Kategorie: Internationaler Datenschutz
2. Dezember 2022
Auf dem NATO-Gipfel in Bukarest kamen in der vergangenen Woche die Mitgliedsstaaten der Allianz zusammen. Neben dem russischen Angriffskrieg wurde dort auch die Sicherheit der IT-Infrastruktur der Verbündeten thematisiert. Im Zuge dessen warnte die US-Regierung Deutschland und andere europäische Verbündete vor dem chinesischen Netzausrüster Huawei. Die Sicherheit der Netz- und IT-Infrastruktur sei auch für die Sicherheit der NATO essenziell. Mobilfunknetze sollten demnach vor chinesischem Einfluss abgesichert werden.
Weitere Verbote in den USA
Die USA weisen schon länger auf die engen Verbindungen zwischen Huawei und den chinesischen Behörden hin und warnen vor Spionage und Sabotage. Die Regierung erließ unter Präsident Trump ein Embargo, das amerikanischen Unternehmen nicht gestattet, mit Huawei Geschäfte zu betreiben.
„Die Vereinigten Staaten sind der Überzeugung, dass wir nicht-vertrauenswürdigen Anbietern nicht gestatten können, an unserer digitalen Infrastruktur, einschließlich unseres 5G-Netzes, mitzuwirken“, erklärte die NATO-Botschafterin der USA, Julianne Smith, in einem Interview mit dem Handelsblatt. Der Einsatz solcher Anbieter würde „inakzeptable Risiken für die nationale Sicherheit mit sich bringen und zugleich eine Gefahr für die Privatsphäre der Bürger darstellen“.
Vergangene Woche wurde dann auch die Zulassung neuer Telekommunikationsgeräte der chinesischen Unternehmen Huawei Technologies und ZTE durch die US-Regierung verboten, da sie ein „inakzeptables Risiko“ für die nationale Sicherheit der USA darstellten.
Die US Federal Communications Commission (FCC) teilte am Freitag mit, dass sie die endgültigen Regeln verabschiedet habe, die auch den Verkauf oder die Einfuhr von Geräten des chinesischen Überwachungsgeräteherstellers Dahua Technology, der Videoüberwachungsfirma Hangzhou Hikvision Digital Technology und der Telekommunikationsfirma Hytera Communications Corp. verbieten. Dieser Schritt ist das jüngste Vorgehen Washingtons gegen chinesische Tech-Giganten, von denen befürchtet wird, dass Peking sie zum Ausspionieren von Amerikanern einsetzen könnte.
Auch in Deutschland umstritten
Als die Diskussion um Sicherheitsbedenken durch den Einsatz von Netzwerktechnik aus der Volksrepublik China im Jahr 2019 zuletzt aufkam, hatte die damalige Bundesregierung noch betont, dass man zwar die Bedenken zur Kenntnis genommen habe, selbst aber keine Konsequenzen vorsehe.
Nach mehreren Warnungen leitete auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Untersuchungen ein, die noch nicht abgeschlossen sind.
Als Reaktion auf die steigende Spionagegefahr in kritischen Infrastrukturen wie Mobilfunknetzen wurde in Deutschland das sog. Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) Ende Mai 2021 verkündet. Kurze Zeit später veröffentlichte die Bundesnetzagentur als Ergänzung des Gesetzes den gemeinsam mit dem BSI erarbeiteten neuen Katalog für die Sicherheitsanforderungen für Telekommunikationsnetze. Mit diesem Gesetz wurden nicht nur Betreibern Kritischer Infrastrukturen strengere Vorgaben für die IT-Sicherheit auferlegt, sondern erstmals auch Vorschriften für Unternehmen im besonderen öffentlichen Interesse erlassen. Bei Nichteinhaltung drohen hohe Bußgelder. Ordnungswidrigkeiten können laut §14 Abs. 5 BSIG mit Geldbußen von bis zu 2 Mio. Euro belegt werden. Darüber hinaus ist es möglich, kritische Bauteile zu verbieten, wenn deren Einsatz den „sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der EU oder der NATO“ entgegensteht oder der Hersteller „unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird“.
Nicht wenige Bundestagsabgeordnete fordern bereits, das Gesetzt vollumfänglich auszuschöpfen und bei Bedarf die Regelungen auch weiter zu verschärfen.
