27.01.2017

EuGH: Verletzung geistigen Eigentums und Schadensersatzberechnung

EuGH 25.01.2017, Rs C‑367/15
Aus diesen Gründen hat der Gerichtshof (Fünfte Kammer) für Recht erkannt:
Art. 13 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums ist dahin auszulegen, dass er einer nationalen Regelung wie der im Ausgangsverfahren fraglichen, wonach der Inhaber des verletzten Rechts des geistigen Eigentums von der Person, die dieses Recht verletzt hat, entweder die Wiedergutmachung des erlittenen Schadens – bei der sämtliche für den Anlassfall maßgebenden Aspekte zu berücksichtigen sind – oder, ohne den tatsächlichen Schaden nachweisen zu müssen, die Zahlung einer Geldsumme verlangen kann, die dem Doppelten der angemessenen Vergütung entspricht, die für die Erteilung der Erlaubnis zur Nutzung des betreffenden Werks zu entrichten gewesen wäre, nicht entgegensteht.

EuGH: E-Banking-Mailbox und Mitteilung auf einem dauerhaften Datenträger

EuGH 25.01.2017, Rs C‑375/15 BAWAG PSK ./. VKI
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Art. 41 Abs. 1 und Art. 44 Abs. 1 der Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG in der durch die Richtlinie 2009/111/EG des Europäischen Parlaments und des Rates vom 16. September 2009 geänderten Fassung sind in Verbindung mit Art. 4 Nr. 25 der Richtlinie dahin auszulegen, dass Änderungen der Informationen und Vertragsbedingungen im Sinne des Art. 42 der Richtlinie sowie Änderungen des Rahmenvertrags, die der Zahlungsdienstleister dem Zahlungsdienstnutzer über eine Mailbox auf einer E‑Banking-Website übermittelt, nur dann im Sinne dieser Bestimmungen auf einem dauerhaften Datenträger mitgeteilt werden, wenn zwei Voraussetzungen erfüllt sind:
– Die Website gestattet es dem Zahlungsdienstnutzer, an ihn persönlich gerichtete Informationen derart zu speichern, dass er sie in der Folge für eine angemessene Dauer einsehen kann und ihm die unveränderte Wiedergabe gespeicherter Informationen möglich ist, ohne dass ihr Inhalt durch den Zahlungsdienstleister oder einen Administrator einseitig geändert werden kann, und,
– sofern der Zahlungsdienstnutzer die Website besuchen muss, um von den betreffenden Informationen Kenntnis zu erlangen, geht mit ihrer Übermittlung einher, dass der Zahlungsdienstleister von sich aus tätig wird, um den Zahlungsdienstnutzer davon in Kenntnis zu setzen, dass die Informationen auf der Website vorhanden und verfügbar sind.
Falls der Zahlungsdienstnutzer eine solche Website besuchen muss, um von den betreffenden Informationen Kenntnis zu erlangen, werden sie ihm lediglich im Sinne von Art. 36 Abs. 1 Satz 1 der Richtlinie 2007/64 in der durch die Richtlinie 2009/111 geänderten Fassung zugänglich gemacht, wenn mit ihrer Übermittlung nicht einhergeht, dass der Zahlungsdienstleister in der genannten Weise von sich aus tätig wird.
Mehr dazu beim VKI.

FTC: Report on Cross-Device Tracking

Cross-Device Tracking: A Federal Trade Commission Staff Report (January 2017):
The Federal Trade Commission has released Cross-Device Tracking: An FTC Staff Report that describes the technology used to track consumers across multiple Internet-connected devices, the benefits and challenges associated with it, and industry efforts to address those challenges. The report concludes by making recommendations to industry about how to apply traditional principles like transparency, choice, and security to this relatively new practice. [...]
Source: FTC press release

Datenschutztag in Liechtenstein: Präsentationen online

25.01.2017

CoE committee issues Guidelines on Big Data

The Guidelines on Big Data adopted by the Consultative Committee of the Council of Europe´s data protection convention (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, also known as Convention 108) provides valuable assistance to policy makers and to organisations processing personal data to ensure that persons are placed at the centre of our digital economies. [...]
Source: CoE

20.01.2017

ENISA: Study on Cyber Security and Resilience of smart cars

The objective of this study [Cyber Security and Resilience of smart cars - Good practices and recommendations; pdf] is to identify good practices that ensure the security of smart cars against cyber threats, with the particularity that smart cars’ security shall also guarantee safety. The study lists the sensitive assets present in smart cars, as well as the corresponding threats, risks, mitigation factors and possible security measures to implement. To obtain this information, experts in the fields and areas related with smart cars were contacted to gather their know-how and expertise. These exchanges led to three categories of good practices: Policy and standards, Organizational measures, and Security functions.
Source: ENISA

ENISA: PETs controls matrix - A systematic approach for assessing online and mobile privacy tools

