Artikel-29-Datenschutzgruppe: Beurteilung internationaler Datenübermittlungen

4. Februar 2016

Nach einer am gestrigen Tag veröffentlichten Stellungnahme der Artikel-29-Datenschutzgruppe sind Übermittlungen personenbezogener Daten in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder Binding Corporate Rules (BCR)  bis zu einer weiteren Benachrichtigung – jedenfalls aber bis Ende April dieses Jahres – als zulässig anzusehen.

Die Artikel-29-Datenschutzgruppe hat die EU Kommission aufgerufen, alle Dokumente, die das neue EU-US Privacy Shield betreffen, bis Ende Februar vorzulegen. Nur dann sei man in der Lage, eine abschließende rechtliche Würdigung und verbindliche Entscheidung zum Umgang mit Datenübermittlungen in die USA – im Speziellen auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules – zu tätigen.

Praktische Konsequenzen:

1) Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules gelten noch immer als zulässig.
2) Jede Intervention von einzelnen Aufsichtsbehörden bezüglich einer Datenübermittlung in die USA ist nicht zu erwarten.
3) Beschwerden oder Rechtsstreitigkeiten wegen Datenübermittlungen in die USA auf Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules sollten bis zu einer abschließenden Beurteilung der Artikel-29-Datenschutzgruppe zurückgestellt werden.
4) Die derzeit bestehende Rechtsunsicherheit im Hinblick auf die Zulässigkeit von Datenübermittlungen in die USA besteht fort. Die nächste Prüfung wird voraussichtlich März dieses Jahres erfolgen. Bis Ende April soll entschieden werden, wie der internationale Datenumgang insgesamt zu beurteilen ist – sei es im Hinblick auf das EU-US Privacy Shield, im Hinblick auf EU-Standardvertragsklauseln oder im Hinblick auf Binding Corporate Rules.

Wenn Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht auf dem Laufenden gehalten werden möchten, abonnieren Sie einen unserer Newsletter:

  • Deutsches / Europäisches Datenschutzrecht: http://www.datenschutzticker.de/newsletter/ (deutsch)
  • Internationales Datenschutzrecht http://www.privacy-ticker.com/newsletter/ (englisch)

Bei Fragen, wie mit internen Policies zum Datenschutz umzugehen ist, wie Datenübermittlungen in Drittländer zu bewerten sind oder wie man sich schon jetzt als Unternehmen auf die Neuregelungen der EU-Datenschutzgrundverordnung vorbereitet, kontaktieren Sie uns jederzeit gern für eine individuelle Beratung!

