Kategorie: Internationaler Datenschutz/Konzerndatenschutz

Internationale Datenverarbeitung – erste Proteste gegen neue Regelungen im indischen Datenschutz

25. Mai 2011

Die Neuerungen im indischen Datenschutzrecht zeigen nun bei Firmen in den USA erste Auswirkungen. Verschiedene amerikanische Firmen und auch einige indische Firmen, die um ihre Geschäftsbeziehungen fürchten, halten die nun erforderte schriftliche Zustimmung einer Person, bevor ihre persönlichen Daten gesammelt und genutzt werden dürfen, für viel zu restriktiv. Es wird befürchtet, dass viele Firmen nicht bereit sind, das Risiko einzugehen, dass ein Kunde, der die ausdrücklich Anfrage aus Indien bekommt, ob seine Daten dort gespeichert und genutzt werden dürfen, seine Zustimmung dafür verweigert. Stattdessen würden Firmen ihr Geschäft dann eher nach China oder auf die Philippinen auslagern, wo solche Bestimmungen nicht gelten. Auch Google protestiert gegen einige Passagen aus dem neuen Gesetz, wonach ein Internetanbieter für Inhalte verantwortlich gemacht werden, die als „belästigend“, „grob schädlich“ oder „ethnisch verwerflich anzusehen sind.

Der indische Minister für Informationstechnologie verteidigte das Gesetz damit, dass es einem seit langem geäußerten Begehren der IT-Industrie nachkäme, endlich gesetzlich Rahmenregelungen für den Datenschutz zu schaffen. Auch einige amerikanische Firmen befürworteten jedenfalls die Richtung des Gesetzes, da so das Vertrauen im Ausland hinsichtlich der ausgelagerten Datenverarbeitung in Indien gestärkt werde.

Ob und wie lange das Gesetz in seiner momentanen Ausgestaltung bestehen bleibt, dürfte letztlich maßgeblich von der Frage abhängen, wie stark der Druck aus dem Ausland noch wird. Da Indien in extrem hohen Maß auf die IT- und Outsourcing- Branche angewiesen ist, könnten allzu starke Proteste und Rückzugsdrohungen von Firmen aus diesem Bereich durchaus noch zu einer Änderung des Gesetzes führen.

Internationale Datenverarbeitung- Maßnahmenkatalog für in Indien tätige Unternehmen

18. Mai 2011

Wie schon im Beitrag vom 5.Mai 2011 berichtet, wurde in Indien am 13. April neue, sehr restriktive Bestimmungen für den Datenschutz vorgestellt, nachdem der Bereich des Schutzes persönlicher Daten dort für nahezu 100 Jahre unverändert blieb. Diese Neuerungen sind dabei insbesondere für Firmen, die ihre Datenverarbeitung nach  Indien ausgelagert haben, von Relevanz.

Auch wenn sich insoweit naturgemäß pauschal noch keine präzisen Maßnahmen empfehlen lassen, so sind hier zumindest erst einmal einige Tipps und Hinweise für Firmen, die aufgrund ihrer Kontakte und Beziehungen zu indischen Firmen von den neuen Regeln betroffen sein können

1. Überprüfung der aktuell bestehenden Datenschutzregeln und Maßnahmen
Untersuchung und Dokumentierung beispielsweise welche Daten bislang in Indien erhoben und gelagert werden oder welche opt-in oder opt-out Regelungen momentan zur Anwendung gelangen.

2. Einsetzen eines “Update-Teams”
Dieses Team ist für die Entwicklung und Umsetzung der nun erforderlich werdenden Maßnahmen verantwortlich. Je nach Größe der Firma können solche Mitglieder beispielsweise CIO, legal counsel, externe Berater oder bisher mit der Überwachung der Outsource- Tätigkeit befasste Personen sein.

3. Überprüfung des Kundenkontakts
Ergänzend zu 1. kann dies speziell für Firmen, die dort im Handelsbereich z.B. online-Handel tätig sind von Relevanz sein. Insbesondere im Hinblick auf telefonischen Kontakt und das schriftliche Einverständnis zu Sammlung personenbezogener Daten ist hier Vorsicht geboten.

