Das Schengener Informationssystem / unter besonderer Berücksichtigung der Vereinbarkeit einer verdeckten Registrierung nach Art. 99 SDÜ mit Art. 8 der Charta der Grundrechte der Europäischen Union / The Schengen Information System / with special consideration to the compatibility of discreet surveillance according to Art. 99 Convention Implementing the Schengen Agreement with Art. 8 Charter of Fundamental Rights of the European Union

Schindehütte, Alexandra

04 June 2013

Hauptgegenstand der Arbeit ist das Schengener Informationssystem der ersten Generation, SIS. Dargestellt werden zunächst der Weg zu einem elektronischen europaweiten Fahndungssystem, die rechtlichen Rahmenbedingungen dieses Fahndungssystems und seine Funktionsweise. Daran anschließend folgt die Prüfung der Verletzung des Demokratieprinzips beim Zustandekommen des Schengener Durchführungsübereinkommens und bei seiner Transformation in innerstaatliches Recht. Weitere Prüfungspunkte sind die Notwendigkeit eines Gesetzes nach Art. 24 Abs. 1 Grundgesetz bei der Umsetzung in innerstaatliches Recht sowie die Vereinbarkeit der Fahndungskategorie der Verdeckten Registrierung nach Art. 99 Schengener Durchführungsübereinkommen mit Art. 8 der Europäischen Grundrechte-Charta.  Während in der Arbeit eine Verletzung von Demokratieprinzip und Art. 24 Absatz 1 Grundgesetz nicht festgestellt werden kann, bestehen im Hinblick auf die Vereinbarkeit mit Art. 8 der Europäischen Grundrechte-Charta unter verschiedenen Gesichtspunkten durchgreifende Bedenken.  Die Arbeit schließt mit einem Ausblick auf das Schengener Informationssystem der zweiten Generation, SIS II, sowie einer Zusammenfassung und einer Bewertung ab.

340

Schengener Informationssystem

SIS

SIS II

Demokratieprinzip

Art. 24 Grundgesetz

Art. 99 SDÜ

Art. 8 Charta der Grundrechte der EU

Datenschutz

Schengen Information System

SIS

SIS II

Principle of democracy

Art. 24 Basic Law

Privacy protection

Rechtswissenschaften (PPN621306584)

Wi-Fi tracking : Fingerprinting attacks and counter-measures / Traçage Wi-Fi : Attaques par prise d'empreinte et contre-mesures

Matte, Célestin

07 December 2017

Le récent développement des appareils portatifs possédant une interface Wi-Fi (smartphones, tablettes et « wearables ») s'accompagne d'une menace sur la vie privée de leurs utilisateurs, et sur la société toute entière. Ces appareils émettent en continu des signaux pouvant être capturés par un attaquant passif, à l'aide de matériel peu coûteux et de connaissances basiques. Ces signaux contiennent un identifiant unique appelé l'adresse MAC. Pour faire face à cette menace, les acteurs du secteur déploient actuellement une contre-mesure sur les appareils récents: le changement aléatoire de l'adresse MAC. Malheureusement, nous montrons que cette mesure, dans son état actuel, n'est pas suffisante pour empêcher le traçage des appareils. Pour cela, nous introduisons plusieurs attaques basées sur le contenu et la répartition temporelle des signaux. En complément, nous étudions les implémentations du changement aléatoire de l'adresse MAC sur des appareils récents, et trouvons un certain nombre de manquements limitant l'efficacité de ces implémentations à prévenir le traçage. En parallèle, nous effectuons deux études de terrain. La première s'attaque au développement des acteurs exploitant les problèmes cités plus haut afin d'installer des systèmes de traçage basés sur le Wi-Fi. Nous listons certaines de ces installations et examinons plusieurs aspects de ces systèmes : leur régulation, les implications en terme de vie privée, les questions de consentement et leur acceptation par le public. La seconde étude concerne la progression du changement aléatoire d'adresse MAC dans la population des appareils. Finalement, nous présentons deux outils : le premier est un système de traçage expérimental développé pour effectuer des tests et sensibiliser le public aux problèmes de vie privée liés à de tels systèmes. Le second estime l'unicité d'un appareil en se basant sur le contenu des signaux qu'il émet, même si leur identifiant est modifié. / The recent spread of everyday-carried Wi-Fi-enabled devices (smartphones, tablets and wearable devices) comes with a privacy threat to their owner, and to society as a whole. These devices continuously emit signals which can be captured by a passive attacker using cheap hardware and basic knowledge. These signals contain a unique identifier, called the MAC address. To mitigate the threat, device vendors are currently deploying a countermeasure on new devices: MAC address randomization. Unfortunately, we show that this mitigation, in its current state, is insufficient to prevent tracking. To do so, we introduce several attacks, based on the content and the timing of emitted signals. In complement, we study implementations of MAC address randomization in some recent devices, and find a number of shortcomings limiting the efficiency of these implementations at preventing device tracking. At the same time, we perform two real-world studies. The first one considers the development of actors exploiting this issue to install Wi-Fi tracking systems. We list some real-world installations and discuss their various aspects, including regulation, privacy implications, consent and public acceptance. The second one deals with the spread of MAC address randomization in the devices population. Finally, we present two tools: an experimental Wi-Fi tracking system for testing and public awareness raising purpose, and a tool estimating the uniqueness of a device based on the content of its emitted signals even if the identifier is randomized.

