Datenschutz in den USA

Kategorie: Datenschutz in den USA

Datenschutzpraktiken der Automobilindustrie in den USA

13. September 2023

Die Mozilla Foundation hat im Rahmen ihres Programms “Privacy not included” die Datenschutzbestimmungen von 25 Automobilherstellern in den USA unter die Lupe genommen. Das Ergebnis ist schockierend: Keine der untersuchten Automarken erfüllte die Standards des Datenschutzes. Die Datenschutzregelungen erlauben eine umfangreiche Datensammlung, die sogar über das hinausgeht, was bei Mobil-Apps, Smart-Home-Assistenzsystemen oder Smartphones erlaubt ist. Die Untersuchung deckte auch unklare Datenschutzbestimmungen auf und zeigte, dass den Verbrauchern kaum Möglichkeiten zum Widerspruch geboten werden.

Autos als Datenschleudern

Die Vorstellung vom Auto als einem privaten Raum, in dem die persönliche Privatsphäre geschützt ist, entspricht nicht mehr der Realität. Die heutigen Fahrzeuge sind regelrechte Datensammelmaschinen, die enorme Mengen an persönlichen Informationen sammeln, ohne ausreichende Schutzmaßnahmen zu bieten. Dies ist das Ergebnis der Untersuchung der Mozilla Foundation im Rahmen ihres “Privacy not included”-Programms.

Weitergabe persönlicher Daten an Dritte

Die Erkenntnis der Untersuchung ist, dass 84 Prozent der Autohersteller angeben, dass sie persönliche Daten sammeln dürfen, und mehr als drei Viertel von ihnen erlauben sich auch den Verkauf dieser Daten. Über die Hälfte der Datenschutzbestimmungen erlaubt die Weitergabe persönlicher Daten auf Anfrage von Ermittlungsbehörden. Bei einigen Unternehmen sind die Formulierungen so vage, dass jede Behördenanfrage beantwortet werden kann, unabhängig davon, ob sie legal oder illegal ist.

Umfang der gesammelten Daten

Die gesammelten Daten umfassen Informationen über die Fahrzeugnutzung, wie etwa Geschwindigkeit, Fahrtrouten und Fahrverhalten. Einige Autos zeichnen sogar die Umgebung mit Kameras auf. Doch die Datenschutzbestimmungen gehen noch weiter und erlauben die Erfassung sensibler Informationen wie “sexuelle Aktivität”, “religiöser Anschauungen” und sogar “genetischer Informationen”.

Verlust der Kontrolle über die eigenen Daten

Die Mehrheit der Autohersteller ermöglicht es den Verbrauchern nicht, ihre eigenen Daten zu löschen oder die Verwendung zu beschränken. Lediglich bei zwei der untersuchten Marken können die Kunden ihre Daten selbst verwalten. Die deutschen Datenschutzbestimmungen der Autohersteller wurden in der Studie nicht berücksichtigt, aber es ist anzunehmen, dass auch hier erhebliche Mengen an Daten in modernen Fahrzeugen gesammelt werden.

Forderungen nach mehr Datenschutz

In Deutschland gewinnt das Thema Datenschutz im Zusammenhang mit vernetztem Fahren an Bedeutung. Eine Umfrage des Verbraucherzentrale Bundesverbands (vzbv) ergab, dass fast drei Viertel der Befragten das Recht haben möchten, selbst zu entscheiden, welche Daten von Fahrzeugherstellern und anderen Unternehmen verarbeitet werden dürfen. Die Mehrheit der Befragten möchte zudem, dass eine unabhängige Stelle die Datenweitergabe überwacht.

DSK veröffentlicht Anwendungshinweise zum EU‐US Data Privacy Framework

8. September 2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.

Allgemeines zu Drittstaatenübermittlungen

Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.

Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.

Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer

Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).

Kapitel V – Übersicht zu den Übermittlungsinstrumenten

Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.

Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.

Informationen für Daten übermittelnde Stellen (Datenexporteure)

US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.

Umfassende Erläuterungen

Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.

Fazit

Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.

In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.

Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.

Kategorien: Allgemein · Datenschutz in den USA · DSGVO · EU-US Data Privacy Framework (DPF) · Internationaler Datenschutz
Schlagwörter: Anwendungshinweise, Art. 45 DSGVO, Art. 46 DSGVO, Datenschutzkonferenz (DSK), EU-U.S. Data Privacy Framework

EU-US Angemessenheitsbeschluss DPF: Zertifizierung gestartet; EDSA veröffentlicht FAQs

21. Juli 2023

Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlug personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ (EU-US Data Privacy Framework, DPF) veröffentlicht (wir berichteten). Die Entscheidung kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die gemäß dem neuen Rahmen an US-Unternehmen übermittelt werden.

