5. Juli 2017
Das biometrisches Kontrollsystem für Angehörige aus Drittstaaten an den EU-Grenzen kommt. Darauf verständigten sich EU-Verhandlungsführer aus dem Ministerrat, dem Parlament und der Komission in einem Entwurf vom 30.06.2017. Für die Einrichtung der biometrischen Grenzkontrolle bedarf es zwar der Bestätigung des Ausschusses der Ständigen Vertreter der Mitgliedstaaten und die Bestätigung des Entwurfs durch das EU-Parlaments und den Rat, eine Ablehnung des Entwurfs gilt aber als höchst unwahrscheinlich.
Das geplante Ein- und Ausreisesystem führt dazu, dass Angehörige aus Drittstaaten sich demnach künftig bei der Einreise in die EU mit vier Fingerabdrücke und Gesichtsbild registrieren lassen müssen. Die Identitätsangaben sowie weitere Daten aus den Reisedokumenten sollen in dem System aufbewahrt werden. In der Regel beträgt die Speicherfrist drei Jahre. Fünf Jahre lang werden die Einträge gespeichert, wenn der Angehörige des Drittstaates seinen Besuch unerlaubt verlängert.
Die neue Datenbank soll die zulässige Dauer des Aufenthaltes automatisch berechnen und die nationalen Sicherheitsbehörden warnen, wenn der Angehörige aus dem Drittstaat nicht innerhalb der zulässigen Aufenthaltsdauer ausgereist ist. Das bisherige Stempelverfahren soll damit abgeschafft werden.
Der durch das Gremium erstellte Entwurf sieht vor, dass nicht nur Migrationsämter und Grenzschützer auf die die Datenbank zugreifen dürfen, sonden auch die allgemeinen Strafverfolgungsbehörden der Mitgliedstaaten sowie Europol. Dies allerdings nur unter bestimmten Bedingungen. Genannt werden etwa der Kampf gegen Terrorismus oder andere schwere Verbrechen. Die Zugriffe auf die Datenbank sollen verhältnismäßig und notwendig zur Erfüllung der Aufgaben der berechtigten Behörden sein. Ziel des biometrischen Grenzsystems ist es, die Grenzkontrollen zu verbessern und den Mitgliedstaaten zu helfen, die Reise-und Migrationsströme zu bewältigen sowie vor den aktuellen Gefahren des Terrorismus und der Kriminalität zu schützen.
Das umstrittene Netzwerkdurchsetzungsgesetz von Justizminister Heiko Maas wurde am 30. Juni 2017 vom deutschen Bundestag verabschiedet. Ziel des neuen Gesetzes ist es, schneller und effektiver gegen Hassmeldungen und sog. „Fake News“ in sozialen Netzwerken wie Facebook, Twitter oder Youtube vorgehen zu können. Dazu sind die betroffenen Unternehmen nach dem neuen Gesetz verpflichtet, offensichtlich rechtswidrige Inhalte, die ihnen von anderen Usern gemeldet werden, innerhalb von 24 Stunden nach ihrer Meldung zu löschen. In Ausnahmefällen, in denen nicht unmittelbar erkennbar ist, ob die Inhalte rechtswidrig sind, wird den Unternehmen eine Entscheidungsfrist von 7 Tagen zur Verfügung gestellt.
Kritiker befürchten, dass die Unternehmen in Zukunft schneller Inhalte löschen werden, um so den im Zweifel drohenden hohen Geldbußen zu entgehen. Als Folge wird eine Einschränkung des Grundrechts auf freie Meinungsäußerung befürchtet. Zwar befürworten die meisten Kritiker den Ansatz von Justizminister Maas, kritisieren jedoch die Umsetzung in Form des jetzt verabschiedeten Gesetzes. Ein Problem stelle es insbesondere dar, dass es den Unternehmen überlassen werde, über die Rechtswidrigkeit von geposteten Inhalten zu entscheiden. Darüber hinaus seien die vorgesehenen Löschfristen zu kurz bemessen und die Unternehmen so zu einem “overblocking” von Inhalten gezwungen.
In Italien und Israel wird das Netzwerkdurchsetzungsgesetz hingegen positiv betrachtet. Auch die Regierungen dieser Länder sind der Ansicht, dass eine Selbstregulierung der Plattformen nicht ausreichend sei.
