Kategorie: Internationaler Datenschutz/Konzerndatenschutz

Dobrindt will als Folge von WannaCry das IT-Sicherheitsgesetz verschärfen

17. Mai 2017

Der Bundesminister für digitale Infrastruktur, Alexander Dobrindt (CSU), will das IT-Sicherheitsgesetz verschärfen. Grund für seinen Vorstoß ist der Krypto-Trojaner WannaCry, der in den letzten Tagen für Aufsehen sorgte.

Der Trojaner hat weltweit hunderttausende Windows-Rechner lahmgelegt. Die Ransomware WannaCry ist ein Erpressungstrojaner. Ist der Rechner einmal befallen verschlüsselt das Programm Benutzer- und Systemdateien und fordert den Nutzer auf, einen bestimmten Betrag in Bitcoins zu zahlen, damit die die Dateien wieder freigegeben werden. Zudem versucht das Programm noch weitere Rechner zu infizieren.

Steven Wilson, der Chef der Ermittlergruppe EC3, des europäischen Cybercrimezentrums, sagt: „Das ist der größte Cyberangriff, den wir weltweit bisher gesehen haben und wir können sein Ausmaß auf die Wirtschaft nicht vorhersagen“.

Das Ausmaß des Angriffs ist enorm, auch wenn der Trojaner inzwischen durch Zufall gestoppt wurde und das erpresste Geld wahrscheinlich nicht mehr als 30.000€ einbringen wird. Der Schaden ist riesig. Betroffen sind nicht nur tausende Rechner von Privatpersonen, sondern auch beispielsweise die Deutsche Bahn, die Probleme mit den Anzeigetafeln und Ticketautomaten seit Tagen versucht wieder in den Griff zu kriegen.

Auf Grundlage dessen fordert Bundesminister Dobrindt ein schärferes IT-Sicherheitsgesetz und bringt eine Meldepflicht ins Spiel, damit Infrastrukturen besser geschützt werden. „IT-Störungen sollen zwingend dem Bundesamt für Sicherheit in der Informationstechnik gemeldet werden“.

Unroll.me verkauft Daten seiner Nutzer an Dritte

26. April 2017

Bei dem kostenlosen unroll.me handelt es sich um ein Programm, das das Email-Postfach seiner Nutzer aufräumt. Dazu werden beispielsweise Gmail-Konten nach Newslettern und Spam durchsucht, so dass diese im Anschluss abbestellt werden können.

Während ihrer Recherche-Arbeit über den Fahrdienstvermittler Uber ist die New York Times gleichzeitig auf die Praktiken von unroll.me aufmerksam geworden. Der Dienst nutzt den Zugriff auf die E-Mail-Konten seiner Nutzer neben dem Aufräumen nämlich auch dazu, Informationen über diese herauszufinden und sie anschließend anonymisiert weiter zu verkaufen.

Nutzer kritisieren den Verkauf ihrer Daten und argumentieren, dass auch ihre nicht-personenbezogenen Daten Rückschlüsse auf sie zuließen.

Der Gründer und Geschäftsführer von unroll.me, Jojo Hedaya, verweist in einer Stellungnahme auf seinem Blog ausdrücklich auf die Datenschutzbestimmungen seines Dienstes, in denen darauf hingewiesen wird, dass unroll.me nicht-personenbezogene Daten seiner Nutzer sammeln, nutzen, übertragen, verkaufen und offenlegen darf. Er versichert jedoch, dass unroll.me nicht auf die persönlichen Daten zugreift und diese dementsprechend auch nicht veröffentlicht oder verkauft werden.

Zum Abschluss verspricht er, dass die Praktiken für die Nutzer in Zukunft deutlicher zu erkennen sein sollen, als dies bisher in den Datenschutzbestimmungen der Fall ist.

