Kategorie: Internationaler Datenschutz
4. Dezember 2018
Angriffe von Hackern auf IT-Systeme dienen oftmals der Erlangung personenbezogener Daten. Von besonderem Interesse und Wert sind dabei vor allem auch Kreditkarteninformationen. Nun wurde bekannt, dass der Marriott-Konzern, eine der weltweit größten Hotelketten, Opfer groß angelegter Cyberattacken wurde. Das Unternehmen gab bekannt, dass persönliche Daten von möglicherweise bis zu 500 Millionen Gästen gestohlen wurden. Im Mittelpunkt der Cyberattacken stand dabei die Tochtermarke Starwood, die von Marriott im Jahr 2016 für rund 13,6 Milliarden Dollar gekauft wurde. Zu Starwood gehören unter anderem die Hotels Westin, St. Regis, Le Méridien und W Hotels. Nun wurde bekannt, dass die von den Starwood Hotels eingesetzte Datenbank zum Management von Gästereservierungen seit 2014 regelmäßig von Hackerangriffen betroffen war. Bei diesen Attacken wurden unter anderem Namen, Geburtsdaten, Passinformationen, E-Mail – Adressen und die Aufenthaltszeiträume von Hotelgästen entwendet. Darüber hinaus konnten die Hacker wohl auch von einigen Hotelgästen die in der Datenbank hinterlegten Kreditkarteninformationen, samt den zur Entschlüsselung notwendigen Daten, erlangen. Nachdem die Angriffe dem Marriott-Konzern intern bekannt wurden, wurden die zuständigen Ermittlungsbehörden eingeschaltet. Weiterhin kündigte Marriott an, dass die von der Cyberattacke betroffenen Hotelgäste zeitnah per Mail hierüber informiert werden würden und das die IT-Systeme der Tochtermarke Starwood ausgemustert werden sollen. Das Bekanntwerden dieser Datenpanne führte dazu, dass der Kurs der Marriott-Aktie kurzfristig um bis zu 6 Prozent nachgab.
20. November 2018
Nach einem Bericht der britischen Zeitung „The Telegraph“, erheben Datenschutzexperten der niederländischen Firma „Privacy Company“ Vorwürfe gegen Microsoft, da sie auf Hinweise gestoßen seien, dass Microsoft mit Hilfe der Office-Anwendungen eine erhebliche Menge an personenbezogenen Daten abgefragt habe ohne dabei weder die Informationspflichten der DSGVO einzuhalten noch die Nutzer anderweitig über die Erhebung der Daten in Kenntnis zu setzen. Unter anderem seien Betreffzeilen aus E-Mails sowie inhaltliche Ausschnitte aus den betroffenen Mails erfasst worden. Das Ganze soll dabei automatisch abgelaufen sein, sobald der Nutzer die Rechtsschreibprüfungsfunktion benutzte. Microsoft behauptet derweil, die Datenerhebung erfolge zum Zwecke der Sicherheit und der Funktionsweise der Office-Anwendungen.
Tätig wurde die niederländische Firma im Auftrag des niederländischen Justizministeriums. Der Bericht über die Überprüfung wurde auf dem Blog der Firma veröffentlicht. Microsoft komme dem Bericht des Telegraph zufolge allerdings noch mit einer milden Strafe davon, da der us-amerikanische Konzern – so das niederländische Justizministerium – bereits im Oktober eingewilligt habe, die Office-Software datenschutzrechtlich zu überarbeiten. Die Änderungen sollen bis spätestens Mitte 2019 implementiert und abgeschlossen sein. Wie die Änderungen dann letztlich aussehen, bleibt daher vorher abzusehen.
16. November 2018
Nachdem sich die EU mit Großbritannien letztendlich auf einen Entwurfstext für ein Austrittsabkommen geeinigt haben, rückt der Austritt am 29. März 2019 immer näher. Demnach stellt sich die Frage wie sich der Datenschutz in Großbritannien gestalten wird.
