Kategorie: Internationaler Datenschutz

Wurde Booking.com zum Opfer eines Hackerangriffs der US-Geheimdienstbehörde ?

12. November 2021

In dem am Donnerstag erschienenen Buch „Die Maschine: Im Bann der Booking.com“ von drei Journalisten der niederländischen nationalen Zeitung NRC, berichten diese von einem Hackerangriff, der 2016 die Server von Booking.com durchbrochen und Benutzerdaten im Zusammenhang mit dem Nahen Osten gestohlen hat.

Die Personen hinter dem Hackerangriff hatten auf Tausende von Hotelreservierungen Zugriff. Hierbei sind vor allem die Länder des Nahen Ostens wie Saudi-Arabien, Katar und die Vereinigten Arabischen Emirate betroffen gewesen. Ferner heißt es, dass unter den offengelegten Daten auch Namen von Booking.com Kunden und deren Reisepläne veröffentlich wurden. Der bei Booking.com interne Name für diesen Verstoß  war das „PIN-Leck“, weil der Verstoß auch gestohlene PINs aus Reservierungen beinhaltete. Zwei Monate nach diesem Verstoß bekam Booking.com bei der Suche nach dem Hacker Unterstützung von US-Privatdetektiven. Hierbei stellten sie fest, dass es sich bei dem Hacker um einen Amerikaner handelte, der für ein Unternehmen arbeitete, das Aufträge von US-Geheimdiensten ausführte. Die Autoren haben bis jetzt nicht feststellen können, welche Agentur hinter dem Angriff steckte.

Der Vertreter von Booking.com äußerte sich zu diesem Geschehen. Booking.com sah sich nicht in der Pflicht, diesen Verstoß offenzulegen und zu melden. Es lagen nämlich keine Beweise für „tatsächlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen“ vor. Die in Amsterdam ansässige Booking.com traf diese Entscheidung, nachdem sie den niederländischen Geheimdienst AIVD angerufen hatte, um diese Datenschutzverletzung zu untersuchen. Auf Anraten eines Rechtsberaters hat das Unternehmen die betroffenen Kunden und die niederländische Datenschutzbehörde daraufhin nicht benachrichtigt. Die Begründung: Booking.com war gesetzlich nicht dazu verpflichtet, weil keine sensiblen oder finanziellen Informationen abgerufen wurden.

Im April wurde Booking.com von den niederländischen Datenschutzbehörden mit einer Geldstrafe von 475.000 Euro belegt, da Booking.com eine separate Datenschutzverletzung gemäß der DSGVO verspätet gemeldet hatte. Bei diesem Verstoß wurden mehr als 4.000 Booking.com Kunden von Cyberkriminellen auf ihre Namen, Adressen, Telefonnummern und Buchungsdetails zugegriffen. Weitere 300 Personen hatten auch Kreditkarteninformationen gestohlen, einschließlich des CVV-Codes in fast 100 Fällen.

Facebook schafft automatische Gesichtserkennung ab

3. November 2021

Der kürzlich in Meta umbenannte Internetkonzern Facebook stellt nach über zehn Jahren die Automatische Gesichtserkennung auf dem sozialen Medium ein.

In einem Blogeintrag auf der Website von Meta verkündete Jerome Pesenti, Vize-Chef der Abteilung für Künstliche Intelligenz, die Beendigung des Projekts der automatischen Gesichtserkennung. Seit 2010 identifiziert diese automatisch die auf den Fotos der Usern abgebildeten Personen. Dadurch wird eine Verknüpfung von Gesicht und Konto möglich gemacht. Laut Pesenti ergebe die Einstellung des Tools Nachteile, wie zum Beispiel Einschränkungen der Nutzbarkeit durch blinde User. Starke gesellschaftliche Kritik sowie eine unklare Gesetzeslage über den Einsatz der Technologie hätten jedoch zu der Abschaffung der automatischen Gesichtserkennung geführt.

Zudem kündigte Pesenti an, die zur automatischen Gesichtserkennung erhobenen Daten der User zu löschen. Dies betrifft rund eine Milliarde Nutzerdaten.

Bereits im Februar dieses Jahres unterlag Facebook einer Sammelklage, in welcher es um die Funktion der automatischen Gesichtserkennung ging, und wurde zu einer Zahlung von 650 Millionen US-Dollar verurteilt.

Wann die Software abgeschaltet wird und die erhobenen Daten gelöscht werden, ist jedoch noch unklar.

Google reagiert auf den Wegfall des Privacy Shield

30. September 2021

Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.

Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache „Schrems II“ aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.

Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des „Schrems II- Urteils“ veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.

Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

Neues Datenschutzgesetz in China verabschiedet

1. September 2021

Am 01.09.2021 tritt das neue Datensicherheitsgesetz in China in Kraft. Doch daneben gibt es auch ein neues Datenschutzgesetz, das am 01.11.2021 in Kraft treten soll. Damit reagiert die Zentralregierung der Kommunistischen Partei auf die Sorgen der chinesischen Bevölkerung über Datenmissbrauch, insbesondere durch große Technologie- und Internetkonzerne. Auf den ersten Blick gibt es Ähnlichkeiten zur europäischen Datenschutz-Grundverordnung, es lohnt sich jedoch, einen zweiten Blick auf das Gesetz zu werfen.

Zu den Ähnlichkeiten zählt zunächst der recht weite Anwendungsbereich des neuen chinesischen Datenschutzgesetzes. Der Umgang mit personenbezogenen Daten muss einen angemessenen Zweck verfolgen und auf den minimalen Umfang beschränkt werden. Außerdem gibt es Einschränkungen für Profiling und die Information und Zustimmung der Betroffenen wird wichtiger. Richtlinien zur Übermittlung der Daten ins Ausland sind ebenso vorhanden wie die Pflicht ausländischer Unternehmen, einen Verantwortlichen als Ansprechpartner für chinesische Behörden zu benennen.

Neben diesen Aspekten, die so oder ähnlich in der DSGVO zu finden sind, fehlen jedoch wesentliche Prinzipien derselben. Zwar können einzelne Personen in Zukunft Rechtsmittel bei Datenpannen einlegen, den Strauß an Betroffenenrechten der DSGVO sucht man jedoch vergebens. Ein Pendant zur Datenschutzrichtlinie für Polizei und Justiz gibt es ebenfalls nicht. Der größte Unterschied ist jedoch, dass staatliche Akteure größtenteils nicht unter die neuen Regelungen fallen.

Der chinesische Staat sammelt selbst große Mengen an Daten über seine Einwohner, inklusive eines großen Sozialkreditsystems. Dies wird auch durch das neue Gesetz nicht unterbunden werden, es geht eher darum, große Technologiekonzerne zu regulieren. Unternehmen wie Alipay oder Wechat wurden in den letzten Jahren kaum reguliert und haben dadurch eine Vormachtstellung eingenommen. Das Gesetz könnte daher in Zukunft auch dazu eingesetzt werden, diese Vormachtstellung der Technologiekonzerne einzudämmen, in der Vergangenheit wurde dafür beispielsweise auch das Kartellrecht genutzt.

Großbritannien will sich von DSGVO lösen

30. August 2021

Letzten Donnerstag kündigte die britische Regierung an, sich zukünftig von den wesentlichen Inhalten der DSGVO trennen und ein neues Gesetz einführen zu wollen. Der Datenschutz solle weniger bürokratisch sein und einige Vorschriften sollen abgeschafft werden. Konkret als Beispiele wurden dabei die Cookie-Banner genannt, die von Minister Oliver Dowden in vielen Fällen als ‚sinnlos‘ angesehen werden. Diese Banner, die vom Webseiten-Besucher eine Einwilligung in das Speichern seiner Daten durch Cookies verlangen, sollen nach dem Willen der britischen Regierung zukünftig nur noch erforderlich sein, wenn ein hohes Risiko für die Privatsphäre der Besucher besteht. Dabei sollen vor allem kleine Unternehmen und Wohltätigkeitsorganisationen entlastet werden. Nach der Aussage von Oliver Dowden soll von diesen nicht dasselbe verlangt werden, wie von riesigen Social-Media-Unternehmen.

Auch freiere internationale Datenflüsse sind geplant. Dazu will Großbritannien Datenschutzvereinbarungen mit weiteren Staaten abschließen, u.a. den USA und Dubai. Die Abkommen sollen dabei z.B. Online-Banking und die Strafverfolgung regeln.

Eingerichtet werden soll auch ein ExpertInnen-Rat, der „International Data Transfers Expert Council“. Dieser Rat soll Vereinbarungen treffen und gleichzeitig auf die Einhaltung des Datenschutzes achten.

Der Vorschlag für das neue Gesetz soll im Laufe des Septembers veröffentlich werden. Die EU-Kommission plant dann eine sofortige Überprüfung, ob das geplante Gesetz dem Datenschutzniveau der EU entspricht. Sollte dies nicht der Fall sein, hätte dies Folgen für den erst seit zwei Monaten bestehenden Angemessenheitsbeschluss. Dieser kann jederzeit ausgesetzt und beendet werden, bekräftigte ein Kommissionsprecher. Dann würde die Datenübertragung zwischen Großbritannien und der EU wieder wesentlich komplizierter. Da Datentransfers sodann einer erneuten Überprüfung unterliegen und zum Beispiel Standardvertragsklauseln geschlossen werden müssen. Großbritanniens Minister Dowden versichert hingegen, das Datenschutzniveau der EU würde beibehalten.

