Kategorie: Internationaler Datenschutz/Konzerndatenschutz

Was sieht der Brexit-Deal im Hinblick auf Datenschutz vor?

16. November 2018

Nachdem sich die EU mit Großbritannien letztendlich auf einen Entwurfstext für ein Austrittsabkommen geeinigt haben, rückt der Austritt am 29. März 2019 immer näher. Demnach stellt sich die Frage wie sich der Datenschutz in Großbritannien gestalten wird.

EU und Großbritannien haben sich nun in 5 kurzen Artikeln verständigt, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. In Artikel 71 (1) des Abkommens wird dabei zwischen den Daten, die bis zum Ablauf des Übereinkommens verarbeitet werden und solchen, die danach verarbeitet unterschieden. Bis zum Ende der Übergangsphase gilt weiterhin EU-Recht. In Artikel 71 (2) hat Großbritannien die Möglichkeit ein nationales Datenschutzgesetz zu beschließen und dafür einen Angemessenheitsbeschluss mit der EU auszuhandeln. Artikel 73 des Abkommens schreibt nieder, dass Daten aus Großbritannien wie Daten aus den Mitgliedsländern behandelt werden.

Spannend bleibt, ob dieses Übereinkommen überhaupt Wirkung entfalten wird, da das britische Parlament ein Strich durch diese Rechnung machen könnte.

Gesetzt den Fall es gäbe keinen Deal, würde es keinen Angemessenheitsbeschluss nach Art. 45 DSGVO geben. Großbritannien müsste demnach wie ein Drittland behandelt werden.

Auftragsverarbeitungen mit Übermittlungen ins Ausland

12. November 2018

Personenbezogenen Daten dürfen vom Verantwortlichen oder Auftragsverarbeiter nur an ein Drittland übermittelt werden, wenn
-ein Angemessenheitsbeschluss der Kommission für dieses Drittland vorliegt oder
-geeignete Garantien vorliegen

Solche Garantien können sein:
-verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO
-Standarddatenschutzklauseln die von der Kommission nach Art. 93 Abs. 2 DSGVO erlassen oder genehmigt wurden
-genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
-genehmigte Zertifizierung gemäß Art. 42 DSGVO
-genehmigte Vertragsklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO

Seit Einführung der DSGVO hat die Kommission keine Standarddatenschutzklauseln erlassen. Die bisher gültigen Standarddatenschutzklauseln behalten aber gemäß Art. 46 Abs. 5 S. 2 DSGVO bis auf Weiteres ihre Gültigkeit.

Es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Verantwortlichen außerhalb der EU / EWR und es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter außerhalb der EU / EWR. Diese sind unter folgendem Link abrufbar:
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

Werden diese Standarddatenschutzklauseln unverändert verwendet, ist eine Übermittlung der personenbezogenen Daten ohne vorherige Genehmigung durch eine Aufsichtsbehörde zulässig.

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

Personenbezug von Daten – relativ oder absolut?

6. November 2018

Entscheidend für die Anwendbarkeit des Datenschutzrechts ist der Personenbezug von Daten. Nach dem Wortlaut der DSGVO liegen personenbezogene Daten vor, wenn Informationen einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können (Art. 4 Nr. 1 DSGVO). Die Qualifikation als personenbezogenes Datum ist manchmal jedoch schwieriger als es die Definition auf den ersten Blick verspricht. In der Rechtsprechung haben sich daher insbesondere zwei Theorien entwickelt, um die Bestimmung zu vereinfachen. So kann es einerseits bei der Herstellung des Personenbezugs auf das Wissen und die Mittel irgendeiner beliebigen Person ankommen (absolute Theorie) oder andererseits auf das Wissen und die Mittel der datenverarbeitenden Stelle (relative Theorie).

Zu unterscheiden sind personenbezogene Daten jedoch zunächst von Sachdaten und aggregierten Daten. Anders als personenbezogene Daten beziehen sich Sachdaten – wie bereits der Wortlaut vermuten lässt – nicht auf Personen sondern ausschließlich auf eine Sache. Demgegenüber beziehen sich aggregierte Daten auf eine Personengruppe und lassen daher keinen Rückschluss auf eine individuelle Person zu. Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn kein Personenbezug besteht. Zu tragen kommt diese Abgrenzungsfrage z.B. bei Informationen, die im Rahmen der Nutzung eines Kfz erhoben werden können. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten. Daher ist in Einzelfällen der Personenbezug erst mit weiterem Wissen eines Dritten herzustellen.

