29.07.2015

GDPR Trilogue: Current state of play

[...] 2. With a view to preparing the next trilogue, the Presidency invites delegations to discuss
‐ Chapter II – Principles (Articles 5 – 10)
‐ Relevant definitions in Article 4, in particular definitions (3b) and (2a) (EP), (8), (10), (11), (12) and (20)
‐ Relevant recitals: 23a; 23c; 24; 25; 25a; 25aa; 26; 28, 29, 30; 31; 31a; 32; 33; 34; 35; 35a; 36; 37; 38, 38a; 39; 39a (EP); 39b (EP); 40; 41; 42; 42a;42b; 43; 44; 45

[...]
3. While underlining that the General Approach reached by Council on 15th June 2015 constitutes the basis of the Presidency’s negotiation mandate, and taking into account the position of the European Parliament on Chapter II, the Presidency invites delegations to share their views on the different questions and suggestions listed below (points 7 and 8).
  • Note from Presidency to  DAPIX (Mixed Committee) dated 15 July 2015: Presidency debriefing on the outcome of the trilogue on 14 July 2015:
[...] The outcome of the trilogue is reflected in the table in annex. Delegations will note that there is a
significant amount of convergence between the positions of the European Parliament and the
Council. The indications in the fourth column show tentative agreement on individual provisions
which are without prejudice to the principle that no individual provision is agreed until agreement is
reached on the Regulation as a whole. [...]
Source: Statewatch

27.07.2015

ECHR: Freedom of expression (publishing taxation information) vs. tax-payers’ right to privacy

ECHR 21.07.2015,no. 931/13 -  Satakunnan Markkinapörssi Oy and Satamedia Oy v. Finland
[...] Relying in particular on Article 10 (freedom of expression), the applicant companies complained
about the ban on them processing taxation data, alleging that it had amounted to censorship as well
as discrimination vis-à-vis other newspapers which were able to continue publishing such
information. Also relying on Article 6 § 1 (right to a fair hearing within a reasonable time), the
companies complained about the excessive length – six years and six months – of the related
administrative proceedings.
No violation of Article 10; Violation of Article 6 § 1
Source: ECHR Press release; see also CJEU Case C‑73/07
Out-law.com: Journalists can be prevented from publishing information otherwise publicly available that breaches individuals' right to privacy, the European Court of Human Rights (ECHR) has ruled.

EU court decisions relating to data protection (December 2014)

List of EU court decisions relating to data protection (pdf; in numerical order of case number)
Prepared by Laraine Laudati, OLAF DPO, December 2014

EDPS recommendations on the EU’s options for data protection reform (App available)

Today, as the European Data Protection Supervisor sent his recommendations [Opinion 3/2015 Europe’s big opportunity  - EDPS recommendations on the EU’s options for data protection reform; Annex to Opinion 3/2015: Comparative table of GDPR texts with EDPS recommendations] to the EU co-legislators negotiating the final text of the General Data Protection Regulation (GDPR), he launched a mobile app to compare the latest texts from the Commission, the Parliament and the Council more easily on tablets and smartphones. [...]
EU Data Protection is a free app for mobile devices from the EDPS. It allows those who are interested to compare the latest proposed texts for the forthcoming General Data Protection Regulation from the European Commission, the European Parliament and the Council of the European Union. The app also includes the latest recommendations from the EDPS to the co-legislators. All the texts can be loaded in any given combination to compare them side-by-side (maximum two texts on smartphones due to the limitation of screen size).
Source: EDPS press release (pdf)

