Kategorie: Allgemein
7. Januar 2016
Seit dem 01.Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine unabhängige oberste Bundesbehörde. Bislang stand die BfDI unter der Dienstaufsicht des Bundesministeriums des Inneren und unter der Rechtsaufsicht der Bundesregierung. Mit Beginn dieses Jahres entfällt die Verantwortlichkeit der BfDI gegenüber diesen Aufsichtsbehörden und die Bundesbeauftragte ist lediglich dem Parlament gegenüber rechenschaftspflichtig. Ihre Entscheidungen sind gerichtlich überprüfbar.
Bereits seit 1995 ist die Bundesrepublik gemäß europarechtlicher Vorgaben verpflichtet, eine unabhängige Datenschutzkontrolle auf Bundesebene einzurichten. Hierzu gehört auch, dass nicht einmal der Anschein einer Abhängigkeit der BfDI bestehen darf. Dieses Ziel soll durch die beschriebene Umgestaltung erreicht werden.
Wie die BfDI in einer Pressemitteilung bekannt gibt, beabsichtigt der Gesetzgeber mit der Neugestaltung der Behördenstruktur ein weiteres Signal in Sachen Datenschutz zu senden – nämlich, dass „eine starke, unabhängig agierende Aufsichtsbehörde ein wichtiges Anliegen ist“. Auch durch personelle Aufstockungen soll die BfDI zukünftig besser aufgestellt sein.
Zu den Tätigkeitsschwerpunkten der BfDI gehört nach eigenen Angaben vor allem die Anpassung des nationalen Datenschutzrechts an die voraussichtlich ab 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält teilweise Öffnungsklauseln, deren Ausgestaltung den Mitgliedsstaaten obliegt. Beispielhaft sei hier der Themenbereich des Arbeitnehmerdatenschutzes genannt.
Ferner wird die neue Gestaltung des Datentransfers in Drittstaaten auf der Agenda der BfDI stehen. Seitdem der EuGH im Oktober 2015 den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt hat, besteht auch in dieser Angelegenheit noch Regelungsbedarf für die BfDI.
Welche Auswirkung die Umgestaltung der BfDI auf die Praxis haben und wie die BfDI ihre Vorhaben umsetzt, bleibt abzuwarten.
31. Dezember 2015
Das Team von datenschuztticker.de wünscht allen Lesern einen guten Rutsch und ein erfolgreiches Jahr 2016!
30. Dezember 2015
Medienberichten zufolge sind die bei der Hyatt Hotels eingesetzten Zahlungssysteme in insgesamt 627 Hotels in 52 Ländern mit einer Malware infiziert, die geeignet ist, Kreditkartendaten abzuschöpfen. Nach Unternehmensangaben dauern die Untersuchungen derzeit an und man habe externe Cybersecurity-Experten hinzugezogen. Zudem seien für die Zukunft Schritte unternommen worden, um die Sicherheit zu stärken. Die Kunden werden gebeten, ihre Abrechnungen genau zu prüfen. Unberechtigte Abbuchungen müssten nicht hingenommen werden.
28. Dezember 2015
Der Deutsche Bundestag hat das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ verabschiedet.
Verbraucherverbände können künftig im Wege der Unterlassungsklage gegen Unternehmen vorgehen, wenn diese in für Verbraucher relevanten Bereichen gegen das Datenschutzrecht verstoßen. Dies gilt insbesondere bei Datenverarbeitung für Werbung, Persönlichkeitsprofile sowie Adress- und Datenhandel. Bislang war das allein Aufgabe der Datenschutzbeauftragten des Bundes und der Länder.
“Das ist ein wichtiger Schritt zum besseren Schutz unserer Daten. Endlich bekommen Verbände bei Datenschutzverstößen ein Klagerecht. Personenbezogene Daten sind für den Wirtschaftsverkehr von unermesslicher Bedeutung. Beim Surfen, in sozialen Netzwerken oder einfach bei der Handynutzung spielen sie eine riesige Rolle. Wir müssen uns darauf verlassen können, dass unsere Daten rechtlich geschützt sind und dieser Schutz auch durchgesetzt werden kann. Ein Missbrauch kann weitreichende und schwerwiegende Folgen haben. Alle darauf zu verweisen, ihre Recht einzeln einzuklagen, ist oft ein stumpfes Schwert.”, kommentierte der Bundesminister der Justiz und für Verbraucherschutz Maas die Gesetzesverabschiedung.
