Regulierungsfreier Verbraucherdatenschutz in den USA diskutiert

25. August 2011

US-amerikanischen Regierungskreisen zufolge streben die Vereinigten Staaten bezüglich des Verbraucherdatenschutzes im Internet einen regulierungsfreien Ansatz an. Danny Weitzner, der für die National Telecommunications and Information Administration (NTIA) tätig ist, führte aus, dass Unternehmen, die sich durch einen verantwortungsvollen Umgang mit dem Datenschutz auszeichneten, nicht noch zusätzliche Steine in den Weg gelegt werden sollten. Weiterhin vertritt Weitzner die Auffassung, dass man bessere Datenschutzgesetze, klarere Regeln, sowie rechtlich verankerte Prinzipien auch ohne die Kosten und Nachteile traditioneller Regulierungsstrukturen erreichen könnte.

Erwartungsgemäß begrüßten Branchenvertreter, wie Victor Nichols von Experian North America, den Vorschlag, auf eine strikte Regulierung zu verzichten. Nichols betonte, dass nur eine Selbstregulierung flexibel genug sei, um ausreichend schnell auf den Markt zu reagieren und den Verbrauchern gleichzeitig Transparenz und Wahlmöglichkeiten zu bieten.

Im März 2011 hatte Weitzners Vorgesetzter Lawrence Strickling dem Kongress vorgeschlagen, dass durch Verbraucherdatenschutzgrundrechte ( „consumer privacy bill of rights“) eine breitere Basis für Datenschutz geschaffen werden könnte. Die Ausführungen Stricklings blieben jedoch recht unspezifisch. Unter anderem forderte er, dass der Zweck der Datenerhebung durch die Unternehmen offengelegt wird. Ob dies auch eine Zweckbindung im Sinne des § 12 Abs. 2 TMG impliziert, lässt sich den Aussagen Stricklings nicht entnehmen. Auch seine weitreichende Formulierung, dass die Unternehmen die einmal gesammelten Daten sicher verwahren müssten, lässt noch keine Rückschlüsse auf einen möglichen Regelungsgehalt der zukünftigen Vorschriften zu.

Bereits im Dezember 2010 hatte das US-Handelsministerium, welchem auch die NTIA unterfällt, einige Anregungen gemacht, wie man die Bundesgesetze bezüglich der Datenerhebung durch Unternehmen, aktualisieren könnte. Konkrete Umsetzungsvorschläge folgten bisher jedoch nicht. Ein sogenanntes white paper, welches klarstellt, wie die Regierung die Frage handhaben möchte, wird für den Herbst 2011 erwartet.

Die USA haben bisher kein dem europäischen Datenschutzrecht vergleichbares Regelwerk. Jedoch haben US-Bundesbehörden wie die Federal Communications Commission und die Federal Trade Commission bereits jetzt einige Möglichkeiten bei Datenschutzverstöße einzuschreiten. Auch auf Grundlage einzelstaatlicher Regelungen ist die Ahndung von Datenschutzverstößen bereits möglich. (se)

„Datenschutz-Auskunftsportal“

22. August 2011

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat gemeinsam mit dem IT-Unternehmen Consist Software Solutions GmbH und dem Institut für Verbraucherpolitik ConPolicy das Forschungsprojekt „Datenschutz-Auskunftsportal“ ins Leben gerufen. Das Projekt soll dazu dienen, den Aufwand zur Wahrnehmung von Auskunftsrechten für Verbraucher deutlich zu reduzieren. Verbraucher sollen vor allem dadurch unterstützt werden, dass deren Anfragen formuliert und an die unterschiedlichen am Portal teilnehmenden Unternehmen direkt elektronisch adressiert werden. Außerdem sollen über eine Internetplattform allgemeine Informationen zum Auskunftsrecht angeboten werden. Unternehmen wiederum soll die Abwicklung von Auskunftsanfragen erleichtert werden, indem Tools zur prozessgestützten Bearbeitung von Auskunftsersuchen zur Verfügung gestellt werden.

In der nun laufenden 15-monatigen Projektphase wird ein Labormuster entwickelt, dessen Schwerpunkt auf dem Internetportal und der Interaktion mit den Verbrauchern liegt. Nach Beendigung der Projektphase ist geplant, auf Basis der gewonnenen Ergebnisse ein Internetportal zu realisieren, das Verbrauchern und Unternehmen als Schnittstelle für Anfragen zum Datenschutz dient. Die Förderung des Vorhabens erfolgt aus Mitteln des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz über die Bundesanstalt für Landwirtschaft und Ernährung im Rahmen des Programms zur Innovationsförderung. (sa)

 

Kategorien: Allgemein
Schlagwörter:

China: Entwurf eines Gesetzes zum Schutz personenbezogener Daten im Internet

19. August 2011

Das Ministerium für Industrie und Informationstechnologie der Volksrepublik China hat einen Gesetzesentwurf vorgestellt, der einen grundlegenden Schutz personenbezogener Daten im Internet sicherstellen soll.

