Kategorie: Allgemein
5. November 2015
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) hat selbst entwickelte Leitlinien für den Einsatz von Big Data Technologien in der Wirtschaft veröffentlicht („Leitlinien für den Big-Data-Einsatz – Chancen und Verantwortung“). Darin werden Anbietern und Anwendern konkrete Empfehlungen für eine verantwortungsvolle Nutzung von Big Data geben. Die Daten von Betroffenen sollen so wirksam geschützt werden, die Datenverarbeitung nachvollziehbar sein und Datenanalysen einen Nutzen für diejenigen schaffen, die ihre persönlichen Daten zur Verfügung stellen. Man wolle mittels des Leitfadens informieren, sensibilisieren und einen Anstoß für den gesellschaftlichen Diskurs geben. Die Leitlinien beinhalten u.a. diverse Anwendungsbeispielen, die das große Potenzial der Technologie für die Gesellschaft insgesamt und jeden einzelnen Menschen aufzeigen.
29. Oktober 2015
Die EU-Justizkommissarin Vĕra Jourová hat den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 25. Oktober 2015 über den aktuellen Stand der Verhandlungen über ein neues Safe-Harbor-Abkommen informiert. Zwischen der EU-Kommission und dem US-Handelsministerim bestehe zwar im Grundsatz Einigkeit, jedoch müsse noch über eine Vielzahl kritischer Punkte diskutiert werden.
Die Kommissarin äußerte sich vorsichtig optimistisch, dass die derzeitig stattfindenden Verhandlungen über technische Lösungen bis zu ihrem Besuch Mitte November in Washington fortgeschritten seien. Die Vereinigten Staaten hätten bereits jetzt Zusagen bezüglich einer strengeren Kontrolle der Safe-Harbor-Zertifizierungsverfahrens durch das US-Handelsministerium und einer engeren Zusammenarbeit mit europäischen Datenschutzbehörden gemacht. Neben der Einführung von Datenschutzvorschriften, die denjenigen der EU entsprechen, sei die Regelung des Zugriffs der US-Geheimdienste auf Daten von EU-Bürgern sowie die gerichtliche Kontrolle von Überwachungsmaßnahmen wesentlicher Punkt der Verhandlungen. Dabei sei der letzte Aspekt, die Einführung einer wirksamen gerichtliche Kontrolle der US-Geheimdienste, die größte Herausforderung auf dem Weg zu einem Abkommen.
Mit einer Einigung über ein Safe-Harbor 2.0 könne daher vor Ende Januar 2016 nicht gerechnet werden.
Die Kommissarin macht insoweit deutlich, dass Safe-Harbor 2.0 wesentlich von der Haltung der Vereinigten Staaten zu dem behördlichen Zugriff auf die übermittelten Daten von EU-Bürgern abhängt. Bis zu einem Abschluss eines neuen Abkommens bleibt die Übermittlung im Rahmen von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig.
23. Oktober 2015
Wie Forscher der Uni Erlangen in einem Angriff zeigen konnten, ist die Kombination der Sparkassen-Apps Sparkasse+ und pushTAN für Angreifer ausnutzbar. Bei Nutzung beider Apps auf einem Gerät genügt es Angreifern, einen Trojaner auf das Gerät zu installieren, um Transaktionen durchzuführen. Dieser Versuch entblößt zwar mit der Sparkasse vordergründig nur ein Bankhaus. Die Apps der Sparkasse wurden hier jedoch nur exemplarisch gewählt. Die Forscher weisen ausdrücklich darauf hin, dass die Sicherheitslücke bei allen Banken bestehen dürfte, die auf diese Weise vorgehen.
Der Nachteil eines Systems, welches nur auf ein Gerät abstellt, liegt auf der Hand. Ist dieses Gerät einmal kompromitiert, stehen dem Angreifer die Tore zum Konto des Betroffenen offen. Das in dieser Hinsicht sicherlich vorzugswürdige System mittels ChipTan ist in der Praxis unbeliebt, da es für Transaktionen erfordert, dass man einen TAN-Generator zur Verfügung hat.
Grund sofort das Online-Banking einzustellen und wieder auf den Sparstrumpf zu setzen besteht aber vorerst nicht unbedingt. Wie heise online ausführt ist der vorgeführte Angriff auf das Android-Betriebssystem (mittels Root Exploit) durchaus komplex. Die Forscher hätten allein mehrere Wochen benötigt um die App genau zu analysieren. Die Forscher halten einen Angriff von professionellen Online-Banking-Betrügern auf diese Weise aber für wiederholbar. Ein vollends sicheres System, welches gleichzeitig auch größtmögliche Benutzerfreundlichkeit bietet, ist also noch nicht gefunden.
