UN-Sonderberichterstatter für das Recht auf Privatheit ernannt

6. Juli 2015

Ende der vergangenen Woche hat der Menschenrechtsrat der Vereinten Nationen den maltesischen Juraprofessor Joseph Cannataci zum ersten unabhängigen Sonderberichterstatter für das Recht auf Privatheit („Special Rapporteur on the Right to Privacy“) ernannt. Er wird fortan über Verstöße gegen das Recht auf Privatheit berichten und die internationale Debatte zu Fragen des Rechts auf Privatsphäre begleiten. Cannataci konnte sich gegen insgesamt 29 Mitbewerber durchsetzen, darunter auch der ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Schaar.

 

Sammelklage gegen Facebook vorerst gescheitert

Der österreichische Datenschutz-Aktivist Max Schrems hatte dem sozialen Netzwerk Facebook im Rahmen einer Sammelklage, an der sich rund 250.000 Nutzer beteiligten (wir berichteten darüber), unter anderem ein Ausspähen des Surfverhaltens und ungültige Datenschutzbestimmungen vorgeworfen. Jetzt wurde die Klage vom Landgericht Wien als unzulässig zurück gewiesen, das Gericht erklärte sich für unzuständig.

Nach Auffassung des Gerichts handelte Schrems nicht mehr als Verbraucher, sondern verfolge mit seinem Vorgehen inzwischen auch berufliche Interessen. Mithin müsse er sich an ein Gericht in Irland wenden, wo Facebook seinen eurpäischen Sitz hat.

Schrems kündigte unmittelbar nach dem Beschluss Rechtsmittel an. Das Verfahren wird dann vor dem Oberlandesgericht fortgesetzt werden. Es handelte sich formal um eine Schadenersatzklage mit einem eher symbolischen Betrag von 500 Euro pro Kläger.

Datenschutzabkommen zwischen EU und USA rückt näher

3. Juli 2015

Am Mittwoch dieser Woche tagten in Riga Vertreter der EU und USA aus Justiz- und Innenpolitik zu Verhandlungen über die transatlantische Zusammenarbeit in den Bereichen Freiheit, Sicherheit und Justiz, wie heise berichtet. Gegenstand der Verhandlungen war auch die Gewährleistung eines effektiven Datenschutzes bei der Kooperation und dem Informationsaustausch von europäischen und amerikanischen Sicherheitsbehörden.

Nach dem in Riga verhandelten Abkommen sollen EU-Bürger das Recht haben, den Rechtsweg bei möglichen Datenverstößen in den USA beschreiten zu dürfen.
Die nach US-Recht erforderliche gesetzliche Grundlage hierfür stellt der sogenannte „Judicial Redress Act“ dar. Über einen entsprechenden Gesetzesentwurf des Judicial Redress Act berät der US-Kongress seit Anfang dieses Jahres. Sobald dieser erfolgreich das amerikanische Gesetzgebungsverfahren durchlaufen habe, könne das Datenschutzabkommen auf den Weg gebracht werden.

Nach wie vor als schwierig gestalten sich hingegen die Bemühungen das Safe-Habor-Abkommen zu reformieren. Das zwischen den USA und der EU geschlossene Safe-Habor-Abkommen ist eine Vereinbarung, die gewährleistet, dass personenbezogene Daten von EU-Bürgern legal in die USA übermittelt werden können. Das Safe-Habor-Abkommen wird von Datenschützern als reformbedürftig kritisiert, da es die Rechte der Betroffenen nicht ausreichend schütze.

Auch wenn die Verhandlungen am Mittwoch in Riga einen Schritt in die richtige Richtung genommen haben, kann hingegen nur von einem Teilerfolg die Rede sein. Es bleibt daher abzuwarten wann die Verhandlungsergebnisse umgesetzt werden.

Umfrage: Defizite beim Datenschutz in kleinen und mittleren Unternehmen

2. Juli 2015

Viele deutsche Unternehmen mit weniger als 100 Mitarbeitern haben in Sachen Datenschutz deutlichen Nachholbedarf, wie eine Umfrage des Aktenvernichtungsunternehmens Shred-it jüngst ergab.

