Praktische Fragen zur DS-GVO

14. Juli 2016

Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) erstellt derzeit, teilweise gemeinsam mit dem Bayrischen Landesbeauftragten für den Datenschutz, eine Reihe von kurzen Papieren zu konkreten Fragen der EU-Datenschutzgrundverordnung (DS-GVO). Ziel dieser Serie ist es, möglichst praktische Hilfestellungen zur Umsetzung der DS-GVO zu geben, die ab Mai 2018 in Kraft treten wird.

Nach Papieren zur Rolle der IT-Sicherheit sowie zu Fragen der Zertifizierung ist nun ein Papier zur Videoüberwachung nach der DS-GVO erschienen. Die Papiere sollen ein- bis zwei mal im Monat erscheinen und jeweils einzelne Schwerpunkt der DS-GVO beleuchten.

Privacy Shield in Kraft

Wie die EU-Kommission mitteilte, ist nun das neue Privacy Shield (EU-US-Datenschutzschild) in Kraft. Nach dem monatelangen Hin-und-Her gaben die US-Staatssekretärin Penny Pritzker und die EU-Kommissarin Vera Jourova nun den Angemessenheitsbeschluss der EU-Kommission sowie den Rahmen des Datenschutzschildes bekannt.

Diejenigen US-Unternehmen, die an dem Datenschutzschild teilnehmen möchten, müssen bestimmte Regeln zum Schutzniveau der Datenverarbeitung einhalten und können sich in eine entsprechende Liste beim US-Handelsministerium eintragen lassen. Die Liste soll regelmäßig überprüft und aktualisiert weden.

Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden auf Gründe der Strafverfolgung oder der nationalen Sicherheit beschränkt und nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sei.

Von dem Datenschutzschild sollen nicht nur die Unternehmen auf beiden Seiten des Atlantiks profitieren, sondern auch die EU-Bürger. Für sie soll es mehr Beschwerde- und Auskunftsrechte direkt in den USA geben. Hierfür wird die Kommission voraussichtlich im August einen kurzen Leitfaden für Bürger zur Erläuterung der Rechtsbehelfe veröffentlichen.

Nach der Einigung haben US-Unternehmen aktuell nun Gelegenheit, den Rahmen zu überprüfen und Anpassungen zur Einhaltung der Regeln in ihrem Unternehmen vorzunehmen. Ab dem 1. August können sie sich dann eine entsprechende Bescheinigung vom US-Handelsministerium ausstellen lassen.

Dass die Vorstellungen in Sachen Datenschutz von USA und EU mitunter weit auseinander gehen, war allen Beteiligten klar. Der nun vorliegende Angemessenheitsbeschluss ist jedoch ein wichtiger Schritt zu mehr Rechtssicherheit für alle EU-Unternehmen, die Daten mit US-Unternehmen austauschen und für die seit dem Wegfall von  Safe-Harbour Ende 2015 große Unsicherheit herrschte.

 

Worldwide Data Protection News on our privacy-ticker.com

5. Juli 2016

Data protection should not know any borders, this is why we started to publish international news on privacy and data protection in an own blog. Please subscribe it using www.privacy-ticker.com/newsletter or just visit www.privacy-ticker.com.

Some of last months’ topics were:
Agreement by EU and U.S. negotiators on final changes on the Privacy Shield
The future of privacy rules after UK´s referendum to leave the EU
French DPA launches public consultation on GDPR
Belgian DPA against Facebook for tracking of non-users
Customer passwords from Deutsche Telekom are for sale on the dark web
German courts ruled: WhatsApp has violated the Telemedia Act
Verizon publishes Data Breach Investigations Report 2016: Phishing attacks trend upwards
Microsoft acquires LinkedIn: privacy issues arise
Accountability initiative by the EDPS: achieving compliance with the GDPR
The role of the DPO´s under the new GDPR: the German reference

Thank you.

Was hat der Brexit mit dem Datenschutz zu tun?