Datentransfer mit zertifizierten US-Unternehmen nun möglich

Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es, berechtigten Organisationen mit Sitz in den USA, ihre Konformität mit dem EU-US DPF und, falls zutreffend, mit der britischen und/oder der schweizerischen Erweiterung selbst zu zertifizieren. Um am DPF-Programm teilzunehmen, muss sich ein in den USA ansässiges Unternehmen über die Website des Ministeriums für das DPF-Programm zertifizieren und sich öffentlich zur Einhaltung der DPF-Prinzipien verpflichten. Die Entscheidung zur Selbstzertifizierung im Rahmen des DPF-Programms einer Organisation ist freiwillig, die tatsächliche Einhaltung ist bei einer Teilnahme jedoch obligatorisch. Sobald eine Organisation sich gegenüber der ITA selbst zertifiziert und öffentlich erklärt, dass sie sich zur Einhaltung der DPF-Grundsätze verpflichtet, ist diese Verpflichtung nach US-Recht einklagbar.

Organisationen, die derzeit noch über eine aktive Privacy Shield-Zertifizierung verfügen, können diese an die neuen Anforderungen anpassen, um auch unter dem DPF zertifiziert zu bleiben. Für diese Anpassungen wird eine Übergangsfrist von drei Monaten gewährt.

Standardvertragsklauseln, wenn keine Zertifizierung vorliegt

Praktisch bedeutet dies, dass zertifizierte Unternehmen nunmehr ohne Standardvertragsklauseln (SCC) auskommen können. Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin Standartvertragsklauseln abgeschlossen werden und zusätzliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau garantieren zu können. Das gleiche gilt auch für Transfer Impact Assessments (TIA). Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre.

Wichtig ist, dass das DPF-Programm nur für US-Organisationen zur Verfügung steht, die von der FTC oder dem DOT reguliert werden. Andere Organisationen, insbesondere Banken und einige andere Arten von Finanzinstituten, sind nicht teilnahmeberechtigt und müssen sich daher weiterhin auf SCCs (oder BCRs) für ihre konzerninternen Übermittlungen und andere Übermittlungen an ihre US-Betriebe stützen.

Soll ich weiterhin Standardvertragsklauseln zusätzlich zum DPF abschließen?

Aufgrund der Entwicklungen in dieser Thematik ist es fraglich, ob auch das DPF auf Dauer Bestand haben wird. Die grundsätzlichen Bedenken, welche bereits die Vorgängerabkommen zu Fall gebracht haben, sind nicht vollständig ausgeräumt. Auch dieses Abkommen könnte durch ein Verfahren vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht werden. Der Umstand, dass diese Abkommen mit sofortiger Wirkung für unzulässig erklärt wurden, hatte zur Folge, dass alle Datenübermittlungen, die auf diesen Abkommen beruhten, nicht mehr rechtmäßig waren. Insofern bleibt es auch weiterhin sinnvoll, auf Standardvertragsklauseln aufzubauen, um genau dieses Risiko abzufedern.

EDSA veröffentlicht FAQs

Der Europäische Datenschutzausschuss (EDPB) hat nun ein neues Dokument (Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023) veröffentlicht, welches weitere Informationen zur Verfügung stellt. Die damit verbundenen FAQs wurden kürzlich veröffentlicht und werfen ein neues Licht auf die Thematik.

In den FAQs betont der EDPB, dass alle Sicherheitsvorkehrungen, die von der US-Regierung im Bereich der nationalen Sicherheit getroffen wurden (einschließlich des Beschwerdemechanismus), auf alle Datenübermittlungen in die USA anwendbar sind, unabhängig von dem gewählten Übermittlungsinstrument. Dies bedeutet, dass Datenexporteure bei der Bewertung des Risikos des von ihnen gewählten Übertragungsinstruments gemäß Artikel 46 der Datenschutz-Grundverordnung (DSGVO) die von der Kommission durchgeführte Bewertung in der Angemessenheitsentscheidung berücksichtigen können.

Was bedeutet das konkret?

