Entwurf für ePrivacy-Verordnung

2. Januar 2017

Ein Entwurf der Privacy-Verordnung für elektronische Kommunikation (ePrivacy-VO) durch die Europäische Kommission wurde geleakt. Mit der Verordnung soll die bisher geltende ePrivacy-Richtlinie (RL 2002/58) ersetzt werden. Durch diese wurden bislang Mindestvorgaben für den Datenschutz in der Telekommunikation gesetzt. Die Richtlinie wurde von den Nationalstaaten unterschiedlich in nationales Recht transformiert. In Deutschland wurden die Mindestvorgaben durch Novellierung des Telekommunikatiosngesetzes transformiert, nachdem die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik wegen Verstoßes gegen die Umsetzungsfrist einleitete. Ein derartiger „Flickenteppich“ unterschiedlicher nationaler Gesetze wird nun durch den gesetzgeberischen Weg einer Vorordnung umgangen, da diese unmittelbare Anwendung findet.

Zwar ist der Gesetzgebungsprozess der ePrivacy-Verordnung noch nicht abgeschlossen, gleichwohl sind im Entwurf bereits gravierende Änderungen zur gegenwärtigen Rechtslage erkennbar.

Wie in der Datenschutzgrundverodnung (DS-GVO) ist räumlich eine extraterritoriale Anwendung vorgesehen. Entscheidend für die Anwendbarkeit der Verordnung sollen die Nutzung und das Anbieten von Kommunikationsdiensten in der EU sein, unabhängig davon, ob die eigentliche Datenverarbeitung außerhalb der EU stattfindet. Eine Umgehung des EU-Datenschutzrechts, wie beispielsweise durch Outsourcing der Datenverarbeitung, soll so verhindert werden.

Die ePrivacy-Verordnung findet sachlich auch auf sogenannte Over-the-Top-Dienste (OTTs), wie Messenger, und auf den für das Internet-of-Things (IoT) wesentlichen Datentransfer zwischen Maschinen Anwendung. Informationen, die im Rahmen der vernetzten Industrie zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DS-GVO enthalten. Die näheren Umstände der Kommunikation, welche über den Inhalt hinausgehen (Metadaten) werden nun erfasst. Diese dürfen ohne vorherige Einwilligung der End-Nutzer nur in bestimmten Fällen, wie etwa zur Qualitätssicherung, IT-Sicherheit oder der Abrechnung, verarbeitet werden. Sofern demgegenüber keine Rechtsgrundlage für eine Verarbeitung besteht, müssen die Daten unverzüglich gelöscht oder anonymisiert werden.

Beim Einsatz von Cookies und anderen Tracking-Tools wird die vorherige Einwilligung der Nutzer benötigt. Dies wird auf anderweitiges Tracking (z.B. GPS), sowie den Zugriff auf im Endgerät gespeicherte Daten (z.B. Fotos, Kontakte, Nachrichten), erweitert. Die Einwilligung soll benutzerfreundlich eingeholt werden und durch technische Einstellungen des Browsers möglich sein (Privacy by Design).

Wie bereits nach der DS-GVO, sollen auch unter der ePrivacy-VO erhebliche Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.

Frohes neues Jahr!

Sehr geehrte Leser,

wir von dem Blog datenschutzticker.de wünschen Ihnen ein frohes neues Jahr und alles Gute für 2017.

Auch in diesem Jahr werden wir Sie wieder rund um das Thema Datenschutz auf dem Laufenden halten.

Liebe Grüße,

datenschutzticker.de

Kategorien: Allgemein

Frohe Weihnachten!

23. Dezember 2016

Sehr geehrte Leser,

das gesamte Team des Blogs datenschutzticker.de wünscht Ihnen ein besinnliches Weihnachtsfest und frohe und erholsame Weihnachtstage.

Nach einer kurzen Winterpause werden wir, wie gewohnt, an dieser Stelle wieder einige interessante und relevante Meldungen rund um das Thema Datenschutz für Sie zusammentragen.

Rutschen Sie gesund in das neue Jahr.

Weihnachtliche Grüße,

datenschutzticker.de

Kategorien: Allgemein

Artikel-29-Datenschutzgruppe veröffentlicht Leitlinien zu wichtigen Themen der Grundverordnung

20. Dezember 2016

In ihrer letzten Sitzung in diesem Jahr hat die Artikel-29-Datenschutzgruppe in der vergangenen Woche drei Leitlinien und FAQs zu wichtigen Neuerungen der Datenschutz-Grundverordnung veröffentlicht.

Es handelt sich dabei um

Sie geben einen hilfreichen Überblick über die Neuregelungen für die Praxis und ermöglichen einen Eindruck, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren.

Die Artikel-29-Datenschutzgruppe wird in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung veröffentlichen, so im kommenden Januar zu den Themen Datenschutzfolgeabschätzung und Zertifizierung.