Nach diesem Entwurf sollen für Dienstanbieter im Internet folgende Regeln gelten:

  1. Personenbezogene Daten dürfen nicht ohne Zustimmung der Nutzer erhoben werden, sofern nicht Gesetze oder Verwaltungsvorschriften etwas Anderes bestimmen.
  2. Mit den personenbezogenen Daten ist sorgsam umzugehen. Diese dürfen Dritten nicht ohne Zustimmung der Nutzer zugänglich gemacht werden, es sei denn Gesetze und Verwaltungsvorschriften erlauben dies.
  3. Es dürfen nur solche Daten erhoben werden, die zur Bereitstellung des Dienstes notwendig sind.
  4. Der Nutzer muss ausdrücklich über Art, Umfang und Zweck der erhobenen und verarbeiteten Daten aufgeklärt werden. Die Verwendung der Daten ist auf die angegebenen Zwecke zu beschränken.
  5. Wenn es zu einem unbefugten Zugriff auf die Daten kam, oder die Gefahr eines solchen Zugriffs besteht, müssen Internetdienstanbieter unverzüglich Gegenmaßnahmen ergreifen. Die entstandenen oder zu erwartenden Auswirkungen des Vorfalls sind den zuständigen staatlichen Stellen zu melden. Mit dem Staat ist bezüglich der Aufklärung der Vorfälle zu kooperieren.

Bei den angestrebten Regelungen lassen sich Parallelen zum deutschen Datenschutzrecht erkennen: Die Punkte 1. & 2. statuieren ein Verbot mit Erlaubnisvorbehalt ähnlich dem des § 12 Abs. 1 TMG. Ob der dritte Punkt die Erhebung von Bestands- und/oder Nutzungsdaten betrifft, welche in hierzulande in § 14 TMG (Bestandsdaten) und § 15 TMG (Nutzsungsdaten) geregelt ist, lässt der knapp formulierte Entwurf nicht erkennen. Punkt 4. legt nahe, dass auch chinesische Dienstanbieter die erhoben Daten nur zweckgebunden verwenden dürfen, ähnlich wie dies in § 12 Abs. 2 TMG angeordnet ist. Der letzte Punkt weist schließlich inhaltlich eine gewisse Nähe zum § 15a TMG auf, der für die Informationspflichten der Anbieter bei unrechtmäßiger Kenntniserlangung von Daten auf § 42a BDSG verweist.

Dieses Gesetz würde den Schutz personenbezogener Daten im Internet erstmalig auf eine breite Basis stellen, da in China bisher nur sektorbezogene Regelungen erlassen wurden. Es ist jedoch denkbar, dass bis zum Erlass des endgültigen Gesetzes noch weitreichende Änderungen des Entwurfs vorgenommen werden. (se)

ULD: Abschaltung von Facebook-Reichweitenanalyse

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins – wie z.B. den „Gefällt-mir“-Button – auf ihren Websites zu entfernen. Sollten die Websitebetreiber bis Ende September 2011 dieser Aufforderungen nicht nachkommen, kündigte das ULD weitergehende Maßnahmen an. Dazu können nach Durchlaufen der Anhörungs- und Verwaltungsverfahren bei öffentlichen Stellen Beanstandungen i.S.v. § 42 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) zählen, bei privaten Stellen wiederum kommen Untersagungsverfügungen gem. § 38 Abs. 5 Bundesdatenschutzgesetz (BDSG)  sowie Bußgeldzahlungen in Betracht.

Das ULD ist nach technischer und rechtlicher Analyse zu dem Ergebnis gekommen, dass derartige Angebote gegen das Telemediengesetz, das BDSG  bzw. das LDSG SH verstoßen, da die Nutzung der Facebook-Dienste eine Weitergabe von Verkehrs- und Inhaltsdaten in die USA bedingt und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots  („Reichweitenanalyse“) erfolgt. Wer einmal bei Facebook war oder ein Plugin genutzt habe, müsse davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook würde eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen, was gegen deutsches und europäisches Datenschutzrecht verstoße. Der betroffene Nutzer erhalte weder eine hinreichende Information über den Umgang mit seinen Daten noch ein Wahlrecht. Des weiteren seien die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook schlichtweg unzureichend. (sa)