Im Rahmen des DPF wurden neue Datenschutzmechanismen eingeführt, darunter ein Gericht zur Datenschutzüberprüfung in den USA (Data Protection Review Court, kurz DPRC) sowie beschränkte Zugriffsbefugnisse für Strafverfolgung und nationale Sicherheit wie z.B. die US-Nachrichtendienste.

Bisher galten bestimmte Gesetze wie beispielsweise der Foreign Intelligence Surveillance Act (FISA) 702 und Executive Order (EO) 12.333 als äußerst problematisch, da sie weitreichende Zugriffsmöglichkeiten auf personenbezogene Daten ermöglichten und Bedenken hinsichtlich der Einhaltung der europäischen Datenschutzstandards aufwarfen. Durch die nun erfolgte Angemessenheitsentscheidung könnten diese Gesetze weniger stark ins Gewicht fallen, da die US-Regierung Maßnahmen ergriffen hat, um die Datenübermittlungen rechtskonformer zu gestalten.

Insbesondere die Einführung eines Beschwerdemechanismus sei ein entscheidender Schritt, um den europäischen Datenschutzanforderungen gerecht zu werden. Durch diesen Mechanismus erhalten EU-Bürgerinnen und -Bürger das Recht, gegen etwaige Zugriffe auf ihre personenbezogenen Daten in den USA vorzugehen und ihre Rechte geltend zu machen.

Bedeutung für das Transfer Impact Assessment (TIA)

Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin TIAs abgeschlossen werden. Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre. Gesetze, die zuvor als problematisch eingestuft wurden (wie z.B. FISA 702 & EO 12.333) könnten nun weniger stark ins Gewicht fallen, was die TIAs vereinfachen könnte. Dies stellt einen Fortschritt dar und dürfte die Zusammenarbeit zwischen europäischen und amerikanischen Unternehmen erleichtern.

Trotz dieser positiven Entwicklung ist es weiterhin von entscheidender Bedeutung, dass Datenexporteure ihre Verantwortung ernst nehmen und stets sorgfältig prüfen, welche Übertragungsinstrumente sie wählen.

Fazit

Zumindest vorübergehend steht nun eine „einfache“ Methode zur Legitimierung der Übermittlung von Daten in die Vereinigten Staaten zur Verfügung. Ob diese Lösung auf Dauer tragfähig ist, ist allerdings fraglich. Dieses Risiko sollte man, insbesondere bei laufenden Projekten zum Abschluss von Standardvertragsklauseln, im Hinterkopf behalten und abwägen, ob eine solche Maßnahme weiterhin (auch bei zertifizierten Unternehmen) sinnvoll ist.

Als Ihr Partner im Datenschutz möchten wir Ihnen die Unterstützung der KINAST GRUPPE anbieten. Unsere Experten können Ihre derzeitige Zertifizierung überprüfen und bewerten, ob zusätzliche Maßnahmen erforderlich sind, um den Anforderungen des neuen Datenschutzrahmens gerecht zu werden. Auch im Falle einer neuen Zertifizierung unterstützen wir Sie gerne. Wir sind bestens mit den aktuellen Datenschutzbestimmungen vertraut und können Ihnen helfen, den Übergang zum Data Privacy Framework reibungslos zu gestalten.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie Interesse an unserer Unterstützung bei der Zertifizierung haben oder weitere Informationen benötigen.

Neue Datenschutzgesetzte in Montana und Tennessee

28. April 2023

Die US-Bundesstaaten Montana und Tennessee haben am 21. April umfassende Gesetzentwürfe zum Datenschutz verabschiedet. Damit sind sie neben Indiana und Iowa die jüngsten Bundestaaten, die in diesem Jahr umfassende Datenschutzgesetze verabschiedet haben.

Iowa Data Privacy Act (IDPA)

Nach Connecticut, Utah, Virginia, Colorado und Kalifornien war Iowa am 29. März der sechste Staat, der ein umfassendes Datenschutzgesetz verabschiedete. Das Gesetz wird am 1. Januar 2025 in Kraft treten, so dass Organisationen 21 Monate Zeit haben, die neuen Anforderungen zu erfüllen. Obwohl das Gesetz einige Ähnlichkeiten mit anderen staatlichen Datenschutzgesetzen aufweist, sollten Unternehmen auf die Unterschiede achten, wenn sie ihre Compliance-Bemühungen in den Vereinigten Staaten ausweiten.

