Kategorie: Internationaler Datenschutz/Konzerndatenschutz

Große amerikanische Unternehmen drängen auf Bundesgesetz für Datenschutz

30. August 2018

Unternehmen wir Facebook, Google etc. scheinen sich dem Thema Datenschutz angenommen zu haben und setzen sich laut der New York Times immer mehr für ein bundesweites Datenschutzgesetz in den USA ein.

Allerdings stehen dort andere Interessen im Vordergrund, als ausschließlich der Datenschutz. Neben der DSGVO wurde im Juni 2018 ebenfalls ein kalifornisches Datenschutzgesetz erlassen, welches vor allem Firmen, die personenbezogene Daten zur kommerziellen Zwecken nutzen, Kopfschmerzen bereitet. Dieses Gesetz soll 2020 in Kraft treten und könnte andere Staaten in den USA dazu bewegen, ähnliche Gesetze auf den Weg zu bringen und damit dem gesamten Geschäftszweig Probleme bereiten.

Der Erlass eines bundesweiten Datenschutzgesetzes könnte allerdings dazu führen, dass den einzelnen Staaten der Wind aus den Segeln genommen wird. Daher liegt der Fokus der technischen Unternehmen nicht mehr unbedingt im Verhindern von Regulationen, sondern vielmehr darauf, ein Gesetz zu erlassen, welches die eigene Handschrift mitträgt und somit „geschäftsschädigende“ Regelungen weitestgehend vermieden werden können. Ob diese Vorgehensweise erfolgreich ist, hängt überwiegend davon ab, welchen Stellenwert der Datenschutz in der amerikanischen Gesellschaft in Zukunft einnehmen wird.

Das ein unternehmensfreundliches Gesetz dabei herum kommt, ist sehr wahrscheinlich. Allerdings wäre es ein erster Schritt in Richtung mehr Datenschutz in den Staaten.

Datenschutz in den USA: Regierung plant ein neues Gesetz

9. August 2018

Die momentane Situation bei einem Datentransfer von Europa in die USA ist so klar wie unbefriedigend: Er kann auf das sog. „Privacy Shield“ gestützt werden, dem Nachfolgeabkommen, das die Europäische Kommission mit den USA vereinbart hat, nachdem das frühere „Safe Harbour“ – Abkommen Ende 2016 vom EuGH für unwirksam erklärt worden war.

Seit seinem Inkrafttreten bestehen jedoch ernsthafte datenschutzrechtliche Bedenken, ob eine auf diesem Privacy Shield allein basierende Übermittlung personenbezogener Daten zulässig ist. Erst zuletzt, am 26. Juni, hatte die Mehrheit des EU-Parlaments für eine Nachbesserung oder, wenn diese nicht umgehend erfolgt, für ein Aussetzen des Privacy Shields ab 1. September gestimmt.

Vor diesem Hintergrund treffen die Nachrichten der Washington Post, die US-Regierung arbeite an einem nationalen Datenschutzgesetz, das für ein national einheitliches Datenschutzniveau sorgen soll, auf fruchtbaren Boden. Einen Anteil an dieser Initiative wird wohl auch die EU-Datenschutzgrundverordnung mit ihren weitgreifenden, auch den US-Markt nicht unberührt lassenden Regelungen, haben. Einige gewichtige US-Unternehmen hätten dieser Tage bereits an die Regierung in Washington appelliert, eine eigene Haltung zum Datenschutz zu formulieren, die weniger aggressiv sei, als jene aus Europa, so heißt es in dem Bericht. Die weitere Entwicklung dieses Vorhabens der US-Regierung wird daher mit Spannung verfolgt.

EU wird japanisches Datenschutzsystem anerkennen

27. Juli 2018

Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der „umstrittene Privacy-Shield“ zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.

Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden,  welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.

Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.

Künstliche Intelligenz hilft EU bei Umsetzung der DSGVO

6. Juli 2018

Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll.  Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.

Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.

Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.

In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.

Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.

Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von „Machine Learning“, das sogenannte „Natural Language Processing“. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.

Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.

