Kategorie: EU-Datenschutzgrundverordnung

Bundesregierung einigt sich auf Gesetzesentwurf für Novellierung des BDSG

2. Februar 2017

Das Bundeskabinett hat sich auf einen Gesetzesentwurf einigen können, mit dem sie das Bundesdatenschutzgesetz an die EU-Datenschutzverordnung für die Wirtschaft und Teile des öffentlichen Sektors sowie die zugehörige Richtlinie für Justiz- und Sicherheitsbehörden anpassen will.

Während Bundesinnenminister Thomas de Maizère von einem „großen Schritt zur Angleichung der Datenschutzregelungen in Europa und damit zu einem harmonisierten digitalen Binnenmarkt“ sprach, steht das geplante Gesetz zur Umsetzung der EU-Datenschutz-Grundverordnung weiter in der Kritik von Datenschützern und Rechtsexperten.

Die Datenschutzbeauftragte Andrea Voßhoff (CDU) kritisierte, dass mit dem Gesetzesentwurf die Kontrollrechte der Datenschutzbehörden wie auch die Rechte von Betroffenen auf Auskunft und Widerspruch eingeschränkt würden und sieht daher noch zahlreichen Anpassungsbedarf. Die geplanten Regelungen beschränken so die Befugnisse ihrer Behörde.

Der Innenexperte der Grünen Jan-Philipp Albrecht beklagt, dass durch das geplante Gesetz einige Regelungen der EU-Datenschutzgrundverordnung „nicht sehr intelligent“ übertragen werden. Der Abschreckungseffekt der Verordnung durch vorgesehene Geldbußen von bis zu vier Prozent des Jahresumsatzes eines Konzerns ginge so zum Beispiel verloren. Er erwartet, dass das Gesetz rasch zur Überprüfung vorm Europäischen Gerichtshof landet, wenn der Entwurf ohne Änderungen verabschiedet würde.

Vor der Verabschiedung geht der Gesetzesentwurf nun zur weiteren Beratung in Bundesrat und Bundestag.

Neuer Entwurf zur ePrivacy-Verordnung der EU-Kommission

13. Januar 2017

In dieser Woche hat die EU-Kommission einen neuen Entwurf einer ePrivacy-Verordnung vorgelegt, mit dem sie auf Änderungsbedarf aufgrund der EU-Datenschutzgrundverordnung reagiert. Der Vorschlag sieht eine Reihe von Neuregelungen vor, die den Datenschutz der Internetnutzer bei Chat- und Voice-over-IP-Anwendungen sowie bezüglich Cookies und Werbung verbessern sollen.

Beispielsweise soll der Umgang mit Cookies vereinfacht werden: Künftig soll für solche Cookies, „die keine Gefährdung der Privatsphäre darstellen“, keine explizite Zustimmung der Nutzer mehr notwendig sein, hingegen dürfen Cookies von Drittanbietern (z. B. von Werbenetzwerken) nur nach Einwilligung des Nutzers aktiviert werden, erst einmal wären diese vom Browser künftig standardmäßig geblockt.

Endlich werden auch die moderneren Kommunikationsdienste wie WhatsApp und Skype unter die Neuregelungen fallen.

Grundsätzlich stieß der Entwurf auf ein positives Echo: So begrüßte der EU-Abgeordnete Jan Philipp Albrecht den Vorschlag, mit dem die Kommission die Reform des Datenschutzrechts aus seiner Sicht komplett mache.

Die Zustimmung von Parlament und Mitgliedsstaaten zum Verordnungsentwurf muss jedoch noch eingeholt werden.

Entwurf für ePrivacy-Verordnung

2. Januar 2017

Ein Entwurf der Privacy-Verordnung für elektronische Kommunikation (ePrivacy-VO) durch die Europäische Kommission wurde geleakt. Mit der Verordnung soll die bisher geltende ePrivacy-Richtlinie (RL 2002/58) ersetzt werden. Durch diese wurden bislang Mindestvorgaben für den Datenschutz in der Telekommunikation gesetzt. Die Richtlinie wurde von den Nationalstaaten unterschiedlich in nationales Recht transformiert. In Deutschland wurden die Mindestvorgaben durch Novellierung des Telekommunikatiosngesetzes transformiert, nachdem die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik wegen Verstoßes gegen die Umsetzungsfrist einleitete. Ein derartiger „Flickenteppich“ unterschiedlicher nationaler Gesetze wird nun durch den gesetzgeberischen Weg einer Vorordnung umgangen, da diese unmittelbare Anwendung findet.