Rahmenbedingungen des EU-US Privacy Shields festgelegt

3. Februar 2016

Am gestrigen Mittwoch gab die EU-Kommission bekannt, dass Vertreter der EU und der Vereinigten Staaten sich über die Rahmenbedingungen des transatlantischen Datenaustauschs verständigt haben. Die Zulässigkeit des Datentransfers aus der EU in die USA wird sich zukünftig aus dem EU-US Privacy Shield ergeben.
Im Oktober 2015 hatte der Europäische Gerichtshof das Safe-Habor-Abkommen, welches bis dahin als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA diente, für ungültig erklärt. Dies hat vor allem bei europäischen Unternehmen, die US-amerikanische soziale Netzwerke wie Facebook und Twitter sowie US-Cloud-Dienstleistungen  nutzen, für große Unsicherheiten gesorgt.
Das EU-US Privacy Shield wird zukünftig die Maßstäbe für einen transatlantischen Datenaustausch festlegen. Obwohl zurzeit noch kein konkreter Text vorliegt, geben die jüngst bekannt gewordenen Rahmendingung eine Richtung vor. Zum einen werden US-Unternehmen strengere Regularien hinsichtlich der Datenverarbeitung und Sicherstellung von Persönlichkeitsrechten gewährleisten müssen als nach dem Safe-Habor-Abkommen. Das US-Handelsministerium wird die Einhaltung dieser Vorschriften überwachen und kann diese gegebenenfalls gerichtlich durchsetzen. Sofern Personaldaten von Bürgern der Europäischen Union in die USA übermittelt werden, sind darüber hinaus die Entschließungen der Europäischen Datenschutzbehörden zu erfüllen. Weiterhin haben die USA zugesichert, dass US-Strafverfolgungsbehörden und US-Sicherheitsbehörden nur in den Grenzen der Erforderlichkeit und im Rahmen der Verhältnismäßigkeit auf die in den USA gespeicherten Daten zugreifen dürfen. Der Zugriff von US-Behörden auf personenbezogene Daten von Europäern wird durch jährliche Treffen mit Vertretern des US-Handelsministeriums und der Europäischen Kommission sowie Vertretern der US-Nachrichtendienste und der EU-Datenschutzbehörden überwacht. Schließlich werden EU-Bürger bei Verstößen gegen das EU-US Privacy Shield mit verschiedenen Rechtsmitteln ausgestattet. Unternehmen werden innerhalb einer festgelegten Frist auf Beschwerden reagieren müssen. Außerdem werden europäische Datenschutzbehörden Beschwerden an US-Behörden zur weiteren Rechtsdurchsetzung weiterleiten können. Bei Beschwerden bezüglich eines unzulässigen Zugriffs durch US-Sicherheitsbehörden wird eine Ombudsstelle eingerichtet.
Die EU-Kommission wird innerhalb der nächsten drei Wochen Dokumente mit konkreteren Inhalten vorlegen. Diese werden anschließend von der Artikel-29-Gruppe diskutiert.
Zumindest bis dahin ergeben sich für Unternehmen zunächst keine Veränderungen zum derzeitigen Status Quo hinsichtlich der Zulässigkeit von Datenübermittlungen in die USA.

Datenschutz beim Wintersport auf der Piste geblieben?

29. Januar 2016

Wer sich jetzt in der Winterzeit am Wochenende früh morgens von München auf den Weg zum Sudelfeld, einem der zahlreichen Münchener Hausberge, macht, kann sich vermutlich über zahlreiche Dinge den Kopf zerbrechen. Wird die Autobahn voll sein? Wird man einen Parkplatz finden? Passen die Kinder noch in die Skisachen vom letzten Jahr? Was (hoffentlich) bei den meisten Naturverliebten und Wintersportlern in diesem Zusammenhang kein Thema sein dürfte, ist der Schutz Ihrer personenbezogenen Daten.

Doch seit einigen Jahren hat in Europas Skigebieten, so auch am Sudelfeld, ein datenschutzrechtlich fragwürdiger Trend bei den Liftbetreibern Einzug gehalten. Um Liftkartenbetrug zu verhindern, entschließen sich immer mehr von diesen nämlich, massenhaft Fotos Ihrer Kunden zu machen und auszuwerten. Die durchaus nicht unbeliebte Methode, einen Skipass bei Nichtbenutzung zu übertragen, entspricht nämlich – nun ja –  nicht ganz den Beförderungsbedingungen der Betreiber. Naheliegend scheint es da, jeden Skifahrer einfach zu fotografieren und die Bilder zu vergleichen um dann Schwarzfahrer schnell identifizieren können. Insbesondere die österreichische Firma SkiData bietet das passende Werkzeug hierfür. Jedes Mal wenn das Drehkreuz am Lifteingang freigegeben wird, wird ein Foto des Skipass-Tragenden gemacht. Mitarbeiter des Liftbetreibers können dann prüfen, ob tatsächlich immer die gleiche Person zur Bergfahrt antritt. Diese Erfahrung musste auch eine deutsche Skifahrerin in der Schweiz machen, die vom Liftbetreiber beim „Kartentausch“ erwischt wurde. Sie hatte sich mit anderen Eltern beim Kinder-Beaufsichtigen abgewechselt und wollte dann selbst noch mit der Karte, die ein anderer gelöst hatte, ein paar Schwünge machen.

Aber wie ist diese Praxis aus rechtlicher Sicht zu bewerten? Eine gesetzliche Rechtfertigung gestützt auf die Vertragserfüllung wird sich kaum finden lassen. Für die Durchführung des Beförderungsvertrages ist diese Datenverarbeitung sicher nicht erforderlich. Für eine konkludente Einwilligung durch Benutzung des Liftes wäre aber erforderlich, dass hinreichend informiert wird. Ob dies immer im erforderlichen Maße umgesetzt wird, ist fraglich. Im betroffenen Skigebiet in der Schweiz war nicht einmal im „Kleingedruckten“ der AGB etwas hierzu zu finden.