Der Iowa Data Privacy Act (IDPA) gilt für Unternehmen, die in Iowa tätig sind oder sich mit ihren Produkten oder Dienstleistungen an Verbraucher in Iowa wenden und personenbezogene Daten von 100.000 oder mehr Verbrauchern in Iowa oder 25.000 oder mehr Verbrauchern in Iowa kontrollieren oder verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen.Die IDPA-Definition des Begriffs “Verbraucher” umfasst natürliche Personen mit Wohnsitz in Iowa, die in einem persönlichen (nichtkommerziellen und nichtbeschäftigten) Kontext handeln, und schließt Mitarbeiter und B2B-Kontakte aus.

Der IDPA erlegt den für die Datenverarbeitung Verantwortlichen Verpflichtungen auf. Dazu gehören beispielsweise die Beschränkung des Zwecks der Verarbeitung personenbezogener Daten, die Einführung angemessener Schutzmaßnahmen, den Verzicht auf Diskriminierung, transparente Datenschutzhinweise und die Sicherstellung, dass die Beziehungen zu den Auftragsverarbeitern vertraglich geregelt sind. Darüber hinaus erteilt es den Verbrauchern in Iowa das Recht auf Ablehnung, Löschung, Zugang, Widerspruch und Datenübertragbarkeit.

Zu den sensiblen personenbezogenen Daten gehören u. a. die rassische/ethnische Herkunft, religiöse Überzeugungen und Geolokalisierungsdaten. Die für die Verarbeitung Verantwortlichen müssen deutlich auf die Verarbeitung dieser Daten hinweisen und die Möglichkeit bieten, sich gegen eine Verarbeitung entscheiden zu können. Der Generalstaatsanwalt von Iowa hat die ausschließliche Durchsetzungsbefugnis und das Gesetz sieht kein privates Klagerecht vor.

Indiana Bill on Consumer data protection

Mit der Unterzeichnung der Senate Bill No. 5 durch Gouverneur Eric Holcomb wird Indiana der siebte Staat sein, der ein umfassendes Datenschutzgesetz verabschiedet. Das Gesetz tritt am 1. Januar 2026 in Kraft. Es ähnelt anderen staatlichen Datenschutzgesetzen wie dem Virginia Consumer Data Protection Act.

Das Datenschutzgesetz von Indiana gilt für Organisationen, die personenbezogene Daten von mindestens 100.000 Einwohnern Indianas oder 25.000 Einwohnern Indianas verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen. Bestimmte Einrichtungen und Daten sind von dem Gesetz ausgenommen.

Das Gesetz verpflichtet die Unternehmen, den Verbrauchern klare und aussagekräftige Datenschutzhinweise zur Verfügung zu stellen und räumt den Verbrauchern das Recht ein, ihre personenbezogenen Daten zu bestätigen, auf sie zuzugreifen, sie zu korrigieren, zu löschen und zu übertragen. Darüber hinaus können Verbraucher auch der Verarbeitung ihrer personenbezogenen Daten für gezielte Werbung, den Verkauf personenbezogener Daten oder die Profilerstellung, die erhebliche Auswirkungen hat, widersprechen.

Es gibt kein privates Klagerecht und Unternehmen haben eine 30-tägige Frist zur Behebung angeblicher Verstöße.

Montana Consumer Data Privacy Act (MCDPA)

Nachdem der Montana Consumer Data Privacy Act (MCDPA) beide Häuser der Legislative von Montana bereits passierte, fehlt nun lediglich noch die Unterschrift von Gouverneur Greg Gianforte. Der MCDPA ähnelt den Gesetzen in Connecticut und Virginia, was darauf hindeutet, dass diese Modelle zunehmend die Grundlage für andere staatliche Datenschutzgesetze darstellen.

Das Gesetz gilt für Unternehmen, die in Montana geschäftlich tätig sind, personenbezogene Daten von 50.000 oder mehr Verbrauchern in Montana oder von 25.000 oder mehr Verbrauchern in Montana kontrollieren oder verarbeiten und gleichzeitig mehr als 25 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erwirtschaften.

“Verbraucher” ist definiert als eine natürliche Person mit Wohnsitz in Montana, die in einem persönlichen Kontext handelt. Personenbezogene Daten werden als Informationen definiert, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können. Zu den sensiblen Daten gehören Informationen über die Rasse/ethnische Herkunft, die Religion, die Gesundheitsdiagnose, das Sexualleben, die sexuelle Orientierung, die Staatsbürgerschaft, den Einwanderungsstatus und genetische oder biometrische Informationen einer Person. Betroffene Unternehmen müssen den Verbrauchern eine Reihe von Standardrechten zugestehen, darunter das Recht auf Ablehnung des Verkaufs personenbezogener Daten, das Recht auf Löschung, Zugang, Berichtigung und Widerspruch, das Recht auf Einwilligung in Werbung und gezieltes Marketing für Personen zwischen 13 und 16 Jahren sowie das Recht auf Datenübertragbarkeit.

