31.05.2016

Spring Conference of the European Data Protection Authorities: Resolutions and Reports

EDPS: Opinion on the EU-U.S. Privacy Shield draft adequacy decision

EDPS, Opinion on the EU-U.S. Privacy Shield draft adequacy decision (pdf)
In his capacity as an independent supervisor of the EU institutions and advisor to the EU legislator, the European Data Protection Supervisor (EDPS) today [30 May 2016] published his Opinion on the EU-U.S. Privacy Shield in which he offers practical solutions to address some of the concerns the proposal raises. [...]
With the new General Data Protection Regulation (GDPR) to be fully implementable across the EU in May 2018, the EDPS points out that it will be applicable to all data protection related matters including transfers of data. Also taking into account the observations and concerns shared with him by MEPS, industry, civil society academia and other interlocutors, the EDPS urges the legislators to take their time in finding an adequate, long-term solution.
Source: EDPS press release (pdf)

Bergauer, Das materielle Computerstrafrecht (Volltext)

Christian Bergauer, Das materielle Computerstrafrecht (Volltext als e-book [pdf], Open Access unter CC-Lizenz):
Die vorliegenden Arbeit setzt sich mit den modernen Erscheinungsformen der Computerkriminalität auseinander. Dabei werden die einschlägigen Computerdelikte unter Einbeziehung der legistischen Bemühungen des europäischen wie österreichischen Gesetzgebers, der bis dato vorliegenden Literaturmeinungen und – soweit vorhanden – einschlägiger Judikate aus rechtspolitischer und insbesondere dogmatischer Sicht analysiert und in vielen Bereichen mit eigenen Ansätzen des Verfassers unterfüttert.
Dem Anliegen des Autors, die Anwendbarkeit und Wirksamkeit dieser Strafbestimmungen bezüglich aktueller Phänomene der Computerkriminalität – wie etwa Denial-of-Service-Attacks, Hacktivismus, Malware, Cyber-Terrorismus, Cyber-Stalking, Cyber-Grooming, Kinderpornographie, Missbräuche im Zahlungsverkehr, Phishing, Skimming, Datenfälschungen usw – zu untersuchen, wird im vorliegenden Werk ausreichend Rechnung getragen.
Quelle: Jan Sramek-Verlag

25.05.2016

European Commission updates EU audiovisual rules and presents targeted approach to online platforms

As part of its Digital Single Market strategy, today the European Commission presented an updated Audiovisual Media Services Directive (AVMSD). At the same time, the Commission has presented a three-pronged plan to boost e-commerce by tackling geoblocking, making cross-border parcel delivery more affordable and efficient and promoting customer trust through better protection and enforcement.
Press release: Commission updates EU audiovisual rules and presents targeted approach to online platforms; Fact Sheet on boosting E-Commerce
Documents adopted today:
Proposal for a revised Directive on audiovisual media services
Communication on online platforms and the Digital Single Market
Staff working document on online platforms and the Digital Single Market

EDPS issues Annual Report 2015

On 24 May 2016, the European Data Protection Supervisor (EDPS) has published its Annual Report 2015 (pdf; Executive Summary; DE; FRpress release). Interestingly, Annex D contains a list of the Data Protection Officers of the various EU institutions and bodies.

Regierungsvorlage: Signatur- und Vertrauensdienstegesetz ("Umsetzung" der eIDAS-VO)

RV Signatur- und Vertrauensdienstegesetz (1145 d.B. 25. GP), aus den Erläuterungen:
Zu § 4:
[...] Es wird daher weiterhin wie in § 4 Abs. 1 des mit Inkrafttreten dieses Gesetzes aufgehobenen Signaturgesetzes in Abs. 1 angeordnet, dass eine qualifizierte elektronische Signatur das rechtliche Erfordernis der Schriftlichkeit im Sinne des § 886 ABGB erfüllt. Andere gesetzliche Formerfordernisse, insbesondere solche, die die Beiziehung eines Notars oder eines Rechtsanwalts oder auch eine gerichtliche Tätigkeit vorsehen, sowie vertragliche Vereinbarungen über die Form sollen unberührt bleiben. In diesem Sinne werden in Abs. 2 besondere Formerfordernisse für bestimmte Arten von Willenserklärungen normiert und in Abs. 3 die Privatautonomie im Verhältnis zwischen Unternehmern und Verbrauchern im Interesse der Verbraucher eingeschränkt. [...]
Die Bestimmung des Absatzes 3 dient der Sicherung der gerechtfertigten Erwartungshaltung von Verbrauchern. In der Anwendungspraxis der letzten Jahre wurde in einer Vielzahl von Fällen von gleichsam „versteckten“ Klauseln in Allgemeinen Geschäftsbedingungen berichtet, die insbesondere die Möglichkeit der Vornahme von Vertragskündigungen durch Verbraucher mittels qualifiziert elektronisch signierter Dokumente ausgeschlossen hatten, obwohl beispielsweise bei Vertragsabschlüssen oder sonstiger Korrespondenz mit den betreffenden Unternehmen die qualifizierte elektronische Signatur von diesen Unternehmen problemlos akzeptiert wurde. Aus Sicht der Verbraucher ist daher im – mittlerweile üblichen – elektronischen Verkehr mit Unternehmen nicht zu erwarten, dass ein Unternehmen ein qualifiziert elektronisch signiertes Dokument nicht akzeptiert. Bei Rechtsgeschäften zwischen Unternehmern und Verbrauchern sollen daher Vertragsbestimmungen, nach denen eine qualifizierte elektronische Signatur nicht das rechtliche Erfordernis der Schriftlichkeit erfüllt, für Anzeigen und Erklärungen, die der Verbraucher dem Unternehmer oder einem Dritten abgibt, nur dann verbindlich sein, wenn diese im Einzelnen ausgehandelt worden sind. In Allgemeinen Geschäftsbedingungen enthaltene Vertragsbestimmungen erfüllen dieses Kriterium nicht. Eine unzulässige Umgehung dieser Bestimmung würde beispielsweise eine Klausel darstellen, wonach Vertragskündigungen in Papierform zu übermitteln sind. [...]
Update 12.07.2016BGBl I 50/2016 kundgemacht am 08.07.2016