Datenaustausch zwischen WhatsApp und Facebook gerichtlich überprüft

Nach dem Kauf von WhatsApp durch Facebook vor zwei Jahren bewahrheitete sich die Befürchtung, dass Facebook auf die Nutzerdaten von WhatsApp-Nutzern zugreifen will relativ schnell. Der Bundesverband der Verbraucherzentralen (VZBV) mahnte WhatsApp im vergangenen September ab, dadurch wurde die Weitergabe der Nutzerdaten zumindest vorläufig gestoppt.

Um zu erreichen, dass die Datenkrake Facebook auch zukünftig nicht auf Nutzerdaten zugreifen darf wurde zudem Klage eingereicht. Das Verwaltungsgericht Hamburg (VG) hat am Dienstag beschlossen, dass eine Nutzung von personenbezogenen Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung erfolgen darf.

Weiterhin problematisch und noch nicht hinreichend geklärt ist allerdings, ob deutsches Datenschutzrecht überhaupt zur Anwendung kommt und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen kann. Sofern das deutsche Datenschutzrecht angewendet werden kann, dürfte der Beschluss des VG Hamburg Bestand haben, denn die von WhatsApp benutzten Einwilligungserklärungen genügen den Anforderungen des deutschen Datenschutzrechts nicht.

Somit bleibt abzuwarten, ob ein von Facebook eingereichter Widerspruch gegen den Beschluss des VG Hamburg Erfolg haben wird.

Kritische Resolution des Europäischen Parlaments zum „Privacy Shield“

12. April 2017

In der vergangenen Woche hat das EU-Parlament eine sehr kritische Resolution zum EU-US Privacy Shield angenommen und damit die bereits seit der Existenz des Übereinkommens existierenden Zweifel an seiner Vereinbarkeit mit europäischen Datenschutzgrundsätzen bekräftigt.

Zwar erkennt es Verbesserungen im Vergleich zu dem vor dem Privacy Shield bestehenden Verfahren nach der „Safe-Harbour“-Entscheidung, jedoch werden nach wie vor gravierende Mängel bei der Weitergabe von personenbezogenen Daten in die USA gesehen. Vor allem kritisieren die Parlamentarier

  • einen ungenügenden Schutz personenbezogener Daten von Betroffenen aus der EU vor dem Zugriff durch US-Geheimdienste,
  • keine durchsetzbaren und damit wirkungsvollen Rechte von Betroffenen auf Widerspruch, Löschung oder Auskunft gegenüber US-Unternehmen.

Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses des EU-Parlaments, fordert die EU-Justizkommissarin Jourovà auf, umgehend zu handeln und den Druck auf die US-Regierung zu erhöhen. Das Privacy Shield müsse zu einem echten Schutzschild gemacht werden, andernfalls gehe die Europäische Kommission das Risiko ein, dass der Europäische Gerichtshof die Regelung zukünftig (erneut – wie schon bei „Safe Harbour“ geschehen -) für ungültig erklärt.

Vor diesem Hintergrund ist es nach wie vor empfehlenswert, alternative rechtliche Absicherungen neben einem Beitritt im EU-US Privacy Shield für solche Unternehmen vorzusehen, für die eine Übermittlung von personenbezogenen Daten in die USA relevant ist.

iCloud-Account Fernlöschung durch Erpresser am 7.April 2017

29. März 2017

Unbekannte Erpresser drohen Apple, dass sie iCloud-Accounts aus der Ferne löschen, wenn Apple die geforderte Summe in bitcoins nicht zahlt.

Die Erpresser nennen sich “Turkish Crime Family“ und behaupten sie seien im Besitz von mehreren hundert Millionen iCloud-Zugangsdaten, wie ZDNet berichtet.

Mit Hilfe dieser Zugangsdaten lässt sich die iCloud-Fernortungsfunktion aktivieren. Durch diese Funktion lassen sich Apple-Geräte orten, aus der Ferne sperren und löschen. Wie die Angreifer an diese Daten gekommen sind ist fraglich, denn Apple betonte bereits, dass kein Einbruch in iCloud vorliegt. Allerdings lässt sich die Echtheit anhand einer übermittelten Liste überprüfen.

