Schlagwort: Konzerndatenschutz

Datenübermittlungen innerhalb eines Konzerns

7. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) kennt kein Konzernprivileg. Eine Übermittlung von personenbezogenen Daten von einem Konzernunternehmen an ein anderes bedarf einer Rechtsgrundlage wie jede andere Übermittlung an einen Dritten auch. Als Rechtsgrundlage kommen sämtliche Tatbestände des Art. 6 Abs. 1 DSGVO in Betracht.

Werden bestimmte Prozesse / Aufgaben in einem Konzernverbund zentral von einer Stelle wahrgenommen, wie bspw. die Verwaltung der Mitarbeiterdaten, kann in der Regel das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Erwägungsgrund 48 bietet in Rahmen der nach Art. 6 Abs. 1 lit. f DSGVO durchzuführenden Interessenabwägung eine Hilfestellung. Er lautet:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“

Danach kann eine Übermittlung von personenbezogenen Daten innerhalb eines Konzernverbunds zur Verwaltungsoptimierung und -vereinfachung ein berechtigtes Interesse für einen Datenaustausch innerhalb des Konzerns darstellen.

Die Auslagerung von bestimmten Tätigkeiten auf eine Konzerngesellschaft in einem Konzernverbund stellt darüber hinaus eine Auftragsverarbeitung gemäß Art. 28 DSGVO dar. Es bedarf daher des Abschlusses eines Vertrages über eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.

Tim Cook lobt europäisches Datenschutzrecht auf der EU-Datenschutzkonferenz

26. Oktober 2018

Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet,  im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.

Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines “Daten-industriellen Komplexes”. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als “Waffe mit militärischer Effizienz” eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden “sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft”.

Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.

 

Report an Sophos stets aktiv!

16. April 2013

Nach heftiger Kritik und Widerstand gegen das am 10.04.2013 auf  den deutschen Markt gekommene Datensammler-Tool “Report an Sophos” hat die Entwicklerfirma eine Zusatzfunktion eingeführt, durch die das Sammeln von Nutzungsdaten in der Management-Oberfläche deaktiviert werden kann. Laut Sophos habe diese Möglichkeit schon immer Bestand gehabt.

Die Deaktivierung der Sammlung von Nutzerdaten erfolge durch ein Herausnehmen eines Häckchens bei der Genehmigung für die Berichte. Das Herausnehmen könne unter dem Menüpunkt “Extras/Report” in der Sophos Enterprise Console vorgenommen werden. Nach Aussage von Sophos efolge die Datenübertragung auf Grundlage der Lizenzbedingungen und diene zur Verbesserung der Produkte.

Kunden erhielten von Sophos E-Mails, in denen ihnen mitgeteilt worden sei, dass das Datensammel-Tool stets deaktiviert voreingestellt sei. Ein Sprecher revidierte dies jedoch, da versehentlich falsche Informationen an die Kunden übermittelt worden seien; das Tool sei vielmehr standardmäßig aktiv.

Umfrage unter IT-Managern: 90% halten eigene Daten für unsicher

29. August 2012

Die Bedeutung des Datenschutzes wächst stetig. Die praktische Notwendigkeit dieser Entwicklung wird nun erneut durch eine Studie untermauert, welche bemerkenswerte Ergebnisse abbildet, wie nun Heise-Online berichtete.  Die durch das US-amerikanische Unternehmen für Datensicherungsmedien Quantum in Auftrag gegebene Studie richtete die Befragung an IT-Manager. 90% der Befragten gaben an, dass die durch ihr Unternehmen gespeicherten Daten im Ernstfall nicht ausreichend gesichert seien. 27% bestätigten, dass im letzten Jahr ein datenschutzrelevanter Zwischenfall eingetreten sei. Davon waren 85% durch Personen verursacht. Zwar sei die Verbesserung des Datenschutzes ein wesentlicher Investitionsposten innerhalb der Unternehmen. Trotzdem bezeichneten 11% die Sicherheit ihrer Daten als “extrem anfällig”. Seit der letzten Studie stieg der Wert damit um 3%. Gleichzeitig sank der Wert der minimal oder gar nicht gefährdeten Datenbestände von 51 auf 31%. Dabei sollte jedoch berücksichtigt werden, dass dies teilweise auch durch das gestiegene Risikobewusstsein begründet sein dürfte.