Yahoo meldet abermals Rekord-Hack auf Nutzerkonten

19. Dezember 2016

Bereits im September diesen Jahres sah sich der US-Internet-Riese Yahoo dazu gezwungen die Öffentlichkeit über einen erfolgreichen Hacker-Angriff aus dem Jahr 2014 auf die eigene Infrastruktur zu informieren. Damals waren 500 Millionen Kundenkonten betroffen. Nun teilt Yahoo mit, dass nach den neuesten Erkenntnissen bereits im Jahr 2013 mehr als 1 Milliarde Konten gehackt wurden. Betroffene Datenarten sind Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Passwörter, die mit dem nicht mehr als sicher geltenden MD5-Verfahren verschlüsselt waren. Zudem wurden teils verschlüsselte, teils unverschlüsselte Sicherheitsabfragen samt Antworten kopiert.

Yahoo plant die betroffenen Kunden zu informieren. Grundsätzlich empfiehlt sich angesichts der großen Anzahl der Betroffenen für alle Yahoo-Kunden, die Zugangsdaten ihrer Kundenkonten und Sicherheitsabfragen zu ändern.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: , ,

Big Data – Chancen und Risiken

16. Dezember 2016

Ein aufsehenerregender Artikel des Schweizer MAGAZINs lässt vermuten, dass durch die gezielte Auswertung von Datensätzen der Wahlkampf um das Amt des US-Präsidenten beeinflusst werden konnte. So behauptet ein Unternehmen, durch die Auswertung von öffentlich zugänglichen Daten von Wählern mit Hilfe von sogenannten Big-Data-Anwendungen Persönlichkeitsprofile der Wähler erstellt zu haben. Diese Profile seinen dann genutzt worden um gezielt Wählergruppen persönlich oder mittels Werbebotschaften anzusprechen. Wahlhelfern sei dabei eine mobile App zu Verfügung gestellt worden, in der individuelle Persönlichkeitesprofile der anzusprechenden Wähler, inklusive Gesprächsleitfaden, gespeichert gewesen sein soll.

Ob und in wie weit hierdurch tatsächlich der Ausgang der Wahl beeinflusst wurde, lässt sich nur vermuten. Sorgen um die Möglichkeit einer Beeinflussung der Wähler durch eine auf die Persönlichkeit abgestimmte Werbung dürften allerdings ihre Berechtigung finden.

Dass die Auswertung großer Datenmengen auch Chancen bietet, zeigt der Berliner Kongress „Big Data konkret“, im Rahmen dessen die Vorteile der Auswertung von Patientendaten zur Behandlung und Entwicklung von Therapiemöglichkeiten thematisiert wurden.

Weitergabe von E-Mail Zugangsdaten ist kritisch zu betrachten

14. Dezember 2016

Nicht selten reicht das gegenseitige Vertrauen unter Kollegen im Unternehmensalltag so weit, dass diese sich den Zugriff auf das persönliche E-Mail Postfach durch Weitergabe ihrer persönlichen Zugangsdaten untereinander gestatten. So positiv und produktiv das kollegiale Miteinander im Hinblick auf den Arbeitsalltag auch erscheinen mag, desto negativer können die Konsequenzen der Weitergabe dieser personenbezogenen Zugangsdaten für den betroffenen Kollegen ausfallen. Denn Folge dieser Weitergabepraxis ist nicht selten der mit den Zugangsdaten betriebene Missbrauch, der letztendlich zu einem Kontrollverlust über das eigene personengebundene E-Mail Postfach führt.

So kann der betroffene Kollege grundsätzlich nicht davor bewahrt werden, sich strafbar zu machen.

Zwar wird eine Verletzung des Fernmeldegeheimnisses, welches grundsätzlich den Übertragungsvorgang der E-Mails schützt, nach den § 206 Abs. 1 StGB bzw. § 88 TKG bestraft. Da der Arbeitgeber und seine Mitarbeiter gegenüber den Kommunikationspartnern aber keine geschäftlichen Telekommunikationsdienste nach § 88 TKG erbringen, ist eine Verletzung des Fernmeldegeheinnisses, das demnach nur zwischen dem Arbeitgeber und dem Arbeitnehmer Anwendung findet, ausgeschlossen.

Der betroffene Kollege muss aber mit einer Ordnungswidrigkeit nach § 43 Abs. 2 Bundesdatenschutzgesetz (BDSG) oder einer Strafbarkeit nach § 43 Abs. 2 i.V.m. § 44 BDSG rechnen. Denn personenbezogene Daten wie der Name oder die E-Mail-Adresse, die nicht allgemein zugänglich sind, dürfen nicht unbefugt erhoben, verarbeitet oder zum Abruf durch automatisierte Verfahren bereitgehalten werden, § 43 Abs. 2 Nr. 1 und Nr. 2 BDSG.

