Kategorie: Internationaler Datenschutz
27. August 2019
Boris Johnson sieht scheinbar „realistische Chancen“ auf erneute Verhandlungen mit den übrigen europäischen Staaten. Über diese Aussage hinaus hat er jedoch – ausweislich von Medienberichten – keine Aussage dahingehend getroffen, wie dies realisierbar wäre. Diese und andere Aussagen des britischen Premiers erhärten die Annahme, es könne im Oktober zu einem so betitelten „no-deal Brexit“ kommen. Dieser Beitrag soll den Fokus noch einmal auf diejenigen Aspekte lenken, die Unternehmen in diesem Kontext zwingend berücksichtigen sollten. Weitere Informationen werden von der Datenschutzkonferenz angeboten (wenn auch noch für das ehemalige Austrittsdatum).
Datenschutzrechtliche Einordnung des Vereinigten Königreichs
Künftig würde es sich bei dem Vereinigten Königreich um einen Drittstaat im Sinne der Artikel 44 bis 49 DSGVO handeln. Insoweit bestünden grundsätzlich keine Unterschiede zu anderen Staaten außerhalb der Europäischen Union, wie zum Beispiel den USA.
Voraussetzung eines Datentransfers
Unabhängig vom Status des Empfängerlandes muss die Datenübermittlung dem Grunde nach zulässig sein. Jedwede Verarbeitung personenbezogener Daten bedarf auch in diesem Kontext einer Rechtsgrundlage.
Darüber hinaus muss der Transfer in das Drittland selbst zulässig ist. Dies ist einerseits der Fall, wenn die Europäische Kommission das Datenschutzniveau im Rahmen eines Angemessenheitsbeschlusses bestätigt (sicheres Drittland).
Existiert andererseits kein Angemessenheitsbeschluss, so muss das datenverarbeitende Unternehmen auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden (unsicheres Drittland). Dies kann je nach Sachverhalt durch Standarddatenschutzklauseln, Binding Corporate Rules, vertragliche Verpflichtung zur Einhaltung von allgemein gültigen Verhaltensregeln oder durch die Zertifizierung des Verarbeitungsvorgangs realisiert werden. Wird ein angemessenes Schutzniveau nicht erreicht, so kann unter anderem die Einwilligung des Betroffenen einen Datentransfer legitimieren.
Um potentielle Verstöße zu vermeiden sollte jeder Datentransfer allerdings unabhängig von diesen Ausführungen ausschließlich anhand der Umstände des Einzelfalls beurteilt werden.
Mit einer Klage gegen das Bundeskriminalamt wollte ein italienischer Staatsbürger mit Wohnsitz in Brüssel erreichen, dass seine Fluggastdaten nicht gespeichert, verarbeitet oder übermittelt werden. Seinen Antrag im Wege des einstweiligen Rechtsschutzes hat das Verwaltungsgericht Wiesbaden als unzulässig abgelehnt. Nach Auffassung des Gerichts fehlt es schon am notwendigen Rechtsschutzinteresse (Beschl. v. 21.08.2019, Az. 6 L 807/19.WI).
Im Zeitraum zwischen Mai 2018 und Juli 2019 unternahm der Antragsteller mehrfach Flüge von und nach Belgien. In seinem Eilantrag ging es konkret um den Flug im November 2019 von Brüssel nach Berlin bzw. einige Tage später nach Brüssel zurück. Dabei forderte er das Bundeskriminalamt zu der Erklärung auf, dass seine Fluggastdaten zu den beiden Flügen im November 2019 nicht gespeichert, verarbeitet und/oder übermittelt werden. Diese Maßnahmen verstießen gegen sein Recht auf Achtung des Privat- und Familienlebens aus Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh), sein Recht auf Schutz der personenbezogenen Daten aus Art. 8 GRCh sowie sein Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG.
Das Bundeskriminalamt lehnte den Antrag ab und wies darauf hin, dass die Sicherheitsbehörde nach dem deutschen Fluggastdatengesetz (FlugDaG), die Fluggastdaten des Antragstellers speichern müsse. Die Eingriffe in die Rechte des Antragstellers seien gerechtfertigt, weil durch die Regelungen des Fluggastdatengesetzes terroristische Straftaten und schwere Kriminalität verhindert werden sollen.
Das VG Wiesbaden lehnte den Eilantrag des Antragstellers bereits wegen seinem fehlenden Rechtschutzinteresses als unzulässig ab. Die Kammer erklärte in ihrem Beschluss, der Mann habe zwischen Mai 2018 und Juli 2019 zahlreiche Flüge von Belgien aus oder mit dem Ziel Belgien unternommen. Auch dort wurden Fluggastdaten gespeichert, was er offensichtlich widerspruchslos hingenommen habe. Es sei daher nicht ersichtlich, warum die Datenerhebung in Deutschland unzumutbar für ihn sein sollte.