Fast drei Viertel der Unternehmen sollen beispielsweise keine Regelungen aufgestellt haben, die die datenschutzkonforme Aufbewahrung und insbesondere auch Vernichtung von vertraulichen Daten thematisieren. Unsicherheit bestehe bereits im Vorfeld bei der Frage, welche Daten tatsächlich als vertraulich einzustufen und damit sicher aufzubewahren und zu vernichten sind. So gaben 35 Prozent der Befragten an, dass ihre Unternehmen über keine Dokumente verfügen, deren Verlust sich geschäftsschädigend auswirken würde. Bei dieser Angabe wird außer Acht gelassen, dass fast ausnahmslos jedes Unternehmen personenbezogene Daten – etwa von Mitarbeitern, Kunden, externen Dienstleistern – erhebt und verarbeitet. Personenbezogene Daten fallen unter das Bundesdatenschutzgesetz und sind insoweit auch stets vertrauliche Informationen. Der Verlust von personenbezogenen Daten kann zum einen zu Imageschäden führen,  zum anderen auch als Ordnungswidrigkeit oder Strafbarkeit einzustufen sein. Auch besteht u.U. eine Verpflichtung zur Information, wenn besondere Datenkategorien betroffen sind und der Verlust der Daten zu einer unrechtmäßigen Kenntniserlangung durch Dritte geführt hat.

Ein interner oder auch externer Datenschutzbeauftragter gibt die erforderliche Hilfestellung bei Fragen der Klassifizierung, der Aufbewahrung und der rechtskonformen Löschung von Daten und natürlich auch der Einhaltung des Datenschutzes insgesamt. Allerdings haben lediglich ein Fünftel der befragten kleinen und mittelständischen Unternehmen einen solchen bestellt – anders als bei Unternehmen mit mehr als 250 Mitarbeitern, wo immerhin 92 Prozent einen Datenschutzbeauftragten bestellt haben.

 

EU-Datenschutzgrundverordnung aktuell (2): Trilog hat begonnen

25. Juni 2015

Die Verhandlungen über die Europäische Datenschutzgrundverordnung (DSGVO) sind in die nächste Phase eingetreten. Seit dem 24.6.2015 beraten Vertreter der EU-Kommission, des Rats der EU sowie des Europaparlaments im Rahmen der sogenannten Trilog-Verhandlungen über den finalen Gesetzesentwurf. Ziel der Verhandlungen ist es, die unterschiedlichen Verhandlungspositionen der beteiligten Institutionen auf eine gemeinsame Linie zu bringen. Schlussendlich soll die aus dem Jahr 1996 stammende EU-Datenschutzrichtlinie wie auch die nationalen gesetzlichen Umsetzungen wie das Bundesdatenschutzgesetz (BDSG) nach einer zweijährigen Einführungsfrist von der DSGVO als Primärrecht abgelöst werden.

Brisant ist vor allem die zumindest partielle Infragestellung des nicht zuletzt im BDSG fest verankerten Zweckbindungsprinzips, wonach personenbezogen Daten nur für den konkreten Zweck verarbeitet oder genutzt werden dürfen, zu dem sie auch erhoben wurden. Die künftigen Voraussetzungen für die Bestellpflicht des betrieblichen Datenschutzbeauftragten stehen ebenfalls zur Debatte – so, ob dieser fakultativ oder obligatorisch bestellt wird, oder ob eine Bestellpflicht auf mittelgroße und große Unternehmen oder auf Unternehmen, die Datenkontingente von bestimmter Menge erheben oder verarbeiten, beschränkt werden soll.

Auch über die Zuständigkeit nationaler Behörden bei grenzüberschreitendem Datenverkehr wird ebenso wie über die Höhe zu verhängender Geldbußen im Sanktionsfall im Rahmen des Trilogs verhandelt werden.

