Fluggastdatenspeicherung innerhalb der EU

7. Dezember 2015

Etwa fünf Jahre wurde darüber diskutiert, auch wir haben schon darüber berichtet und nun haben sich die Innenminister der EU geeinigt: Die Daten von Flugpassagieren innerhalb der EU sollen künftig sechs Monate lang unter deren Klarnamen und anschließend fünf Jahre lang pseudonymisiert gespeichert werden. Das Europaparlament muss dem Entwurf der Fluggastdatenrichtlinie noch zustimmen, was nach Medienberichten unter Umständen bis Ende des Jahre geschehen soll.

Zu den Daten, die die Fluglinien an Behörden der EU-Mitgliedsländer weiterleiten müssen, gehören unter anderem Name, Adresse, Telefonnummer, E-Mail Adresse, Kreditkartennummer, Reiseziel, Ablaufdatum des Reisepasses bzw. Personalausweises, angegebene Essenswünsche etc. Als Oberbegriff für die Gesamtheit der Daten gilt der Begriff des „Passenger Name Record (PNR)“.

Ein PNR-Abkommen zwischen der EU und den USA besteht schon seit Langem und wird von Datenschutzorganisationen, wie z.B. der Art. 29 Datenschutzgruppe, immer wieder kritisiert.

Auch über die Einigung der EU-Innenminister über die Fluggastdatenspeicherung herrschen unterschiedliche Ansichten. Während die einen sie als effektive Anti-Terror-Maßnahme sehen, bemängeln andere eine blinde Datensammlung mit hohem Kostenaufwand.

 

 

Kategorien: Allgemein · Vorratsdatenspeicherung
Schlagwörter: ,

Safe Harbor und die Folgen – Fragen und Antworten im Webinar von marktforschung.de

4. Dezember 2015

Auch an dieser Stelle wurde das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) umfassend diskutiert. Manche Kommentatoren mögen in der Tatsache, dass der EuGH die Grundsatzentscheidung der EU-Kommission zum Safe Harbor-Abkommen aus dem Jahr 2000 für ungültig erklärt hat, ein deutliches Signal, wenn ich gar einen kleinen Sieg gegen die Überwachungsmethoden der USA gesehen haben – vor allem die Spionagemethoden der NSA haben das Vertrauen der Bürger in die Datenschutzpolitik der Vereinigten Staaten nachhaltig beschädigt und die Debatte emotionalisiert.

In der Wirtschaftswelt, vor allem solchen Unternehmen, die transatlantisch operieren, ist die Freude erwartungsgemäß verhalten ausgefallen, die Verunsicherung hingegen groß.

Zum 1. Februar 2016 endet die Übergangsfrist, in welcher die nationalen Aufsichtsbehörden eine Lösung zur Datenübermittlung in die USA im Rahmen von EU-Standardvertragsklauseln noch akzeptieren. Was danach kommt, ist ungewiss. Die Aufsichtsbehörden werden aber mit Sicherheit die Umsetzung der EuGH-Entscheidung vorantreiben – Sanktionen wie vor allem Bußgelder sind dann nicht mehr ausgeschlossen, aber auch die Kappung von relevanten Systemen kann Unternehmen drohen, die nicht reagiert haben.

Bleibt das bange Warten, ob und unter welchen Voraussetzungen bis dahin die Politik ein neues „Safe Harbor 2.0“ auf die Beine gestellt bekommt, welches dann auch von den Datenschutzinstitutionen wie auch vom Gericht akzeptiert wird.

Und dann ist da noch der Ausblick auf die Europäische Datenschutzgrundverordnung, welche aller Voraussicht nach im kommenden Jahr verabschiedet wird, und dann ab 2018 in Kraft tritt – inklusive „Marktortprinzip“, welches eine Verarbeitung europäischer Daten auch außerhalb der EU die Regelungen der EU-Verordnung verbindlich vorschreiben wird.

Einen Überblick über die Hintergründe des Urteils, die Reaktionen und die Folgen, sowie die Gelegenheit zu Frage und Antwort bietet das Portal für Markt-, Medien- und Meinungsforschung marktforschung.de in dem Webinar Q&A zum Thema „Safe Harbor“ am 7. Januar 2016, 11 Uhr, in dem der Externe Datenschutzbeauftragte und Rechtsanwalt Dr. Karsten Kinast von der Kanzlei Kinast & Partner Rede und Antwort stehen wird.

Eine Anmeldung ist bis zum Veranstaltungsbeginn unter diesem Link möglich.

Bedenken gegen Online-Kurse von Unis

3. Dezember 2015

So genannte MOOCs, massive open online courses, werden inzwischen auch von deutschen Universitäten, wie beispielsweise der LMU München, angeboten. Insbesondere aus datenschutzrechtlicher Sich begegnen sie jedoch erheblichen Bedenken, wie Recherchen von NDR, Süddeutscher Zeitung und des SRF jetzt gezeigt haben.