EU und Großbritannien haben sich nun in 5 kurzen Artikeln verständigt, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. In Artikel 71 (1) des Abkommens wird dabei zwischen den Daten, die bis zum Ablauf des Übereinkommens verarbeitet werden und solchen, die danach verarbeitet unterschieden. Bis zum Ende der Übergangsphase gilt weiterhin EU-Recht. In Artikel 71 (2) hat Großbritannien die Möglichkeit ein nationales Datenschutzgesetz zu beschließen und dafür einen Angemessenheitsbeschluss mit der EU auszuhandeln. Artikel 73 des Abkommens schreibt nieder, dass Daten aus Großbritannien wie Daten aus den Mitgliedsländern behandelt werden.
Spannend bleibt, ob dieses Übereinkommen überhaupt Wirkung entfalten wird, da das britische Parlament ein Strich durch diese Rechnung machen könnte.
Gesetzt den Fall es gäbe keinen Deal, würde es keinen Angemessenheitsbeschluss nach Art. 45 DSGVO geben. Großbritannien müsste demnach wie ein Drittland behandelt werden.
12. November 2018
Personenbezogenen Daten dürfen vom Verantwortlichen oder Auftragsverarbeiter nur an ein Drittland übermittelt werden, wenn
-ein Angemessenheitsbeschluss der Kommission für dieses Drittland vorliegt oder
-geeignete Garantien vorliegen
Solche Garantien können sein:
-verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO
-Standarddatenschutzklauseln die von der Kommission nach Art. 93 Abs. 2 DSGVO erlassen oder genehmigt wurden
-genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
-genehmigte Zertifizierung gemäß Art. 42 DSGVO
-genehmigte Vertragsklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO
Seit Einführung der DSGVO hat die Kommission keine Standarddatenschutzklauseln erlassen. Die bisher gültigen Standarddatenschutzklauseln behalten aber gemäß Art. 46 Abs. 5 S. 2 DSGVO bis auf Weiteres ihre Gültigkeit.
Es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Verantwortlichen außerhalb der EU / EWR und es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter außerhalb der EU / EWR. Diese sind unter folgendem Link abrufbar:
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
Werden diese Standarddatenschutzklauseln unverändert verwendet, ist eine Übermittlung der personenbezogenen Daten ohne vorherige Genehmigung durch eine Aufsichtsbehörde zulässig.
7. November 2018
Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.
Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.
Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.
Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.
6. November 2018
Entscheidend für die Anwendbarkeit des Datenschutzrechts ist der Personenbezug von Daten. Nach dem Wortlaut der DSGVO liegen personenbezogene Daten vor, wenn Informationen einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können (Art. 4 Nr. 1 DSGVO). Die Qualifikation als personenbezogenes Datum ist manchmal jedoch schwieriger als es die Definition auf den ersten Blick verspricht. In der Rechtsprechung haben sich daher insbesondere zwei Theorien entwickelt, um die Bestimmung zu vereinfachen. So kann es einerseits bei der Herstellung des Personenbezugs auf das Wissen und die Mittel irgendeiner beliebigen Person ankommen (absolute Theorie) oder andererseits auf das Wissen und die Mittel der datenverarbeitenden Stelle (relative Theorie).
Zu unterscheiden sind personenbezogene Daten jedoch zunächst von Sachdaten und aggregierten Daten. Anders als personenbezogene Daten beziehen sich Sachdaten – wie bereits der Wortlaut vermuten lässt – nicht auf Personen sondern ausschließlich auf eine Sache. Demgegenüber beziehen sich aggregierte Daten auf eine Personengruppe und lassen daher keinen Rückschluss auf eine individuelle Person zu. Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn kein Personenbezug besteht. Zu tragen kommt diese Abgrenzungsfrage z.B. bei Informationen, die im Rahmen der Nutzung eines Kfz erhoben werden können. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten. Daher ist in Einzelfällen der Personenbezug erst mit weiterem Wissen eines Dritten herzustellen.
Die Frage nach der Anwendung der absoluten oder relativen Theorie ist umstritten. Um den – meist rechtstheoretisch geführten Streit – zu entscheiden bzw. um Argumente für die eine oder die andere Theorie zu finden können unter Anderem die gesetzgeberischen Erwägungsgründe, die der DSGVO zu Grunde liegen, herangezogen werden.
Erwägungsgrund 26 lautet hierzu wie folgt:
„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“
Erwägungsgrund 26 stellt zwar neben dem Verantwortlichen auch auf das Wissen Dritter ab. Dieser zunächst absolut klingende Ansatz wird dann aber wieder relativiert. Die Identifizierung der natürlichen Person durch den Verantwortlichen über das Zusatzwissen eines Dritten muss demnach auch nach objektiven Kriterien wahrscheinlich sein.
In dem Verfahren Breyer / Deutschland (Urt. v. 18.10.2016) geht auch der EuGH davon aus, dass der Verantwortliche auch auf Wissen und Mittel Dritter zurückgreifen kann, um den Personenbezug herzustellen. Es kommt dabei jedoch nicht auf das Wissen jedes beliebigen Dritten an. Vielmehr muss die Identifizierung der Person nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis zur Identifizierung der Person wahrscheinlich sein.
Als Folge des umstrittenen und nicht klar entschiedenen Theorienstreits sollte in der Praxis stets aufgrund des vorliegenden und relevanten Sachverhaltes eine Einzelfallprüfung erfolgen, ob Daten personenbezogen sind oder es sich vielmehr um Sach- oder aggregierte Daten handelt.
26. Oktober 2018
Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet, im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.
Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines „Daten-industriellen Komplexes“. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als „Waffe mit militärischer Effizienz“ eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden „sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft“.
Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.
23. Oktober 2018
Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.
Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.
Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.
28. September 2018
Wegen einer zunächst verschwiegenen Datenpanne aus dem Jahr 2016 muss der US-Fahrdienstvermittler Uber ein Bußgeld in Höhe von 126 Millionen Euro zahlen, wie die Generalstaatsanwälting Barbara Underwood mit einem Statement verkündete.
Am 21.11.2017 gab Uber bekannt, dass es im Jahr 2016 zu einem Hackerangriff kam, bei dem sowohl ca. 50 Millionen Kundendaten als auch sieben Millionen Daten von Uber-Fahrer von den Hackern erbeutet wurden. Das Unternehmen zahlte den Hackern damals ein Erpressungsgeld anstatt eine Meldung der Panne vorzunehmen (wir berichteten).
Jetzt kam es zu einer vergleichsweisen Einigung zwischen Uber und den zuständigen US-Behörden. Bestandteil des Vergleichs ist, das mit 148 Millionen Dollar (126 Millionen Euro), höchste Bußgeld, das jemals verhängt wurde, welches von weiteren Pflichten zur Verbesserung der Datensicherheit flankiert wird.
19. September 2018
Eine Schweizer Steuerberatungsfirma bietet eine kostenpflichtige App für die Erstellung einer Steuererklärungen an. Dazu muss der Nutzer Dokumente und Belege abfotografieren und mit der App hochladen. Alle abfotografierten Dokumente sowie die erhobenen Nutzerdaten wurden beim Cloud Anbieter Amazon Web Services (AWS) gespeichert. Durch die Speicherung in der öffentlich einsehbaren Cloud von Amazon, waren die Nutzerdaten für jeden einsehbar, der über ein Konto bei AWS verfügt. Folglich waren Steuerklärungen, Steuerbescheide, Lohnabrechnungen, Heirats- und Geburtsurkunden usw. in einem öffentlich lesbaren AWS Bucket abgelegt.
Ein Sicherheitsforscher bemerkte dieses Problem und fand zudem die per bcrypt gesicherten Passwörter der Admins heraus. Zudem waren die Chatverläufe zwischen der Steuerberaterfirma und dem Nutzer, in denen teilweise über die Steuererklärung gesprochen wurde, im Klartext gespeichert.
Der App-Entwickler hatte also nicht dafür gesorgt, dass die personenbezogenen Daten in einem gesicherten Bereich gespeichert werden.
