Elektronische Gesundheitskarte: Austausch aller Lesegeräte erwartet

9. Oktober 2015

Medienberichten zufolge rechnet die Industrie damit, ab Mitte 2016 sämtliche Kartenlesegeräte für die elektronische Gesundheitskarte austauschen zu müssen, wodurch Kosten von fast 100 Millionen Euro entstehen würden. Hintergrund seien Bedenken des Bundesamtes für Sicherheit in der Informationstechnik, wonach die bisherigen Kartenlesegeräte, mit denen Ärzte die Patientendaten ein- und auslesen können, nicht hinreichend vor dem Zugriff Unbefugter geschützt sind. Problematisch seien insbesondere die Gehäuse der knapp 400 Euro teuren Kartenlesegeräte. Die bislang verwendeten Plastikhüllen seien nicht in der Lage, Daten abzuschirmen und Hacker davon abzuhalten, in die Krankenakten von Patienten Einsicht zu nehmen. Die Lesegeräte waren erst 2011 mit der Auslieferung der bislang gültigen Gesundheitskarte eingeführt worden.

 

US-Regierung reagiert unzufrieden auf EuGH-Entscheidung zu Safe-Harbor

Unzufriedenheit und Unverständnis kennzeichneten die Reaktion der US-Regierung zur wegweisenden Entscheidung des Europäischen Gereichtshof, welche die Ungültigkeit des Safe-Harbor-Abkommens feststellte.“Wir sind zutiefst enttäuscht von der heutigen Entscheidung des Europäischen Gerichtshofs, das erhebliche Unsicherheit für US- und EU-Firmen und Verbraucher schafft“, sagte Handelsministerin Penny Pritzker. Einigkeit besteht zwischen den USA und der EU jedoch insoweit, dass der Abschluss eines neuen Abkommens unerlässlich sei. Zumindest ein US-Bürger reagierte ausdrücklich postiv und bedankte sich per Twitter bei Europa: Edward Snowden.

Erste Reaktionen nationaler Datenschutzbehörden auf die Safe-Harbor-Entscheidung und Folgen für die Praxis

7. Oktober 2015

Nach der Entscheidung des EuGH vom 06. Oktober 2015 über die Gültigkeit des Safe-Harbor-Abkommens haben sich einzelne nationale Datenschutzbehörden zu möglichen Konsequenzen geäußert, die teilweise unterschiedlich bewertet werden. In Rede steht die Aussetzung des Datentranfers in die Vereinigten Staaten, aber auch die fortbestehende Rechtmäßigkeit einer Datenübermittlung im Rahmen von Standardvertragsklauseln oder verbindlichen Unternehmensvereinbarungen.


Die Artikel 29-Datenschutzgruppe hat in der Pressemitteilung vom 06. Oktober 2015 die Safe-Harbor-Entscheidung des EuGH ausdrücklich begrüßt. Sie teilte zudem mit, bereits in der folgenden Woche das Urteil in einer Expertenrunde zu analysieren und die Folgen für den Datentransfer in die Vereinigten Staaten zu diskutieren. Ein Termin für eine außerordentliche Plenarsitzung folge in Kürze.


Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass die Aufsichtsbehörden bei der Umsetzung des Urteils eine Schlüsselrolle einnehmen werden. Dabei sei zu prüfen, ob Datentransfers in die Vereinigten Staaten auszusetzen seien. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt würden. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits müsse die USA drängen, ein angemessenes Datenschutzniveau herzustellen.


Zustimmend äußerte sich zudem die britische Datenschutzbehörde ICO. Sie werde die Folgen des Urteils analysieren und in den kommenden Wochen bekanntgeben. Bereits jetzt erkennbare Folgen für die Praxis:

  • Personenbezogene Daten seien nun nicht verstärkt gefährdet, jedoch seien Unternehmen jetzt verpflichtet sicherzustellen, dass Daten mit dem europäischen Datenschutzrecht konform übermittelt werden.
  • Der Datenschutzbehörde sei dabei bewusst, dass den Unternehmen ein gewisser Zeitraum für Erfüllung dieser Pflichten eingeräumt werden müsse.
  • Es bestünden bereits jetzt Möglichkeiten für eine rechtskonforme Übertragung.
  • Verhandlungen über den Abschluss eines neuen Abkommens zwischen der EU und den Vereinigten Staaten seinen bereits fortgeschritten.
  • Die Folgen des Urteils werden durch die ICO analysiert und Ergebnisse in den kommenden Wochen bekanntgegeben.