In diesen Online-Kursen können Studenten aus der ganzen Welt an Vorlesungen renommierter Professoren teilnehmen, die für sie mit Videos attraktiv aufbereitet werden und die Möglichkeit vorsehen, sich mit den Dozenten und anderen Studenten auszutauschen. Bei der LMU München werden die Inhalte dieser Kurse durch das kalifornische Start-up Coursera vorbereitet, dem Weltmarktführer auf diesem Gebiet.

Das für Coursera geltende amerikanische Recht sieht allerdings vor, dass die dem Unternehmen durch die Kurs-Anmeldung vorliegenden Daten für alle möglichen weiteren Zwecke verarbeitet und genutzt werden dürfen – laut der Recherche-Gruppe sehen die Verträge mit Coursera sogar vor, dass die personenbezogenen Daten der Teilnehmer an Arbeitgeber oder Personalvermittler verkauft werden dürfen. Die Zahl der Betroffenen ist dabei enorm: Weltweit soll es sich um rund 16,5 Millionen Nutzer handeln.

Auch in Punkto Transparenz handelt das Unternehmen alles andere als vorbildlich: Eine Anfrage der Recherchierenden, welche Daten genau gespeichert werden und was damit im Einzelnen geschieht, ließ Coursera unbeantwortet. Es steht zu befürchten, dass ganze Nutzerprofile (welche Videos hat sich ein Nutzer angeschaut? wie hat er bei Tests abgeschlossen? mit wem wurde sich ausgetauscht?) dort vorliegen und eben auch Verwendung finden.

Einige deutsche Universitäten sind dazu übergegangen, ihre Lerninhalte über Plattformen in Europa zu betreiben.

Kategorien: Allgemein
Schlagwörter: ,

Datenbank des Spielzeugherstellers VTech gehackt

Eine Kundendatenbank des Spielzeugherstellers VTech ist nach Angaben des Unternehmens gehackt worden. VTech, ein international agierendes Unternehmen mit seinem Hauptsitz in Hong Kong, verkauft unter anderem elektronisches Lernspielzeug für Kinder. Über die sogenannte „Learning Lodge“ können Kinder und Eltern Lernspiele, E-Books und weitere Lernsoftware für ihre VTech-Produkte herunterladen.
Wie VTech in einer Pressemitteilung berichtet, haben Unbekannte Mitte November die Kundendatenbank der Learning Lodge gehackt. Dadurch konnten die Hacker auf umfassende Kundendaten zugreifen. Zu der betroffenen Personengruppe gehören überwiegend Kinder beziehungsweise deren Eltern. Bei den gestohlenen Daten handelt es sich um die E-Mailadressen, IP-Adressen, eine Übersicht mit den getätigten Downloads der Nutzer sowie verschlüsselte Passworte einschließlich der Sicherheitsfragen und -antworten.

Auch wenn die gestohlenen Passwörter verschlüsselt waren, besteht zum einen das Risiko, dass die Täter den Verschlüsselungscode entziffern und die Passwortdaten entschlüsseln können. Weiterhin stehen den Tätern die Sicherheitsfragen und -antworten der Nutzer zur Verfügung. Dadurch vereinfacht sich der Aufwand für die Hacker mit diesen Daten auch auf weitere Nutzerkonen zugreifen. Sollten VTech-Kunden ihr Passwort für die Learning Lodge auch bei anderen Nutzerkonten verwenden, wird Ihnen dringend empfohlen, diese zu ändern.
Nach Angaben von VTech werden die den getätigten Käufen anschließenden Zahlungsprozesse nicht über die Learning Lodge abgewickelt. Daher haben die Hacker angeblich keine Kreditkartendaten und Kontodaten erbeuten können.
Bisher konnte VTecht die Ermittlungen bezüglich der Datenpanne nicht abschließen, mit der Folge, dass die Learning Lodge nach wie vor für Kunden gesperrt ist.

Autofahrer skeptisch gegenüber vernetzten Fahrzeugen

26. November 2015

Nach einer aktuellen Studie des internationalen Automobilverbandes (FIA) hat der ganz überwiegende Teil der europäischen Autofahrer erhebliche Bedenken gegenüber der Vernetzung ihrer Fahrzeuge. Es wurden dafür 12 000 Autofahrer in zwölf EU-Staaten online befragt. Eine Auswertung der Studie für Deutschland erfolgte  durch den ADAC.

