28.07.2016

EuGH: Rechtssache VKI vs Amazon EU Sàrl (Verbandsklage, AGB, Niederlassung, anwendbares Datenschutzrecht)

EuGH, 28.07.2016, Rs C-191/15 - Verein für Konsumenteninformation gegen Amazon EU Sàrl; (mehr dazu beim VKI; zu den Vorlagefragen des OGH und den Schlussanträgen siehe schon hier und hier im Blog):
[...] Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
1.      Die Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I) und die Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11. Juli 2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht (Rom II) sind dahin auszulegen, dass unbeschadet des Art. 1 Abs. 3 beider Verordnungen das auf eine Unterlassungsklage im Sinne der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen, die sich gegen die Verwendung vermeintlich unzulässiger Vertragsklauseln durch ein in einem Mitgliedstaat ansässiges Unternehmen richtet, das im elektronischen Geschäftsverkehr Verträge mit Verbrauchern abschließt, die in anderen Mitgliedstaaten, insbesondere im Staat des angerufenen Gerichts, ansässig sind, anzuwendende Recht nach Art. 6 Abs. 1 der Verordnung Nr. 864/2007 zu bestimmen ist, während das bei der Beurteilung einer bestimmten Vertragsklausel anzuwendende Recht stets anhand der Verordnung Nr. 593/2008 zu bestimmen ist, unabhängig davon, ob diese Beurteilung im Rahmen einer Individualklage oder einer Verbandsklage vorgenommen wird.
2.      Art. 3 Abs. 1 der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen ist dahin auszulegen, dass eine in allgemeinen Geschäftsbedingungen eines Gewerbetreibenden enthaltene Klausel, die nicht im Einzelnen ausgehandelt wurde und nach der auf einen auf elektronischem Weg mit einem Verbraucher geschlossenen Vertrag das Recht des Mitgliedstaats anzuwenden ist, in dem der Gewerbetreibende seinen Sitz hat, missbräuchlich ist, sofern sie den Verbraucher in die Irre führt, indem sie ihm den Eindruck vermittelt, auf den Vertrag sei nur das Recht dieses Mitgliedstaats anwendbar, ohne ihn darüber zu unterrichten, dass er nach Art. 6 Abs. 2 der Verordnung Nr. 593/2008 auch den Schutz der zwingenden Bestimmungen des Rechts genießt, das ohne diese Klausel anzuwenden wäre; dies hat das nationale Gericht im Licht aller relevanten Umstände zu prüfen.
3.      Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine Verarbeitung personenbezogener Daten durch ein im elektronischen Geschäftsverkehr tätiges Unternehmen dem Recht jenes Mitgliedstaats unterliegt, auf den das Unternehmen seine Geschäftstätigkeit ausrichtet, wenn sich zeigt, dass das Unternehmen die fragliche Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung vornimmt, die sich in diesem Mitgliedstaat befindet. Es ist Sache des nationalen Gerichts, zu beurteilen, ob dies der Fall ist.

Handelsgericht Wien zur anteiligen Rückerstattung der "SIM-Pauschale"

HG Wien 05.07.2016, 39 Cg 60/15i (pdf):
Das Handelsgericht Wien beurteilte eine Klausel als nichtig, die dem Verbraucher die anteilige Rückerstattung der Kosten für die SIM-Pauschale im Falle einer (vorzeitigen) Vertragsbeendigung verwehrt.
Quelle: VKI

25.07.2016

Art. 29 WP: Opinion on the evaluation and review of the ePrivacy Directive

Opinion 03/2016 on the evaluation and review of the ePrivacy Directive  (2002/58/EC), WP 240 (pdf)
Update: EDPS opinion (pdf)

22.07.2016

CJEU: Advocate General’s Opinion on data retention by providers of electronic communication services

