30.04.2016

OGH: Verwendung von auf Facebook veröffentlichter Fotos durch Drittmedien ohne Einwillligung unzulässig

OGH 30.3.2016, 6 Ob 14/16a
[...] Die Veröffentlichung auf Facebook bedeutet nicht, dass damit auch die Zustimmung zur Veröffentlichung der diesbezüglichen Inhalte durch Drittmedien erteilt würde. Mit der Veröffentlichung von Bildnissen in sozialen Netzwerken nimmt der Nutzer zwar in Kauf, dass die betreffenden Inhalte ‑ je nach über die Privatsphäre-Einstellungen selbst modifizierbarer Reichweite der Einwilligung ‑ einer größeren Personenzahl aus dem Kreis der Nutzer der Plattform zugänglich sind. Keinesfalls muss der Betroffene aber mit der Weiterverbreitung des Bildnisses auf anderen Medien rechnen. Gerade bei einem Eingriff in die Privat- oder Intimsphäre und bei Fällen von Selbstentblößung sind erhöhte Anforderungen an die Einwilligung in die Bildnisveröffentlichung zu stellen.
Dem stehen auch die Geschäftsbedingungen von Facebook nicht entgegen. 
[...]
Quelle: Pressemeldung OGH

Weichert & BfDI: Überblick zur Datenschutz-Grundverordnung

Weichert, Die Europäische Datenschutz-Grundverordnung - ein Überblick (pdf), Stand: 28.04.2016

Update 2.5.2016: Siehe auch Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Informationsbroschüre mit endgültigem Text zur künftigen Europäischen Datenschutz-Grundverordnung (pdf)

26.04.2016

BRD: Umfassende Studie zu Gesundheits-Apps veröffentlicht

Studie zu Gesundheits-Apps veröffentlicht (pdf), Pressemeldung hier (dt. BMG):
Chancen und Risiken von Gesundheits-Apps (CHARISMHA); engl. Chances and Risks of Mobile Health Apps (CHARISMHA), Albrecht, U.-V.(Hrsg.), Medizinische Hochschule Hannover, 2016
Auszug aus der oben verlinkten Pressemeldung des deutschen Bundesministeriums für Gesundheit:
Gesundheits-Apps halten die datenschutzrechtlichen Anforderungen häufig nicht ein. Bei der Datenschutzerklärung und der Einholung von Einwilligungen durch die Nutzer fehlt es oft an Transparenz. Soweit Daten im Ausland gespeichert werden, ist die Nutzung nicht dem deutschen Datenschutzrecht unterworfen. Daher empfehlen die Forscher, Datenschutzstandards weiterzuentwickeln und die Aufklärungspflichten zu erweitern. [...]
Die Abgrenzung, welche Apps dem Medizinprodukterecht unterliegen und welche nicht, erweist sich in der Praxis noch als schwierig. Hier schlagen die Autoren eine weitere Ausarbeitung der Abgrenzungskriterien und eine Verpflichtung der Hersteller zur deutlichen Herausstellung der Zweckbestimmung einer App vor.

25.04.2016

Aufsatz: Wytibul, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?

Wytibul, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? Anpassungsbedarf bei Beschäftigtendatenschutz und Betriebsvereinbarungen, ZD 2016, 203 (pdf). Siehe auch den Blog-Eintrag von Wytibul hier.

LfD Baden-Württemberg: Leitfaden Datenschutzfreundliche Einstellungen unter Windows 10

Der Landesbeauftragte für den Datenschutz in Baden-Württemberg hat seinen Leitfaden aktualisiert: Datenschutzeinstellungen bei Windows 10 - Wie Sie Windows 10 datenschutzfreundlich nutzen können (pdf)

Österreich: Datenschutzbehörde veröffentlicht Datenschutzbericht 2015

Datenschutzbericht 2015 (pdf)

21.04.2016

Data protection regulations and international data flows: Implications for trade and development