Die Frage nach der Anwendung der absoluten oder relativen Theorie ist umstritten. Um den – meist rechtstheoretisch geführten Streit – zu entscheiden bzw. um Argumente für die eine oder die andere Theorie zu finden können unter Anderem die gesetzgeberischen Erwägungsgründe, die der DSGVO zu Grunde liegen, herangezogen werden.

Erwägungsgrund 26 lautet hierzu wie folgt:

„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“

Erwägungsgrund 26 stellt zwar neben dem Verantwortlichen auch auf das Wissen Dritter ab. Dieser zunächst absolut klingende Ansatz wird dann aber wieder relativiert. Die Identifizierung der natürlichen Person durch den Verantwortlichen über das Zusatzwissen eines Dritten muss demnach auch nach objektiven Kriterien wahrscheinlich sein.

In dem Verfahren Breyer / Deutschland (Urt. v. 18.10.2016) geht auch der EuGH davon aus, dass der Verantwortliche auch auf Wissen und Mittel Dritter zurückgreifen kann, um den Personenbezug herzustellen. Es kommt dabei jedoch nicht auf das Wissen jedes beliebigen Dritten an. Vielmehr muss die Identifizierung der Person nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis zur Identifizierung der Person wahrscheinlich sein.

Als Folge des umstrittenen und nicht klar entschiedenen Theorienstreits sollte in der Praxis stets aufgrund des vorliegenden und relevanten Sachverhaltes eine Einzelfallprüfung erfolgen, ob Daten personenbezogen sind oder es sich vielmehr um Sach- oder aggregierte Daten handelt.

 

 

Tim Cook lobt europäisches Datenschutzrecht auf der EU-Datenschutzkonferenz

26. Oktober 2018

Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet,  im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.

Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines „Daten-industriellen Komplexes“. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als „Waffe mit militärischer Effizienz“ eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden „sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft“.

Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.

 

Empfindliches Bußgeld für Portugiesisches Krankenhaus

23. Oktober 2018

Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.

Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.

Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.

Rekordbußgeld für Uber

28. September 2018

Wegen einer zunächst verschwiegenen Datenpanne aus dem Jahr 2016 muss der US-Fahrdienstvermittler Uber ein Bußgeld in Höhe von 126 Millionen Euro zahlen, wie die Generalstaatsanwälting Barbara Underwood mit einem Statement verkündete.

Am 21.11.2017 gab Uber bekannt, dass es im Jahr 2016 zu einem Hackerangriff kam, bei dem sowohl ca. 50 Millionen Kundendaten als auch sieben Millionen Daten von Uber-Fahrer von den Hackern erbeutet wurden. Das Unternehmen zahlte den Hackern damals ein Erpressungsgeld anstatt eine Meldung der Panne vorzunehmen (wir berichteten).

Jetzt kam es zu einer vergleichsweisen Einigung zwischen Uber und den zuständigen US-Behörden. Bestandteil des Vergleichs ist, das mit 148 Millionen Dollar (126 Millionen Euro), höchste Bußgeld, das jemals verhängt wurde, welches von weiteren Pflichten zur Verbesserung der Datensicherheit flankiert wird.

 

Steuer-App: Speicherung personenbezogener Daten in der Cloud

19. September 2018

Eine Schweizer Steuerberatungsfirma bietet eine kostenpflichtige App für die Erstellung einer Steuererklärungen an. Dazu muss der Nutzer Dokumente und Belege abfotografieren und mit der App hochladen. Alle abfotografierten Dokumente sowie die erhobenen Nutzerdaten wurden beim Cloud Anbieter Amazon Web Services (AWS) gespeichert. Durch die Speicherung in der öffentlich einsehbaren Cloud von Amazon, waren die Nutzerdaten für jeden einsehbar, der über ein Konto bei AWS verfügt. Folglich waren Steuerklärungen, Steuerbescheide, Lohnabrechnungen, Heirats- und Geburtsurkunden usw. in einem öffentlich lesbaren AWS Bucket abgelegt.

