Sensible Daten auf Smartphones werden zu wenig geschützt

9. November 2016

Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.

Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.

Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist („Bring your own device – BYOD“), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

Überprüfung durch die Datenschutz-Aufsichtsbehörden

7. November 2016

Seit November 2016 kontrollieren die Datenschutz-Aufsichtsbehörden von 10 Bundesländern einige deutschlandweit ausgewählte Unternehmen, dahingehend, ob der internationale Datentransfer datenschutzkonform ausgestaltet ist.

Einer Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zufolge werden die Unternehmen nach dem Zufallsprinzip ausgewählt. Die Behörden achten darauf, dass die Unternehmen verschiedener Größe und aus unterschiedlichen Branchen sind. Die ausgewählten Unternehmen müssen einen detaillierten Fragebogen ausfüllen. Sofern die datenschutzrechtlichen Anforderungen nicht erfüllt sind ist mit Folgemaßnahmen zu rechnen.

Zweck dieser Kontrolle ist zum einen die Überprüfung der Unternehmen hinsichtlich der Übermittlung personenbezogener Daten in das Nicht-EU-Ausland. Zum anderen soll auch eine Sensibilisierung der Unternehmen bezüglich des Problembewusstseins beim Umgang mit der Übermittlung personenbezogenen Daten erreicht werden.

 

 

Bundesrat genehmigt umstrittene Gesetzesreform: Telekommunikationsnetze dürfen vom BND angezapft werden

4. November 2016

Erst am 21.Oktober wurde die Reform bezüglich der BND-Netzüberwachung vom Bundestag beschlossen und ist schon mit dem heutigen Tage von der Länderkammer genehmigt worden.

Bei der Reform geht es um die strategische Telekommunikationsüberwachung durch den Bundesnachrichtendienst (im Folgenden BND). Was der BND bislang mehr oder minder legal durchgeführt hat, bekommt jetzt eine legale Grundlage, aufgrund derer der BND im großen Stil vom Inland aus personenbezogene Daten mit Auslandsbezug erheben, für 6 Monate auf Vorrat speichern und durchrastern kann.

Diese umfassenden Überwachungsbefugnisse stießen nicht überall auf Zustimmung. Sowohl die Opposition im Bundesrat als auch der renommierte Verfassungsrechtler Hans-Jürgen Pieper äußerten ihre Bedenken. Letzterer bezeichnete die Abschöpfung der Daten sogar als verfassungswidrig. Trotz der Gegenstimmen konnte sich die große Koalition durchsetzen, sodass das Gesetz noch dieses Jahr in Kraft treten kann. Die Oppositionsparteien haben bereits angekündigt Verfassungsbeschwerde beim Bundesverfassungsgericht einzulegen. Es bleibt abzuwarten, ob diese Erfolg haben werden.

Französische Bürgerrechtsorganisationen reichen ebenfalls Klage gegen den „EU-US Privacy Shield“ ein

3. November 2016

Laut Next Impact haben nicht nur irische Datenschützer – wir berichteten bereits vergangene Woche darüber – Nichtigkeitsklage gegen den „EU-US Privacy Shield“ eingereicht, sondern auch drei französische Bürgerrechtsorganisationen, unter anderem Quadtrature du Net. Die drei Organisationen bezweifeln, dass der „EU-US Privacy Shield“ ausreichend Schutz vor den Risiken der Massenüberwachung durch die US-Geheimdienste bietet.

Zurzeit prüft das Gericht der Europäischen Union (EuG) auch die Zulässigkeit dieser Klagen. Hinsichtlich etwaiger Erfolgsaussichten der Klagen lassen sich zu diesem Zeitpunkt jedoch keine konkreten Aussagen treffen. In diesem Zusammenhang sollte allerdings nicht unerwähnt bleiben, dass sowohl das bayerische Landesamt für Datenschutzaufsicht als auch der nordrhein-westfälische Datenschutzbeauftragte der Ansicht sind, dass „sobald ein US-Unternehmen in dieser Liste [der aktiven zertifizierten sowie inaktiven Unternehmen] aufgeführt ist, […] der EU-US Privacy Shield auf der zweiten Stufe grundsätzlich herangezogen werden [kann], um die Daten in die USA zu übermitteln.“ Zumindest letzterer wolle sich dabei aber vorbehalten, Datenübermittlungen unter dem „EU-US Privacy Shield“ in Einzelfällen auszusetzen.

Derzeit sind bereits 500 US-Unternehmen, insbesondere Internet- und Cloud-Anbieter, EU-US Privacy Shield zertiziert und auf der offiziellen Liste des US-Handelsministeriums eingetragen.

 

Kategorien: Allgemein

Article 29 WP will release guidelines on the GDPR by the end of 2016

28. Oktober 2016

As Bloomber reports, the Article 29 WP will provide guidance on the GDPR soon. Isabelle Falque-Pierrotin, Chairwoman of the CNIL as well as of the Article 29 WP, acknowledged that the GDPR text is ambiguous in some aspects. Therefore, these guidelines aim at serving as an operational toolbox.

