26.05.2015

EDPS: Mobile Health - Reconciling technological innovation with data protection

European Data Protection Supervisor, Opinion 1/2015 - Mobile Health [pdf], Reconciling technological innovation with data protection; from the Executive Summary:
[...] The development of mHealth has great potential for improving healthcare and the lives of individuals. In addition, Big Data, together with the "Internet of Things" is expected to have a significant impact on mHealth because of the volume of information available and the quality of inferences that may be drawn from such information. It is expected to provide new insights for medical research and it might also reduce costs and simplify patient´s recourse to healthcare.
At the same time, it is necessary to protect individuals’ dignity and fundamental rights, particularly those of privacy and data protection. The wide use of Big Data can reduce users´ control over their personal information. This is partly due to the huge unbalance between the limited information available to people and the extensive information available to entities which offer products involving the processing of this personal information. We believe that the following measures relating to mHealth would bring about substantial benefits in the field of data protection:
  • the EU legislator should, in future policy making measures in the field of mHealth, foster accountability and allocation of responsibility of those involved in the design, supply and functioning of apps (including designers and device manufacturers);
  • app designers and publishers should design devices and apps to increase transparency and the level of information provided to individuals in relation to processing of their data and avoid collecting more data than is needed to perform the expected function. They should do so by embedding privacy and data protection settings in the design and by making them applicable by default, in case individuals are not invited to set their data protection options manually, for instance when installing apps on their smart devices; 
  • industry should use Big data in mHealth for purposes that are beneficial to the individuals and avoid using them for practices that could cause them harm, such as discriminatory profiling; and 
  • the legislator should enhance data security and encourage the application of privacy by design and by default through privacy engineering and the development of building blocks and tools. [...]
See also EDPS' press release.

24.05.2015

Australian Privacy Commissioner: Metadata can constitute personal information

An interesting case from "Down-under" ...
Ben Grubb and Telstra Corporation Limited [2015] AICmr 35 (1 May 2015)
[...] 102. I am consequently of the view that the metadata Telstra holds in connection with an individual which permits that individual’s identity to reasonably be ascertained from that metadata constitutes the personal information of that individual under the Privacy Act.
103. I therefore find that in the present set of circumstances, the metadata held by Telstra to which it refuses to give the complainant access (the so named ‘network data’) constitutes the complainant’s personal information under the Privacy Act. [...]

OGH: EuGH-Vorlage - Inkassobüros als „Kreditvermittler“ iSd Art 3 lit f RL 2008/48/EG?

OGH 17.2.2015, 4 Ob 199/14iSpruch 
A. Dem Gerichtshof der Europäischen Union werden folgende Fragen zur Vorabentscheidung vorgelegt:
1. Wird ein Inkassobüro, das im Zusammenhang mit dem gewerbsmäßigen Eintreiben von Forderungen im Namen seiner Auftraggeber deren Schuldnern den Abschluss von Ratenvereinbarungen anbietet, wobei es für seine Tätigkeit Spesen verrechnet, die letztlich von den Schuldnern zu tragen sind, als „Kreditvermittler“ im Sinn von Art 3 lit f der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates tätig?
2. Wenn Frage 1 bejaht wird:
Ist eine Ratenvereinbarung, die über Vermittlung eines Inkassobüros zwischen einem Schuldner und dessen Gläubiger geschlossen wird, eine „unentgeltliche Stundung“ im Sinn von Art 2 Abs 2 lit j RL 2008/48/EG, wenn sich der Schuldner darin lediglich zur Zahlung der offenen Forderung sowie von solchen Zinsen und Kosten verpflichtet, die er wegen seines Verzugs ohnehin aufgrund des Gesetzes - also auch ohne solche Vereinbarung - zu zahlen gehabt hätte?
B. Das Revisionsverfahren wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß § 90a Abs 1 GOG ausgesetzt.
[...]
Mehr dazu beim VKI.

18.05.2015

Belgian Privacy Commission issues Recommendation to Facebook regarding cookies etc.

Somewhat older:
The (Belgian) Commission for the Protection of Privacy: Recommendation no. 04/2015 of 13th May 2015 (pdf; unofficial English translation):
[...] 5. Applicable law and the Belgian Privacy Commission's competence
35. As shown below, it is undeniable that the Privacy Commission has the competence – granted to it by the Privacy Act and Directive 95/46/EC – to take measures against the processing of personal data by Facebook which are the object of this recommendation, since the Privacy Act is the applicable law in the light of article 4, § 1, a) of Directive 95/46/EC and the Judgment of 13 May 2014 of the European Court of Justice (CJEU) in the case Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González (C-131/12).
36. Even if the applicability of the Privacy Act was contested based on the application of article 4, § 1, a) of Directive 95/46/EC and article 3bis, paragraph 1, 1° of the Privacy Act, the Privacy Act would nevertheless remain applicable taking into account article 4, § 1, c) of the Directive, which is examined in the alternative. [...]
The Commission for the Protection of Privacy, Based on the competence it has been granted and on the law of Belgium and the European Union
Recommends:
To Facebook