Ein Sicherheitsforscher bemerkte dieses Problem und fand zudem die per bcrypt gesicherten Passwörter der Admins heraus. Zudem waren die Chatverläufe zwischen der Steuerberaterfirma und dem Nutzer, in denen teilweise über die Steuererklärung gesprochen wurde, im Klartext gespeichert.

Der App-Entwickler hatte also nicht dafür gesorgt, dass die personenbezogenen Daten in einem gesicherten Bereich gespeichert werden.

Große amerikanische Unternehmen drängen auf Bundesgesetz für Datenschutz

30. August 2018

Unternehmen wir Facebook, Google etc. scheinen sich dem Thema Datenschutz angenommen zu haben und setzen sich laut der New York Times immer mehr für ein bundesweites Datenschutzgesetz in den USA ein.

Allerdings stehen dort andere Interessen im Vordergrund, als ausschließlich der Datenschutz. Neben der DSGVO wurde im Juni 2018 ebenfalls ein kalifornisches Datenschutzgesetz erlassen, welches vor allem Firmen, die personenbezogene Daten zur kommerziellen Zwecken nutzen, Kopfschmerzen bereitet. Dieses Gesetz soll 2020 in Kraft treten und könnte andere Staaten in den USA dazu bewegen, ähnliche Gesetze auf den Weg zu bringen und damit dem gesamten Geschäftszweig Probleme bereiten.

Der Erlass eines bundesweiten Datenschutzgesetzes könnte allerdings dazu führen, dass den einzelnen Staaten der Wind aus den Segeln genommen wird. Daher liegt der Fokus der technischen Unternehmen nicht mehr unbedingt im Verhindern von Regulationen, sondern vielmehr darauf, ein Gesetz zu erlassen, welches die eigene Handschrift mitträgt und somit „geschäftsschädigende“ Regelungen weitestgehend vermieden werden können. Ob diese Vorgehensweise erfolgreich ist, hängt überwiegend davon ab, welchen Stellenwert der Datenschutz in der amerikanischen Gesellschaft in Zukunft einnehmen wird.

Das ein unternehmensfreundliches Gesetz dabei herum kommt, ist sehr wahrscheinlich. Allerdings wäre es ein erster Schritt in Richtung mehr Datenschutz in den Staaten.

Datenschutz in den USA: Regierung plant ein neues Gesetz

9. August 2018

Die momentane Situation bei einem Datentransfer von Europa in die USA ist so klar wie unbefriedigend: Er kann auf das sog. „Privacy Shield“ gestützt werden, dem Nachfolgeabkommen, das die Europäische Kommission mit den USA vereinbart hat, nachdem das frühere „Safe Harbour“ – Abkommen Ende 2016 vom EuGH für unwirksam erklärt worden war.

Seit seinem Inkrafttreten bestehen jedoch ernsthafte datenschutzrechtliche Bedenken, ob eine auf diesem Privacy Shield allein basierende Übermittlung personenbezogener Daten zulässig ist. Erst zuletzt, am 26. Juni, hatte die Mehrheit des EU-Parlaments für eine Nachbesserung oder, wenn diese nicht umgehend erfolgt, für ein Aussetzen des Privacy Shields ab 1. September gestimmt.

Vor diesem Hintergrund treffen die Nachrichten der Washington Post, die US-Regierung arbeite an einem nationalen Datenschutzgesetz, das für ein national einheitliches Datenschutzniveau sorgen soll, auf fruchtbaren Boden. Einen Anteil an dieser Initiative wird wohl auch die EU-Datenschutzgrundverordnung mit ihren weitgreifenden, auch den US-Markt nicht unberührt lassenden Regelungen, haben. Einige gewichtige US-Unternehmen hätten dieser Tage bereits an die Regierung in Washington appelliert, eine eigene Haltung zum Datenschutz zu formulieren, die weniger aggressiv sei, als jene aus Europa, so heißt es in dem Bericht. Die weitere Entwicklung dieses Vorhabens der US-Regierung wird daher mit Spannung verfolgt.

1 2 3 22