In a new report, Data Protection Regulations and International Data Flows: Implications for Trade and Development [pdf], UNCTAD says that coherent and compatible data protection regimes will be ever-more important in the face of new technologies such as cloud computing, big data, and the Internet of Things. More dialogue between all stakeholders is needed to achieve adequate protection, the report urges. [...]
The report found that differing notions of privacy and a variety of different stakeholder interests creates tensions: individuals are concerned about their right to privacy and being able to safely and confidently use online services; governments are concerned about national security and safety; and businesses are concerned with compliance burdens and regulations that may hamper innovation and trade.
The report tracks the evolution of data protection, outlines and summarizes the current landscape of global, regional and national data protection regimes, identifies common challenges in the development and implementation of regimes, and presents policy options. It draws on contributions from 18 governments, regional and international organizations as well as representatives of the private sector and civil society to offer a single source of information for consultation by policymakers. [...]
Source: UNCTAD

BGH: Keine pauschale Beteiligung von Verlagen an den Einnahmen der VG Wort

BGH, Urteil vom 21. April 2016, I ZR 198/13 – Verlegeranteil
Der u.a. für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass die VG Wort nicht berechtigt ist, einen pauschalen Betrag in Höhe von grundsätzlich der Hälfte ihrer Einnahmen an Verlage auszuzahlen. 
Quelle: BGH PM

OGH: Online-Banking und Haftung nach einer erfolgreichen Phishing-Attacke

OGH 15.03.2016, 10 Ob 102/15w
Auch mit einem Kleinstunternehmer kann im Rahmen des Online-Bankings rechtswirksam vereinbart werden, dass dieser, sofern er seine persönlichen Sicherheits- und Identifikationsmerkmale einem Dritten überlässt oder ein unberechtigter Dritter infolge einer Sorgfaltswidrigkeit des Unternehmers Kenntnis von dessen persönlichen Sicherheits- und Identifikationsmerkmalen erlangt, bis zur Wirksamkeit der Sperre alle Folgen und Nachteile infolge dieser missbräuchlichen Verwendung zu tragen hat.
Quelle: OGH PM

15.04.2016

RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse

Das Europ. Parlament hat am 14.4.2016 die Richtlinie des Europäischen Parlaments und des Rates über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung beschlossen.
Am Donnerstag hat das Parlament eine neue Richtlinie angenommen, mit der Unternehmen durch die Bereitstellung von Rechtsbehelfen im Falle von Diebstählen oder dem Missbrauch von Geschäftsgeheimnissen unterstützt werden sollen. Die Abgeordneten konnten in den Verhandlungen mit dem Rat einen besseren Schutz für Journalisten und Whistleblower durchsetzen.
Quelle: PM EP

14.04.2016

OGH: Einkommensunterlagen im Unterhaltsstreit und der Datenschutz (§ 85 GOG)

OGH 23.02.2016, 6 Ob 225/15d
Einholung einer Auskunft über die Einkommensverhältnisse durch das zuständige Bezirksgericht unter Hinweis auf § 7 DSG und § 102 AußStrG beim Dienstgeber, nachdem der Unterhaltsverpflichtete eine Auskunft darüber abgelehnt hatte - Begehren des Unterhaltsverpflichteten gemäß § 85 GOG auf Feststellung der Verletzung des Rechts auf Geheimhaltung schutzwürdiger personenbezogener Daten

European Parliament adopts GDPR (and the Data Protection Directive)

New EU data protection rules which aim to give citizens back control of their personal data and create a high, uniform level of data protection across the EU fit for the digital era was given their final approval by MEPs on Thursday. The reform also sets minimum standards on use of data for policing and judicial purposes.
Next steps
The regulation will enter into force 20 days after its publication in the EU Official Journal. Its provisions will be directly applicable in all member states two years after this date.
Member states will have two years to transpose the provisions of the directive into national law.
Sources: Press releases by the EP and the Commission