Sensible Daten dürfen nicht verarbeitet werden, ohne dass die Zustimmung des Verbrauchers eingeholt wurde oder, im Falle von Kindern, die COPPA-Bestimmungen eingehalten wurden.

Des Weiteren verpflichtet der MCDPA die für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung personenbezogener Daten auf das vernünftigerweise notwendige und verhältnismäßige Maß zu beschränken, Maßnahmen zu ergreifen, um angemessene Sicherheitsvorkehrungen für die ihrer Kontrolle unterliegenden personenbezogenen Daten zu treffen, Verbraucher nicht zu diskriminieren, wenn sie ihre Rechte wahrnehmen, und in ihren Datenschutzhinweisen transparent zu sein. Der Generalstaatsanwalt von Montana hat die ausschließliche Durchsetzungsbefugnis und es gibt kein privates Klagerecht.

Das MCDPA wird am 1. Oktober 2024 in Kraft treten.

Tennessee Information Privacy Act (TIPA)

Sobald Gouverneur Bill Lee zustimmt, wird sich Tennessee mit der Einführung des Tennessee Information Privacy Act (TIPA) bald den Staaten mit umfassenden Datenschutzgesetzen anschließen. Das TIPA folgt weitgehend dem Modell des kalifornischen CCPA, allerdings mit einer Ausnahme.

Er gilt für Unternehmen, die in Tennessee tätig sind oder Produkte oder Dienstleistungen für Einwohner von Tennessee anbieten und personenbezogene Daten von mindestens 100.000 Verbrauchern oder 25.000 Verbrauchern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Die Einhaltung der CCPA-Verpflichtungen wird wahrscheinlich zur Einhaltung des TIPA führen, vorbehaltlich der Verpflichtungen in Bezug auf das NIST Privacy Framework. Dieses verlangt von Unternehmen, dass sie Datenschutzrisiken identifizieren, kontrollieren, kommunizieren und Schutzmaßnahmen ergreifen. Die Nichteinhaltung des TIPA kann zu Strafen von bis zu 15.000 US-Dollar pro Verstoß führen, die vom Generalstaatsanwalt von Tennessee durchgesetzt werden.

Ausblick

So entscheiden sich zunehmend mehr Bundesstaaten für eigene Datenschutzgesetze, weitere Staaten werden mit Sicherheit folgen. Darüber hinaus gibt auch Pläne für speziellere Datenschutzgesetze. So gibt es beispielsweise Gesetzesvorschläge, die sich auf Kinder, soziale Medien (wie Utahs Social Media Regulation Act) und Gesundheitsinformationen, die nicht unter den HIPAA fallen (wie Washingtons My Health My Data Act), konzentrieren. Darüber hinaus gibt es auch weiterhin einen Gesetzesentwurf für ein umfassendes Datenschutzgesetz auf Bundesebene, dessen Verabschiedung zum jetzigen Zeitpunkt aber noch ungewiss ist.

Kategorien: Allgemein · Datenschutz in den USA · Internationaler Datenschutz
Schlagwörter: Indiana, Indiana Bill on Consumer data protection, Iowa, Iowa Data Privacy Act (IDPA), Montana, Montana Consumer Data Privacy Act (MCDPA), Tennessee, Tennessee Information Privacy Act (TIPA), USA

US-Regierung plant erstmals Regulierung von Cloud-Anbietern

15. März 2023

Nachdem sich Cloud-Dienste über Jahre in zahlreichen Bereichen zur Datenspeicherung etabliert haben, arbeitet die US-Regierung an einem Plan zur Regulierung der Sicherheitspraktiken der Anbieter wie Amazon, Microsoft, Google oder Oracle. Diese Dienste stellen von Privatpersonen und kleinen Unternehmen bis hin zu Behörden und Geheimdiensten Datenspeicherung und Rechenleistung zur Verfügung.