20.07.2015

EuGH: Zugang zu EU-Dokumenten und Datenschutz

EuGH 16.07.2015, Rs C‑615/13 PClientEarth ua
Zugang zu den Namen der Verfasser sämtlicher Stellungnahmen zum Entwurf eines Leitfadens der Europäischen Behörde für Lebensmittelsicherheit (EFSA) zu dem Anträgen auf Zulassung zum Inverkehrbringen von Pflanzenschutzmitteln beizufügenden Verzeichnis der wissenschaftlichen Literatur 
[...] 69 Somit handelt es sich bei der Behauptung der EFSA, bei Verbreitung der streitigen Information hätte die Gefahr bestanden, dass das Privatleben und die Integrität der genannten Sachverständigen beeinträchtigt worden wären, um eine allgemeine Erwägung, die durch keinen fallspezifischen Umstand weiter begründet wird. Dabei ist es Sache der betreffenden Behörde, zu beurteilen, ob durch die beantragte Verbreitung das geschützte Interesse konkret und tatsächlich beeinträchtigt werden kann (vgl. in diesem Sinne Urteil Schweden und Turco/Rat, C‑39/05 P und C‑52/05 P, EU:C:2008:374, Rn. 49). Durch die Verbreitung der streitigen Information als solche hätte der betreffende Verdacht der Parteilichkeit aber zerstreut oder den eventuell betroffenen Sachverständigen Gelegenheit gegeben werden können, die Begründetheit dieser Behauptungen der Parteilichkeit, gegebenenfalls mittels der verfügbaren Rechtsbehelfe, in Zweifel zu ziehen. [...]
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt und entschieden:
1.      Das Urteil des Gerichts der Europäischen Union ClientEarth und PAN Europe/EFSA (T‑214/11, EU:T:2013:483) wird aufgehoben.
2.      Der Beschluss der Europäischen Behörde für Lebensmittelsicherheit (EFSA) vom 12. Dezember 2011 wird für nichtig erklärt.
3.      Die Europäische Behörde für Lebensmittelsicherheit (EFSA) trägt ihre eigenen Kosten und wird verurteilt, die ClientEarth und dem Pesticide Action Network Europe (PAN Europe) im Rechtsmittelverfahren und im erstinstanzlichen Verfahren entstandenen Kosten zu tragen.
4.      Die Europäische Kommission trägt ihre eigenen Kosten des Rechtsmittelverfahrens und des erstinstanzlichen Verfahrens.
5.      Der Europäische Datenschutzbeauftragte (EDSB) trägt seine eigenen Kosten des Rechtsmittelverfahrens.

EuGH: Durchbrechung des Bankgeheimnisses (Auskunftsanspruch) bei Verletzung geistigen Eigentums (updated)

EuGH 16.07.2015, Rs C‑580/13 - Coty Germany GmbH gegen Stadtsparkasse Magdeburg (Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom BGH):
[...] Nach alledem ist eine nationale Rechtsvorschrift wie die im Ausgangsverfahren in Rede stehende isoliert betrachtet geeignet, zu einer qualifizierten Beeinträchtigung des Grundrechts auf einen wirksamen Rechtsbehelf und letztlich des Grundrechts des geistigen Eigentums zu führen, die den Inhabern der Rechte des geistigen Eigentums zustehen. Eine solche Vorschrift genügt damit nicht dem Erfordernis, ein angemessenes Gleichgewicht zwischen den verschiedenen in Art. 8 der Richtlinie 2004/48 gegeneinander abgewogenen Grundrechten zu gewährleisten.
42 Das vorlegende Gericht hat jedoch zu prüfen, ob das betreffende nationale Recht gegebenenfalls andere Rechtsbehelfe oder Rechtsmittel enthält, die es den zuständigen Justizbehörden ermöglichen, im Einklang mit dem 17. Erwägungsgrund der Richtlinie 2004/48 die Erteilung der erforderlichen Auskünfte über die Identität der unter Art. 8 Abs. 1 der Richtlinie fallenden Personen nach Maßgabe der spezifischen Merkmale des Einzelfalls anzuordnen.

[...] Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:
Art. 8 Abs. 3 Buchst. e der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums ist dahin auszulegen, dass er einer nationalen Rechtsvorschrift wie der im Ausgangsverfahren in Rede stehenden entgegensteht, die es einem Bankinstitut unbegrenzt und bedingungslos gestattet, eine Auskunft nach Art. 8 Abs. 1 Buchst. c dieser Richtlinie über Namen und Anschrift eines Kontoinhabers unter Berufung auf das Bankgeheimnis zu verweigern.


Update 23.10.2015: BGH 21.10.2015, I ZR 51/12 - Davidoff Hot Water II (Quelle: Pressemeldung BGH):
"Der Bundesgerichtshof hat auf dieser Grundlage nunmehr entschieden, dass der Klägerin ein Anspruch auf Auskunft über Namen und Anschrift des Kontoinhabers zusteht. Die Bestimmung des § 19 Abs. 2 Satz 1 Halbsatz 2 MarkenG ist unionsrechtskonform dahin auszulegen, dass ein Bankinstitut nicht gemäß § 383 Abs. 1 Nr. 6 ZPO die Auskunft über Namen und Anschrift eines Kontoinhabers unter Berufung auf das Bankgeheimnis verweigern darf, wenn das Konto für den Zahlungsverkehr im Zusammenhang mit einer offensichtlichen Markenverletzung genutzt wurde. Das Grundrecht des Kontoinhabers auf Schutz der persönlichen Daten nach Art. 8 EU-Grundrechtecharta und das Recht der Bank auf Berufsfreiheit nach Art. 15 EU-Grundrechtecharta müssen hinter den Grundrechten der Markeninhaberin auf Schutz des geistigen Eigentums und einen wirksamen Rechtsschutz zurücktreten (Art. 17 und 47 EU-Grundrechtecharta). Die Möglichkeit der Einleitung eines Strafverfahrens steht einem Auskunftsanspruch gemäß § 19 Abs. 2 Nr. 3 MarkenG gegen ein Bankinstitut nicht entgegen." 