UpdateNote from the General Secretariat of the Council regarding Outcome of the European Parliament's second reading of the GDPR, dated 15 April 2016:
Since no amendment had been adopted, the President of the European Parliament declared the Council's position at first reading approved.
The text of the European Parliament's legislative resolution is annexed to this note:
The European Parliament, [...]
1. Approves the Council position at first reading;
2. Notes that the act is adopted in accordance with the Council position;
3. Instructs its President to sign the act with the President of the Council, in accordance with Article 297(1) of the Treaty on the Functioning of the European Union;
4. Instructs its Secretary-General to sign the act, once it has been verified that all the procedures have been duly completed, and, in agreement with the Secretary-General of the Council, to arrange for its publication in the Official Journal of the European Union;
5. Instructs its President to forward its position to the Council, the Commission and the national parliaments.

13.04.2016

Art. 29 WP: Opinion on the EU – U.S. Privacy Shield draft adequacy decision

Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision:
[...] 5.1 Three points of concern
However, three major points of concern do remain, that in the view of the WP29 will need to be addressed. The first concern is that the language used in the draft adequacy decision does not oblige organisations to delete data if they are no longer necessary. This is an essential element of EU data protection law to ensure that data is kept for no longer than necessary to achieve the purpose for which the data were collected. Secondly, the WP29 understands from Annex VI that the U.S. administration does not fully exclude the continued collection of massive and indiscriminate data. The WP29 has consistently held that such data collection, is an unjustified interference with the fundamental rights of individuals. The third point of concern regards the introduction of the Ombudsperson mechanism. Even though the WP29 welcomes this unprecedented step creating an additional redress and oversight mechanism for individuals, concerns remain as to whether the Ombudsperson has sufficient powers to function effectively. As a minimum, both the powers and the position of the Ombudsperson need to be clarified in order to demonstrate that the role is truly independent and can offer an effective remedy to non-compliant data processing. [...]

12.04.2016

Österreichs Vorbehalte gegen die Datenschutz-Grundverordnung (aktualisiert)

Update 12.04.2016: Der Rat hat seinen Standpunkt in erster Lesung im Hinblick auf den Erlass der DS-GVO am 8.4.2016 angenommen, Österreich hat dagegen gestimmt, hier die Begründung ("Statement") Österreichs (im Dokument, deutsch, in English here):
[...] Durch die Datenschutz-Grundverordnung wird das Datenschutzniveau, wie es sich aus der derzeit in Kraft stehenden Richtlinie 95/46/EG bzw. aus deren Umsetzung im innerstaatlichen
Datenschutzrecht ergibt, teilweise unterschritten. Ein „Ausgleich“ dieser unionsrechtlichen Defizite
im Rahmen des innerstaatlichen Rechts ist angesichts der vorgesehenen Rechtsaktform einer
Verordnung nicht möglich. Dies betrifft vor allem folgende Punkte: [...]
--
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) [erste Lesung] – Politische Einigung = Erklärungen Österreichs und der Kommission (5455/16 ADD 1 REV 1 [pdf]; English version)
Die Delegationen erhalten nachstehend die Erklärungen, die auf Wunsch der österreichischen Delegation bzw. der Kommission in das Protokoll über die Ratstagung am 12. Februar 2016, auf der die politische Einigung über den obengenannten Vorschlag gebilligt wird, aufgenommen werden sollen.
Erklärung der österreichischen Delegation:
Österreich hat immer versucht, zu einer Verordnung beizutragen, die im Einklang mit den Grund-rechten steht und zugleich auch die Interessen der Wirtschaft berücksichtigt, so dass das Ergebnis auch wirklich praktikabel ist.
Für viele Probleme wurden passende Lösungen gefunden. Leider bleiben aus unserer Sicht noch einige wichtige Fragen offen.
Unter anderem bietet der endgültige Kompromisstext keinen kohärenten Ansatz bezüglich des Zusammenspiels zwischen dem Grundsatz der Zweckbindung nach Artikel 5 Absatz 1 Buchstabe b in Verbindung mit den Erfordernissen einer rechtlichen Grundlage nach Artikel 6 Absatz 1 einerseits und der "Vereinbarkeitsprüfung" nach Artikel 6 Absatz 3a andererseits. Die praktische Durchführbarkeit der Artikel 5 und 6 ist daher in ihrer Gesamtheit fraglich.
Darüber hinaus vertritt Österreich weiterhin die Auffassung, dass der Umstand, dass die Beweislast, wie in Artikel 6 Absatz 1 Buchstabe f vorgesehen, der betroffenen Person auferlegt wird, sowohl dem Schutzzweck der Verordnung als auch Artikel 8 der Grundrechtecharta widerspricht.
Österreich hat in seinem Vermerk für die 3396. Ratstagung (DS 1384/15) weitere wichtige Fragen aufgeführt, die gelöst werden müssen. Um Wiederholungen zu vermeiden, bezieht sich Österreich auf die weiterhin aktuellen Nummern 2 bis 7 und 10 dieses Vermerks.
Insgesamt bedauert Österreich daher, dass es nicht in der Lage ist, dem endgültigen Kompromisstext in der vorgeschlagenen Fassung zuzustimmen.
[...]