23. Dezember 2015
Nach einer kurzen Winterpause werden wir, wie gewohnt, an dieser Stelle wieder einige interessante und relevante Meldungen rund um das Thema Datenschutz zusammentragen.
Bis dahin wünscht das Team von datenschutzticker.de allen Lesern ein frohes Weihnachtsfest!
21. Dezember 2015
Die Datenschutzaufsichtsbehörden von Bayern, Baden-Württemberg, Berlin und Hamburg haben im Rahmen einer gemeinsam angelegten bundesweiten Prüfaktion insgesamt 21 Partnerbörsen einer datenschutzrechtlichen Prüfung unterzogen. Gravierende Mängel, so das allgemeine Fazit der Behörden, seien nicht festgestellt worden. Allerdings gebe es mehrere Bereiche, in denen die Dating-Portale – aus bayerischer Sicht – datenschutzrechtlichen Nachbesserungsbedarf aufweisen.
Technischer Datenschutz (Fragen der Datensicherheit)
So sei es „extrem negativ aufgefallen“, dass sämtliche überprüften Dating-Portale ein unzureichendes Anmeldeverfahren praktizieren würden, da neben der Angabe der E-Mail-Adresse oder eines Pseudonyms meist nur ein als “unsicher” zu qualifizierendes Passwort (z. B. ohne Komplexitätsvorgaben, nur aus drei bis sechs Stellen bestehendes Passwort) gefordert werde.
Umgang mit Auskunftsersuchen
Zwar sei positiv aufgefallen, dass bei Tests dem gesetzlich verankerten Anspruch auf Erteilung einer Auskunft über die gespeicherten Daten in der Regel „schnell und zuverlässig“ entsprochen worden. Allerdings seien die Anforderungen an den Nachweis der Berechtigung des Auskunftsbegehrens oftmals als zu gering einzustufen, sodass sich der Schutz der Nutzerdaten im Portal leicht aushebeln lasse.
Datenschutzbestimmungen, AGB und Nutzungsbedingungen
Eigentlich sollen Datenschutzbestimmungen ebenso wie allgemeine Geschäftsbedingungen, Nutzungsbedingungen und Einwilligungserklärungen dazu dienen, den Nutzer darüber zu informieren, welche personenbezogenen Daten konkret erhoben werden und wie mit diesen umgegangen wird, bevor er entsprechende Erklärungen abgibt oder Daten preisgibt. Die dadurch angestrebte Transparenz sei in vielen Fällen jedoch nicht oder nur rudimentär vorhanden.
Identifizierung und Altersverifikation
Einige der Portal-Betreiber würden zur Identifizierung und Altersverifikation Kopien des Personalausweises des Nutzers anfordern. Dieses Verfahren sei in der Praxis allerdings häufig unzulässig. Im Nachgang der Prüfung müsse man daher alternative Verfahren erörtern.
Zugriff auf Kommunikationsinhalte
Überraschend habe man festgestellt, dass nahezu alle Portal-Betrieber Einblick in die Kommunikationsinhalte der Nutzer nehmen (z. B. im Rahmen von Chats). Dies sei den Nutzern auf Partnersuche häufig nicht bewusst. Dadurch werde in Grundrechte der Betroffenen eingegriffen und ein solches Vorgehen sei daher nur auf Grundlage einer ausdrücklichen Einwilligung der Kommunikationspartner zulässig.
Man werde nun die Portal-Betreiber über die Feststellung von Mängeln informieren und diese auffordern, die Mängel unverzüglich zu beheben – sofern sie diese Mängel im Prüfungsverfahren nicht selbst schon erkannt und behoben haben.