 

 

Mitbestimmungsrecht des Betriebsrats in sozialen Netzwerken

Das Bundesarbeitsgericht hatte gestern zu entscheiden, ob der Betriebsrat ein Mitbestimmungsrecht bei dem Unternehmensauftritt in sozialen Netzwerken hat.

In dem Beschluss vom 13.12.2016 geht es darum, dass das betroffene Unternehmen im Jahre 2013 eine Facebook-Seite einrichtete. Im Laufe der Zeit verwendeten Nutzer von Facebook die Kommentarfunktion, um ihren Unmut über Mitarbeitern des Unternehmens Luft zu machen. Daraufhin schaltete sich der Betriebsrat ein und vertrat die Ansicht, dass Einrichtung und Betrieb der Facebook-Seite mitbestimmungspflichtig sei. Als Begründung wurde angeführt, dass die Möglichkeit der öffentlichen Äußerung über das Arbeitsverhalten von Mitarbeitern einen zu hohen Überwachungsdruck erzeuge.

Das Bundesarbeitsgericht gab diesem Vorbringen teilweise Recht. Der Betriebsrat hat keinen Einfluss darauf, ob das Unternehmen eine Präsenz in sozialen Netzwerken hat. Wenn jedoch die Möglichkeit besteht, dass Nutzer der Plattform Beiträge auf der Seite des Unternehmens posten können, welche sich inhaltlich auf die einzelnen Beschäftigten beziehen, dann ist der Betriebsrat anzuhören.

BSI veröffentlicht Technische Richtlinie zum Sicheren E-Mail-Transport

12. Dezember 2016

Vergangene Woche veröffentliche das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108). Adressaten der Richtlinie sind E-Mail-Diensteanbieter und Betreiber eines E-Mail-Dienstes in seiner Organisation. Die Richtlinie enthält Anforderungen an die Sicherheit des E-Mail-Versands. Durch die Festlegung von Mindestsicherheitsstandards sollen diese vergleichbarer werden und sich außerdem bei den Diensteanbietern verbreiten.

Hintergrund ist, dass derzeit Verschlüsselungstechnologien von E-Mails nur von wenigen Endnutzern verwendet werden. Mit der nun veröffentlichten Richtlinie soll sich das ändern. Denn die Sicherheit des E-Mail-Transports wird dann erhöht, wenn die Diensteanbieter die Sicherheitsstandards der Richtlinie umsetzen. Die Sicherheitsstandards ergeben sich im Einzelnen aus der Richtlinie.

Die Umsetzung der Sicherheitsstandards können die Diensteanbieter durch ein Zertifikat nachweisen. Diensteanbieter erhalten das Zertifikat durch einen BSI-zertifizierten Auditor, der die Umsetzungen der  Anforderungen der Richtlinie überprüft.

Diese Richtlinie ist insofern begrüßenswert, als dass hierdurch die Verbreitung von höheren Sicherheitsstandards gefördert werden.

Wird „Big Data“ den anstehenden Wahlkampf in Deutschland beeinflussen?

9. Dezember 2016

Wie bereits hinlänglich bekannt, ist das Internet und alle Entwicklungen die damit einhergehen, Fluch und Segen zugleich, jedoch bleibt die Frage, ob „Big Data“ auch den anstehenden Bundestagswahlkampf in Deutschland beeinflussen kann.

Cyberangriffe auf die politischen Parteien und den Bundestag sind bereits bekannt. Angreifer versuchten mit einer Spearphishing Kampagne die Computer deutscher Politiker auszuforschen. Es ist anzunehmen, dass auf diesem Wege Geheimnisse aus dem Politikbetrieb ausgespäht werden sollten. Sofern diese Angriffe Erfolg haben, ist nicht auszuschließen, dass die ausgespähten Daten zu einer Diskreditierung der Politiker und damit einer Beeinflussung der Bundestagswahl führen.

Abgesehen von Hackerangriffen besteht aber noch eine andere “Gefahr“. Die Analyse-Firma Cambridge Analytica soll im US-Wahlkampf und im Rahmen des Brexit-Votums gezielt für Donald Trump, bzw. für ein Ja zum Ausstieg  Werbung gemacht haben. An und für sich nicht weiter bedenklich. Jedoch ist die Art und Weise wie diese Firma vorgeht unheimlich. Cambridge Analytica erstellt Psychogramme von Facebook-Nutzern. Anhand von Likes und Postings der Nutzer kann nicht nur die Persönlichkeit des Menschen bestimmt werden, sondern kann darüber hinaus auch die politische Einstellung in Erfahrung gebracht werden und diese Informationen werden dann für eine passgenaue Werbung genutzt. Eine gruselige Entwicklung, vor allem vor dem Hintergrund, dass die Ergebnisse der US-Wahl und des Brexit-Votums, so nicht wirklich erwartet wurden.

Somit ist also nicht auszuschließen, dass „Big Data“ auch den Bundestagswahlkampf 2017 beeinflussen wird.

1 13 14 15 16 17 144