Kategorie: Internationaler Datenschutz

Privacy Shield in Kraft

14. Juli 2016

Wie die EU-Kommission mitteilte, ist nun das neue Privacy Shield (EU-US-Datenschutzschild) in Kraft. Nach dem monatelangen Hin-und-Her gaben die US-Staatssekretärin Penny Pritzker und die EU-Kommissarin Vera Jourova nun den Angemessenheitsbeschluss der EU-Kommission sowie den Rahmen des Datenschutzschildes bekannt.

Diejenigen US-Unternehmen, die an dem Datenschutzschild teilnehmen möchten, müssen bestimmte Regeln zum Schutzniveau der Datenverarbeitung einhalten und können sich in eine entsprechende Liste beim US-Handelsministerium eintragen lassen. Die Liste soll regelmäßig überprüft und aktualisiert weden.

Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden auf Gründe der Strafverfolgung oder der nationalen Sicherheit beschränkt und nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sei.

Von dem Datenschutzschild sollen nicht nur die Unternehmen auf beiden Seiten des Atlantiks profitieren, sondern auch die EU-Bürger. Für sie soll es mehr Beschwerde- und Auskunftsrechte direkt in den USA geben. Hierfür wird die Kommission voraussichtlich im August einen kurzen Leitfaden für Bürger zur Erläuterung der Rechtsbehelfe veröffentlichen.

Nach der Einigung haben US-Unternehmen aktuell nun Gelegenheit, den Rahmen zu überprüfen und Anpassungen zur Einhaltung der Regeln in ihrem Unternehmen vorzunehmen. Ab dem 1. August können sie sich dann eine entsprechende Bescheinigung vom US-Handelsministerium ausstellen lassen.

Dass die Vorstellungen in Sachen Datenschutz von USA und EU mitunter weit auseinander gehen, war allen Beteiligten klar. Der nun vorliegende Angemessenheitsbeschluss ist jedoch ein wichtiger Schritt zu mehr Rechtssicherheit für alle EU-Unternehmen, die Daten mit US-Unternehmen austauschen und für die seit dem Wegfall von  Safe-Harbour Ende 2015 große Unsicherheit herrschte.

 

Worldwide Data Protection News on our privacy-ticker.com

5. Juli 2016

Data protection should not know any borders, this is why we started to publish international news on privacy and data protection in an own blog. Please subscribe it using www.privacy-ticker.com/newsletter or just visit www.privacy-ticker.com.

Some of last months’ topics were:
Agreement by EU and U.S. negotiators on final changes on the Privacy Shield
The future of privacy rules after UK´s referendum to leave the EU
French DPA launches public consultation on GDPR
Belgian DPA against Facebook for tracking of non-users
Customer passwords from Deutsche Telekom are for sale on the dark web
German courts ruled: WhatsApp has violated the Telemedia Act
Verizon publishes Data Breach Investigations Report 2016: Phishing attacks trend upwards
Microsoft acquires LinkedIn: privacy issues arise
Accountability initiative by the EDPS: achieving compliance with the GDPR
The role of the DPO´s under the new GDPR: the German reference

Thank you.

Was hat der Brexit mit dem Datenschutz zu tun?

29. Juni 2016

Nachdem am vergangenen Freitag das Ergebnis der Brexit-Abstimmung bekannt gegeben wurde, beginnt nun die Phase der Umsetzung des Austritts.

Von allen grundlegenden rechtlichen und politischen Schwierigkeiten einmal abgesehen bedeutet der Brexit aus datenschutzrechtlicher Sicht, dass Großbritannien nach Vollzug des Austritts künftig als sog. Drittland gelten wird. Das bedeutet, dass Großbritannien auf andere Art und Weise ausreichende Sicherheit für die Verarbeitung von Daten gewährleisten muss.

Unternehmen, die Daten nach Großbritannien übermitteln, sollten sich hierauf einstellen und schon jetzt überlegen, wie sie die Datenübermittlung künftig gestalten wollen.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter: ,

Erste Bußgelder wegen fehlerhafter Datenübermittlung in die USA

8. Juni 2016

Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.

Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.

Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.

USA und EU unterzeichnen „Umbrella Agreement“

6. Juni 2016

Am 02.06.2016 haben Vertreter der EU und der USA ein lange verhandeltes Rahmenabkommen unterzeichnet, welches datenschutzrechtliche Regelungen bei der transatlantischen Zusammenarbeit in Strafsachen enthält („Umbrella Agreement“).