Wenn ein Umzug ins Haus steht, kann man über das Internetportal umziehen.de, das von der Deutsche Post Adress GmbH & Co. KG betrieben wird, viele Unternehmen und Institutionen über seine neue Anschrift informieren. Dadurch kann etwa sichergestellt werden, dass auch nach einem Umzug die Zustellbarkeit von Briefen und sonstigen Postsendungen sichergestellt ist.
Vor kurzem hat es bei der Deutsche Post Adress GmbH & Co. KG nun wohl ein Datenleck gegeben. Personen mit entsprechenden Computerfähigkeiten soll es unkompliziert möglich gewesen sein, die von den Nutzern des Portals umziehen.de hinterlegten Daten einzusehen. Konkret sollen Daten zu Namen, Alter und neuer Adresse, Umzugsdatum und E-Mail-Adresse offengelegen haben. Auslöser für diese Panne soll nach Angaben der Post ein Update für das Portal umziehen.de gewesen sein. Kurz nach Bekanntwerden der Sicherheitslücke sei man aber in der Lage gewesen diese zu schließen. Im Anschluss habe man die zuständige Datenschutzaufsichtsbehörde in Nordrhein-Westfalen über den Vorfall informiert und vorsorglich eine Informationsmail an die Nutzer des Portals umziehen.de geschickt.
Diese Datenpanne veranschaulicht, dass es für Unternehmen wichtig ist, bestehende Prozesse für den Umgang mit Datenpannen (Data Breach Management) zu implementieren. Das Bundesdatenschutzgesetz (BDSG) regelt in § 42a gewisse Informationspflichten gegenüber der zuständigen Datenschutzaufsichtsbehörde und den von einer Datenpanne betroffenen Personen. Ein Verstoß gegen diese Verpflichtung stellt nach § 43 Abs. 2 Nr. 7 BDSG eine Ordnungswidrigkeit dar, die mit bis zu 300.000 EUR Geldbuße geahndet werden kann und in den in § 44 Abs. 1 BDSG aufgeführten Fällen sogar eine Straftat darstellt. Die Bedeutung eines funktionierenden Data Breach Managements erhöht sich noch einmal vor dem Hintergrund der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO), da diese strengere Maßstäbe als das BDSG stellt und auch höhere Bußgelder vorsieht.
Über die Regelungen der DSGVO zum Umgang mit Datenpannen informieren wir Sie unter anderem auch in unserem nächsten Blogbeitrag der Themenreihe DSGVO.
4. Juli 2017
Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.
Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.
Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.
3. Juli 2017
1. Urteil des EuGH vom 21.12.2016
Der Gerichtshof der Europäischen Union (EuGH) hatte mit Urteil vom 21. Dezember 2016 im Wege eines Vorabentscheidungsverfahrens nach Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) in einem Streitverfahren, das eine auf Grundlage des schwedischen Gesetzes über die elektronische Kommunikation (Lag om elektronisk kommunikation) ergangene Anordnung der schwedischen Überwachungsbehörde für Post und Telekommunikation zur Vorratsspeicherung von Verkehrs- und Standortdaten ihrer Teilnehmer und registrierten Nutzer zum Gegenstand hat, und ein weiteres Streitverfahren, in dem über die Vereinbarkeit des Gesetzes von 2014 zur Vorratsdatenspeicherung und zu den Ermittlungsbefugnissen des Vereinigten Königreichs (Data Retention and Investigatory Powers Act 2014) mit dem Unionsrecht gestritten wird, über zahlreiche Detailfragen zur Vorratsdatenspeicherung entschieden.
Damit hat der EuGH nun nach der Entscheidung 2014 das zweite mal entschieden, dass die Verpflichtung zur Vorratsdatenspeicherung gegen Unionsrecht verstößt. Zur Begründung führte der EuGH zunächst aus, dass die in Rede stehenden Rechtsvorschriften zwar in den Anwendungsbereich der DSRL fallen und somit den Mitgliedstaaten eröffnet werde die grundsätzliche Verpflichtung die Vertraulichkeit der Kommunikation und der damit verbundenen Verkehrsdaten zu gewährleisten, indes meint der EuGH, dass die Ausnahme von diesem Grundsatz nicht zur Regel werden dürfe.
