22.03.2017

LDI NRW: FAQs zum Datenschutzbeauftragten nach der DSGVO und der JI-RL

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Ein Überblick über die neuen Regelungen zu Datenschutzbeauftragten nach der Datenschutz-Grundverordnung und der JI-Richtlinie.
 

Dt. Bundestag: Stellungnahmen zum DSGVO-Anpassungsgesetzentwurf

BRD: Stellungnahmen zum Entwurf der Bundesregierung für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ 

BayLDA: Datenschutz-Folgenabschätzung (DSFA) - Art. 35 DS-GVO

BayLDA, Kurzpapier zur Datenschutz-Folgenabschätzung (DSFA):
[...] Ausblick
Es kann sich bereits heute lohnen, einen Blick über die deutschen Landesgrenzen zu werfen:
Auf europäischer Ebene wird momentan ein Working-Paper zur DSFA abgestimmt. Sobald dieses veröffentlicht ist, wird das BayLDA mit Praxisbeispielen über das wichtige Instrument DSFA auf der eigenen Webseite informieren.

Weichert: Gutachten zur Verbraucherverbandsklage bei Datenschutzverstößen

Seit Anfang 2016 ist im Verbraucherschutzrecht ausdrücklich vorgesehen, dass Verbraucherschutzorganisationen mit Verbandsklagen gegen Datenschutzverstöße von privaten Firmen vorgehen können.
Das Gutachten des Netzwerks Datenschutzexpertise stellt die Regelungen des Unterlassungsklagegesetzes (UKlaG) und deren Auslegung im Detail vor.
Quelle: Netzwerk Datenschutzexpertise

17.03.2017

Report: Licensing Terms of Standard Essential Patents: A Comprehensive Analysis of Cases

Chryssoula Pentheroudakis, Justus A. Baron (2017) Licensing Terms of Standard Essential Patents. A Comprehensive Analysis of Cases. JRC Science for Policy Report. EUR 28302 EN; doi:10.2791/32230
Abstract: The prospect of licensing patents that are essential to standards on an industry-wide scale is a major incentive for companies to invest in standardization activities. Most standard development organizations (SDOs) have defined intellectual property rights (IPR) policies whereby SDO members must commit to licensing their standard-essential patents (SEPs) on Fair, Reasonable and Non-Discriminatory (FRAND) terms. This study aims to provide a consistent framework for both the interpretation of FRAND commitments and the definition of FRAND royalties. Our methodology is built on the analysis of landmark and significant decisions taken by courts and competition authorities in Europe and worldwide. The purpose of the comparative analysis is to provide a comprehensive overview of how FRAND licensing terms have been defined in the evolving case law, while testing the economic soundness of the concepts and methodologies applied by courts and antitrust authorities.

OGH: Trägervergütung („Leerkassettenvergütung“) - Urteil bestätigt grds. Zahlungspflicht von Amazon

OGH 21.02.2017, 4 Ob 62/16w (Volltext noch nicht verfügbar)
Auszug aus der Pressemeldung des OGH:
[...] Der Hersteller oder Importeur ist zur Zahlung verpflichtet, wenn er an einen Wiederverkäufer oder einen privaten Endnutzer liefert; keine Zahlungspflicht besteht demgegenüber bei einer Lieferung an nicht private Endnutzer. Der Grund für diese Differenzierung liegt darin, dass der „gerechte Ausgleich“ im Sinn des Europarechts nur für private Vervielfältigungen zu zahlen ist, sodass Unternehmen oder institutionelle Nutzer von vornherein nicht zahlungspflichtig sein können. Hingegen wird bei privaten Nutzern unwiderlegbar vermutet, dass sie die Träger auch für das Speichern von Inhalten nutzen, für die eine Vergütung zu zahlen ist. Erwirbt ein nicht zahlungspflichtiger Endnutzer zB ein Unternehmen) von einem Zwischenhändler und wurde die vom Importeur gezahlte Vergütung auf ihn überwälzt, so hat er einen Rückerstattungsanspruch gegen die Verwertungsgesellschaft.
Aufgrund des nun gefällten Urteils müssen die beklagten Amazon-Gesellschaften Rechnung über ihre Importe nach Österreich legen, dh die jeweiligen Stückzahlen bekanntgeben. Über die Höhe der Vergütung wird dann in einem weiteren Verfahren entschieden werden.
Pressemeldung austro mechana (Verwertungsgesellschaft)