Hierzulande sorgen sich demnach 92 % um die Offenlegung privater Informationen sowie um die Nutzung ihrer Daten für kommerzielle Zwecke. 87 % haben Angst vor einem Angriff über ihr vernetztes Auto durch Hacker. Damit haben deutsche Autofahrer im Vergleich zu ihren europäischen Nachbarn größere Bedenken bezüglich Datenschutz- und Datensicherheit. Nicht erstaunlich ist insofern, dass es fast allen Befragten (96 %) wichtig ist, dass die Konnektivität auch wieder abgeschaltet werden kann.

Je nach dem Zweck der Datenübermittlung besteht jedoch dennoch eine Bereitschaft zur Datenübermittlung, so wären bespielsweise 86 % bereit, ihre Daten zum Zwecke der Pannendiagnose zu übermitteln, ledigliche 21 % entschieden so bei der Weitergabe an App-Anbieter.

Datenschutz als Verbraucherschutz

23. November 2015

Datenschutz bietet viele Facetten – eine davon ist der Verbraucherschutz.

Dass Datenschutz wesentlicher Bestandteil eines effektiven Verbraucherschutzes sei, hat die Plattform „Verbaucherschutz in der digitalen Welt“ betont. Diese Plattform, die vom Bundesjustizministerium und IBM geleitet wird und sich aus Vertreterinnen und Vertretern der Politik, Wirtschaft, Verbraucher- und Datenschutzorganisationen sowie Institutionen aus dem Justizbereich zusammen setzt, hat im Rahmen des IT-Gipfels 2015 ein Muster für verbraucherfreundliche Datenschutzhinweise vorgestellt.

Mit diesem „One-Pager“ sollen Verbaucher verständlicher als bisher über den wesentlichen Umgang mit ihren Daten informiert werden, so das Ministerium. Gleichzeitig soll das Muster als Hilfestellung für Unternehmen dienen, um den wesentlichen Anforderungen eines Datenschutzhinweises zu entsprechen. Der parlamentarische Staatssekretär im Bundesministerium Ulrich Kelber zieht hier den Vergleich zu einem Bestellvorgang im Internet und betont, dass die Verbraucherinformationen genauso einfach und verständlich sein müssten. Die Vorsitzende der Geschäftsführung der IBM Deutschland, Martina Koederitz, sieht dabei „Transparenz und Nachvollziehbarkeit“ als wichtige Voraussetzungen für die Akzeptanz digitaler Geschäftsmodelle und betont auch die Notwendigkeit entsprechender technischer Vorkehrungen.

Die Plattform arbeitet zurzeit in den beiden Untergruppen „Privacy by Design / Datenschutz durch Technik“ und „Verbrauchersouveränität und Transparenz“.

Nähere Informationen sowie das „One-Pager“-Muster und entsprechende Erläuterungen finden sich auf der Homepage des Bundesjustizministeriums.

 

BGH: Auskunftsanspruch gegen Krankenhausträger auf Anschrift eines Mitpatienten

Der Bundesgerichtshof (BGH)  hat klargestellt, dass ein Patient eines Krankenhauses vom Träger der Klinik die Adresse eines Mitpatienten erfahren darf, damit dieser einen deliktischen Schadensersatzanspruch wegen einer während des Krankenhausaufenthalts begangenen vorsätzlichen Körperverletzung geltend machen kann. Der Krankenhausträger sei insoweit zur Auskunft verpflichtet – dem Auskunftsinteresse des Geschädigten sei ein höheres Gewicht beizumessen als dem Datenschutzinteresse des Geschädigten. Der Auskunftsanspruch ergebe sich aus dem geschlossenen Behandlungsvertrag und der daraus folgenden besonderen Fürsorge- und Obhutspflicht. Auch bestehe kein Konflikt mit der ärztlichen Schweigepflicht (§ 203 Strafgesetzbuch). Eine Auskunftserteilung sei nach § 34 Strafgesetzbuch gerechtfertigt.

Nutzerkonten von Lufthansa-Kunden gehackt

19. November 2015

Wie eine Sprecherin der Lufthansa der gegenüber heise.de mitteilte, haben in den vergangenen Tagen Unbekannte versucht auf Nutzerkonten von Lufthansa-Kunden zuzugreifen. Die Log-in-Daten der Kunden haben die Täter vermutlich bei einer fremden Stelle auf bislang noch ungeklärte Weise erlangt. Aus der Datenbank der Lufthansa sollen die Log-in-Daten nach eigenen Angaben jedenfalls nicht entwendet worden sein. Teilweise sind die Täter erfolgreich gewesen und konnten zu Lasten der Kunden Prämien einlösen. Obwohl Lufthansa bereits Gegenmaßnahmen zur Sicherung der Kundendaten getroffen hat, wird den Kunden empfohlen, ihre Passwörter für ihre Nutzerkonten zu erneuern.

