Kategorie: Internationaler Datenschutz

Datentransfer in Zeiten des „no-deal Brexit“

27. August 2019

Boris Johnson sieht scheinbar „realistische Chancen“ auf erneute Verhandlungen mit den übrigen europäischen Staaten. Über diese Aussage hinaus hat er jedoch – ausweislich von Medienberichten – keine Aussage dahingehend getroffen, wie dies realisierbar wäre. Diese und andere Aussagen des britischen Premiers erhärten die Annahme, es könne im Oktober zu einem so betitelten „no-deal Brexit“ kommen. Dieser Beitrag soll den Fokus noch einmal auf diejenigen Aspekte lenken, die Unternehmen in diesem Kontext zwingend berücksichtigen sollten. Weitere Informationen werden von der Datenschutzkonferenz angeboten (wenn auch noch für das ehemalige Austrittsdatum).

Datenschutzrechtliche Einordnung des Vereinigten Königreichs

Künftig würde es sich bei dem Vereinigten Königreich um einen Drittstaat im Sinne der Artikel 44 bis 49 DSGVO handeln. Insoweit bestünden grundsätzlich keine Unterschiede zu anderen Staaten außerhalb der Europäischen Union, wie zum Beispiel den USA.

Voraussetzung eines Datentransfers

Unabhängig vom Status des Empfängerlandes muss die Datenübermittlung dem Grunde nach zulässig sein. Jedwede Verarbeitung personenbezogener Daten bedarf auch in diesem Kontext einer Rechtsgrundlage.

Darüber hinaus muss der Transfer in das Drittland selbst zulässig ist. Dies ist einerseits der Fall, wenn die Europäische Kommission das Datenschutzniveau im Rahmen eines Angemessenheitsbeschlusses bestätigt (sicheres Drittland).

Existiert andererseits kein Angemessenheitsbeschluss, so muss das datenverarbeitende Unternehmen auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden (unsicheres Drittland). Dies kann je nach Sachverhalt durch Standarddatenschutzklauseln, Binding Corporate Rules, vertragliche Verpflichtung zur Einhaltung von allgemein gültigen Verhaltensregeln oder durch die Zertifizierung des Verarbeitungsvorgangs realisiert werden. Wird ein angemessenes Schutzniveau nicht erreicht, so kann unter anderem die Einwilligung des Betroffenen einen Datentransfer legitimieren.

Um potentielle Verstöße zu vermeiden sollte jeder Datentransfer allerdings unabhängig von diesen Ausführungen ausschließlich anhand der Umstände des Einzelfalls beurteilt werden.

Eilantrag gegen Speicherung von Fluggastdaten unzulässig

Mit einer Klage gegen das Bundeskriminalamt wollte ein italienischer Staatsbürger mit Wohnsitz in Brüssel erreichen, dass seine Fluggastdaten nicht gespeichert, verarbeitet oder übermittelt werden. Seinen Antrag im Wege des einstweiligen Rechtsschutzes hat das Verwaltungsgericht Wiesbaden als unzulässig abgelehnt. Nach Auffassung des Gerichts fehlt es schon am notwendigen Rechtsschutzinteresse (Beschl. v. 21.08.2019, Az. 6 L 807/19.WI).

Im Zeitraum zwischen Mai 2018 und Juli 2019 unternahm der Antragsteller mehrfach Flüge von und nach Belgien. In seinem Eilantrag ging es konkret um den Flug im November 2019 von Brüssel nach Berlin bzw. einige Tage später nach Brüssel zurück. Dabei forderte er das Bundeskriminalamt zu der Erklärung auf, dass seine Fluggastdaten zu den beiden Flügen im November 2019 nicht gespeichert, verarbeitet und/oder übermittelt werden. Diese Maßnahmen verstießen gegen sein Recht auf Achtung des Privat- und Familienlebens aus Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh), sein Recht auf Schutz der personenbezogenen Daten aus Art. 8 GRCh sowie sein Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG.

Das Bundeskriminalamt lehnte den Antrag ab und wies darauf hin, dass die Sicherheitsbehörde nach dem deutschen Fluggastdatengesetz (FlugDaG), die Fluggastdaten des Antragstellers speichern müsse. Die Eingriffe in die Rechte des Antragstellers seien gerechtfertigt, weil durch die Regelungen des Fluggastdatengesetzes terroristische Straftaten und schwere Kriminalität verhindert werden sollen.

