Kategorie: Internationaler Datenschutz
3. Juli 2015
Am Mittwoch dieser Woche tagten in Riga Vertreter der EU und USA aus Justiz- und Innenpolitik zu Verhandlungen über die transatlantische Zusammenarbeit in den Bereichen Freiheit, Sicherheit und Justiz, wie heise berichtet. Gegenstand der Verhandlungen war auch die Gewährleistung eines effektiven Datenschutzes bei der Kooperation und dem Informationsaustausch von europäischen und amerikanischen Sicherheitsbehörden.
Nach dem in Riga verhandelten Abkommen sollen EU-Bürger das Recht haben, den Rechtsweg bei möglichen Datenverstößen in den USA beschreiten zu dürfen.
Die nach US-Recht erforderliche gesetzliche Grundlage hierfür stellt der sogenannte „Judicial Redress Act“ dar. Über einen entsprechenden Gesetzesentwurf des Judicial Redress Act berät der US-Kongress seit Anfang dieses Jahres. Sobald dieser erfolgreich das amerikanische Gesetzgebungsverfahren durchlaufen habe, könne das Datenschutzabkommen auf den Weg gebracht werden.
Nach wie vor als schwierig gestalten sich hingegen die Bemühungen das Safe-Habor-Abkommen zu reformieren. Das zwischen den USA und der EU geschlossene Safe-Habor-Abkommen ist eine Vereinbarung, die gewährleistet, dass personenbezogene Daten von EU-Bürgern legal in die USA übermittelt werden können. Das Safe-Habor-Abkommen wird von Datenschützern als reformbedürftig kritisiert, da es die Rechte der Betroffenen nicht ausreichend schütze.
Auch wenn die Verhandlungen am Mittwoch in Riga einen Schritt in die richtige Richtung genommen haben, kann hingegen nur von einem Teilerfolg die Rede sein. Es bleibt daher abzuwarten wann die Verhandlungsergebnisse umgesetzt werden.
25. Juni 2015
Die Verhandlungen über die Europäische Datenschutzgrundverordnung (DSGVO) sind in die nächste Phase eingetreten. Seit dem 24.6.2015 beraten Vertreter der EU-Kommission, des Rats der EU sowie des Europaparlaments im Rahmen der sogenannten Trilog-Verhandlungen über den finalen Gesetzesentwurf. Ziel der Verhandlungen ist es, die unterschiedlichen Verhandlungspositionen der beteiligten Institutionen auf eine gemeinsame Linie zu bringen. Schlussendlich soll die aus dem Jahr 1996 stammende EU-Datenschutzrichtlinie wie auch die nationalen gesetzlichen Umsetzungen wie das Bundesdatenschutzgesetz (BDSG) nach einer zweijährigen Einführungsfrist von der DSGVO als Primärrecht abgelöst werden.
Brisant ist vor allem die zumindest partielle Infragestellung des nicht zuletzt im BDSG fest verankerten Zweckbindungsprinzips, wonach personenbezogen Daten nur für den konkreten Zweck verarbeitet oder genutzt werden dürfen, zu dem sie auch erhoben wurden. Die künftigen Voraussetzungen für die Bestellpflicht des betrieblichen Datenschutzbeauftragten stehen ebenfalls zur Debatte – so, ob dieser fakultativ oder obligatorisch bestellt wird, oder ob eine Bestellpflicht auf mittelgroße und große Unternehmen oder auf Unternehmen, die Datenkontingente von bestimmter Menge erheben oder verarbeiten, beschränkt werden soll.
Auch über die Zuständigkeit nationaler Behörden bei grenzüberschreitendem Datenverkehr wird ebenso wie über die Höhe zu verhängender Geldbußen im Sanktionsfall im Rahmen des Trilogs verhandelt werden.
22. Juni 2015
Spätestens seit dem Hackerangriff auf das Netz des Deutschen Bundestages und der Verabschiedung des Entwurfs eines IT-Sicherheitsgesetzes (wir berichteten darüber) ist das Thema Cybersicherheit in Deutschland in aller Munde. Da erscheinen die beiden Sicherheitsstudien von IBM zum passenden Zeitpunkt und erweitern die Diskussion um die Absicherung von IT-Systemen und Netzwerkern um neue Informationen: Etwa die Hälfte (55%) der Attacken stammt aus den Reihen von ehemaligen Angestellten, Dienstleistern mit Systemzugriff oder Mitarbeitern als Opfer von Kriminellen, so der Cyber Security Intelligence Index. Teilweise handeln diese Personen jedoch arglos oder die Schadsoftware gelangt etwa beim Klicken auf präparierte Links in Spam-E-Mails in das System. Um die Angriffsfläche durch derartige Insider zu verringern, kann ein durchgängiges Identitätsmanagement, also die Verwaltung von Benutzerdaten und damit die Zuordnung Zugriffsberechtigungen, bereits sicher helfen.