Störungen in der Cloud werden zu Störungen in Wirtschaft und Regierung

Die amtierende nationale Cyber-Direktorin, Kemba Walden, hält die Cloud für unseren Alltag für unverzichtbar. Störungen der Cloud könnten katastrophale Auswirkungen auf Wirtschaft und Regierung haben. Die Cloud sei schlicht „too big to fail“. Für Hacker seien Cloud-Dienste konzentrierte Angriffsziele, die eine Vielzahl von Opfern gleichzeitig beträfen. Kritische Infrastruktur wie Krankenhäuser oder Häfen könnten lahmgelegt werden und selbst Datenbanken in Behörden könnten ausgelöscht werden. So hätten Hacker bereits Cloud-Server von Unternehmen wie Amazon und Microsoft für ihre Angriffe auf andere Ziele genutzt. Zudem mieteten cyberkriminelle Gruppen regelmäßig Infrastruktur von US-amerikanischen Cloud-Anbietern, um Unternehmen zu erpressen oder Daten zu stehlen.

Identitätsüberprüfung und neue Regulierung

Als erste Maßnahme kündigte die US-Regierung an, zukünftig von Cloud-Anbietern eine Identitätsprüfung ihrer Nutzer vorzunehmen. Damit solle verhindert werden, dass ausländische Hacker Speicherplatz auf US-Cloud-Servern mieten. Zudem sollen weitere Cloud-Vorschriften im Rahmen der nationalen Cybersicherheitsstrategie kommen, um Regulierungslücken zu schließen. Als Vorschläge stehen derzeit auch eine Haftung für Softwarehersteller von unsicherem Code und strengere Sicherheitsvorschriften für kritische Infrastrukturunternehmen im Raum. Allerdings gibt es in den USA keine nationale Behörde, die für die Cloud zuständig wäre.

Cloud-Anbieter zeigen sich bisher nicht so ablehnend wie von den US-Behörden erwartet. Microsoft beispielsweise begrüßte die nationale Cybersicherheitsstrategie und betonte, dass Cybersicherheit Teamsport sei.

Auswirkungen auf Europa

Aus europäischer Perspektive ist eine Regulierung der US-Cloud-Dienste ebenfalls relevant. Auch den europäischen Cloud-Markt führen US-Anbieter weitestgehend an. Angesichts der immer wieder auftretenden Bedenken hinsichtlich des Datenschutzes in den USA könnten strengere Regeln für die Cloud auch die Sicherheit der Daten verbessern.

Kategorien: Allgemein · Datenschutz in den USA
Schlagwörter: Cybersicherheit, USA

EU-Ausschuss lehnt Angemessenheit des EU-US-Datenschutzrahmens in Entwurf einer Stellungnahme ab

17. Februar 2023

Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.

Rechtsverletzungen und zu große Unsicherheit

In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.

Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.

Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.

Fazit und Ausblick

Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.

Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.

Kategorien: Datenschutz in den USA · DSGVO · EU-Datenschutzgrundverordnung · Internationaler Datenschutz · Privacy Shield · Safe Harbor
Schlagwörter: Angemessenheitsbeschluss, EU Kommission, Europäische Grundrechtecharta, Exekutiverlass, USA Datenschutz

Hackerangriff auf T-Mobile USA: 37 Millionen Kund*innen betroffen

20. Januar 2023

Wie das Unternehmen am Donnerstag mitteilte, wurden beim zweiten großen Hackerangriff innerhalb von weniger als zwei Jahren die persönlichen Daten von rund 37 Millionen T-Mobile-Kunden in den Vereinigten Staaten ausgespäht. Die Hacker hatten Zugriff auf Namen, Adressen und Geburtsdaten der Kundinnen und Kunden, nicht aber auf hochsensible Daten wie Sozialversicherungs- oder Kreditkartennummern.

Ermittlungen dauern noch an

In einem Bericht teilte T-Mobile mit, am 5. Januar entdeckt zu haben, dass ein “böswilliger Akteur” an die Daten gelangt war. Mit Hilfe externer Cybersicherheitsexperten habe der Mobilfunkanbieter den Datenabfluss am nächsten Tag gestoppt, hieß es. Allerdings schloss der zum Bonner Telekom-Konzern gehörende US-Mobilfunkanbieter nicht aus, dass der Vorfall, der am oder um den 25. November begann, hohe Kosten verursachen könnte.

“Wir verstehen, dass ein Vorfall wie dieser Auswirkungen auf unsere Kunden hat und bedauern, dass es dazu gekommen ist”, so T-Mobile in einer Erklärung.