Was kann der Apple-Nutzer, gegen die Ankündigung der Erpresser eine Fernlöschung des iCloud-Accounts am 7.April vorzunehmen, tun?  Die Nutzer sollten das Passwort ihrer Apple-ID ändern und kein Passwort benutzen, dass sie bereits anderswo nutzen. Zudem sollte das iOs-Backup auf den aktuellsten Stand gebracht werden, sodass falls etwas passiert die gelöschten Daten wieder aufgespielt werden können. Außerdem kann die Funktion “Mein iPhone suchen“ abgeschaltet werden. Das führt zwar dazu, dass das iPhone nicht mehr von Dritten gelöscht werden kann, aber auch der Nutzer selbst kann es im Falle eines Verlustes nicht mehr aufspüren und aus der Ferne löschen.

Neues Gesetz in den USA: Arbeitnehmer müssen Gentests vorlegen

23. März 2017

Wie die Süddeutsche Zeitung berichtet wurde in den USA, unter Ausschluss der Öffentlichkeit, ein neues Gesetz zu Gentests auf den Weg gebracht. Laut dieses Gesetzes müssen Arbeitnehmer ihrem Arbeitgeber Gentests vorlegen.

Die Gentests beruhen nicht auf einer freiwilligen Basis, denn den Unternehmen ist es zukünftig gestattet Gentests einzufordern. Die Arbeitnehmer müssen also einen Gentest durchführen lassen und die Ergebnisse offen legen. Hierin liegt ein starker Eingriff in die Privatsphäre, da „Gentests freiwillig sein sollten und vor allem kein Zwang bestehen darf die Ergebnisse zu veröffentlichen“,  European Society of Human Genetics (ESHG).

Nicht nur amerikanische Gentechniker sind von dem Gesetz entsetzt. Auch europäische Wissenschaftler äußerten ihre Befürchtungen, weil Neuerungen im Bereich der Bioethik irgendwann von den USA nach Europa kommen und damit auch hier die Gefahr eines solchen Eingriffs besteht. Ob im europäischen Raum tatsächlich ein solcher Vorstoß geplant ist, ist nicht bekannt und wenn muss ein solches Gesetz auch erst mal verabschiedet werden und der rechtlichen Prüfung durch die obersten Gerichte standhalten. Somit besteht, vorerst jedenfalls, hier keine Gefahr.

Noch im Jahr 2008 wurde in den USA ein Gesetz beschlossen, dass genau solche Gentests verboten hat.

Jedoch lässt sich das Interesse der Unternehmen an einer solchen Untersuchung nicht von der Hand weisen. Die Unternehmen können genetische Informationen in Erfahrung bringen und aufgrund dieser über ihre Arbeitnehmer entscheiden. Ein risikobelasteter Arbeitnehmer kann für das Unternehmen im Krankheitsfall höhere Kosten bedeuten. Für die Arbeitgeber ist es demnach nur logisch, dass sie Konsequenzen aus den Ergebnissen ziehen. Diese könnten zum Beispiel auch eine Nicht-Verlängerung des Arbeitsvertrages sein oder eine Nichteinstellung. Jedoch darf nicht außer Acht gelassen werden, dass das bloße Risiko einer Erkrankung noch keine Gewissheit auf einen späteren Ausbruch der Krankheit darstellt. Was aber feststeht ist der Eingriff in die Privatsphäre.

Die E-Privacy-Verordnung

15. März 2017

Wir berichteten bereits Anfang des Jahres über den offiziellen Entwurf der E-Privacy-Verordnung. Dieser wurde am 10. Januar 2017 veröffentlicht. Nachdem er im November bereits geleakt wurde.

