Hotelkette Hyatt: Malware auf Kassensystemen

30. Dezember 2015

Medienberichten zufolge sind die bei der Hyatt Hotels eingesetzten Zahlungssysteme in insgesamt 627 Hotels in 52 Ländern mit einer Malware infiziert, die geeignet ist, Kreditkartendaten abzuschöpfen. Nach Unternehmensangaben dauern die Untersuchungen derzeit an und man habe externe Cybersecurity-Experten hinzugezogen. Zudem seien für die Zukunft Schritte unternommen worden, um die Sicherheit zu stärken. Die Kunden werden gebeten, ihre Abrechnungen genau zu prüfen. Unberechtigte Abbuchungen müssten nicht hingenommen werden.

Kategorien: Allgemein
Schlagwörter: ,

Verbandsklagerecht bei Datenschutzverstößen

28. Dezember 2015

Der Deutsche Bundestag hat das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechtsverabschiedet.

Verbraucherverbände können künftig im Wege der Unterlassungsklage gegen Unternehmen vorgehen, wenn diese in für Verbraucher relevanten Bereichen gegen das Datenschutzrecht verstoßen. Dies gilt insbesondere bei Datenverarbeitung für Werbung, Persönlichkeitsprofile sowie Adress- und Datenhandel. Bislang war das allein Aufgabe der Datenschutzbeauftragten des Bundes und der Länder.

„Das ist ein wichtiger Schritt zum besseren Schutz unserer Daten. Endlich bekommen Verbände bei Datenschutzverstößen ein Klagerecht. Personenbezogene Daten sind für den Wirtschaftsverkehr von unermesslicher Bedeutung. Beim Surfen, in sozialen Netzwerken oder einfach bei der Handynutzung spielen sie eine riesige Rolle. Wir müssen uns darauf verlassen können, dass unsere Daten rechtlich geschützt sind und dieser Schutz auch durchgesetzt werden kann. Ein Missbrauch kann weitreichende und schwerwiegende Folgen haben. Alle darauf zu verweisen, ihre Recht einzeln einzuklagen, ist oft ein stumpfes Schwert.“, kommentierte der Bundesminister der Justiz und für Verbraucherschutz Maas die Gesetzesverabschiedung.

Frohe Weihnachten!

23. Dezember 2015

Nach einer kurzen Winterpause werden wir, wie gewohnt, an dieser Stelle wieder einige interessante und relevante Meldungen rund um das Thema Datenschutz zusammentragen.
Bis dahin wünscht das Team von datenschutzticker.de allen Lesern ein frohes Weihnachtsfest!

Kategorien: Allgemein
Schlagwörter:

Dating-Portale: Augen auf bei der Partnersuche im Netz!

21. Dezember 2015

Die Datenschutzaufsichtsbehörden von Bayern, Baden-Württemberg, Berlin und Hamburg haben im Rahmen einer gemeinsam angelegten bundesweiten Prüfaktion insgesamt 21 Partnerbörsen einer datenschutzrechtlichen Prüfung unterzogen. Gravierende Mängel, so das allgemeine Fazit der Behörden, seien nicht festgestellt worden. Allerdings gebe es mehrere Bereiche, in denen die Dating-Portale – aus bayerischer Sicht – datenschutzrechtlichen Nachbesserungsbedarf aufweisen.

Technischer Datenschutz (Fragen der Datensicherheit)

So sei es „extrem negativ aufgefallen“, dass sämtliche überprüften Dating-Portale ein unzureichendes Anmeldeverfahren praktizieren würden, da neben der Angabe der E-Mail-Adresse oder eines Pseudonyms meist nur ein als „unsicher“ zu qualifizierendes Passwort (z. B. ohne Komplexitätsvorgaben, nur aus drei bis sechs Stellen bestehendes Passwort) gefordert werde.