Kein Einzelfall

Die neuste Datenpanne ist der achte Hackerangriff auf T-Mobile. Im Juli 2022 musste das Unternehmen in einem Vergleich 350 Millionen Dollar zahlen, um den Vorwurf zu entkräften, dass seine Fahrlässigkeit zu einer Datenpanne im Jahr 2021 geführt hatte. Dazu kamen Ausgaben in Höhe von 150 Millionen Dollar innerhalb von zwei Jahren, um die Datensicherheit zu erhöhen.

Kategorien: Allgemein · Datenschutz in den USA · Hackerangriffe
Schlagwörter: Hacker-Angriff, T-Mobile, USA

Virginia Consumer Data Protection Act in Kraft getreten

13. Januar 2023

Jenseits des Atlantiks ist das Thema Datenschutz in Bewegung geraten. Da es nach wie vor kein umfassendes Bundesgesetz gibt, haben die Staaten weiterhin die Führung übernommen – in diesem Jahr mehr denn je. Nach Kalifornien beginnen vier weitere Bundesstaaten – Colorado, Connecticut, Utah und Virginia – im Jahr 2023 mit der Durchsetzung neuer, von der DSGVO inspirierter Gesetze. Weitere Staaten werden sicherlich folgen.

Der Virginia Consumer Data Protection Act (VCDPA) ist ein neues Gesetz des Staates Virginia, das am 1. Januar 2023 in Kraft getreten ist und das Recht der Verbraucher auf Datenschutz und Datensicherheit in Virginia stärkt. Viele der VCDPA-Rechte, die Virginia-Verbrauchern gewährt werden, ähneln den Rechten, die die DSGVO bietet, einschließlich der Verbraucherrechte wie die Rechte auf Zugriff, Löschung und Portabilität personenbezogener Daten.

Welche Auswirkungen hat das VCDPA auf die Verantwortlichen?

Das Gesetz fordert von Unternehmen, die personenbezogene Daten von Bürgern von Virginia verarbeiten, dass sie bestimmte Maßnahmen zum Schutz dieser Daten ergreifen. Dazu gehört unter anderem die Einhaltung von Datensicherheitsstandards, die Durchführung von Datenschutz-Audits, sowie die Benachrichtigung von Verbrauchern im Falle eines Datenverlusts oder eines Datenschutzverstoßes.

Ein wichtiger Bestandteil des VCDPA ist die Möglichkeit für Verbraucher, ihre personenbezogenen Daten einzusehen, zu ändern oder zu löschen. Unternehmen müssen diese Anfragen innerhalb von 45 Tagen bearbeiten und dürfen hierfür keine Gebühren erheben.

Des Weiteren müssen Unternehmen, die dem Gesetz unterliegen, vor der Erhebung und Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten eine Einwilligung einholen. Wie der kalifornische CCPA (California Consumer Privacy Act) schreibt auch der VCDPA vor, dass ein Unternehmen, das Dienstleister mit der Verarbeitung von Daten im Namen des Unternehmens beauftragt, mit diesen Dienstleistern einen speziellen Vertrag abschließen muss, der die Anforderungen des Gesetzes umsetzt.

Weitere Vorgaben umfassen (nicht abschließend):

Zweckbindung
Datenschutz-Risikobewertungen
Schaffung technischer und organisatorischer Sicherheitsmaßnahmen
Dokumentationspflichten
Widerspruchsverfahren für Verbraucheranträge
Schutz vor Diskriminierung
Datenschutzerklärungen

Das VCDPA gilt für Unternehmen, die:

Geschäfte in Virginia tätigen oder ihre Waren und Dienstleistungen an Einwohner von Virginia vermarkten; und
Entweder: die personenbezogenen Daten von mindestens 100.000 Einwohnern Virginias kontrollieren oder verarbeiten; oder die personenbezogenen Daten von mindestens 25.000 Einwohnern Virginias kontrollieren oder verarbeiten und mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Bestimmte Organisationen sind vom VCDPA ausgenommen, einschließlich:

Behörden des Bundesstaats Virginia
Finanzinstitute, die dem Gramm-Leach-Bliley Act unterliegen
Erfasste Unternehmen oder Geschäftspartner, die den Datenschutz-, Sicherheits- und Verletzungsbenachrichtigungsregeln unterliegen, die gemäß dem Health Insurance Portability and Accountability Act festgelegt wurden
Gemeinnützige Organisationen; und Hochschuleinrichtungen

Was schützt das Gesetz?