Das VG Wiesbaden lehnte den Eilantrag des Antragstellers bereits wegen seinem fehlenden Rechtschutzinteresses als unzulässig ab. Die Kammer erklärte in ihrem Beschluss, der Mann habe zwischen Mai 2018 und Juli 2019 zahlreiche Flüge von Belgien aus oder mit dem Ziel Belgien unternommen. Auch dort wurden Fluggastdaten gespeichert, was er offensichtlich widerspruchslos hingenommen habe. Es sei daher nicht ersichtlich, warum die Datenerhebung in Deutschland unzumutbar für ihn sein sollte.

Gegen den Beschluss kann der Antragsteller Beschwerde einlegen, worüber dann der Verwaltungsgerichtshof (VGH) Kassel zu entscheiden hat.

Datenpanne bei Twitter

8. August 2019

Die Daten von rund 300 Millionen Twitter-Nutzern könnten in ungefugte Hände gelangt sein.

Twitter teilte kürzlich mit, dass Daten über ein Jahr mit Werbekunden geteilt wurden, ohne dass die Nutzer dem zugestimmt hätten.

Laut eigener Aussage wurden die von den Nutzern vorgenommen Einstellungen hinsichtlich des Teilens der gesammelten Daten für Werbung mit externen Werbeanbietern nicht berücksichtigt. Das führte dazu, dass trotz des Verbots Daten an Externe weitergegeben wurden.

Zu den Daten gehört Ländercode sowie ob und gegebenenfalls wie lange die Anzeige angesehen und mit ihr interagiert wurde. Hinzu kommt, dass den Nutzern durch diesen Fehler auch personalisierte Werbung angezeigt wurde, die auf Daten beruht, die nicht hätten gesammelt werden dürfen. Darüber hinaus seien, laut Aussage von Twitter, keine Informationen zu E-mailkonten oder Passwörtern betroffen gewesen.

Der Fehler wurde am 05.August behoben. Zurzeit laufen noch Ermittlungen bezüglich der Anzahl der Betroffenen. Zudem werden Vorkehrungen getroffen, damit ein solcher Fehler zuünftig nicht mehr auftritt.

Datendiebstahl: 106 Millionen Bankkunden betroffen

5. August 2019

Bei einer der größten Datenpannen in der nordamerikanischen Finanzbranche erhielt eine Hackerin Zugriff auf Konten und Kreditkartenanwendungen von US-Bank-Kunden. Die US-Bank, die ihren Sitz in Virginia hat, berichtete, dass Daten von mehr als 100 Millionen US-Bürgern und 6 Millionen Kanadiern gestohlen wurden.

Nach Angaben der Bank seien persönliche Daten von Kreditkartenanträgen und existierenden Kreditkarten betroffen, etwa Namen, Adressen, Telefonnummern, E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen sowie Informationen zur Kreditwürdigkeit und Verfügungslimits. Jedoch seien keine Kreditkartenkontonummern oder Anmeldeinformationen betroffen, stellte die US-Bank fest.

Die Hackerin hatte zuvor als Software-Entwicklerin bei Amazon Web Services gearbeitet, dem Cloud-Anbieter der US-Bank. Wie die US-Bank betont, habe die entdeckte Schwachstelle nicht speziell an der Cloud-Umgebung gelegen. Laut Bloomberg handelte es sich um eine falsch konfigurierte Firewall, die den Datendiebstahl ermöglicht habe.

Die Hackerin soll bereits Informationen über den Hack in Sozialen Medien veröffentlicht haben. Die US-Bank bemerkte den Datendiebstahl erst nach einer entsprechenden E-Mail von einem Nutzer, der vor einem potenziellen Datenleck warnte, das mit dem mutmaßlichen Angreifer in Verbindung steht. Laut US-Bank „ist es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe.“

Der Skandal schlägt inzwischen auch Wellen bis nach Europa. Eine italienische Bank wird mit einem Datendiebstahl bei der US-Bank in Zusammenhang gebracht.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter:

Google eröffnet globales Zentrum für Datenschutz in München

17. Mai 2019

Am Münchner Standort verdoppelt der Internetkonzern Google bis zum Jahresende die Anzahl der Datenschutz-Spezialisten von 100 auf 200. Insgesamt beschäftigt Google in München dann 1000 Mitarbeiter. Für Firmenchef Sundar Pichai wird Deutschland damit zu einem globalen Drehkreuz für die produktübergreifende Datenschutzarbeit.

Zur Einweihung des Google Safety Engineering Centers sind auch Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer und Kristie Canegallo, Vice President of Trust & Safety aus dem Hauptquartier in Mountain View angereist.