Zwar ist der Gesetzgebungsprozess der ePrivacy-Verordnung noch nicht abgeschlossen, gleichwohl sind im Entwurf bereits gravierende Änderungen zur gegenwärtigen Rechtslage erkennbar.

Wie in der Datenschutzgrundverodnung (DS-GVO) ist räumlich eine extraterritoriale Anwendung vorgesehen. Entscheidend für die Anwendbarkeit der Verordnung sollen die Nutzung und das Anbieten von Kommunikationsdiensten in der EU sein, unabhängig davon, ob die eigentliche Datenverarbeitung außerhalb der EU stattfindet. Eine Umgehung des EU-Datenschutzrechts, wie beispielsweise durch Outsourcing der Datenverarbeitung, soll so verhindert werden.

Die ePrivacy-Verordnung findet sachlich auch auf sogenannte Over-the-Top-Dienste (OTTs), wie Messenger, und auf den für das Internet-of-Things (IoT) wesentlichen Datentransfer zwischen Maschinen Anwendung. Informationen, die im Rahmen der vernetzten Industrie zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DS-GVO enthalten. Die näheren Umstände der Kommunikation, welche über den Inhalt hinausgehen (Metadaten) werden nun erfasst. Diese dürfen ohne vorherige Einwilligung der End-Nutzer nur in bestimmten Fällen, wie etwa zur Qualitätssicherung, IT-Sicherheit oder der Abrechnung, verarbeitet werden. Sofern demgegenüber keine Rechtsgrundlage für eine Verarbeitung besteht, müssen die Daten unverzüglich gelöscht oder anonymisiert werden.

Beim Einsatz von Cookies und anderen Tracking-Tools wird die vorherige Einwilligung der Nutzer benötigt. Dies wird auf anderweitiges Tracking (z.B. GPS), sowie den Zugriff auf im Endgerät gespeicherte Daten (z.B. Fotos, Kontakte, Nachrichten), erweitert. Die Einwilligung soll benutzerfreundlich eingeholt werden und durch technische Einstellungen des Browsers möglich sein (Privacy by Design).

Wie bereits nach der DS-GVO, sollen auch unter der ePrivacy-VO erhebliche Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.

Artikel-29-Datenschutzgruppe veröffentlicht Leitlinien zu wichtigen Themen der Grundverordnung

20. Dezember 2016

In ihrer letzten Sitzung in diesem Jahr hat die Artikel-29-Datenschutzgruppe in der vergangenen Woche drei Leitlinien und FAQs zu wichtigen Neuerungen der Datenschutz-Grundverordnung veröffentlicht.

Es handelt sich dabei um

Sie geben einen hilfreichen Überblick über die Neuregelungen für die Praxis und ermöglichen einen Eindruck, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren.

Die Artikel-29-Datenschutzgruppe wird in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung veröffentlichen, so im kommenden Januar zu den Themen Datenschutzfolgeabschätzung und Zertifizierung.

Bundesministerium des Inneren stellt neuen Entwurf des BDSG vor

25. November 2016

Wie die Gesellschaft für Datenschutz und Datensicherheit (GDD e. V.) berichtet, hat das Bundesministerium des Inneren diese Woche einen Gesetzesentwurf zur Anpassung des nationalen Datenschutzrechts den Verbänden vorgelegt.

Der Gesetzesentwurf berücksichtigt die ab dem 25.05.2018 geltenden Regelungen der EU-Datenschutz-Grundverordnung (DS-GVO). Die DS-GVO enthält unter anderem sogenannte „Öffnungsklauseln“, die die EU-Mitgliedsstaaten ermächtigt bestimmte Sachverhalte in nationalen Gesetzen zu regeln. Hierzu gehört beispielsweise der Beschäftigtendatenschutz, der mangels Gesetzgebungskompetenz nicht von der EU, sondern von den Mitgliedsstaaten zu regeln ist.

