22.09.2016

BRD: IoT und Datenschutz, Umgang mit Datenpannen (Art. 33 und 34 DSGVO)

21.09.2016

Düsseldorfer Kreis: Fortgeltung bisher erteilter Einwilligungen unter der DSGVO

Beschluss der Aufsichtsbehörden für den  Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung:
Bisher erteilte Einwilligungen gelten fort, sofern sie der Art nach den Bedingungen der Datenschutz-Grundverordnung  entsprechen (Erwägungsgrund 171, Satz  3 Datenschutz-Grundverordnung).  [...]
Update 22.09.2016: Zur (berechtigten) Kritik daran siehe hier bei RA Hansen-Oest.

EU: Guide to the EU-U.S. Privacy Shield (Leitfaden zum EU-US-Datenschutzschild)

Guide to the EU-U.S: Privacy Shield (pdf; document dated 12.9.2016; there is also a "Citizen's Guide" available), dt. Fassung: Leitfaden zum EU-US-Datenschutzschild

JIPITEC: Articles on Data Protection and Encryption, Future of Big Data, Biological Materials

  • Worku Gedefa Urgessa, The Feasibility of Applying EU Data Protection Law to Biological Materials: Challenging ‘Data’ as Exclusively Informational, 7 (2016) JIPITEC 96
  • Bart van der Sloot and Sascha van Schendel, Ten Questions for Future Regulation of Big Data: A Comparative and Empirical Legal Study, 7 (2016) JIPITEC 110
  • Gerald Spindler and Philipp Schmechel, Personal Data and Encryption in the European General Data Protection Regulation, 7 (2016) JIPITEC 163
  • Angekündigte Bucherscheinungen zur Datenschutz-Grundverordnung (aktualisiert)

    Vorwiegend deutschsprachige Literatur, ohne Anspruch auf Vollständigkeit:

    Study on consumers’ attitudes towards Terms and Conditions (T&Cs)

    Study on consumers’ attitudes towards Terms and Conditions (T&Cs), Final report (pdf) prepared for the European Commission (by Maartje Elshout, Millie Elsen, Jorna Leenheer, Marco Loos, Joasia Luzak)
    Abstract
    Previous research has shown that when buying products and services online, the vast majority of consumers accept Terms and Conditions (T&Cs) without even reading them. The current research examined effects of interventions aimed at making consumers aware of the quality of such T&Cs. This was done by 1) shortening and simplifying the T&Cs and 2) adding a quality cue to an online store, such as the presence of a logo of a national consumer organisation accompanied by the statement “these terms and conditions are fair”. The main study consisted of three experiments and was conducted in 12 Member States with 1000 respondents in each Member State. In each experiment, consumers visited an online store and went through all the steps of an ordering process. One of these steps was accepting the T&Cs. Key findings are that shortening and simplifying the terms and conditions results in improved readership of the T&Cs, a slightly better understanding of the T&Cs, and a more positive attitude towards the T&Cs. Moreover, adding a quality cue to an online store increases trust and purchase intentions. Which quality cue is trusted the most depends on what type of online store consumers are visiting. For domestic online stores, a quality cue by a national consumer organisation is trusted most; for foreign online stores, a quality cue by a European consumer organisation is trusted most. The patterns were similar across Member States.

    15.09.2016

    LfDI: Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield

    Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield (vom 12.09.2016, pdf), mehr dazu bei Carlo Piltz.

    Der Tod offener WLAN-Zugänge?

