29.04.2015

Amazon-AGB: OGH legt EuGH u.a. Frage zum anwendbaren Datenschutzrecht (Art 4 Abs 1 DSRL) vor

OGH 09.04.2015, 2 Ob 204/14k (Pressemeldung OGH)
A. Dem Gerichtshof der Europäischen Union werden folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist das auf eine Unterlassungsklage im Sinne der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen anzuwendende Recht nach Art 4 der Verordnung (EG) 864/2007 des europäischen Parlaments und des Rates vom 11. Juli 2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht (Rom II-VO) zu bestimmen, wenn sich die Klage gegen die Verwendung unzulässiger Vertragsklauseln durch ein in einem Mitgliedstaat ansässiges Unternehmen richtet, das im elektronischen Geschäftsverkehr Verträge mit Verbrauchern abschließt, die in anderen Mitgliedstaaten, insbesondere im Staat des angerufenen Gerichts, ansässig sind?
[...]
4. Unabhängig von der Antwort auf die vorstehenden Fragen:
[...] 4.2. Unterliegt die Verarbeitung personenbezogener Daten durch ein Unternehmen, das im elektronischen Geschäftsverkehr mit Verbrauchern, die in anderen Mitgliedstaaten ansässig sind, Verträge abschließt, nach Art 4 Abs 1 lit a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr unabhängig vom sonst anwendbaren Recht ausschließlich dem Recht jenes Mitgliedstaats, in dem sich die Niederlassung des Unternehmens befindet, in deren Rahmen die Verarbeitung stattfindet, oder hat das Unternehmen auch die Datenschutzvorschriften jener Mitgliedstaaten zu beachten, auf die es seine Geschäftstätigkeit ausrichtet?
B. Das Rekursverfahren wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß § 90a Abs 1 GOG ausgesetzt.
[...]
[zu] Frage 4.2 (Beachtung datenschutzrechtlicher Normen):
Bestimmte unionsrechtliche Richtlinien verfolgen das Ziel, den räumlichen Anwendungsbereich aller oder einzelner Sachvorschriften der Richtlinie in dieser selbst festzulegen (Unionsprivatrecht berufende Unionskollisions-normen). So haben nach Art 4 Abs 1 der RL 95/46 die Mitgliedstaaten die Normen zum Schutz natürlicher Personen, die sie zur Umsetzung dieser Richtlinie erlassen, auf alle Verarbeitungen personenbezogener Daten anzuwenden, die auf ihrem Hoheitsgebiet erfolgen, sei es physisch oder dadurch, dass der die Verarbeitung verantwortlich Veranlassende in ihrem Hoheitsgebiet niedergelassen ist. Anwendbar ist das einschlägige, die Datenschutzrichtlinie umsetzende Recht des Mitgliedstaats, in dem die Verarbeitung der personenbezogenen Daten erfolgt (Kreuzer/Wagner/Reder in Dauses, EU-Wirtschaftsrecht Rn 75). Schon deshalb erscheint eine Bezugnahme auf das im Unionsrecht geregelte internationale Privatrecht (Rom II-VO oder Rom I-VO) im Bereich der datenschutzrechtlichen Bestimmungen ausgeschlossen, was durch den öffentlich-rechtlichen Charakter des Datenschutzrechts verstärkt wird. Zudem berühren weder Rom II-VO (vgl Art 27) noch Rom I-VO (Art 23) die Anwendung unionsrechtlicher Vorschriften, die für besondere Gegenstände Kollisionsnormen enthalten.
Nach Ansicht des Senats sind die datenschutzrechtlichen Fragen in den Klauseln 6, 9 und 11 daher nach dem Recht des Staats zu beurteilen, in dem das beklagte Unternehmen seinen Sitz hat. Der Europäische Gerichtshof wird auch hier um Klarstellung der Rechtslage ersucht. [...]