Damit ist nicht gesagt, dass die Praxis unbedingt rechtswidrig sein muss. Insbesondere im Rahmen einer Interessenabwägung könnte sich hier eine Rechtfertigung ergeben. Von Seiten des bayerischen Landesamtes für Datenschutz bestehen jedenfalls keine Bedenken. Zu Bedenken ist, dass die Betreiber sehr wohl ein berechtigtes Interesse haben, Schwarzfahrer zu ermitteln und gegen diese vorzugehen. Zu beachten ist aber auch, dass die personenbezogenen aller Fahrgäste erhoben werden, obwohl sicherlich nur ein kleiner Teil von Ihnen ohne gültigen Skipass fährt. Dieser Bereich betrifft die Verhältnismäßigkeit und das Prinzip der Datensparsamkeit.

Bleibt also das Konstrukt, dass Skibegeisterte „freiwillig“ den Schnappschüssen zustimmen. Insbesondere die Informationspflichten müssen dann aber eingehalten werden, um eine mutmaßliche Einwilligung der Betroffenen zu gewährleisten. Auch bedarf es eines durchdachten Löschkonzepts hinsichtlich der angefallenen Bilder.

Spätestens wenn, wie von SkiData geplant, die Auswertung nicht mehr durch Menschen, sondern durch automatische Gesichtserkennung, erfolgen soll, wird wohl das mediale Interesse an der Materie zunehmen. Momentan scheitern diese Versuche nämlich noch an der „Vermummung“ durch Helm und Schal der Skifahrer.

Automatisiertes Fahren und der Datenschutz

Wie heise online berichtet, ist für die Bundesregierung der Datenschutz (und staatliche Vorgaben hierzu) ein wichtiger Faktor beim Thema automatisiertes Fahren.

Die personenbezogenen Daten, die von Fahrzeugen im Rahmen des automatisierten Fahrens erstellt werden, dürften nur verwertet werden, wenn der Betroffene zugestimmt hat oder die Daten pseudonymisiert werden. So sieht es der Antrag von CDU/CSU und SPD vor,über den der Bundestag heute berät. Nicht möglich sein soll demnach die Erstellung von Bewegungsprofilen mit direktem Personenbezug. Des Weiteren müsse die Datenübermittlung jederzeit und einfach sowohl aktiviert als auch deaktivert werden können.

Noch ungeklärt ist die Frage der Haftung, die bislang grundsätzlich bei Fahrer und Fahrzeughalter liegt. Je nach Automatisierungsgrad des Fahrzeugs könnten künftig aber auch Hersteller und Techniklieferanten verstärkt verantwortlich gemacht werden.

Als unmittelbare Vorteile der intelligenten Mobilität nennt die Koalition in ihrem Antrag z. B. die Ressourcenschonung von Investitionsmitteln, den Schutz von Umwelt und Klima sowie weniger Verkehrstote und Verletzte.

Gleichwohl ist es, nicht zuletzt für die Akzeptanz der Technik unter den Autofahrern, wichtig, dass die Fahrer selbst entscheiden können, wer auf die Daten zugreifen darf.

Kategorien: Allgemein
Schlagwörter:

28. Januar – Europäischer Datenschutztag

Gestern, am 28. Januar 2016, fand zum zehnten Mal der Europäische Datenschutztag statt. Der europäische Datenschutztag geht auf eine Initiative des Europarates zurück und erinnert an die Unterzeichnung der Europäischen Datenschutzkonvention 1981. Seit 2008 begehen auch die USA und Kanada am 28. Januar den Data Privacy Day.

Der Focus des Europäischen Datenschutzes liegt zur Zeit vor allem auf den Änderungen, die sich aus der Datenschutzgrundverordnung ergeben werden. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, sieht dies so: Der künftige europäische Rechtsrahmen stellt eine historische Chance für die Stärkung des Datenschutzes innerhalb der EU dar. Dies gilt nicht nur für die Rechtsposition der Bürgerinnen und Bürger, sondern auch für die Durchsetzung des Rechts durch die unabhängigen Datenschutzbehörden der EU-Mitgliedstaaten.