    Oder warum Sie als Betreiber eines offenen WLAN-Accesspoint jetzt Ausweise kontrollieren und ein Passwort setzen sollten:
    EuGH 15.09.2016, Rs C-484/14 - Tobias Mc Fadden / Sony Music Entertainment Germany GmbH, Pressemeldung (Hervorhebung durch mich)
    Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
    1.      Art. 12 Abs. 1 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) in Verbindung mit Art. 2 Buchst. a dieser Richtlinie und mit Art. 1 Nr. 2 der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft in der durch die Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 geänderten Fassung ist dahin auszulegen, dass eine Leistung wie die im Ausgangsverfahren fragliche, die von dem Betreiber eines Kommunikationsnetzes erbracht wird und darin besteht, dass dieses Netz der Öffentlichkeit unentgeltlich zur Verfügung gestellt wird, einen „Dienst der Informationsgesellschaft“ im Sinne von Art. 12 Abs. 1 der Richtlinie 2000/31 darstellt, wenn diese Leistung von dem Anbieter zu Werbezwecken für von ihm verkaufte Güter oder angebotene Dienstleistungen erbracht wird.
    2.      Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass der in dieser Bestimmung genannte Dienst, der darin besteht, Zugang zu einem Kommunikationsnetz zu vermitteln, bereits dann als erbracht anzusehen ist, wenn dieser Zugang den Rahmen des technischen, automatischen und passiven Vorgangs, der die erforderliche Übermittlung von Informationen gewährleistet, nicht überschreitet, ohne dass eine zusätzliche Anforderung erfüllt sein müsste.
    3.      Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass die in Art. 14 Abs. 1 Buchst. b der Richtlinie vorgesehene Voraussetzung nicht im Rahmen von Art. 12 Abs. 1 der Richtlinie entsprechend gilt.
    4.      Art. 12 Abs. 1 in Verbindung mit Art. 2 Buchst. b der Richtlinie 2000/31 ist dahin auszulegen, dass es keine anderen Anforderungen als die in dieser Bestimmung genannte gibt, denen ein Diensteanbieter, der Zugang zu einem Kommunikationsnetz vermittelt, unterläge.
    5.      Art. 12 Abs. 1 der Richtlinie 2000/31 ist dahin auszulegen, dass es ihm zuwiderläuft, dass derjenige, der durch eine Verletzung seiner Rechte an einem Werk geschädigt worden ist, gegen einen Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt, Ansprüche auf Schadensersatz und auf Erstattung der für sein Schadensersatzbegehren aufgewendeten Abmahnkosten oder Gerichtskosten geltend machen kann, weil dieser Zugang von Dritten für die Verletzung seiner Rechte genutzt worden ist. Hingegen ist diese Bestimmung dahin auszulegen, dass es ihr nicht zuwiderläuft, dass der Geschädigte die Unterlassung dieser Rechtsverletzung sowie die Zahlung der Abmahnkosten und Gerichtskosten von einem Anbieter, der Zugang zu einem Kommunikationsnetz vermittelt und dessen Dienste für diese Rechtsverletzung genutzt worden sind, verlangt, sofern diese Ansprüche darauf abzielen oder daraus folgen, dass eine innerstaatliche Behörde oder ein innerstaatliches Gericht eine Anordnung erlässt, mit der dem Diensteanbieter untersagt wird, die Fortsetzung der Rechtsverletzung zu ermöglichen.
    6.      Art. 12 Abs. 1 in Verbindung mit Abs. 3 der Richtlinie 2000/31 ist unter Berücksichtigung der Erfordernisse des Grundrechtsschutzes und der Regelungen der Richtlinien 2001/29 und 2004/48 dahin auszulegen, dass er grundsätzlich nicht dem Erlass einer Anordnung wie der im Ausgangsverfahren fraglichen entgegensteht, mit der einem Diensteanbieter, der Zugang zu einem Kommunikationsnetz, das der Öffentlichkeit Anschluss an das Internet ermöglicht, vermittelt, unter Androhung von Ordnungsgeld aufgegeben wird, Dritte daran zu hindern, der Öffentlichkeit mittels dieses Internetanschlusses ein bestimmtes urheberrechtlich geschütztes Werk oder Teile davon über eine Internettauschbörse („peer-to-peer“) zur Verfügung zu stellen, wenn der Diensteanbieter die Wahl hat, welche technischen Maßnahmen er ergreift, um dieser Anordnung zu entsprechen, und zwar auch dann, wenn sich diese Wahl allein auf die Maßnahme reduziert, den Internetanschluss durch ein Passwort zu sichern, sofern die Nutzer dieses Netzes, um das erforderliche Passwort zu erhalten, ihre Identität offenbaren müssen und daher nicht anonym handeln können, was durch das vorlegende Gericht zu überprüfen ist.

