which reads as follows:
"The Council is therefore invited to agree on a partial general approach on Chapters VI and VII [as well as Chapter II] at its meeting on 13 March 2015 on the following understanding:
i. such partial general approach is to be reached on the understanding that nothing is agreed until everything is agreed and does not exclude future changes to be made to the text of the provisionally agreed Articles to ensure the overall coherence of the Regulation;
ii. such partial general approach is without prejudice to any horizontal question;
and iii. such partial general approach does not mandate the Presidency to engage in informal trilogues with the European Parliament on the text."

10.03.2015

LobbyPlag.eu publishes classified EU documents on the EU data protection reform

LobbyPlag.eu obtained about 11.000 pages of classified EU documents and a number of classified German diplomatic cables on the EU data protection reform. In addition to publishing many of the documents, LobbyPlag.eu also shows which national governments are working on lowering or raising data protection laws in Europe.
Source: LobbyPlag.eu

Österreich: Parlamentarische Anfrage zur Datenschutzbehörde

Schriftliche Anfrage der Abgeordneten Mag. Nikolaus Alm, Kolleginnen und Kollegen an den Bundesminister für Kunst und Kultur, Verfassung und Medien betreffend HEAT (Handlungskatalog zur Evaluierung von Anti-Terror-Gesetzen) - Anfrage zur Datenschutzbehörde (4011/J):
1.    Ist die Datenschutzbehörde quantitativ und qualitativ in ausreichendem Maße zur Erfüllung der ihr gesetzlich aufgetragenen Aufgaben ausgestattet?
a.    Wenn ja, woran machen Sie das konkret fest?
b.    Wenn nein, wieso nicht?
2.    Ist eine Aufstockung der finanziellen Mittel der Behörde geplant?
a.    Wenn ja, für wann und in welcher Höhe?
3.    Ist eine personelle Aufstockung der Behörde geplant?
a.    Wenn ja, für wann und in welcher Höhe?

Anmerkung: Diese Anfrage ist eine von vielen, die unter dem Projekt „Handlungskatalog zur Evaluierung von Anti-Terror-Gesetzen“(kurz: HEAT) des AKVorrat gestellt wurden.

08.03.2015

GDPR: Presidency proposes compromise text (Chapter II)

Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter II (dated 4 March 2015, pdf):
Background
1. Following the discussions at the DAPIX meeting of 5-6 February 2015 and the JHA Counsellors meetings of 23 February and 2 March 20151, the Presidency has made a number of further changes to the text of Chapter II. The latest changes are highlighted in the annex in bold underlined text.
2. The Presidency is of the opinion that the text set out in the Annex is the best possible compromise taking into account the various positions of delegations.
3. COREPER is therefore invited to suggest to the Council to agree on a partial general approach on Chapter II, as set out in the Annex to tho this note, at its meeting of 13 March 2015 on the following understanding: [...]
Source: Statewatch

04.03.2015

GDPR: Privacy NGOs' analysis of leaked and recent texts tabled by the Council

Four digital rights and privacy NGOs, EDRi, Access, Panoptykon Foundation, and Privacy
International have produced an analysis of leaked and recent [General Data Protection Regulation] texts tabled by the Council through short one pagers highlighting the most problematic issues.
For more, including newly leaked documents, visit EDRi and Access.

Report for the Belgian Privacy Commission: A critical analysis of Facebook’s Revised T&Cs

In December 2014, Facebook announced that it would revise its Data Use Policy and Terms of Service. [...] At the request of the Belgian Privacy Commission, ICRI/CIR and iMinds-SMIT drafted a report [entitled "From social media service to advertising network - A critical analysis of Facebook’s Revised Policies and Termsanalysing Facebook’s revised policies and terms"]. The report forms part of the documentation upon which the Privacy Commission will rely in the course of its further investigation. [...]
Source: SPION announcement; see also The Register: "Belgium will drag Facebook to court if it has to – privacy minister"
31.03.2015: Updated link to report V1.2.

02.03.2015

EGMR: Verwendung einer versteckten Kamera durch Journalisten

In its Chamber judgment issued on 24.2.2015 in the case of Haldimann and Others v. Switzerland
(application no. 21830/09), the European Court of Human Rights held, by a majority, that there had
been:
A violation of Article 10 (freedom of expression) of the European Convention on Human Rights.
The case concerned the conviction of four journalists for having recorded and broadcast an
interview of a private insurance broker using a hidden camera, as part of a television documentary
intended to denounce the misleading advice provided by insurance brokers.
In this case, the Court was for the first time called on to examine an application concerning the use
of hidden cameras by journalists to provide public information on a subject of general interest,
whereby the person filmed was targeted not in any personal capacity but as a representative of a
particular professional category.
The Court considered that the interference in the private life of the broker, who had turned down an
opportunity to express his views on the interview in question, had not been serious enough to
override the public interest in information on malpractice in the field of insurance brokerage.
Source: ECHR press release (pdf)

ENISA: Report on Security Framework for Governmental Clouds

ENISA after having analysed the present state of play of governmental Cloud deployment in 2013 report, presents a guide on the steps public administration has to take to deploy cloud computing. This report gives guidance on the process from pre-procurement till finalisation and exit from a cloud contract, explaining which are the steps to take when focusing on security and privacy. It offers example approaches, based on four already deployed governmental cloud models in a national level namely: Estonia, Greece, Spain and United Kingdom. As this report is not only a guide but also a tool, in the Annex the reader will find the actual questionnaire template to use.
Taken from the report: [...] The main security challenges, requirements and barriers in the cloudification of governmental services are related to: data protection and compliance, interoperability and data portability,
identity and access management, auditing, adaptability and availability, as well as risk management and detailed security SLA formalization. [...]

Buch-Vorankündigung: Jahnel, Datenschutzrecht – Update

Das "Standardwerk des österreichischen Datenschutzrechts" erhält im Juni 2015 ein Update:
Dietmar Jahnel, Datenschutzrecht – Update 
Publikationsdatum: 15.06.2015, Buchumfang: ca. 150 Seiten
Einband: Festeinband, Format: 17 x 24
ISBN: 978-3-7097-0059-4