Was hat der Brexit mit dem Datenschutz zu tun?

29. Juni 2016

Nachdem am vergangenen Freitag das Ergebnis der Brexit-Abstimmung bekannt gegeben wurde, beginnt nun die Phase der Umsetzung des Austritts.

Von allen grundlegenden rechtlichen und politischen Schwierigkeiten einmal abgesehen bedeutet der Brexit aus datenschutzrechtlicher Sicht, dass Großbritannien nach Vollzug des Austritts künftig als sog. Drittland gelten wird. Das bedeutet, dass Großbritannien auf andere Art und Weise ausreichende Sicherheit für die Verarbeitung von Daten gewährleisten muss.

Unternehmen, die Daten nach Großbritannien übermitteln, sollten sich hierauf einstellen und schon jetzt überlegen, wie sie die Datenübermittlung künftig gestalten wollen.

Update zum Privacy Shield

Das Privacy Shield, der Nachfolger des im Oktober 2015 für ungültig erklärten Safe Harbours, kommt nun vielleicht doch schneller als gedacht.

Nach Berichten von ZEIT Online und der BBC haben sich die EU-Kommission und die US-Regierung nun endgültig geeinigt. Da jedoch kurz darauf die Entscheidung über den Brexit bekannt gegeben wurde, ging die Meldung bisher unter.

Auch wenn schon im Februar eine Einigung über das Privacy Shield bekannt gegeben wurde, so musste die EU-Kommission auf Grund der Vielzahl der Kritiken noch einmal nachbessern.

Dies ist angeblich nun geschehen, auch wenn ein Entwurf bisher nur dem Artikel-31-Ausschuss vorliegt. Ob die wesentlichen Kritikpunkte, wie die massenhafte Speicherung und Überwachung der Daten durch US-Dienste, nun hinreichend geklärt sind, wird sich zeigen.

Für Unternehmen, die Daten in die USA übermitteln, sind dies spannende Zeiten, da die ersten Bußgelder wegen unzulässiger Datenübermittlugn in die USA bereits verhängt wurden.

Risiko BYOD: über 90% der Organisationen im Gesundheitssektor von Datendiebstahl betroffen

23. Juni 2016

Laut einer Studie  des US-Konzerns Forcepoint wurden in den vergangen zwei Jahren 91 Prozent der Organisationen im Gesundheitssektor Opfer von Datendiebstahl.

Als größtes Risiko hat der Anbieter von Software-Lösungen zur IT-Sicherheit vor allem den Einsatz privater Endgeräte wie Smartphones in der betrieblichen IT-Umgebung ausgemacht.

So wäre es heute Praxis, dass zum Beispiel Ärzte sowohl im Rahmen der Forschung als auch der Patientenuntersuchung ungehinderten und räumlich unabhängigen Zugang zu elektronischen Patientenakten benötigen und dabei regelmäßig über ihre Privatgeräte auf Datenbanken zugreifen, Patientendaten versenden und empfangen.

In Deutschland herrscht nach Aussage der Studie noch weitgehende Unklarheit, welche Sicherheitsmaßnahmen in Bezug auf Patientendaten das sogenannte E-Health-Gesetz  künftig verlange. Den meisten Krankenhäusern attestiert das Unternehmen deutliche Missstände hinsichtlich Präventivmaßnahmen zu einer frühzeitigen Angriffserkennung und fehlenden Überblick über die im Betrieb eingesetzte „Schatten-IT“ durch den Einsatz privater Endgeräte.

Facebook implementiert „Local Awareness“-Funktion

Eine neue Funktion im sozialen Netzwerk Facebook bietet Dienstleistern neuerdings die Möglichkeit ihren tatsächlichen Erfolg von Werbeanzeigen in dem Netzwerk zu verifizieren. Hierbei können die Händler ihre Angebote auf Facebook mit einem geographisch definierten Gebiet verbinden. Bekommt anschließend ein Nutzer einer Werbeanzeige angezeigt und betritt mit eingeschalteter Ortungsfunktion im Mobilfunkgerät ein Geschäft des Händlers in dem Gebiet, wird dies durch Facebook registriert. Zudem sollen mit Hilfe von Programmierschnittstellen zwischen den Kassensystemen der Händler und Facebook tatsächlich getätigte Einkäufe erfasst werden können. Facebook gab an, dass die Händler die Kunden jedoch nicht einzeln erfassen könnten.

Die Verbraucherzentrale und das Smart-TV

16. Juni 2016

Wie die Verbraucherzentrale NRW mitgeteilt hat, hat das Landgericht Frankfurt ihrer Klage gegen die Samsung Electronics GmbG statt gegeben.

Grund waren die Datenschutzbestimmungen des Smart-TVs von Samsung, die nach Auffassung der Verbraucherzentrale und des Landgerichts intransparent sind und nicht den gesetzlichen Bestimmungen entsprechen. Konkret heißt es: „Datenschutzbestimmungen, die auf 56 Bildschirmseiten eines Smart-TV im Fließtext ohne Verwendung von Abschnitten und Überschriften dargestellt werden, sind wegen ihrer Länge und Unübersichtlichkeit intransparent und keine geeignete Grundlage für eine Einwilligung in die Datenerhebung und -verwendung.“

Darüber hinaus hat das Gericht (das die 56 Smart-TV-großen Seiten ja auch lesen musste), einzelne Klauseln beanstandet, insbesondere die verwendete Einwilligungsklausel, die nach Ansicht des Gerichts nicht den gesetzlichen Anforderungen entsprach.