Umgang mit Auskunftsersuchen

Zwar sei positiv aufgefallen, dass bei Tests dem gesetzlich verankerten Anspruch auf Erteilung einer Auskunft über die gespeicherten Daten in der Regel „schnell und zuverlässig“ entsprochen worden. Allerdings seien die Anforderungen an den Nachweis der Berechtigung des Auskunftsbegehrens oftmals als zu gering einzustufen, sodass sich der Schutz der Nutzerdaten im Portal leicht aushebeln lasse.

Datenschutzbestimmungen, AGB und Nutzungsbedingungen

Eigentlich sollen Datenschutzbestimmungen ebenso wie allgemeine Geschäftsbedingungen, Nutzungsbedingungen und Einwilligungserklärungen dazu dienen, den Nutzer darüber zu informieren, welche personenbezogenen Daten konkret erhoben werden und wie mit diesen umgegangen wird, bevor er entsprechende Erklärungen abgibt oder Daten preisgibt. Die dadurch angestrebte Transparenz sei in vielen Fällen jedoch nicht oder nur rudimentär vorhanden.

Identifizierung und Altersverifikation

Einige der Portal-Betreiber würden zur Identifizierung und Altersverifikation Kopien des Personalausweises des Nutzers anfordern. Dieses Verfahren sei in der Praxis allerdings häufig unzulässig. Im Nachgang der Prüfung müsse man daher alternative Verfahren erörtern.

Zugriff auf Kommunikationsinhalte

Überraschend habe man festgestellt, dass nahezu alle Portal-Betrieber Einblick in die Kommunikationsinhalte der Nutzer nehmen (z. B. im Rahmen von Chats). Dies sei den Nutzern auf Partnersuche häufig nicht bewusst. Dadurch werde in Grundrechte der Betroffenen eingegriffen und ein solches Vorgehen sei daher nur auf Grundlage einer ausdrücklichen Einwilligung der Kommunikationspartner zulässig.

Man werde nun die Portal-Betreiber über die Feststellung von Mängeln informieren und diese auffordern, die Mängel unverzüglich zu beheben – sofern sie diese Mängel im Prüfungsverfahren nicht selbst schon erkannt und behoben haben.

Kategorien: Allgemein
Schlagwörter: ,

EU-Datenschutzgrundverordnung kommt einen Schritt näher

16. Dezember 2015

Das europäische Parlament und der Rat der Europäischen Union haben am 15.12.2015 ihre Verhandlungen bezüglich des Entwurfs der EU-Datenschutzgrundverordnung beendet. Die Verordnung liegt nach der letzten Trilog-Runde noch nicht in der finalen vollständigen Fassung vor. Das EU-Parlament sowie die EU-Kommission haben bereits wesentliche Inhalte der Verordnung in Pressemitteilungen veröffentlicht. Zurzeit steht die Verabschiedung des Entwurfs durch den LIBE-Ausschuss aus. Dieser ist für Donnerstag, den 17.12.2015 in Strasbourg geplant. Aller Voraussicht nach wird die EU-Datenschutzgrundverordnung ab Anfang 2018 europaweit gelten.

Die EU-Datenschutzgrundverordnung wird die EU-Datenschutz-Richtlinie aus dem Jahr 1995 ablösen und damit europaweit dieselben Datenschutz-Standards einführen. Die Verordnung bezweckt einerseits, dass die von der Datenverarbeitung betroffenen Europäer ihre personenbezogenen Daten kontrollieren können. Gleichzeitig soll für Industrie und Wirtschaft Rechtssicherheit geschaffen werden.

Eine wesentliche Neuerung der Verordnung wird die Höhe der Sanktionen bei Datenschutzverstößen sein. Diese kann bis zu 4% des Jahresumsatzes der verantwortlichen Stelle betragen. Außerdem wird die Datenverarbeitung und -nutzung für verantwortlichen Stellen nur zu dem Zweck zulässig sein, für welchen der Betroffene seine ausdrückliche Einwilligung erklärt hat. Der Zweckbindungsgrundsatz, der im Bundesdatenschutzgesetz bereits verankert ist, wird mit in Krafttreten der Verordnung nicht mehr nur in Deutschland gelten.