Parl. Anfragebeantwortung zur Implementierung der DS-GVO in Österreich

Gestern ist die Beantwortung (pdf) der parlamentarischen Anfrage "betreffend Unternehmerpflichten im Datenschutz (Datenschutz-Grundverordnung – DSGVO)" im NR eingelangt. Wer sich detaillierte Antworten gewünscht hat, wird wohl enttäuscht sein und feststellen, dass die politische Willensbildung offenbar noch nicht abgeschlossen ist ...
Aufgrund des Inkrafttretens der Datenschutz-Grundverordnung besteht erheblicher Anpassungsbedarf im Hinblick auf das nationale Datenschutzrecht, insbesondere das Datenschutzgesetz 2000 (DSG 2000). Die Datenschutz-Grundverordnung wird unmittelbar anwendbar sein, insofern sind nationale Umsetzungsregelungen grund-sätzlich weder erforderlich noch zulässig. Die Datenschutz-Grundverordnung bedarf jedoch mitunter einer innerstaatlichen Ausgestaltung bzw. erfordert Öffnungsklauseln Regelungen im innerstaatlichen Bereich. [...]
Die innerstaatliche Durchführung und Umsetzung des Datenschutzpakets muss somit bis spätestens Juni 2018 erfolgen. Es wird daher nach Abschluss des unionsrechtlichen Legislativprozesses so rasch wie möglich ein Ministerialentwurf für einen Gesetzestext erarbeitet werden, welcher einer Begutachtung zu unterziehen sein wird. [...]

07.04.2016

DS-GVO: Redigierte Textfassung für Ratsbeschluss verfügbar (updated)

Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der Datenschutz-Grundverordnung, finales Beschlussfassungstext (DE, pdf; aktualisiert: Version 5419/1/16 REV 1; English version) für die morgige Ratssitzung. Einen englischsprachigen Versionenvergleich gibt es hier.

Update: Laut dem Berichterstatter (Rapporteur) im EP, Jan Albrecht, wird über diese Fassung morgen im Rat abgestimmt, am 12.4. im Justizausschuss und am 14.4. im EP.
Update 2: Vom Rat angenommen, nur Österreich (Outcome of the written procedure initiated by CM 2196/16, pdf) hat dagegen gestimmt. Entwurf der Begründung des Rates (pdf; mE für Interpretationszwecke heranziehbar; Update: finale Fassung der Begründung des Rates)
Update 3: EUR-Lex Übersichtsdokument Gesetzwerdung;
Mitteilung der Kommission an  das EP gemäß Artikel 294 Absatz 6 AEUV betreffend den Standpunkt des Rates im Hinblick auf den Erlass der Datenschutz-Grundverordnung und zur Aufhebung der Richtlinie 95/46/EG (COM/2016/0214 final):
[...] Die Kommission unterstützt die Ergebnisse der Verhandlungen zwischen den Organen und akzeptiert daher den vom Rat in erster Lesung festgelegten Standpunkt. [...]
Update 4: Note from the General Secretariat of the Council, dated 15 April 2016:
Since no amendment had been adopted, the President of the European Parliament declared the Council's position at first reading approved.
The text of the European Parliament's legislative resolution is annexed to this note:
The European Parliament, [...]
1. Approves the Council position at first reading;
2. Notes that the act is adopted in accordance with the Council position;
3. Instructs its President to sign the act with the President of the Council, in accordance with Article 297(1) of the Treaty on the Functioning of the European Union;
4. Instructs its Secretary-General to sign the act, once it has been verified that all the procedures have been duly completed, and, in agreement with the Secretary-General of the Council, to arrange for its publication in the Official Journal of the European Union;
5. Instructs its President to forward its position to the Council, the Commission and the national parliaments.