16.03.2017

Report: Kaleidoscope on the Internet of Toys

Chaudron S., Di Gioia R., Gemo M., Holloway D., Marsh J., Mascheroni G., Peter J., Yamada-Rice D., Kaleidoscope  on the Internet of Toys - Safety, security, privacy and societal insights, EUR 28397 EN, doi:10.2788/05383 (pdf)

15.03.2017

EuGH: Einwilligung eines Fernsprechteilnehmers in die Veröffentlichung seiner Daten

EuGH 15.03.2017, C-536/15, Tele2 u.a.
Die Einwilligung eines Fernsprechteilnehmers in die Veröffentlichung seiner Daten umfasst auch die Nutzung dieser Daten in einem anderen Mitgliedstaat

Aus dem Urteil:
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
1. Art. 25 Abs. 2 der Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und ‑diensten (Universaldienstrichtlinie) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass unter dem darin enthaltenen Begriff „Anträge“ auch der Antrag eines Unternehmens zu verstehen ist, das in einem anderen Mitgliedstaat ansässig ist als die Unternehmen, die Teilnehmern Telefonnummern zuweisen, und das zum Zweck der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten und Teilnehmerverzeichnissen in diesem Mitgliedstaat und/oder in anderen Mitgliedstaaten von diesen Unternehmen die ihnen vorliegenden relevanten Informationen anfordert.
2. Art. 25 Abs. 2 der Richtlinie 2002/22 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass er ein Unternehmen, das Teilnehmern Telefonnummern zuweist und nach nationalem Recht verpflichtet ist, die Einwilligung dieser Teilnehmer in die Nutzung der sie betreffenden Daten zum Zweck der Bereitstellung von Auskunftsdiensten und Teilnehmerverzeichnissen einzuholen, daran hindert, dieses Ersuchen so zu formulieren, dass die Teilnehmer bei ihrer Einwilligung in die Nutzung danach differenzieren, in welchem Mitgliedstaat die Unternehmen, die für eine Anforderung der in Art. 25 Abs. 2 genannten Informationen in Betracht kommen, ihre Dienste anbieten.

EP resolution on fundamental rights implications of big data

European Parliament resolution of 14 March 2017 on fundamental rights implications of big data: privacy, data protection, non-discrimination, security and law-enforcement (2016/2225(INI)) - Entschließung des Europäischen Parlaments vom 14. März 2017 zu den Folgen von Massendaten für die Grundrechte: Privatsphäre, Datenschutz, Nichtdiskriminierung, Sicherheit und Rechtsdurchsetzung (2016/2225(INI))
Press release: "Strengthened transparency of algorithms, special attention to data used for law enforcement and more investment in digital literacy needed to safeguard fundamental rights in the digital era, MEPs say in a non-legislative resolution passed on Tuesday ..."

Berlin Group: Arbeitspapier zu Biometrie in der Online-Authentifizierung

Working Paper on Biometrics in Online Authentication (Berlin 22./23. November 2016), deutsch
[...] 7. The use of biometrics in online authentication offers one possibility to address some of the shortcomings of current password-based authentication. However, as this Working Paper shall demonstrate, careful consideration must be given to the data protection and privacy risks that result from their use.
8. The purpose of this Working Paper is not to specify when biometrics could be used as a factor in online authentication. This is a decision which should be documented in a Privacy Impact Assessment (PIA) carried out during the design phase of a project and updated throughout the lifetime of the IT system. This Working Paper will highlight the privacy risks when biometrics are introduced and used in authentication and how these risks can be managed in an appropriate manner. [...]

Datenschutzbeauftragter Kanton Zürich: Personalisierte Medizin und Datenschutz

Personalisierte Medizin und Datenschutz, Aktuelle Herausforderungen bei der Entwicklung der Personalisierten Medizin aus datenschutzrechtlicher Sicht, 28.02.2017 von lic.iur. Viviane Kull, Juristische Sekretärin beim Datenschutzbeauftragten des Kantons Zürich (pdf)
Forschung und Entwicklung der Personalisierten Medizin müssen verschiedene Aspekte des Datenschutzes berücksichtigen. Der neue Artikel befasst sich mit Themen wie den Schwierigkeiten der Anonymisierung von Gesundheitsdaten, dem Recht auf Nichtwissen oder den Verantwortlichkeiten bei der Datenbearbeitung.
Quelle: Datenschutzbeauftragter Kanton Zürich

Art. 29 WP: Letter to EU Member States regarding resources for Data Protection Authorities

Letter of the Chair of the ART 29 WP DPA resources:
[...] Therefore, the WP29 calls upon Governments of the EU Member States and, where applicable, to regional Governments within these States to provide sufficient financial and human resources for national Supervisory authorities to conduct their duties not only once the new legal frameworks apply, but also essentially beforehand, during the critical transitional period.