Verbraucher:innen in Deutschland auch unmittelbar betroffen
Neben Huawei sind beispielsweise auch Xiaomi, Vivo und OPPO Technologie-Hersteller aus China. Vor einem Kauf von Hard- und Software sollten Verbraucher:innen auch Aspekte der technischen Sicherheit sowie das Vertrauen in den Hersteller berücksichtigen. Nach einer Recherche des ZDFs gehen Experten aber durchaus davon aus, dass Huawei „im Ernstfall“ auf den Smartphones seiner Nutzer Spionage-Software installieren könnte. Bei Produkten von kleineren unbekannteren Herstellern sei dabei besondere Vorsicht geboten.
Regierungsinterne Diskussionen gehen weiter
Laut Medienberichten wollen neben den USA auch Australien, Neuseeland, Japan, Frankreich, das Vereinigte Königreich, Taiwan, einige osteuropäische Staaten sowie das Baltikum beim 5G-Ausbau auf Komponenten von Huawei verzichten. Zusätzlich soll Huawei-Technologie aus bereits existierenden 3G- wie auch 4G-Netzen teilweise entfernt werden. Das weitere Vorgehen in Deutschland steht aktuell noch auf dem Prüfstand.
In Zukunft sollen strengere Prüfungen im Einzelfall über die Zulassung von entsprechenden Komponenten in 5G-Netzen entscheiden. Zusätzlich befasst sich die Bundesregierung aktuell mit einem neuen Entwurf zur China-Strategie. Das Dokument wurde bisher allerdings noch nicht veröffentlicht – wir halten Sie auf dem Laufenden.
18. November 2022
Die Nachrichtenagentur Reuters berichtete kürzlich über ein Bußgeldverfahren, dem sich der Tech-Gigant stellen müsse. Demnach soll Google 391,5 Million US Dollar zahlen, um Vorwürfen von 40 Bundesstaaten beizukommen.
Illegales Standort Tracking
Zu Schulden hätte sich Google das nicht autorisierte Verfolgen von Standortdaten kommen lassen. Dies erklärte die Generalstaatsanwaltschaft von Michigan am Montag. Bereits schon in den letzten Monaten seien die Generalstaatsanwälte der beteiligten Bundesstaaten aggressiv gegen die Praktiken des Unternehmens bei der Nutzungsverfolgung vorgegangen. Infolgedessen soll sich Google nicht nur monetären Sanktionen stellen, sondern auch betroffenen Nutzerinnen und Nutzern eine transparente Information über das „wann“ der Standortverfolgung gewährleisten.
Googles Reaktion
In einem Blog-Post erklärte Google am Montag, dass der Konzern in den kommenden Monaten Aktualisierungen vornehmen werden, um so Verbrauchern mehr Kontrolle und Transparenz über deren Standortdaten zu bieten. Im Kontext der angestrebten Änderungen soll das Löschen von Standortdaten vereinfacht werden. Mittels einer automatischen Löschfunktion können Nutzer*innen Google anweisen Informationen, welche ein bestimmtes Alter erreicht haben, zu löschen.
Erkenntnisse einer Untersuchung
Berichte über das Fehlverhalten Googles bezüglich der widerwilligen Speicherung von Standortdaten der Nutzer führte 2018 zur Einleitung einer Untersuchung. Diese ergab, dass Google mindestens seit 2014 bereits über die Praktiken zur Standortverfolgung getäuscht und damit gegen staatliche Verbraucherschutzgesetze verstoßen habe.
Fazit
Google hat in der ersten Jahreshälfte 2022 111 Milliarden US Dollar mit Werbung eingenommen. Der Standort eines Verbrauchers ist der Schlüssel, um Werbung zielgerichteter gestalten zu können. Es ist nunmehr kein Geheimnis, dass Google sich durch widerrechtliche Praktiken Vorteile auf dem Werbemarkt verschafft.
17. November 2022
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) rät Besucherinnen und Besuchern der Fußball-Weltmeisterschaft (WM) 2022 in Katar zur Verwendung eines separaten Mobiltelefons für die Reise. Hintergrund der Empfehlung ist, dass die Fußball-Fans die Apps „Hayya“ und „Ehteraz“ installieren müssen, welche der BfDI als datenschutztechnisch bedenklich einstuft.