Update: Nach der massiven Kritik des ULD an den Fanpages und den „Gefällt-mir“-Buttons von Facebook beenden auch erste öffentliche Stellen in Niedersachen ihre Teilnahme an dem sozialen Netzwerk. Dafür bedurfte es keines öffentlichen Aufrufes durch den Landesbeauftragten für den Datenschutz Niedersachsen. Dieser schloss sich zwar explizit der Rechtsauffassung des ULD an, räumte allerdings gleichzeitig ein, nicht über die personelle Kapazität zu verfügen, um die rund 300.000 Unternehmen, mehr als 1000 Kommunen und zahlreichen Behörden zu kontrollieren. Dennoch fühlen sich viele öffentliche Stellen verpflichtet, den Datenschutz einzuhalten und reagierten. Medienangaben zufolge hat beispielsweise bereits der Landkreis Friesland seine Facebook-Seite abgeschaltet und mehrere Kommunen sollen erwägen, implementierte „Gefällt-mir“-Buttons zu entfernen. (sa)

 

Studie „Datenschutz 2011“

18. August 2011

Die TÜV SÜD Management Service GmbH hat in Zusammenarbeit mit der Ludwig-Maximilians-Universität (LMU) München von Dezember 2010 bis März 2011 die Studie „Datenschutz 2011“ durchgeführt. Im Rahmen der Studie wurden überwiegend mittelständische Unternehmen, aber auch Betriebe mit über 10.000 Mitarbeitern zu ihrer Einstellung zum Datenschutz, ihrem datenschutzrechtlichen Informationsstand und zur Umsetzung datenschutzrechtlicher Standards befragt.

Die Ergebnisse der Studie belegen, dass das Thema Datenschutz zwar für gut zwei Drittel der Befragten einen hohen bis sehr hohen Stellenwert, trotz dieses hohen Stellenwertes allerdings häufig keine schriftlichen Regelungen oder Richtlinien für Verfahren und Prozesse mit Datenschutzrelevanz existieren. Ferner sollen nicht alle Unternehmen bei der Änderung oder Implementierung neuer Verfahren die Einhaltung des Datenschutzes prüfen. Die Studie zeigt nach Angaben der Initiatoren zudem unternehmensseitige Defizite im Krisenmanagement auf. Die überwiegende Mehrheit der befragten Unternehmen soll kein systematisches Vorgehen zum Umgang mit Datenschutzverstößen haben, knapp die Hälfte zudem keine definierten Vorgaben, wie Kunden über den Umgang mit ihren Daten zu informieren sind. (sa)


Kategorien: Allgemein
Schlagwörter:

Colgate-Palmolive: „Bring Your Own Device“-Programm

16. August 2011

Nach Berichten des Technology Review wurde bei dem Unternehmen Colgate-Palmolive ein „Bring Your Own Device“ (BYOD)-Programm ins Leben gerufen, das Mitarbeitern die Nutzung privater Smartphones und Tablets für dienstliche Zwecke ermöglicht. Interessierte Mitarbeiter müssen zur Teilnahme ihr privates Smartphone oder Tablet über eine Website registrieren, die IBM-App Traveler herunterladen und können sodann Zugriff auf ihren dienstlichen Kalender und ihre dienstlichen E-Mails nehmen. Über die IBM-Software kann das Unternehmen wiederum Firmendaten aus der Ferne löschen und damit sicherstellen, dass bei Verlust oder Diebstahl eines privaten Smartphones oder Tablets bzw. bei Ausscheiden eines Mitarbeiters keine Interna unbefugt zur Kenntnis genommen werden können.

Mittels des Programms soll dem allgemein verbreiteten Trend entgegengewirkt werden, dass viele Mitarbeiter ohne offizielle Gestattung ohnehin Consumer-Geräte zur Erledigung dienstlicher Aufgaben verwenden und damit nicht unerhebliche Sicherheitsrisiken schaffen. Zudem erwartet Colgate-Palmolive eine langfristige Kostenersparnis, da zum einen keine Anschaffungskosten für Geräte entstehen und zum anderen bei Firmengeräten anfallende Lizenzgebühren eingespart werden. Die Mitarbeiterschaft soll nach Angaben des Unternehmens das Programm sehr positiv annehmen. Schon am ersten Tag des Programms sollen sich 400, mittlerweile über 2500 Mitarbeiter registriert haben. (sa)

Kategorien: Allgemein
Schlagwörter:

Deutsche Post: Irreführende Werbung für den E-Postbrief

15. August 2011

In einer Werbekampagne behauptete die Deutsche Post über den seit Mitte Juli des vergangenen Jahres angebotenen E-Postbrief, er mache E-Mails ebenso „sicher und verbindlich“ wie den papiergebundenen Brief und übertrage „die Vorteile des klassischen Briefes ins Internet“. Dagegen hat der Verbraucherzentrale Bundesverband e.V. Klage mit der Begründung eingereicht, dass Verbraucher wichtige Fristen versäumen könnten, würden sie den Werbeaussagen der Deutschen Post Glauben schenken und den E-Postbrief als gleichermaßen verbindlich wie einen papiergebundenen Brief einordnen.