14.03.2017

OGH: kein Rücktrittsrecht des Konsumenten (§ 11 Abs 1 FAGG) bei Vertragsabschluss auf Messe

OGH 26.01.2017, 3 Ob 237/16y
Ein Messestand, den ein Unternehmer während der gesamten Dauer einer – wenn auch nur einmal jährlich für gut eine Woche stattfindenden – Verkaufsmesse betreibt, an dem er also in dieser Zeit seine unternehmerische Tätigkeit entfaltet, stellt einen Geschäftsraum iSd § 3 Z 3 FAGG dar. Von einem dort abgeschlossenen Vertrag können Verbraucher deshalb nicht gemäß § 11 Abs 1 FAGG binnen 14 Tagen ohne Angabe von Gründen zurücktreten. [...]
Quelle: OGH Pressemeldung

Aus der Entscheidung:
[...] 2.2.4. Durch die Bestimmung des § 879 Abs 3 ABGB wurde ein eine objektive Äquivalenzstörung und „verdünnte Willensfreiheit“ berücksichtigendes bewegliches System geschaffen. Eine gröbliche Benachteiligung ist jedenfalls stets dann anzunehmen, wenn die dem Vertragspartner zugedachte Rechtsposition in auffallendem Missverhältnis zur vergleichbaren Rechtsposition des anderen steht (RIS-Justiz RS0016914 [T4, T32]).
2.2.5. In diesem Sinn wurde bereits judiziert, dass eine Klausel in AGB, die eine pauschale Stornogebühr von 20 % des Kaufpreises bei unbegründetem Vertragsrücktritt durch den Käufer festlegt, den Verbraucher insbesondere wegen der unangemessenen Höhe der Stornogebühr gröblich benachteiligt und daher nichtig ist (4 Ob 229/13z = RIS-Justiz RS0016914 [T63]). Nichts anderes kann im vorliegenden Fall gelten, zumal der Beklagten nur ein deutlich unter 20 % der Bruttorechnungssumme liegender Schaden entstanden ist.
2.3. Da eine geltungserhaltende Reduktion nicht ausgehandelter missbräuchlicher Klauseln im Individualprozess über ein Verbrauchergeschäft aufgrund der Rechtsprechung des Europäischen Gerichtshofs nicht mehr in Frage kommt (RIS-Justiz RS0128735), entfällt dieser Vertragspunkt ersatzlos, sodass sich die Frage einer richterlichen Mäßigung der Stornogebühr nicht mehr stellt.
3. Der Beklagten ist grundsätzlich dahin zuzustimmen, dass ihr aufgrund des unberechtigten Vertragsrücktritts der Konsumenten gemäß § 1168 Abs 1 ABGB das vereinbarte Entgelt abzüglich dessen, was sie infolge Unterbleibens der Arbeit erspart oder durch anderweitige Verwendung erworben oder zu erwerben absichtlich versäumt hat, zusteht. Ein diesbezügliches Vorbringen hat die Beklagte allerdings in erster Instanz nicht erstattet, sodass darauf nicht weiter einzugehen ist. [...]

10.03.2017

Österreich: Datenschutzrat - Digitale Mautvignette muss Anonymität gewährleisten

Stellungnahme des Datenschutzrates zur geplanten automatisierten Mauterhebung [Ministerialentwurf betreffend ein Bundesgesetz, mit dem das Bundesstraßen-Mautgesetz 2002 geändert wird]
Das Verkehrsministerium (BMVIT) will das geltende System zur Mautentrichtung auf zeitgemäße Weise weiterentwickeln: Künftig soll es den Mautschuldnern ermöglicht werden, statt einer Klebevignette eine digitale Vignette zu erwerben, indem sie das Kennzeichen im Mautsystem registrieren lassen.
"Das setzt aber ein Mautsystem voraus, in dem die Kennzeichendaten gespeichert werden. Dieses Mautsystem wird als öffentliches Register konzipiert, in das jede Person Einsicht nehmen kann", gibt Johann Maier Vorsitzender des Datenschutzrates zu bedenken. "Doch es gibt einen grundrechtlichen Anspruch des Menschen auf Bewegung im öffentlichen Raum ohne systematische Beobachtung, konkret das Recht auf spurenfreie Mobilität."
Nach Ansicht des Datenschutzrates müssen daher Systeme zur automatisierten Erhebung von Straßenbenutzungsgebühren technisch so ausgestaltet werden, dass bei rechtskonformer Nutzung im Mautsystem entweder überhaupt keine personenbezogenen Daten anfallen oder aber die Erhebung und Verarbeitung personenbezogener Daten derart begrenzt wird, dass im Gesamtergebnis eine annähernd anonyme Nutzung gewährleistet ist.  [...]
Quelle: Pressemeldung Datenschutzrat