Die WM-Apps Hayya und Ehteraz
„Hayya“ ist die offizielle WM-App, mit der die sogenannte „Hayya-Card“ verwaltet wird, die für Einreise und Zutritt zu den Fußballstadien sowie die Nutzung des öffentlichen Nahverkehrs erforderlich ist. „Ehteraz“ wird zur Corona-Kontaktverfolgung eingesetzt und muss von allen Reisenden ab 18 Jahren installiert werden. Allerdings wird „Ehteraz“ nur für den Besuch von Gesundheitseinrichtungen benötigt. Beide Apps können in den gängigen App-Stores heruntergeladen werden.
Ergebnisse der Analyse
Bei der ersten Analyse der Apps hat der BfDI festgestellt, dass „die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben.“ Eine der Apps erhebe Daten zu Telefonaten, welche in Deutschland als sensible Telekommunikationsverbindungsdaten unter das Fernmeldegeheimnis fielen. Die andere App könne aktiv den Schlafmodus des Geräts verhindern. Zudem liege nahe, dass die Daten nicht nur lokal gespeichert, sondern auch an einen zentralen Server übermittelt würden. Aus diesen Gründen sollten Besucherinnen und Besucher der WM laut BfDI ein separates Gerät zur Installation der Apps verwenden, auf dem keine personenbezogenen Daten gespeichert seien, und nach Rückkehr das Betriebssystem und sämtliche Inhalte darauf vollständig löschen.
Bedenken anderer Datenschutzbehörden
Die Einschätzung des BfDI deckt sich mit der Warnung der französischen und der norwegischen Datenschutzbehörden CNIL und Datatilsynet. Auch diese empfehlen die Nutzung eines separaten Geräts für die Apps. Die norwegische Datenschutzbehörde Datatilsynet hält den umfangreichen Zugriff der Apps für alarmierend und gab Empfehlungen (auf Norwegisch) dahingehend ab, was Besucherinnen und Besucher tun können, die keinen Zugriff auf ein Zweitgerät haben oder ein solches nicht nutzen möchten. Demnach könnten die eigenen Daten vor Einreise gesichert und anschließend auf dem Mobiltelefon gelöscht werden, sodass es in Katar nur für die beiden Apps verwendet würde. Nach Rückkehr könnte das Gerät dann zurückgesetzt und die gesicherten Daten wiederhergestellt werden.
Nicht das einzige Datenschutzthema bei der WM in Katar
Die verpflichtende Installation dieser Apps ist nicht das einzige Problem, das sich bei der WM in Katar im Bereich des Datenschutzes stellt. Laut Auswärtigem Amt nutzen die Behörden in Katar „intensiv digitale Technologien.“ Es würden unter anderem flächendeckend Videokameras im öffentlichen Raum eingesetzt und bei jeder Ein- und Ausreise fände eine biometrische Erfassung mittels Gesichtsscanner und Bildabgleich statt.
10. November 2022
Wieder einmal äußern sich kritische Stimmen im Kontext der Nutzung von Google Fonts. Bereits in unserem letzten Beitrag wurde die Problematik unfreiwilliger Übermittlungen personenbezogener Daten in ein Drittland, durch die Nutzung der von Google eingebetteten Fonts behandelt.
Kritik aus Hessen und Sachsen
Dieses Mal melden sich die hessische und sächsische Datenschutzaufsichtsbehörde zu Wort. Grund für das Aktivwerden der Behörden waren die aktuell stark zunehmenden Beratungsanfragen zu Abmahnungen aufgrund des Einsatzes der Google Schriftarten.
Forderungen von Schadensersatz
Dem Urteil des Landgerichts München vom 20. Januar 2022 nach könnte eine Nutzung der Google Web-Fonts auf eigenen Homepages wohl einen Verstoß gegen die DSGVO darstellen. So würden in den Fällen einer Nutzung dynamischer Fonts stets personenbezogene Daten von Webseitenbesucher*innen wie IP-Adressen an amerikanische Server weitergeleitet. Abgesehen eines unter strengen Regeln stehenden Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet, werden zudem in seltensten Fällen Einwilligungen i. S. d. Art. 6 Abs. 1 lit. a DSGVO eingeholt. So ist das Urteil der Auslöser einer Abmahnwelle gegen Website-Betreiber, welche mit empfindlich hohen Geldforderungen konfrontiert werden.