06.04.2016

Paper: Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights?

Dominik Herrmann, Jens Lindemann, Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights? (pdf)
Abstract:
EU Directive 95/46/EC and the upcoming EU General Data Protection Regulation grant Europeans the right of access to data pertaining to them. Consumers can approach their service providers to obtain all personal data stored and processed there. Furthermore, they can demand erasure (or correction) of their data. We conducted an undercover field study to determine whether these rights can be exerted in practice. We assessed the behaviour of the vendors of 150 smartphone apps and 120 websites that are popular in Germany. Our deletion requests were fulfilled in 52 to 57% of the cases and less than half of the data provision requests were answered satisfactorily. Further, we observed instances of carelessness: About 20% of website owners would have disclosed our personal data to impostors. The results indicate that exerting privacy rights that have been introduced two decades ago is still a frustrating endeavour most of the time. 

CJEU: Request for a preliminary ruling regarding interpretation of Article 7(f) of Directive 95/46/EC

Request for a preliminary ruling from the Augstākā tiesa (Latvia) lodged on 8 January 2016 — Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas pašvaldības SIA ‘Rīgas satiksme’, Case C-13/16
Question referred:
Must the phrase ‘is necessary for the purposes of the legitimate interests pursued by the … third party or parties to whom the data are disclosed’, in Article 7(f) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, be interpreted as meaning that the National Police must disclose to Rīgas satiksme the personal data sought by the latter which are necessary in order for civil proceedings to be initiated? Is the fact that, as the documents in the case file indicate, the taxi passenger whose data is sought by the Rīgas satiksme was a minor at the time of the accident relevant to the answer to that question?

Newsletter 02/2016 der österr. Datenschutzbehörde erschienen

Newsletter 02/2016 der DSB (noch nicht online, pdf):
U.a. mit einem Kurzüberblick zur DS-GVO, drei Entscheidungen der DSB betreffend Auskunft zu automatisierten Einzelentscheidungen (§ 49 Abs 3 DSG 2000), zur Geltendmachung des Auskunftsrechts durch Vertreter/Rechtsnachfolger von verstorbenen Betroffenen und zur Veröffentlichung von Klassenfotos (DSB-D122.347/0005-DSB/2015):
Die Veröffentlichung des Bildes eines Schulkindes auf einer Schulhomepage ist eine Verwendung personenbezogener Daten (Bilddaten) gemäß § 4 Z 1 DSG 2000, an denen ein schutzwürdiges Geheimhaltungsinteresse besteht.
Die Datenverwendung durch Schulen ist gesetzlich (Bundes-Schulaufsichtsgesetz, SchUG, SchOG) nur kursorisch geregelt. Mangels einer ausdrücklichen gesetzlichen Ermächtigung zur Verarbeitung und Übermittlung von Bilddaten der Schüler für den Zweck der Gestaltung einer Schulhomepage, kommt hier für einen solchen Eingriff in das Grundrecht auf Geheimhaltung nur eine – jederzeit widerrufbare - Zustimmung des Betroffenen gemäß § 4 Z 14 und § 8 Abs. 1 Z 2 DSG 2000 in Betracht.
Diese Zustimmung ist jedoch, wie laut Sachverhalt feststeht, von den Eltern des Beschwerdeführers nie wirksam erteilt worden.

