31.03.2016

Dissertation: Datenschutzrechtliche Fragen des Personenbezugs

Ein ehemaliger Kollege am IRI hat eine überaus relevante Dissertation verfasst, die 2015 auch in Buchform erschienen ist:
Haase, Datenschutzrechtliche Fragen des Personenbezugs - Eine Untersuchung des sachlichen Anwendungsbereiches des deutschen Datenschutzrechts und seiner europarechtlichen Bezüge (2015), Verlag Mohr Siebeck, ISBN 978-3-16-153799-8
Für eine Rezension siehe hier.

29.03.2016

OGH: Umgehen der "Preroll-Werbung" von Internet-Radios durch Linksetzung unzulässig

OGH 23.02.2016, 4 Ob 249/15v:
[...] (g) Im Ergebnis ist daher festzuhalten, dass die Verlinkung auf das Programm eines Web-Radios dann zur Zugänglichkeit des verlinkten Inhalts für ein neues Publikum führt und daher unter das Senderecht nach § 76a UrhG fällt, wenn dadurch Bedingungen - etwa die Zahlung eines Entgelts oder das Abwarten einer vom Rechteinhaber geschalteten Preroll-Werbung - umgangen werden, die bei einem Zugriff über die Website des Rechteinhabers oder über von ihm zur Verfügung gestellte Zugangssoftware (Apps) zu erfüllen wären. Dass diese Inhalte theoretisch auch ohne die Verwendung des Links unter Umgehung dieser Bedingungen erreicht werden könnten, reicht für sich allein nicht aus, um die Zulässigkeit der Verlinkung zu begründen. [...]

Aus der Pressemeldung des OGH:
Die Klägerin betreibt ein Privatradio, das sie auch als Stream im Internet zugänglich macht. Dort bietet sie auch weitere Programme mit unterschiedlichen Inhalten an. Bei Zugang zu den Streams über die Website der Klägerin oder über deren Apps erscheint vor dem Beginn ein Werbespot („Preroll-Werbung“), mit dem die Klägerin Einnahmen erzielt. Diese Werbung wird allerdings umgangen, wenn man die Programme über eine Linksammlung der Beklagten aufruft. Klickt man dort auf einen Link, so erscheint stattdessen eine von der Beklagten selbst geschaltete Werbung.
Die Klägerin war der Auffassung, dass jede Form Verlinkung gegen ihr Leistungsschutzrecht an der Radiosendung verstoße. Ihre Unterlassungsklage hatte teilweise Erfolg: Der Oberste Gerichtshof untersagte der Beklagten, Radioprogramme der Klägerin über Links abrufbar zu machen, wenn dadurch eine von der Klägerin geschaltete Preroll-Werbung umgangen wird. [...]

Ö: BMJ zu "Drohnen und der damit verbundenen Rechtslage"

Anfragebeantwortung (7614/AB) durch den Bundesminister für Justiz Dr. Wolfgang Brandstetter zu der schriftlichen Anfrage (7718/J) der Abgeordneten Mag. Philipp Schrangl, Kolleginnen und Kollegen an den Bundesminister für Justiz betreffend Drohnen und der damit verbundenen Rechtslage
Und noch eine (BMVIT):
Anfragebeantwortung durch den Bundesminister für Verkehr, Innovation und Technologie Mag. Gerald Klug zu der schriftlichen Anfrage (7784/J) der Abgeordneten Hermann Brückl, Kolleginnen und Kollegen an den Bundesminister für Verkehr, Innovation und Technologie betreffend Drohnen in Österreich

24.03.2016

Berliner Beauftragte für Datenschutz und Informationsfreiheit: Tätigkeitsbericht 2015

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, stellte gestern, 23.3.2016, den Tätigkeitsbericht für das Jahr 2015 (pdf; Pressemitteilung) vor, insbesondere enthält dieser folgende Schwerpunktthemen
- Durchbruch zu einem neuen Rechtsrahmen für Europa / Grundverordnung sowie Richtlinie im Bereich von Justiz und Inneres
- Große Liebe dank Big Data?
- Vernetzte Fahrzeuge und moderne Verkehrstelematik – Chancen und Risiken
- Bestimmung und Begrenzung der Risiken von Datenverarbeitung
- Risiken werden real: Datenlecks
- Datenschutz made in Berlin