Fazit
Betreiber von Webseiten sollten allgemein auf einen dynamischen Einsatz von Schriftarten verzichten und auf ein lokales Speichern umstellen, so die hessische und sächsische Behörde.
3. November 2022
Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.
Was sind “Phishing-Mails”?
Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.
Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.
Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.
Meldung: Art. 33 DSGVO
Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.
Fazit
Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.
Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.
Wie nach Recherchen von Cybernews bekannt wurde, gab es bei Thomson Reuters kürzlich ein Datenleck, bei dem mindestestens drei seiner Datenbanken, darunter die drei Terrabyte große Datenbank ElasticSearch für jedermann zugänglich war.
Die betroffenen Daten
Thomson Reuters, der Nachfolger der Nachrichtenagentur Reuters, ist ein Medienkonzern mit Hauptsitzen in New York und Toronto. Der Konzern bietet seinen Kunden verschiedene Produkte wie das Medientool Reuters Connect, die Datenbank Westlaw oder auch andere Recherche-Suites an. Die von dem Datenleck betroffene Datenbank ElasticSearch enthält Informationen aus allen Plattformen des Konzerns und wird bevorzugt von Unternehmen eingesetzt, die mit umfangreichen, ständig aktualisierten Datenmengen arbeiten.
Laut Cybernews waren die Daten mehrere Tage lang verfügbar. Es waren sensible Daten betroffen, wie beispielsweise Informationen zu Lieferketten, Zugangsdaten zu Servern Dritter und Anmelde- und Kennwortrücksetzungsprotokolle, in denen die E-Mail-Adresse der Kontoinhaber und die genaue Zeit, zu der die Passwortänderung gesendet wurde, ersichtlich waren.
Die Reaktion des Konzerns
Thomson Reuters reagierte unverzüglich auf den Hinweis, schaltete die Server ab und leitete eine Untersuchung ein. Laut dem Unternehmen seien zwei der drei betroffenen Server so konzipiert gewesen, dass sie öffentlich zugänglich waren. Der dritte sei als sogenannter nicht-produktiver Server nur mit einer kleinen Untergruppe von Kunden verbunden gewesen und enthalte keine Anwendungsdaten. Zudem habe das Leck überwiegend Kunden in den USA betroffen, welche informiert worden seien.
Dagegen zweifeln die Forscher von Cybernews an, dass das Leck so harmlos war, wie es Thomson Reuters erscheinen lässt. Ihnen zufolge hat das Unternehmen Daten zugänglich gemacht, die in kriminellen Foren wegen des möglichen Zugriffs auf andere Systeme Millionen wert wären.
Fazit
Von außen lässt sich kaum beurteilen, wie schwer das Datenleck tatsächlich war. Es zeigt jedoch, wie wichtig es für Unternehmen ist, ihre digitale Infrastruktur kontinuierlich zu überprüfen, damit Sicherheitslücken nicht wie im vorliegenden Fall tagelang ungesehen bestehen bleiben und das Unternehmen angreifbar machen.
17. Oktober 2022
In dem Disput zwischen der Europäischen Union (EU) und den Vereinigten Staaten über den Transfer personenbezogener Daten über den Atlantik zeichnet sich eine Lösung ab. Am 07.10.2022 unterzeichnete Präsident Biden eine Exekutivanordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der US-amerikanischen Nachrichtendienste. Das Dekret soll der „Signal Intelligence“, also der elektronischen Aufklärung der US-Geheimdienste, engere Regeln setzten. Darin werden nun die Schritte festgelegt, die die Vereinigten Staaten unternehmen, um die von Präsident Biden und der Präsidentin der Europäischen Kommission von der Leyen im März 2022 angekündigten Zusagen der USA im Rahmen des Datenschutzrahmens zwischen der EU und den USA (Trans-Atlantic Data Privacy Framework (TADPF)) umzusetzen.