Unzureichender Datenschutz bei Apps für Kinder

Zum Sweep-Day, einer internationalen Prüfaktion des Global Privacy Enforcement Networks (GPEN), wurden Apps für Kinder und Jugendliche von weltweit 28 Datenschutzbehörden auf ihre Datenschutzkonformität geprüft. Das Ergebnis ist teilweise erschreckend. Wie heise online über den groß angelegten Test berichtet, verfügten gerade einmal drei Viertel der untersuchten Apps über eine Datenschutzerklärung, von denen nur rund die Hälfte der Erklärungen formal richtig waren. Lediglich 30 Prozent der deutschsprachigen Versionen waren auch mit einer deutschen Datenschutzerklärung versehen.

Ein weiteres großes Manko brachte die Prüfaktion ans Licht: Eltern haben viel zu geringe Überwachungs- und Eingriffsmöglichkeiten. Dies betreffe insbesondere mangelhafte oder nicht vorhandene Zugangsbeschränkungen bei Bilddaten, wie zum Beispiel das Hochladen von eigenen Fotos. Mehr als ein Drittel der untersuchten Apps verwendet Werbung und bindet In-App-Käufe ein, die von den meist minderjährigen Nutzern ohne Einverständnis der Eltern getätigt werden können.

Von deutscher Seite hatten an der Prüfaktion im Rahmen des „Sweep-Day“ Datenschutzbehörden aus Berlin, Bayern und Hessen teilgenommen.

Sicherheitsstudien: Cyberattacken häufig aus eigenen Reihen

22. Juni 2015

Spätestens seit dem Hackerangriff auf das Netz des Deutschen Bundestages und der Verabschiedung des Entwurfs eines IT-Sicherheitsgesetzes (wir berichteten darüber) ist das Thema Cybersicherheit in Deutschland in aller Munde. Da erscheinen die beiden Sicherheitsstudien von IBM zum passenden Zeitpunkt und erweitern die Diskussion um die Absicherung von IT-Systemen und Netzwerkern um neue Informationen: Etwa die Hälfte (55%) der Attacken stammt aus den Reihen von ehemaligen Angestellten, Dienstleistern mit Systemzugriff oder Mitarbeitern als Opfer von Kriminellen, so der Cyber Security Intelligence Index. Teilweise handeln diese Personen jedoch arglos oder die Schadsoftware gelangt etwa beim Klicken auf präparierte Links in Spam-E-Mails in das System. Um die Angriffsfläche durch derartige Insider zu verringern, kann ein durchgängiges Identitätsmanagement, also die Verwaltung von Benutzerdaten und damit die Zuordnung Zugriffsberechtigungen, bereits sicher helfen.

Der X-Force Threat Intelligence Report stellt heraus, dass daneben mit Schadsoftware infizierte Spam-Mails inzwischen eine echte Sicherheitsbedrohung darstellen. Der Bericht gibt Empfehlungen, wie solche Angriffe zu verhindern, oder zumindest zu verringern sind.

IBM identifizierte im Jahr 2014 in den beobachteten Unternehmen 81 Sicherheitsvorfälle (das sind rund 11% weniger als im Vorjahr), darunter rund 12.000 Cyberattacken (also Vorfälle, bei denen schadhafte Aktivitäten identifiziert werden konnten, bei denen ein Angriff auf das Netzwerk oder bestimmte Informationen versucht wurden). Die am meisten betroffenen Branchen sind Finanz- und Versicherungsdienstleister (über 25%), Informations- und Kommunikationsunternehmen (über 19%) und die herstellende Industrie (knapp 18%).

 

Hamburg: Datenschutzbeauftragter Caspar im Amt bestätigt

Hamburgs Datenschutzbeauftragter Johannes Caspar bleibt weitere sechs Jahre im Amt. Die Hamburgische Bürgerschaft hat Caspar Medienberichten zufolge mit einer Zustimmung von 89,5 Prozent gewählt. „Das ist ein gutes Wahlergebnis, das gibt Rückenwind für die nächsten sechs Jahre, die ja nicht leicht werden angesichts der vielen, vielen Baustellen“, so Caspar zu dem Wahlergebnis.

