Schlagwort: USA

198 Millionen US-Wählerdaten frei zugänglich

21. Juni 2017

Eine Datenbank mit persönlichen Wählerinformationen zu 198 Millionen US-Bürgern stand 2 Wochen frei zugänglich im Internet zum Download zur Verfügung.

Wie die US-Website Gizmodo berichtet, hatte das Unternehmen Deep Root Analytics im Auftrag der Republikanischen Partei eine Datenbank mit bis zu 198 Millionen Datensätzen an Wählerinformationen erstellt. Aus dieser gingen Namen, Geburtsdaten, Adressen und Telefonnummern eines Großteils der rund 200 Millionen wahlberechtigten US-Bürger hervor. Daneben waren in der Datenbank auch Analyseergebnisse zur politischen Einstellung, Religion, ethnischer Herkunft und wahrscheinliche Meinungen zu Themen wie Waffenbesitz, Stammzellenforschung oder Abtreibung der betroffenen Personen aufgeführt.

Auf die Datenbank aufmerksam geworden war die IT-Sicherheitsfirma UpGuard, nach deren Angaben die Eingabe der URL ausreichend war, um auf 1,1 Terrabyte der Datenbank, die auf einem Amazon Server gespeichert war, zugreifen und sie herunterzuladen zu können. Nicht einmal die Eingabe eines Passworts sei nötig gewesen.

Deep Root Analytics hat mit einer Stellungnahme auf die Datenpanne, die mittlerweile behoben ist,  reagiert und eigene Fehler eingeräumt. So wird die Datenpanne auf ein fehlerhaftes Update am 1. Juni zurückgeführt. Weiter heißt es darin, dass die Daten gesammelt würden, um personalisierte Wahlwerbung im Fernsehen schalten zu können.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Neues Gesetz in den USA: Arbeitnehmer müssen Gentests vorlegen

23. März 2017

Wie die Süddeutsche Zeitung berichtet wurde in den USA, unter Ausschluss der Öffentlichkeit, ein neues Gesetz zu Gentests auf den Weg gebracht. Laut dieses Gesetzes müssen Arbeitnehmer ihrem Arbeitgeber Gentests vorlegen.

Die Gentests beruhen nicht auf einer freiwilligen Basis, denn den Unternehmen ist es zukünftig gestattet Gentests einzufordern. Die Arbeitnehmer müssen also einen Gentest durchführen lassen und die Ergebnisse offen legen. Hierin liegt ein starker Eingriff in die Privatsphäre, da „Gentests freiwillig sein sollten und vor allem kein Zwang bestehen darf die Ergebnisse zu veröffentlichen“,  European Society of Human Genetics (ESHG).

Nicht nur amerikanische Gentechniker sind von dem Gesetz entsetzt. Auch europäische Wissenschaftler äußerten ihre Befürchtungen, weil Neuerungen im Bereich der Bioethik irgendwann von den USA nach Europa kommen und damit auch hier die Gefahr eines solchen Eingriffs besteht. Ob im europäischen Raum tatsächlich ein solcher Vorstoß geplant ist, ist nicht bekannt und wenn muss ein solches Gesetz auch erst mal verabschiedet werden und der rechtlichen Prüfung durch die obersten Gerichte standhalten. Somit besteht, vorerst jedenfalls, hier keine Gefahr.

Noch im Jahr 2008 wurde in den USA ein Gesetz beschlossen, dass genau solche Gentests verboten hat.

Jedoch lässt sich das Interesse der Unternehmen an einer solchen Untersuchung nicht von der Hand weisen. Die Unternehmen können genetische Informationen in Erfahrung bringen und aufgrund dieser über ihre Arbeitnehmer entscheiden. Ein risikobelasteter Arbeitnehmer kann für das Unternehmen im Krankheitsfall höhere Kosten bedeuten. Für die Arbeitgeber ist es demnach nur logisch, dass sie Konsequenzen aus den Ergebnissen ziehen. Diese könnten zum Beispiel auch eine Nicht-Verlängerung des Arbeitsvertrages sein oder eine Nichteinstellung. Jedoch darf nicht außer Acht gelassen werden, dass das bloße Risiko einer Erkrankung noch keine Gewissheit auf einen späteren Ausbruch der Krankheit darstellt. Was aber feststeht ist der Eingriff in die Privatsphäre.