16. Dezember 2015
Das europäische Parlament und der Rat der Europäischen Union haben am 15.12.2015 ihre Verhandlungen bezüglich des Entwurfs der EU-Datenschutzgrundverordnung beendet. Die Verordnung liegt nach der letzten Trilog-Runde noch nicht in der finalen vollständigen Fassung vor. Das EU-Parlament sowie die EU-Kommission haben bereits wesentliche Inhalte der Verordnung in Pressemitteilungen veröffentlicht. Zurzeit steht die Verabschiedung des Entwurfs durch den LIBE-Ausschuss aus. Dieser ist für Donnerstag, den 17.12.2015 in Strasbourg geplant. Aller Voraussicht nach wird die EU-Datenschutzgrundverordnung ab Anfang 2018 europaweit gelten.
Die EU-Datenschutzgrundverordnung wird die EU-Datenschutz-Richtlinie aus dem Jahr 1995 ablösen und damit europaweit dieselben Datenschutz-Standards einführen. Die Verordnung bezweckt einerseits, dass die von der Datenverarbeitung betroffenen Europäer ihre personenbezogenen Daten kontrollieren können. Gleichzeitig soll für Industrie und Wirtschaft Rechtssicherheit geschaffen werden.
Eine wesentliche Neuerung der Verordnung wird die Höhe der Sanktionen bei Datenschutzverstößen sein. Diese kann bis zu 4% des Jahresumsatzes der verantwortlichen Stelle betragen. Außerdem wird die Datenverarbeitung und -nutzung für verantwortlichen Stellen nur zu dem Zweck zulässig sein, für welchen der Betroffene seine ausdrückliche Einwilligung erklärt hat. Der Zweckbindungsgrundsatz, der im Bundesdatenschutzgesetz bereits verankert ist, wird mit in Krafttreten der Verordnung nicht mehr nur in Deutschland gelten.
Weiterhin wird die Bestellung eines Datenschutzbeauftragten für Unternehmen verpflichtend, die entweder besonders sensible Daten verarbeiten oder personenbezogene Daten von besonders vielen Betroffenen erheben. Die Verordnung wird eine Öffnungsklausel enthalten, die es den Mitgliedsländern ermöglicht, in ihrem Zuständigkeitsbereich auch eine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten festzulegen. Deutschland hat bereits angekündigt, hiervon Gebrauch machen zu machen und die bestehende nationale Regelung aufrechtzuerhalten.
Hinsichtlich des Schutzes von personenbezogenen Daten Minderjähriger konnten das europäische Parlament und der Rat der Europäischen Union sich nicht einigen. Unter welchen Voraussetzungen Kinder und Jugendliche – insbesondere in Sozialen Netzwerken wie Facebook oder Instagram – eine wirksame Einwilligung abgeben können, bleibt daher eine Angelegenheit, welche die Mitgliedsstaaten individuell regeln können.
Zeitgleich mit der Einführung der EU-Datenschutzgrundverordnung werden die Rechte der Europäer bei der Datennutzung und -verarbeitung durch Behörden verstärkt. Außerdem wird der Datenaustausch zwischen den verschiedenen nationalen Behörden zum Zwecke der Strafverfolgung und justiziellen Zusammenarbeit vereinfacht.
Sofern der LIBE-Ausschuss in dieser Woche dem Entwurf zustimmt, wird zu Beginn des nächsten Jahres das Europäische Parlament über die finale Fassung abstimmen. Die Mitgliedsstaaten haben dann 2 Jahre Zeit, die Verordnung in ihr jeweils national geltende Recht umzusetzen.
Update vom 17.12.2015:
In seiner heutigen Sitzung hat der LIBE-Ausschuss wie erwartet den vorgenannten Entwurf gebilligt. Am kommenden Montag, den 21.12.2015, wird dazu eine Pressekonferenz stattfinden.
15. Dezember 2015
In der Studie Kanzleimonitor 2015·2016, zu der Unternehmensjuristen über ihre Zusammenarbeit mit Kanzleien befragt wurden, steht Kinast & Partner unter den 100 Spitzenkanzleien in Deutschland.
Im Datenschutzrecht befindet sich Kinast & Partner neben einigen Großkanzleien in der Spitzengruppe und belegt den 7. Rang, nachdem die Kanzlei im Vorjahr noch als „ Hidden Champion“ bewertet wurde.