    Data Protection: Summary of EU Court Decisions (covering the years 2000-2015)

    Although I have mentioned this great resource before, I decided to bring it to my and your attention again ;)

    SUMMARY OF EU COURT DECISIONS RELATING TO DATA PROTECTION (IN NUMERICAL ORDER OF CASE NUMBER, pdf) by Laraine Laudati (OLAF Data Protection Officer)
    From the Introduction:
    In honour of the celebration of the Tenth European Data Protection Day on 28 January 2016, I have prepared this document in order to help OLAF management, investigators, and other staff to have easy access to the judgments of the European Union courts concerning data protection. The judgments span a period of more than 15 years, from the first decisions in 2000 through the landmark decisions taken in 2015.
    The summaries are organised both by case (in chronological order of case number) and by topic. The case summaries present a brief description of facts and issues before the court in each case, as well as a summary of the holdings of the court together with the reference paragraph numbers from the court’s judgment. The topical summaries list the holdings from each case relating to the listed topic.
    This document is designed to be a reference tool to facilitate the work of finding relevant caselaw. However, it should not be relied upon on its own; the court judgment itself must always be consulted directly. [...]

    14.09.2016

    OGH zur Technizität (Software-Patentschutz)

    OGH 25.08.2016, 4 Ob 94/16a
    [...] Die Abgrenzungslinie zwischen nicht-schützbaren und schützbaren Computerprogrammen wird anhand ihrer Technizität gezogen, indem ein technischer Beitrag auf einem nicht vom Patentschutz ausgeschlossenen Bereich gefordert wird (Weiser, Gebrauchsmusterschutz für Programmlogiken, ecolex 2014, 349). Das Vorliegen der erforderlichen Technizität ist vom Ergebnis einer im Einzelfall vorzunehmenden wertenden Gesamtbetrachtung des in dem angemeldeten Patentanspruch definierten Gegenstands abhängig (BGH X ZB 11/98 – Logikverifikation; Asendorf/Schmidt in Benkard, Patentgesetz11 § 4 Rz 60; Mes, Patentgesetz Gebrauchsmustergesetz4 § 1 PatG Rz 128); dabei ist es für das Technizitätserfordernis unerheblich, ob der Gegenstand einer Anmeldung neben technischen Merkmalen auch nicht-technische Merkmale aufweist (BGH X ZR 37/13). Der erforderliche technische Effekt aus einem Computerprogramm muss aus dem eigentlichen Inhalt des Programms im Zusammenhang mit der gestellten technischen Aufgabe bzw deren Lösung erschlossen werden können (Burgstaller, Österreichisches Patentrecht 27). Maßgebend ist somit, ob die Lehre bei der gebotenen Gesamtbetrachtung der Lösung eines über die Datenverarbeitung hinausgehenden konkreten technischen Problems dient (BGH X ZB 22/07 – Steuerungseinrichtung für Untersuchungsmodalitäten). Die Patentierbarkeit setzt die Lösung eines technischen Problems mit technischen Mitteln voraus (OPM 11. 12. 2013, OBGM 1/13 – Programmlogik; BGH X ZB 20/03
    – Elektronischer Zahlungsverkehr; BGH Xa ZB 20/08 – Dynamische Dokumentengenerierung; Mes, Patentgesetz Gebrauchsmustergesetz4 § 1 PatG Rz 20; Stadler, Technizität von Patenten und Gebrauchsmustern, ÖBl 2014/35, 161).
    1.2 Das Rekursgericht beurteilte die Frage der Technizität unter Heranziehung der aufgezeigten Grundsätze nach sorgfältiger und umfassender Prüfung der Ansprüche des Streitpatents und begründete sein Ergebnis ausführlich und zutreffend. Darauf wird verwiesen (§ 71 Abs 3 AußStrG). Die Ausführungen im Rechtsmittel geben keinen Anlass zu einer davon abweichenden Beurteilung. Sie zeigen weder eine unrichtige Beurteilung noch ein Abweichen von der bisherigen Rechtsprechung auf. [...]