17.05.2016

Council position at first reading: Directive on network and information security (NIS)

The Council position at first reading adopted today confirmed the agreement reached with the European Parliament in December 2015. To conclude the procedure, the legal act must still be approved by the European Parliament at second reading. The directive is expected to enter into force in August 2016. 
Source: Press releasePosition of the Council at first reading with a view to the adoption of a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning measures for a high common level of security of network and information systems across the Union (pdf)

CoE: New recommendations on research on biological materials of human origin

A new set of recommendations to the Council of Europe member states on the removal, storage and use of biological materials for research purposes was adopted by the Committee of Ministers yesterday [on 11 May 2016].
It takes into account new developments in the field of biobanking, such as the increasingly diverse origin of biological materials stored in collections, the difficulty to guarantee non-identifiability of such samples, the increasing amount of research involving materials coming from different collections, and the importance of research on biomaterials removed from persons not able to consent. [...]
Source: Press release; Recommendation CM/Rec(2016)6 of the Committee of Ministers to member States on research on biological materials of human origin (Adopted by the Committee of Ministers on 11 May 2016 at the 1256th meeting of the Ministers’ Deputies)

12.05.2016

EuGH: Generalanwalt zu dynamischen IP-Adressen und Personenbezug

EuGH, Schlussanträge des GA vom 12.05.2016, C-582/14 - Breyer; Kurzbesprechung von Breyer hier, von Bergt hier.
Vorlagefragen
1. Ist Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr1 – Datenschutz-Richtlinie – dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?
2. Steht Art. 7 Buchstabe f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

VI – Ergebnis
106. Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen wie folgt zu antworten:
1. Gemäß Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen.
2. Art. 7 Buchst. f der Richtlinie 95/46 ist dahin auszulegen, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist. Eine nationale Rechtsvorschrift, die die Berücksichtigung dieses berechtigten Interesses nicht zulässt, ist mit dem genannten Artikel nicht vereinbar.

Paper on "Competition Law and Data" by French Autorité de la concurrence and German Bundeskartellamt

French Autorité de la concurrence and German Bundeskartellamt have published a joint paper entitled "Competition Law and Data" (pdf):[...] This paper aims to feed this debate by identifying some of the key issues and parameters that may need to be considered when assessing the interplay between data, market power and competition law. For this purpose it is necessary to first clarify what can be meant by “data” or the often cited “big data”, whether there are different types of data with possibly different features, in which possible ways data can be collected and how they are used by firms (section II). The various theories of harm usually associated with data collection and exploitation in digital markets are presented in section III. Finally, in view of these two sections, section IV discusses some of the parameters that are to be considered in assessing the relevance and credibility of these theories of harm. [...]

Policy Paper zur DSGVO - Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet?

Forum Privatheit, Die neue Datenschutzgrundverordnung - Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet? (pdf; Autoren: Alexander Roßnagel, Maxi Nebel):
[...] Angesichts der vielen Schwachstellen der Datenschutz-Grundverordnung fällt das Fazit im Policy Paper eindeutig aus: Eine Harmonisierung und Wettbewerbsangleichung des EU-Datenschutzrechts wird gar nicht, eine Modernisierung nur teilweise erreicht. Die Datenschutz-Regelungen der Mitgliedsstaaten haben zudem weiter Bestand. Insgesamt wurden damit viele Chancen zur Stärkung des Datenschutzes in der EU verpasst. Dennoch gibt es wie im Falle des "Marktortprinzips" auch Fortschritte. Bevor die Grundverordnung in den kommenden zwei Jahren allerdings in Kraft treten kann, sind die Mitgliedstaaten, Aufsichtsbehörden, Verbände, der Europäische Datenschutz-Ausschuss sowie der europäische Gesetzgeber gefragt, so schnell wie möglich ergänzende rechtssichere und risikoadäquate Regelungen zu treffen.  [...]
Quelle: Pressemeldung Forum Privatheit

