Kategorie: Datenschutz in den USA

290 Millionen Euro Bußgeld für Uber

10. September 2024

Laut Mitteilung vom 26.08.2024 hat die niederländische Datenschutzbehörde ein Bußgeld in Höhe von 290 Millionen Euro gegen Uber verhängt. Grund hierfür ist, dass der Fahrdienstvermittler entgegen der Datenschutzgrundverordnung (DSGVO) über einen Zeitraum von mehr als zwei Jahren personenbezogene Daten europäischer Fahrer in die USA übermittelt haben soll. (mehr …)

USA-Update Teil 4: Ein einhetliches Datenschutzgesetz?

15. August 2024

In den USA gibt es einen erneuten Vorstoß für ein nationales Datenschutzgesetz. Am 7. April 2024 stellten zwei führende Politikerinnen beider Parteien einen Gesetzentwurf vor. Der „American Privacy Rights Act“ (APRA) soll landesweite Standards festlegen und die wachsende Zahl einzelstaatlicher Datenschutzgesetze eindämmen. Bislang existiert in den USA kein einheitliches Datenschutzgesetz auf Bundesebene, obwohl es in den letzten Jahren mehrere Anläufe gab, eines zu schaffen, darunter der „American Data Privacy and Protection Act“ (ADPPA) von 2022. (mehr …)

USA-Update Teil 3: Das Data Privacy Framework

14. August 2024

Am 10. Juli 2023 hat die EU-Kommission eine neue Entscheidung getroffen, um den sicheren Datenaustausch zwischen der EU und den USA zu ermöglichen. Das Trans-Atlantic Data Privacy Framework (TADPF) stellt den dritten Versuch dar, nach „Safe Harbor“ und „Privacy Shield“, den transatlantischen Datentransfer zu erleichtern. Diese Vereinbarung erlaubt es nun, Unternehmen wie Google, Microsoft, Meta oder AWS, Daten sicher von der EU in die USA zu übertragen.

(mehr …)

USA-Update Teil 2: Datenschutz in den einzelnen Bundesstaaten

13. August 2024

In diesem Teil unserer Beitragsreihe werfen wir einen Blick auf den Datenschutz in den einzelnen Bundesstaaten, genauer gesagt auf das (nord-) amerikanische Datenschutzsystem, das sich durch eine Vielzahl von föderalen und bundesstaatlichen Gesetzen auszeichnet. Während einige Länder, wie Kanada, bereits umfassende Datenschutzgesetze etabliert haben, präsentiert sich die Situation in den USA als deutlich fragmentierter. Diese Uneinheitlichkeit bringt  Herausforderungen mit sich, die in den folgenden Abschnitten genauer beleuchten werden. (mehr …)

USA-Update Teil 1: Status Quo des Datenschutzes

12. August 2024

In den letzten Jahren hat der Schutz personenbezogener Daten erheblich an Relevanz gewonnen, da die Digitalisierung zunehmend Einzug in alle Lebensbereiche hält und die Nutzung von personenbezogenen Daten in Umfang und Intensität stark zunimmt. Ob in sozialen Netzwerken, beim Online-Einkauf oder in digitalen Gesundheitsakten – persönliche Informationen werden heute in einem Ausmaß erfasst, gespeichert und verarbeitet, das vor wenigen Jahrzehnten noch unvorstellbar war. Diese Entwicklung bringt jedoch auch neue Risiken und Herausforderungen mit sich, wie Datenschutzverletzungen, Identitätsdiebstahl und den Missbrauch personenbezogener Daten für kommerzielle oder politische Zwecke. Der Status Quo des Datenschutzes in den USA gewinnt damit erheblich an Bedeutung. (mehr …)

Neues bundesweites Datenschutzgesetz in den USA?