Aufsichtsbehörde überprüft DSGVO Umsetzung

Seit Ende Juni werden branchenübergreifend 20 große sowie 30 mittelgroße Unternehmen durch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hinsichtlich der Umsetzung der DSGVO überprüft.
Hierzu wurden den insgesamt 50 Unternehmen Fragebögen übermittelt, um den aktuellen Umsetzungsstand zu ermitteln. Hierdurch möchte sich die Aufsichtsbehörde einen Überblick darüber verschaffen, wie die Gesellschaften die zweijährige Übergangszeit bis zur Geltung der DSGVO am 25. Mai genutzt haben. Das primäre Ziel der Überprüfung liegt nach Aussage der LfD in der Stärkung des Bewusstseins sowie der Sensibilisierung für den Datenschutz. Die Verhängung etwaiger Bußgelder ist darüber hinaus möglich, sofern im Rahmen der Prüfung erhebliche Verstöße gegen die DSGVO festegstellt werden sollten.
Die versendeten Fragebögen gehen speziell auf die Punkte ein, die ein Datenschutzmanagementsystem nach der DSGVO enthalten muss. Hierzu werden die Vorbereitung auf die DSGVO, das Verzeichnis von Verarbeitungstätigkeiten, die Rechtsgrundlagen der Verarbeitung personenbezogener Daten, die Sicherstellung der Betroffenenrechte, die Gewährleistung der technisch und organisatorischen Maßnahmen, die Durchführung von Datenschutz-Folgeabschätzungen, der Abschluss notwendiger Auftragsverarbeitungsverträge, die Einbindung des Datenschutzbeauftragten in die Unternehmensorganisation, die Prozesse zur Meldung von Datenschutzvorfällen sowie die Dokumentation über die Einhaltung der notwendigen Umsetzungen genauer geprüft.
Durch die Prüfung erhofft sich die Aufsichtsbehörde weitergehende Erkenntnisse darüber, in welchen Bereichen erweiterter Beratungs- und Aufklärungsbedarf besteht. Mit Hilfe dieser Erkenntnisse können sodann etwaige neue Orientierungshilfen erarbeitet werden.

DSGVO als Vorbild: Kalifornien verabschiedet neues Datenschutzgesetz

29. Juni 2018

Nachdem hier schon berichtet wurde, dass die Kalifornier über ein neues Datenschutz abstimmen wollen, wurde der „California Consumer Privacy Act“ gestern vom Senat und Repräsentantenhaus des US-Bundesstaates gebilligt und von Gouverneur Jerry Brown unterzeichnet. US-Medien zufolge ist die schnelle Verabschiedung des Gesetzes auf den Druck von Verbraucherschützern zurückzuführen.

Das Gesetz, welche durch die am 25. Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung inspiriert wurde, wird am 1. Januar 2020 in Kraft treten.

Durch das Gesetz erhalten die Unternehmen die Pflicht offenzulegen, welche Verbraucherdaten sie speichern. Außerdem können Kunden und Nutzer die Verwendung ihrer persönlichen Daten zu kommerziellen Zwecken untersagen. Datenschutzverstöße sollen auch finanziell bestraft werden.

Damit reagiert Kalifornien auch auf den Facebook-Skandal, der wegen seines Umgangs mit persönlichen Daten unter massivem Druck steht.

Die IT-Industrie, die vehement gegen dieses Bürgerbegehren steuerte, ist über das schnelle Gesetz erfreut, da ein Gesetz künftig leichter wieder abgeändert werden kann als ein erfolgreicher Volksentscheid.

Ob die US-Regierung auf Bundesebene neue Datenschutzvorgaben macht, ist derzeit unklar.

 

California Consumer Privacy Act (CCPA) steht in der USA zur Abstimmung

20. Juni 2018

Kalifornier erhalten bald die Möglichkeit für ein umfassendes Datenschutzrecht abzustimmen, welches viele DSGVO-Grundsätze widerspiegelt. Für Datenschutzgesetze hat Kalifornien in den USA eine Vorreiterrolle inne.

Befürworter des CCPA gaben am 3.5.2018 bekannt, dass genügend Unterschriften gesammelt wurden um am 6.11.2018 über die Gesetzesmaßnahme per Volksabstimmung abzustimmen.

Unter anderem räumt das Gesetz Verbrauchern das Recht ein auf Anfrage ähnlich wie nach Art. 15 DSGVO über Datensammlungen informiert zu werden. Das Unternehmen muss auch mitteilen an wen die Daten verkauft oder weitergegeben werden. Auch die Definition des CCPA von persönlichen Informationen (PI) ist viel umfassender als die Definition von „persönlichen Informationen“ gemäß des geltenden kalifornischen Gesetzes zur Meldung bei Datenschutzverstößen.

Ein CCPA-Verstoß durch Missachtung der Datenschutzrechte des Verbrauchers oder durch einen Datenschutzverstoß führt zu einem gesetzlichen Schadensersatz, unabhängig davon, ob dem Verbraucher tatsächlich ein Geld- oder Sachschaden entstanden ist. Der gesetzliche Schadensersatz liegt zwischen US$ 1000 und US$ 3000.

Viele Technologieunternehmen, Banken, und die Automobilindustrie lehnen das Gesetz ab, da es zu weitreichend und zu teuer sei.

Es sieht so aus, als ob Datenschutz bald nicht nur in Europa eine große Rolle spielt.

 

Rückschlag für Icann vor dem Bonner Landgericht

4. Juni 2018

Die Internet Corporation for Assigned Names and Numbers (Icann) ist ein Non-Profit-Unternehmen, dass dafür sorgt, dass Website-Namen im Netz nicht doppelt vergeben werden und alle IP-Adressen zur richtigen Internetseite führen. Das US-Unternehmen fordert dazu nicht nur den Namen des Seitenbetreibers sondern auch die Namen, Adressen und Telefonnummern von der Person mit vollen Zugriffsrechten auf die Website (Admin-C) und einem technischen Verantwortlichen (Tech-C).