Just for my legal memory ...
Advocate General’s Opinion in Joined Cases C-203/15 Tele2 Sverige AB v Post-och telestyrelsen and C-698/15 Secretary of State for Home Department v Tom Watson and Others (press release):
VI –  Conclusion
263. In light of the foregoing, I propose that the Court’s answer to the question referred for a preliminary ruling by the Kammarrätten i Stockholm (Administrative Court of Appeal, Stockholm, Sweden) and the Court of Appeal (England & Wales) (Civil Division) should be as follows:
Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (‘Directive on privacy and electronic communications’), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, and Articles 7, 8 and 52(1) of the Charter of Fundamental Rights of the European Union are to be interpreted as not precluding Member States from imposing on providers of electronic communications services an obligation to retain all data relating to communications effected by the users of their services where all of the following conditions are satisfied, which it is for the referring courts to determine in the light of all the relevant characteristics of the national regimes at issue in the main proceedings:
–        the obligation and the safeguards which accompany it must be provided for in legislative or regulatory measures possessing the characteristics of accessibility, foreseeability and adequate protection against arbitrary interference;
–        the obligation and the safeguards which accompany it must observe the essence of the rights recognised by Articles 7 and 8 of the Charter of Fundamental Rights;
–        the obligation must be strictly necessary in the fight against serious crime, which means that no other measure or combination of measures could be as effective in the fight against serious crime while at the same time interfering to a lesser extent with the rights enshrined in Directive 2002/58 and Articles 7 and 8 of the Charter of Fundamental Rights;
–        the obligation must be accompanied by all the safeguards described by the Court in paragraphs 60 to 68 of its judgment of 8 April 2014 in Digital Rights Ireland and Others (C‑293/12 and C‑594/12, EU:C:2014:238) concerning access to the data, the period of retention and the protection and security of the data, in order to limit the interference with the rights enshrined in Directive 2002/58 and Articles 7 and 8 of the Charter of Fundamental Rights to what is strictly necessary; and
–        the obligation must be proportionate, within a democratic society, to the objective of fighting serious crime, which means that the serious risks engendered by the obligation, in a democratic society, must not be disproportionate to the advantages which it offers in the fight against serious crime.

UK: The Anonymisation Decision-making Framework (book)

The Anonymisation Decision-making Framework (pdf)
[...] This book has been developed to address a need for a practical guide to anonymisation that gives more operational advice than the ICO’s Anonymisation Code of Practice, whilst being less technical and forbidding than the statistics and computer science literature. The book may be of interest to an anonymisation specialist who would appreciate a fresh, integrated perspective on the topic. However, it is primarily intended for those who have data that they need to anonymise with confidence, usually in order to share it. Our aim is that you should finish the book with a practical understanding of anonymisation and an idea about how to utilise it to advance your business or organisational goals. To make this tractable we have focused on personal data and specifically on information presented in the form of a file or database of individual level records. [...]
Source: UK Anonymisation Network (UKAN)

CJEU: Request for a preliminary ruling on various data protection issues (Facebook Fanpage)

CJEU, request for a preliminary ruling from the Bundesverwaltungsgericht (Germany) lodged on 14 April 2016, Wirtschaftsakademie Schleswig-Holstein GmbH v Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein (joined party: Facebook Ireland Limited), Case C-210/16 (DE)
Background information (in German): ULD, BVerwG (mit Erläuterung der Vorlagefragen).

Bereits die erste (von sechs) Vorlagefragen hat es "in sich", geht es doch darum, ob jemand, der eine Fanpage anlegt (hier: die Wirtschaftsakademie Schleswig-Holstein GmbH; Anm: diese wurde nicht als "Auftraggeber" bzw. als "für die Verarbeitung Verantwortliche" angesehen), dennoch datenschutzrechtlich (mit-)verantwortlich für deren Betrieb sein kann:
1.    Ist Art. 2 Buchst. d) Richtlinie 95/46/EG1 dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt, oder verbleibt im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 Richtlinie 95/46/EG und der „wirksame[n] Eingriffsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 Richtlinie 95/46/EG in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) Richtlinie 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot?
Dazu das BVerwG:
[...] Das vorlegende Gericht hält eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die "verantwortliche Stelle" im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt. Hierauf zielt die erste Vorlagefrage.

18.07.2016

EDPS: Data protection and Whistleblowing

EDPS, Guidelines on processing personal information within a whistleblowing procedure (pdf):
[...] The EDPS Guidelines are designed to help EU institutions and bodies prepare and implement their whistleblowing procedures so that they comply with the obligations set out in the data protection Regulation (REG 45/2001) applicable to the EU administration. In particular, the Guidelines recommend how EU bodies define safe channels for staff to report fraud, ensure the confidentiality of information received and protect the identities of the whistleblower, the accused and anyone else connected to the case. [...]

