Alles neu macht der Mai? - Regulierung 2025/30

Transcript

1. Regulierung 2025/30 Wien, 18. 01. 2018

2. Das Leben ist ein Kreislauf (und ein Marathon) 26.01.2018 Seite

   2

3. 1968 https://artblart.files.wordpress.com/2013/12/en-089-computer-room-detroit-1968-web.jpg

4. 1983 ff http://oldcomputers.net/macintosh.html

5. 2015 https://www.youtube.com/watch?v=zDAYZU4A3w0

6. IT • Always On • Cloud • Mobile • Big

   • Ubiquitious • AI • IoT Recht • Volkszählungsurteil (1983) • 95/45/EG • 2002/58/EG • 99/93/EG • Art 7, 8 GRC (2000) • 679/2016/EU Europa der zwei Geschwindigkeiten

7. https://www.blockchain.com/ • Blockchain • Bitcoin, Virtual Currencies • Smart Contracts

   • „Legal Tech“ 26.01.2018 Seite 7 2018

8. Wanna Cry https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks- cyberattack/

9. Conflicts of law “In less than one year, a new

   European data protection law will go into effect. Under that law – called the General Data Protection Regulation – it would be illegal for a company to bring customer data from Europe into the U.S. in response to a unilateral U.S. search warrant. This type of legal conflict isn’t theoretical. We have declined to comply with similar legal orders in Brazil because they conflict with U.S. law. As a result, we have been fined, and one of our local employees was criminally charged. Neither people nor companies should be put in a position where complying with the laws of one country puts them in conflict with another country under whose laws they must operate.”

10. “Whether a United States provider of email services must comply

    with a probable-cause-based warrant issued under 18 U.S.C. § 2703 by making disclosure in the United States of electronic communications within that provider's control, even if the provider has decided to store that material abroad.” 26.01.2018 Seite 10 http://www.scotusblog.com/case-files/cases/united-states-v-microsoft-corp/ Rechtsfrage

11. The Government concedes that when Congress enacted the Stored Communications

    Act (SCA) in 1986, it said absolutely nothing about applying the Act to reach communications stored overseas. Congress did not focus on—and could scarcely have imagined—a world where a technician in Redmond, Washington, could access a customer’s private emails stored clear across the globe. Yet the Government asks this Court to extend the SCA to private emails stored in Ireland. The Government is in the wrong forum. 26.01.2018 Seite 11 http://www.scotusblog.com/wp-content/uploads/2017/09/17-2-BIO.pdf Microsoft

12. In fact […] the MLAT process is often “entirely futile.”

    The United States does not have MLATs with most countries. […] Even where they exist, MLATs are of no help when […] a provider stores the relevant communications in multiple countries, continuously shifts them from country to country, or is unable or unwilling to tell the government where they are stored. […]. And even when the government seeks communications stored in a single, identifiable country with which the United States has an MLAT, the MLAT process can be too slow for “time-sensitive investigations and other emergencies.” […] MLATs therefore cannot reliably substitute for Section 2703 warrants. 26.01.2018 Seite 12 http://www.scotusblog.com/wp-content/uploads/2017/09/17-2-cert-rb.pdf USA

13. Europeans have a long tradition of declaring abstract privacy rights

    in theory that they fail to enforce in practice. Motto

14. In the European Union’s view, from the perspective of public

    international law, when a public authority requires a company established in its own jurisdiction to produce electronic data stored on a server in a foreign jurisdiction, the principles of territoriality and comity under public international law are engaged 26.01.2018 Seite 14 http://www.scotusblog.com/wp-content/uploads/2017/09/17-2-cert-rb.pdf Kommission

15. One Continent, one Law Internetfit One Size fits All Europa

    als „Standard Setter“ Outcome 2018

16. Art. 48 DSGVO + EG 115 Aber: Art 49 DSGVO

    26.01.2018 Seite 16 Grundsatz

17. Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

    Jegliches Urteil eines Gerichts eines Drittlands […] , mit denen von einem Verantwortlichen […] die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind. EG 115 Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. 26.01.2018 Seite 17 Grundsatz

18. Ausnahme vom Übermittlungsverbot Art 49 (1) UA 1 d): aus

    wichtigen Gründen des öffentlichen Interesses notwendig Art 49 (1) UA 2: nur dann, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. 26.01.2018 Seite 18

19. One Continent, one Law Internetfit One Size fits All Europa

    als „Standard Setter“ Outcome 2018

20. Thema 2: ePrivacy VO 26.01.2018 Seite 20

21. Rahmenbedingungen • COM(2017) 10 final • Inkrafttreten immer noch offiziell

    zum Mai 2018 geplant • Übernahme von TK-Terminologie • Neufassung der „Cookie-Problematik“ • Datenschutz durch Browservoreinstellungen • Abweichung von elementaren Vorgaben der DSGVO ◦ Art 6 Abs 3 lit a EPVEK ◦ Elektronische Kommunikationsinhalte dürfen demnach nämlich durch Betreiber elektronischer Kommunikationsnetze nur verarbeitet werden, zum „alleinigen Zweck der Bereitstellung eines bestimmten Dienstes für einen Endnutzer“, jedoch nur dann, wenn zusätzlich „der bzw. die betreffenden Endnutzer ihre Einwilligung zur Verarbeitung ihrer elektronischen Kommunikationsinhalte gegeben haben und die Dienstleistung ohne Verarbeitung dieser Inhalte nicht erbracht werden kann.“ 26.01.2018 Seite 21 Fremdkunden? Bei OTT-Diensten?

22. Stimme (eine, beispielhaft) • EDPS ◦ „Modernisierung der derzeitigen Einwilligungsvorschriften

    im Rahmen der neuen Artikel 9 und 10 ◦ Einwilligung müsse „von den Personen eingeholt werden, die die Dienste benutzen, unabhängig davon, ob sie diese abonnieren oder nicht, sowie von allen an einem Kommunikationsvorgang Beteiligten. Darüber hinaus müssen andere betroffene Personen, die nicht an den Kommunikationsvorgängen beteiligt sind, ebenfalls geschützt werden“ ◦ Kopplungsverbot, „niemandem darf eine Funktion eines zum Internet der Dinge gehörenden Gerätes (egal ob diese kostenpflichtig oder kostenlos bereitgestellt wird) mit der Begründung verweigert werden […], dass er oder sie die nach Artikel 8 Absatz 1 Buchstabe b erforderliche Einwilligung zur Verarbeitung von Daten, die nicht für die gewünschte Funktion benötigt werden, nicht gegeben hat.“ 26.01.2018 Seite 22

23. Skype, Whatsapp, Instagram, Facebook, Snapchat, Amazon-Dash, IoT … in Europa

    nur mehr kostenpflichtig? 26.01.2018 Seite 23 Folge?

24. Danke! Nikolaus Forgó, Institut für Innovation und Digitalisierung im Recht,

    Universität Wien www.univie.ac.at/id, [email protected], @nikolausf 26.01.2018 Seite 24