Wie sich aus dem vorliegenden Gesetzesentwurf ergibt, wird unter anderem die Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen erhalten bleiben. Außerdem konkretisiert der Gesetzesentwurf die europarechtlichen Transparenzpflichten sowie die Rechte der Betroffenen.

Nun gilt es, die Rückmeldung der Verbände abzuwarten, so dass das Gesetzgebungsverfahren weiter fortschreiten kann.

Datenschutzaufsicht in Deutschland bekommt personellen Zuwachs

23. November 2016

Die Datenschutzaufsicht von Bund und Ländern erhält mehr Personal. Allerdings werden nicht alle gleichermaßen bedacht.

Mit Verabschiedung des Budgets für das Ressort von der Bundesdatenschutzbeauftragten Andrea Voßhoff für das Jahr 2017, geht auch ein beträchtlicher Anstieg von Arbeitsplätzen einher. 49 neue Planstellen sind zu besetzen, so viele wie noch nie. 29 ab Januar, die Restlichen ab Dezember. Somit hat sich das Personal seit Amtsantritt im Jahr 2014 nahezu verdoppelt. Es werden sowohl Juristen als auch Informatiker und Techniker eingestellt. Deren Arbeitsfeld wird vorrangig die Bewältigung von Aufgaben sein, welche im Rahmen der EU-Datenschutzgrundverordnung anfallen. Hinzu kommen Aufgaben aus dem IT-Sicherheitsgesetz, der Vorratsdatenspeicherung und dem Transplantationsregister. Außerdem Tätigkeiten die auf die Unabhängigkeitswerdung der Behörde zurückzuführen sind.

Im Gegensatz zur Bundesebene sind die Länder nicht so reich mit neuen Stellen gesegnet. Dort gehen Forderung und Bewilligung teilweise weit auseinander. Allerdings sind die diesbezüglichen Beratungen noch nicht überall abgeschlossen.

Hessen wurden für die nächsten zwei Jahren 9 neue Stellen und Sachmittel für den Aufbau eines eigenen Labors bewilligt. Berlin, Schleswig-Holstein und Sachsen hingegen dürfen sich nicht vergrößern, hatten aber bis zu 30 Stellen beantragt. Bayern bekommt 2017 vier neue Stellen, forderte jedoch das Doppelte. Nordrhein-Westfalen (NRW) hat keine neuen Stellen gefordert, was jedoch damit zusammenhängt, das NRW bereits für das Jahr 2016 10 Stellen erhalten hat und zurzeit keinen Bedarf sieht.

Merkel und Dobrindt wollen die gesetzlich verankerte Datensparsamkeit abschaffen

18. November 2016

Im Zusammenhang mit dem IT-Gipfel 2016, welcher vom 16.- 17.11.2016  in Saarbrücken stattfand, äußerten sich sowohl Bundeskanzlerin Angela Merkel als auch Infrastrukturminister Alexander Dobrindt kritisch zum Thema Datensparsamkeit.

Der Grundsatz der Datensparsamkeit ist nicht nur im Bundesdatenschutzgesetz (BDSG) geregelt, sondern wurde auch in der neuen EU-Datenschutzgrundverordnung (DS-GVO) als ein Grundpfeiler des Datenschutzrechts festgelegt.

Wie heise.de berichtet fordern Merkel und Dobrindt, dass der Grundsatz der Datensparsamkeit abgeschafft wird. Einigkeit besteht darüber, dass eine Neugestaltung des Datenschutzes erforderlich ist, um die wirtschaftliche Weiterentwicklung voran zu treiben. Angela Merkel äußerte sich auf dem IT-Gipfel am Donnerstag zum Thema Datensparsamkeit und läutete gleichzeitig die Alarmglocken wegen eines lähmenden Datenschutzes. Ihr Lösungsvorschlag sieht anstatt präventiver Verbote einen Korridor für die IT-Branche vor. Zudem soll die Gesetzgebung, durch trial and error flexibler gestaltet werden. Die Bestrebungen der Kanzlerin umfassen auch das Sammeln von Bürgerdaten auf einer zentralen Plattform, ähnlich wie es für die Flüchtlinge durchgeführt wird.  Vergleichbare Aussagen finden sich auch in Alexander Dobrindts Strategiepapier für eine “digitale Agenda 2017+“. Es soll ein Datenreichtum anstrebt werden, welcher Unternehmen helfen soll die digitale Welt besser zu fördern und zu vermarkten, dafür ist eine Lockerung der momentanen Gesetzgebung zum Datenschutz erforderlich. Zudem sollen für dieses Ziel das Wettbewerbs- und Kartellrecht angepasst werden, damit auch deutsche Unternehmen zu großen Digitalkonzernen werden, die weltweit mitspielen können.