Weiterhin wird die Bestellung eines Datenschutzbeauftragten für Unternehmen verpflichtend, die entweder besonders sensible Daten verarbeiten oder personenbezogene Daten von besonders vielen Betroffenen erheben. Die Verordnung wird eine Öffnungsklausel enthalten, die es den Mitgliedsländern ermöglicht, in ihrem Zuständigkeitsbereich auch eine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten festzulegen. Deutschland hat bereits angekündigt, hiervon Gebrauch machen zu machen und die bestehende nationale Regelung aufrechtzuerhalten.

Hinsichtlich des Schutzes von personenbezogenen Daten Minderjähriger konnten das europäische Parlament und der Rat der Europäischen Union sich nicht einigen. Unter welchen Voraussetzungen Kinder und Jugendliche – insbesondere in Sozialen Netzwerken wie Facebook oder Instagram – eine wirksame Einwilligung abgeben können, bleibt daher eine Angelegenheit, welche die Mitgliedsstaaten individuell regeln können.

Zeitgleich mit der Einführung der EU-Datenschutzgrundverordnung werden die Rechte der Europäer bei der Datennutzung und -verarbeitung durch Behörden verstärkt. Außerdem wird der Datenaustausch zwischen den verschiedenen nationalen Behörden zum Zwecke der Strafverfolgung und justiziellen Zusammenarbeit vereinfacht.

Sofern der LIBE-Ausschuss in dieser Woche dem Entwurf zustimmt, wird zu Beginn des nächsten Jahres das Europäische Parlament über die finale Fassung abstimmen. Die Mitgliedsstaaten haben dann 2 Jahre Zeit, die Verordnung in ihr jeweils national geltende Recht umzusetzen.

Update vom 17.12.2015:

In seiner heutigen Sitzung hat der LIBE-Ausschuss wie erwartet den vorgenannten Entwurf gebilligt. Am kommenden Montag, den 21.12.2015, wird dazu eine Pressekonferenz stattfinden.

Kanzleimonitor 2015/16: Kinast & Partner Top-10 Kanzlei im Datenschutzrecht

15. Dezember 2015

In der Studie Kanzleimonitor 2015·2016, zu der Unternehmensjuristen über ihre Zusammenarbeit mit Kanzleien befragt wurden, steht Kinast & Partner unter den 100 Spitzenkanzleien in Deutschland.

Im Datenschutzrecht befindet sich Kinast & Partner neben einigen Großkanzleien in der Spitzengruppe und belegt den 7. Rang, nachdem die Kanzlei im Vorjahr noch als „ Hidden Champion“ bewertet wurde.

In der Liste der im Datenschutzrecht von den Unternehmensjuristen persönlich empfohlenen Rechtsanwälten wird Dr. Kinast, Gründungspartner von Kinast & Partner, auf Platz 7 gelistet.

Die Studie des Bundesverbandes der Unternehmensjuristen e.V. (BUJ) untersucht auf empirischer Basis seit dem Jahr 2013 das Mandatierungsverhalten in den Rechtsabteilungen. Insgesamt 700 Unternehmen gaben in diesem Jahr 7.054 Empfehlungen für 749 Kanzleien in 31 verschiedenen Rechtsgebieten ab.

Kategorien: Allgemein

Einheitliche Regeln zur Cybersecurity – EU bringt die Richtlinie zur Netz- und Informationssicherheit (NIS) auf den Weg

10. Dezember 2015

Bereits seit Anfang 2013 arbeitet die EU an einheitlichen Vorschriften zur Gewährleistung der europaweiten Netzwerk- und Informationssicherheit. Der zu diesem Zweck verabschiedete Cybersecurity-Plan beinhaltete bereits einen ersten Entwurf der Network Information Security Directive.