Die größte Gefahr für Daten stellen nach den Studienergebnissen die erneut um 7% gestiegenen Attacken durch Viren dar, gefolgt von der Gefahr des Versagens des Betriebssystems. Diesbezüglich stieg das Risiko von 21 auf 48%. Positiv ist zu bemerken, dass immerhin 68% der Befragten täglich oder sogar häufiger ein Backup ihrer Daten anlegen. Lediglich 16% tun dies nur wöchentlich oder noch seltener. Die Unternehmen, die nicht in der Lage waren, ihre Archive und DR-Daten ohne signifikante Verzögerungen der Geschäftsprozesse wiederherzustellen, mussten jedoch Umsatzeinbußen hinnehmen.

 

Kategorien: Allgemein
Schlagwörter: , ,

Internationale Datenverarbeitung – Vorstellung neuer Datenschutzbestimmungen in Indien

5. Mai 2011

Am 13. April 2011 hat die indische Regierung neue Bestimmungen insbesondere zum Schutz “sensitiver” personenbezogener Informationen im IT-Umfeld vorgestellt, denen bereits jetzt eine erhebliche Bedeutung für die internationale Datenverarbeitung weltweit operierender Organisationen und Konzerne zugeschrieben wird.

Die vorgestellten Neuregelungen, deren zügiges Inkrafttreten nun zu erwarten steht, stellen eine erhebliche Verschärfung gegenüber der bestehenden Gesetzgebung dar und gelten umfassend für alle Organisationen, die in Indien Daten (auch von außerhalb Indiens befindlichen) Personen verarbeiten. Auch die Datenverarbeitung im Auftrag durch indische Auftragnehmer ist dabei wesentlichen Neuregelungen und Verschärfungen unterworfen.

Der Begriff der sensitiven personenbezogenen Informationen erfasst neben Gesundheitsdaten, Daten zur sexuellen Orientierung insbesondere auch biometrische Daten sowie Daten zu Bank- und Kreditkartenkonten, als auch Passwörter.

Danach soll die Erhebung und Verarbeitung entsprechender Daten zukünftig generell die vorherige freiwillige Einwilligung des Betroffenen erfordern, die schriftlich oder auch per E-Mail erteilt werden kann. Zusätzlich ist die Erhebung derartiger Informationen nur dann zulässig, wenn diese zu legalen Verarbeitungszwecken der verantwortlichen Stelle erforderlich ist. Weiterhin sehen die Bestimmungen für den Betroffenen die Möglichkeit eines jederzeitigen Widerrufs der gegebenen Einwilligung vor. Ergänzend ist die betroffene Person im Moment der Datenerhebung über die wesentlichen Datenverarbeitungsvorgänge und deren Zwecke zu informieren. Dies wird weiter flankiert von der Verpflichtung, eine detaillierte und verständliche Privacy Policy auf der Webseite der verantwortlichen Stelle verfügbar zu halten. Eine Datenübermittlung in Drittstaaten soll nach den Neuregelungen schließlich grundsätzlich nur dann zulässig sein, wenn im Empfängerland ein gleichwertiges Datenschutzniveau besteht und die Daten zur Durchführung eines Vertrags erforderlich sind oder wenn die betroffene Person in die Übermittlung ebenfalls eingewilligt hat.

Nach Inkrafttreten der neuen Gesetzgebung gilt es für Organisationen, die in Indien personenbezogene Daten verarbeiten, ihre Compliance mit den neuen Vorschriften grundsätzlich zu überprüfen. Dies betrifft sowohl ansässige Unternehmen, als auch solche, die die Verarbeitung personenbezogener Daten von Europäischen Standorten aus im Wege des Outsourcing an indische Dienstleister oder Datenverarbeitungscenter übertragen haben, da die neuen Regelungen zum Teil strengere Einschränkungen vorsehen, als dies nach hierzulande der einschlägigen EU-Gesetzgebung der Fall ist.Verstöße sollen in Indien fortan mit Freiheitsstrafe von bis zu zwei Jahren und/oder Geldstrafen von umgerechnet ca. 1.550,- € pro Datensatz belegt werden können, die insbesondere auch die Unternehmensführung treffen können, sofern der verantwortlichen Person der Beweis der Unkenntnis von dem Verstoß nicht gelingt. Soweit Verstöße von Auftragsdatenverarbeitern vorliegen, können sogar Freiheitsstrafen von zu drei Jahren und/oder umgerechnet ca. 3.100,- € verhängt werden.

Die Folgen der beabsichtigten Neuregelungen für betroffene Unternehmen und deren IT- und Backoffice-Zentren sind derzeit noch völlig unklar, sodass allgemein mit Spezifizierungen und Klarstellungen innerhalb der nächsten Wochen gerechnet wird.