Der deutsche Domain-Händler Epag wehrt sich nun gegen diese Datensammlung vor dem Bonner Landgericht auf Grundlage der DSGVO. Epag hat sich dazu entschlossen die Adressdaten des Admin-C und Tech-C nicht mehr weiterzugeben, da man dafür möglicherweise keine rechtliche Grundlage hat.

Die Icann versuchte diesen Vorstoß mittels einstweiliger Verfügung zu verhindern. Die Richter am Landgericht Bonn haben den Eilantrag jedoch abgewiesen. Der Beschluss wurde mit der Regelung des Art. 5 Abs. 1 lit. b) und c) DSGVO begründet, wonach personenbezogene Daten nur „für festgelegte, eindeutige und legitime Zwecke erhoben“ werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (lit. c). Dies wurde durch die Antragstellerin nicht glaubhaft gemacht.

Datenaustausch zwischen Facebook und WhatsApp nun auch in Deutschland möglich

24. Mai 2018

International ist der Datenaustausch zwischen den Unternehmen schon seit 2016 möglich. In Deutschland war dieser jedoch noch nicht zulässig. Auf der Unterseite der WhatsApp Homepage ist jedoch nun zu erkennen, das WhatsApp unter anderem die Telefonnummer und Gerätedaten an Facebook weitergibt, was aus der aktuellen Datenschutzrichtlinie der App nicht ersichtlich ist.

2016 hat WhatsApp die Nutzungsbedingungen dahingehend geändert, dass Telefonnummern und weitere Informationen mit Facebook ausgetauscht werden, jedoch nicht zu Werbungszwecken.

Deutsche Datenschützer untersagten dies, wogegen Facebook geklagt hat und verlor. Das Verbot gilt aufgrund des neuen Gesetzes nicht mehr, nach DSGVO ist die Datenschutzbehörde in Irland nun zuständig.

Der hamburgische Datenschutzbeauftragte Johannes Caspar bezeichnete den Vorgang als „alarmierend“ und als Verstoß gegen die DSGVO.

Das Oberverwaltungsgericht Hamburg hat Anfang März 2018, die Annahme Caspars bestätigt, wonach Facebook nicht massenhaft Daten seiner Tochterfirma WhatsApp für eigene Zwecke nutzen darf.

Facebook-Chef Mark Zuckerberg hatte an diesem Dienstag bei der Anhörung vor dem Europäischen Parlament die konkrete Frage nach der Weiterleitung der Daten nicht beantwortet.

Zu jung für Whatsapp?

24. April 2018

Das könnte zukünftig für alle Whatsapp-Nutzer unter 16 Jahren gelten, denn aus einer Twitter-Meldung des Fan-Blogs WABetaInfo geht hervor, dass der Messaging-Dienst eine Änderung seiner Nutzungsbedingungen zum 25. Mai plant.

Zum jetzigen Zeitpunkt ist ausweislich der Nutzungsbedingungen noch ein Mindestalter von 13 Jahren, bzw. dasjenige Alter erforderlich und ausreichend, welches die Nutzer in ihren Ländern dazu berechtigt, die Dienste von Whatsapp ohne Zustimmung der Eltern zu nutzen. Die bevorstehende Anhebung des Mindestalters ist wohl auf die ab Mai anzuwendende Datenschutzgrundverordnung zurückzuführen. Laut der Verordnung ist die Verarbeitung personenbezogener Daten eines Kindes nämlich erst mit Vollendung seines 16. Lebensjahres rechtens.

Die Gefahren, welche von Chat-Diensten wie Whatsapp für die Persönlichkeitsrechte Minderjähriger ausgehen,  erkannte ein deutsches Gericht bereits 2016 und verurteilte einen Vater zur Löschung des Chat-Dienstes vom Handy seiner Tochter.

Auch wenn die geplante Änderung der Nutzungsbedingungen als wichtiger Schritt in Richtung eines umfassenderen Schutzes der Persönlichkeitsrechte Minderjähriger zu werten ist, könnten sich die tatsächlichen Auswirkungen dieser Regelung in überschaubaren Grenzen halten. Den Mitgliedsstaaten ist es nämlich möglich, durch Rechtsvorschriften eine niedrigere Altersgrenze festzulegen, welche allerdings nicht unter 13 Jahren liegen darf. Zudem ist unklar, ob die Änderung weltweit gelten soll, oder ob hiervon nur bestimmte Länder betroffen sein werden. Weiterhin ist fraglich, wie mit bereits registrierten Nutzern umgegangen werden soll, die unter 16 sind. Da Whatsapp selbst das Alter nicht abfragt, müsste diese Aufgabe vom App-Store übernommen werden. Auch in Anbetracht der Tatsache, dass Whatsapp für viele Kinder und Jugendliche ein unverzichtbares Medium bei der Integration darstellt bleibt abzuwarten, ob und wie sich ein neues Mindestalter praktisch wird umsetzen lassen.

1 2 3 22