Die spanische Agencia Española de Protección de Datos – AEPD führt in ihrer Pressemitteilung zu der Entscheidung aus:

Bisher hat die AEPD internationale Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtlich anerkannt. Diese Unternehmen hatten demnach das Privileg, dass bei einer Meldung eines Systems an die zuständige Behörde keine weitere Genehmigung durch die Datenschutzbehörde erfoderlich war um die Übermittlung datenschutzkonform durchzuführen.

Jetzt hat die Datenschutzbehörde im Einzelfall zu prüfen, ob die Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtmäßig sind.

Die Europäischen Datenschutzbehörden hätten bereits in der Vergangenheit auf Mängel des Safe Harbor Abkommens aufmerksam gemacht. Nun arbeiteten sie zusammen, um koordinierte Maßnahmen bezüglich des EuGH-Urteils herbeizuführen, damit es gleichmäßig in allen EU Mitgliedstaaten interpretiert und umgesetzt werde.

Safe Harbor kein „sicherer Hafen“ für EU-Bürger

6. Oktober 2015

Mit dem Urteil C-362/14 vom 06. Oktober 2015 hat der EuGH die Entscheidung der Kommission vom 26. Juli 2000, dass die s.g. „Safe-Harbor-Regelung“ der Vereinigten Staaten ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleistet, für ungültig erklärt.

Zusammenfassung und Folgen für die Praxis:

• Die Entscheidung des EuGH zu Safe Harbor macht den Datentransfer von Europa in die Vereinigten Staaten für die Safe Harbor registrierten Unternehmen nicht per se rechtswidrig.

• Die Datenschutzbehörden der Mitgliedsstaaten sind nun jedoch befugt, Unternehmen, die Daten auf der Basis von Safe Harbor in die Vereinigten Staaten übermitteln oder dort verarbeiten lassen, auf die Einhaltung der datenschutzrechtlichen Vorschriften hin zu überprüfen und im Falle des Verstoßes Sanktionen zu erlassen, etwa Untersagungsverfügungen. Dies dürfte auch für den Transfer auf der Basis der Standardvertragsklauseln bzw. Corporate Binding Corporate Rules gelten, da der Hintergrund der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act ist, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.

• Bei Verstößen können die Datenschutzbehörden als utima ratio durch Untersagungsverfügungen die Übermittlung der personenbezogenen Daten in die Vereinigten Staaten untersagen.

• Doch die EU und die Vereinigten Staaten verhandeln bereits seit 2013 über ein neues Safe-Harbor-Abkommen. Es erscheint also nicht ausgeschlossen, dass die nationalen bzw. regionalen europäischen Aufsichtsbehörden eine Übergangsfrist abstimmen, bis zu der keine konkreten Prüfungen durch die Landes-Aufsichtsbehörden erfolgen und mithin keine Untersagungsverfügungen gegenüber Unternehmen erfolgen.

• Entschieden ist dies jedoch aktuell nicht. Entsprechende Abstimmungen auf behördlicher Ebene werden jedoch schon für die kommende Woche erwartet.

• Voraussetzung könnte sein, dass sich die Regierungen bis zu einem gewissen Zeitpunkt auf ein neues Safe-Harbor-Abkommen einigen. Die Aufsichtsbehörden würden so den durch die Rechtsprechung aufgebauten Druck weg von den Unternehmen zumindest temporär auf die handelnden politischen Entscheidungsträger verlagern.

• Inhaltlich dürfte es bei den kommenden Verhandlungen zwischen den transatlantischen Partnern neben den bisher häufig zu oberflächlich erfolgten Umsetzungen der Safe Harbor Regeln und den damit unzutreffend erfolgten Selbstzertifizierungen in den betroffenen Unternehmen insbesondere um die Zugriffe auf europäische Daten auf der Basis des Patriot Act gehen.