Die Sammlung von Daten könne nämlich weitreichende Aussagen über das Privatleben des Betroffenen treffen und schränke das informationelle Selbstbestimmungsrecht bzw. Art. 7 und 8 der Grundrechte-Charta (GrCH) enorm ein. Betroffene dürften das Gefühl einer ständigen Überwachung ihres Privatlebens haben, wenn man infolge der Speicherung von Verkehrs- und Standortdaten wisse, wann wie lange mit wem usw. Betroffene sich irgendwo befunden haben. Ausnahmen könne es daher nur bei der Bekämpfung von schweren Straftaten geben. Aber auch an diese Ausnahmen sollen enge Voraussetzungen geknüpft sein. So müsse die Vorratsdatenspeicherung hinsichtlich der Kategorie zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Speicherungsdauer auf das absolut Notwendige beschränkt sein. Daran müsse sich ein nationales Gesetz orientieren. Überdies müsse es sich um Personen handeln, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder in eine solche verwickelt zu sein. Entsprechendes gelte auch bei terroristischem Hintergrund mit möglichen schweren Folgen für die öffentliche Sicherheit, Landesverteidigung usw.
2. Haltung der Bundesregierung
In der Vergangenheit hat die Bundesregierung wiederholt darauf aufmerksam gemacht, dass das entschiedene Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten ein ausgewogenes Gesetz sei, dass den rechtlichen Anforderungen entspreche.
Danach müssen Telekommunikationsunternehmen bis zum 01.07.2017 die Voraussetzungen zur Speicherung von Verkehrsdaten erfüllen. Das Gesetz halte die Balance zwischen Freiheit und Sicherheit in der digitalen Welt ein. Die Speicherfrist von Daten sei auf zehn Wochen beschränkt und danach seien sie sofort zu löschen. Standortdaten dürfen nur vier Wochen gespeichert werden. Auf Verkehrsdaten dürfe nur zugegriffen werden, um schwerste Straftaten zu verfolgen, die auch im Einzelfall schwer wiegen müssen (wir berichteten).
Dennoch ist das nationale Gesetz zur Umsetzung der Vorratsdatenspeicherunug nicht auf Daten beschränkt, bei denen ein Zusammenhang zu schweren Verbrechen zu vermuten ist: weder geographisch noch zeitlich noch bezüglich der erfassten Personengruppe.
3. Wissenschaftlicher Dienst des Bundestages
Nach den kleinen Anfragen der Linken zur Umsetzung der Vorratsdatenspeicherung stellte der Wissenschaftliche Dienst des Bundestages mit seinem Gutachten vom 12.01.2017 fest, dass die nationale Regelung zur Umsetzung der Vorratsdatenspeicherung nicht die Vorgaben des EuGH erfüllt.
4. Entscheidung des Bundesverfassungsgerichts
Die Richter in Karlsruhe lehnten in diesem Zusammenhang mit Beschluss vom 13.04.2017 einen Antrag auf Erlass einer einstweiligen Anordnung ab und wiesen im Wesentlichen darauf hin, dass sich hinsichtlich der verfassungsrechtlichen Bewertung der angegriffenen Regelungen Fragen stellen, die sich nicht zur Klärung im Eilrechtsschutzverfahren eignen. Bis dahin aber bleibt das Gesetz zur Vorratsdatenspeicherung in Kraft.
5. Beschluss des OVG Münster vom 22.06.2017
Das im Dezember 2015 gesetzlich eingeführte und ab den 01.07.2017 zu beachtende Gesetz zur Umsetzung der Vorratsdatenspeicherung ist mit dem Unionsrecht nicht vereinbar, entschied das OVG Münster neulich.
Ein IT-Unternehmen aus München wehrte sich gegen das nationale Gesetz zur Umsetzung der Vorratsdatenspeicherung und stellte den Antrag auf Erlass einer einstweiligen Anordnung an das VG Köln, das den Antrag aber ablehnte. Die Beschwerde zum OVG Münster hatte für das IT-Unternehmen Erfolg.