  • Facebook must provide full transparency about the use of cookies. For each cookie separately, Facebook must specify its content (such as unique identifiers, language settings, etc.) and its purpose (such as advertising, security etc.). These descriptions must always be kept up-to-date and be offered to users of Facebook services in an readily accessible way.
  • Facebook must refrain from systematically placing long-life and unique identifier cookies with non-users of Facebook, as well as from collecting and using data by means of social plug-ins unless it obtains the data subjects' unambiguous and specific consent through an opt-in and to the extent that this is strictly necessary for legitimate purposes. Both deactivated users and users who have logged out must be treated like non-users in this context.
  • Facebook must refrain from collecting and using the data of Facebook users by means of cookies and social plug-ins, except when (and only to the extent that) this is strictly necessary for a service explicitly requested by the user or unless it obtains the data subjects' unambiguous and specific consent through an opt-in since working with an opt-out does not result in unambiguous consent. [...]

05.05.2015

Guide to the Proposed EU General Data Protection Regulation

At IAPP's Europe Data Protection Intensive 2015 in London, I recently got hold of a printed copy of the following guide which I can recommend, the visual design is really great:
Hunton & Williams’ EU Privacy and Cybersecurity practice lawyers recently authored The Proposed EU General Data Protection Regulation – A guide for in-house lawyers (pdf; the “Guide”), addressing the key impacts of the forthcoming changes to EU data protection law. [...] The Guide is intended to assist in-house lawyers in understanding the likely impact of the Regulation on businesses. [...]
Source: Hunton & Williams

USA: DOJ issues "Best Practices for Victim Response and Reporting of Cyber Incidents"

Best Practices for Victim Response and Reporting of Cyber Incidents
[...] This “best practices” document was drafted by the Cybersecurity Unit to assist organizations in preparing a cyber incident response plan and, more generally, in preparing to respond to a cyber incident. It reflects lessons learned by federal prosecutors while handling cyber investigations and prosecutions, including information about how cyber criminals’ tactics and tradecraft can thwart recovery. It also incorporates input from private sector companies that have managed cyber incidents. It was drafted with smaller, less well-resourced organizations in mind; however, even larger organizations with more experience in handling cyber incidents may benefit from it. [...]

BRD: Bundesarbeitsgericht zur Veröffentlichung von AN-Videoaufnahmen durch AG

Bundesarbeitsgericht 11.12.2014, 8 AZR 1010/13:
Antlicher Leitsatz: Die nach § 22 KUG für die Veröffentlichung von ihren Bildnissen erforderliche Einwilligung der Arbeitnehmer muss schriftlich erfolgen.
Interessant ist, dass das BAG die Abgabe einer datenschutzrechtlichen Einwilligung (nach österreichischer Terminologie: "Zustimmung") des Arbeitnehmers im bestehenden Arbeitsverhältnis für möglich (und offenbar zulässig) hält:
32 aa) Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei. [...]
Siehe auch hier bei RA Stadler.
Update: Siehe auch das Urteil BAG 19.2.2015, 8 AZR 1011/13;
Besprechung der Urteile aus österr. Sicht, insbesondere zu Mitarbeiterfotos, durch Thiele, Die Trias von § 16 ABGB, § 78 UrhG und Datenschutz - Zum Verhältnis von Persönlichkeits-, Bildnis- und Datenschutz in der österreichischen Rechtsordnung, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 15 (2015) 49.

Scope of ‘makes use of equipment’ for the purposes of Article 4 of Directive 95/46

For my legal memory, another case inter alia touching upon Article 4 (1) of Directive 95/46/EC:
CJEU Case C-192/15 - Rease und Wullems
Questions Referred (unofficial translation by EU Law Radar of the questions asked by the Dutch Council of State):
1. Where a detective agency based in the EU receives a commission from a data controller, as defined in Article 2 and Article 2(d) of the Directive … from outside the EU to deploy equipment for the processing of personal data on the territory of a Member State, does this fall within the scope of ‘makes use of equipment’ for the purposes of Article 4(1) and Article 4(1)(c) of the Directive?
2. When it comes to enforcing an individual’s rights and protections enshrined in the Directive, and in light of the aim of the Directive, does the Directive and Articles 28(3) and (4) in particular, permit national authorities to allow the national supervisory authority to set priorities which lead to a situation in which it will not follow up a complaint about the Directive being infringed if that complaint originates from only one individual, or only a small group of individuals?