26.04.2015

GDPR: Synopsis comparing Commission's, EP's and Council's proposals

Synopsis of GDPR drafts: Consolidated version of  March 2015 (the document is dated 21 April 2015, 630 pages, pdf). This is a multi-column document comparing the Commission's initial proposal and the positions of the European Parliament and of the Council with a fourth column for comments/compromise/suggestions.
Source; Statewatch; siehe auch hier: Synopse der [Anm.: Entwürfe für eine] Europäischen Datenschutzgrundverordnung

25.04.2015

BRD: BfDI veröffentlicht Mindestanforderungen zur Stellung der behördlichen Datenschutzbeauftragten

Mit den heute [Anm.: 21.04.2015] veröffentlichten Mindestanforderungen ["Mindestanforderungen an die Organisation und Aufgabenbeschreibung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung"; pdf] gibt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erstmals einheitliche Standards für die Stellung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung vor. Diese sollen die Funktionsträger in ihrem Amt stärken und in der Praxis aufgetretenen Problemen begegnen.
[...] Durch die Mindestanforderungen reagiert die Bundesbeauftragte auf die höchst unterschiedliche Ausgestaltung der organisatorischen Stellung und der Arbeitsbedingungen behördlicher Datenschutzbeauftragter in der Bundesverwaltung. Sie konkretisieren die geltenden gesetzlichen Vorgaben des Bundesdatenschutzgesetzes, um eine einheitliche Umsetzung der Anforderungen an die Organisation und Aufgabenbeschreibung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung zu gewährleisten. [...]
Quelle: Pressemeldung BfDI

Art. 29 WP: 100th Plenary Meeting

The European data protection authorities assembled in the Article 29 Working Party (WP29) met on 14 and 15 April 2015 for its 100th plenary meeting.
During this meeting, the European data protection authorities addressed several topics such as
[excerpts follow]: The Data Protection Reform, Facebook Terms of Services, Remotely Piloted Aircraft Systems (Drones), APEC BCR/CBPR, Opinion on applicable law (WP179).
Members of the WP29 also discussed on topics like data retention, BCR for processors, Cloud Computing Code of Conduct, PNR EU and PNR Mexico, the Regulation on electronic identification and trust services for electronic transactions in the internal market and IOSCO
. [...]
Source: Press release (pdf)

18.04.2015

Ö: Begutachtungsentwurf - Änderung der Standard- und Muster-Verordnung 2004 (StMV-Novelle 2015)

Begutachtungsentwurf: Verordnung des Bundesministers für Kunst und Kultur, Verfassung und Medien, mit der die Standard- und Muster-Verordnung 2004 geändert wird (StMV-Novelle 2015), Ende der Begutachtungsfrist 08.05.2015
Aus den Erläuterungen:
- Änderung der Standard- und Muster-Verordnung 2004
Eine Vielzahl von Auftraggebern (zB Kredit- und Finanzinstitute) hat nach besonderen gesetzlichen Bestimmungen (zB § 41 Abs. 1 Bankwesengesetz – BWG, BGBl. Nr. 532/1993) bei Verdacht oder bei einem berechtigten Grund zur Annahme, dass Geldwäscherei oder Terrorismusfinanzierung vorliegt, eine Meldung an die Geldwäschemeldestelle (§ 4 Abs. 2 des Bundeskriminalamt-Gesetzes – BKA-G, BGBl. I Nr. 22/2002) zu erstatten oder diesbezüglich Auskünfte (zB § 41 Abs. 2 BWG) zu erteilen.
Nachdem diese Datenanwendung von vielen Auftraggebern in gleichartiger Art und Weise und ohne besonderes Gefährdungspotential vorgenommen wird, soll diese Datenanwendung durch Schaffung einer eigenen Standardanwendung „SA037 Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung“ in der StMV 2004 von der Meldepflicht an das Datenverarbeitungsregister nach den §§ 17 f DSG 2000 ausgenommen werden.
[...]
Die geplante Novelle steht, neben anderen TOPs, auch auf der vorläufigen Tagesordnung des Datenschutzrates für den 24.4.2015.

13.04.2015

ENISA: Cloud computing security risks and opportunities for SMEs

ENISA: Cloud Security Guide for SMEs, Cloud computing security risks and opportunities for SMEs (pdf)
[...] In this document we highlight 11 important security risks and 11 important security opportunities SMEs should take into account when procuring a cloud service. We also provide a list of 12 security questions SMEs can use to understand the security features of cloud services in the market. [...]