Caspar ist seit 2009 im Amt. Bundesweit ist er vor allem wegen seines Engagements für mehr Datenschutz rund um die Aktivitäten der Internetkonzerne Google und Facebook, die beide in Hamburg ihren deutschen Sitz haben, aufgefallen. Dabei ging es z.B. um das Abfotografieren ganzer Straßenzüge durch Google Streetview oder Gesichtserkennungsprogramme im sozialen Netzwerk Facebook.

Kategorien: Allgemein
Schlagwörter: , ,

Bundestag verabschiedet IT-Sicherheitsgesetz

17. Juni 2015

Vergangene Woche hat der Bundestag den Entwurf eines neuen IT-Sicherheitsgesetzes verabschiedet. Die jüngsten Berichte über den Hacker-Angriff auf den Bundestag verdeutlichen die drohenden Gefahren durch Cyber-Attacken. Mit den nun verabschiedeten Regelungen beabsichtigt der Gesetzgeber solchen Gefahren eine geringere Angriffsfläche zu bieten. Die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von informationstechnischen Systemen (IT-Systemen) zu gewährleisten, ist der Zweck der Neuerungen zum IT-Sicherheitsgesetz.

Die störungsfreie Nutzung von IT-Systemen ist für Staat, Wirtschaft und Gesellschaft von überragender Bedeutung. Dementsprechend gravierend wären die Schadensausmaße, wenn unbefugte Dritte sich Zugriff auf IT-Systeme ­- beispielsweise von Energieversorgern oder Krankenhäusern – verschafften. Vor diesem Hintergrund hat der Gesetzgeber nun den Kreis derer erweitert, die zukünftig bestimmte Sicherheitsstandards umzusetzen haben. Welche Verpflichtungen sich hieraus ergeben, soll im Folgenden kurz dargestellt werden.

Eine wesentliche Neuerung des Gesetzesentwurfs liegt in den eingeführten Pflichten der Betreiber sogenannter „Kritischer Infrastrukturen“. Adressaten der Regelungen sind entsprechend der Definition Anbieter solcher Dienstleistungen, die den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Ernährung sowie dem Finanz- und Versicherungswesen angehören.

Nach Inkrafttreten des Entwurfes des IT-Sicherheitsgesetzes wird der Gesetzgeber in einer Rechtsverordnung konkrete Dienstleistungen dieser Sektoren festlegen, so dass sich auf dieser Grundlage genau bestimmen lässt, wer Betreiber einer Kritischen Infrastruktur ist.

Von dem Anwendungsbereich des IT-Sicherheitsgesetzes ausgenommen sind jedenfalls sogenannte „Kleinstunternehmen“. Kleinstunternehmen im Sinne der Vorschriften des IT-Sicherheitsgesetzes sind solche, bei denen weniger als 10 Personen beschäftigt sind und deren Jahresumsatz unter dem Betrag von € 2 Mio. liegt.

Gehört ein Unternehmen zukünftig hingegen zu den Betreibern Kritischer Infrastrukturen treffen ihn besondere Pflichten, die er gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als zuständige Stelle zu erfüllen hat.

Zukünftig besteht die Verpflichtung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen für IT-Systeme einzuführen. Eine organisatorische und technische Vorkehrung ist angemessen, wenn die Belastung, welche für das Unternehmen durch ihre Implementierung entsteht, im Verhältnis zu dem Ziel , welches durch sie erreicht werden soll, nicht unverhältnismäßig groß ist. Diese Vorgabe der technischen und organisatorischen Vorkehrungen hat der Gesetzgeber bewusst offen formuliert. An dieser Stelle haben Branchen- und Interessenverbände der betroffenen Adressaten die Möglichkeit, eigene Maßstäbe zu definieren. Aufgrund ihres branchenspezifischen Fachwissens sollen die Interessenverbände gut die Angemessenheit von Vorkehrungen beurteilen können.

Die Verwendung von Mindeststandards haben die einzelnen Unternehmer alle zwei Jahre gegenüber dem Bundesamt nachzuweisen. Die Nachweise können durch Zertifikate, Prüfungen oder Sicherheitsaudits erbracht werden. Auch hier hat der Gesetzgeber den Branchenverbänden einen Gestaltungsspielraum bezüglich der konkreten Anforderungen an mögliche Nachweise eingeräumt.