16. Oktober 2015
Einem Beitrag der International Association of Privacy Professionals (IAPP) zufolge, lieferte Jan Philipp Albrecht, stellvertretender Vorsitzender des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), grüne Europaabgeordnete und Berichterstatter im Rahmen der Verhandlungen zur Datenschutz-Grundverordnung, am 12. Oktober 2015 einen aktuellen Bericht zum Status Quo der Trilog-Verhandlungen zur Datenschutz-Grundverordnung. In diesem gab er bekannt, dass der Text zu Kapitel 5 (Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen) bereits finalisiert und die Kapitel II, III und IV (allgemeine Grundsätze, Betroffenenrechte und Regelungen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter) zumindest weitestgehend fertiggestellt seien. Sein Eindruck sei, dass insgesamt eine Einigung über – geschätzte – 70 bis 80 Prozent des Verordungstextes erzielt worden sei. Nichts desto trotz gäbe es noch offene, zumeist politische, Themen, auf die noch einmal zurückzukommen sei.
Insbesondere seien noch folgende Themen zu klären:
- Die Form und die Bedingungen unter denen die betroffenen Personen eine Einwilligung zu erteilen haben.
- Wie weit und auf welche Weise die Prinzipien der Datensparsamkeit und Datenvermeidbarkeit im Verordnungstext definiert und reguliert werden sollen.
- Die konkrete Formulierung in Hinsicht auf die für die Betroffenen notwendigen und dem Transparenzgebot entsprechenden Informationen.
- Die Rechte und Pflichten von verantwortlichen Stellen und Auftragsdatenverarbeitern, einschließlich der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten (Verpflichtung zur Bestellung); derzeit vertritt der Rat die Auffassung, die Entscheidung über eine verpflichtende Bestellung des Datenschutzbeauftragte den Mitgliedstaaten zu überlassen.
Trotz dieser noch offenen Themen ist Albrecht positiv gestimmt. Er gibt an, eine realistische Chance zu sehen, die Trilog-Verhandlungen – so wie vorgesehen – noch bis Ende dieses Jahres zu beenden. Bis November sollen nicht nur die genannten offenen Themen und Fragen geklärt, sondern es soll sich auch mit den Kapiteln VI und VII beschäftigt werden. Ein weiteres Problem, das noch in Angriff genommen werden muss, sei die Frage – so Albrecht – wie eine bessere und einheitlichere Durchsetzung der Regelungen erreicht werden könne. Auch hier seien sie jedoch zu einer baldigen Entscheidung in der Lage.
Vielen Unternehmen mag das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) Kopfschmerzen bereitet haben. So manches Geschäftsmodell wird in diesen Tagen mit Sicherheit einer kritischen Betrachtung standhalten müssen, an deren Ende es Wege zu finden gilt, Datenflüsse in die USA weiterhin zu legitimieren. Dass Verbraucher und Geschäftspartner betroffene Unternehmen mit Anfragen zum Datenschutz überhäuften, war ein zu erwartender Effekt der EuGH-Entscheidung und nicht zuletzt deren medialer Aufbereitung.
Wie man sich allerdings die öffentliche Aufmerksamkeit auch zu Nutze machen kann, zeigt zum Beispiel der in Köln ansässige Anbieter für Umfrage-Software Questback GmbH. Auf der Homepage des Unternehmens erscheint vorab ein Overlay, über welches zu einer Informationsseite verlinkt wird. Darin wirbt das Unternehmen mit der Tatsache, gerade nicht von den Safe-Harbor-Turbulenzen betroffen zu sein, da Datenverarbeitungen nur innerhalb Deutschland und Europas erfolgen. In der gezielten Ansprache an Auftraggeber, Geschäftspartner und potentielle Neukunden stellt sich Questback insgesamt als zertifizierten, professionellen und vertrauenswürdigen Datenverarbeiter und Dienstleister vor.
Eine gelungene Veranschaulichung, dass gelebter Datenschutz immer auch eine Visitenkarte des Unternehmens darstellt und damit durchaus wertschöpfend genutzt werden kann.