Following previous work in the field of privacy engineering, in 2016 ENISA defined the ‘PETs control matrix’, an assessment framework and tool for the systematic presentation and evaluation of online and mobile privacy tools for end users. The term ‘PET’ is used in the context of this work with a narrow focus, addressing standalone privacy tools or services (and not the broader concept of privacy enhancing technologies).
Source: ENISA

ENISA issues report on blockchain technology and security

[...] ENISA analysed the technology and identified security benefits, challenges and good practices. The report [Distributed Ledger Technology & Cybersecurity; pdf] identifies that some principles used in the security of traditional systems and in blockchain, such as key management and encryption, are still largely the same.  There are however new challenges that the technology brings, like consensus hijacking and smart contract management. Additionally, it highlights that public and private ledger implementations will face different sets of challenges. [...]
Also worth a look: Security of Mobile Payments and Digital Wallets                
Source: ENISA

BayLDA: Bedingungen für die Einwilligung eines Kindes gemäß Art. 8 DSGVO

  • In der DS-GVO regelt Art. 8 DS-GVO neu, was genau zu beachten ist, wenn die Verarbeitung personenbezogener Daten von Kindern auf eine Einwilligung gestützt wird. Es wird sich in der Praxis jedoch zeigen müssen, wie häufig die Anwendungsfälle des Art. 8 DS-GVO auftreten werden - und wie die Verfahren dazu in der Praxis dann gestaltet werden. Die Besonderheiten hat das BayLDA in einem weiteren Papier [pdf] zusammengefasst.
  • Die DS-GVO enthält eine Reihe von Verfahren für die Zusammenarbeit der Aufsichtsbehörden bei Datenverarbeitungen, von denen mehrere Mitgliedstaaten betroffen sind. Interessant wird sein, wie die konkrete  Ausgestaltung im Alltag der Aufsichtsbehörden aussehen wird. Die Rahmenbedingungen hierzu haben wir in einem kurzem Papier ["Amtshilfe und gemeinsame Maßnahmen der Aufsichtsbehörden"] festgehalten.            

Quelle: Bayerisches Landesamt für Datenschutzaufsicht

16.01.2017

Art. 29 WP adopts 2017 GDPR Action Plan

Press release - Adoption of 2017 GDPR Action Plan (pdf)
Press release on the December 2016 Plenary Meeting (pdf)

GDD: Leitfaden für die Übergangsfrist bis zur Geltung der DSGVO

GDD-Praxishilfe DS-GVO III - To-Dos für die Übergangsfrist bis zur Geltung der DS-GVO, Version 1.0, Stand Januar 2017; weitere Praxishilfen hier.

Österreich: Datenschutzbehörde veröffentlicht Guidance zu Whistleblower-Hotlines

Hinweisgebersysteme (pdf; verfasst von HR Mag. Lechner)
Ein Hinweisgebersystem (auch Whistleblowing-System oder Ethik-Hotline) ist ein System der ethischen Verantwortung mit einer speziellen Möglichkeit zur Kommunikation innerhalb eines Konzerns, mit deren Hilfe einfache Mitarbeiter (teilweise auch Kunden oder Lieferanten) unter Umgehung der normalen Hierarchie einen Missstand an die Konzernspitze melden können. Dabei werden Telefonhotlines oder Webformulare eingesetzt. Damit soll es möglich sein, Missstände vorbei an untätigen oder möglicherweise korrupten Konzernorganen direkt an die oberste Führungsebene zu melden.
Quelle: Datenschutzbehörde

December 2016 issue of JIPITEC: Liability under EU Data Protection Law and more

JIPITEC, the ”Journal of Intellectual Property, Information Technology and Electronic Commerce Law” is an online-journal for current issues of intellectual property, information technology and E-commerce law. This is the twentieth Issue of JIPITEC, launched in December 2016:



UK: ICO releases Anonymisation Code of Practice

ICO, Anonymisation: managing data protection risk code of practice (pdf), for a summary look here.
Source: ICO

10.01.2017

Public consultation on "Building a European Data Economy"

The European Commission proposed today policy and legal solutions to unleash EU's data economy, as part of its Digital Single Market strategy presented in May 2015.

European Commission's draft Regulation on Privacy and Electronic Communications

Since the last revision of the ePrivacy Directive in 2009, electronic communications services have evolved significantly. Consumers and businesses are relying more and more on internet based services to communicate, such as instant messaging, voice over IP and web-based e-mail, but these services are not covered by current ePrivacy rules. By updating the legal framework the proposed Regulation on Privacy and Electronic Communications aims at reinforcing trust and security in the Digital Single Market – a key objective of the Digital Single Market strategy. The draft Regulation also aligns the rules for electronic communications services with the new world-class standards of the EU's General Data Protection Regulation.
Source Commission press release, more here.

Also out now: COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN
PARLIAMENT AND THE COUNCIL - Exchanging and Protecting Personal Data in a Globalised World, more here.


Debattenbeiträge zur Einwilligung (samt Koppelungsverbot) nach der DSGVO

03.01.2017

Art. 29 WP issues FAQs on EU-U.S. Privacy Shield


The Article 29 Working Party has issued two FAQs which have been adopted on 13 December 2016: