Kategorie: Internationaler Datenschutz/Konzerndatenschutz

Neues Gesetz in den USA: Arbeitnehmer müssen Gentests vorlegen

23. März 2017

Wie die Süddeutsche Zeitung berichtet wurde in den USA, unter Ausschluss der Öffentlichkeit, ein neues Gesetz zu Gentests auf den Weg gebracht. Laut dieses Gesetzes müssen Arbeitnehmer ihrem Arbeitgeber Gentests vorlegen.

Die Gentests beruhen nicht auf einer freiwilligen Basis, denn den Unternehmen ist es zukünftig gestattet Gentests einzufordern. Die Arbeitnehmer müssen also einen Gentest durchführen lassen und die Ergebnisse offen legen. Hierin liegt ein starker Eingriff in die Privatsphäre, da Gentests freiwillig sein sollten und vor allem kein Zwang bestehen darf die Ergebnisse zu veröffentlichen. So auch die European Society of Human Genetics (ESHG).

Nicht nur amerikanische Gentechniker sind von dem Gesetz entsetzt. Auch europäische Wissenschaftler äußerten ihre Befürchtungen, weil Neuerungen im Bereich der Bioethik irgendwann von den USA nach Europa kommen und damit auch hier die Gefahr eines solchen Eingriffs besteht. Ob im europäischen Raum tatsächlich ein solcher Vorstoß geplant ist, ist nicht bekannt und wenn muss ein solches Gesetz auch erst mal verabschiedet werden und der rechtlichen Prüfung durch die obersten Gerichte standhalten. Somit besteht, vorerst jedenfalls, hier keine Gefahr.

Noch im Jahr 2008 wurde in den USA ein Gesetz beschlossen, dass genau solche Gentests verboten hat.

Jedoch lässt sich das Interesse der Unternehmen an einer solchen Untersuchung nicht von der Hand weisen. Die Unternehmen können genetische Informationen in Erfahrung bringen und aufgrund dieser über ihre Arbeitnehmer entscheiden. Ein risikobelasteter Arbeitnehmer kann für das Unternehmen im Krankheitsfall höhere Kosten bedeuten. Für die Arbeitgeber ist es demnach nur logisch, dass sie Konsequenzen aus den Ergebnissen ziehen. Diese könnten zum Beispiel auch eine Nicht-Verlängerung des Arbeitsvertrages sein oder eine Nichteinstellung. Was menschlich von einem solchen Vorgehen zu halten ist steht selbstverständlich auf einem anderen Blatt. Jedoch darf nicht außer Acht gelassen werden, dass das bloße Risiko einer Erkrankung noch keine Gewissheit auf einen wirklichen Ausbruch der Krankheit darstellt. Was aber feststeht ist der Eingriff in die Privatsphäre.

Die E-Privacy-Verordnung

15. März 2017

Wir berichteten bereits Anfang des Jahres über den offiziellen Entwurf der E-Privacy-Verordnung. Dieser wurde am 10. Januar 2017 veröffentlicht. Nachdem er im November bereits geleakt wurde.

Die E-Privacy-Verordnung soll die EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ergänzen und parallel zu dieser in Kraft treten. Die Notwendigkeit einer ergänzenden Verordnung liegt darin, dass es in den verschiedenen Mitgliedsstaaten der EU unterschiedliche Regelungen gibt. Deutlich wird dies am Beispiel der Cookies. In Deutschland gilt die sogenannte Opt-Out Regelung, diese benötigt keine aktive Zustimmung des Nutzers, wohingegen in anderen Ländern die Opt-In Regelung genutzt wird. Bei Opt-In werden umfassende Informationen an den Nutzer heran getragen und es Bedarf einer aktiven Einverständniserlärung.

Die E-Privacy-Verordnung wird die E-Privacy-Richtlinie (RL 2002/58/EG) und die Cookie-Richtlinie (RL 2009/136/EG) ersetzen. Zweck der neuen Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO, zudem soll das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt werden.

Die neue Verordnung ist, ähnlich wie die DSGVO, nicht abschließend, sondern enthält Öffnungsklauseln. Demnach steht dem nationalen Gesetzgeber Spielraum für Regelungen zur Verfügung.

Die E-Privacy-Verordnung erweitert den sachlichen Anwendungsbereich deutlich. Es sind nunmehr nicht mehr nur die klassischen Telekommunikationsanbieter von der Verordnung erfasst, sondern auch die sogenannten „Over-The-Top-Dienste“ (OTT). Zu diesen zählen beispielsweise WhatsApp, Skype und Facebook.

Bemerkenswert sind auch die Neuerungen.