Nach dem Safe-Harbor-Urteil des EuGH vom 06. Oktober 2015 tönt es im transatlischen Verhältnis wie in einem schlechten Western. Die USA reagieren verschnupft, die deutschen Behörden übertreffen sich untereinander gegenseitig mit immer neuen Forderungen und Einschätzungen. So stellt die Landesdatenschutzbeauftragte aus Schleswig-Holsteins, Marit Hansen in einem Interview mit dem Deutschlandfunk schon einmal in Frage, ob künftig Übermittlungen von Daten in die USA überhaupt noch zulässig sein sollen. Zwar vergisst sie zu erwähnen, dass es nicht in Ihre Zuständigkeit fällt, etwa die EU-Standardvertragsklauseln für hinfällig zu erklären, immerhin fordert sie aber Übergangsfristen.
Fraglich bleibt aber, was man erreichen will, wenn man solche Datentransfers wirklich untersagen möchte. Würde man das kurzfristig tun, könnte wohl die Mehrzahl der Unternehmen in Deutschland ihre Marketingabteilungen entlassen und wieder zur Kommunikation mit Rohrpost zurückkehren. Sicher – große Unternehmen wie Microsoft werden es wohl schaffen, ihre Datenbanken relativ kurzfristig nach Europa zu verlagern. Gerade dieses Unternehmen streitet sich aber momentan mit der US-Regierung, ob es nicht auch Daten aus Rechenzentren in Irland an US-Geheimdienste übergeben muss. Aber selbst wenn Europa hier einer harten Linie folgen sollte und US-Unternehmen sich offen gegen ihre Regierung stellen, erscheint es doch zumindest naiv zu glauben, Daten seien vor US-Behörden sicher, nur weil sie physisch in Europa lagern.
Bleibt aber die Frage, was denn passieren soll, wenn Microsoft, Google, Facebook und Co. nicht ihr komplettes Geschäftsmodell an die Vorstellungen der Europäer anpassen wollen. Man wird wohl mit Bußgeldern drohen – diese sollen ja nach der neuen EU-Grundverordnung durchaus schmerzhaft ausfallen (im Gespräch sind bis zu 5 % des weltweiten Jahresumsatzes). Vielleicht wird man es sogar schaffen, das ein oder andere Unternehmen komplett aus Europa zu vertreiben. Nur werden ihre Dienste und Produkte – sofern man nicht nach chinesischem Vorbild eine große Datenmauer um Europa errichten möchte – ja für europäische Nutzer über das Internet weiter verfügbar sein. Der Datenschutz und die Datensicherheit von EU-Bürgern würden sich also sicher nicht verbessern.
Hinzuweisen bleibt in diesem Zusammenhang auch auf das Beispiel “Recht auf Vergessen” bei Google. Zwar entfernt Google Ergebnisse nun tatsächlich aus seinen europäischen Angeboten, auf den internationalen Seiten sind sie aber weiter zu finden. Jeder der sich auch nur etwas Mühe gibt, kann sie also weiter finden. An diesem Beispiel erkennt man sehr gut, dass es faktisch nicht zielführend ist, zu erwarten, dass die Welt am europäischen Wesen genesen möge.
Letztlich werden nur multinationale Lösungen auf politischer Ebene zu Erfolgen führen. Die EU hat durchaus, etwa im Hinblick auf Verhandlungen wie zu TTIP, Trümpfe in der Hand um die Amerikaner zu Zugeständnissen zu bewegen. Strafandrohungen und dergleichen werden wohl kaum zu einem Einlenken führen. Eine rethorische Abrüstung würde der Diskussion sicherlich gut tun, es ist nicht High Noon und wir werden unsere unterschiedlichen Anschauungen zum Datenschutz nicht durch Konfrontation lösen können.
15. Oktober 2015
Nach der Safe-Harbor-Entscheidung des EuGH vom 06. Oktober 2015 sind Datenübermittlungen auf Grundlage des Abkommens nicht mehr zulässig. Hintergrund der Entscheidung ist der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.
Nach wie vor in Betracht kommt indes ein Transfer auf der Basis der Standardvertragsklauseln bzw. Binding Corporate Rules, deren Zulässigkeit nicht Gegenstand des Verfahrens war. Datenschutzrechtliche Bedenken hiergegen bestanden jedoch bereits vor der Entscheidung des EuGH und werden erneut vor dem erläuterten Hintergrund der Entscheidung diskutiert.