OGH zur Urheberrechtsqualität einer digitalisierten Handschrift

OGH 23.02.2016, 4 Ob 142/15h (Pressemeldung):
6.2. Der Handschrift eines Menschen kommt in der Regel kein Werkcharakter zu. Wenn auch in der Judikatur gelegentlich die Metapher verwendet wird, ein Werk müsse, um als solches zu gelten, die „individuelle Handschrift“ des Urhebers tragen (4 Ob 274/02a; 4 Ob 201/04v), so ist dies nicht wörtlich zu verstehen. Die Handschrift ist zweifellos individuell; ihre Einzigartigkeit ergibt sich aber nicht aus dem Ausdruck künstlerischer Gestaltung, sondern aus jahrelangem, in kleinsten Nuancen geschehenden Verschleifen der gelernten Lateinschrift. Damit ist sie nicht Produkt individueller Schöpfungskraft, sondern bezieht ihre Einzigkartigkeit ausschließlich aus der statistischen Unwahrscheinlichkeit, dass eine andere Person genau dieselbe Schrift verwendet. [...]
6.4. Die Zuerkennung von Werkcharakter an eine Handschrift in ihrer konkreten Ausformung wäre nur denkbar, wenn sie sich ausreichend vom vorbekannten Formenschatz abhebt und eigentümliche und individuelle Zeichen aufweist, die als Neuschöpfung zu beurteilen wären. Dies trifft auf den vom Kläger geschaffenen Zeichensatz jedoch nicht zu. [...]
7. Damit kommt dem vom Kläger gestalteten (Computer-)Schriftsatz „Bettis Hand“ keine Werkeigenschaft und somit kein Urheberrechtsschutz zu. Der Kläger ist auf einen nach § 1 Abs 3 MuSchG zu erlangenden Musterschutz zu verweisen.

22.03.2016

EuG: Veröffentlichung personenbezogener Daten eines Petitionswerbers auf der Website des Europäischen Parlaments

Gericht der Europäischen Union 3.12.2015, Rs T‑343/13 - CN
[...] Der Kläger richtete über ein online auf der Website des Parlaments verfügbares Formular an das Europäische Parlament eine Petition [die u.a.sensible personenbezogene Daten enthielt]. Nach Zurückweisung der Petition veröffentlichte das EP auf seiner Website unter dem Titel „Mitteilung an die Mitglieder“ ein diese Petition betreffendes Dokument [...]. In der Mitteilung wurden der Inhalt der Petition und die Antwort der Kommission zusammengefasst. Insbesondere wurde der Name des Klägers genannt und angegeben, dass er an einer schweren, lebensbedrohenden Krankheit leide und dass sein Sohn geistig oder körperlich schwer behindert sei.
Nach mehreren, offenbar erfolglosen, Anläufen des späteren Klägers beim EP, seine personenbezogenen Daten offline zu nehmen, klagte dieser das EP auf Schadensersatz in Höhe von 1 000 Euro für den erlittenen materiellen Schaden und in Höhe von 40 000 Euro für den erlittenen immateriellen Schaden.

OGH: 21 AGB-Klauseln eines TK-Betreibers unwirksam

OGH 25.2.2016, 2 Ob 20/15b (im RIS derzeit noch nicht verfügbar, siehe beim VKI, Urteil [pdf])
Geprüft wurden die AGB, welche die beklagte Partei im geschäftlichen Verkehr mit Verbrauchern für Leistungen auf ihrer „Billigschiene“ bis zumindest Oktober 2013 verwendet hat.
Der Oberste Gerichtshof bestätigte die stattgebende Entscheidung des Berufungsgerichts über das mit Verbandsklage gestellte Unterlassungs- und Urteilsveröffentlichungsbegehren im Umfang von 21 Klauseln. Diese sind unwirksam, weil sie gesetzwidrig, den Verbraucher gröblich benachteiligend oder intransparent, also unklar oder unverständlich abgefasst sind.
Quelle: OGH-Pressemeldung