Télécommunications

Communication sans fil

Réseau WIFI

Adresse MAC - Media Access Control

Vie Privée

Prise d'empreintes

Changement aléatoire d'adresse MAC

Captation d'adresse MAC

Telecommunications

Wireless communication

Privacy protection

Fingerprinting

MAC adress randomization

MAC adress tracking

621.384 507 2

競爭法上使用者數據之應有定位與可能造成之衝擊 / The Role of User’s Data and Its Possible Impact for Competition Law

張媛筑

Unknown Date

數位時代孕育大數據技術的發展並帶動產業的創新，使用者數據的運用也日益活躍於商業領域，並分別為消費者與事業帶來便利的生活與競爭優勢。然而蒐集、處理、運用等數據價值鏈活動對於市場競爭造成相當的影響，也成為事業為反競爭行為的誘因，而引起競爭法的關注，多國競爭執法機關亦已陸續展開調查或進行相關研究。由於使用者數據涉及個人資訊隱私，更因其係產業創新的動力之一，從而競爭法管制的合適性與必要性一直為爭議性議題，後續延伸出對於現有競爭法架構的相容性疑義。本文透過文獻與案例分析，從使用者數據的特色出發，探討使用者數據於競爭法框架下之爭議，包含與隱私法規的競合問題及衝擊現行制度之因應方式。基於競爭法適度管制的觀點，提出可能評估市場力量的方式與使用者數據可能形成的限制競爭或不公平競爭之風險類型。冀望對於我國公平交易法就此議題之剖析與因應有所助益，迎接數據經濟的浪潮。 / Big data analytics technology evolves rapidly and enhances the pace of the innovation of industries in the digital era. Utilizing user data, which is a sort of valuable assets, becomes more popular in business. The new technology brings consumers fitted products and convenience and creates competitive advantages to firms. However, collecting, processing and analyzing large sets of user data not only benefit the entities in the market but also impact market competition. Competition agencies around the world have engaged in related investigations and research on data and competition. The mainly concerns are whether the amount of user data may build a barrier to entry, and whether firms which control user data in a massive amount or essential to competition may have incentives to abuse their market power to foreclose marker. Moreover, because user data is one factor of fostering innovation and has a strong correlation with privacy, the suitability and the necessity of competition law to regulate data issue is still controversial. If competition law intervenes, we should further consider how to adapt it to the present regulation. By reviewing academic literature and practical cases, this thesis begins with the introduction of characteristics of user data, followed by the analysis of the controversy concerning user data under the framework of competition law, including the trade-off between it and privacy laws and possible adjustment to the present framework. This paper also discusses the way to assess market power and specific types of anticompetitive and unfair competition behaviors. Finally, this thesis concludes with a short remark. Hopefully it can provide some references for further discussion on this issue under the Fair Trade Act in Taiwan.