Die Entscheidung

Zum Hintergrund: Der Beschwerdeführer nutzt seit 2008 das soziale Netzwerk facebook. Die in Irland ansässige Tochtergesellschaft übermittelte die Daten des Beschwerdeführers an Server, die sich in den Vereinigten Staaten befinden und ließ sie dort verarbeiten. Der Beschwerdeführer befürchtete aufgrund der bekanntgewordenen Tätigkeiten der Nachrichtendienste, dass die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der übermittelten Daten vor den Behörden bot. Eine hiergegen eingelegte Beschwerde bei der irischen Datenschutzbehörde lehnte diese mit der Begründung ab, dass die Kommission in ihrer Entscheidung vom 26. Juli 2000 festgestellt habe, dass ein angemessenes Schutzniveau gewährleistet sei.

Stärkung der Rechte nationaler Datenschutzbehörden

In der heutigen Entscheidung führt der EuGH aus, dass die Feststellung des Schutzniveaus durch die Kommission die Befugnisse der nationalen Datenschutzbehörden weder beschränken, noch beseitigen kann. Die Datenschutzbehörden müssen, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die datenschutzrechtlichen Anforderungen der EU gewahrt sind.

Verletzung des Grundrechts auf Achtung des Privatlebens

Nach Feststellung der bestehenden Prüfungskompetenz der nationalen Datenschutzbehörden nimmt der EuGH auch zu der inhaltlichen Gültigkeit der Kommissionsentscheidung Stellung. Er stellt fest, dass die Kommission nicht die Gewährleistung des Schutzniveaus der Grundrechte durch die innerstaatlichen Vorschriften und internationalen Verpflichtungen der Vereinigten Staaten geprüft hat. Vielmehr hat sie sich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen.

Aber auch die Regelung allein gewährleistet keinen Schutz, der dem in der Union garantierten Niveau gleichwertig ist. Denn die diese gilt nur für Unternehmen, die sich der Safe-Harbor Regelung unterwerfen, nicht aber für Behörden der Vereinigten Staaten. Darüber hinaus haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzten der Vereinigten Staaten Vorrang vor den Safe-Harbor-Regelungen, so dass Unternehmen bei einem Widerstreit der genannten Interessen, die Safe-Harbor-Regelung unangewandt lassen müssen. Die Safe-Harbor Regelung ermögliche insoweit Eingriffe durch amerikanische Behörden, ohne dass Reglungen bestünden, die die Eingriffskompetenzen begrenzten.

In diesem Zusammenhang stellt der EuGH in aller Deutlichkeit fest, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt der elektronischen Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Da dem Bürger kein Zugang zu den ihn betreffenden Daten zur Verfügung steht, sei darüber hinaus das Grundrecht auf einen wirksamen gerichtlichen Schutz verwehrt.

Auch Nordrhein-Westfalen hat neue Datenschutzbeauftragte

1. Oktober 2015

Zum heutigen Tag löst Helga Block den bisherigen Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Ulrich Lepper, ab, der nach fünf Jahren Amtszeit in den Ruhestand tritt.

Block war – nach ihrer Anfangszeit bei den Bezirksregierungen Detmold und Düsseldorf – seit 1989 im Ministerium für Inneres und Kommunales beschäftigt, seit 2001 war sie dort als Abteilungsleiterin tätig und unter anderem für die Themen Verfassungsrecht und Datenschutz verantwortlich. Sie wurde 1954 in Münster geboren und studierte dort Rechtswissenschaften.

Medienberichten zufolge werde Block, wenn nötig, auch einmal „unbequem“ sein, sie wolle in Zukunft gerne ihre Ansicht „als unabhängige Teilnehmerin an der öffentlich geführten Debatte“ einbringen.

Hinsichtlich einer der größten Herausforderungen der kommenden Monate, der Entwicklung der EU-Datenschutzgrundverordnung, äußerte sie sich dahingehend, dass sie sich auf jeden Fall noch in die Trilog-Verhandlungen einbringen werde, um das neue Recht verbraucherfreundlich zu gestalten. Es verstehe sich für sie von selbst, „dass die Reform des EU-Datenschutzrechts das hohe Schutzniveau in Deutschland mindestens halten sollte“.

Kategorien: Allgemein
Schlagwörter: , ,

Rheinland-Pfalz: Neuer Landesbeauftragter für den Datenschutz

28. September 2015

Heute nimmt Prof. Dr. Dieter Kugelmann Medienberichten zufolge offiziell seine Tätigkeit als neuer Landesbeauftragter für den Datenschutz und die Informationsfreiheit von Rheinland-Pfalz auf.