09.05.2016

OGH: Auto-Vervollständigungsfunktion einer Suchmaschine vs allg Persönlichkeitsrecht

OGH 30.03.2016, 6 Ob 26/16s (Der StandardDie Presse)
[Anm: mit Ausführungen zur internationalen Zuständigkeit und anwendbarem Recht]
[...] Die Klägerin strebt im Rechtsmittelverfahren (vgl ihren Rekursantrag) im Ergebnis nur mehr die Unterlassung der automatischen Vervollständigung des Suchbegriffs I***** M***** mit dem Begriff S***** S***** an. Dies ist auch die einzige Aussage, die die Beklagte mit ihren AutoComplete-Vorschlägen macht; sie verknüpft den früheren bürgerlichen Namen der Klägerin mit jenem Namen, auf den der frühere Name nach § 1 Abs 1 Z 1, § 2 Abs 1 Z 11 NÄG (Namensänderung aus sonstigen Gründen) geändert wurde. [...] 
3.2. Dieser Auffassung [des BGH] schließt sich der Oberste Gerichtshof auch für den österreichischen Rechtsbereich an. Damit trifft die Beklagte aber grundsätzlich eine Haftung, wenn sie trotz Hinweises durch einen Betroffenen einen die Persönlichkeitsrechte verletzenden Ergänzungsvorschlag der Auto-Vervollständigungsfunktion nicht beseitigt, ist sie als Suchmaschinenbetreiber doch in einem solchen Fall in Kenntnis einer Rechtsverletzung, aufgrund deren sie einzuschreiten hätte (dBGH VI ZR 269/12; vgl auch Mann in Spindler/Schuster, Recht der elektronischen Medien³ [2015] § 823 BGB³ Rn 31). [...] 
4.1. Nach ständiger Rechtsprechung des Obersten Gerichtshofs besteht kein allgemeines Recht, dass der Gebrauch des Namens eines anderen, soweit dies durch bloße Namensnennung geschieht, unterlassen wird; die allfällige Rechtswidrigkeit einer solchen Namensnennung ergibt sich erst aus dem Inhalt der damit verbundenen Aussage (RIS-Justiz RS0009319). Anders als bei der Verletzung des Namensrechts kommt es bei der Verletzung des allgemeinen Persönlichkeitsrechts durch eine Namensnennung nicht entscheidend darauf an, ob der Namensträger die Namensnennung gestattet hat; der Namensträger hat kein uneingeschränktes Recht zu entscheiden, ob sein Name in der Öffentlichkeit genannt werden darf oder nicht (RIS-Justiz RS0109217 [T3]). Der Gebrauch des Namens verstößt jedoch (nur dann) gegen § 16 ABGB, wenn die Namensnennung in einer schutzwürdige Interessen des Genannten beeinträchtigenden Weise erfolgt (RIS-Justiz RS0009319 [T1]). Hat der Betroffene nicht zugestimmt und besteht weder ein gesetzliches Verbot noch eine ausdrückliche gesetzliche Ermächtigung, hängt die Frage der Rechtswidrigkeit der Namensnennung deshalb von einer vorzunehmenden Interessenabwägung ab (RIS-Justiz RS0009319 [T3], RS0008998). Eine Verletzung liegt regelmäßig vor, wenn über den Namensträger etwas Unrichtiges ausgesagt wird, das sein Ansehen und seinen guten Ruf beeinträchtigt, ihn bloßstellt oder lächerlich macht (RIS-Justiz RS0009319 [T10]). Ist die Namensnennung nicht gesetzlich verboten und hat der Namensträger einen sachlichen Anlass zur Nennung seines Namens gegeben, dann wiegt das Informationsbedürfnis der Öffentlichkeit hingegen regelmäßig schwerer als der Schutz der Privatsphäre (RIS-Justiz RS0008998 [T8], RS0009003 [T3]). [...] 
4.3. Soweit die Klägerin meint, durch die schlichte Nennung ihres früheren bürgerlichen Namens sei sie in ihren Persönlichkeitsrechten verletzt und werde ihre Privatsphäre beeinträchtigt, kann dem nicht gefolgt werden. [...]

Some reading tips (White House report on Big Data and more)


04.05.2016

DSGVO im Amtsblatt veröffentlicht (GDPR published in the Official Journal)

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4.5.2016, S. 1–88; (html, pdf), sie gilt ab dem 25. Mai 2018 (siehe Art 99 Abs 2)

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88; (html, pdf), it shall apply from 25 May 2018 (see Article 99 (2))

Und hier im ABl noch die
Begründung des Rates: Standpunkt (EU) Nr. 6/2016 des Rates in erster Lesung im Hinblick auf den Erlass einer Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. C 159 vom 3.5.2016, S. 83–98