Die E-Privacy-Verordnung soll die EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ergänzen und parallel zu dieser in Kraft treten. Die Notwendigkeit einer ergänzenden Verordnung liegt darin, dass es in den verschiedenen Mitgliedsstaaten der EU unterschiedliche Regelungen gibt. Deutlich wird dies am Beispiel der Cookies. In Deutschland gilt die sogenannte Opt-Out Regelung, diese benötigt keine aktive Zustimmung des Nutzers, wohingegen in anderen Ländern die Opt-In Regelung genutzt wird. Bei Opt-In werden umfassende Informationen an den Nutzer heran getragen und es Bedarf einer aktiven Einverständniserlärung.

Die E-Privacy-Verordnung wird die E-Privacy-Richtlinie (RL 2002/58/EG) und die Cookie-Richtlinie (RL 2009/136/EG) ersetzen. Zweck der neuen Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO, zudem soll das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt werden.

Die neue Verordnung ist, ähnlich wie die DSGVO, nicht abschließend, sondern enthält Öffnungsklauseln. Demnach steht dem nationalen Gesetzgeber Spielraum für Regelungen zur Verfügung.

Die E-Privacy-Verordnung erweitert den sachlichen Anwendungsbereich deutlich. Es sind nunmehr nicht mehr nur die klassischen Telekommunikationsanbieter von der Verordnung erfasst, sondern auch die sogenannten „Over-The-Top-Dienste“ (OTT). Zu diesen zählen beispielsweise WhatsApp, Skype und Facebook.

Bemerkenswert sind auch die Neuerungen.

So wird bei Cookies in Zukunft differenziert zwischen Cookies die keine Auswirkung auf die Privatsphäre des Nutzers haben und solchen die für die Privatsphäre des Nutzers relevant sind. Erstere bedürfen keiner vorherigen Information und auch keiner Einwilligung des Nutzer. Letzere dürfen nur nach ausdrücklicher Zustimmung des Nutzer benutzt werden. Dies lässt sich über die, bereits aus der DSGVO bekannten, ‚benutzerfreundlichen Voreinstellungen‘ im Web-Browser realisieren. Dort kann der Nutzer die Zustimmung in allgemeiner Form für solche Arten von Cookies erteilen und muss diesen nicht bei jedem Besuch auf einer Website separat zustimmen. Die Betreiber von Web-Browsern sind folglich in der Pflicht die Browser so zu updaten, dass dem Nutzer eine solche Voreinstellung ab Mai 2018 zur Verfügung steht.

Auch das Direktmarketing wird erneuert. Sowohl via E-Mail als auch was das Telefonmarketing betrifft gilt ab in Kraft treten der Verordnung, dass Marketing nur noch nach vorheriger Einwilligung erlaubt ist. Eine Ausnahme betrifft die bereits bestehenden Kundenbeziehungen. Bei diesen darf solange weiter Marketing betrieben werden, bis der Kunde einen Widerspruch dagegen tätigt.

Betreiber von Websites, die sich über Werbung finanzieren, dürfte die folgende Neuerung freuen. Betreiber dürfen prüfen, ob der Nutzer einen Adblocker verwendet und wenn dem so ist, dürfen sie ihm den Zugang zur Website versagen.

Zudem wurden auch die Bußgelder erhöht. Diese wurden an die Höhe der Bußgelder in der DSGVO angepasst. Das bedeutet, dass bei Verstößen gegen die Verordnung demnächst Bußgelder bis 20.000.000,00€ oder bis zu 4% des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres fällig werden können.

Es bleibt allerdings noch abzuwarten, ob die Verordnung in dieser Form auch wirklich im Mai 2018 in Kraft tritt, oder ob noch entscheidende Änderungen an dem Entwurf vorgenommen werden.