Gegenstand des Abkommens ist der gesamte Datenaustausch zwischen sämtlichen Justiz- und Strafverfolgungsbehörden der USA und aller EU-Mitgliedsstaaten zum Zwecke der Gefahrenabwehr, Ermittlung und  Strafverfolgung. Gleichzeitig stärkt das Rahmenabkommen die Rechte von EU-Bürgern, indem diese – hinsichtlich der Möglichkeit gegen US-Behörden gerichtlich vorzugehen – US-Bürgern gleichgestellt werden. Weiterhin enthält das Abkommen Regelungen, die Aufbewahrungsfristen für die Datenspeicherung vorsehen. Darüber hinaus soll die Datennutzung lediglich auf die genannten Zwecke limitiert werden.

EU-Vertreter erhoffen sich von dem Rahmenabkommen nicht nur ein besseres Schutzniveau personenbezogener Daten für EU-Bürger. Auch die justizielle Zusammenarbeit, insbesondere die Bekämpfung des internationalen Terrorismus, soll durch das Abkommen verbessert werden.
In einem nächsten Schritt wird nun das Abkommen dem Europäischen Parlament zur Abstimmung vorgelegt.

Auch EU-Datenschutzbeauftragter kritisiert Privacy Shield

31. Mai 2016

Als Nachfolger des im Oktober vergangenen Jahres vom EuGH gekippten Safe Harbor Abkommens wurde zwischen den USA und der EU das Privacy Shield ausgehandelt, das künftig als Rechtsgrundlage für den Transfer personenbezogener Daten zwischen beiden Staatenbunden dienen soll.

Datenschutzbeauftragte der EU-Mitgliedsstaaten sowie Verbraucherschützer hatten das neue Abkommen bereits stark kritisiert und teilweise sogar als Rückschritt bezeichnet, da es nicht mit dem europäischen Datenschutzstandard vergleichbar sei.

Auch der europäische Datenschutzbeauftragte Giovanni Buttarelli gehe davon aus, dass das neue Abkommen vor europäischen Gerichten nicht bestehen werde, wie Medien berichten. Das Privacy Shield schütze europäische Bürger nicht hinreichend vor willkürlicher Massenüberwachung. Buttarelli fordert Transparenz, nachträgliche Korrekturmöglichkeiten, eine Kontrollaufsicht sowie die Gewährleistungen von Datenschutzrechten. Dass diese Forderungen keinen Einzug in das neue Abkommen gefunden haben, liegt in erster Linie an den USA. Dort wären entsprechende Gesetzesänderungen nötig, die jedoch kaum durchzusetzen wären. Stattdessen vertraut das Privacy Shield auf eine Selbstverpflichtung internationaler Unternehmen.

Datenschutz Made in Germany

25. Mai 2016

Deutsche Datenschutzbestimmungen zählen zu den strengsten weltweit. Nicht selten werden die Reglementierungen besonders aus Wirtschaftskreisen als zu unflexibel bezeichnet. Stimmen aus den USA, woher die meisten Internetgiganten stammen, sprechen oft von der „German Angst“. Wie groß die globalen Diskrepanzen beim Verständnis zum Thema Datenschutz sind, zeigte unlängst das richtungsweisende Safe-Harbor-Urteil des Europäischen Gerichtshofs, wonach die USA kein sicheres Datenschutzniveau nach europäischem Verständnis aufweisen. Das europäische Verständnis von Datenschutz wiederum orientiert sich stark an dem deutschen Verständnis, das während der Erarbeitung der EU-Datenschutz-Grundverordnung (EU-DSGVO) immer wieder als Maßstab herangezogen wurde. Nicht ohne Grund leitete das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil bereits 1983 den Datenschutz aus den Artikeln eins und zwei des Grundgesetzes ab und manifestierte auf diese Weise das Grundrecht zur informationellen Selbstbestimmung. Der Schutz persönlicher Daten ist somit Ausprägung des Schutzes der eigenen Persönlichkeit.

US-Amerikanische Internetfirmen, für die der europäische Markt besonders bedeutend ist, passen sich zunehmend dem Verständnis europäischer Kunden nach hiesigen Datenschutzerfordernissen an, indem sie ihr liberal geprägtes Datenschutzniveau für den europäischen Markt freiwillig anpassen. Marktführer aus den USA wie Google, Microsoft, Amazon und viele weitere investieren große Summen, um künftig Rechenzentren in Europa und vermehrt in Deutschland betreiben zu können. Dies bedeutet deutlich größeren Datenschutz für Nutzer und Kunden, denn mit einem Rechencenter in Deutschland gilt auch das strenge deutsche Datenschutzrecht für diese unternehmen.