Des Weiteren haben Unternehmen innerhalb von sechs Wochen nach Inkrafttreten des Gesetzes eine Kontaktstelle einzurichten, über welche die Korrespondenz mit dem Bundesamt abgewickelt werden soll.

Schließlich normiert das Gesetz eine Meldepflicht für Bertreiber Kritischer Infrastrukturen gegenüber dem Bundesamt. Treten erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, ihrer Komponenten oder Prozesse, auf, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, muss dies dem Bundesamt durch die Kontaktstelle gemeldet werden.

Für Diensteanbieter im Sinne des Telemediengesetzes sei schließlich erwähnt, dass die nicht-Verwendung der Mindeststandards bußgeldbewehrt ist.

Ob es letztendlich tatsächlich zu einer erhöhten Sicherheit von IT-Systemen kommt, bleibt abzuwarten.

EU-Datenschutzgrundverordnung aktuell (1): Die Verordnung nimmt Formen an

16. Juni 2015

Nach dreieinhalb Jahren (oder 40 Monaten) Verhandlungen haben sich die EU-Mitgliedsstaaten auf einen ersten Entwurf einer europaweiten Datenschutzverordnung geeinigt. Vorausgegangen war eine der größten Lobbyschlachten der letzten Jahre. Der Grünen-Europa-Abgeordnete Jan-Philipp Albrecht (stellvertretender Vorsitzender des Justiz- und Innenausschusses des Europäischen Parlaments) lobt in einem Interview mit der Deutsche Welle dennoch den gefundenen Kompromiss als gelungenen Ausgleich zwischen den Interessen der Wirtschaft und den Freiheitsrechten der Bürger.

Experten sehen dies deutlich skeptischer. Heise.de bemängelt vor Allem die faktische Aufhebung der Zweckbindung (also das Prinzip, dass Daten nur für den Zweck ihrer Erhebung verwendet werden dürfen) sowie des insbesondere in Deutschland geltenden Grundsatzes der Datensparsamkeit (das Prinzip so wenig wie möglich personebezogene Daten zu erheben, zu nutzen bzw. zu verarbeiten).

Auch das sich mittlerweile etablierte Prinzip des Opt-In (etwa zur Anmeldung zu Newslettern und Werbemails) könnte zukünftig nicht mehr gelten. So ist eine Formulierung geplant, dass zukünftig die „unzweideutige Einwilligung“ ausreichen soll. Ob damit gemeint ist, dass künftig auch ein mehr oder wenig leicht zu erkennender Hinweis in einem langen Text von Einwilligungen genügen soll, um entsprechende Mailings vorzunehmen, scheint nicht ausgeschlossen.

Die Nutzung der Daten für Direktmarketing soll zukünftig bereits dann möglich sein, wenn das Interesse eines Drittunternehmens (also nicht nur des Unternehmens, welches die Daten erhoben hat) bei einer Abwägung größer als das des Betroffenen eingeschätzt wird.

Ob und wie das viel diskutierte Recht auf Vergessenwerden tasächlich in der finalen Verordnung Einzug finden wird, bleibt abzuwarten.

Auch die Konsequenzen von Datenschutzverstößen für Unternehmen, die sich nicht einmal an die geplanten Rahmenbedingungen halten möchten, sollen deutlich sanfter ausfallen als bisher geplant. War in der Vergangenheit von Bußgeldern i.H.v. 100 Millionen Euro oder 5 Prozent des Jahresumsatzes die Rede wurden diese Zahlen nun deutlich reduziert. Ob sich große internationale Unternehmen, die mit den personenbezogenen Daten ihrer Nutzer viel Geld verdienen, von einem Bußgeld i.H.v. maximal 250.000 € von Verstößen abschrecken lassen werden, wird die Zukunft zeigen.

Wie die Verordnung am Ende tatsächlich aussieht hängt von den Verhandlungen zwischen EU-Kommission, Parlament und Ministerrat ab. Diese sollen bis Ende des Jahres abgeschlossen sein.

1 2 3 109