 

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter:

BfDI: Warnung vor Dashcams

27. Januar 2016

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff hat anlässlich des 54. Deutschen Verkehrsgerichtstages vor dem Einsatz von Dashcams gewarnt. Dabei handelt es sich um kleine Videokameras, die im PKW hinter der Windschutzscheibe platziert werden. „Wenn eine Dashcam dazu genutzt wird, den Verkehr lückenlos zu dokumentieren, ist dies datenschutzrechtlich unzulässig.“, so Voßhoff. Diese Art der Nutzung stelle nach deutschem Recht einen Eingriff in das allgemeine Persönlichkeitsrecht der gefilmten Personen dar. Das allgemeine Persönlichkeitsrecht überwiege im Falle einer Abwägung gegenüber dem Interesse des Dashcam-Nutzers zu Beweiszwecken. Die Nutzung einer Dashcam sei nur zu familiären pder persönlichen Zwecken gestattet. Ob es zulässig ist, solche Videoaufnahmen nach einem Unfall als Beweismittel vor Gericht zu verwenden, ist hingegen juristisch noch nicht geklärt. Darüber werde beim 54. Verkehrsgerichtstag beraten.

Bundestag votiert mehrheitlich für Ankunftsausweis für Flüchtlinge

26. Januar 2016

Die mehrfach aufgetretenen Probleme bei der Registrierung oder nachträglichen eindeutigen Identifizierung von Flüchtlingen treibt das Thema des Ankunftsausweises weiter voran. „Wir wollen wissen, wer in unser Land kommt und wohin er verteilt wird“, sagte Bundesinnenminister de Maizière. „Und wir wollen wissen, ob und von welchen Flüchtlingen eine Gefahr ausgeht.“

Der Bundestag debattierte hierzu und votierte mehrheitlich für einen Gesetzentwurf, der die Ausstellung von Ankunftsnachweisen regeln soll. Angedacht ist ein Ausweis, aus dem sich neben Personal- und Kontaktdaten auch die berufliche und biometrische Informationen ablesen lassen sollen. Zugriffsberechtigt hinsichtlich dieser Informationen sollen neben dem Bundesamt für Migration und Flüchtlinge auch andere Ausländerstellen und insbesondere Polizeibehörden sein. Zudem sollen Gesundheits- und Jugendämter sowie die Bundesagentur für Arbeit und Jobcenter die Daten einsehen. Für Sozial- und Verwaltungsgerichte soll die Einsichtsmöglichkeit auf die Anschrift von Asylsuchenden im Bundesgebiet beschränkt sein.

De Maizière weißt dabei den von der Opposition erhobenen Vorwurf des Generalsverdachts gegenüber Flüchlingen zurück: „Unmittelbar nach der Speicherung sollen die Behörden abgleichen und prüfen. Und auch wenn die Flüchtlinge erst in Deutschland kriminell werden, werden wir sie künftig schneller identifizieren können.“ Auch die Umsetzung des Datenschutzes steht in der Kritik. Luise Amtsberg von den Grünen bemerkt hierzu: „Wer gewährleistet, genau für welchen Teil dieser riesigen Dateninfrastruktur, dass kein Missbrauch erfolgt. Datenschutz ist ein grünes Kernthema – wir sind nicht überzeugt und haben da erhebliche Bedenken.“ Doch auch diesen Einwand lässt die Union nicht gelten. Der CSU-Abgeordente Lindholz widerspricht: „Schauen Sie sich mal die Realität an anstatt Reden zu schwingen von Entbürokratisierung. Das hat mit der Praxis rein gar nichts zu tun.“

Kritisch anzumerken war der Umstand, dass lediglich 60 der insgesamt 630 stimmberechtigten Abgeordneten bei der Abstimmung zugegen waren. In zwei Wochen muss der Bundesrat dem Gesetz noch zustimmen. Am 1. Februar soll es dann gelten. Bis zum Sommer soll der Flüchtlingsausweis dann überall eingeführt sein. Die Datenschutzbeauftragte Andrea Voßhoff soll eine Kontrollmöglichkeit erhalten.