2.17 Klausel 17 (§ 15 Abs 2 dritter Satz AGB): A1 Telekom Austria ist berechtigt, Stammdaten und andere für die Identität maßgebliche personenbezogene Daten, die für die Überprüfung der Kreditwürdigkeit des Kunden oder für die Eintreibung von Forderungen notwendig sind, an Dritte zu übermitteln.
Das Berufungsgericht führte ua aus, das Wort „auch“ lasse im Zusammenhang mit bestimmt bezeichneten Unternehmen nur den Rückschluss zu, dass das der beklagten Partei unmittelbar davor eingeräumte Recht zur Datenübermittlung an nicht bestimmt bezeichnete „Dritte“ gerade nicht die bestimmt bezeichneten Unternehmen betreffe, sondern solche, deren Identität dem Kunden verborgen bleibe.
Die Revisionsausführungen vermögen nicht zu überzeugen. Der Senat folgt vielmehr der zutreffenden Auslegung des Berufungsgerichts (§ 510 Abs 3 zweiter Satz ZPO). Der Empfängerkreis bleibt für den Kunden unbestimmt, weshalb die Klausel gegen das Transparenzgebot des § 6 Abs 3 KSchG verstößt.

BSI: Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten

BSI, Anforderungskatalog Cloud Computing - Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten
Der Anforderungskatalog richtet sich in erster Linie an professionelle Cloud-Diensteanbieter deren Prüfer und Kunden der Cloud-Diensteanbieter. Es wird festgelegt, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

21.03.2016

GPEN Committee publishes its annual report for 2015

In its annual report, an international network whose objective is to promote cross-border cooperation in data protection and privacy enforcement has announced its expansion to include 59 agencies, while launching new and innovative cooperation tools.   
The Global Privacy Enforcement Network (GPEN) has grown from 13 privacy enforcement authorities in 2010 to 59 authorities across 43 jurisdictions in 2015, with plans to further expand in the coming year across Africa, Asia and South America. [...]
Excerpt from the report:
2016 Work Plan Highlights:
[...] Conduct our fourth annual Privacy Sweep; Undertake an enforcement survey and use the results to assist members’ future planning; [...]
Source: Press releaseAnnual Report 2015 (pdf)

GDPR: Position of the Council (and brief overview)

Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Draft Statement of the Council's reasons (5419/16 ADD 1):
IV. CONCLUSION
The Council Position at first reading reflects the compromise reached in informal negotiations between the Council and the European Parliament, facilitated by the Commission. The Council invites the European Parliament to formally approve the Council Position at first reading without amendments, so that the new EU legislative framework for data protection can be established which will reinforce data protection rights while facilitating the flow of personal data in the digital market.

17.03.2016

BRD: DIVSI-Studie "Daten als Handelsware"

Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI), Johanna Jöns, Daten als Handelsware (pdf)

Transfer of key-coded research data under the planned EU-US-Privacy Shield

Just for my personal digital memory, excerpt from Annex II to the draft Adequacy decision (emphasis added):
Key-coded Data
i. Invariably, research data are uniquely key-coded at their origin by the principal investigator so as not to reveal the identity of individual data subjects. Pharmaceutical companies sponsoring such research do not receive the key. The unique key code is held only by the researcher, so that he or she can identify the research subject under special circumstances (e.g., if follow-up medical attention is required). A transfer from the EU to the United States of data coded in this way would not constitute a transfer of personal data that would be subject to the Privacy Shield Principles.

Today: EP (LIBE) Hearing on EU-US Privacy Shield

Draft Programme for the Hearing "The new EU-US Privacy Shield for commercial transfers of EU personal data to the US", Thursday 17 March 2016, 15.00 to 18.30
The hearing is live broadcasted and recorded.

Letter to Art. 29 WP & LIBE: Privacy Shield non-compliant with standards set by CJEU?

On 16 March, more than two dozen organisations sent a letter (pdf) to the Article 29 WP, the EU Parliament (LIBE) and the Dutch Presidency of the EU to request the reopening of the negotiations on the Privacy Shield:
We, the undersigned organizations do not believe that the Privacy Shield arrangement between the United States and the European Union complies with the standards set by the Court of Justice of the European Union (CJEU), including in the recent case invalidating the legal underpinnings of the Safe Harbor Framework. [...] More at Access Now and EDRi.