 

Fach-Tagung zur Datenschutz-Grundverordnung der EU in der IHK München

17. November 2015

Am 16.11. fand in der Münchener Industrie- und Handelskammer eine große Fachtagung mit Vertretern aus Politik, Wissenschaft und Wirtschaft zur neuen EU-Datenschutz-Grundverordnung statt. Diskutiert wurden unter anderem die Veränderungen, die auf die Wirtschaft zukommen, der Stand der Trilog-Verhandlungen sowie – aus aktuellem Anlass – die Zukunft von Safe Harbour.

Die Kanzlei Kinast & Partner war mit zwei Rechtsanwälten vor Ort, um aktuelle Informationen einzuholen und sich an Diskussionen mit Entscheidungsträgern zu beteiligen. Insbesondere was die Zukunft des BDSG angeht, besteht noch große Unklarheit. Denkbar ist hier sowohl ein kompletter Wegfall des Gesetzes als auch ein weitgehendes Bestehenbleiben von wesentlichen Vorschriften bis hin zu einer Neufassung deutscher Regelungen. Insbesondere im Hinblick auf die Planbarkeit für deutsche Unternehmen erscheint diese bestehende Rechtsunsicherheit unbefriedigend. Das Bundesinnenministerium wird insoweit über die Zukunft dieser und andere Vorschriften entscheiden. Mehrere Redner ließen jedoch bereits durchblicken, dass Entscheidungen diesbezüglich wohl nicht vor der Bundestagswahl 2017 fallen dürften.

Da mit einer endgültigen Verabschiedung der Verordnung noch vor Weihnachten 2015 zu rechnen ist und dann – nach Übersetzung in alle Amtssprachen – ein Inkrafttreten für Anfang 2016 geplant ist, wird die Verordnung nach zwei Jahren Anfang 2018 Anwendung finden. Den politischen Entscheidungsträgern wird dann nur wenig Zeit verbleiben, um hier die richtigen Weichen zu stellen. Zudem muss dies in einer Zeit erfolgen, in der womöglich um eine Regierungsbildung gerungen wird.

Sofern Deutschland aufgrund von Öffnungsklauseln in der Verordnung eigene datenschutzrechtliche Traditionen beibehalten kann und will, wird also einiges an Anstrengungen nötig sein, um hier Rechtssicherheit für betroffene Unternehmen zu schaffen.

Insgesamt werden auf die Wirtschaft weitaus größere Meldepflicht zukommen, die es in dieser Form in Deutschland bisher nicht gegeben hat. Seitens des Präsidenten des bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) wurde außerdem darauf hingewiesen, dass zukünftig kaum Ermessenspielraum hinsichtlich von Bußgeldern bestehen wird. Die bisher gelebte Praxis, dass Bußgelder nur in Ausnahmefällen verhängt werden, wird nach den neuen Vorschriften nicht mehr umsetzbar sein. Dies ist vor allem deshalb beachtlich, da zukünftig voraussichtlich bis zu fünf Prozent des weltweiten Umsatzes als Bußgeld herangezogen werden kann.

Im Ergebnis lässt sich festhalten, dass die neue Verordnung wohl trotz aller ungeklärten Fragen noch 2015 verabschiedet wird und sich die Wirtschaft mit nicht ganz klaren Vorschriften auf eine neue Rechtslage wird einstellen müssen.

Gelebter Datenschutz stärkt Unternehmensreputation

12. November 2015

Immer noch wird der Datenschutz von Geschäftsführung und Management als ein aufwendiges Übel betrachtet. Betriebliche Maßnahmen zum Schutz von personenbezogenen Daten werden oft als kostspielige und aufwendige Mehrausgaben deklariert. Dabei kann gelebter Datenschutz nicht nur das Haftungsrisiko senken, sondern auch positiv zum Firmenimage beitragen. Datenschutzzertifizierungen dienen nicht zuletzt auch als Aushängeschild und symbolisieren, dass der Schutz von Mitarbeiter- und Kundendaten ernst genommen wird. Vermehrt steigen auch die Anforderungen von Geschäftspartnern an Nachweisen zu Compliance und Datenschutz im Unternehmen.

Wie heise online berichtet, wurde kürzlich eine Primark-Filiale für ihren vorbildlichen Mitarbeiterdatenschutz mit dem Spiros-Simitis-Award ausgezeichnet. Eine gute PR ist da ein willkommener und werbewirksamer Nebeneffekt.

Es lohnt sich also immer, dem Datenschutz im Unternehmen eine angemessene Aufmerksamkeit zukommen zu lassen. Mitarbeiter, Kunden und Geschäftspartner werden dies zu schätzen wissen und der Wettbewerbsvorteil liegt ebenfalls auf der Hand.

1 28 29 30 31 32 144