Kategorien: Allgemein
Schlagwörter: ,

Safe Harbor 2 – Update zum Stand der Verhandlungen

Wie Reuters vergangenen Freitag berichtete, habe die US-Regierung der EU die Schaffung eines „US privacy ombudsman“ angeboten. Die eigens für das neue Safe Harbor Abkommen einzurichtende Behörde soll dem US-Außenministerium unterstehen und für Beschwerden von EU-Bürgern über den transnationalen Datentransfer zuständig sein. Unter Berufung auf vier an den Gesprächen beteiligten Quellen soll die Behörde sicherstellen, dass der Zugriff auf Daten von EU-Bürgern nicht exzessiv erfolgt.

Darüber hinaus hätten die Vereinigten Staaten eine Liste Regelungen und Maßnahmen vorgelegt, die die Kompetenzen ihrer Nachrichtendienste beschreiben und begrenzen. Auch soll zukünftig ein Rechtsschutz von EU-Bürgern gegen den unberechtigten Datenzugriff der US-Behörden möglich sein.

Derzeitig werde über die konkreten Aufgaben und Befugnisse der neuen Behörde verhandelt.

Der EuGH hatte in dem Urteil vom 06. Oktober 2015 das Safe Harbor Abkommen für ungültig erklärt, da unter anderem nicht berücksichtigt wurde, ob es Rechtsvorschriften gibt, die etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, begrenzen. Außerdem blieb die Existenz eines wirksamen Rechtsschutzes gegen Eingriffe unbrerücksichtigt.

Der Vorschlag zu einer neuen Schiedsstelle kann daher als Schritt in die richtige Richtung verstanden werden. Ob durch die neue Behörde ein Teil der durch den EuGH aufgestellten Grundsätze erfüllt werden, wird erst anhand weiterer Informationen berurteilt werden können.

Ermittlungsbehörden: Weiter steigender Einsatz von „Stillen SMS“

25. Januar 2016

Die Ermittlungsbehörden des Bundes setzten Medienberichten zufolge verschiedene Instrumente zur Überwachung von Telekommunikation im zweiten Halbjahr 2015 intensiver ein als je zuvor. So gehe beispielsweise aus einer Antwort der Bundesregierung auf eine Kleine Anfrage der Bundestagsfraktion der Linken hervor, dass das Bundeskriminalamt  im zweiten Halbjahr 2015 fünf mal so viele sogenannte „Stille SMS“ wie noch im ersten Halbjahr verschickt hat – insgesamt also 116.948 solcher Kurznachrichten, die dem Empfänger nicht angezeigt werden, jedoch auswertbare Verbindungsdaten erzeugen. Das Bundesamt für Verfassungsschutz soll danach bereits im zweiten Halbjahr 2014 in 142.108 Fällen Stille SMS in vergleichbarer Intensität eingesetzt haben. Auch der Militärische Abschirmdienst, der Zoll und der Bundesnachrichtendienst sollen in den vergangenen Jahren solche Nachrichten verschickt, doch die Fallzahlen bewegten sich bei „1“ oder wurden nicht angegeben.

 

„Die heimlichen Textnachrichten sind rechtswidrig. Polizei und Geheimdienste dürfen die Kommunikation von Telefonen nur passiv abhören. Als Ortungsimpulse werden die Stillen SMS aber von den Behörden selbst erzeugt.“, so der Abgeordnete der Linken Hunko. Die Anfrage zeige, dass der Sicherheitsapparat alle ihm zur Verfügung stehenden Techniken auch einsetzt. Die Verhältnismäßigkeit bleibe dabei offensichtlich auf der Strecke. Er befürchte, dass die Daten von Stillen SMS, Funkzellenabfragen oder aus der Analyse Sozialer Medien in einigen Jahren ‚vorwärtsgerichtet‘ genutzt, also von polizeilicher Vorhersagesoftware verarbeitet werden. Auch deshalb müsse der elektronischen Spitzelei bereits heute Einhalt geboten werden. Als ersten Schritt fordert er die Behörden auf, sofort eine Benachrichtigungspflicht der Betroffenen einzuführen.

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für „unrealistisch“ und „unwahrscheinlich“, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

1 2 3 118