Hintergrund
Das neue Regelwerk soll eine erhebliche Lücke im Datenschutz auf beiden Seiten des Atlantiks schließen. Das erste Abkommen („Safe Harbor“) fiel 2015, das nachfolgende („Privacy Shield“) 2020. Der Europäische Gerichtshof (EuGH) hatte in den Urteilen Schrems I (Az.: C-362/14) und Schrems II (Az.: C 311/18) entschieden, dass das Datenschutzniveau in den Vereinigten Staaten nicht den Standards der EU entspreche. Die Verfahren hatte der österreichische Jurist Max Schrems mit seinem Datenschutzverein „noyb“ angestrengt. Das Gericht kam zu dem Entschluss, dass die Vereinigten Staaten über zu umfangreiche Kontrollmöglichkeiten für europäische personenbezogene Daten verfügten. Das Verfahren schuf enorme Unsicherheit über die Voraussetzungen für Unternehmen, personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten in einer Weise zu übertragen, die mit dem EU-Recht vereinbar ist.
Verpflichtung zu Schutzmaßnahmen
Große und kleine Unternehmen aus den USA und der EU in allen Wirtschaftszweigen sind auf grenzüberschreitende Datenströme angewiesen, um an der digitalen Wirtschaft teilzuhaben und ihre wirtschaftlichen Möglichkeiten erweitern zu können.
Mit dem neuen Abkommen sollen die europäischen Bedenken gegen die Überwachung durch US-Geheimdienste ausgeräumt werden. Vergangenen März, nachdem sich die USA und die EU grundsätzlich auf den neuen Rahmen geeinigt hatten, erklärte das Weiße Haus in einem Fact Sheet, dass die USA sich verpflichtet hätten, neue Schutzmaßnahmen einzuführen, um sicherzustellen, dass die Aktivitäten der Nachrichtendienste zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig sind.
Voraussetzungen für Eingriffe definiert
Die US-Verordnung nennt zunächst auch die Fälle, bei denen das Sammeln personenbezogener zulässig bleibe. Dazu gehöre beispielsweise der Kampf gegen den Terrorismus oder auch Maßnahmen zum Schutz der nationalen Sicherheit. Rechtswidrig wäre ein Eingriff beispielsweise dann, wenn er in diskriminierender Absicht erfolge. Darüber hinaus soll der neue Rechtsrahmen es Einzelpersonen in der EU ermöglichen, über ein unabhängiges Datenschutzprüfungsgericht Rechtsmittel einzulegen. In einem ersten Schritt soll dann ein Beamter des Direktorats der US-Geheimdienste („Civil Liberties Protection Officer“ (CLPO) im Office of the Director of National Intelligence) Beschwerden von EU-Bürgerinnen und Bürgern prüfen. Anschließend würde ein Gremium (Data Protection Review Court (DPRC)) mit „uneingeschränkter Befugnis“ über Ansprüche entscheiden und bei Bedarf Abhilfemaßnahmen anordnen. Auch der Grundsatz der Verhältnismäßigkeit müsse gewahrt werden.
Verhältnismäßigkeit und Rechtsbehelf weiterhin problematisch
Schon unmittelbar nach der Veröffentlichung wurde Kritik laut. Der Datenschutzverein noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiere. Auf den ersten Blick versuche man hier ein drittes Abkommen ohne rechtliche Basis, so der Jurist Max Schrems. „Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ In den USA bestehe weiterhin die Situation der ständigen Massenüberwachung. Um eine Verhältnismäßigkeit gewährleisten zu können, müssten die USA aber auch dasselbe Verständnis von Verhältnismäßigkeit haben und anwenden, wie es die Grundrechtscharta vorsehe. Darüber hinaus werde auch der vom EuGH geforderte Rechtsbehelf nicht umgesetzt. „Obwohl die Stelle Court (Gericht) heiße, sei es tatsächlich kein Gericht, sondern eine Stelle der Exekutive”, so Schrems.
Der Ball liegt nun im Feld der EU-Kommission, die nun über den Erlass entscheiden muss und ggf. einen dazu passenden eigenen Rechtsrahmen erarbeiten könnte. Das könnte bis zum Frühjahr dauern. Es bleibt abzuwarten, ob der neue Rechtsrahmen dann den Anforderungen des EuGHs standhalten würde.
