Kategorie: Internationaler Datenschutz/Konzerndatenschutz
26. Oktober 2018
Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet, im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.
Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines „Daten-industriellen Komplexes“. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als „Waffe mit militärischer Effizienz“ eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden „sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft“.
Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.
23. Oktober 2018
Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.
Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.
Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.
28. September 2018
Wegen einer zunächst verschwiegenen Datenpanne aus dem Jahr 2016 muss der US-Fahrdienstvermittler Uber ein Bußgeld in Höhe von 126 Millionen Euro zahlen, wie die Generalstaatsanwälting Barbara Underwood mit einem Statement verkündete.
Am 21.11.2017 gab Uber bekannt, dass es im Jahr 2016 zu einem Hackerangriff kam, bei dem sowohl ca. 50 Millionen Kundendaten als auch sieben Millionen Daten von Uber-Fahrer von den Hackern erbeutet wurden. Das Unternehmen zahlte den Hackern damals ein Erpressungsgeld anstatt eine Meldung der Panne vorzunehmen (wir berichteten).
Jetzt kam es zu einer vergleichsweisen Einigung zwischen Uber und den zuständigen US-Behörden. Bestandteil des Vergleichs ist, das mit 148 Millionen Dollar (126 Millionen Euro), höchste Bußgeld, das jemals verhängt wurde, welches von weiteren Pflichten zur Verbesserung der Datensicherheit flankiert wird.
19. September 2018
Eine Schweizer Steuerberatungsfirma bietet eine kostenpflichtige App für die Erstellung einer Steuererklärungen an. Dazu muss der Nutzer Dokumente und Belege abfotografieren und mit der App hochladen. Alle abfotografierten Dokumente sowie die erhobenen Nutzerdaten wurden beim Cloud Anbieter Amazon Web Services (AWS) gespeichert. Durch die Speicherung in der öffentlich einsehbaren Cloud von Amazon, waren die Nutzerdaten für jeden einsehbar, der über ein Konto bei AWS verfügt. Folglich waren Steuerklärungen, Steuerbescheide, Lohnabrechnungen, Heirats- und Geburtsurkunden usw. in einem öffentlich lesbaren AWS Bucket abgelegt.
Ein Sicherheitsforscher bemerkte dieses Problem und fand zudem die per bcrypt gesicherten Passwörter der Admins heraus. Zudem waren die Chatverläufe zwischen der Steuerberaterfirma und dem Nutzer, in denen teilweise über die Steuererklärung gesprochen wurde, im Klartext gespeichert.
Der App-Entwickler hatte also nicht dafür gesorgt, dass die personenbezogenen Daten in einem gesicherten Bereich gespeichert werden.
30. August 2018
Unternehmen wir Facebook, Google etc. scheinen sich dem Thema Datenschutz angenommen zu haben und setzen sich laut der New York Times immer mehr für ein bundesweites Datenschutzgesetz in den USA ein.
Allerdings stehen dort andere Interessen im Vordergrund, als ausschließlich der Datenschutz. Neben der DSGVO wurde im Juni 2018 ebenfalls ein kalifornisches Datenschutzgesetz erlassen, welches vor allem Firmen, die personenbezogene Daten zur kommerziellen Zwecken nutzen, Kopfschmerzen bereitet. Dieses Gesetz soll 2020 in Kraft treten und könnte andere Staaten in den USA dazu bewegen, ähnliche Gesetze auf den Weg zu bringen und damit dem gesamten Geschäftszweig Probleme bereiten.
Der Erlass eines bundesweiten Datenschutzgesetzes könnte allerdings dazu führen, dass den einzelnen Staaten der Wind aus den Segeln genommen wird. Daher liegt der Fokus der technischen Unternehmen nicht mehr unbedingt im Verhindern von Regulationen, sondern vielmehr darauf, ein Gesetz zu erlassen, welches die eigene Handschrift mitträgt und somit „geschäftsschädigende“ Regelungen weitestgehend vermieden werden können. Ob diese Vorgehensweise erfolgreich ist, hängt überwiegend davon ab, welchen Stellenwert der Datenschutz in der amerikanischen Gesellschaft in Zukunft einnehmen wird.
Das ein unternehmensfreundliches Gesetz dabei herum kommt, ist sehr wahrscheinlich. Allerdings wäre es ein erster Schritt in Richtung mehr Datenschutz in den Staaten.
9. August 2018
Die momentane Situation bei einem Datentransfer von Europa in die USA ist so klar wie unbefriedigend: Er kann auf das sog. „Privacy Shield“ gestützt werden, dem Nachfolgeabkommen, das die Europäische Kommission mit den USA vereinbart hat, nachdem das frühere „Safe Harbour“ – Abkommen Ende 2016 vom EuGH für unwirksam erklärt worden war.