Gegen den Beschluss kann der Antragsteller Beschwerde einlegen, worüber dann der Verwaltungsgerichtshof (VGH) Kassel zu entscheiden hat.
8. August 2019
Die Daten von rund 300 Millionen Twitter-Nutzern könnten in ungefugte Hände gelangt sein.
Twitter teilte kürzlich mit, dass Daten über ein Jahr mit Werbekunden geteilt wurden, ohne dass die Nutzer dem zugestimmt hätten.
Laut eigener Aussage wurden die von den Nutzern vorgenommen Einstellungen hinsichtlich des Teilens der gesammelten Daten für Werbung mit externen Werbeanbietern nicht berücksichtigt. Das führte dazu, dass trotz des Verbots Daten an Externe weitergegeben wurden.
Zu den Daten gehört Ländercode sowie ob und gegebenenfalls wie lange die Anzeige angesehen und mit ihr interagiert wurde. Hinzu kommt, dass den Nutzern durch diesen Fehler auch personalisierte Werbung angezeigt wurde, die auf Daten beruht, die nicht hätten gesammelt werden dürfen. Darüber hinaus seien, laut Aussage von Twitter, keine Informationen zu E-mailkonten oder Passwörtern betroffen gewesen.
Der Fehler wurde am 05.August behoben. Zurzeit laufen noch Ermittlungen bezüglich der Anzahl der Betroffenen. Zudem werden Vorkehrungen getroffen, damit ein solcher Fehler zuünftig nicht mehr auftritt.
5. August 2019
Bei einer der
größten Datenpannen in der nordamerikanischen Finanzbranche erhielt eine
Hackerin Zugriff auf Konten und Kreditkartenanwendungen von US-Bank-Kunden. Die
US-Bank, die ihren Sitz in Virginia hat, berichtete, dass Daten von mehr als
100 Millionen US-Bürgern und 6 Millionen Kanadiern gestohlen wurden.
Nach Angaben
der Bank seien persönliche Daten von Kreditkartenanträgen und existierenden
Kreditkarten betroffen, etwa Namen, Adressen, Telefonnummern,
E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen sowie Informationen zur
Kreditwürdigkeit und Verfügungslimits. Jedoch seien keine
Kreditkartenkontonummern oder Anmeldeinformationen betroffen, stellte die
US-Bank fest.
Die Hackerin hatte zuvor als Software-Entwicklerin bei Amazon Web Services gearbeitet, dem Cloud-Anbieter der US-Bank. Wie die US-Bank betont, habe die entdeckte Schwachstelle nicht speziell an der Cloud-Umgebung gelegen. Laut Bloomberg handelte es sich um eine falsch konfigurierte Firewall, die den Datendiebstahl ermöglicht habe.
Die Hackerin soll bereits Informationen über den Hack in Sozialen Medien veröffentlicht haben. Die US-Bank bemerkte den Datendiebstahl erst nach einer entsprechenden E-Mail von einem Nutzer, der vor einem potenziellen Datenleck warnte, das mit dem mutmaßlichen Angreifer in Verbindung steht. Laut US-Bank „ist es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe.“
Der Skandal
schlägt inzwischen auch Wellen bis nach Europa. Eine italienische Bank wird mit
einem Datendiebstahl bei der US-Bank in Zusammenhang gebracht.
17. Mai 2019
Am Münchner Standort verdoppelt der Internetkonzern Google bis zum Jahresende die Anzahl der Datenschutz-Spezialisten von 100 auf 200. Insgesamt beschäftigt Google in München dann 1000 Mitarbeiter. Für Firmenchef Sundar Pichai wird Deutschland damit zu einem globalen Drehkreuz für die produktübergreifende Datenschutzarbeit.
Zur Einweihung des Google Safety Engineering Centers sind auch Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer und Kristie Canegallo, Vice President of Trust & Safety aus dem Hauptquartier in Mountain View angereist.
Google habe bei der Entwicklung der Datenschutz-Tools nicht auf gesetzliche Vorgaben gewartet, erklärte Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer. Walker erkannte zwar an, dass die EU mit der Datenschutzgrundverordnung andere Regionen dazu veranlassen könnte, eigene Datenschutzgesetze zu entwickeln. Viele Google Privacy Tools seien aber älter als die DSGVO, und gingen durchaus über geltendes Gesetz hinaus.