21. September 2022
Der Europäische Gerichtshof (EuGH) enschied am 20.09.2022 wie bereits erwartet, dass die deutsche Vorratsdatenspeicherung nicht mit EU-Recht vereinbar sei (Rs. C-793/19, C-794/19). Der EuGH bestätigt mit diesem Urteil seine bisherige Rechtsprechung und folgt den Anträgen des Generalanwaltes.
Konkret bestätigte das Gericht, dass eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten nicht mit dem europäischen Recht vereinbar sei. Der EuGH führt dazu aus, dass die Vorratsdaten “in Anbetracht ihrer Menge und Vielfalt es in ihrer Gesamtheit ermöglichen, sehr genaue Schlüsse auf das Privatleben der Person bzw. der Personen zu ziehen, deren Daten gespeichert wurden, und insbesondere die Erstellung eines Profils der betroffenen Person bzw. der betroffenen Personen ermöglichen, das im Hinblick auf das Recht auf Achtung des Privatlebens eine ebenso sensible Information darstellt wie der Inhalt der Kommunikationen selbst.” (Rn. 87). Gleichzeitig räumt der EuGH aber ein, dass eine Speicherung von Vorratsdaten unter ganz bestimmten Voraussetzungen mit dem EU-Recht vereinbar sei. Gründe hierfür könnten der Schutz der nationalen Sicherheit, die Bekämpfung von Kriminalität und der Schutz der öffentlichen Sicherheit eines Mitgliedsstaates sein. Insbesondere die Verhältnismäßigkeit müsste dann aber bedacht werden.
Die Regelungen zur Vorratsdatenspeicherung befinden sich in § 113a Abs. 1 in Verbindung mit § 113b des TKG (Telekommunikationsgesetz). Hiergegen klagten Spacenet und die Telekom zunächst vor dem VG Köln. Schließlich landete das Verfahren vor dem Bundesverwaltungsgericht, welches dem EuGH das Verfahren dann vorlegte und nach der Vereinbarkeit dieser Regelungen mit EU-Recht fragte. Die Pflicht zur Vorratsdatenspeicherung ist seit dem Urteil des VG Köln im Jahr 2017 ausgesetzt gewesen.
Die Bundesregierung hatte bereits vor der Urteilverkündung angekündigt, die Regelungen zur Vorratsdatenspeicherung reformieren zu wollen. Was Einzelheiten angeht ist man sich aber bisher nicht einig.
16. September 2022
Das Oberlandesgericht Karlsruhe (OLG) befasste sich zuletzt mit einer Entscheidung der Vergabekammer Baden-Württemberg. Nach dieser Grundsatzentscheidung (Beschluss vom 07. September 2022, Az. 15 Verg 8/22) dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Konformität ihres Angebots vertrauen. Die Entscheidung der Vergabekammer Baden-Württemberg (vom 13.07.2022, Az. 1 VK 23/22) wird aufgehoben.
Sachverhalt
Zwei Krankenhausgesellschaften schrieben europaweit die Beschaffung einer Software für ein digitales Entlassungsmanagement aus. Als Ausschlusskriterium war ursprünglich u.a. die softwaretechnische Einhaltung eines DSGVO-Vertragsentwurfs vorausgesetzt. Dass die Daten ausschließlich in einem Rechenzentrum innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, bei dem keine Subdienstleister oder Konzernunternehmen in Drittstaaten ansässig sind, war als nur für die Wertung relevantes B-Kriterium ausgestaltet.
Nach der Erteilung des Zuschlags stellte eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Dabei wurde angeführt, dass die Anbieterin von der Angebotswertung auszuschließen sei, weil sie Änderung an den Vergabeunterlagen vorgenommen habe. Das Angebot verstoße somit gegen zwingende gesetzliche Vorgaben der DSGVO. Man verarbeite personenbezogene Daten auf Servern, auf die Drittstaaten Zugriff hätten. Das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns fungiere als Unterauftragnehmerin. Innerhalb des geschlossenen Auftragsverarbeitungsvertrags sei ein Vorbehalt vorgesehen, der es der US-Tochter erlaube, die im Auftrag des Kunden verarbeiteten personenbezogenen Daten auch ohne bzw. entgegen einer Weisung des Kunden offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindlichen Anordnungen einer staatlichen Behörde einzuhalten.