VfGH: ELGA-G - Anträge gegen Speicherpflicht u. Vernetzung v. Gesundheitsdaten unzulässig

VfGH 02.03.2015, G 140/2014-15, G 159/2014-12 (pdf)
[...] 3. In der Sache bringen die Antragsteller auf das Wesentlichste zusammengefasst vor, dass durch die mit dem ELGA-G angeordnete Pflicht zur elektronischen Speicherung von gesundheitsbezogenen Daten und deren Vernetzung die von der Speicherung Betroffenen – zu denen auch die Antragsteller zählten – ihr "Selbstbestimmungsrecht" über diese sensiblen Daten verlören. Es fehle an einer bundesverfassungsrechtlichen Gesetzgebungskompetenz für den Bund, auf die das ELGA-G gestützt werden könne. Das ELGA-G greife in seiner Gesamtheit in unzulässiger Weise in das Grundrecht auf Datenschutz (§ 1 Datenschutzgesetz 2000, Art. 8 EMRK) und in die verfassungsgesetzlich gewährleisteten Rechte auf Unversehrtheit des Eigentums und auf Freiheit der Erwerbsbetätigung ein. Die einzelnen "Anfechtungspunkte" der Anträge bezögen sich nicht alleine auf einige wenige, im Einzelnen identifizierbare Bestimmungen des ELGA-G, sondern es folgten die grundrechtlichen Bedenken aus den Lücken gegenüber jenen Mindeststandards, die verfassungsrechtlich durch § 1 Datenschutzgesetz 2000 und Art. 8 Abs. 2 EMRK gefordert seien sowie "aus den evidenten, weder sachlich noch durch ein öffentliches Interesse gerechtfertigten Eingriffen in die Grundrechte auf Unversehrtheit des Eigentums [und] auf Erwerbsausübungsfreiheit". Aus diesem Grund werde das gesamte ELGA-G angefochten, weil ein konkreter Sitz der vom Gesetzgeber jeweils beabsichtigten Lücke und damit der Widerspruch zu § 1 Datenschutzgesetz 2000 bzw. Art. 8 Abs. 2 EMRK nicht genau im Gesetzestext lokalisiert werden könne. [...]
Der Verfassungsgerichtshof hat über die in sinngemäßer Anwendung der §§ 187 und 404 ZPO iVm § 35 Abs. 1 VfGG zur gemeinsamen Beratung und Entscheidung verbundenen Anträge erwogen:
1. Die Anträge sind unzulässig. [...]
6. Die Anträge sind daher schon aus den genannten Gründen gemäß § 19 Abs. 4 VfGG in nichtöffentlicher Sitzung als unzulässig zurückzuweisen. [...]

09.04.2015

Ö: Aufsatz zum "Sonderdatenschutz in der Gerichtsbarkeit" (§§ 83 ff GOG)

RA Hon.Prof. Dr. Thiele, Datenpanne in der Justiz - Schlaglicht auf den Sonderdatenschutz in der Gerichtsbarkeit, ZIR 2015, 27 ff,  ua mit einer Diskussion zu "allgemein verfügbaren Daten" (siehe zur E des OGH im Blog hier)

BRD: HmbBfDI - Erlass eines Widerspruchsbescheids gegen Google Inc.