Smartphone-Kontrollen an US-Flughäfen

7. März 2017

Einem Bericht von Skift zu Folge, kann es bei der Einreise in die USA dazu kommen, dass die Grenzschützer die Smartphones von Einreisenden untersuchen. Vor allem Social Media- Aktivitäten sind von Interesse.

Bereits bei der Einreise in die USA sollen Angaben zu Social Media-Konten gemacht werden. Die Preisgabe des Benutzernamens ist freiwillig. Dies genügt in einigen Fällen aber anscheinend nicht, denn die Grenzschützer wollen auch die Smartphones untersuchen. Grundsätzlich schützt der vierte Verfassungszusatz in den USA vor der Durchsuchung von Smartphones durch Gesetzeshüter, dies gilt jedoch nicht für die Grenzkontrollen. Diesbezüglich urteilte der Supreme Court bereits in den Jahren 1976 und 2004. Einreisende müssen, zum Schutz der USA, größere Eingriffe in ihre Privatsphäre akzeptieren. Die Kontrolle kann auch US-Bürger treffen.

Seit 2009 gilt, dass die Kontrolleure der Customs and Border Protection (CBP), ohne richterliche Genehmigung, Smartphones kontrollieren dürfen, da diese zu dem Gepäck des Einreisenden gehören. Auch ohne Anlass für eine potentiell bestehende Gefahr.

Was passiert mit den Daten die die Kontrolleure auf den Geräten finden? Die Daten können sowohl kopiert als auch gespeichert werden. Angeblich jedoch nur bei begründetem Anfangsverdacht. Ob dem in der Praxis auch so ist, sei dahin gestellt.

Kann der Einreisende sich weigern seine Daten preiszugeben? Grundsätzlich schon, allerdings kann in dem Fall die Einreise in die USA versagt oder zumindest erheblich verzögert werden. Konsequenz ist, dass derjenige dann auf eigene Kosten den Rückflug in die Heimat antreten muss. Also bleibt demnach nur zu kooperieren.

Es könnte jetzt die Vermutung aufkommen, dass eine solche Kontrolle zu dem Sicherheits- und Abschottungswahn von Donald Trump gehört, allerdings wurden die Kontrollen bereits unter dem ehemaligen Präsidenten Barack Obama durchgeführt. Die Anzahl der Kontrollen steigt jedes Jahr. Im Jahr 2016, bis zum Amtsantritt von Donald Trump waren es fast 24000 Kontrollen. Wie sich die Zahl seit dem Amtsantritt entwickelt hat, ist noch nicht bekannt.

EU-Justizkommissarin droht die Privacy Shield Vereinbarung außer Kraft zu setzen

6. März 2017

Die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung Jourová erklärte in einem Interview mit der Nachrichtenagentur Bloomberg, dass sie nicht zögern werde, das erst Mitte 2016 in Kraft getretene Privacy Shield Abkommen außer Kraft zu setzen, sobald erhebliche Änderungen durch die neue US-Regierung die geltende Vereinbarung beintächtigten.

Sie werde dabei „nicht zögern, dafür stehe zu viel auf dem Spiel.“

Die EU-Kommissarin hält die Unvorhersehbarkeit der Regierung unter dem US-Präsidenten Trump für besorgniserregend und drängt auf eine schnelle Bestätigung der Regeln des Privacy Shields.

Das US-Justizministerium hat zwar auf eine Anfrage der EU-Kommission am 22. Februar 2017 erklärt, dass die USA an den bisherigen Vereinabrungen des Privacy Shield festhalten werden. Die EU-Kommissarin wird jedoch noch in diesem Monat in Washington im Dialog klären, ob und in wie weit EU-Bürger von dem Dekret des US-Präsidenten betroffen sein werden.

Erste Bußgelder wegen fehlerhafter Datenübermittlung in die USA

8. Juni 2016

Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.

Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.

Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.

Obama ergreift initiative beim Datenschutz

16. Februar 2016

US-Präsident Barack Obama gründet den Federal Privacy Council, einen Rat für Datenschutz, um genau diesen, nämlich den Datenschutz, zu stärken.