Am 08. Dezember 2015 konnte zwischen Vertretern der EU-Kommission, des Europaparlaments und der Mitgliedstaaten eine Einigung über eine vorläufige Endfassung der Richtlinie erzielt werden.

Die Richtlinie begründet eine Verpflichtung der EU-Mitgliedsstaaten Betreiber und Anbieter „essentieller Dienstleistungen“, die für das soziale oder wirtschaftliche Leben in den Bereichen Energie, Transport, Finanzen, Gesundheit, Wasserversorgung und Digitale Infrastruktur wesentlich sind, zu benennen.

Diese Unternehmen sind zukünftig verpflichtet, angemessene Schutzmaßnahmen zur Gewährleistung der IT-Sicherheit zu treffen und schwerwiegende Vorfälle an die nationalen Behörden zu melden.

Für die Digitale Infrastruktur als wesentlich gelten nach der Richtlinie auch große Internet-Service-Provider, wie Online-Marktplätze, Suchmaschinen und Cloud-Anbieter. In diesem Zusammenhang werden Amazon, Google und Ebay ausdrücklich genannt.

Im Gegensatz zu dem ersten Entwurf der Richtlinie sind der öffentliche Sektor, kleine und mittlere Unternehmen sowie soziale Netzwerke nicht mehr von der vorläufigen Endfassung erfasst.

Die EU-Kommission begrüßt die Einigung in ihrer Pressemitteilung vom 08. Dezember 2015 und verweist auf die 21-monatige Umsetzungsfrist nach der formellen Verabschiedung der Richtlinie. Den Mitgliedsstaaten wird nach Ablauf der Umsetzungsfrist eine weitere Frist von 6 Monaten zur Benennung der relevanten Unternehmen eingeräumt.

Neues E-Health-Gesetz begegnet datenschutzrechtlichen Bedenken

9. Dezember 2015

Am vergangenen Freitag wurde das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“, das sogenannte E-Health-Gesetz, verabschiedet. Es regelt die digitale Nutzung und den Austausch von Patientendaten. Ärzte sollen danach zukünftig bei einem Notfall in der Lage sein, von der Gesundheitskarte des Patienten Informationen über seine Vorerkrankungen, Allergien und die ihm verschriebenen Medikamente abzurufen.

Nach den Plänen von Bundesgesundheitsminister Gröhe soll Mitte des Jahres 2016 mit der Online-Anbindung von Krankenhäusern und Arztpraxen an die telematische Infrastruktur begonnen werden. Problematisch ist jedoch, dass bis dahin die notwendigen Tests, die unter anderem Aufschluss über die Datensicherheit der Kommunikationsvorgänge zwischen Praxen und Krankenhäusern einerseits und den gesetzlichen Krankenversicherungen anderseits geben sollen, voraussichtlich nicht abgeschlossen sein werden. Vor allem werden Erkenntnisse darüber erwartet, ob die Sicherheit der Stammdaten gewährleistet ist und die Daten-Überprüfung bzw. Aktualisierung tatsächlich in wenigen Sekunden erfolgen kann. So bewertete auch die gesundheitspolitische Sprecherin der Grünen-Fraktion, Maria Klein-Schmeink, die Regelungen zum Datenschutz im E-Health-Gesetz als unzureichend, wie ihre Fraktion auch in ihrem Antrag vor dem Bundestag klarstellte. Es bleibt daher abzuwarten, ob der Zeitplan des Bundesgesundheitsministers tatsächlich eingehalten werden kann und welcher Änderungen die Telematikinfrastruktur noch bedarf.