VwGH: Keine "GIS-Gebühren" (Rundfunkgebühren) für Computer (nur) mit Internetanschluss

VwGH 30.06.2015, Ro 2015/15/0015 (pdf)
Die GIS Gebühren Info Service GmbH hatte einem Wiener, der in seiner Wohnung über einen Breitband-Internetanschluss sowie Notebooks mit Lautsprechern verfügt, Rundfunkgebühren für den Betrieb einer Rundfunkempfangseinrichtung (Radio) vorgeschrieben. [...]
Der Betroffene erhob Beschwerde an das Bundesverwaltungsgericht. Dieses hob den Bescheid der GIS auf, da die Computer keine Rundfunkempfangsmodule ("TV-Karte" oder "Radio-Karte") hatten und der Empfang von Rundfunkprogrammen über Streaming aus dem Internet nicht als Rundfunkdarbietung zu qualifizieren sei.  
Der Verwaltungsgerichtshof hat die dagegen erhobene Revision der GIS als unbegründet abgewiesen.  
Der Verwaltungsgerichtshof hielt fest, dass der Gesetzgeber bei der verfassungsrechtlichen Definition des Rundfunkbegriffs elektronische Darbietungen über das Internet nicht erfassen wollte. [...]
Ein Computer lediglich mit einem Internetanschluss ist hingegen kein Rundfunkempfangsgerät, sodass dafür keine Rundfunkgebühren zu bezahlen sind. 

13.07.2015

EuGH (Schlussanträge): Datenübermittlung zwischen öffentl. Einrichtungen - Unterrichtung, Rechtsvorschrift iSv Art. 13 RL 95/46

EuGH (Schlussanträge des Generalanwalts) 9.7.2015, Rs C‑201/14Smaranda Bara u. a.
[...] 84.      Insoweit kann dem Vorbringen der rumänischen Regierung nicht gefolgt werden, dass die gesetzlichen Vorschriften, die die ANAF verpflichteten, der CNAS die zur Erfüllung ihrer Aufgabe erforderlichen Daten zu übermitteln, und das zwischen beiden Einrichtungen zur Durchführung dieser Übermittlung vereinbarte Protokoll vom 26. Oktober 2007 die „Rechtsvorschrift“ darstellten, die nach Art. 13 Abs. 1 der Richtlinie 95/46 erforderlich sei, damit die Unterrichtungspflicht der für die Verarbeitung personenbezogener Daten Verantwortlichen entfallen könne. [...]
VI – Ergebnis
87.      Nach alledem schlage ich dem Gerichtshof vor, die von der Curtea de Apel Cluj zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:
1.      Die ersten drei Vorlagefragen zur Auslegung von Art. 124 AEUV sind unzulässig.
2.      Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass sie einer nationalen Regelung wie der im Ausgangsverfahren streitigen entgegensteht, die es einer öffentlichen Einrichtung eines Mitgliedstaats ermöglicht, personenbezogene Daten, die ihr von einer anderen öffentlichen Einrichtung übermittelt wurden, und namentlich Daten in Bezug auf die Einkünfte der betroffenen Personen zu verarbeiten, ohne dass Letztere zuvor von dieser Übermittlung und dieser Verarbeitung unterrichtet wurden.

Trilogue: GDPR draft - latest version dated 8 July 2015

NOTE (pdf) from Presidency to Working Group on Information Exchange and Data Protection (DAPIX), dated 8 July 2015:
Delegations will find in annex the 4 column table on the General Data Protection Regulation which comprises the Commission proposal, the first reading Position of the European Parliament and the General Approach of the Council.
Source: Statewatch

UniversaldienstRL: Entgeltänderung aufgrund Preisanpassungsklausel als Änderung der Vertragsbedingungen?