15. April 2024

In den USA gibt es einen weiteren Anlauf für ein neues Datenschutzgesetz. Zwei ausschussvorsitzende Politiker der beiden Parteien haben hierfür am 07.04.2024 einen Entwurf vorgestellt. Der “American Privacy Rights Act” (APRA) soll nationale Standards setzen und die steigende Zahl an Datenschutzgesetzen in den einzelnen Bundesstaaten eindämmen. (mehr …)

Datenschutzregeln in New York geändert

6. November 2023

Am 1.11.2023 hat das US-amerikanische New York Department of Financial Services (NYDFS) die zweite Änderung seiner Part 500 Cybersicherheitsregeln finalisiert und damit auch die Datenschutzregeln geändert. Neben den ursprünglich vor einem Jahr vorgeschlagenen Vorschriften, gibt es auch einige Neuerungen.

Neue Unternehmensgruppe: „Class A Companies“

Die wohl wichtigste Änderung stellt die Einführung der sogenannten „Class A Companies“ dar. Bei dieser Gruppe handelt es sich um NYDFS-regulierte Konzerne, die entweder mehr als 2.000 Angestellte haben oder über 1 Milliarde Euro Bruttojahresumsatz generieren.

Diese Unternehmen treffen besonders hohe Anforderungen. Zum einen sind sie dazu verpflichtet jährlich eine externe oder interne unabhängige Prüfung ihrer Cybersicherheitsprogramme durchzuführen. Weiterhin sollen sie eine Privileged Access Management-Lösung einführen sowie Methoden zum automatischen Blockieren häufig verwendeter Passwörter implementieren. Zuletzt müssen Betriebe Prozesse zur Überwachung und Protokollierung potenziell nicht autorisierter Aktivitäten schaffen.

Neuer Begriff: „Cybersecurity Incident”

Die aktualisierte Vorschrift führt den neuen Begriff „Cybersecurity Incident” ein. Obwohl der breitere Begriff „Cybersecurity Event” weiterhin in verschiedenen Abschnitten Verwendung findet, gilt „Cybersecurity Incident” speziell für Benachrichtigungen an das NYDFS. Die beiden Begriffe werden wie folgt definiert:

  • Cybersecurity Event: Ein Cybersecurity Event ist jede Handlung oder Versuch, erfolgreich oder nicht, um unbefugten Zugang zu einem Informationssystem zu erlangen oder dieses zu stören oder die darauf gespeicherten Informationen zu missbrauchen.
  • Cybersecurity Incident: Ein Cybersecurity Incident ist ein Cybersecurity Event, das beim betroffenen Unternehmen, seinen Tochtergesellschaften oder seinen Drittdienstleistern aufgetreten ist und entweder:
    • das betroffene Unternehmen betrifft und dieses verpflichtet eine übergeordnete Aufsichtsorganisation zu benachrichtigen,
    • eine hinreichende Wahrscheinlichkeit hat, einen wesentlichen Teil des normalen Betriebs des betroffenen Unternehmens erheblich zu schädigen, oder
    • zum Einsatz von Ransomware innerhalb eines wesentlichen Teils der Informationssysteme des betroffenen Unternehmens führt.

72-Stunden-Meldepflicht nur für betroffenes Unternehmen

Das NYDFS reagierte zudem auf Kritik bezüglich der 72-Stunden-Benachrichtigungsanforderung gegenüber einer übergeordneten Aufsichtsorganisation. Das NYDFS änderte die Formulierung entsprechend und erklärte, dass es das betroffene Unternehmen und nicht etwa ein Dienstleister ist, der die Benachrichtigungspflicht trägt. Deshalb werde die 72-Stunden-Meldepflicht auch erst ausgelöst, wenn das betroffene Unternehmen von einem meldepflichtigen Vorfall Kenntnis erlangt hat.

Reduzierte Updatepflicht zu Datenschutzvorfällen

Das NYDFS präzisierte auch die Anforderung, Updates zu Datenschutzvorfällen bereitzustellen. Diese Anforderung bezieht sich nur auf materille Änderungen oder neue Informationen, die zuvor nicht verfügbar waren.

Umsetzungsfristen

Die meisten Änderungen sollen 180 Tagen nach Inkrafttreten der neuen Verordnung (1.11.2023), also am 29.04.2024, wirksam werden. Es gibt jedoch auch einige hiervon abweichende Übergangsfristen je nach dem, welche Bereiche betroffenen sind.