Aktuell arbeitet das Team in München an verbesserten Datenschutzeinstellungen von Chrome und an datenschutzrelevanten Optionen und Funktionen, darunter auch einem Inkognito-Modus, in Apps wie Maps, Suche und Youtube (wir berichteten).
Ein spannendes Projekt ist dabei etwa der Versuch, neben klassischen Angriffen – wie geklaute und im Netz verfügbare Passwörter – bösartiges Browser-Fingerprinting durch Webseiten zu erkennen.
8. April 2019
In den USA hat Kalifornien eine Pionierrolle in Sachen Umwelt-und Verbraucherschutz. Wie schon berichtet wurde im Juni 2018 der „California Consumer Privacy Act“ (CCPA) verabschiedet, ein Zusatz zum Zivilgesetzbuch, der die DSGVO als Vorbild nimmt, um den Datenschutz in Kalifornien zu stärken. Der CCPA wird am 1. Januar 2020 in Kraft treten.
Noch vor Inkrafttreten sollen nun Betroffene mit einem umfangreichen Klagerecht ausgestattet werden. Danach könnten Konsumenten Unternehmen verklagen, wenn diese keine zutreffende Auskunft über gespeicherte Daten liefern oder die Daten von anderen Verbrauchern weiterverkaufen, obwohl sie aufgefordert wurden, dies zu unterlassen.
Die Werbebranche fürchtet sich vor einer Flut von Klagen, bei denen der Kläger gar nicht geschädigt ist, sondern nur wegen der Aussicht auf Geld klagt. Der Gesetzentwurf wird morgen im Justizausschuss des kalifornischen Senats beraten.
26. März 2019
Der Journalist und IT-Sicherheitsexperte Brian Krebs berichtete auf seinem Blog über den neusten Datenskandal bei Facebook.
Das soziale Netzwerk soll Passwörter jahrelang nur im Klartext abgespeichert haben. Die Daten der Nutzer seien für mehr als 20.000 Facebook-Mitarbeiter sichtbar gewesen. Betroffen seien geschätzt 200 bis 600 Millionen Nutzer von Facebook, Instagram und Facebook Lite.
Facebook hat in einer Stellungnahme vom 21. März den Vorfall nicht geleugnet, sieht aber kein Missbrauchsrisiko. Laut Facebook gibt es keine Hinweise darauf, dass jemand intern missbräuchlich auf die Passwörter zugegriffen habe. Die Betroffenen werden dennoch vorsichtshalber benachrichtigt.
Die DSGVO schreibt in einem solchen
Fall eigentlich eine förmliche Meldung der Datenpanne an die Aufsichtsbehörde
nach Art. 33 DSGVO und eine Benachrichtigung aller Betroffenen nach Art. 34
DSGVO vor. Hierzu nimmt Facebook nicht Stellung.
In einer aktuellen Pressemeldung äußert sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Skandal:
„Es ist zwar traurig, aber ein
Datenschutzvorfall bei Facebook
ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings,
dass einer der weltweit größten IT-Konzerne
offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.
Damit setzt Facebook
seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich
Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß,
wie ein Sicherheitsgurt funktioniert.“
Empfohlen wird jedem Nutzer von Facebook und Instagram, sein Passwort zu ändern. Wie man ein sicheres Passwort generiert, können Sie hier in unserem Blog nachlesen.
Eine Anleitung zur kompletten Löschung des Facebook Accounts finden Sie hier.
Es bleibt abzuwarten, wie die für
Facebook zuständige Irische Datenschutzbehörde auf den Vorfall reagieren wird.
Die Einleitung eines Bußgeldverfahrens erscheint möglich.
Der BfDI ist sich allerdings sicher, dass eine Prüfung durch die Datenschutzaufsichtsbehörden erfolgen wird. In der Pressemitteilung heißt es:
„Zum einen muss geklärt werden, ob Facebook vorliegend gegen
Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das
Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig
davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich
die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch
im Europäischen Datenschutzausschuss über den Fall diskutieren.“
12. März 2019
Kurz vor den entscheidenden Tagen zur Abstimmung über die Umstände und gegebenenfalls eine Verschiebung des Brexits hat sich Theresa May gestern Abend nochmals mit Jean-Claude Juncker in Straßburg getroffen. Dabei wurde sich, als Ergänzung zum vormaligen Brexit-Abkommen, auf „Klarstellungen und rechtliche Garantien“ zur Auffanglösung für Nordirland geeinigt.