Es ist das erste Mal seit dem Austritt Großbritanniens aus der EU, dass die britische Regierung europäische Regeln verwerfen will. Die weitere Entwicklung bliebt abzuwarten und wird maßgeblich von dem Inhalt des Gesetzesentwurfes abhängen.

Schrems vs. Facebook: Vorlagefragen des OGH an den EuGH

27. August 2021

Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU. 

Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.

Einwilligung oder Vertrag zur Datennutzung

In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Werbe-Targeting und Verarbeitung sensibler Daten

Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook „Like“-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der „Datenminimierung“ vereinbar ist.

Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. „Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf“, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.

Anspruch auf Schadensersatz möglich

Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.

„Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich“, so Max Schrems.

Höchstes Bußgeld in der Geschichte der Datenschutzgrundverordnung geht an Amazon

24. August 2021

Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.

Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.

Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es „keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.

Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.

Taliban sollen Zugriff auf biometrische Daten erhalten haben

18. August 2021

Im Zuge des Vormarsches der Taliban-Truppen in Afghanistan sollen diese in den Besitz von biometrischen Daten gelangt sein. Dies berichtete ein US-Magazin, demzufolge Geräte, die von dem US-Militär zur biometrischen Identifizierung benutzt werden, sogenannte „Handheld Interagency Identity Detection Equipment“ (HIIDE) in die Hände der Taliban gefallen seien. Dabei handelt es sich um eine Art Kamera, mit der Aufnahmen der Iris und des Gesichts gemacht und Fingerabdrücke gespeichert werden können. Diese Daten werden auch auf der HIIDE gespeichert. Zusätzlich sollen die Geräte auch auf andere Datenbanken zugreifen können.

Obwohl die Geräte ursprünglich für die Identifikation von Terroristen gedacht waren, wurden sie in der Praxis dafür eingesetzt, Einheimische, die mit den US-Truppen zusammenarbeiteten, zu identifizieren. Somit sind aktuell vor allem Daten von Helfenden gespeichert. Ob die Taliban bereits jetzt unbegrenzten Zugriff auf die Daten hat, ist nicht klar. Es wird aber befürchtet, dass Geheimdienste von Ländern, die mit der Taliban sympathisieren, z.B. Pakistan, dabei behilflich sein könnten.

Die Neuigkeit kommt gleichzeitig mit anderen Warnungen über Datensicherheit in Afghanistan. Ebenfalls wird befürchtet, dass die Taliban nun auch auf staatliche Datensätze Zugriff erhalten könnte. Behörden hatten biometrische Daten u.a. für die Registrierung zu Wahlen gesammelt. Die Daten könnten genutzt werden, um weitere HelferInnen der ausländischen Truppen oder bestimmte Bevölkerungsgruppen zu identifizieren.

Viele AfghanInnen fürchten nach dem Machtwechsel Repressalien aufgrund ihrer Tätigkeit, Verbindungen oder Lebensweise. Sie sind längst dazu übergegangen, in Eile Dokumente, Nachrichten und Handy-Verläufe zu löschen. Offizielle und wichtige Dokumente werden fotografiert und an Bekannte geschickt, anschließend vernichtet. Auch offizielle Stellen wissen um die Gefahr, die von diesen Daten ausgeht. So hatte die US-Botschaft in Afghanistan sein Personal noch dazu aufgefordert, alle sensiblen Daten vor Ort zu vernichten. Hilfseinrichtungen und Organisationen wurden von der US-Behörde für internationale Entwicklung dazu aufgefordert, Fotos und Informationen, die lokale AfghanInnen identifizierbar machen, zu löschen. Die Menschenrechts-Organisation Human Rights First veröffentlichte einen Leitfaden, wie Betroffene möglichst viel ihrer digitalen Spuren noch löschen können. Betroffene fürchten nun vor allem die Rache der Taliban, sollten sie identifiziert werden können. Dieses Geschehen verdeutlicht, welcher Missbrauch im Extremfall mit Daten betrieben werden kann und wie gefährlich dies für die Betroffenen ist.