4. Berücksichtigung der Arbeitnehmer
Auch die bei den betroffenen Firmen beschäftigten Arbeitnehmer sind zu berücksichtigen, da auch sie schließlich in nicht unerheblichem Ausmaß personenbezogene Daten zur Verfügung stellen. Insoweit ist zu prüfen, ob und in welchem Maße die neuen Regeln in diesem Bereich zu neuen Maßnahmen führen.

5. Abstimmung mit anderen Beteiligten
Auch andere Firmen können in verschiedener Form direkt oder mittelbar durch die neuen Bestimmungen betroffen sein. Zum einen ist eine Abstimmung im Hinblick auf Maßnahmen beispielsweise beim Outsourcing bestimmter Geschäftsfelder an weitere Firmen erforderlich, zum anderen kann z.B. auch die aktuelle Internetkommunikation mit dem entsprechenden Provider und seinen eventuell kollidierenden Bestimmungen betroffen sein und es können sich insoweit Konfliktfelder auftun.

Mindestens 25 Schadenersatzklagen gegen SONY

15. Mai 2011

Nach dem im vergangenen Monat bei dem Hack des von dem Elektronikkonzern Sony weltweit betriebenen Playstation-Netzwerks bis zu 100 Mio. Daten von Nutzers des Netzwerks von unbekannten Tätern kopiert worden sind, sind nach Angaben des von Thomson Reuters betriebenen internationalen Legal-Services-Anbieters Westlaw vor US-Gerichten bereits mindestens 25 Sammelklagen gegen das Unternehmen eingereicht worden. Zudem ist auch das FBI sowie die New Yorker Staatsanwaltschaft an Ermittlungen gegen den Konzern beteiligt.

Ziel der Kläger ist es, gemeinsam eine Schadensersatzzahlung von dem Elektronik-Reisen zu erhalten. Die von Sony getroffenen Sicherheitsmaßnahmen zur Zugriffskontrolle seien ungenügend gewesen, heißt es in den eingereichten Klageschriften. Schwerpunkt der erhobenen Vorwürfe ist aber die Tatsache, dass Sony – nachdem die Täter nach eigenen Angaben des Unternehmens Zugriff auf bis zu 12,3 Mio. Kreditkarten Zugriff genommen haben – noch etwa eine Woche zugewartet habe, bevor der Vorfall öffentlich gemacht wurde. Bei einem schnelleren Handeln hätte der Schaden deutlich reduziert werden können.

Die Herausforderung für die Kläger in den bisher angestrengten (und noch zu erwartenden) Verfahren dürfte aber nach wie vor der Nachweis eines konkreten Schadens für die Betroffenen sein, nachdem erst im letzten Monat eine vergleichbare Sammelklage gegen RockYou, einen Entwickler von Applikationen für Facebook und andere soziale Netzwerke von den zuständigen Bundesrichtern in Oakland, Kalifornien, zurückgewiesen würde.

Einstellung von Google Street View in der Schweiz?

12. Mai 2011
Das Bundesverwaltungsgericht Zürich hat im März dieses Jahres entschieden, dass Google für seinen Online-Dienst Street View alle gezeigten Personen automatisch unkenntlich zu machen habe. Darüber hinaus sollen im Umkreis besonders sensibler Einrichtungen – z.B. Kranken- und Frauenhäusern, Gerichten, Schulen und Gefängnissen –nicht nur die Gesichter der abgebildeten Personen, sondern auch weitere individuelle Merkmale der Personen – beispielsweise die Hautfarbe oder Kleidung – verpixelt werden. Die Bevölkerung solle zudem über die Lokalpresse auf Kamerafahrten und das Freischalten von Bildern informiert werden. Google teilte nun mit, dass gegen dieses Urteil Beschwerde bei dem Bundesgericht in Lausanne eingelegt werde. Eine gänzliche Unkenntlichmachung sei schlichtweg technisch nicht realisierbar, die Forderungen zudem unverhältnismäßig. Sollte die Beschwerde keinen Erfolg haben, droht Google, den Online-Dienst für die Schweiz einzustellen.