Seit seinem Inkrafttreten bestehen jedoch ernsthafte datenschutzrechtliche Bedenken, ob eine auf diesem Privacy Shield allein basierende Übermittlung personenbezogener Daten zulässig ist. Erst zuletzt, am 26. Juni, hatte die Mehrheit des EU-Parlaments für eine Nachbesserung oder, wenn diese nicht umgehend erfolgt, für ein Aussetzen des Privacy Shields ab 1. September gestimmt.
Vor diesem Hintergrund treffen die Nachrichten der Washington Post, die US-Regierung arbeite an einem nationalen Datenschutzgesetz, das für ein national einheitliches Datenschutzniveau sorgen soll, auf fruchtbaren Boden. Einen Anteil an dieser Initiative wird wohl auch die EU-Datenschutzgrundverordnung mit ihren weitgreifenden, auch den US-Markt nicht unberührt lassenden Regelungen, haben. Einige gewichtige US-Unternehmen hätten dieser Tage bereits an die Regierung in Washington appelliert, eine eigene Haltung zum Datenschutz zu formulieren, die weniger aggressiv sei, als jene aus Europa, so heißt es in dem Bericht. Die weitere Entwicklung dieses Vorhabens der US-Regierung wird daher mit Spannung verfolgt.
27. Juli 2018
Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der „umstrittene Privacy-Shield“ zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.
Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden, welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.
Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.
6. Juli 2018
Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll. Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.
Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.
Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.
In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.
Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.
Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von „Machine Learning“, das sogenannte „Natural Language Processing“. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.
Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.
Seit Ende Juni werden branchenübergreifend 20 große sowie 30 mittelgroße Unternehmen durch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hinsichtlich der Umsetzung der DSGVO überprüft.
Hierzu wurden den insgesamt 50 Unternehmen Fragebögen übermittelt, um den aktuellen Umsetzungsstand zu ermitteln. Hierdurch möchte sich die Aufsichtsbehörde einen Überblick darüber verschaffen, wie die Gesellschaften die zweijährige Übergangszeit bis zur Geltung der DSGVO am 25. Mai genutzt haben. Das primäre Ziel der Überprüfung liegt nach Aussage der LfD in der Stärkung des Bewusstseins sowie der Sensibilisierung für den Datenschutz. Die Verhängung etwaiger Bußgelder ist darüber hinaus möglich, sofern im Rahmen der Prüfung erhebliche Verstöße gegen die DSGVO festegstellt werden sollten.
Die versendeten Fragebögen gehen speziell auf die Punkte ein, die ein Datenschutzmanagementsystem nach der DSGVO enthalten muss. Hierzu werden die Vorbereitung auf die DSGVO, das Verzeichnis von Verarbeitungstätigkeiten, die Rechtsgrundlagen der Verarbeitung personenbezogener Daten, die Sicherstellung der Betroffenenrechte, die Gewährleistung der technisch und organisatorischen Maßnahmen, die Durchführung von Datenschutz-Folgeabschätzungen, der Abschluss notwendiger Auftragsverarbeitungsverträge, die Einbindung des Datenschutzbeauftragten in die Unternehmensorganisation, die Prozesse zur Meldung von Datenschutzvorfällen sowie die Dokumentation über die Einhaltung der notwendigen Umsetzungen genauer geprüft.
Durch die Prüfung erhofft sich die Aufsichtsbehörde weitergehende Erkenntnisse darüber, in welchen Bereichen erweiterter Beratungs- und Aufklärungsbedarf besteht. Mit Hilfe dieser Erkenntnisse können sodann etwaige neue Orientierungshilfen erarbeitet werden.
29. Juni 2018
Nachdem hier schon berichtet wurde, dass die Kalifornier über ein neues Datenschutz abstimmen wollen, wurde der „California Consumer Privacy Act“ gestern vom Senat und Repräsentantenhaus des US-Bundesstaates gebilligt und von Gouverneur Jerry Brown unterzeichnet. US-Medien zufolge ist die schnelle Verabschiedung des Gesetzes auf den Druck von Verbraucherschützern zurückzuführen.
Das Gesetz, welche durch die am 25. Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung inspiriert wurde, wird am 1. Januar 2020 in Kraft treten.
Durch das Gesetz erhalten die Unternehmen die Pflicht offenzulegen, welche Verbraucherdaten sie speichern. Außerdem können Kunden und Nutzer die Verwendung ihrer persönlichen Daten zu kommerziellen Zwecken untersagen. Datenschutzverstöße sollen auch finanziell bestraft werden.
Damit reagiert Kalifornien auch auf den Facebook-Skandal, der wegen seines Umgangs mit persönlichen Daten unter massivem Druck steht.
Die IT-Industrie, die vehement gegen dieses Bürgerbegehren steuerte, ist über das schnelle Gesetz erfreut, da ein Gesetz künftig leichter wieder abgeändert werden kann als ein erfolgreicher Volksentscheid.
Ob die US-Regierung auf Bundesebene neue Datenschutzvorgaben macht, ist derzeit unklar.