Das Thema Datenschutz wird in den USA deutlich anders behandelt als in Europa. Bereits das US-Amerikanische Volk hat eine ganz andere Einstellung zu privaten Daten und deren Schutz, als wir es hier gewohnt sind. Im Allgemeinen besitzen Behörden in den USA mehr und weitreichendere Zugriffsrechte, was wohl als Kernproblem beim Datenaustausch zwischen den USA und den EU-Staaten anzusehen ist. Im Oktober des vergangenen Jahres wurde aus diesem Grund das Safe Harbor Abkommen zwischen den USA und der EU vom Europäischen Gerichtshof gekippt (datenschutzticker.de berichtete hierüber). Anfang Februar diesen Jahres wurde das Nachfolgeabkommen „EU-US-Privacy-Shield“ erlassen, dessen Inhalte im Detail jedoch noch nicht bekannt sind.

Nun hat Präsident Barack Obama Initiative gezeigt und einen Rat für Datenschutz gegründet. Denn auch in den USA wächst das Verständnis für Datenschutz und die Bürger sensibilisieren sich zunehmend für die damit einhergehenden Gefahren. Damit das Vertrauen in die Datenverwaltung innerhalb der US-Behörden gestärkt wird, soll der Datenschutz in den Bundeseinrichtungen vereinheitlicht und transparenter organisiert werden. Der Rat wird vor allem bei der Erstellung und Implementierung von Datenschutzrichtlinien mitwirken, Empfehlungen ausarbeiten und auf vermehrte Weiterbildung innerhalb der Behörden hinwirken.

Der Rat besteht aus mindestens 24 Mitgliedern und setzt sich unter anderem aus hochrangigen Beamten des Weißen Hauses, den Datenschutzbeauftragten der Ministerien sowie den Datenschutzbeauftragten nationaler Geheimdienste zusammen.

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für „unrealistisch“ und „unwahrscheinlich“, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

Mitteilung der EU-Kommission zum transatlantischen Datentransfer nach der Safe-Harbor-Entscheidung

9. November 2015

In der Mitteilung COM(2015)566 vom 06. November 2015 nimmt der EU-Kommission zu den rechtlichen Folgen der Safe Harbor Entscheidung sowie dem aktuellen Stand der Verhandlungen über ein erneutes Abkommen Stellung.

In Übereinstimmung mit den Ausführungen der Artikel 29-Datenschutzgruppe vom 16. Oktober 2015 empfiehlt die EU-Kommission die Verwendung von Standardvertragsklauseln oder Binding Corporate Rules um personenbezogene Daten von EU-Bürgern datenschutzkonform in die Vereinigten Staaaten zu übermitteln. Sie betont dabei gleichzeitzig, dass die Empfehlung, so wie die Mitteilung insgesamt, ohne rechtliche Bindungswirkung für die Mitgliedsstaaten sei und insbesondere das Vorgehen der nationalen Aufsichtsbehörden in ihrem eigenen Ermessen stehe.

In den seit 2013 stattfindenden Verhandlungen über ein neues Safe-Harbor-Abkommen seien deutliche Fortschritte erzielt worden. Es hätten bereits Verständigungen über eine strengere Überwachung und Durchsetzung der Safe-Harbor-Datenschutzgrundsätze durch Behörden der Vereinigten Staaten, transparentere Verbraucherrechte und einfacherere und günstigere Abhilfemöglichkeiten bei Beschwerden gegeben. Nach der Safe-Harbor-Entscheidung seien die Verhandlungen mit dem Ziel intensiviert worden, die Verhandlungen in drei Monaten abzuschließen.

Bis zu dem Abschluss eines neuen Abkommens seien die breits genannten Standardvertragsklauseln oder Binding Corporate Rules mögliche Optionen. Für die rechtskonforme Durchführung eines transatlantischen Datentransfers seien die Datenexporteure unter der Aufsicht der nationalen Aufsichtsbehörden verantwortlich.

Eine Zusammenfassung der Mitteilung sowie unverbindliche Handlungsempfehlungen der EU-Kommission können dem Q&A-Dokument vom 06. November 2015 entnommen werden.

Status quo und Entwicklung von Safe-Harbor 2.0

29. Oktober 2015

Die EU-Justizkommissarin Vĕra Jourová hat den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 25. Oktober 2015 über den aktuellen Stand der Verhandlungen über ein neues Safe-Harbor-Abkommen informiert. Zwischen der EU-Kommission und dem US-Handelsministerim bestehe zwar im Grundsatz Einigkeit, jedoch müsse noch über eine Vielzahl kritischer Punkte diskutiert werden.