Chinas neues Datensicherheitsgesetz

6. August 2021

Am 10.Juni 2021 hat China ein neues Datensicherheitsgesetz verabschiedet, das sich auf alle Unternehmen auswirken wird, die in China tätig sind oder mit China Geschäfte betreiben. Das Gesetz, das am 1.September 2021 in Kraft treten wird, hat einen weitreichenden Geltungsbereich. Es legt umfangreiche Verpflichtungen für die Datenverarbeitung fest und sieht bei Verstößen potenziell schwere Strafen vor. Auch wenn viele Details der Umsetzung noch unklar sind, sollten Unternehmen mit globaler Geschäftspräsenz angesichts der umfangreichen Anforderungen des Gesetzes und der hohen Strafen bei Nichteinhaltung jetzt mit der Planung beginnen.
Obwohl noch keine offizielle englische Übersetzung vorliegt, ist jedoch mittlerweile bereits eine inoffizielle Übersetzung vorhanden. Das Datensicherheitsgesetz hat eine große Reichweite; es regelt nicht nur Datenverarbeitungsaktivitäten innerhalb Chinas, sondern auch solche außerhalb Chinas, die der nationalen Sicherheit oder dem öffentlichen Interesse Chinas schaden oder die rechtlichen Interessen eines chinesischen Bürgers oder einer chinesischen Organisation beeinträchtigen könnten.

Inhalt des Gesetzes

Das Gesetz sieht vor, dass die chinesische Zentralregierung ein hierarchisches Datenkategorisierungs- und -klassifizierungssystem einführt, das die Daten entsprechend ihrer Bedeutung für die chinesische Wirtschaft, die nationale Sicherheit sowie öffentliche und private Interessen regelt. Auf der Grundlage dieses Systems sowie eines detaillierten Katalogs „wichtiger Daten“, der auf nationaler Ebene formuliert wird, wird jede Region und jedes Ministerium in China einen eigenen Katalog „wichtiger Daten“ herausgeben. Die Einzelheiten dieses Systems – einschließlich einer Definition des Begriffs „wichtige Daten“, die noch nicht in chinesischen Gesetzen oder Vorschriften enthalten ist – werden voraussichtlich in künftigen Durchführungsbestimmungen festgelegt.

Verpflichtungen für Unternehmen

Das Datensicherheitsgesetz erlegt Unternehmen und Einzelpersonen, die mit der Datenverarbeitung befasst sind, umfangreiche Pflichten auf. Zu diesen Verpflichtungen gehören zum einen die Einrichtung eines Managementsystems für die Datensicherheit, Ergreifung der erforderlichen Maßnahmen zur Gewährleistung der Datensicherheit und Durchführung von Schulungen zur Datensicherheit und zum anderen die Überwachung potenzieller Risiken und, im Falle der Entdeckung eines Sicherheitsvorfalls, die unverzügliche Benachrichtigung der Nutzer und Ergreifung von Abhilfemaßnahmen.

Je sensibler die zu verarbeitenden Daten sind, desto strenger sind die Datensicherheitsverpflichtungen eines Unternehmens. So müssen Unternehmen, die „wichtige Daten“ verarbeiten, nicht nur strenge Verarbeitungsbeschränkungen für „nationale Kerndaten“ einhalten, sondern auch einen Datensicherheitsbeauftragten benennen, eine Abteilung für Datensicherheitsmanagement einrichten, regelmäßige Bewertungen zur Überwachung potenzieller Risiken durchführen und die Ergebnisse an die zuständigen Regierungsbehörden melden.

Strafen

Diejenigen, die gegen ihre Verpflichtungen aus dem Datensicherheitsgesetz verstoßen, müssen mit schweren Strafen rechnen. Die chinesischen Behörden können gegen Unternehmen, die die Vorschriften nicht einhalten, Geldstrafen von bis zu 77.000 US-Dollar (500.000 Yuan) verhängen, den Verantwortlichen zusätzliche Geldstrafen auferlegen und Abhilfemaßnahmen anordnen.

Fazit
Viele der Anforderungen des Gesetzes scheinen anderen Datensicherheitsgesetzen zu entsprechen, insbesondere denen der Datenschutz-Grundverordnung (DSGVO). So verlangen beide im Allgemeinen, dass Unternehmen geeignete Maßnahmen zum Schutz der Datensicherheit ergreifen, die Nutzer im Falle eines Vorfalls benachrichtigen und verantwortliche Beauftragte benennen. In vielerlei Hinsicht sind die Anforderungen des Datensicherheitsgesetzes jedoch weitreichender als die der DSGVO. So regelt das neue chinesische Gesetz nicht nur die personenbezogenen Daten chinesischer Bürger, sondern auch Daten, die für die nationale Sicherheit und die Wirtschaft Chinas wichtig sind. Außerdem enthält es viel strengere Beschränkungen für die Datenübertragung als die DSGVO.

1 2 3 29