Die Antragsgegnerin konterte, jede zu weitgehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der Europäischen Union oder zum geltenden Recht der Mitgliedstaaten stehen, anzufechten. Dies wurde auch vertraglich festgehalten. Es liege schon kein Verstoß gegen Art. 44 ff. DSVGO vor, weil eine theoretische Zugriffsmöglichkeit des Drittstaates keine Übermittlung personenbezogener Daten darstelle. Darüber hinaus verwende man Standardvertragsklauseln und setze durch weitere Vereinbarungen mit der US-Tochter die vom Europäischen Gerichtshof (EuGH) nach der Schrems II-Rechtsprechung geforderten ergänzenden Regelungen um, so die Antragsgegnerin.
OLG widerspricht Vergabekammer
Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten in ein Drittland außerhalb des EWRs nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Es stellte sich somit die Frage, ob eine Übermittlung in ein Drittland im Sinne der DSGVO vorlag.
Die Vergabekammer folgte dabei der herrschenden Meinung, dass eine berücksichtigungsfähige Offenlegung auch schon dann anzunehmen sei, wenn nur die abstrakte Möglichkeit bestehe, dass von einem Drittland aus zugegriffen werden kann.
Dieser Augmentation folgt das OLG Karlsruhe nicht. Die Antragsgegnerinnen müssten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen würde bzw. das europäische Tochterunternehmen Anweisungen der US-amerikanischen Muttergesellschaft automatisch Folge leisten würde, so der Senat.
Vertragliche Regelungen waren ausschlaggebend
Somit bleibt aber auch weiterhin ungeklärt, ob der Einsatz von US-Anbietern oder deren Tochtergesellschaften generell zulässig ist. Allerdings spricht das OLG in der Entscheidung den vertraglichen Regelungen einen hohen Stellenwert zu. Dies kann bei der Auslegung zukünftiger Sachverhalte und Vergabeverfahren eine Hilfestellung bieten. Hierbei sollte jedoch beachtet werden, dass es immer auf den konkreten Einzelfall ankommt. Die strenge Rechtsprechung des übergeordneten EuGHs sowie die daraus resultierenden Vorgaben der Kommission sollten immer eingehalten werden.
23. August 2022
Am 18. August 2022 informierte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, in einer Pressemitteilung über eine drohende Abmahnwelle. Tausende von Websites-Betreiber seien nach dem TLfDI bereits von Abmahnungen betroffen.
I. Hintergrund der Abmahnungen
Google Fonts ist ein kostenloser Dienst des US-Anbieters Google. Dieser stellt kostenlose Schriftarten zur freien Verfügung bereit. Problematisch wird es an der Stelle, an der Google Fonts dynamisch auf Websites eingebettet werden. Durch die dynamische Einbindung des Dienstes werden Schriftarten von Servern aus den USA in den Browser der Besucher(innen) geladen. Dabei werden personenbezogene Daten wie die IP-Adresse der Besucher in die Vereinigten Staaten übermittelt. Eine Einbettung der Fonts kann auch durch andere Google Dienste, z.B. Google Maps, erfolgen.
II. Warum ist die Übermittlung problematisch?
Nach dem TLfDI müsste einer solchen Übermittlung der Daten, nach der DSGVO, mindestens eine Einwilligung der Nutzer vorangehen. Dies soll in den Sachverhalten überwiegend nicht der Fall gewesen sein. Zudem handle es sich bei der Übermittlung von Daten in die USA um einen Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet. Dazu komme nicht minder die Tatsache, dass eine solche zustimmungslose und automatische Weiterleitung der IP-Adressen an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts darstelle. So das Landgericht München I im Endurteil vom 20. 01. 2022.
III. Was könnte ein Lösungsansatz sein?
Das TLfDI gibt Empfehlungen zur Nutzung von Google Fonts. In „Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen“ wird das lokale Speichern von Schriftarten und sodann die Einbindung in den eigenen Internetauftritt geraten.
Für viele Websites-Betreiber war diese Thematik bisher ein blinder Fleck im Kontext des Datenschutzrechts und dem technischen Verständnis von Google Fonts. Es ist also ratsam die eigene Website bezüglich der Einbindung von Google Fonts zu überprüfen.
Pages: 1 2 3 4 5 6 7 ... 34 35 