Source: EDPS press release (pdf)

Austausch von Gesundheitsdaten - Datenschutzrechtliche Anforderungen an Datenaustauschplattformen im Gesundheitswesen

Bereits etwas älter, aber sehr brauchbar:
"Austausch von Gesundheitsdaten - Datenschutzrechtliche Anforderungen an Datenaustauschplattformen im Gesundheitswesen": Die Arbeitsgruppe Datenschutz des Bundesverband Gesundheits-IT – bvitg e. V., die Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen” (DIG) der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V., IHE Deutschland e.V. und der Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen” der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) haben diese Ausarbeitung erstellt und in einem umfangreichen Kommentierungsprozess zu der folgenden Veröffentlichung heranreifen lassen:
1. Datenschutz-bei-Datenaustauschplattformen (.pdf)
2. Datenschutz-bei-Datenaustauschplattformen (.docx)
3. Datenschutz-bei-Datenaustauschplattformen (.odt)
4. Checkliste_Datenaustauschplattform (.xlsx)
5. Datenschutz-bei-Datenaustauschplattformen_Kommentierung (.xlsx)
Quelle: GDD-Arbeitskreis "Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen"

15.07.2016

Microsoft vs United States: keine Datenherausgabe von Drittland-Servern

US Court of Appeals for the 2nd Circuit in New York of 14 July 2016 (Microsoft vs United States, 2nd U.S. Circuit Court of Appeals, Docket No. 14-2985; alternative link):
Microsoft Corporation appeals from orders of the United States District Court for the Southern District of New York (1) denying Microsoft’s motion to quash a warrant (“Warrant”) issued under the Stored Communications Act, 18 U.S.C. §§ 2701 et seq., to the extent that the orders required Microsoft to produce the contents of a customer’s email account stored on a server located outside the United States, and (2) holding Microsoft in civil contempt of court for its failure to comply with the Warrant. We conclude that § 2703 of the Stored Communications Act does not authorize courts to issue and enforce against U.S.‐based service providers warrants for the seizure of customer e‐mail content that is stored exclusively on foreign servers.

13.07.2016

Art 29 WP: Opinion on the publication of Personal Data for Transparency purposes

Article 29 Data Protection Working Party,
Opinion 02/2016 on the publication of Personal Data for Transparency purposes in the Public Sector, WP 239 (pdf):
This Opinion explains how to apply the  data protection principles to the processing and publication of personal data for transparency purposes in the public sector, in particular when related to anti-corruption measures and the management and prevention of conflicts of interest.

12.07.2016

OGH: „Schockrechnung“ nach Hackerangriff (Schutz- und Sorgfaltspflichten des Telekom-Betreibers)

OGH 15.06.2016, 4 Ob 30/16i
[...] Es überspannt nicht die Schutz- und Sorgfaltspflichten der Klägerin als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen. Eine ergänzende Vertragsauslegung führt zum Ergebnis, dass jene Leistungen, die unter Verletzung von Schutz- und Sorgfaltspflichten durch die Klägerin entstanden sind, nicht zu vergüten sind. Es handelt sich bei den durch den Hackerangriff verursachten Leistungen um solche, die bei Einhaltung der gebotenen Sorgfalt der Klägerin nicht angefallen wären. Deren Existenz gelangte nämlich wesentlich früher in den Wahrnehmungsbereich der Klägerin als in jenen der Beklagten. Dessen ungeachtet hat es die Klägerin unterlassen, den Angriff abzuwehren bzw die Beklagte zumindest rechtzeitig zu warnen.
Quelle: OGH-Pressemeldung
Aus dem Urteil:
[...] 7. In der Literatur wird vertreten, dass die einem Betreiber von Kommunikationsdiensten obliegenden Schutz- und Sorgfaltspflichten im Fall ungewöhnlich hoher Verbindungsentgelte eine Reaktion desselben erfordern, etwa in Form einer Warnnachricht (Hasberger/Wagner, Zur Sperrverpflichtung der Kommunikationsanbieter bei Kostenüberschreitung, MR 2013, 346), und dass das bloße Absenden einer Warnnachricht, ohne dass sich der Betreiber versichert, dass ihr Inhalt dem Nutzer auch tatsächlich zur Kenntnis gelangt, in der Regel nicht ausreichend ist (Goldbacher/Dama, Zur Sperrverpflichtung der Kommunikationsanbieter bei Kostenüberschreitung – eine Replik, MR 2014, 113). Gerade deshalb, da die Telekomunternehmen wüssten, dass der Kunde oftmals überfordert ist, seien sehr strenge Schutz-, Aufklärungs- und Sorgfaltspflichten anzunehmen (Schneider, Von „Schockrechnungen“ und dem Mythos, diese bezahlen zu müssen, AnwBl 2012, 309).
8. Im konkreten Fall erbrachte die Klägerin gegenüber der Beklagten Verbindungsleistungen im Rahmen eines ISDN-Anschlusses. Die – im Anlassfall verwirklichte – Gefahr eines Hackerzugriffs wäre für die Klägerin insofern beherrschbar gewesen, als es ihr sowohl personell als auch technisch leicht möglich gewesen wäre, das Wirksamwerden dieser Gefahr durch ein Gebührenmonitoring und eine entsprechende Warnung der Beklagten zu verhindern. Nach den Feststellungen hätten entsprechende Schutzmaßnahmen durch die Klägerin vollautomatisiert und ohne Personaleinsatz erfolgen können, und überdies hat sie im zweiten Halbjahr 2014 ohnehin ein Gebührenmonitoring auf Basis der übermittelten Verrechnungsdaten eingeführt. Die Beklagte selbst hatte hingegen keine Möglichkeit, die Gefahr eines Hackerangriffs durch eigene Vorkehrungen abzuwenden, zumal sie keine Änderungen der Basiseinstellungen an der – durch ein Drittunternehmen installierten – Telefonanlage vornehmen konnte.
9. Es überspannt daher nicht die Schutz- und Sorgfaltspflichten der Klägerin als Betreiberin von Kommunikationsdiensten, wenn man von ihr verlangt, ihr leicht mögliche Maßnahmen zur Abwehr von Hackerangriffen zu ergreifen. [...]