Aus der Pressemeldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat mit Erlass eines Widerspruchsbescheids das im vergangenen Jahr in die Wege geleitete Verwaltungsverfahren gegen die Google Inc. beendet. Das Unternehmen wird damit verpflichtet, die notwendigen Änderungen vorzunehmen, um die Verarbeitung der Daten seiner deutschen Nutzer auf eine zulässige Rechtsgrundlage zu stellen. Google muss danach die Daten, die bei der Nutzung der unterschiedlichen Dienste des Unternehmens anfallen und zu Profilen kombiniert werden, auf das zulässige Maß begrenzen oder die Nutzer um entsprechende zusätzliche Einwilligungen bitten.
Die dem Widerspruchsbescheid zugrundeliegende Anordnung wurde vom Hamburgischen Datenschutzbeauftragten im September 2014 erlassen. Grund dafür waren die von Google 2012 in Kraft gesetzten neuen Datenschutzbestimmungen, in denen Google mitteilt, Dienste übergreifend die Daten der Nutzer ohne deren Einwilligung zu umfassenden Profilen zusammenzuführen.
Gegen diese Anordnung hat Google Widerspruch eingelegt, der nun abschließend beschieden wurde. Dabei wurden zwar einige der von Google vorgebrachten rechtsförmlichen Einwände aufgegriffen und die Anordnung insoweit angepasst, in der Hauptsache wurde der Widerspruch aber zurückgewiesen. Die Anordnung wird nun rechtskräftig, wenn das Unternehmen nicht innerhalb von einem Monat Klage beim Verwaltungsgericht gegen sie erhebt. 
Google hat jedoch bereits jetzt dem Hamburgischen Datenschutzbeauftragten und weiteren europäischen Datenschutzbehörden gegenüber signalisiert, dass substantielle Änderungen an den Diensten erfolgen sollen, um die Anforderungen des Datenschutzrechts zu erfüllen. [...]

Update: German privacy regulator orders Google to limit its use of customers’ data

Newsletter 02/2015 der österr. Datenschutzbehörde erschienen

Der "DSB-Newsletter" 02/2015 (pdf] der österreichischen Datenschutzbehörde (DSB) wurde gestern verschickt, auf der Website ist er offenbar (noch) nicht verfügbar [Update]. Dieser enthält u.a. einen Überblick zum sog "Kontroll- und Ombudsmannverfahren" gem § 30 DSG 2000, zum Verhältnis zwischen Auskunftsrecht und beruflicher Verschwiegenheitspflicht (§ 9 RAO). Näheres zur Newsletter-Bestellung hier.

07.04.2015

Global Privacy Enforcement Network (GPEN) releases 2014 annual report

The Global Privacy Enforcement Network (GPEN) released its annual report for 2014 today highlighting an increased size and level of participation, and in particular:
  • Substantial enhancements to the online cooperation platform.
  • 15 additional authorities joined the network in 2014 including new members from Africa, Asia and Latin America.
  • 18 teleconferences were held in the Atlantic and Pacific regions connecting authorities to share experience and build expertise.
  • A major cooperative sweep of online mobile apps examined the privacy practices of over 1200 apps. [...]
Source: GPEN press release

BRD: Dissertation - Die Einwilligung im Internet

von Zimmermann, Georg: Die Einwilligung im Internet, Berlin 2014 (zugl. Diss. Univ. Göttingen), Volltext abrufbar unter interneteinwilligung.de (via Dr. T. Helbing)

CoE: Recommendations on the free flow of information and processing of personal data in the employment context

  • Recommendation CM/Rec(2015)6 of the Committee of Ministers to member States on the free, transboundary flow of information on the Internet (Adopted by the Committee of Ministers on 1 April 2015, at the 1224th meeting of the Ministers’ Deputies):
[...] 5.1. When national policies and commercial activities interfere with Internet traffic beyond a State’s boundaries, the parties concerned may not have standing to raise their grievances within that State. States should ensure that structures and procedures exist for hearing and resolving the grievances of these parties. In this regard, States should engage in international dialogue to progressively develop shared understandings, international standards and norms and to adhere to best practices with regard to applicable law and competent jurisdiction in cases where competing (conflicting) laws apply to freedom of expression and access to information.
[...]  5.3. In relation to services that store or process information in remote locations, States should safeguard the right to personal data protection in accordance with Convention 108 and the right to respect for private and family life in compliance with Article 8 of the ECHR. This is also important for the full exercise of the rights guaranteed in Articles 10 and 11 of the ECHR. Regarding such services, States should also engage in international dialogue to develop shared norms, practices and understandings to address questions about jurisdiction and applicable law. [...]
  • Recommendation CM/Rec(2015)5 of the Committee of Ministers to member States on the processing of personal data in the context of employment (including "Use of Internet and electronic communications in the workplace", "Information systems and technologies for the monitoring of employees, including video surveillance" etc.)