Finale deutsche Fassung der DS-GVO (Text d. Standpunkts d. Rates in 1. Lesung) soll heute vorliegen

Rat der EU, I-PUNKT-VERMERK: Entwurf einer Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (allgemeine Datenschutz-Verordnung) (erste Lesung) (7530/16; pdf)
– Annahme des Standpunktes des Rates und Begründung des Rates
= Beschluss über die Anwendung des schriftlichen Verfahrens[...] Im Anschluss an die Überarbeitung durch die Rechts- und Sprachsachverständigen wird der
Text des Standpunkts des Rates in erster Lesung (Dok. 5419/16) in allen Amtssprachen der
Europäischen Union am 6. April 2016 am Tagesende vorliegen. Die Begründung des Rates im
Addendum zu dem Standpunkt des Rates in erster Lesung wird am 7. April 2016 vorliegen. [...]
Update: Siehe hier

05.04.2016

BRD: Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen

Diese Orientierungshilfe enthält Hinweise zur datenschutzgerechten Formulierung und Gestaltung von schriftlichen Einwilligungserklärungen nach § 4a Bundesdatenschutzgesetz (BDSG) und elektronischen Texten nach § 13 Abs. 2 und Abs. 3 des Telemediengesetzes (TMG). Einwilligungen in Übermittlungen in Drittstaaten werden von dieser Orientierungshilfe nicht erfasst. Ergänzend sind gegebenenfalls die gesetzlichen Regelungen zu Allgemeinen Geschäftsbedingungen zu beachten. [...]

01.04.2016

Bitkom: Überarbeitete Auflage des Praxisleitfadens "Das Verfahrensverzeichnis"

Das Verfahrensverzeichnis - Übersicht über die Verfahren automatisierter Verarbeitungen nach § 4g Absatz 2 Bundesdatenschutzgesetz (BDSG).
Aus dem Vorwort:
[...] Änderungen in der Gesetzgebungs- und Aufsichtspraxis bis Dezember 2015 wurden berücksichtigt. Im Dezember 2015 wurde das Trilogverfahren zur EU-Datenschutzgrundverordnung (EU-DS-GVO-E) abgeschlossen. Sie wird nach Ende der Übergangsfristen Mitte des Jahres 2018 weite Teile des geltenden Datenschutzrechts ablösen. Auch die Vorgaben zur Führung eines Verfahrensverzeichnisses werden sich 2018 ändern, da zwar die allgemeine Meldepflicht nach § 4d Abs. 1 BDSG entfällt, gleichwohl eine allgemeine Dokumentationspflicht für die verantwortliche Stelle und auch Auftragsdatenverarbeiter bestehen bleibt (Artikel 28 EU-DS-GVO-E). Da diese wiederum Informationen zur verantwortlichen Stelle, dem Zweck der Verarbeitung, Daten- und Personenkategorien, Übermittlungen sowie Löschfristen und Sicherungsmaßnahmen umfasst, wird weiterhin das Datenschutzmanagement dokumentiert werden müssen, sofern der Betrieb nicht gemäß
Art. 28 Abs. 4 EU-DS-GVO-E befreit ist. Außerdem wird zukünftig bei zahlreichen Anwendungen Art.
33 EU-DS-GVO-E ein »privacy impact assessment« erforderlich, also eine risikobasierte Folgenabschätzung. Auch hierfür ist eine genaue Dokumentation empfehlenswert. Die vorliegende Publikation deckt also nicht nur den Zeitraum bis 2018 ab, sondern kann Basis der Anpassung an die
dann anzuwendenden Vorschriften sein. [...]
Siehe zum Entstehungshintergrund auch hier, zur "Datenschutz-Folgeabschätzung" (PIA) schon im Blog hier.