Bayern: Datenschutzverstöße bei der Anforderung von Kontoauszügen durch Sozialbehörden

7. Dezember 2015

Der Bayerische Landesbeauftragte für den Datenschutz Petri hat bei etwa 120 bayerischen Sozialbehörden geprüft, ob bei der an Antragsteller von Sozialleistungen gerichteten Anforderung von Kontoauszügen, z. B. um die Angaben zum Einkommen zu kontrollieren, die Vorgaben des Sozialgesetzbuchs und der Rechtsprechung eingehalten werden. Als ernüchterndes Ergebnis wurde festgestellt, dass eine sehr unterschiedliche Vorgehensweise herrscht und zudem die meisten Sozialbehörden  jedenfalls nicht alle datenschutzrechtlichen Vorgaben einhalten.

So dürfen beispielsweise Sozialbehörden von Antragstellern Kontoauszüge lediglich für einen Zeitraum von bis zu drei Monaten anfordern. Die Anforderung von Kontoauszügen von länger zurückliegenden Zeiträumen ist nur ausnahmsweise erforderlich. In solchen Ausnahmefällen muss die Behörde die Gründe dafür dokumentieren. Demgegenüber forderte nach den Prüfergebnissen des Bayerischen Landesbeauftragten für den Datenschutz eine Reihe der geprüften Sozialbehörden Kontoauszüge pauschal für deutlich längere Zeiträume an.
Auch sind die Antragsteller berechtigt, auf ihren Kontoauszügen bei den Ausgaben den Überweisungszweck bzw. den Empfänger schwärzen, sofern es sich um „besondere Arten personenbezogener Daten“ (=Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, § 3 Abs. 9 BDSG) handelt. Nur etwa die Hälfte der Sozialbehörden soll sich an diese rechtlichen Vorgaben gehalten haben, die Übrigen sollen ausdrücklich keinerlei Schätzungen akzeptiert haben. Ferner seien nur wenige Behörden der Pflicht nachgekommen, auf das Recht zur Schwärzung hinzuweisen.

„Meine Prüfung ist noch nicht abgeschlossen. Ich habe die Sozialbehörden aufgefordert, die jeweils festgestellten Mängel zu beheben und mir über die ergriffenen Maßnahmen zu berichten. Außerdem behalte ich mir punktuelle weitere Überprüfungen vor Ort ausdrücklich vor.“, so Petri zu dem Stand der Prüfungen.

 

Fluggastdatenspeicherung innerhalb der EU

Etwa fünf Jahre wurde darüber diskutiert, auch wir haben schon darüber berichtet und nun haben sich die Innenminister der EU geeinigt: Die Daten von Flugpassagieren innerhalb der EU sollen künftig sechs Monate lang unter deren Klarnamen und anschließend fünf Jahre lang pseudonymisiert gespeichert werden. Das Europaparlament muss dem Entwurf der Fluggastdatenrichtlinie noch zustimmen, was nach Medienberichten unter Umständen bis Ende des Jahre geschehen soll.

Zu den Daten, die die Fluglinien an Behörden der EU-Mitgliedsländer weiterleiten müssen, gehören unter anderem Name, Adresse, Telefonnummer, E-Mail Adresse, Kreditkartennummer, Reiseziel, Ablaufdatum des Reisepasses bzw. Personalausweises, angegebene Essenswünsche etc. Als Oberbegriff für die Gesamtheit der Daten gilt der Begriff des „Passenger Name Record (PNR)“.

Ein PNR-Abkommen zwischen der EU und den USA besteht schon seit Langem und wird von Datenschutzorganisationen, wie z.B. der Art. 29 Datenschutzgruppe, immer wieder kritisiert.

Auch über die Einigung der EU-Innenminister über die Fluggastdatenspeicherung herrschen unterschiedliche Ansichten. Während die einen sie als effektive Anti-Terror-Maßnahme sehen, bemängeln andere eine blinde Datensammlung mit hohem Kostenaufwand.

 

 

Kategorien: Allgemein · Vorratsdatenspeicherung
Schlagwörter: ,
1 19 20 21 22 23 136