EuGH lehnt “Recht auf Vergessenwerden“ für in Gesellschaftsregistern enthaltene personenbezogene Daten grundsätzlich ab

14. März 2017

Der Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg, hat mit Urteil im Wege eines Vorabentscheidungsverfahren vom 09.03.2017 (Az.: C-398/15), ein “Recht auf Vergessenwerden“ bezüglich personenbezogener Daten die im Gesellschaftsregister eingetragen sind, grundsätzlich abgelehnt. Betonte allerdings, dass in Ausnahmefällen und nach Ablauf einer hinreichend langen Frist, nach der Auflösung einer Gesellschaft, die EU-Mitgliedsstaaten einen beschränkten Zugriff Dritter zu den hinterlegten Daten vorsehen können.

Der EuGH musste entscheiden, weil ein italienischer Geschäftsmann gegen die Handelskammer Lecce gerichtlich vorgegangen ist. Dieser war der Ansicht, dass er keinen geschäftlichen Erfolg hat, weil im Gesellschaftsregister noch eine Insolvenz von 1992 eingetragen war, welche 2005 liquidiert wurde. Erstinstanzlich wurde ihm vom Tribunale di Lecce Recht gegeben und die Handelskammer aufgefordert die Daten zu anonymisieren. Dagegen ging die Handelskammer Lecce vor. Der angerufene italienische Kassationsgerichtshof hat die relevanten Fragen im Wege des Vorabentscheidungsverfahren dem EuGH vorgelegt.

Die Richter des EuGH begründeten ihre Entscheidung damit, dass die Offenlegung von personenbezogenen Daten im Gesellschaftsregistern der Rechtssicherheit und auch dem Vermögensschutz von Aktiengesellschaften und Gesellschaften mit begrenzter Haftung dient. Zudem sind auch mehrere Jahre nach der Auflösung der Gesellschaft Fragen denkbar, die einen Rückgriff auf die hinterlegten personenbezogenen Daten rechtfertigen.

Die Luxemburger Richter stellten außerdem fest, dass aufgrund von unterschiedlichen Verjährungsfristen der nationalen Gesetzgebungen, einheitliche Fristen nicht möglich sind, sodass die nationalen Gesetzgeber in dieser Frage tätig werden müssen. In jedem Fall muss es aber auf eine Einzelfallprüfung ankommen.

Bezüglich des italienischen Geschäftsmanns sahen die Richter keine Rechtsfertigung für eine Zugangsbeschränkung.

EU-Justizkommissarin droht die Privacy Shield Vereinbarung außer Kraft zu setzen

6. März 2017

Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.

Sie werde dabei „nicht zögern, dafür stehe zu viel auf dem Spiel.“

Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.

Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.

Wird Privacy Shield ein (weiteres) Opfer Donald Trumps Präsidentschaft?

10. Februar 2017

Das Safe-Harbor-Abkommen wurde im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es im Wesentlichen die Daten und somit mittelbar die Persönlichkeitsrechte von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden schützte.

Der Nachfolger des Abkommens, der sogenannte Privacy Shield, trat Mitte 2016 in Kraft und soll den EU-Bürgern einen höheren Schutz ihrer Daten vor dem Zugriff der US-Behörde bieten. Ob dies tatsächlich erreicht wird, wird von Datenschützern bezweifelt.

Ob der Privacy Shield den in dem Urteil zum Safe-Harbor-Abkommen vom EuGH dargelegten Grundsätzen in Zukunft gerecht wird, muss unter Trumps Präsidentschaft bezweifelt werden.

In der Executive Order vom 25. Januar 2017 zur Verbesserung der öffentlichen Sicherheit heißt es unter Section 14:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Das Dekret hat zunächst keine unmittelbaren Auswirkungen auf die Regelungen des Privacy Shield, da die Behörden ausschließlich unter Beachtung des geltenden Rechts dazu aufgefordert werden, US-Ausländer von der Anwendung der Datenschutzvorschriften des Privacy Acts auszuschließen.

Zu dem geltenden Recht gehört der Privacy Shield zwar nach wie vor, ob das Abkommen unter der Präsidentschaft Trumps Bestand haben wird, bleibt jedoch abzuwarten.

1 2 3 18