Fazit

Durch die beschriebenen Neuerungen werden auch Datenschutzregeln in New York geändert. Das NYDFS normiert hier insbesondere Schutzvorkehrungen und Meldepflichten, die Unternehmen beachten müssen. Auch für deutsche Firmen können diese von Bedeutung werden, wenn sie mit US-Unternehmen zusammenarbeiten oder dort Mutter- oder Tochtergesellschaften haben. Betroffene Unternehmen sollten bereits jetzt mit der Vorbereitung und finanziellen Planung der neuen Anforderungen starten. Konkret sollten Unternehmen vor allem prüfen, ob sie als „Class A Company“ klassifiziert werden. In einem nächsten Schritt müssen sie Dokumentationsprozesse aktualisieren, um den neuen Regeln Rechnung zu tragen.

G7-Länder setzen Leitlinien für KI

31. Oktober 2023

Die Gruppe der sieben größten demokratischen Volkswirtschaften (G7) hat am 30.10.2023 einen wegweisenden Schritt unternommen, um die Verwendung von Künstlicher Intelligenz (KI) sicherer zu gestalten. Die Staats- und Regierungschefs der G7-Länder setzen neue Leitlinien für KI, die die Notwendigkeit betonen, Risiken im Zusammenhang mit dieser aufstrebenden Technologie zu reduzieren und die Menschen vor missbräuchlicher Nutzung zu bewahren.

Inhalt der Leitlinie

In der gemeinsamen Erklärung wurden elf Leitprinzipien erarbeitet. Diese sollen unteranderem einen freiwilligen Verhaltenskodex für KI-Anbieter wie OpenAI, Microsoft und Google darstellen. Ziel ist es die Sicherheit und Vertrauenswürdigkeit dieser neuen Technologien voranzubringen. KI-Betreiber werden aufgefordert, potenzielle Gefahren und Schwachstellen von KI-Anwendungen herauszuarbeiten und regelmäßig hierüber zu berichten. Darüber hinaus sollen effektive Maßnahmen ergriffen werden, um KI-Inhalte beispielsweise durch spezielle Kennzeichen zu markieren.

Aktuelle rechtliche Entwicklungen

Die Europäische Kommission äußerte sich positiv gegenüber der Erklärung der G7-Länder. Die Leitlinien würden zu international geltenden Regeln beitragen, die gerade im KI-Bereich im Vergleich von regionalen Gesetzen zu bevorzugen seien. Diese Aussage überrascht nicht vor dem Hintergrund, dass die EU zurzeit selbst an einer KI-Verordnung arbeitet, die noch bis Ende des Jahres fertiggestellt werden soll. Der schwierige Gesetzgebungsprozess verdeutlicht, welche Hürden die Legislative bei der Regelung dieser neuen Technologie zu meistern hat. Dabei ist vor allem von entscheidender Bedeutung, einen ausgewogenen Ansatz zu finden, der die Entwicklung von KI nicht erstickt, sondern sicherstellt, dass sie zum Wohl der Gesellschaft eingesetzt werden kann.

Zudem gibt es auch in den USA entsprechende Bestrebungen. So hat US-Präsident Joe Biden ein Dekret erlassen, dass KI-Betreiber zu Tests verpflichtet, wenn Gefahren für die nationale Sicherheit und die öffentliche Gesundheit und Sicherheit bestehen. Zudem sind hierin auch Standards für den Datenschutz vorgesehen.

Fazit

KI bietet das Potenzial, in verschiedenen Bereichen einen wichtigen Beitrag zu leisten, einschließlich Klimaschutz, Energieeffizienz, Gesundheitsvorsorge und selbst Datenschutz. Gleichzeitig ist es jedoch erforderlich, die Verwendung von KI zu regulieren, um Missbrauch und Risiken zu verhindern. Das bezieht sich nicht zuletzt auf die Gefahren, die KI-Systeme wie ChatGPT auf den Schutz personenbezogener Daten haben kann.

Die G7-Länder setzen nun neue Leitlinien für KI. Die gemeinsame Erklärung ist ein bedeutender Schritt in Richtung sicherer KI-Anwendungen auf internationaler Ebene. Sie zeigt die Notwendigkeit des verantwortungsvollen Umgangs mit dieser zukunftsweisenden Technologie, ohne zu hohe Hürden für die KI-Entwicklung zu stellen.