Das Gericht führte hierzu aus, dass die Speicherpflicht im Kontext zum Urteil des EuGH vom 21.12.2016 nicht mit Art. 15 Abs. 1 DSRL vereinbar sei, da sie schlichtweg pauschal die Verkehrs- und Standortdaten aller Nutzer von Telefon- und Internetdiensten erfasse. So fehle die Beschränkung des betroffenen Personenkreises, die im Zusammenhang mit einer vom Gesetz bezweckten Bekämpfung von schweren Straftaten stehe. Dies könne etwa durch personelle, zeitliche oder geographische Kriterien geschehen.
Wesentlich ist die Feststellung des Gerichts, dass die Vorratsdatenspeicherung nicht ausnahmsweise gerechtfertigt sein könne, wenn es um die Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren. Wann Ausnahmefälle vorliegen könnten hat das Gericht nicht entschieden.
6. Praxisbedeutung
Das letzte Wort zur Vorratsdatenspeicherung ist noch nicht gesprochen. Hier ist noch vieles im Fluss. Das Bundesverfassungsgericht wird in dem Hauptsacheverfahren zur nationalen Umsetzung der Vorratsdatenspeicherung Stellung beziehen. Es bleibt zu hoffen, dass es noch in diesem Jahr zu einer endgültigen Entscheidung kommt.
30. Juni 2017
PSD2 ist die Abkürzung für Payment Service Directive 2, eine neue EU-Richtlinie, die es ab 2018 auch anderen lizenzierten Drittanbietern ermöglicht, Zugriff auf Kontodaten ihrer Kunden zu erhalten. Damit müssen sich Banken, die bisher die absolute Marktmacht hinsichtlich der Finanzen und auch der Zugriffsmöglichkeit auf die Kundenkontendaten hatten, auf dem Markt neu positionieren. Unter die Drittanbieter fallen nicht nur andere Geldhäuser, sondern auch sogenannten Fintechs. Letztere sind junge Unternehmen, die im Umfeld der Finanzindustrie spanennde neue technologiebasierte Zahlungslösungen für den Onlinehandel oder intelligente Finanz-Apps zur Geldanlage anbieten. Ein Beispiel ist die Sofortüberweisung der SOFORT GmbH. Dabei handelt es sich um eine Onlinezahlungsart, bei welcher der Kunde seine PIN und TAN an die Anbieter der Sofortüberweisung übermittelt. Diese überprüfen dann seinen Kontostand und veranlassen anschließend die Überweisung. Problematisch war bisher, dass die AGB vieler Banken vorsehen, dass der Kunde die Daten gar nicht weitergeben darf. Dazu hat das Bundeskartellamt im Fall der Sofortüberweisung bereits klargestellt, dass die AGB-Verbote der Banken wettbewerbswidrig sind. Diese gesetzliche Grauzone wird nun durch die PSD2 beseitigt und die Banken sind gezwungen, sich gegenüber den digitalen Entwicklungen des Marktes zu öffnen.
Aus Kundenperspektive ist die neue EU-Richtlinie durchaus begrüßenswert, denn sie bringt ausschließlich Vorteile mit sich. So können Kunden zukünftig selbst entscheiden, wer Zugriff auf ihr Konto haben soll, indem sie Drittanbietern ihre Einwilligung per PIN oder TAN erteilen, wenn diese ihr Konto einsehen möchten. Darüber hinaus profitieren Kunden von neuen Diensten, die in diesem Zusammenhang entstehen womit für sie der Markt auch an Transparenz und Vielfalt gewinnt.
In der letzten Woche wurden das Transparenzgebot, die Informationspflicht des Verantwortlichen, das Auskunftsrecht des Betroffenen und das Recht auf Berichtigung behandelt. Hier kommen Sie zum Teil 1, falls Sie diesen vorweg lesen möchten.
Im Folgenden sollen das Recht auf Löschung, das Recht auf Einschränkung der Bearbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragung im Überblick erläutert werden.