So wird bei Cookies in Zukunft differenziert zwischen Cookies die keine Auswirkung auf die Privatsphäre des Nutzers haben und solchen die für die Privatsphäre des Nutzers relevant sind. Erstere bedürfen keiner vorherigen Information und auch keiner Einwilligung des Nutzer. Letzere dürfen nur nach ausdrücklicher Zustimmung des Nutzer benutzt werden. Dies lässt sich über die, bereits aus der DSGVO bekannten, ‚benutzerfreundlichen Voreinstellungen‘ im Web-Browser realisieren. Dort kann der Nutzer die Zustimmung in allgemeiner Form für solche Arten von Cookies erteilen und muss diesen nicht bei jedem Besuch auf einer Website separat zustimmen. Die Betreiber von Web-Browsern sind folglich in der Pflicht die Browser so zu updaten, dass dem Nutzer eine solche Voreinstellung ab Mai 2018 zur Verfügung steht.

Auch das Direktmarketing wird erneuert. Sowohl via E-Mail als auch was das Telefonmarketing betrifft gilt ab in Kraft treten der Verordnung, dass Marketing nur noch nach vorheriger Einwilligung erlaubt ist. Eine Ausnahme betrifft die bereits bestehenden Kundenbeziehungen. Bei diesen darf solange weiter Marketing betrieben werden, bis der Kunde einen Widerspruch dagegen tätigt.

Betreiber von Websites, die sich über Werbung finanzieren, dürfte die folgende Neuerung freuen. Betreiber dürfen prüfen, ob der Nutzer einen Adblocker verwendet und wenn dem so ist, dürfen sie ihm den Zugang zur Website versagen.

Zudem wurden auch die Bußgelder erhöht. Diese wurden an die Höhe der Bußgelder in der DSGVO angepasst. Das bedeutet, dass bei Verstößen gegen die Verordnung demnächst Bußgelder bis 20.000.000,00€ oder bis zu 4% des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres fällig werden können.

Es bleibt allerdings noch abzuwarten, ob die Verordnung in dieser Form auch wirklich im Mai 2018 in Kraft tritt, oder ob noch entscheidende Änderungen an dem Entwurf vorgenommen werden.

EuGH lehnt “Recht auf Vergessenwerden“ für in Gesellschaftsregistern enthaltene personenbezogene Daten grundsätzlich ab

14. März 2017

Der Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg, hat mit Urteil im Wege eines Vorabentscheidungsverfahren vom 09.03.2017 (Az.: C-398/15), ein “Recht auf Vergessenwerden“ bezüglich personenbezogener Daten die im Gesellschaftsregister eingetragen sind, grundsätzlich abgelehnt. Betonte allerdings, dass in Ausnahmefällen und nach Ablauf einer hinreichend langen Frist, nach der Auflösung einer Gesellschaft, die EU-Mitgliedsstaaten einen beschränkten Zugriff Dritter zu den hinterlegten Daten vorsehen können.

Der EuGH musste entscheiden, weil ein italienischer Geschäftsmann gegen die Handelskammer Lecce gerichtlich vorgegangen ist. Dieser war der Ansicht, dass er keinen geschäftlichen Erfolg hat, weil im Gesellschaftsregister noch eine Insolvenz von 1992 eingetragen war, welche 2005 liquidiert wurde. Erstinstanzlich wurde ihm vom Tribunale di Lecce Recht gegeben und die Handelskammer aufgefordert die Daten zu anonymisieren. Dagegen ging die Handelskammer Lecce vor. Der angerufene italienische Kassationsgerichtshof hat die relevanten Fragen im Wege des Vorabentscheidungsverfahren dem EuGH vorgelegt.

Die Richter des EuGH begründeten ihre Entscheidung damit, dass die Offenlegung von personenbezogenen Daten im Gesellschaftsregistern der Rechtssicherheit und auch dem Vermögensschutz von Aktiengesellschaften und Gesellschaften mit begrenzter Haftung dient. Zudem sind auch mehrere Jahre nach der Auflösung der Gesellschaft Fragen denkbar, die einen Rückgriff auf die hinterlegten personenbezogenen Daten rechtfertigen.

Die Luxemburger Richter stellten außerdem fest, dass aufgrund von unterschiedlichen Verjährungsfristen der nationalen Gesetzgebungen, einheitliche Fristen nicht möglich sind, sodass die nationalen Gesetzgeber in dieser Frage tätig werden müssen. In jedem Fall muss es aber auf eine Einzelfallprüfung ankommen.

Bezüglich des italienischen Geschäftsmanns sahen die Richter keine Rechtsfertigung für eine Zugangsbeschränkung.

EU-Justizkommissarin droht die Privacy Shield Vereinbarung außer Kraft zu setzen

6. März 2017

Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.

Sie werde dabei „nicht zögern, dafür stehe zu viel auf dem Spiel.“

Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.

Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.

Wird Privacy Shield ein (weiteres) Opfer Donald Trumps Präsidentschaft?

10. Februar 2017

Das Safe-Harbor-Abkommen wurde im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es im Wesentlichen die Daten und somit mittelbar die Persönlichkeitsrechte von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden schützte.

Der Nachfolger des Abkommens, der sogenannte Privacy Shield, trat Mitte 2016 in Kraft und soll den EU-Bürgern einen höheren Schutz ihrer Daten vor dem Zugriff der US-Behörde bieten. Ob dies tatsächlich erreicht wird, wird von Datenschützern bezweifelt.

Ob der Privacy Shield den in dem Urteil zum Safe-Harbor-Abkommen vom EuGH dargelegten Grundsätzen in Zukunft gerecht wird, muss unter Trumps Präsidentschaft bezweifelt werden.

In der Executive Order vom 25. Januar 2017 zur Verbesserung der öffentlichen Sicherheit heißt es unter Section 14:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Das Dekret hat zunächst keine unmittelbaren Auswirkungen auf die Regelungen des Privacy Shield, da die Behörden ausschließlich unter Beachtung des geltenden Rechts dazu aufgefordert werden, US-Ausländer von der Anwendung der Datenschutzvorschriften des Privacy Acts auszuschließen.

Zu dem geltenden Recht gehört der Privacy Shield zwar nach wie vor, ob das Abkommen unter der Präsidentschaft Trumps Bestand haben wird, bleibt jedoch abzuwarten.

Bundesministerium des Inneren stellt neuen Entwurf des BDSG vor

25. November 2016

Wie die Gesellschaft für Datenschutz und Datensicherheit (GDD e. V.) berichtet, hat das Bundesministerium des Inneren diese Woche einen Gesetzesentwurf zur Anpassung des nationalen Datenschutzrechts den Verbänden vorgelegt.

Der Gesetzesentwurf berücksichtigt die ab dem 25.05.2018 geltenden Regelungen der EU-Datenschutz-Grundverordnung (DS-GVO). Die DS-GVO enthält unter anderem sogenannte „Öffnungsklauseln“, die die EU-Mitgliedsstaaten ermächtigt bestimmte Sachverhalte in nationalen Gesetzen zu regeln. Hierzu gehört beispielsweise der Beschäftigtendatenschutz, der mangels Gesetzgebungskompetenz nicht von der EU, sondern von den Mitgliedsstaaten zu regeln ist.

Wie sich aus dem vorliegenden Gesetzesentwurf ergibt, wird unter anderem die Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen erhalten bleiben. Außerdem konkretisiert der Gesetzesentwurf die europarechtlichen Transparenzpflichten sowie die Rechte der Betroffenen.

Nun gilt es, die Rückmeldung der Verbände abzuwarten, so dass das Gesetzgebungsverfahren weiter fortschreiten kann.

Article 29 WP will release guidelines on the GDPR by the end of 2016

28. Oktober 2016

As Bloomber reports, the Article 29 WP will provide guidance on the GDPR soon. Isabelle Falque-Pierrotin, Chairwoman of the CNIL as well as of the Article 29 WP, acknowledged that the GDPR text is ambiguous in some aspects. Therefore, these guidelines aim at serving as an operational toolbox.

Amongst others, the guidance to the GDPR shall refer to the following aspects:

• The designation of the leading Supervisory Authority in case of complaints or in relation to other procedures. Moreover, aspects of the bilateral cooperation and competence to resolve disputes by the Supervisory Authorities and the European Data Protection Board shall be clarified.
• Guidance on the figure of Data Protection Officers is one of the priorities of the Article 29 WP, as it will play an essential role in companies on achieving GDPR compliance.
• The right to data portability has been regulated for the first time in the GDPR. This right will allow data subjects to access their data and transfer data to other data controllers, for example upon the change of telephone provider. The guidance should focus on its scope and implementation.
• The standard by which the proof of consent will take place, will have to be specified. This is especially important for small and medium-sized companies, for which a “simple pedagogical tool” will be developed.
• A formal guidance on the Privacy Shield will not take place until the EU Commission has reviewed its functioning after the first year, this is summer or early fall 2017.

At the moment, the Article 29 WP remains neutral with regard to the Brexit. However, Falque-Pierrotin remarked that the Privacy Shield may be also useful in UK regarding international data flows with the U.S.A.

Further guidance is also expected in 2017, especially regarding topics such as the EU-U.S. Privacy Shield and the implication of the Brexit in privacy issues.

———-
If you would like to read more articles about international data protection topics, we invite you to visit our international blog: www.privacy-ticker.com.