EuGH (Schlussanträge des Generalanwalts) 09.07.2015, Rs C‑326/14 - Verein für Konsumenteninformation gegen A1 Telekom Austria AG (Vorlagebeschluss des OGH zu GZ 8 Ob 72/13s hier):
1.        Die Vorlagefrage, die im Rahmen eines Rechtsstreits gestellt wird, in dem sich eine Verbraucherschutzvereinigung und eine Telekommunikationsgesellschaft gegenüberstehen, betrifft bestimmte Vertragsbedingungen, die die Anpassung von Entgelten für Telekommunikationsdienstleistungen an einen Verbraucherpreisindex ermöglichen. Die streitige Frage besteht insbesondere darin, ob Art. 20 Abs. 2 der Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und ‑diensten (im Folgenden: Universaldienstrichtlinie)(2) ein Recht der Teilnehmer begründet, den Vertrag bei Bekanntgabe solcher Entgeltanpassungen nach der vertraglich vorgesehenen Indexierungsmethode ohne Zahlung von Vertragsstrafen zu widerrufen.
2.        Zwar bezieht sich die Vorlagefrage des Obersten Gerichtshofs ausschließlich auf die Universaldienstrichtlinie, aber sowohl aus der Begründung der Vorlageentscheidung als auch aus den schriftlichen Erklärungen und mündlichen Ausführungen in der vorliegenden Rechtssache ergibt sich die Notwendigkeit, auch die Bestimmungen der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen(3) zu berücksichtigen. 
3.        Die vorliegende Rechtssache bietet dem Gerichtshof zum ersten Mal Gelegenheit, zum Problem einer Preisindexierungsklausel im Zusammenhang mit dem außerordentlichen Kündigungsrecht der Teilnehmer Stellung zu nehmen. [...]
V –    Ergebnis
46.      In Anbetracht der vorstehenden Ausführungen bin ich der Ansicht, dass die Vorlagefrage des Obersten Gerichtshofs folgendermaßen beantwortet werden sollte:
Eine Entgeltänderung aufgrund der Anwendung einer Preisanpassungsklausel beinhaltet keine Änderung der Vertragsbedingungen im Sinne von Art. 20 Abs. 2 der Universaldienstrichtlinie, sofern die Bezeichnung der vom Teilnehmer zu erbringenden Gegenleistung als „indexierter Preis“ einen hinreichenden Gehalt an Vorhersehbarkeit, Transparenz und Rechtssicherheit aufweist, um annehmen zu können, dass sich die vertragliche Stellung des Teilnehmers nicht geändert hat. Es ist Sache des nationalen Gerichts, diese Beurteilung im Licht des Inhalts der streitigen Klauseln und der spezifischen Merkmale der sie enthaltenden Verträge vorzunehmen.

08.07.2015

Livecast: GDPR and medical research

Recording of  the "Privacy Platform – Medical Research and Data Protection" which took place on 25 June 2015, inter alia with Jan Albrecht:
How will the Parliament's and Council's proposals for a General Data Protection Regulation affect medical research? This edition of the Privacy Platform will go into the details of Article 81, and the requirements of consent and pseudonymisation. The panel will consist of representatives of medical research associations and legal experts.
Source: ALDE

03.07.2015

CJEU: Request for a preliminary ruling regarding 'making use of equipment’ etc.(questions referred)

CJEU C-192/15 - request for a preliminary ruling from the Raad van State (Netherlands) lodged on 24 April 2015 — T.D. Rease, P. Wullems; other party: College bescherming persoonsgegevens:

Questions referred
Does an instruction to employ equipment for the processing of personal data within the territory of a Member State, issued outside the EU by a controller, within the meaning of Article 2(d) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31), to a detective agency established within the EU, come within the notion of ‘making use of equipment’ within the meaning of Article 4(1)(c) of that directive?

Does Directive 95/46/EC, in particular Article 28(3) and (4) thereof, given the objective of that directive, allow the national authorities the latitude, when enforcing the protection of individuals by the supervisory authorities provided for in that directive, to set priorities which result in such enforcement not taking place in the case where only an individual or a small group of persons submits a complaint alleging a breach of that directive?