Die Aussagen von Merkel und Dobrindt finden in der CDU/CSU-Bundestagsfraktion Anklang. Auch Bundeswirtschaftsminister Sigmar Gabriel äußerte sich in einem Beitrag für die Welt ähnlich. Jedoch kommt auch negative Kritik auf. Peter Schaar, Ex-Bundesdatenschutzbeauftragter befürchtet, dass das Datenschutzniveau bezüglich personenbezogener Daten weiter abnimmt und mahnt, dass wirtschaftlicher Reichtum nicht auch Datenreichtum erfordert.

Es bleibt abzuwarten, ob weiterhin Datensparsamkeit angestrebt wird oder ob Datenreichtum zum neuen Prinzip wird.

Article 29 WP will release guidelines on the GDPR by the end of 2016

28. Oktober 2016

As Bloomber reports, the Article 29 WP will provide guidance on the GDPR soon. Isabelle Falque-Pierrotin, Chairwoman of the CNIL as well as of the Article 29 WP, acknowledged that the GDPR text is ambiguous in some aspects. Therefore, these guidelines aim at serving as an operational toolbox.

Amongst others, the guidance to the GDPR shall refer to the following aspects:

• The designation of the leading Supervisory Authority in case of complaints or in relation to other procedures. Moreover, aspects of the bilateral cooperation and competence to resolve disputes by the Supervisory Authorities and the European Data Protection Board shall be clarified.
• Guidance on the figure of Data Protection Officers is one of the priorities of the Article 29 WP, as it will play an essential role in companies on achieving GDPR compliance.
• The right to data portability has been regulated for the first time in the GDPR. This right will allow data subjects to access their data and transfer data to other data controllers, for example upon the change of telephone provider. The guidance should focus on its scope and implementation.
• The standard by which the proof of consent will take place, will have to be specified. This is especially important for small and medium-sized companies, for which a “simple pedagogical tool” will be developed.
• A formal guidance on the Privacy Shield will not take place until the EU Commission has reviewed its functioning after the first year, this is summer or early fall 2017.

At the moment, the Article 29 WP remains neutral with regard to the Brexit. However, Falque-Pierrotin remarked that the Privacy Shield may be also useful in UK regarding international data flows with the U.S.A.

Further guidance is also expected in 2017, especially regarding topics such as the EU-U.S. Privacy Shield and the implication of the Brexit in privacy issues.

———-
If you would like to read more articles about international data protection topics, we invite you to visit our international blog: www.privacy-ticker.com.

Datenschutzcompliance und die EU-DSGVO: Nur drei Prozent der betroffenen Unternehmen haben einen Plan

14. Oktober 2016

Eine im Auftrag von Dell durch das Marktforschungsinstituts Dimensional Research durchgeführte Studie zum Stand der Vorbereitungen von Unternehmen auf die Europäische Datenschutzgrundverordnung hat alarmierende Ergebnisse hervorgerufen.

Befragt wurden weltweit gut 800 IT- und Wirtschaftsprofis, welche in kleinen, mittelgroßen und großen Unternehmen, die europäische Kundendaten verarbeiten, zuständig sind. Gegenstand der Fragen waren allgemeine Kenntnisse zur Datenschutzgrundverordnung, die Selbsteinschätzung hinsichtlich der Vorbereitung auf die Gesetzesänderung und Wissen über den erweiterten Sanktionsrahmen. Die Unternehmen wählten sie dabei in Australien, Belgien, Deutschland, Frankreich, Großbritannien, Hongkong, Indien, Italien, Kanada, den Niederlanden, Polen, Schweden, Singapur, Spanien sowie den Vereinigten Staaten aus.