09.03.2017

EuGH: kein Recht auf Vergessenwerden für die im Gesellschaftsregister eingetragenen personenbezogenen Daten

EuGH 09.03.2017, Rs C-398/15 Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce / Salvatore Manni
Aus der Pressemeldung (pdf) des EuGH:
Nach Ansicht des Gerichtshofs gibt es kein Recht auf Vergessenwerden für die im Gesellschaftsregister eingetragenen personenbezogenen Daten. Die Mitgliedstaaten können jedoch nach Ablauf einer hinreichend langen Frist nach der Auflösung der betreffenden Gesellschaft in Ausnahmefällen einen beschränkten Zugang Dritter zu diesen Daten vorsehen. [...]

Aus dem Urteil:
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
Art. 6 Abs. 1 Buchst. e, Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Verbindung mit Art. 3 der Ersten Richtlinie 68/151/EWG des Rates vom 9. März 1968 zur Koordinierung der Schutzbestimmungen, die in den Mitgliedstaaten den Gesellschaften im Sinne des Artikels 58 Absatz 2 des Vertrages im Interesse der Gesellschafter sowie Dritter vorgeschrieben sind, um diese Bestimmungen gleichwertig zu gestalten, in der durch die Richtlinie 2003/58/EG des Europäischen Parlaments und des Rates vom 15. Juli 2003 geänderten Fassung sind dahin auszulegen, dass es beim derzeitigen Stand des Unionsrechts Sache der Mitgliedstaaten ist, zu entscheiden, ob die in Art. 2 Abs. 1 Buchst. d und j der Richtlinie 68/151 angeführten natürlichen Personen die mit der Führung des zentralen Registers oder des Handels- oder Gesellschaftsregisters betraute Stelle ersuchen können, auf der Grundlage einer Einzelfallbeurteilung zu prüfen, ob es ausnahmsweise gerechtfertigt ist, aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen nach Ablauf einer hinreichend langen Frist nach Auflösung der betreffenden Gesellschaft den Zugang zu den in diesem Register eingetragenen sie betreffenden personenbezogenen Daten auf Dritte zu beschränken, die ein besonderes Interesse an der Einsichtnahme in diese Daten nachweisen.

04.03.2017

ICO updates paper on big data and data protection

This discussion paper [pdf] looks at the implications of big data, artificial intelligence (AI) and machine learning for data protection, and explains the ICO’s views on these.
A great resource imho: Just look at Annex 1 – Privacy impact assessments for big data analytics
Source: ICO

Dt. Bundesrat: Empfehlungen der Ausschüsse zum DSAnpUG-EU

Empfehlungen der Ausschüsse zu Punkt 36 der 954. Sitzung des Bundesrates am 10. März 2017 (pdf):
Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680  (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU)

02.03.2017

ICO: draft guidance on consent under the GDPR.

ICO has published draft guidance (pdf) for consent in the GDPR, consultation closes on 31 March 2017.

01.03.2017

ENISA: Guidelines on Incident Notification for Digital Service Providers

ENISA publishes a comprehensive guideline on how to implement incident notification requirements for Digital Service Providers, in the context of the NIS Directive.
Source: ENISA

OGH: Sind Daten über Erbkrankheit des verstorbenen Sohnes personenbezogene Daten des Vaters?

OGH 29.11.2016, 6 Ob 148/16g:
Im Allgemeinen wäre durchaus denkbar, dass Daten von Verstorbenen betreffend Erbkrankheiten auch als Daten etwa jener Personen angesehen werden, von denen sie abstammen. Voraussetzung wäre aber, dass es sich um eine „Erb“krankheit handelt, diese also weitervererbt wird. Sonst aber sind diese Daten der Kinder keine personenbezogenen Daten des Vaters. (Quelle: RIS-Rechtssatz)

Dazu, dass Daten des Kindes grds keine personenbezogenen Daten der Eltern sind, vgl - iZm Einkommensanfrage beim Arbeitgeber des Unterhaltspflichtigen - VwGH 27. 4. 2012, 2012/17/0115 = jusIT 2012/70 = ZfV 2013/1175 (Anfrage eines Jugendwohlfahrtsträgers) bzw OGH 23. 2. 2016, 6 Ob 225/15d = jusIT 2016/71 (Anfrage im Unterhaltsverfahren). (Quelle: Lexisnexis)