Nach Angaben des Spiegel bestätigte das Landgericht Bonn nun in einem noch nicht rechtskräftigen Beschluss, dass die Werbeaussagen tatsächlich irreführend seien. In vielen Bereichen, z.B. bei der Kündigung von Wohnraummietverträgen, sei die Schriftform nebst eigenhändiger Unterschrift nach wie vor zwingend. Eine sichere elektronische Signatur gebe es hingegen bei dem von der Deutschen Post beworbenen E-Postbrief nicht, so dass dieser nicht als Ersatz für den herkömmlichen Brief dienen könne. (sa)

Veranstaltungshinweis: „Datenschutz in der Assekuranz – Haftungsrisiken im Zuge von Kooperationen“ in Leipzig

11. August 2011

Wir möchten Sie heute auf einen Workshop zum Thema „Datenschutz in der Assekuranz – Haftungsrisiken im Zuge von Kooperationen“ hinweisen.

Dieser Workshop wird im Rahmen der Veranstaltung „Partnerkongress der Leipziger Foren – Aktuelle Trends aus Wissenschaft und Praxis“, welche durch die Versicherungsforen Leipzig GmbH organisiert wird, veranstaltet und wird fachlich von Herrn Dr. Karsten Kinast geleitet. Die Veranstaltung findet am Mittwoch den 28. September von 9.30-16.00 Uhr in dem Mediencampus Villa Ida in Leipzig statt. (se)

Ermittlungen wegen Denial of Service-Attacken

10. August 2011

Medienberichten zufolge ermitteln das Bundeskriminalamt und die Generalstaatsanwaltschaft Frankfurt gegen vier Beschuldigte in Mecklenburg-Vorpommern, Nordrhein-Westfalen, Hessen und Niedersachsen wegen banden- und gewerbsmäßiger Erpressung und Computersabotage.

Die Beschuldigten sollen auf Server von rund 30 Online-Shop-Betreibern Denial of Service-Attacken (DoS-Attacken), bei denen Gegenstellen mutwillig durch das Absenden einer hohen Zahl an Anfragen überlastet und in Folge arbeitsunfähig gemacht werden, durchgeführt haben. Den geschädigten Unternehmen soll durch die zeitweise eingetretene Blockade eine Umsatzeinbuße von mindestens 100.000 Euro entstanden sein. Den Beschuldigten wird zudem vorgeworfen, weitere DoS-Attacken in Aussicht gestellt zu haben, wenn die Betreiber der Online-Shops keine Zahlungen – zwischen 50 und 250 Euro – leisten. Die Wohnungen der 17- 23 jährigen Beschuldigten sind nach Angaben der Generalstaatsanwaltschaft bereits durchsucht worden, von dem Erlass von Haftbefehlen wurde aus Verhältnismäßigkeitsgründen abgesehen. (sa)
Kategorien: Allgemein
Schlagwörter: ,

Kritik an „GEZ-Klausel“ in Rundfunkänderungsstaatsvertrag

9. August 2011

Im neuen Rundfunkänderungsstaatsvertrag, der im Dezember des vergangenen Jahres verabschiedet wurde, von den Landesparlamenten jedoch noch bis zum Ende dieses Jahres bestätigt werden muss, ist eine Klausel vorgesehen, wonach Eigentümer und vergleichbare dingliche Berechtigte der Gebühreneinzugszentrale (GEZ) beim Auffinden zunächst nicht ermittelbarer Mieter durch Abgabe von Informationen Hilfe zu leisten haben. § 9 des Rundfunkänderungsstaatsvertrags sieht ein entsprechendes Auskunftsrecht der zuständigen Landesrundfunkanstalt vor. Im Einzelfall kann die Landesrundfunk- anstalt außerdem weitere Daten erheben, die über die vom Beitragsschuldner bei der Anmeldung selbst abzugebenden Informationen hinausgehen, sofern diese „erforderlich“ sind.

Sowohl Vermieterverbände als auch Datenschützer kritisierten diese Neuregelung vehement. Haus- und Wohungseigentümer würden genötigt, Mieter zu bespitzeln, bemängelt der Verbandsdirektor von „Haus und Grund“ in Schleswig-Holstein. Seitens des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein wird angesichts der Formulierungen vermutet, dass weiterhin eine ‚Beitragsspitzelei‘ geplant sei. Weiterhin reichten die Melderegisterdaten, auf die die GEZ ohnehin Zugriff habe, zur Ermittlung von Beitragszahlern aus, so dass es für den betreffenden Passus sachlich keine Rechtfertigung gebe. Es scheine eher so, als ob „die Schnüffelei durch die GEZ auf eine gesetzliche Grundlage gestellt werden soll“. (sa)
1 151 152 153 154 155 162