Google habe bei der Entwicklung der Datenschutz-Tools nicht auf gesetzliche Vorgaben gewartet, erklärte Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer. Walker erkannte zwar an, dass die EU mit der Datenschutzgrundverordnung andere Regionen dazu veranlassen könnte, eigene Datenschutzgesetze zu entwickeln. Viele Google Privacy Tools seien aber älter als die DSGVO, und gingen durchaus über geltendes Gesetz hinaus.

Aktuell arbeitet das Team in München an verbesserten Datenschutzeinstellungen von Chrome und an datenschutzrelevanten Optionen und Funktionen, darunter auch einem Inkognito-Modus, in Apps wie Maps, Suche und Youtube (wir berichteten).

Ein spannendes Projekt ist dabei etwa der Versuch, neben klassischen Angriffen – wie geklaute und im Netz verfügbare Passwörter – bösartiges Browser-Fingerprinting durch Webseiten zu erkennen.

Datenschutzgesetz in Kalifornien

8. April 2019

In den USA hat Kalifornien eine Pionierrolle in Sachen Umwelt-und Verbraucherschutz. Wie schon berichtet wurde im Juni 2018 der „California Consumer Privacy Act“ (CCPA) verabschiedet, ein Zusatz zum Zivilgesetzbuch, der die DSGVO als Vorbild nimmt, um den Datenschutz in Kalifornien zu stärken. Der CCPA wird am 1. Januar 2020 in Kraft treten.

Noch vor Inkrafttreten sollen nun Betroffene mit einem umfangreichen Klagerecht ausgestattet werden. Danach könnten Konsumenten Unternehmen verklagen, wenn diese keine zutreffende Auskunft über gespeicherte Daten liefern oder die Daten von anderen Verbrauchern weiterverkaufen, obwohl sie aufgefordert wurden, dies zu unterlassen.

Die Werbebranche fürchtet sich vor einer Flut von Klagen, bei denen der Kläger gar nicht geschädigt ist, sondern nur wegen der Aussicht auf Geld klagt.  Der Gesetzentwurf wird morgen im Justizausschuss des kalifornischen Senats beraten.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter: ,

Neuer Datenskandal bei Facebook und Instagram – Passwörter im Klartext gespeichert

26. März 2019

Der Journalist und IT-Sicherheitsexperte Brian Krebs berichtete auf seinem Blog über den neusten Datenskandal bei Facebook.

Das soziale Netzwerk soll Passwörter jahrelang nur im Klartext abgespeichert haben. Die Daten der Nutzer seien für mehr als 20.000 Facebook-Mitarbeiter sichtbar gewesen. Betroffen seien geschätzt 200 bis 600 Millionen Nutzer von Facebook, Instagram und Facebook Lite.

Facebook hat in einer Stellungnahme vom 21. März den Vorfall nicht geleugnet, sieht aber kein Missbrauchsrisiko. Laut Facebook gibt es keine Hinweise darauf, dass jemand intern missbräuchlich auf die Passwörter zugegriffen habe. Die Betroffenen werden dennoch vorsichtshalber benachrichtigt.

Die DSGVO schreibt in einem solchen Fall eigentlich eine förmliche Meldung der Datenpanne an die Aufsichtsbehörde nach Art. 33 DSGVO und eine Benachrichtigung aller Betroffenen nach Art. 34 DSGVO vor. Hierzu nimmt Facebook nicht Stellung.

In einer aktuellen Pressemeldung äußert sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Skandal:

„Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Empfohlen wird jedem Nutzer von Facebook und Instagram, sein Passwort zu ändern. Wie man ein sicheres Passwort generiert, können Sie hier in unserem Blog nachlesen.

Eine Anleitung zur kompletten Löschung des Facebook Accounts finden Sie hier.

Es bleibt abzuwarten, wie die für Facebook zuständige Irische Datenschutzbehörde auf den Vorfall reagieren wird. Die Einleitung eines Bußgeldverfahrens erscheint möglich.

Der BfDI ist sich allerdings sicher, dass eine Prüfung durch die Datenschutzaufsichtsbehörden erfolgen wird. In der Pressemitteilung heißt es:

„Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Brexit: Tag(e) der Entscheidung(en)

12. März 2019

Kurz vor den entscheidenden Tagen zur Abstimmung über die Umstände und gegebenenfalls eine Verschiebung des Brexits hat sich Theresa May gestern Abend nochmals mit Jean-Claude Juncker in Straßburg getroffen. Dabei wurde sich, als Ergänzung zum vormaligen Brexit-Abkommen, auf „Klarstellungen und rechtliche Garantien“ zur Auffanglösung für Nordirland geeinigt.