Klage gegen Privacy Shield vor dem Gericht der EU anhängig

Irische Datenschützer haben eine Klage gegen das EU-US Privacy Shield bei dem Gericht der Europäischen Union (EuG) eingereicht. Wie ZDNet berichtet, beabsichtige die Nichtregierungsorganisation Digital Rights Ireland mit ihrer Klage die Annulierung des Privacy Shields, da dieses nicht ausreichend Schutz für personenbezogene Daten gewährleiste. Zurzeit prüft der EuG die Zulässigkeit der Klage. Sofern er diese bejaht, wird im nächsten Schritt über den ausreichenden Umfang des Datenschutzes durch das Privacy Shield entschieden.

Das Privacy Shield ist Mitte Juli 2016 in Kraft getreten und ersetzt das Safe Habor Abkommen, welches der EuGH im Oktober 2015 für unzulässig erklärt hatte. Das Privacy Shield bildet für US und europäische Unternehmen die Rechtsgrundlage für den transatlantischen Datenaustausch.

Nun bleibt die Entscheidung des EuG über die Zulässigkeit der Klage abzuwarten.

Datenschutzcompliance und die EU-DSGVO: Nur drei Prozent der betroffenen Unternehmen haben einen Plan

14. Oktober 2016

Eine im Auftrag von Dell durch das Marktforschungsinstituts Dimensional Research durchgeführte Studie zum Stand der Vorbereitungen von Unternehmen auf die Europäische Datenschutzgrundverordnung hat alarmierende Ergebnisse hervorgerufen.

Befragt wurden weltweit gut 800 IT- und Wirtschaftsprofis, welche in kleinen, mittelgroßen und großen Unternehmen, die europäische Kundendaten verarbeiten, zuständig sind. Gegenstand der Fragen waren allgemeine Kenntnisse zur Datenschutzgrundverordnung, die Selbsteinschätzung hinsichtlich der Vorbereitung auf die Gesetzesänderung und Wissen über den erweiterten Sanktionsrahmen. Die Unternehmen wählten sie dabei in Australien, Belgien, Deutschland, Frankreich, Großbritannien, Hongkong, Indien, Italien, Kanada, den Niederlanden, Polen, Schweden, Singapur, Spanien sowie den Vereinigten Staaten aus.

Die Ergebnisse offenbaren deutliche Missstände, den Datenschutzrechtlichen Compliance-Anforderungen ab Mai 2018, wenn die Verordnung endgültig in Kraft tritt, zu erfüllen.

So gaben mehr als 80 Prozent der Befragten an, nur wenige bis gar keine Details zu wissen, über 70 Prozent fühlten noch nicht vorbereitet. Genauso viele gaben an, die Anforderungen nicht zu erfüllen oder gar  nicht erst zu wissen, ob und wie das gelinge. 97 Prozent der Unternehmen hatten nach eigener Einschätzung keinen Plan, wie man die datenschutzrechtliche Compliance künftig erfüllen solle.

Bessere Ergebnisse hatten Unternehmen aus Deutschland vorzuweisen, wo immerhin 44 Prozent der Befragten ihre Unternehmen gewappnet sehen.

Betroffene Unternehmen sollten sich in jedem Falle an den betrieblichen Datenschutzbeauftragten wenden, um auch für 2018 eine rechtskonforme Datenschutzpraxis sicherzustellen.

Selbstzertifizierung für US-Unternehmen möglich

1. August 2016

Ab heute, den 01.August 2016 um 9 Uhr E.S.T., können sich Unternehmen mit Sitz in den USA ein Datenschutz-Zertifikat ausstellen. Die Ausstellung des Zertifikats begründet die Teilnahme des Unternehmens an dem Privacy Shield Programm mit der Folge, dass der Datenaustausch zwischen US-Unternehmen und ihrer europäischen Vertragspartner rechtlich legitimiert ist. Die Selbstzertifizierung ist für US-Unternehmen freiwillig. Sobald ein Unternehmen sich ein Selbstzertifikat ausstellt und an dem Privacy-Shield Programm teilnimmt, besteht die Verpflichtung den im Privacy Shield genannten Prinzipien zu folgen. Die den teilnehmenden Unternehmen obliegenden Verpflichtungen sind von den zuständigen US-Behörden gerichtlich durchsetzbar. Die Selbstzertifizierung ist ein Jahr gültig und kann erneut ausgestellt werden.

Durch die Teilnahme von US-Unternehmen an dem Privacy Shield entsteht ein höheres Datenschutzniveau, da EU-Bürger unter anderem ihre Rechte auch in den USA durchsetzen können. Auch die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Europäern sind eingeschränkt. Dies ist war nach dem bis Oktober 2015 geltenden Safe-Habor-Abkommen nicht möglich gewesen.

1 2 3 18