Das Recht auf Kenntnis, Zugang und Bestätigung der personenbezogenen Daten
Das Recht auf Löschung personenbezogener Daten
Das Recht auf Berichtigung unrichtiger personenbezogener Daten
Das Recht auf Datenübertragbarkeit (d.h. einfacher, übertragbarer Zugang zu allen personenbezogenen Daten, die sich im Besitz eines Unternehmens befinden)
Das Recht, der Verarbeitung personenbezogener Daten für gezielte Werbezwecke zu widersprechen
Das Recht, dem Verkauf von personenbezogenen Daten zu widersprechen
Das Recht, der Erstellung von Profilen auf der Grundlage personenbezogener Daten zu widersprechen
Das Recht, wegen der Ausübung eines der vorgenannten Rechte nicht diskriminiert zu werden

Ein weiteres wichtiges Element des VCDPA ist die Schaffung einer Datenschutzbehörde, die für die Überwachung der Einhaltung des Gesetzes zuständig ist und Strafen für Verstöße verhängen kann.

Das VCDPA wird vom Generalstaatsanwalt von Virginia durchgesetzt und sieht eine 30-tägige Nachbesserungsfrist vor. Bei Nichteinhaltung kann jedoch eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar pro Verstoß verhängt werden.

„Breaking The Mould“

Insgesamt ist der Virginia Consumer Data Protection Act ein wichtiger Schritt in Richtung stärkerer Datenschutzrechte für Verbraucher in Virginia. Unternehmen, die personenbezogene Daten von Bürgern aus Virginia sammeln, sollten sich mit dem Gesetz vertraut machen und sicherstellen, dass sie alle Anforderungen erfüllen, um Strafen zu vermeiden.

Der parteiübergreifende Vorschlag für ein amerikanisches Datenschutzgesetz (American Data Privacy Protection Act – ADPPA) wurde zwar vom Energie- und Handelsausschuss des Repräsentantenhauses angenommen, doch wurde seine Verabschiedung im Plenum des Repräsentantenhauses blockiert, da die Befürchtung bestand, dass das Gesetz bestehenden und neu erlassenen bundesstaatlichen Datenschutzgesetzen mit höherem Verbraucherschutzniveau zuvorkommen könnte. Einiges deutet darauf hin, dass die Kürze und Klarheit des VCDPA dazu führen könnte, dass das Gesetz ein Modell für künftige Datenschutzgesetze werden könnte, denn mit nur acht Seiten ist das VCDPA wesentlich knapper als der California Consumer Privacy Act. Die Auswirkungen dieses grundlegenden Wandels im Hinblick auf den Rahmen des Datenschutzes werden in den kommenden Jahren und Jahrzehnten tiefgreifend sein. Das Jahr 2023 könnte somit in den Vereinigten Staaten den Wechsel markieren.

Kategorien: Allgemein · Datenschutz in den USA · Internationaler Datenschutz
Schlagwörter: USA, VCDPA, Virginia, Virginia Consumer Data Protection Act

Startseite

Über uns

datenschutzticker.de -
Blog zu Datenschutz und Datensicherheit der KINAST Rechtsanwälte.

Weitere Informationen über unsere Kanzlei finden Sie unter www.kinast.eu.

Unsere Veranstaltungen

datenschutzticker.live – Wien

Unsere zweite Datenschutztagung bietet erneut eine Plattform zum Austausch zwischen Behörden und Unternehmen. Weitere Informationen finden Sie hier.

Suche

Twitter

Folgen Sie uns auch auf Twitter: @ds_ticker

Letzte Artikel

Um unseren wöchentlichen Newsletter zu abonnieren, tragen Sie bitte Ihre E-Mail-Adresse unten ein. Sie werden daraufhin eine E-Mail an die angegebene Adresse erhalten, mit welcher Sie Ihre Anmeldung bestätigen können.

E-Mail *

Datenschutz * Mit dem Absenden des ausgefüllten Formularfelds durch Anklicken des "Anmelden"-Buttons sowie der anschließenden Bestätigung Ihrer E-Mail-Adresse über den zugesandten Link erklären Sie sich mit dem Bezug unseres Newsletter einverstanden.

Wir verwenden Ihre E-Mail-Adresse gemäß unserer Datenschutzerklärung ausschließlich für den zweckgebundenen Versand unseres Newsletters. Sie können diesen jederzeit wieder abbestellen, indem Sie den entsprechenden Link am Ende des Newsletters anklicken.