Großbritannien soll hierbei die Möglichkeit erhalten, ein Schiedsgericht anzurufen, für den Fall, dass die EU über 2020 hinaus Großbritannien mittels Backstop-Klausel gewissermaßen an die Zollunion „ketten“ sollte. Dieses „rechtlich verbindliche Instrument“, wie es Juncker nennt, soll verdeutlichen, dass die Backstop-Klausel zur irischen Grenze nicht als Dauerlösung angesehen wird. Im Übrigen soll dies auch in einer gemeinsamen politischen Erklärung über die künftigen Beziehungen beider Seiten bekräftigt werden. Die Formulierung der ergänzenden Regelung ist juristisch jedoch schwammig und lässt Raum für Interpretation.
May ist dennoch zuversichtlich die Zustimmung des britischen Parlaments für das „neue“ Abkommen, über das heute Abend abgestimmt werden soll, zu erhalten. Jeremy Corbyn, der Chef der Labour Partei, hat unterdessen angekündigt und dazu aufgefordert auch gegen dieses Abkommen zu stimmen. Weitere Verhandlungen über Anpassungen der jetzigen Version des Austritts-Abkommens hat Juncker aber bereits abgelehnt, und betont dass es keine „Dritte Chance“ geben werde. Bis zum 23. Mai, wenn die EU-Wahlen beginnen, müsse das Königreich die EU verlassen haben.
Die Entscheidungen über das „wie“ und „wann“ des Brexits fallen jedenfalls in den nächsten Tagen, beginnend mit dem heutigen Abend gegen 20 Uhr MEZ. Sollte es heute keine Zustimmung zum Abkommen geben, wird morgen über einen „no-deal“ Brexit zum 29. März (ab 30. März wäre Großbritannien dann ein Drittland im Sinne der DSGVO) abgestimmt. Kann auch hier keine Zustimmung erzielt werden, so wird am 14. März über eine Verschiebung des Austritts abgestimmt. Im Rahmen einer Verschiebung könnte es dann zu einem neuen Referendum kommen und somit der erneuten Entscheidung über die Frage des „ob“ hinsichtlich des Brexits.
18. Februar 2019
Wie die australische Rundfunkgesellschaft ABC berichtet, sind neben dem Parlament in Australien drei große Parteien – namentlich die regierenden Parteien Liberal Party of Australia und die National Party of Australia sowie die stärkste Oppositionspartei Labor – Ziel eines Hackerangriffes geworden. Dies sei bei der Untersuchung eines Angriffes auf IT-Netzwerke des Parlaments am 08. Februar entdeckt worden. Den Berichten zufolge vermutet das, die Hackerangriffe untersuchende, Australian Cyber Securtiy Centre, dass lediglich ein fähiger staatlicher Akteur hinter dem Angriffsversuch stecken könne. Damit erinnert der Fall an den Hackerangriff auf den Bundestag 2015, bei dem in der Folge der Ermittlung staatliche, russische Hacker als verantwortlich ausgemacht wurden.
Unklar scheint bisher noch, ob es im Rahmen der Angriffe zum Verlust von Daten gekommen sei. Mit Blick auf die dieses Jahr stattfindenden bundesweiten Wahlen gebe es bislang allerdings keine Hinweise auf den Versuch einer Wahlbeeinflussung.
7. Februar 2019
Die Datenschutz-Grundverordnung (DSGVO) kennt kein Konzernprivileg. Eine Übermittlung von personenbezogenen Daten von einem Konzernunternehmen an ein anderes bedarf einer Rechtsgrundlage wie jede andere Übermittlung an einen Dritten auch. Als Rechtsgrundlage kommen sämtliche Tatbestände des Art. 6 Abs. 1 DSGVO in Betracht.
Werden bestimmte Prozesse / Aufgaben in einem Konzernverbund zentral von einer Stelle wahrgenommen, wie bspw. die Verwaltung der Mitarbeiterdaten, kann in der Regel das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Erwägungsgrund 48 bietet in Rahmen der nach Art. 6 Abs. 1 lit. f DSGVO durchzuführenden Interessenabwägung eine Hilfestellung. Er lautet:
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“
Danach kann eine Übermittlung von personenbezogenen Daten innerhalb eines Konzernverbunds zur Verwaltungsoptimierung und -vereinfachung ein berechtigtes Interesse für einen Datenaustausch innerhalb des Konzerns darstellen.
Die Auslagerung von bestimmten Tätigkeiten auf eine Konzerngesellschaft in einem Konzernverbund stellt darüber hinaus eine Auftragsverarbeitung gemäß Art. 28 DSGVO dar. Es bedarf daher des Abschlusses eines Vertrages über eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.