Die Ergebnisse offenbaren deutliche Missstände, den Datenschutzrechtlichen Compliance-Anforderungen ab Mai 2018, wenn die Verordnung endgültig in Kraft tritt, zu erfüllen.

So gaben mehr als 80 Prozent der Befragten an, nur wenige bis gar keine Details zu wissen, über 70 Prozent fühlten noch nicht vorbereitet. Genauso viele gaben an, die Anforderungen nicht zu erfüllen oder gar  nicht erst zu wissen, ob und wie das gelinge. 97 Prozent der Unternehmen hatten nach eigener Einschätzung keinen Plan, wie man die datenschutzrechtliche Compliance künftig erfüllen solle.

Bessere Ergebnisse hatten Unternehmen aus Deutschland vorzuweisen, wo immerhin 44 Prozent der Befragten ihre Unternehmen gewappnet sehen.

Betroffene Unternehmen sollten sich in jedem Falle an den betrieblichen Datenschutzbeauftragten wenden, um auch für 2018 eine rechtskonforme Datenschutzpraxis sicherzustellen.

EU-DSGVO: Referentenentwurf zur Anpassung des deutschen Datenschutzrechts veröffentlicht

8. September 2016

Am Mittwoch, den 07.09.2016, hat Netzpolitik.org einen aktuellen Referentenentwurf des Bundesinnenministeriums (BMI) für das „Datenschutz-Anpassungs und Umsetzungsgesetz EU“ veröffentlicht.

Im April 2016 hatte das Europäische Parlament die EU-Datenschutzgrundverordnung (EU-DSGVO) verabschiedet, die die bisher geltende EU-Datenschutz-Richtlinie 95/46/EG ablösen soll. Ziel der EU-DSGVO ist die weitestgehende Harmonisierung des Datenschutzrechtes durch unmittelbare Geltung der Regelungen in den EU-Mitgliedsstaaten. Anders als bei einer Richtlinie müssen die Regelungen einer Verordnung nicht mehr in nationales Recht umgesetzt werden. Allerdings sieht die EU-DSGVO in einigen Regelungen sogenannte Öffnungsklauseln vor, die den EU-Mitgliedsstaaten die Möglichkeit für nationale, unter Umständen abweichende, Detailregelungen einräumen. Bis Mai 2018 müssen die EU-Mitgliedsstaaten von dieser Möglichkeit Gebrauch gemacht haben und entsprechende Anpassungen und Neuregelungen im nationalen Datenschutzrecht vornehmen. Der in dem veröffentlichten Referentenentwurf des BMI dargestellte Gesetzesentwurf soll in Deutschland die erforderlichen Anpassungen des Datenschutzrechtes, insbesondere des Bundesdatenschutzgesetzes, umsetzen.

Die ebenfalls auf Netzpolituk.org dargestellte Kritik, insbesondere des Bundesjustizministeriums sowie der Bundesdatenschutzbeauftragten, in Bezug auf den Referentenentwurf ist vernichtend. So sollen beispielsweise in Zukunft nicht nur Datenschutzverstöße von Nachrichtendiensten vollständig sanktionslos sowie die verdachtsunabhängige Datenverarbeitung zur Verhütung, Aufdeckung und Verfolgung von Verstößen gegen Berufsstandregeln reglementierter Berufe durch öffentliche Stellen möglich sein, sondern auch der Zweckbindungsgrundsatz ausgehöhlt werden. Dadurch bestünde die Gefahr, dass das deutsche Datenschutzrecht unter das Niveau des bisherigen Bundesdatenschutzgesetzes sinken würde. Die Kritik des Bundesjustizministeriums sowie der Bundesdatenschutzbeauftragten bezieht sich nicht nur auf rechtliche, sondern auch auf strukturelle Mängel. Das Bundesjustizministerium legt dem BMI daher nahe, die streitigen Fragen in der kommenden Legislaturperiode zu klären. Laut Netzpolitik.org erscheine es vor diesem Hintergrund am sinnvollsten, zurück auf Null zu gehen und einen Neuanfang zu starten.

1 2 3