Wie heise online aktuell mitteilt, wird demnächst auch der Online-Speicherdienst Dropbox Datenschutz made in Germany anbieten und seinen Kunden (zunächst nur Geschäftskunden) die Möglichkeit der Datenspeicherung auf in Deutschland stationierten Servern anbieten. Das Unternehmen bestätigte, dass die Nachfrage nach lokaler Datenspeicherung zunimmt. Dies hängt natürlich mit der steigenden Sensibilisierung für den Datenschutz, also unserem Verständnis und der hohen Gewichtung für den Datenschutz hierzulande zusammen. Nicht ganz unbegründet kann Datenschutz made in Germany daher als eine Art Gütesiegel betrachtet werden.

EU-Kommission zögert beim Privacy Shield

Der Nachfolger des Safe Harbor Abkommens, das EU-US Privacy Shield, hat von dem zuständigen Ausschluss der EU-Kommission nicht die erforderliche Angemessenheit bescheinigt bekommen.

Die Entscheidung über die Angemessenheit des Privacy Shields ist ein EU-interner Schritt im Gesetzgebungsverfahren des transatlantischen Abkommens. Mit der Bescheinigung der Angemessenheit soll erreicht werden, dass personenbezogene Daten von Europäern in den USA mit einem ausreichenden Schutzniveau verarbeitet und gespeichert werden. Die Ausschussmitglieder sehen jedoch noch Nachbesserungsbedarf. Insbesondere durch die umfassende Datenüberwachung der NSA wird in das Recht auf informationelle Selbstbestimmung unverhältnismäßig stark eingegriffen.

Das EU-US Privacy Shield, welches als den Datentransfern zwischen der EU und den USA regeln und legitimieren soll, wurde von Anfang an von Datenschützern stark kritisiert.

Nachdem nun die Angemessenheitsentscheidung nicht erteilt wurde, zeichnet sich einmal mehr ab, dass auch das EU-US Privacy Shield von dem EuGH überprüft werden wird.

Hosting-Provider will Ordner löschen – und ruiniert sein Unternehmen

15. April 2016

Wie gleich mehrere Online-Medien mit Verweis auf die Online-Community „Server Fault“ berichten, hat ein Kleinunternehmer durch die Eingabe eines Löschbefehls nicht nur den anvisierten Zielordner gelöscht, sondern gleich seinen kompletten Datenbestand – inklusive Back-Ups. Umso dümmer, dass das Unternehmen vor allem das Hosting geschäftlicher Websites betreibt, oder ja: betrieben hatte.

Um den Zielordner zu löschen, erteilte er den Befehl “rm -rf {foo}/{bar}”. Dabei beinhaltet das Kürzel „rf“ (recursive force) das Kommando einer Löschung unter Ignorieren aller Systemwarnungen. Dieser Löschbefehl bedarf allerdings der weiteren Information, welches Ziel denn überhaupt zu löschen sei. Offenbar war es die unterlassene Spezifizierung des Befehls, die zur Löschung sämtlicher Verzeichnisse, Ordner und Unterordner auf dem Server führte.

Der Unternehmer wandte sich ratsuchend an die Online-Community. Helfen könne ihm jetzt aber nur noch ein Anwalt, so der Tenor.

Die Tipps eines Users kann man aus Datensicherheitsaspekten allerdings nur unterschreiben:

  • BackUps sichern.
  • Tools, die nicht bekannt sind, nicht nutzen.
  • Einen Befehl nie überall auf einmal nutzen.
  • Befehle vor der Eingabe doppelt und dreifach checken.

Für den Unternehmer dürften diese Tipps wohl zu spät kommen.

EU-Parlament verabschiedet Datenschutzgrundverordnung

EU-Parlament verabschiedet Datenschutzgrundverordnung

Diesen Donnerstag hat das Parlament der Europäischen Union die Datenschutzgrundverordnung verabschiedet. Damit endet nach über vier Jahren der Gesetzgebungsprozess. Die Datenschutzgrundverordnung ersetzt die seit 1995 geltende EU-Datenschutz-Richtlinie.

Die Mitgliedsstaaten haben nun zwei Jahre lang Zeit die EU-Datenschutzgrundverordnung in nationales Recht zu integrieren. Im Unterschied zu der bislang geltenden Datenschutz-Richtlinie, die den Mitgliedsstaaten lediglich umzusetzende Mindeststandards vorschreibt, werden durch die Grundverordnung ab 2018 europaweit einheitliche Standards gelten.

Wie bereits auf datenschutzticker.de berichtet, sollen durch die Grundverordnung zum einen die Rechte der EU-Bürger gestärkt und Rechtsklarheit und -sicherheit für Unternehmen hergestellt werden, die Daten von Europäern verarbeiten und nutzen.

1 17 18 19 20 21 35