Großbritannien soll hierbei die Möglichkeit erhalten, ein Schiedsgericht anzurufen, für den Fall, dass die EU über 2020 hinaus Großbritannien mittels Backstop-Klausel gewissermaßen an die Zollunion „ketten“ sollte. Dieses „rechtlich verbindliche Instrument“, wie es Juncker nennt, soll verdeutlichen, dass die Backstop-Klausel zur irischen Grenze nicht als Dauerlösung angesehen wird. Im Übrigen soll dies auch in einer gemeinsamen politischen Erklärung über die künftigen Beziehungen beider Seiten bekräftigt werden. Die Formulierung der ergänzenden Regelung ist juristisch jedoch schwammig und lässt Raum für Interpretation.

May ist dennoch zuversichtlich die Zustimmung des britischen Parlaments für das „neue“ Abkommen, über das heute Abend abgestimmt werden soll, zu erhalten. Jeremy Corbyn, der Chef der Labour Partei, hat unterdessen angekündigt und dazu aufgefordert auch gegen dieses Abkommen zu stimmen. Weitere Verhandlungen über Anpassungen der jetzigen Version des Austritts-Abkommens hat Juncker aber bereits abgelehnt, und betont dass es keine „Dritte Chance“ geben werde. Bis zum 23. Mai, wenn die EU-Wahlen beginnen, müsse das Königreich die EU verlassen haben.

Die Entscheidungen über das „wie“ und „wann“ des Brexits fallen jedenfalls in den nächsten Tagen, beginnend mit dem heutigen Abend gegen 20 Uhr MEZ. Sollte es heute keine Zustimmung zum Abkommen geben, wird morgen über einen „no-deal“ Brexit zum 29. März (ab 30. März wäre Großbritannien dann ein Drittland im Sinne der DSGVO) abgestimmt. Kann auch hier keine Zustimmung erzielt werden, so wird am 14. März über eine Verschiebung des Austritts abgestimmt. Im Rahmen einer Verschiebung könnte es dann zu einem neuen Referendum kommen und somit der erneuten Entscheidung über die Frage des „ob“ hinsichtlich des Brexits.

Hackerangriff auf Parlament und Parteien in Australien

18. Februar 2019

Wie die australische Rundfunkgesellschaft ABC berichtet, sind neben dem Parlament in Australien drei große Parteien – namentlich die regierenden Parteien Liberal Party of Australia und die National Party of Australia sowie die stärkste Oppositionspartei Labor – Ziel eines Hackerangriffes geworden. Dies sei bei der Untersuchung eines Angriffes auf IT-Netzwerke des Parlaments am 08. Februar entdeckt worden. Den Berichten zufolge vermutet das, die Hackerangriffe untersuchende, Australian Cyber Securtiy Centre, dass lediglich ein fähiger staatlicher Akteur hinter dem Angriffsversuch stecken könne. Damit erinnert der Fall an den Hackerangriff auf den Bundestag 2015, bei dem in der Folge der Ermittlung staatliche, russische Hacker als verantwortlich ausgemacht wurden.

Unklar scheint bisher noch, ob es im Rahmen der Angriffe zum Verlust von Daten gekommen sei. Mit Blick auf die dieses Jahr stattfindenden bundesweiten Wahlen gebe es bislang allerdings keine Hinweise auf den Versuch einer Wahlbeeinflussung.

Datenübermittlungen innerhalb eines Konzerns

7. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) kennt kein Konzernprivileg. Eine Übermittlung von personenbezogenen Daten von einem Konzernunternehmen an ein anderes bedarf einer Rechtsgrundlage wie jede andere Übermittlung an einen Dritten auch. Als Rechtsgrundlage kommen sämtliche Tatbestände des Art. 6 Abs. 1 DSGVO in Betracht.

Werden bestimmte Prozesse / Aufgaben in einem Konzernverbund zentral von einer Stelle wahrgenommen, wie bspw. die Verwaltung der Mitarbeiterdaten, kann in der Regel das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Erwägungsgrund 48 bietet in Rahmen der nach Art. 6 Abs. 1 lit. f DSGVO durchzuführenden Interessenabwägung eine Hilfestellung. Er lautet:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“

Danach kann eine Übermittlung von personenbezogenen Daten innerhalb eines Konzernverbunds zur Verwaltungsoptimierung und -vereinfachung ein berechtigtes Interesse für einen Datenaustausch innerhalb des Konzerns darstellen.

Die Auslagerung von bestimmten Tätigkeiten auf eine Konzerngesellschaft in einem Konzernverbund stellt darüber hinaus eine Auftragsverarbeitung gemäß Art. 28 DSGVO dar. Es bedarf daher des Abschlusses eines Vertrages über eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.

1 2 3 24