5. Recht auf Löschung, Art. 17 DSGVO
Das „Recht auf Vergessenwerden“ hat seit der Entscheidung des EuGH vom 13. Mai 2014 (EuGH C‑131/12) an Bedeutung gewonnen. Diesem Umstand trägt die Kodifizierung des Rechts auf Löschung aus Art. 17 DSGVO Rechnung, dessen zweiter Absatz das „Recht auf Vergessenwerden“ gesetzlich festschreibt. In dem Urteil des EuGH klagte der Spanier Costeja González gegen Google auf Löschung von ihn betreffenden Suchmaschinenergebnissen, die einen bereits abgeschlossenen in der Vergangenheit liegenden Sachverhalt anzeigten, wenn nach seinem Namen gesucht wurde. Google hatte sich damals geweigert die Suchergebnisse zu löschen. Der EuGH entschied zugunsten des Klägers. Er begründete die Entscheidung damit, dass die Suchergebnisse in Anbetracht der Grundrechte aus den Art. 7 und 8 der Charta zu löschen sind, wenn das Interesse der betroffenen Person an der Löschung, dem Interesse der breiten Öffentlichkeit am Zugang zu der Information oder auch dem wirtschaftlichen Interesse des Suchmaschinenbetreibers überwiegt.
Nach Inkrafttreten des DSGVO wird der Betroffene unter den Voraussetzungen des Art. 17 Abs. 1 DSGVO die Löschung seiner personenbezogenen Daten verlangen können.
Voraussetzungen der Löschung
Gemäß Art. 17 Abs. 1 DSGVO sind unter folgenden Voraussetzungen personenbezogene Daten unverzüglich zu löschen:
- Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr nötig.
- der Betroffene widerruft seine Einwilligung und es fehlt an einer anderweitigen Rechtgrundlage.
- Der Betroffene legt Widerspruch ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.
- Die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben. Art. 8 DSGVO ist dabei zu beachten
Wie bereits oben erwähnt, findet das „Recht auf Vergessenwerden“ seine Normierung in Art. 17 Abs. 2 DSGVO. Demnach hat der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zu deren Löschung verpflichtet ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten, angemessene Maßnahmen, auch technischer Art, zu treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass ein Betroffener von ihnen die Löschung aller Links zu den ihn betreffenden personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Art. 17 Abs. 3 DSGVO bildet einen Ausschlusstatbestand für die Abs. 1 und 2 und nennt entsprechende Fälle, die, liegen sie vor, einer Löschung der Daten entgegenstehen.
6. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
Das Recht auf Einschränkung der Verarbeitung stellt für den Betroffenen ein effizientes und im Verhältnis zu einer unverzüglichen Löschung der personenbezogenen Daten aus Sicht des Verantwortlichen für die Datenverarbeitung milderes Mittel dar. Ist z.B. die Rechtslage bezüglich eines Löschungsanspruchs noch nicht endgültig geklärt, kann der Betroffene durch die Einschränkung der Verarbeitung die Verarbeitung unterbinden, ohne zu sehr in die unter Umständen berechtigten Interessen des Verantwortlichen einzugreifen.
Die Voraussetzungen für eine Einschränkung der Verarbeitung finden sich in Art. 18 Abs. 1 DSGVO. Der Betroffene kann vom Verantwortlichen die Einschränkung der Verarbeitung seiner personenbezogenen Daten verlangen, wenn
- der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet,
- die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt, jedoch stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, der Betroffene die Daten jedoch für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
- der Betroffene Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Die Rechtsfolgen sind in Abs. 2 DSGVO geregelt. Ist die Verarbeitung personenbezogener Daten gem. Absatz 1 eingeschränkt, so dürfen diese Daten grundsätzlich – abgesehen von ihrer Speicherung – nicht mehr verarbeitet werden. Ausnahmen gelten für folgende Fälle:
- der Betroffene willigt ein
- die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- die Verarbeitung erfolgt zum Schutz der Rechte einer anderen natürlichen oder juristischen Person
- aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats
Hat ein Betroffener dem Verantwortlichen gegenüber eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt, so hat der Verantwortliche den Betroffenen zu unterrichten, bevor die Einschränkung aufgehoben wird (Vgl. Art. 18 Abs. 3 DSGVO).
7. Mitteilungspflicht, Art. 19 DSGVO
Liegen die Voraussetzungen von Art. 16 (Recht auf Berichtigung), 17 Abs. 1 (Recht auf Löschung) und Artikel 18 (Recht auf Einschränkung) DSGVO vor und hat der Verantwortliche die personenbezogenen Daten berichtigt, gelöscht oder die Datenverarbeitung dieser eingeschränkt, so hat er denjenigen Empfängern, denen er die personenbezogenen Daten offengelegt hat darüber zu informieren. Die Mitteilungspflicht ist jedoch ausgeschlossen, wenn sie sich für den Verantwortlichen als unmöglich darstellt oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann vom Verantwortlichen verlangen, dass er über die Empfänger unterrichtet wird.
8. Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Das Recht auf Datenübertragung aus Art. 20 DSGVO soll dem Betroffenen ermöglichen seine Daten von einem Verantwortlichen zu einem anderen Verantwortlichen übertragen zu können. Dafür soll derjenige Verantwortliche, von dem der Betroffene die ihn betreffenden personenbezogene Daten herausverlangt, diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Die so erhaltenen Daten darf der Betroffene, ohne Behinderung durch den herausgebenden Verantwortlichen an einen anderen Verantwortlichen übermitteln (Vgl. Art. 20 Abs. 1 DSGVO). Die Article 29 Working Party hat in ihrem Leitfaden zum Recht auf Datenübertragbarkeit (“Guidelines on the right to data portability”) beschrieben, wie eine solche Behinderung aussehen könnte. Diese könnte rechtlicher, technischer oder finanzieller Natur sein. Als Beispiele nannte sie unter anderem Gebühren für die Übermittlung der Daten, eine übermäßige Verspätung oder auch das zur Verfügung stellen der Daten in einem für andere nicht kompatiblen Formats.
Voraussetzung für das Recht auf Datenübertragbarkeit ist, dass die ursprüngliche Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrags erfolgte und mithilfe automatisierter Verfahren erfolgte (Vgl. Art. 20 Abs. 1 lit. a und lit. b GDPR).
Liegen die Voraussetzungen vor, hat der Betroffene die Möglichkeit, in Ausübung seines Rechts aus Art. 20 Abs. 1 DSGVO, auch die direkte Übermittlung seiner personenbezogenen Daten von einem Verantwortlichen zu einem anderen Verantwortliche zu erwirken, soweit dies technisch machbar ist.
Das Thema der nächsten Woche ist der Datenschutz im Unternehmen
29. Juni 2017
Was viele Nutzer des googleeigenen Mailingsdienstes Gmail vemutlich bisher gar nicht wissen: Google scannt alle E-Mails der Nutzer, um diese in einem zweiten Schritt mit personalisierter Werbung ansprechen zu können. Doch mit dieser Praxis soll nun Schluss sein. Dies kündigte die für Googles Cloud-Geschäft zuständige Managering Diane Greene zumindest nun im Blog des Unternehmens an. Ohne den genauen Zeitpunkt des Stopps zu nennen, erklärte sie “Nach dem Wechsel wird der Inhalt der Nachrichten in Gmail nicht mehr gescannt, um die Anzeigen zu personalisieren.
In der kostenlosen Variante des Mailingsdienstes wird die Scan-Methode bereits seit dem Start des Services 2004 angewendet, um die Bereitstellung finanzieren zu können. Die Praxis, die Mails im Posteingang des jeweiligen Nutzers zu scannen, um ihn dann im Web-Interface mit, auf die Inhalte der Mails zugeschnittener Werbung anzusprechen, hatte schon damals zu vielen kritischen Stimmen gesorgt, die allerdings erst jetzt Früchte tragen, indem Google den E-Mail-Scan einstellt.
Trotz der umstrittenen Funktion war die Nachfrage, vor allem aufgrund des großen und bis dato konkurrenzlosen Funktionsumfang, für den werbefinanzierten Google-Dienst groß. Auch die Bezahlversion Google G Suite, bei dem das Scan-Verfahren nicht eingesetzt wird, nutzen inzwischen 3 Millionen Kunden.
Ganz entfallen wird die personalisierte Werbung beim Nutzen von Gmail aber weiterhin nicht. Der Konzern will sich aber nun nach anderen Kriterien richten. So kann Google einem Kunden aufgrund des vom Android-Smartphone gemeldeten Standorts, der besuchten Websites oder aufgrund der Nutzung googleeigener Apps zugeschnitte Anzeigen darstellen. Auch die Mails werden weiterhin gescannt, um so z.B. Komfortaktionen des Google-Assistenten Now nutzen zu können.
Durch entsprechende Änderungden ihrer Accounteinstellungen können Google-Nutzer der Personalisierung und der weitergehenden Informationsübermittlung an Google widersprechen.