Datenschutzpraktiken der Automobilindustrie in den USA

13. September 2023

Die Mozilla Foundation hat im Rahmen ihres Programms “Privacy not included” die Datenschutzbestimmungen von 25 Automobilherstellern in den USA unter die Lupe genommen. Das Ergebnis ist schockierend: Keine der untersuchten Automarken erfüllte die Standards des Datenschutzes. Die Datenschutzregelungen erlauben eine umfangreiche Datensammlung, die sogar über das hinausgeht, was bei Mobil-Apps, Smart-Home-Assistenzsystemen oder Smartphones erlaubt ist. Die Untersuchung deckte auch unklare Datenschutzbestimmungen auf und zeigte, dass den Verbrauchern kaum Möglichkeiten zum Widerspruch geboten werden.

Autos als Datenschleudern

Die Vorstellung vom Auto als einem privaten Raum, in dem die persönliche Privatsphäre geschützt ist, entspricht nicht mehr der Realität. Die heutigen Fahrzeuge sind regelrechte Datensammelmaschinen, die enorme Mengen an persönlichen Informationen sammeln, ohne ausreichende Schutzmaßnahmen zu bieten. Dies ist das Ergebnis der Untersuchung der Mozilla Foundation im Rahmen ihres “Privacy not included”-Programms.

Weitergabe persönlicher Daten an Dritte

Die Erkenntnis der Untersuchung ist, dass 84 Prozent der Autohersteller angeben, dass sie persönliche Daten sammeln dürfen, und mehr als drei Viertel von ihnen erlauben sich auch den Verkauf dieser Daten. Über die Hälfte der Datenschutzbestimmungen erlaubt die Weitergabe persönlicher Daten auf Anfrage von Ermittlungsbehörden. Bei einigen Unternehmen sind die Formulierungen so vage, dass jede Behördenanfrage beantwortet werden kann, unabhängig davon, ob sie legal oder illegal ist.

Umfang der gesammelten Daten

Die gesammelten Daten umfassen Informationen über die Fahrzeugnutzung, wie etwa Geschwindigkeit, Fahrtrouten und Fahrverhalten. Einige Autos zeichnen sogar die Umgebung mit Kameras auf. Doch die Datenschutzbestimmungen gehen noch weiter und erlauben die Erfassung sensibler Informationen wie “sexuelle Aktivität”, “religiöser Anschauungen” und sogar “genetischer Informationen”.

Verlust der Kontrolle über die eigenen Daten

Die Mehrheit der Autohersteller ermöglicht es den Verbrauchern nicht, ihre eigenen Daten zu löschen oder die Verwendung zu beschränken. Lediglich bei zwei der untersuchten Marken können die Kunden ihre Daten selbst verwalten. Die deutschen Datenschutzbestimmungen der Autohersteller wurden in der Studie nicht berücksichtigt, aber es ist anzunehmen, dass auch hier erhebliche Mengen an Daten in modernen Fahrzeugen gesammelt werden.

Forderungen nach mehr Datenschutz

In Deutschland gewinnt das Thema Datenschutz im Zusammenhang mit vernetztem Fahren an Bedeutung. Eine Umfrage des Verbraucherzentrale Bundesverbands (vzbv) ergab, dass fast drei Viertel der Befragten das Recht haben möchten, selbst zu entscheiden, welche Daten von Fahrzeugherstellern und anderen Unternehmen verarbeitet werden dürfen. Die Mehrheit der Befragten möchte zudem, dass eine unabhängige Stelle die Datenweitergabe überwacht.

DSK veröffentlicht Anwendungshinweise zum EU‐US Data Privacy Framework

8. September 2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.

Allgemeines zu Drittstaatenübermittlungen

Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.

Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.

Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer

Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).

Kapitel V – Übersicht zu den Übermittlungsinstrumenten

Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.

Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.

Informationen für Daten übermittelnde Stellen (Datenexporteure)

US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.

Umfassende Erläuterungen

Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.

Fazit

Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.

In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.

Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.

Pages:  1 2
1 2