Der 52-Jährige wurde im pfälzischen Landau geboren und studierte u. a. in Mainz Rechtswissenschaften. 2006 trat er eine Professur an der Hochschule Halberstadt an, ehe er 2008 zum Professor für Öffentliches Recht und Polizeirecht an der Deutschen Polizeihochschule in Münster ernannt wurde.

Kugelmann löst damit Edgar Wagner, den nach acht Jahren Amtszeit in den Ruhestand geht, ab. „Dieses Amt ist klasse“, so Wagner rückblickend. Aber er sieht auch die Notwendigkeit für einen Generationenwechsel: „Ich bin aus einer anderen Generation, aus der Generation Münzfernsprecher.“

Safe Harbor kein „sicherer Hafen“ für Daten von EU-Bürgern?

23. September 2015

Nach dem heutigen Schlussantrag des Rechtsgutachters vor dem Europäischen Gerichtshof in Luxemburg (EuGH) bietet die sog. Safe-Harbor-Entscheidung der Europäischen Kommission keine sichere Rechtsgundlage für die Übermittlung von personenbezogenen Daten von EU-Bürgern in die USA.

Der Antrag erging in dem Verfahren des Österreichers Max Schrems gegen die irische Datenschutzbehörde über den Datenschutz bei Facebook.

Die die Safe-Harbor-Prinzipien festlegende Kommissionsentscheidung aus dem Jahr 2000 sei seiner Meinung nach ungültig. Zu gering sei der Rechtsschutz für Bürger aus der EU, wenn ihre Daten in großer Zahl von US-amerikanischen Firmen wie beispielsweise Facebook gesammelt würden. Insbesondere durch den potenziellen Datenaustausch von amerikanischen Firmen mit der NSA liege ein Eingriff in das Recht auf informationelle Selbstbestimung vor, der vor allem deshalb unverhältnismäßig sei, weil die Überwachung in den USA massiv und nicht zielgerichtet sei.

Die zuständige Datenschutzbehörde sei folglich nicht an die oben genannte Kommissionsentscheidung gebunden und könne die Übermittlung der Daten von der europäischen Facebook-Zentrale in Irland an Facebook Inc. in die USA verbieten.

Zwar ist der EuGH in seiner Entscheidung nicht an dieses Rechtsgutachten gebunden, in den meisten Fällen wird ihm aber weitestgehend gefolgt.

„Daten sind der Rohstoff der Zukunft“

15. September 2015

So lautete die Kernaussage von Kanzlerin Angela Merkel beim ersten offenen Mitgliederkongress von CDUdigital, der am vergangenen Wochenende in Berlin stattgefunden hatte.
Die Kanzlerin und CDU-Vorsitzende betonte, wie wichtig die digitale Welt für den Exportriesen Deutschland sei. „Um den Wohlstand zu halten, muss Deutschland mit der Konkurrenz im Ausland Schritt halten“, sagte Merkel und meinte damit, dass hierzulande IT-Unternehmen nicht durch zu starres Reglement darin gehindert werden dürfen, die digitale Welt mitzubestimmen. Deutschland müsse auch im IT-Sektor in der Lage bleiben, Produkte herstellen zu können, die außerhalb unserer Landesgrenzen gefragt sein werden.

Merkel forderte dazu auf, nicht nur die Risiken der Digitalisierung zu fokussieren, sondern gerade auch die Chancen zu erkennen, schreibt heise online. Es gehe um einen „vernünftigen“ Schutz der Nutzerdaten, wird die Kanzlerin zitiert , der durch Rahmenbedingungen sichergestellt wird, ohne zugleich den Wirtschaftsstandort Deutschland in der digitalen Entwicklung zu bremsen. Wichtig ist, so Merkel, ein einheitlicher Rechtsrahmen innerhalb Europas, der eine Verarbeitung großer Datenmengen für Produktentwicklungen erlaubt. Nach Meinung der Kanzlerin dürfe die EU Grundverordnung deshalb nicht nur den Datenschutz in den Mittelpunkt stellen, sondern müsse auch Platz lassen für Handlungsspielräume und um Chancen nutzen zu können.