Source and more, including comments in the light of CJEU's case law, on this case: EU Law Radar

OGH: Software-Lizenzvertrag ist als Bestandvertrag zu qualifizieren

OGH 22.01.2015, 1 Ob 229/14d
[...] 2. Die rechtliche Qualifikation des Softwareüberlassungsvertrags ist strittig (Aicher in Rummel³ § 1053 ABGB Rz 52; Verschraegen in Kletečka/Schauer, ABGB-ON1.02 § 1053 Rz 39; Binder/Spitzer, Schwimann/Kodek, ABGB4 § 1053 Rz 27; M. Walter, MR 2012, 334 [338 f] [Anmerkung zu OLG Linz 2 R 72/12i]; Staudegger, Rechtsfragen beim Erwerb von IT-Systemen, in Jahnel/Mader/Staudegger, IT-Recht³ [2012], 135 [141 ff]). Die Rechtsprechung qualifiziert die dauerhafte Überlassung von Standardsoftware gegen Zahlung eines einmaligen Entgelts als Kaufvertrag (RIS-Justiz RS0108702). Dies gilt nach einer Entscheidung allgemein für Softwareüberlassungsverträge, bei denen der Vertragszweck in der unbeschränkten und unbefristeten Verwendung der Software besteht und die Eigentumsübertragung dem Willen der Parteien entspricht (9 Ob 76/10g = RIS-Justiz RS0108702 [T3] = jusIT 2011/41, 89 [Staudegger]). Dagegen ist die Lieferung von Individualsoftware, also einer solchen, die speziell auf die besonderen Bedürfnisse und individuellen Umstände und Wünsche eines Bestellers ausgerichtet ist, als Werkvertrag zu beurteilen (5 Ob 111/12b mwN = MR 2012, 341 [Blaha] = jusIT 2013/3, 6 [zust Staudegger] = EvBl-LS 2013/28 [Brenn]). Nach der Lehre (Aicher aaO; Verschraegen aaO; Appl in MR 2010, 211 [213] [Anmerkung zu 1 Ob 145/08t]; vgl Staudegger, Rechtsfragen 150 f, die Software aus technischer Sicht zwar als unverbrauchbare Sache wertet, dies aus ökonomischer Sicht aber wegen der kurzen Lebenszyklen marktüblicher Software als fraglich erachtet) liegt ein Lizenzvertrag vor, auf den die bestandvertraglichen Regelungen entsprechend anzuwenden sind, wenn dem Erwerber der Software die Nutzung auf bestimmte oder unbestimmte Zeit mit Kündigungsmöglichkeit und Rückgabeverpflichtung überlassen wird (Dauerschuldverhältnis).
3. Die Vereinbarung über die Nutzung des weiterhin im Eigentum der Klägerin stehenden Software-Pakets, das mit einem Buchhaltungsprogramm verknüpft ist, gegen Zahlung eines monatlichen Entgelts ist als Dauerschuldverhältnis im Sinn eines Bestandvertrags zu werten. Die Klägerin überlässt hier ja der Beklagten die Software nicht zur freien Verfügung, sondern räumt ihr nur auf unbestimmte Zeit ein Nutzungs- und Bearbeitungsrecht ein. [...]
4.1. Im Bestandrecht ist wie auch im allgemeinen Gewährleistungsrecht von einem subjektiven (konkreten) Mangelbegriff (Konzept des vertraglich Geschuldeten) auszugehen. Die Gebrauchsüberlassung ist (nur) dann als mangelhaft zu beurteilen, wenn sie hinter der vertraglich vereinbarten Brauchbarkeit zurückbleibt (Riss in Kletečka/Schauer, ABGB-ON1.01 § 1096 Rz 26 mwN). Als brauchbar im Sinn des § 1096 Abs 1 erster Satz ABGB wird nach der Rechtsprechung eine Bestandsache dann angesehen, wenn sie eine solche Verwendung zulässt, wie sie (gewöhnlich) nach dem Vertragszweck erforderlich ist und nach der Verkehrssitte erfolgt, wobei - mangels anderer Vereinbarung - eine mittlere (durchschnittliche) Brauchbarkeit ausreicht (RIS-Justiz RS0020926; vgl 2 Ob 215/10x = SZ 2012/20 = RIS-Justiz RS0021054 [T7]). Bei nicht gehöriger Erfüllung dieser Pflichten wird der Bestandnehmer gemäß § 1096 Abs 1 Satz 2 ABGB ex lege ganz oder teilweise von seiner Pflicht zur Zinszahlung befreit. In dieser Regelung wird nach herrschender Auffassung eine Gewährleistungsbestimmung besonderer Art gesehen (RIS-Justiz RS0021326; 1 Ob 206/09i = RIS-Justiz RS0021286 [T7]; Iro in KBB4 § 1096 ABGB Rz 9). [...]