Damit hat die Verbraucherzentrale NRW erfolgreich von der Änderung des Unterlassungsklagegesetzes Gebrauch gemacht, wonach neuerdings auch Verbraucherzentralen Datenschutzverstöße mahnen und ahnden dürfen.

„Cyber-Feuerwehr“ des BSI

Wie heise online berichtet, will das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig eine „Cyber-Feuerwehr“ zur Unterstützung von IT-Unternehmen ins Leben rufen. Die Mannschaft wird wohl voraussichtlich 20 Personen stark sein und konkrete Hilfestellungen geben, damit die angegriffene IT-Infrastruktur möglichst zügig wieder in eine annehmbar stabile Lage kommt. Falls alles klappt, soll die „Cyber-Feuerwehr“ ab 2017 ihre Arbeit beginnen.

Hintergrund ist vermutlich unter anderem die seit Juli 2015 auf Grund des IT-Sicherheitsgesetzes bestehende Pflicht für Betreiber kritischer Infrastrukturen, schwere Angriffe auf ihre Computer-Systeme an das BSI zu melden. Viele Unternehmen scheuen sich jedoch davor, einen Angriff zu melden da sie um ihren Ruf fürchten oder Angst haben, interne Daten preiszugeben. Ziel der „Cyber-Feuerwehr“-Gründung sei es, Unternehmen zu unterstützen und ihnen Mut zu machen, bei einer Attacke um Hilfe zu bitten.

Lesenswerte Broschüre zum Datenschutz im Krankenhaus

Der Bayrische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hat eine Broschüre zum Datenschutz im Krankenhaus veröffentlicht. Was zunächst recht träge klingt, ist anschaulich, lebendig und verständlich geschrieben. Die Broschüre begleitet einen (fiktiven) Patienten bei seinem Krankenhausbesuch. Dabei werden selbstverständlich verschiedene Daten des Patienten erfasst und verarbeitet, teilweise aber auch schon vorhandene Daten wieder aufgerufen oder an andere Stellen übermittelt. Die Fragen, die sich dem Patienten dabei stellen, werden in der Broschüre kurz und übersichtich beantwortet.

Insgesamt hat es der Bayrische Landesbeauftragte für den Dateschutz damit geschafft, eine durchaus lesenswerte Lektüre zu erstellen, nicht nur für Patienten.

EU-Datenschutzgrundverordung in Kraft getreten

9. Juni 2016

Lange wurde an den Einzelheiten gearbeitet und über die konkrete Ausgestaltung debattiert, seit dem 25. Mai 2016 ist es nun amtlich: Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist in Kraft getreten. Damit liegt ein Meilenstein in der Reformierung des europäischen Datenschutzrechts vor, dem ein mehrjähriger Prozess zur Vereinheitlichung vorausging. Darüber hinaus trat ebenso eine neue Richtlinie zum Datenschutz in Polizei und Justiz in Kraft.

Nunmehr gilt es innerhalb von zwei Jahren die entsprechenden Vorbereitungen zu treffen, um für das Wirksamwerden der EU-DSGVO vorbereitet zu sein. Dabei bleibt jedoch vorerst noch die Ungewissheit, inwiefern die nationelen Institutionenen von den in der EU-DSGVO beinhalteten Öffnungsklauseln zur Präzisierung des Datenschutzrechts Gebrauch machen werden.

Erste Bußgelder wegen fehlerhafter Datenübermittlung in die USA

8. Juni 2016

Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.

Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.

Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.

USA und EU unterzeichnen „Umbrella Agreement“

6. Juni 2016

Am 02.06.2016 haben Vertreter der EU und der USA ein lange verhandeltes Rahmenabkommen unterzeichnet, welches datenschutzrechtliche Regelungen bei der transatlantischen Zusammenarbeit in Strafsachen enthält („Umbrella Agreement“).

Gegenstand des Abkommens ist der gesamte Datenaustausch zwischen sämtlichen Justiz- und Strafverfolgungsbehörden der USA und aller EU-Mitgliedsstaaten zum Zwecke der Gefahrenabwehr, Ermittlung und  Strafverfolgung. Gleichzeitig stärkt das Rahmenabkommen die Rechte von EU-Bürgern, indem diese – hinsichtlich der Möglichkeit gegen US-Behörden gerichtlich vorzugehen – US-Bürgern gleichgestellt werden. Weiterhin enthält das Abkommen Regelungen, die Aufbewahrungsfristen für die Datenspeicherung vorsehen. Darüber hinaus soll die Datennutzung lediglich auf die genannten Zwecke limitiert werden.

EU-Vertreter erhoffen sich von dem Rahmenabkommen nicht nur ein besseres Schutzniveau personenbezogener Daten für EU-Bürger. Auch die justizielle Zusammenarbeit, insbesondere die Bekämpfung des internationalen Terrorismus, soll durch das Abkommen verbessert werden.
In einem nächsten Schritt wird nun das Abkommen dem Europäischen Parlament zur Abstimmung vorgelegt.

1 2 3 124