Frau Merkel zeigte in Ihrer Ansprache aber auch auf, wie wichtig es ist, beim Thema Digitalisierung in die Breite zu gehen. So betonte sie unter anderem, dass auch die digitale Infrastruktur und die Bildung wichtige Grundsteine darstellen, um die digitale Entwicklung sinnvoll voranzutreiben, und deshalb kontinuierlich ausgebaut werden müssen.

Praxistipp: Sichere Passwörter generieren und merken

14. September 2015

Die Anforderungen an ein sicheres Passwort sind hoch. Nach den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik ist ein Passwort „sicher“, wenn es

  • mindestens zwölf Zeichen lang ist,
  • aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) besteht,
  • nicht den Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten etc. beinhaltet,
  • nicht in Wörterbüchern vorkommt und
  • nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern besteht (z.B. „asdfgh“ oder „1234abcd“).

Damit das Passwort nicht in falsche Hände gerät, ist es zu vermeiden, dieses unverschlüsselt auf dem PC abzulegen oder auf dem berühmt berüchtigtem Notizzettel an den Bildschirm zu kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen. Der Nachteil ist dann, dass man u. U. nicht stets auf das dokumentierte Passwort Zugriff hat. Der beste Weg – aber zugleich auch eine mehr oder minder große Herausforderung – ist daher, dass man sich das Passwort merkt.

Um sich ein Passwort gut zu merken, gibt es viele hilfreiche Tricks. Bewährt hat sich insbesondere die Methode, dass man sich einen mehr oder minder sinnvollen Satz ausdenkt und von jedem Wort nur den ersten Buchstaben (alternativ den zweiten, dritten etc.) inklusive Groß- und Kleinschreibung benutzt. Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Beispiel: „Morgens bleibe ich nach dem Aufwachen noch mindestens vier Minuten im Bett und döse“. Nur die ersten Buchstaben: „MbindAnmvMiBud“. Das „i“ wird durch eine „1“ ersetzt, die Zahl wird nun nicht mehr ausgeschieben und das Sonderzeichen „&“ ersetzt das „und“: „Mb1ndAnm4M1B&d“.

Auch gibt es diverse Lernvideos, die helfen, Passwörter zu merken und zugleich aufführen, wie schnell triviale Passwörter, z. B. mittels eines Wörterbuchangriffs, geknackt werden können.

Werden die Passwörter nach den o. g. Kriterien generiert und außerdem – wie allgemein empfohlen – in regelmäßigen Zeitabständen geändert und stets nur für einen Zugang genutzt, macht man es Hackern deutlich schwerer und schützt seine vertraulichen Daten, z.B. seine E-Mails oder Nachrichten. Man vermeidet aber insbesondere auch, dass sich Unbefugte in eigene Accounts einloggen und die eigene Identität annehmen, z.B. um kostspielige Online-Käufe zu tätigen oder aber „nur“ unter dem eigenen Namen E-Mails versenden.

 

USA und EU legen neue Standards für Datenaustausch fest

11. September 2015

Nach mehrjährigen Verhandlungen haben sich Vertreter der EU und den USA auf neue Standards für den transatlantischen Datenaustausch zwischen Ermittlungsbehörden geeinigt, wie die Bundesbeauftragte für den Datenschutz und Informationsfreiheit, Andrea Voßhoff, mitteilte.

Wesentliche Änderung ist zu einen, dass Daten von EU-Bürgern nur mit der vorherigen Zustimmung der zuständigen EU-Stelle in Drittstaaten übermittelt werden dürfen. Weiterhin wird der Zeitraum der Speicherung der Daten begrenzt. Außerdem ist nun EU-Bürgern der Rechtsweg vor US-Gerichten bei Verstößen gegen das Abkommen eröffnet. Hierüber muss jedoch der US-Kongress noch abstimmen.

Auch wenn durch das Abkommen die Rechte von EU-Bürgern gestärkt werden, bewertet die Bundesdatenschutzbeauftragte Frau Voßhoff das Abkommen als nur ein „Mosaiksteinchen“. Denn das Abkommen bezieht sich lediglich auf den Datenaustausch zwischen Behörden. Nach wie vor erhöhten Regelungsbedarf sieht die Bundesdatenschutzbeauftragte Frau Voßhoff im Bereich des Safe Habour Abkommens, welches den Datenaustausch im privaten und wirtschaftlichen Bereich zwischen der EU und den USA regelt.

1 13 14 15 16 17 126