In der Liste der im Datenschutzrecht von den Unternehmensjuristen persönlich empfohlenen Rechtsanwälten wird Dr. Kinast, Gründungspartner von Kinast & Partner, auf Platz 7 gelistet.
Die Studie des Bundesverbandes der Unternehmensjuristen e.V. (BUJ) untersucht auf empirischer Basis seit dem Jahr 2013 das Mandatierungsverhalten in den Rechtsabteilungen. Insgesamt 700 Unternehmen gaben in diesem Jahr 7.054 Empfehlungen für 749 Kanzleien in 31 verschiedenen Rechtsgebieten ab.
7. Dezember 2015
Etwa fünf Jahre wurde darüber diskutiert, auch wir haben schon darüber berichtet und nun haben sich die Innenminister der EU geeinigt: Die Daten von Flugpassagieren innerhalb der EU sollen künftig sechs Monate lang unter deren Klarnamen und anschließend fünf Jahre lang pseudonymisiert gespeichert werden. Das Europaparlament muss dem Entwurf der Fluggastdatenrichtlinie noch zustimmen, was nach Medienberichten unter Umständen bis Ende des Jahre geschehen soll.
Zu den Daten, die die Fluglinien an Behörden der EU-Mitgliedsländer weiterleiten müssen, gehören unter anderem Name, Adresse, Telefonnummer, E-Mail Adresse, Kreditkartennummer, Reiseziel, Ablaufdatum des Reisepasses bzw. Personalausweises, angegebene Essenswünsche etc. Als Oberbegriff für die Gesamtheit der Daten gilt der Begriff des “Passenger Name Record (PNR)”.
Ein PNR-Abkommen zwischen der EU und den USA besteht schon seit Langem und wird von Datenschutzorganisationen, wie z.B. der Art. 29 Datenschutzgruppe, immer wieder kritisiert.
Auch über die Einigung der EU-Innenminister über die Fluggastdatenspeicherung herrschen unterschiedliche Ansichten. Während die einen sie als effektive Anti-Terror-Maßnahme sehen, bemängeln andere eine blinde Datensammlung mit hohem Kostenaufwand.
3. Dezember 2015
So genannte MOOCs, massive open online courses, werden inzwischen auch von deutschen Universitäten, wie beispielsweise der LMU München, angeboten. Insbesondere aus datenschutzrechtlicher Sich begegnen sie jedoch erheblichen Bedenken, wie Recherchen von NDR, Süddeutscher Zeitung und des SRF jetzt gezeigt haben.
In diesen Online-Kursen können Studenten aus der ganzen Welt an Vorlesungen renommierter Professoren teilnehmen, die für sie mit Videos attraktiv aufbereitet werden und die Möglichkeit vorsehen, sich mit den Dozenten und anderen Studenten auszutauschen. Bei der LMU München werden die Inhalte dieser Kurse durch das kalifornische Start-up Coursera vorbereitet, dem Weltmarktführer auf diesem Gebiet.
Das für Coursera geltende amerikanische Recht sieht allerdings vor, dass die dem Unternehmen durch die Kurs-Anmeldung vorliegenden Daten für alle möglichen weiteren Zwecke verarbeitet und genutzt werden dürfen – laut der Recherche-Gruppe sehen die Verträge mit Coursera sogar vor, dass die personenbezogenen Daten der Teilnehmer an Arbeitgeber oder Personalvermittler verkauft werden dürfen. Die Zahl der Betroffenen ist dabei enorm: Weltweit soll es sich um rund 16,5 Millionen Nutzer handeln.
Auch in Punkto Transparenz handelt das Unternehmen alles andere als vorbildlich: Eine Anfrage der Recherchierenden, welche Daten genau gespeichert werden und was damit im Einzelnen geschieht, ließ Coursera unbeantwortet. Es steht zu befürchten, dass ganze Nutzerprofile (welche Videos hat sich ein Nutzer angeschaut? wie hat er bei Tests abgeschlossen? mit wem wurde sich ausgetauscht?) dort vorliegen und eben auch Verwendung finden.
Einige deutsche Universitäten sind dazu übergegangen, ihre Lerninhalte über Plattformen in Europa zu betreiben.
Pages: 1 2 ... 125 126 127 128 129 ... 205 206 