Amongst others, the guidance to the GDPR shall refer to the following aspects:

• The designation of the leading Supervisory Authority in case of complaints or in relation to other procedures. Moreover, aspects of the bilateral cooperation and competence to resolve disputes by the Supervisory Authorities and the European Data Protection Board shall be clarified.
• Guidance on the figure of Data Protection Officers is one of the priorities of the Article 29 WP, as it will play an essential role in companies on achieving GDPR compliance.
• The right to data portability has been regulated for the first time in the GDPR. This right will allow data subjects to access their data and transfer data to other data controllers, for example upon the change of telephone provider. The guidance should focus on its scope and implementation.
• The standard by which the proof of consent will take place, will have to be specified. This is especially important for small and medium-sized companies, for which a “simple pedagogical tool” will be developed.
• A formal guidance on the Privacy Shield will not take place until the EU Commission has reviewed its functioning after the first year, this is summer or early fall 2017.

At the moment, the Article 29 WP remains neutral with regard to the Brexit. However, Falque-Pierrotin remarked that the Privacy Shield may be also useful in UK regarding international data flows with the U.S.A.

Further guidance is also expected in 2017, especially regarding topics such as the EU-U.S. Privacy Shield and the implication of the Brexit in privacy issues.

———-
If you would like to read more articles about international data protection topics, we invite you to visit our international blog: www.privacy-ticker.com.

Klage gegen Privacy Shield vor dem Gericht der EU anhängig

Irische Datenschützer haben eine Klage gegen das EU-US Privacy Shield bei dem Gericht der Europäischen Union (EuG) eingereicht. Wie ZDNet berichtet, beabsichtige die Nichtregierungsorganisation Digital Rights Ireland mit ihrer Klage die Annulierung des Privacy Shields, da dieses nicht ausreichend Schutz für personenbezogene Daten gewährleiste. Zurzeit prüft der EuG die Zulässigkeit der Klage. Sofern er diese bejaht, wird im nächsten Schritt über den ausreichenden Umfang des Datenschutzes durch das Privacy Shield entschieden.

Das Privacy Shield ist Mitte Juli 2016 in Kraft getreten und ersetzt das Safe Habor Abkommen, welches der EuGH im Oktober 2015 für unzulässig erklärt hatte. Das Privacy Shield bildet für US und europäische Unternehmen die Rechtsgrundlage für den transatlantischen Datenaustausch.

Nun bleibt die Entscheidung des EuG über die Zulässigkeit der Klage abzuwarten.

Ausweitung der Videoüberwachung geplant

26. Oktober 2016

Wie aus einem Gesetzentwurf des Bundesinnenministeriums hervorgeht, will Thomas de Maizière die Befugnisse der Sicherheitsbehörden bei der Videoüberwachung erheblich ausbauen, so berichtet tagesschau.de. Der Entwurf, der dem ARD-Hauptstadtstudio vorliegt, nehme ausdrücklich Bezug auf die Terroranschläge von Ansbach und München in diesem Sommer, derartige Anschläge zu verhindern soll das Ziel des neuen sog. Videoüberwachungsverbesserungsgesetzes sein. Im Focus stünden insbesondere öffentliche Orte, die privatrechtlich betrieben werden, zum Beispiel Sportstätten, Parkplätze oder Einkaufszentren sowie Busse und Bahnen. Die Sicherheitsbelange der Bevölkerung seien künftig stärker zu berücksichtigen und bei der erforderlichen Abwägungsentscheidung mit größerem Gewicht einzubeziehen.

Der Gesetzesentwurf befinde sich zur Zeit in der Kabinettsabstimmung, noch im November solle das Bundeskabinett ihn auf den Weg bringen.

Durch ihn würden auch die einschlägigen Passagen des Bundesdatenschutzgesetzes (vgl. § 6b BDSG) geändert werden.

Über einen konkreten Einsatz derartiger Überwachungstechnik haben allerdings die Datenschutzbehörden der Länder zu entscheiden, die einer derartigen Videoüberwachung laut Innenministerium eher ablehnend gegenüber stünden.

Datenschutz – auch bei der Wohnungssuche

20. Oktober 2016

Im Rahmen einer Wohnungssuche werden häufig eine Vielzahl personenenbezogener Daten abgefragt und von den Wohnungssuchenden angegeben. Nun wurde bekannt, dass in Interessenten- und Suchformularen einiger großer Wohnungsbaugesellschaften personenbezogene Daten in erheblichem Umfang abgefragt und sodann unverschlüsselt übertragen wurden.

Die unverschlüsselte Übertragung via Internet stellt eine erhebliche Sicherheitslücke dar, die nun bei den betroffenen Unternehmen geschlossen werden muss.

Generell sollten Unternehmen, die die Kontaktaufnahme und Angabe personenbezogener Daten mittels eines Formulares auf ihrer Webseite ermöglichen stets auf eine ausreichende Verschlüsselung bei der Übertragung dieser Daten achten.