Der X-Force Threat Intelligence Report stellt heraus, dass daneben mit Schadsoftware infizierte Spam-Mails inzwischen eine echte Sicherheitsbedrohung darstellen. Der Bericht gibt Empfehlungen, wie solche Angriffe zu verhindern, oder zumindest zu verringern sind.
IBM identifizierte im Jahr 2014 in den beobachteten Unternehmen 81 Sicherheitsvorfälle (das sind rund 11% weniger als im Vorjahr), darunter rund 12.000 Cyberattacken (also Vorfälle, bei denen schadhafte Aktivitäten identifiziert werden konnten, bei denen ein Angriff auf das Netzwerk oder bestimmte Informationen versucht wurden). Die am meisten betroffenen Branchen sind Finanz- und Versicherungsdienstleister (über 25%), Informations- und Kommunikationsunternehmen (über 19%) und die herstellende Industrie (knapp 18%).
12. Juni 2015
Wie schnell Unternehmen die Kontrolle über vertrauliche Daten verlieren können, zeigt die Recherche eines Teams der Nachrichten-Website Heise online. In diesem Falle wurde gezielt nach der Datenleck-Stelle „Intranet“ gesucht. Aufwendige Tools braucht man dafür genauso wenig wie besonderes Expertenwissen: Die Recherche funktioniert über Google.
Dabei wurde der Suchoperator einfach so konfiguriert, dass die Suchmaschine nur Inhalte herausfiltert, welche Intranets entstammen („inurl:intranet“). Damit konnten zahlreiche Dokumente gefunden werden, welche nie für eine Öffentlichkeit bestimmt waren, und zudem personenbezogene Daten im Sinne des § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG) beinhalteten. Neben Geburtsdaten, Telefonnummern und Angaben mit familiärem Bezug wurden sogar Dokumente online gefunden, welche Gesundheitsdaten aufführten – besonders sensible personenbezogene Daten also, welche der Gesetzgeber im Bundesdatenschutzgesetz unter ein erhöhtes Datenschutzniveau stellt.
Offenkundig wurden solche Dokumente von Mitarbeitern der betroffenen Unternehmen selbst aus dem Intranet heraus online verfügbar gemacht – wohl unwissentlich.
Wie sicher betriebliche Prozesse ablaufen, liegt dabei in der Hand der Unternehmen selbst. Wer seine Prozesse hinterfragt, seine Mitarbeiter durch Schulungen sensibilisiert und die technischen und organisatorischen Maßnahmen zum Datenschutz regelmäßig aktualisiert, vermeidet leicht solche Datenpannen, die mitunter nicht nur bußgeldbewährt sein können, sondern auch die Unternehmensreputation nachhaltig schädigen können. Die Hinzuziehung eines externen Datenschutzbeauftragten kann dabei eine sinnvolle Investition darstellen, die dazu beiträgt, Haftungsrisiken abzuwenden und Kosten zu minimieren.
21. Mai 2015
Die Praktiken der BND-NSA-Späh-Affäre hat nun die Regierung Luxemburgs dazu bewogen, Anzeige gegen Unbekannt zu stellen. Zuvor hatte der Abgeordenete des österreichischen Parlaments Peter Pilz auf seiner Facebookseite ein Schreiben der deutschen Telekom veröffentlicht, in der vier Transitleitungen zu Überwachungszwecken offen gelegt worden waren. Da in diesen Luxemburg als Zielstaat offenbart wurde, sah sich die Regierung des Nachbaarstaates dazu veranlasst juristisch gegen die unbekannten Verantwortlichen vorzugehen. “Deutsche Sicherheitskreise” wiesen die Vorwürfe zurück, mit der Erklärung, dass Anfangs- und Endpunkte einer angezapften Strecke nichts über Anfang und Ende der durchgeleiteten Telekommunikationsverbindungen verrieten.
13. Mai 2015
Alle zwei Jahre legt der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen den Datenschutz- und Informationsfreiheitsbericht vor. Der 22. Bericht, der den Zeitraum vom 1. Januar 2013 bis 31. Dezember 2014 berücksichtigt, ist heute vom Landesdatenschutzbeauftragten NRW, Ulrich Lepper, veröffentlicht worden.