Deutsche Datenschutzbehörden haben bereits im Jahr 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen diese Standard-Vertragsklauseln nicht (mehr) ausreichten, solange die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste nicht geklärt seien:
“Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird.
Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”
In dem Positionspapier zu dem Safe-Harbor-Urteil hält die schleswig-holsteinische Datenschutzbauftragte bei konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil eine Datenübermittlung auf Basis von Standardvertragsklauseln für nicht mehr zulässig. Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssten nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. Eine dauerhafte Lösung könne nur in einer Änderung des amerikanischen Rechts liegen.
Es werde nun geprüft, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.
14. Oktober 2015
Die Staatsanwaltschaft Karlsruhe hat Medienberichten zufolge Ermittlungen gegen den Energiekonzern EnBW eingeleitet. Konkret vorgeworfen werde dem Konzern, das nicht öffentlich gesprochene Wort von Kunden durch Mitschnitte von Servicegesprächen unerlaubt aufgezeichnet zu haben. Kundengespräche seien stets, d. h. auch wenn Kunden einen Mitschnitt abgelehnt haben, aufgezeichnet worden. Dies sei von EnBW auf rein technische Gründe zurückgeführt worden. Die Ermittlungen der Staatsanwaltschaft sollen sich gegen „namentlich bekannte Personen“ bei EnBW richten, die für die beanstandete Praxis der Aufzeichnungen verantwortlich sein könnten. Der Sachverhalt sei wegen der technischen Details rund um die von EnBW verwendete Software sehr kompliziert.
Kundengespräche dürfen grundsätzlich nur mit Einwilligung beider Gesprächsteilnehmer, d. h. des Kunden sowie des Mitarbeiters, aufgezeichnet werden. Ansonsten erfolgt das Aufzeichnen unbefugt im Sinne des § 201 Strafgesetzbuch. Es können wegen Verletzung der Vertraulichkeit des Wortes Freiheitsstrafen von bis zu drei Jahren oder entsprechende Geldstrafen gegen die Verantwortlichen verhängt werden. Daneben drohen dem Unternehmen erhebliche Imageschäden.
9. Oktober 2015
Medienberichten zufolge rechnet die Industrie damit, ab Mitte 2016 sämtliche Kartenlesegeräte für die elektronische Gesundheitskarte austauschen zu müssen, wodurch Kosten von fast 100 Millionen Euro entstehen würden. Hintergrund seien Bedenken des Bundesamtes für Sicherheit in der Informationstechnik, wonach die bisherigen Kartenlesegeräte, mit denen Ärzte die Patientendaten ein- und auslesen können, nicht hinreichend vor dem Zugriff Unbefugter geschützt sind. Problematisch seien insbesondere die Gehäuse der knapp 400 Euro teuren Kartenlesegeräte. Die bislang verwendeten Plastikhüllen seien nicht in der Lage, Daten abzuschirmen und Hacker davon abzuhalten, in die Krankenakten von Patienten Einsicht zu nehmen. Die Lesegeräte waren erst 2011 mit der Auslieferung der bislang gültigen Gesundheitskarte eingeführt worden.
1. Oktober 2015
Zum heutigen Tag löst Helga Block den bisherigen Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Ulrich Lepper, ab, der nach fünf Jahren Amtszeit in den Ruhestand tritt.
Block war – nach ihrer Anfangszeit bei den Bezirksregierungen Detmold und Düsseldorf – seit 1989 im Ministerium für Inneres und Kommunales beschäftigt, seit 2001 war sie dort als Abteilungsleiterin tätig und unter anderem für die Themen Verfassungsrecht und Datenschutz verantwortlich. Sie wurde 1954 in Münster geboren und studierte dort Rechtswissenschaften.
Medienberichten zufolge werde Block, wenn nötig, auch einmal “unbequem” sein, sie wolle in Zukunft gerne ihre Ansicht “als unabhängige Teilnehmerin an der öffentlich geführten Debatte” einbringen.
Hinsichtlich einer der größten Herausforderungen der kommenden Monate, der Entwicklung der EU-Datenschutzgrundverordnung, äußerte sie sich dahingehend, dass sie sich auf jeden Fall noch in die Trilog-Verhandlungen einbringen werde, um das neue Recht verbraucherfreundlich zu gestalten. Es verstehe sich für sie von selbst, “dass die Reform des EU-Datenschutzrechts das hohe Schutzniveau in Deutschland mindestens halten sollte”.
Pages: 1 2 ... 127 128 129 130 131 ... 205 206 