29. Juni 2016

Nachdem am vergangenen Freitag das Ergebnis der Brexit-Abstimmung bekannt gegeben wurde, beginnt nun die Phase der Umsetzung des Austritts.

Von allen grundlegenden rechtlichen und politischen Schwierigkeiten einmal abgesehen bedeutet der Brexit aus datenschutzrechtlicher Sicht, dass Großbritannien nach Vollzug des Austritts künftig als sog. Drittland gelten wird. Das bedeutet, dass Großbritannien auf andere Art und Weise ausreichende Sicherheit für die Verarbeitung von Daten gewährleisten muss.

Unternehmen, die Daten nach Großbritannien übermitteln, sollten sich hierauf einstellen und schon jetzt überlegen, wie sie die Datenübermittlung künftig gestalten wollen.

Update zum Privacy Shield

Das Privacy Shield, der Nachfolger des im Oktober 2015 für ungültig erklärten Safe Harbours, kommt nun vielleicht doch schneller als gedacht.

Nach Berichten von ZEIT Online und der BBC haben sich die EU-Kommission und die US-Regierung nun endgültig geeinigt. Da jedoch kurz darauf die Entscheidung über den Brexit bekannt gegeben wurde, ging die Meldung bisher unter.

Auch wenn schon im Februar eine Einigung über das Privacy Shield bekannt gegeben wurde, so musste die EU-Kommission auf Grund der Vielzahl der Kritiken noch einmal nachbessern.

Dies ist angeblich nun geschehen, auch wenn ein Entwurf bisher nur dem Artikel-31-Ausschuss vorliegt. Ob die wesentlichen Kritikpunkte, wie die massenhafte Speicherung und Überwachung der Daten durch US-Dienste, nun hinreichend geklärt sind, wird sich zeigen.

Für Unternehmen, die Daten in die USA übermitteln, sind dies spannende Zeiten, da die ersten Bußgelder wegen unzulässiger Datenübermittlugn in die USA bereits verhängt wurden.

Risiko BYOD: über 90% der Organisationen im Gesundheitssektor von Datendiebstahl betroffen

23. Juni 2016

Laut einer Studie  des US-Konzerns Forcepoint wurden in den vergangen zwei Jahren 91 Prozent der Organisationen im Gesundheitssektor Opfer von Datendiebstahl.

Als größtes Risiko hat der Anbieter von Software-Lösungen zur IT-Sicherheit vor allem den Einsatz privater Endgeräte wie Smartphones in der betrieblichen IT-Umgebung ausgemacht.

So wäre es heute Praxis, dass zum Beispiel Ärzte sowohl im Rahmen der Forschung als auch der Patientenuntersuchung ungehinderten und räumlich unabhängigen Zugang zu elektronischen Patientenakten benötigen und dabei regelmäßig über ihre Privatgeräte auf Datenbanken zugreifen, Patientendaten versenden und empfangen.

In Deutschland herrscht nach Aussage der Studie noch weitgehende Unklarheit, welche Sicherheitsmaßnahmen in Bezug auf Patientendaten das sogenannte E-Health-Gesetz  künftig verlange. Den meisten Krankenhäusern attestiert das Unternehmen deutliche Missstände hinsichtlich Präventivmaßnahmen zu einer frühzeitigen Angriffserkennung und fehlenden Überblick über die im Betrieb eingesetzte „Schatten-IT“ durch den Einsatz privater Endgeräte.

Facebook implementiert „Local Awareness“-Funktion

Eine neue Funktion im sozialen Netzwerk Facebook bietet Dienstleistern neuerdings die Möglichkeit ihren tatsächlichen Erfolg von Werbeanzeigen in dem Netzwerk zu verifizieren. Hierbei können die Händler ihre Angebote auf Facebook mit einem geographisch definierten Gebiet verbinden. Bekommt anschließend ein Nutzer einer Werbeanzeige angezeigt und betritt mit eingeschalteter Ortungsfunktion im Mobilfunkgerät ein Geschäft des Händlers in dem Gebiet, wird dies durch Facebook registriert. Zudem sollen mit Hilfe von Programmierschnittstellen zwischen den Kassensystemen der Händler und Facebook tatsächlich getätigte Einkäufe erfasst werden können. Facebook gab an, dass die Händler die Kunden jedoch nicht einzeln erfassen könnten.