Kategorien: Allgemein
Schlagwörter: , ,

EuGH: IP-Adressen sind personenbezogene Daten und unterliegen damit dem Datenschutzrecht, aber…

…dürfen dennoch unter Umständen vom Bund gespeichert werden, um sich gegen Cyberattacken zu verteidigen. Dies verkündete der EuGH in seinem Urteil vom gestrigen Tage.

Der Kieler Piraten-Abgeordnete Patrick Breyer hatte gegen die Bundesrepublik Deutschland geklagt, weil die von ihm abgerufenen Webseiten von Einrichtungen des Bundes seine Internet-Protokolladressen (IP-Adressen) aufzeichnen und speichern. Dies habe eine einschüchterne Wirkung und behindere das unbeschwerte anonyme Surfen im Internet, so Breyer laut der Nachrichten-Webseite tagesschau.de.

Damit jedoch nicht genug – auch aus datenschutzrechtlichen Gründen sei das Aufzeichnen und Speichern der IP-Adressen als nicht zulässig anzusehen. Breyer beruft sich dabei auf das Telemediengesetz, wonach „personenbezogene Daten“ nur während der laufenden Verbindung gespeichert werden dürfen, nicht jedoch danach – es sei denn, sie werden noch zu Abrechnungszwecken benötigt. Aber sind IP-Adressen überhaupt personenbezogene Daten im Sinne des Telemedien- und Bundesdatenschutzgesetzes? Breyer behauptet „ja“, der Bund – wie soll es auch anders sein – hingegen „nein“: IP-Adressen seien schließlich dynamisch und würden bei jeder Einwahl ins Internet neu vergeben werden.

Die Luxemburger Richter urteilten nun, dass dynamische IP-Adressen eines Nutzers für den Betreiber der Webseite ein personenbezogenes Datum darstellen können, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, bestimmen zu lassen. Allerdings könne die Speicherung unter Umständen dennoch zulässig sein, wenn der Webseitenbetreiber ein berechtigtes Interesse habe. Die deutsche gesetzliche regelung schränke die Tragweite dieses Grundsatzes zu sehr ein, wenn es die Speicherung von „personenbezogenen Daten“ nur während der Internetverbindung oder während der Abrechung zulasse. Insbesondere müsse deutlicher zwischen dem berechtigten Interesse der Webseitenbetreiber und den Grundrechten und Grundfreiheiten des Nutzers abgewogen werden. Der EuGH sieht in Bezug auf den Bund dahingehend ein berechtigtes Interesse an der Speicherung der IP-Adresse, dass nur dadurch die Aufrechterhaltung der Funktionsfähigkeit der von ihm betriebenen Webseiten über die konkrete Nutzung hinaus gewährleistet werden könne.

Datenschutzcompliance und die EU-DSGVO: Nur drei Prozent der betroffenen Unternehmen haben einen Plan

14. Oktober 2016

Eine im Auftrag von Dell durch das Marktforschungsinstituts Dimensional Research durchgeführte Studie zum Stand der Vorbereitungen von Unternehmen auf die Europäische Datenschutzgrundverordnung hat alarmierende Ergebnisse hervorgerufen.

Befragt wurden weltweit gut 800 IT- und Wirtschaftsprofis, welche in kleinen, mittelgroßen und großen Unternehmen, die europäische Kundendaten verarbeiten, zuständig sind. Gegenstand der Fragen waren allgemeine Kenntnisse zur Datenschutzgrundverordnung, die Selbsteinschätzung hinsichtlich der Vorbereitung auf die Gesetzesänderung und Wissen über den erweiterten Sanktionsrahmen. Die Unternehmen wählten sie dabei in Australien, Belgien, Deutschland, Frankreich, Großbritannien, Hongkong, Indien, Italien, Kanada, den Niederlanden, Polen, Schweden, Singapur, Spanien sowie den Vereinigten Staaten aus.

Die Ergebnisse offenbaren deutliche Missstände, den Datenschutzrechtlichen Compliance-Anforderungen ab Mai 2018, wenn die Verordnung endgültig in Kraft tritt, zu erfüllen.

So gaben mehr als 80 Prozent der Befragten an, nur wenige bis gar keine Details zu wissen, über 70 Prozent fühlten noch nicht vorbereitet. Genauso viele gaben an, die Anforderungen nicht zu erfüllen oder gar  nicht erst zu wissen, ob und wie das gelinge. 97 Prozent der Unternehmen hatten nach eigener Einschätzung keinen Plan, wie man die datenschutzrechtliche Compliance künftig erfüllen solle.

Bessere Ergebnisse hatten Unternehmen aus Deutschland vorzuweisen, wo immerhin 44 Prozent der Befragten ihre Unternehmen gewappnet sehen.

Betroffene Unternehmen sollten sich in jedem Falle an den betrieblichen Datenschutzbeauftragten wenden, um auch für 2018 eine rechtskonforme Datenschutzpraxis sicherzustellen.

1 20 21 22 23 24 149