Wie die Bundesnetzagentur (BNA) am 28.06.2017 mitteilte, sieht sie bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens über die Verfassungsmäßigkeit der Vorratsdatenspeicherung gegenüber den zur Speicherung verpflichteten Unternehmen von Anordnungen und sonstigen Maßnahmen zur Durchsetzung den in § 113b Telekommunikationsgesetz (TKG) vorgesehenen Speicherpflichten ab. Insbesondere würden keine Bußgeldverfahren eingeleitet werden.
Damit reagiert die BNA auf den Beschluss des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen (OVG NRW) vom 22.06.2017 (Az. 13 B 238/17). Das OVG NRW hatte jüngst beschlossen, dass der Kläger – ein Internetzugangsdiensteanbieter – nicht verpflichtet ist, Telekommunikationsdaten seiner Kunden nach § 113b TKG zu speichern, so lange das Hauptsacheverfahren nicht rechtskräftig entschieden ist. In diesem Beschluss erklärte das Gericht, das Gesetz zur Einführung von Speicherpflichten für Telekommunikationsdiensteanbieter zur Speicherung von Telekommunikationsdaten sei mit geltenden Unionsrecht nicht vereinbar. Konkret verstoße § 113b Abs. 1 TKG gegen Artikel 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002.
Gemäß § 113b TKG sind Telekommunikationsanbieter verpflichtet, Standort- und Verkehrsdaten ihrer Kunden für vier bzw. zehn Wochen zu speichern. Bei Zuwiderhandlung dieser Pflichten ist die BNA gemäß § 115 TKG befugt, Anordnungen und Maßnahmen zu treffen, um die Einhaltung dieser Vorschriften sicherzustellen.
Abzuwarten bleibt nun die Entscheidung im Hauptsacheverfahren.
Die TK-Branche begrüßte die Entscheidung sehr. Auch aus datenschutzrechtlicher Sicht sind die jüngsten Entwicklungen positiv zu beurteilen. Eine anlasslose Überwachung sämtlicher Betroffenen ist mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar.
28. Juni 2017
Nachdem bereits vor etwas mehr als einem Monat zahlreiche Unternehmen und private Nutzer Opfer des Trojaners WannaCry geworden sind, findet momentan wohl eine neue Cyber-Angriffswelle statt. Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), teilte mit, dass es sich nach ersten Erkenntnissen um eine Angriffswelle mit der Schadsoftware Petya handele die Schwachstellen ausnutze, die bereits die Ransomware WannaCry ausgenutzt hätte.
Bei dieser Art von Cyberattacken werden Dateien auf den betroffenen Computersystemen verschlüsselt und der Nutzer wird zur Zahlung eines Lösegelds aufgefordert, damit die Daten wieder entschlüsselt werden. Die Zahlung des Lösegeldes garantiert jedoch nicht, dass die Daten tatsächlich wieder entschlüsselt werden. Unter anderem deswegen rät das BSI betroffenen Unternehmen auch dazu, nicht auf Lösegeldforderungen einzugehen.
Die ersten Attacken mit der Petya-Ransomware ereigneten sich nach aktuellem Informationsstand in der Ukraine und betrafen dort verschiedene Unternehmen wie beispielsweise die Zentralbank, den internationalen Flughafen Kiew-Borispyl und die U-Bahn. Auch das Kernkraftwerk Tschernobyl wurde von dem Cyberangriff betroffen. Die technischen Systeme des Kraftwerks sollen aber weiterhin normal funktionieren. Lediglich die Kontrolle der Radioaktivität müsse manuell stattfinden. Neben diesen Unternehmen sind auch die Deutsche Post in der Ukraine, das russische Ölunternehmen Rosneft oder die dänische Reederei Maersk von der Attacke betroffen.
Die Verbreitung von WannaCry konnte dadurch wesentlich verlangsamt werden, dass eine in den Code eingebettete Kill-Switch-Funktion entdeckt wurde. Wie sich die aktuelle Petya-Ransomware genau verbreitet und ob auch sie über einen solchen eingebauten Notschalter verfügt ist aktuell noch nicht ersichtlich.
Pages: 1 2 ... 132 133 134 135 136 ... 275 276 