In dem 156 Seiten starken Dokument setzt sich die Behörde mit zahlreichen Fragen des Datenschutzes auseinander, deren Problematik nicht nur Fachleute jüngst beschäftig hat und noch weiterhin beschäftigen wird, sondern auch in der breiten Masse intensiv und medial diskutiert wird und wurde.
Folgerichtig zieht der Bericht auch gleich zu Beginn Lehren aus den Snowden-Enthüllungen und warnt eindringlich vor einem zunehmenden Überwachungsstaat, der für die öffentliche Sicherheit Freiheitsrechte opfert. In diesem Kontext leitet der Bericht über zu den viel diskutierten Themen Vorratsdatenspeicherung, Funkzellenabfragen und öffentlicher wie privater Videoüberwachung, die auf öffentlichen Plätzen Lepper selbst kürzlich als „No-Go“ bezeichnete. Einer Diskussion zum novellierten Verfassungsschutzgesetz NRW schließt sich die generelle Frage nach der Datensicherheit in der öffentlichen Landesverwaltung an, welcher die Landesdatenschützer nicht zuletzt Versäumnisse im Datenschutz hinsichtlich der Nutzung von sozialen Medien für Bürgeranfragen vorwerfen.
Im Bereich neuer Entwicklungen im Dienstleistungs- und Warensektor stehen verhaltensbezogene Versicherungstarife am Beispiel von Kfz- und Krankenversicherungen, die nach vorteilhafter Bewertung von persönlichen Verhaltensdaten der Versicherungsnehmer günstigere Beiträge gewähren, ebenso in der Kritik der Landesdatenschützer wie automatische Funktionen in modernen Kraftfahrzeugen, bei denen personenbezogene Aussagen über das Fahrverhalten erhoben werden können, und zuletzt modernen „Smart-TVs“, welche Daten über die Mediennutzung des Rezipienten zu erheben und übermitteln in der Lage sind.
Auch dem europäischen Datenschutz wird ein eigenes Kapitel gewidmet. So wird die Entscheidung des Europäischen Gerichtshofs zu Internet-Suchmaschinen, nach der Bürger ein Recht auf Unsichtbarkeit haben, reflektiert. Wie schon im Bericht von 2013 wird insbesondere auch die immer noch ausstehende europäische Datenschutzreform, allem voran die EU-Grundverordnung, thematisiert. Auch die Düsseldorfer Behörde begegnet der EU-Initiative nach wie vor mit Skepsis.
Eine „Abfuhr“ für das herkömmliche System der Datenschutzkontrolle sieht Lepper durch die geplante Änderung des Unterlassungsklagegesetzes, wonach u.a. künftig auch Verbraucherschutzverbände bei Datenschutzverstößen durch Unternehmen Klagebefugnis erhalten sollen.
Wichtige Instrumente für Datenschutz in der Fläche sieht Lepper einerseits in freiwilligen Zertifizierungen von Unternehmen, welche die Behörde ausdrücklich begrüßt, aber auch in der Information und Aufklärung von Bürgern, die so für eigene Rechtewahrnehmung sensibilisiert werden.
Den vollständigen 22. Datenschutz- und Informationssicherheitsbericht des Landesdatenschutzbeauftragten des Landes Nordrhein-Westfalen finden Sie hier.
Die EU-Kommission hat in der vergangenen Woche ein 16 Initiativen umfassendes Strategiepapier vorgestellt, mit denen den Veränderungen in der digitalen Welt Rechnung getragen und vor allem die Vorteile eines gemeinsamen Europäischen Marktes in Zukunft besser genutzt werden sollen.
Eine dieser Initiativen bezieht sich auf den Aufbau von eigenen, europäischen Cloud-Diensten. Es soll innerhalb dieser Maßnahme vor allem um die Zertifizierung von Cloud-Diensten, die Möglichkeit des schnellen Wechsels des Cloud-Diensteanbieters und um eine Forschungs-Cloud gehen. Bislang lohne sich die dezentraler Speicherung von Daten und Nutzung externer Rechenzentren in Europa noch nicht, weil der europäische Markt nach Ansicht der Kommission zu zersplittert sei. Dies liege beispielsweise in den abweichenden Datenschutzstandards in den EU-Mitgliedstaaten begründet. Wie einem dem Strategiepapier beigefügten Fahrplan zu entnehmen ist, ist die Umsetzung dieser “Initiative für einen freien Datenfluss” für das Jahr 2016 geplant.