16.03.2016

EuGH: Schlussanträge des GA Szpunar zur WLAN-Haftung

Schlussanträge des Generalanwalts Szpunar vom 16.03.2016, Rs C‑484/14 Tobias Mc Fadden gegen Sony Music Entertainment Germany GmbH
Aus der EuGH-Pressemeldung: Nach Ansicht von Generalanwalt Szpunar ist der Betreiber eines Geschäfts, einer Bar oder eines Hotels, der der Öffentlichkeit ein WLAN-Netz kostenlos zur Verfügung stellt, für Urheberrechtsverletzungen eines Nutzers nicht verantwortlich. Zwar könne der Betreiber durch eine gerichtliche Anordnung verpflichtet werden, diese Rechtsverletzung zu beenden oder zu verhindern, doch könne weder die Stilllegung des Internetanschlusses noch seine Sicherung durch ein Passwort oder die allgemeine Überwachung der Kommunikation verlangt werden. [...]

[...] VI – Ergebnis
151. Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen des Landgerichts München I wie folgt zu antworten:
1.      Art. 2 Buchst. a und b sowie Art. 12 Abs. 1 der Richtlinie 2000/31/EG [...] ( „Richtlinie über den elektronischen Geschäftsverkehr“) sind dahin auszulegen, dass sie für eine Person gelten, die als Nebentätigkeit zu ihrer wirtschaftlichen Haupttätigkeit ein lokales Funknetz mit Internetzugang betreibt, das der Öffentlichkeit unentgeltlich zur Verfügung steht.
2.      Art. 12 Abs. 1 der Richtlinie 2000/31 steht der Verurteilung eines Anbieters von Diensten der reinen Durchleitung auf einen Antrag hin entgegen, der die Feststellung der zivilrechtlichen Haftung dieses Diensteanbieters einschließt. Dieser Artikel steht daher nicht nur der Verurteilung des Anbieters solcher Dienste zur Leistung von Schadensersatz, sondern auch seiner Verurteilung zur Tragung der Abmahnkosten und der gerichtlichen Kosten im Zusammenhang mit der von einem Dritten durch die Übermittlung von Informationen begangenen Verletzung des Urheberrechts entgegen.
3.      Art. 12 Abs. 1 und 3 der Richtlinie 2000/31 steht dem Erlass einer mit einem Ordnungsgeld bewehrten gerichtlichen Anordnung nicht entgegen.
 [...]
Die genannten Bestimmungen stehen der gerichtlichen Anordnung, die an eine Person gerichtet ist, die als Nebentätigkeit zu ihrer wirtschaftlichen Haupttätigkeit ein der Öffentlichkeit zugängliches lokales Funknetz mit Internetzugang betreibt, entgegen, wenn der Adressat der Anordnung nur dadurch nachkommen kann, dass
–        er den Internetanschluss stilllegt oder
–        mit einem Passwortschutz versieht oder
–        sämtliche über diesen Anschluss laufende Kommunikation daraufhin untersucht, ob das bestimmte urheberrechtlich geschützte Werk erneut rechtswidrig übermittelt wird.

15.03.2016

Papers on Privacy Enhancing Technologies (PET) and Data Protection Impact Assessments

  • ENISA, Report entitled "Readiness Analysis for the Adoption and Evolution of Privacy Enhancing Technologies" (pdf): This report aims at developing a methodology that allows to compare different Privacy Enhancing Technologies (PETs) with regard to their maturity, i.e., their technology readiness and their quality concerning the provided privacy notion. The report firstly sketches a methodology for gathering expert opinions and measurable indicators as evidence for a two dimensional rating scale. Secondly, this report reviews two pilots to test the proposed scales and methodology. The results of these pilots are presented in this study. Finally, a list of necessary steps towards a PET maturity repository is made available.
  • Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt: Michael Friedewald, Hannah Obersteller, Maxi Nebel, Felix Bieker, Martin Rost, White Paper Datenschutz-Folgenabschätzung - Ein Werkzeug für einen besseren Datenschutz (pdf)

EDPS: Case Law Overview (CJEU, ECHR and national courts) on data protection (and more)

Case Law Overview 1 December 2014 - 31 December 2015 (Working Document; pdf): Relevant case-law of CJEU, ECHR and national courts of EU Member States on the right to the protection of personal data, the right to the protection of private life, access to documents and the right to freedom of expression. Includes reference to pending cases.