Internationale Datenverarbeitung – Vorstellung neuer Datenschutzbestimmungen in Indien

5. Mai 2011

Am 13. April 2011 hat die indische Regierung neue Bestimmungen insbesondere zum Schutz „sensitiver“ personenbezogener Informationen im IT-Umfeld vorgestellt, denen bereits jetzt eine erhebliche Bedeutung für die internationale Datenverarbeitung weltweit operierender Organisationen und Konzerne zugeschrieben wird.

Die vorgestellten Neuregelungen, deren zügiges Inkrafttreten nun zu erwarten steht, stellen eine erhebliche Verschärfung gegenüber der bestehenden Gesetzgebung dar und gelten umfassend für alle Organisationen, die in Indien Daten (auch von außerhalb Indiens befindlichen) Personen verarbeiten. Auch die Datenverarbeitung im Auftrag durch indische Auftragnehmer ist dabei wesentlichen Neuregelungen und Verschärfungen unterworfen.

Der Begriff der sensitiven personenbezogenen Informationen erfasst neben Gesundheitsdaten, Daten zur sexuellen Orientierung insbesondere auch biometrische Daten sowie Daten zu Bank- und Kreditkartenkonten, als auch Passwörter.

Danach soll die Erhebung und Verarbeitung entsprechender Daten zukünftig generell die vorherige freiwillige Einwilligung des Betroffenen erfordern, die schriftlich oder auch per E-Mail erteilt werden kann. Zusätzlich ist die Erhebung derartiger Informationen nur dann zulässig, wenn diese zu legalen Verarbeitungszwecken der verantwortlichen Stelle erforderlich ist. Weiterhin sehen die Bestimmungen für den Betroffenen die Möglichkeit eines jederzeitigen Widerrufs der gegebenen Einwilligung vor. Ergänzend ist die betroffene Person im Moment der Datenerhebung über die wesentlichen Datenverarbeitungsvorgänge und deren Zwecke zu informieren. Dies wird weiter flankiert von der Verpflichtung, eine detaillierte und verständliche Privacy Policy auf der Webseite der verantwortlichen Stelle verfügbar zu halten. Eine Datenübermittlung in Drittstaaten soll nach den Neuregelungen schließlich grundsätzlich nur dann zulässig sein, wenn im Empfängerland ein gleichwertiges Datenschutzniveau besteht und die Daten zur Durchführung eines Vertrags erforderlich sind oder wenn die betroffene Person in die Übermittlung ebenfalls eingewilligt hat.

Nach Inkrafttreten der neuen Gesetzgebung gilt es für Organisationen, die in Indien personenbezogene Daten verarbeiten, ihre Compliance mit den neuen Vorschriften grundsätzlich zu überprüfen. Dies betrifft sowohl ansässige Unternehmen, als auch solche, die die Verarbeitung personenbezogener Daten von Europäischen Standorten aus im Wege des Outsourcing an indische Dienstleister oder Datenverarbeitungscenter übertragen haben, da die neuen Regelungen zum Teil strengere Einschränkungen vorsehen, als dies nach hierzulande der einschlägigen EU-Gesetzgebung der Fall ist.Verstöße sollen in Indien fortan mit Freiheitsstrafe von bis zu zwei Jahren und/oder Geldstrafen von umgerechnet ca. 1.550,- € pro Datensatz belegt werden können, die insbesondere auch die Unternehmensführung treffen können, sofern der verantwortlichen Person der Beweis der Unkenntnis von dem Verstoß nicht gelingt. Soweit Verstöße von Auftragsdatenverarbeitern vorliegen, können sogar Freiheitsstrafen von zu drei Jahren und/oder umgerechnet ca. 3.100,- € verhängt werden.

Die Folgen der beabsichtigten Neuregelungen für betroffene Unternehmen und deren IT- und Backoffice-Zentren sind derzeit noch völlig unklar, sodass allgemein mit Spezifizierungen und Klarstellungen innerhalb der nächsten Wochen gerechnet wird.

1 21 22 23