Die Kommissarin äußerte sich vorsichtig optimistisch, dass die derzeitig stattfindenden Verhandlungen über technische Lösungen bis zu ihrem Besuch Mitte November in Washington fortgeschritten seien. Die Vereinigten Staaten hätten bereits jetzt Zusagen bezüglich einer strengeren Kontrolle der Safe-Harbor-Zertifizierungsverfahrens durch das US-Handelsministerium und einer engeren Zusammenarbeit mit europäischen Datenschutzbehörden gemacht. Neben der Einführung von Datenschutzvorschriften, die denjenigen der EU entsprechen, sei die Regelung des Zugriffs der US-Geheimdienste auf Daten von EU-Bürgern sowie die gerichtliche Kontrolle von Überwachungsmaßnahmen wesentlicher Punkt der Verhandlungen. Dabei sei der letzte Aspekt, die Einführung einer wirksamen gerichtliche Kontrolle der US-Geheimdienste, die größte Herausforderung auf dem Weg zu einem Abkommen.

Mit einer Einigung über ein Safe-Harbor 2.0 könne daher vor Ende Januar 2016 nicht gerechnet werden.

Die Kommissarin macht insoweit deutlich, dass Safe-Harbor 2.0 wesentlich von der Haltung der Vereinigten Staaten zu dem behördlichen Zugriff auf die übermittelten Daten von EU-Bürgern abhängt. Bis zu einem Abschluss eines neuen Abkommens bleibt die Übermittlung im Rahmen von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig.

Positionspapier der Datenschutzkonferenz zu Safe-Harbor-Urteil

28. Oktober 2015

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat in einem nun veröffentlichten Positionspapier zum Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 klar gestellt, dass die deutschen Datenschutzbehörden solche Datenübertragungen in Zukunft untersagen wollen, die ausschließlich auf das Safe-Harbor-Abkommen gestützt sind, soweit sie davon Kenntnis erlangen. Damit verdeutlichen sie einen ersten Punkt ihrer zentralen Strategie. Des weiteren sind sie sich ebenfalls einig, derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (Binding Corporate Rules) oder Datenexportverträgen zu erteilen.

Noch Uneinigkeit herrscht hingegen im Umgang mit Übermittlungen personenbezogener Daten in die USA auf Basis der EU-Standardvertragsklauseln. Sie seien nach dem Positionspapier zwischenzeitlich „in Frage“ zu stellen, ohne dass jedoch eine einheitliche Vorgehensweise postuliert wird. Der Hamburgische Landesdatenschutzbeauftragte beispielsweise erklärte, dass seine Behörde erst dann eine Datenübermittlung auf Basis der Standverträge beanstanden werde, wenn die Aufsichtsbehörden geklärt hätten, welche Konsequenzen aus dem o. g. EuGH-Urteil diesbezüglich genau zu ziehen sind. Fest steht jedoch, dass die deutschen Datenschutzbehörden bereits jetzt den transatlantischen Datenverkehr auf Beschwerden hin im Einzelfall überprüfen werden. Vor einer Entscheidung in den jeweiligen Verfahren ist jedoch nicht vor Februar 2016 zu rechnen.

Die britischen und die irischen Aufsichtsbehörden hingegen zeigen eine weniger strenge Haltung: Sie argumentieren hinsichtlich der Folgen des Urteils mit dem Wortlaut der Entscheidungsgründe, der sich allein auf die rechtliche Zulässigkeit des Abkommens beschränke. Sowohl Standardvertragsklauseln als auch Binding Corporate Rules seien von der Entscheidung unberührt, so dass diese nach wie vor rechtliche Grundlage für einen Datentransfer in die Vereinigten Staaten sein sollen.

Die DSK macht ihererseits schließlich deutlich, dass die Verantwortung für eine neue rechtliche Grundlage, die den Vorgaben des EuGH-Urteils Rechnung trägt, bei der EU-Kommission liegt. Diese solle bei den Verhandlungen mit den USA „auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen.“ Darüber hinaus seien die Kommissionsentscheidungen aus den Jahren 2004 und 2010 zu den Standardvertragsklauseln schnellstmöglich an die in dem EuGH-Urteil gemachten Vorgaben anzupassen. Die DSK begrüßt die in dieser Sache von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.

1 2 3 5