Ö: § 107 Abs 2 TKG ("Spamverbot") und unternehmensinterne E-Mails (Newsletter etc)

Soweit ersichtlich gibt es keine Stellungnahmen in der juristischen Literatur und auch keine Judikatur zur Frage, ob (und gegebenenfalls wie) § 107 Abs 2 Z 1 TKG 2003 auch unternehmensinterne E-Mails bzw. Newsletter im Sinne von „interne Informationen an Betriebsangehörige“ trifft. Der hinter dem „Spamverbot“ steckende telos ist laut ErwGr 40 der ePrivacyRL 2002/58/EG "Teilnehmer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten [Dritter] für Zwecke der Direktwerbung [...] zu schützen", wobei die österreichische Rechtsprechung den Begriff „Direktwerbung“ weit auslegt (auch Werbung für eine bestimmte Idee inklusive politischer Anliegen, s zB VwGH 19.12.2013, 2011/03/0198 mwN). Oftmals wird zwar keine "Direktwerbung" enthalten sein, die elektronische Post jedoch iSd § 107 Abs 2 Z 2 TKG an mehr als 50 Empfänger gerichtet sein.
Meiner Ersteinschätzung ("juristische Bauchmeinung") nach kann § 107 Abs 2 TKG auf unternehmensinterne E-Mails bzw. Newsletter nicht anwendbar sein, da diese Norm vom Regelungszweck her (nur) Werbe- bzw. Spammails außenstehender Dritter unterbinden möchte, nicht jedoch zB interne Informationen des Arbeitgebers, des Betriebsrats etc.
Das Bundesministerium für Verkehr, Innovation und Technologie (BMVIT) unterstützt diese Auslegung dadurch, dass es auf seiner Webseite ua Folgendes ausführt: „Unter elektronischer Post ist jegliche Kontaktaufnahme mit Dritten auf elektronischem Wege (E-Mail, SMS) zu verstehen. Nicht unter elektronische Post fallen Mitteilungen die von Firmen oder Organisationen etwa an die Mitarbeiter oder Mitglieder verteilt werden.“ Diese Argumentation baut offenbar auf den Wortlaut des TKG auf, wonach eine "elektronische Post" (E-Mail) im Sinne des § 107 Abs 2 iVm § 92 Abs 3 Z 10 TKG nur dann vorliegt, wenn diese über ein „öffentliches Kommunikationsnetzwerk“ (§ 3 Z 17 TKG) verschickt wird, was auf unternehmensinterne E-Mails (zumindest rechtstechnisch) wohl nicht zutrifft ... Problem gelöst?

11.03.2016

Österreich: Veranstaltungshinweise zur DS-GVO und Transatlantischem Datenverkehr

Update zur o.a. DS-GVO-Tagung: Folien von Kotschy, Zimmer und Krisch online

09.03.2016

Vermischtes zu Online-Tracking: Facebooks's Like-Button, Tim Libert und ein Aufsatz ...


07.03.2016

DS-GVO: Infos zum weiteren zeitlichen Ablauf des Gesetzgebungsverfahrens

Im Blog des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. finden sich aktuelle Angaben zum voraussichtlichen zeitlichen Ablauf des Gesetzgebungsverfahrens:
18. März: offizielle deutsche Fassung DS-GVO
21. April: auf der Tagesordnung des EU-Ministerrats, danach Abstimmung im EP
Unter Berücksichtigung der Legisvakanz ist mit einer Anwendung der DS-GVO ab Juni/Juli 2018 zu rechnen.

02.03.2016

BRD: Bundeskartellamt eröffnet Verfahren gegen Facebook

Bundeskartellamt initiates proceeding against Facebook on suspicion of having abused its market power by infringing data protection rules (press release)

Das Bundeskartellamt hat ein Verfahren gegen die Facebook Inc., USA, die irische Tochter des Unternehmens sowie die Facebook Germany GmbH, Hamburg, eingeleitet. Die Behörde geht dem Verdacht nach, dass Facebook durch die Ausgestaltung seiner Vertragsbestimmungen zur Verwendung von Nutzerdaten seine mögliche marktbeherrschende Stellung auf dem Markt für soziale Netzwerke missbraucht.
Es besteht der Anfangsverdacht, dass die Nutzungbedingungen von Facebook gegen datenschutzrechtliche Vorschriften verstoßen.
[...]
Quelle: Bundeskartellamt Pressemeldung; zu einem anders gelagerten (IP-rechtlichen) Thema iVm Verbrauchern und Facebook siehe hier (vzbv).