EDPS issues Annual Report 2014

Annual Report 2014 (pdf; Summary available here), Press release 

CoE: Report on Passenger Name Records, data mining & data protection

Report (advanced draft) by Douwe Korff for the CoE "Passenger Name Records, data mining & data protection: the need for strong safeguards":

In other words, our overall conclusions are that: 

  • The compulsory suspicionless provision of PNR data in bulk does not serve a legitimate aim; 
  • There are no effective remedies against the outcomes of “dynamic”-algorithm-based datamining and profiling; 
  • “Dynamic”-algorithm-based datamining and profiling, in particular if aimed at rating people on a “risk scale” on an antiterrorist list, violates the most fundamental duty of the State and the EU to “respect human identity”;
and on top of that:
  •  - Trying to “identify” “possible” or “probable” terrorists by means of “dynamic”-algorithm-based datamining and profiling does not work.

Newsletter 03/2015 der österr. Datenschutzbehörde erschienen

Der "DSB-Newsletter" 03/2015 (pdf) der österreichischen Datenschutzbehörde (DSB) wurde heute verschickt, auf der Website ist er offenbar (noch) nicht verfügbar. Enthaltene Themen sind u.a. eine Vorstellung des Datenverarbeitungsregisters (DVR; welches übrigens vor Kurzem eine Anleitung [pdf; 10 MB] veröffentlicht hat), Drohnen und Datenschutz sowie ausgewählte Entscheidungen der DSB zB zur Löschung von medizinischen Pilotendaten zur Flugtauglichkeit (Bescheid vom 22.04.2015, D122.278/0007-
DSB/2015) und die erhobene Revision zum VwGH bezüglich „Dash-Cams“, siehe auch hier im Blog.
Update: Der Newsletter ist online, Verlinkung eingefügt. Dass auch der DSB ein Fehler passieren kann, ist hier nachzulesen.

01.07.2015

GDPR: Preparation for trilogue (incl. table of provisions to be discussed)

Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Preparation for trilogue:
[...] The next trilogue is scheduled for 14th July 2015 and will focus on 
- Article 3(2) – Territorial scope
 - Article 25 – Representatives of controllers not established in the Union
 - Chapter V – Transfers of personal data to third countries or international organisations
 - Relevant definitions in Article 4, in particular definition (14) on ‘representative’

In Annex appears the four column table which reflects the Commission proposal the European Parliament's first reading position and the Council's General Approach on the provisions that will be discussed in this trilogue. [...]
Source: Statewatch
Update ÖsterreichNationalrat beharrt auf hohem Niveau des Datenschutzes - EU-Unterausschuss stärkt Bundesregierung mit Stellungnahme zur EU-Datenschutz-Grundverordnung einhellig den Rücken

VfGH-Individualantrag: Verwendung von Daten aus genetischen Analysen durch private Krankenversicherer?

Schon etwas älter, mittlerweile hat bereits auch die öffentliche Verhandlung vor dem VfGH dazu stattgefunden, auf das Ergebnis dieses Verfahrens bin ich schon gespannt. Eine Aufhebung der bekämpften Normen würde wohl einem "datenschutzrechtlichen Dammbruch" gleichkommen:
Verwendung von Daten aus genetischen Analysen durch private Krankenversicherer
Der österreichische Verband der Versicherungs-Unternehmen sowie mehrere Versicherungen, die private Krankenzusatzversicherungen anbieten, bekämpfen mit einem Individualantrag Passagen im Gentechnikgesetz [§ 67 GTG] und im Versicherungsvertragsgesetz [§ 11a VersVG].
Sie verbieten – vereinfacht gesagt – die Erhebung und Verwendung von Daten aus genetischen Analysen zur Feststellung des Gesundheitszustandes eines (potenziellen) Kunden. Dies soll die „genetische Privatsphäre“ schützen.
Allerdings, so argumentieren die Antragsteller, bewirkten die bekämpften Regelungen, dass damit die Verwendung jeder Laboranalyse durch die Versicherer untersagt sei. Dadurch werde unzulässigerweise in das Recht auf Unversehrtheit des Eigentums und in die Freiheit der Erwerbsausübung eingegriffen. Außerdem verletzte dieses generelle Verbot den Gleichheitsgrundsatz. [...]
Quelle: Presseinformation des VfGH
Update: Kotschy führt übrigens in Kopetzki/Mayer (Hrsg), Biotechnologie und Recht (2002) 75 (87) ua Folgendes zu § 67 GTG aus: Diese Bestimmung ist an sich die einzige Bestimmung im GTG, die echten datenschutzrechtlichen Mehrwert besitzt in dem Sinn, dass sie nicht ohnehin bereits - zumindest erschließbar - im DSG 2000 vorhanden wäre.