European Commission adopts EU-US Privacy Shield

BGH zur "Freunde finden"-Funktion von Facebook

BGH, Urteil vom 14.01.2016, I ZR 65/14
a) Einladungs-E-Mails, die der Anbieter eines sozialen Netzwerks im Internet an Empfänger sendet, die nicht Mitglieder des sozialen Netzwerks sind und in den Erhalt der E-Mails nicht ausdrücklich eingewilligt haben, stellen eine unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG dar.
[...]
e) Täuscht der Anbieter eines sozialen Netzwerks im Internet die Nutzer im Rahmen des Registrierungsvorgangs über Art und Umfang der mit dem Import von Kontaktdaten verbundenen Datennutzung, so handelt es sich um eine im Sinne des § 5 Abs. 1 Satz 1 UWG wettbewerblich relevante Irreführung.

10.07.2016

Directive on security of network and information systems (NIS)

The Directive on security of network and information systems (the NIS Directive) was adopted by the European Parliament on 6 July 2016. The Directive will enter into force in August 2016. Member States will have 21 months to transpose the Directive into their national laws and 6 months more to identify operators of essential services.
The Directive on Security of Network and Information Systems ('NIS Directive') represents the first EU-wide rules on cybersecurity. The objective of the Directive is to achieve a high common level of security of network and information systems within the EU, by means of:
- Improved cybersecurity capabilities at national level
- Increased EU-level cooperation
- Risk management and incident reporting obligations for operators of essential services and digital service providers
Sources: Press release; FAQ

Prof. Hoeren: Podcast über die DSGVO

Im neuen Podcast zur EU-Datenschutzgrundverordnung gibt Prof. Hoeren einen Überblick über das zukünftige Datenschutzrecht in Deutschland und dem Rest der Europäischen Union. Thematisiert werden unter anderem das Zustandekommen der Verordnung, die wesentlichen Aussagen sowie vorhandene Mängel des Regelungswerkes.
Quelle: ITM

07.07.2016

Event: Launch of The Privacy Lab (WU Vienna)

Launching the Privacy Lab @ WU Vienna, Vienna University of Economic and Business, September 29th-30th, 2016, Vienna, Austria
On the occasion of the inaugural event of the WU’s Privacy & Sustainable Computing Lab, we analyse where we stand in terms of privacy for sustainable computing. This event brings together current perspectives from NGO's, standardisation bodies, researchers, engineers, business and legal representatives.

BayLDA: Videoüberwachung nach der DSGVO

Bayerisches Landesamt für Datenschutzaufsicht, Videoüberwachung nach der DS-GVO - ein Ausblick (pdf):
Eine ausdrückliche gesetzliche Regelung über die Zulässigkeit der Videoüberwachung findet man in der DS-GVO nicht mehr. Viele Datenschutzinteressierte stellen sich deshalb jetzt die durchaus berechtigte Frage, wie mit den bestehenden detaillierten gesetzlichen Regelungen zur Videoüberwachung im BDSG weiter umzugehen ist. Das BayLDA hat diese Fragestellung aufgegriffen und hierzu ein kurzes Papier veröffentlicht, dass den derzeitigen Stand der Diskussion im BayLDA kompakt abbilden soll.
Quelle: BayLDA

04.07.2016

UK: ICO releases annual report 2015/2016

Information Commissioner’s Annual Report and Financial Statements 2015/16 (pdf); press release.
If anyone is interested: details of the remuneration and pension interests of the Information
Commissioner and his most senior officials are to be found on page 58.