Die Verbraucherzentrale und das Smart-TV

16. Juni 2016

Wie die Verbraucherzentrale NRW mitgeteilt hat, hat das Landgericht Frankfurt ihrer Klage gegen die Samsung Electronics GmbG statt gegeben.

Grund waren die Datenschutzbestimmungen des Smart-TVs von Samsung, die nach Auffassung der Verbraucherzentrale und des Landgerichts intransparent sind und nicht den gesetzlichen Bestimmungen entsprechen. Konkret heißt es: „Datenschutzbestimmungen, die auf 56 Bildschirmseiten eines Smart-TV im Fließtext ohne Verwendung von Abschnitten und Überschriften dargestellt werden, sind wegen ihrer Länge und Unübersichtlichkeit intransparent und keine geeignete Grundlage für eine Einwilligung in die Datenerhebung und -verwendung.“

Darüber hinaus hat das Gericht (das die 56 Smart-TV-großen Seiten ja auch lesen musste), einzelne Klauseln beanstandet, insbesondere die verwendete Einwilligungsklausel, die nach Ansicht des Gerichts nicht den gesetzlichen Anforderungen entsprach.

Damit hat die Verbraucherzentrale NRW erfolgreich von der Änderung des Unterlassungsklagegesetzes Gebrauch gemacht, wonach neuerdings auch Verbraucherzentralen Datenschutzverstöße mahnen und ahnden dürfen.

„Cyber-Feuerwehr“ des BSI

Wie heise online berichtet, will das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig eine „Cyber-Feuerwehr“ zur Unterstützung von IT-Unternehmen ins Leben rufen. Die Mannschaft wird wohl voraussichtlich 20 Personen stark sein und konkrete Hilfestellungen geben, damit die angegriffene IT-Infrastruktur möglichst zügig wieder in eine annehmbar stabile Lage kommt. Falls alles klappt, soll die „Cyber-Feuerwehr“ ab 2017 ihre Arbeit beginnen.

Hintergrund ist vermutlich unter anderem die seit Juli 2015 auf Grund des IT-Sicherheitsgesetzes bestehende Pflicht für Betreiber kritischer Infrastrukturen, schwere Angriffe auf ihre Computer-Systeme an das BSI zu melden. Viele Unternehmen scheuen sich jedoch davor, einen Angriff zu melden da sie um ihren Ruf fürchten oder Angst haben, interne Daten preiszugeben. Ziel der „Cyber-Feuerwehr“-Gründung sei es, Unternehmen zu unterstützen und ihnen Mut zu machen, bei einer Attacke um Hilfe zu bitten.

Lesenswerte Broschüre zum Datenschutz im Krankenhaus

Der Bayrische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hat eine Broschüre zum Datenschutz im Krankenhaus veröffentlicht. Was zunächst recht träge klingt, ist anschaulich, lebendig und verständlich geschrieben. Die Broschüre begleitet einen (fiktiven) Patienten bei seinem Krankenhausbesuch. Dabei werden selbstverständlich verschiedene Daten des Patienten erfasst und verarbeitet, teilweise aber auch schon vorhandene Daten wieder aufgerufen oder an andere Stellen übermittelt. Die Fragen, die sich dem Patienten dabei stellen, werden in der Broschüre kurz und übersichtich beantwortet.

Insgesamt hat es der Bayrische Landesbeauftragte für den Dateschutz damit geschafft, eine durchaus lesenswerte Lektüre zu erstellen, nicht nur für Patienten.

1 19 20 21 22 23 144