使用者數據

隱私保護

市場競爭管制

競爭優勢

參進障礙

市場力量

反競爭行為

User data

Privacy protection

Competition regulation

Competitive advantage

Entry barriers

Market power

Anti-Competitive behavior

Ochrana osobnosti v kontinentálním pojetí a common law / Protection of personal rights in continental system and common law

Ondřejová, Eva

January 2016

With the increased global infringement of personal rights, it is necessary to be aware of the protection in the different legal systems, especially Anglo-American. Even if the consequences are to be felt in the domestic legal order, the enforceability is recognized under the foreign legal order. The protection is worldwide and through the case law from the European Court of Human Rights the two legal systems - Common law and the Civil Law are penetrating the legislation and the case law in respect of the institute of the protection of personal rights. The doctorate thesis presents the complex introduction to the area of protection of personal rights in the Common law, especially in English law, Commonwealth countries and USA that has not been presented yet for the Czech legal professionals. The thesis explains theoretical concept of the Common law and its background for the purpose of explanation of differences of examined legal orders. The institute is explained on the key historical case law that led to establish the Common law principles. The thesis uses the current and topical legal cases and problems that the orders face in the 21st Century.

Försäkringsskydd för skadeståndsansvar vid dataskyddsöverträdelser : En undersökning av försäkringsvillkorens omfattning och eventuella begränsningar i förhållande till art. 82 GDPR och grupptalan / Insurance coverage for liability in case of data protection breaches : An investigation into the extent and potential limitations of insurance terms in relation to art. 82 GDPR and class action lawsuits

Nahlbom, Robin

January 2024

I uppsatsen utreds försäkringsskyddet för skadeståndsansvar vid dataskyddsöverträdelser. GDPR är den centrala regleringen för personuppgiftsbehandling och fastställer ett antal principer som måste upprätthållas för att den ansvarige ska få behandla personuppgifter. Bryter den ansvarige mot förordningens principer har den registrerade rätt att kräva skadestånd enligt art. 82.1 GDPR. Förordningen fastställer tre kumulativa krav som måste vara uppfyllda för att skadeståndsskyldighet ska föreligga. Det innefattar att en överträdelse av GDPR har skett, att materiell eller immateriell skada till följd av denna överträdelse har uppstått och att det föreligger ett orsakssamband mellan skadan och överträdelsen. Förordningen innehåller även en bestämmelse som tar över medlemsstaternas nationella skadeståndsrättsliga bestämmelser, vilket innebär att GDPR ska tillämpas enligt sin ordalydelse och att de kumulativa kraven enligt art. 82.1 GDPR måste följas. Det innebär att nationella skadeståndsrättsliga begrepp inte bör jämställas med begrepp som framgår av art. 82.1 GDPR eftersom begreppen har tillkommit i en helt annan kontext. Exempelvis översätts i vissa fall materiella och immateriella skador till ekonomiska och ideella skador. Begreppen är inte synonyma och bör inte tillställas samma betydelse eftersom terminologin i art. 82.1 GDPR kan misstolkas. Försäkringsvillkoren som reglerar skadeståndsskyldigheten för dataskyddsöverträdelser och som även hänvisar till art. 82.1 GDPR, innehåller i vissa fall nationella skadeståndsrättsliga begrepp och även andra begrepp som inte framgår av förordningen. Det kan leda till att kongruensen mellan villkorens utformning och förordningens ordalydelse medför tolkningsproblematik vid bedömning om skadeståndsskyldighet föreligger. Därför bör försäkringsvillkoren endast innehålla sådan terminologi som framgår av art. 82.1 GDPR. Dataskyddsöverträdelser medför oftast att en stor grupp människor lider skada varför förordningen tillåter registrerade att föra grupptalan med hjälp av en ideell organisation enligt art. 80 GDPR. Teoretiskt sett kan skadeståndsbeloppen bli högre än försäkringsbeloppen varför det i sådana fall saknas ett försäkringsskydd för grupptalan för den personuppgiftsansvarige. Försäkringsvillkoren anger däremot ingenting om att försäkringen inte täcker ett sådant anspråk. Därmed ställs försäkringsbolagen inför utmaningen att hantera sådana anspråk, varför försäkringen bör uppdateras för att möta skadestånd i en grupptalan vid dataskyddsöverträdelser. / The essay investigates insurance coverage for liability for damages in the event of data protection breaches. GDPR is the central regulation for the processing of personal data and establishes a number of principles that must be upheld for the data controller to process personal data. If the data controller breaches the principles of the regulation, the data subject has the right to claim damages under Art. 82.1 GDPR. The regulation sets out three cumulative requirements that must be met for liability for damages to arise. This includes that a breach of the GDPR has occurred, that material or immaterial damage as a result of this breach has arisen, and that there is a causal link between the damage and the breach. The regulation also includes a provision that supersedes the national tort law provisions of Member States, which means that the GDPR shall be applied according to its wording and that the cumulative requirements under Art. 82.1 GDPR must be followed. This means that national tort law concepts should not be equated with concepts as set out in Art. 82.1 GDPR as the concepts have arisen in a completely different context. For example, in some cases, material and immaterial damages are translated into economic and non-economic damages. The concepts are not synonymous and should not be attributed the same meaning as the terminology in Art. 82.1 GDPR can be misinterpreted. The insurance terms and conditions that regulate liability for damages in the event of data protection breaches and also refer to Art. 82.1 GDPR, in some cases contain national tort law concepts and other concepts that are not evident in the regulation. This may lead to a lack of congruence between the wording of the terms and conditions and the wording of the regulation, resulting in interpretation issues when assessing whether liability for damages exists. Therefore, the insurance terms and conditions should only contain terminology as set out in Art. 82.1 GDPR. Data protection breaches usually result in harm to a large group of people, which is why the regulation allows data subjects to bring a collective action with the assistance of a not-for-profit organization under Art. 80 GDPR. Theoretically, damages awarded may exceed insurance coverage, which means there is no insurance coverage for collective actions for the data controller in such cases. However, the insurance terms and conditions do not specify that the insurance does not cover such a claim. Therefore, insurance companies are faced with the challenge of handling such claims, which is why the insurance should be updated to cover damages in a collective action in the event of data protection breaches.