Mit der Schaffung eines Gütesiegels für Cloud-Provider sollen zukünftig die Anbieter hervorgehoben werden, die in besonders hohem Maße bestimmte Sicherheitsstandards erfüllen.
6. Mai 2015
Wie die Irische Zeitung The Irish Times berichtet, haben bislang Unbekannte ca. € 4,6 Millionen von einem Ryanair-Konto abgebucht. Die Abbuchung erfolgte auf dem elektronischen Wege über ein chinesisches Bankkonto.
Die Irische Behörde Crimimal Assests Bureau (CAB) ermittelt nun in dieser Sache gemeinsam mit dem Asset Recovery Interagency Network Asia Pacific.
Wie genau es zu der unautorisierten Abbuchung kam und wer dahinter steckt, ist bislang unklar. Die Gelder seien jedoch eingefroren worden.
4. Mai 2015
Einem Bericht der Süddeutschen Zeitung zufolge, könnten die – sich immer noch in der Erarbeitung der EU-Gremien befindlichen – Grundsätze der europäischen Datenschutz-Grundverordnung die deutschen Unternehmen Milliarden kosten. Dies gehe aus einer Schätzung des Statistischen Bundesamtes hervor, die der Zeitung vorliegen. Allein um den umfassenden Informationspflichten nachzukommen, müssten die Unternehmen im ersten Jahr mit einem Kostenaufwand in Höhe von 1,5 Milliarden Euro planen. Für die weiteren Jahre nach der Umstellung komme noch einmal eine Milliarden Euro pro Jahr hinzu. Diese massiven Kosten hätten auch das Bundesinnenministerium aufhorchen lassen, das die Schätzung in Auftrag geben lassen habe, so die Süddeutsche. Das Ministerium habe verlauten lassen, dass dies Zahlen seien, die man sich ansehen müsse. Es müsse eine Balance zwischen Datenschutz und Wirtschaft gefunden werden.
Darüber hinaus könne es zu größeren Belastungen für kleinere Unternehmen kommen, da die Vorschläge aus Brüssel zur Grundverordnung nicht zwischen großen Firmen und Kleinunternehmen unterscheiden. Die Bundesregierung sei sich dieser Schieflage bewusst und wolle daher dazu beitragen, dass die Situation von Kleinunternehmen mit bis zu zehn Mitarbeitern verbessert werde. So sei es denkbar, dass die Unternehmen keiner automatischen Informationspflicht in Form der Herausgabe der gesammelten Daten an die Nutzer nachkommen, sondern sie erst dann aktiv werden müssten, wenn sie vom Nutzer darum gebeten werden würden. Ob diese Ausnahme durchgesetzt werden könne, sei aber fraglich.
Die vom Statistischen Bundesamt geschätzten Mehrkosten basieren jedoch lediglich auf vier von insgesamt 30 Artikeln. Es sei durchaus möglich, dass auch noch weitere Artikel zu finanziellen Belastungen führen könnten, so das Innenministerium.
30. März 2015
Der UN-Menschenrechtsrat hat sich in seiner 28. Sitzung am vergangenen Freitag zu der Etablierung eines Sonderberichterstatters für das Recht auf Privatsphäre entschlossen. Er wird das Recht auf Vertraulichkeit und Datenschutz repräsentieren und in der Welt sichern. Die Entschließung wurde von Deutschland und Brasilien initiiert, die damit vor allem das nach der Aufdeckung der NSA-Affäre ausgesprochene Ziel weiter verfolgen, vertrauliche Kommunikation im Besonderen und Datenschutz im Allgemeinen zu einem der Kernthemen des UN-Menschenrechtsrates zu machen.
Voraussichtlich ab Juni und zunächst für drei Jahre soll der Berichterstatter seine Arbeit aufnehmen, die u. a. darin bestehen wird, einen Bericht über die Lage des Rechts auf Privatsphäre in den Mitgliedstaaten anzufertigen und sodann auch Empfehlungen dahingehend auszusprechen, wie dieses Recht in der digitalen, vernetzten Welt effektiv durchgesetzt werden kann. Dabei soll er auch die staatlichen Überwachungspraktiken beobachten.
Einige Staaten, darunter auch die USA, äußerten sich teilweise kritisch gegenüber der Entschließung. Es bleibt zu hoffen, dass sie die Arbeit des Sonderberichterstatters nicht zu behindern versuchen werden.
Pages: 1 2 ... 21 22 23 24 25 ... 34 35 