GDPR

General Data Protection Regulation

protection

Insurances

breach

insurance

Class action lawsuit

terms and conditions

Personal data

Personal data protection

Registered

Privacy protection Insurance

coverage

sum insured

Damages

compensation

Tort law

Material damages

Immaterial damages

Violation

Economic loss

Insurance company

European Union

Personal Data Act

Data integrity

Confidentiality

Confidentiality protection

Information protection

Personal data protection

Insurance contract

Liability for damages

Data controller

DPO

Data processor

Compensation for damages

Claim for damages

Insurance coverage

Principles

Data protection principles

Compliance

Insurance compensation

Tort law Regulation

Directive

Law

Swedish Authority for Privacy Protection

Data protection officer

European Data Protection Board

Article 29 workgroup

Article

Article 82

Data controller responsibility

Sanctions

Administrative fines

Data Protection Directive

Artikel 82

GDPR

Dataskydd

Försäkring

Försäkringar

Databrottsförsäkring

Grupptalan

Försäkringsvillkor

Personuppgift

Personuppgifter

Personuppgiftsskydd

Registrerad

Registrerade

Integritetsskydd

Försäkringsbelopp

Skadestånd

Skadeståndslag

Materiell

Immateriell

Kränkning

Förmögenhetsskada

Försäkringsbolag

Dataskyddsförordningen

EU

Personuppgiftslag

Dataintegritet

Sekretess

Sekretessskydd

Informationsskydd

Personuppgiftsskydd

Försäkringsavtal

Skadeståndsskyldighet

Skadeståndsansvar

Personuppgiftsansvarig

Personuppgiftsbiträde

Skadeståndsersättning

Skadeståndskrav

Försäkringsskydd

Principer

Dataskyddsprinciper

Regelefterlevnad

Försäkringsersättning

Skadeståndslagen

Förordning

Direktiv

Lag

Integritetsskyddsmyndigheten

IMY

Dataskyddsombud

Data

EDPB

Artikel

82

Personuppgiftsansvar

Sanktioner

Sanktionsavgifter

Dataskyddsdirektivet

DPO

Artikel 82 GDPR

Artikel 82

Europeiska unionen

Law and Society

Juridik och samhälle