Kategorie: Internationaler Datenschutz

Fluggastdatenabkommen EU-USA meistern weitere Hürde – Datenschützer protestieren weiterhin

14. Dezember 2011

Nachdem wir bereits vor Kurzem über den Streit bezüglich des „Drückens“ und „Ziehens“ beim geplanten Fluggastdatenabkammen (PNR-Abkommen) zwischen der EU und den USA berichtet haben, hat das umstrittene Abkommen eine weitere Hürde genommen: So haben die Innen- und Justizminister der jeweiligen Nationalstaaten im Rat der Europäischen Union am gestrigen Dienstag grünes Licht für das umstrittene Abkommen gegeben. Österreich, Deutschland und Frankreich haben sich dabei ihrer Stimme enthalten.

Auch wenn die Verabschiedung des Abkommens damit wieder einen Schritt näher gerückt ist, verstummt die Kritik der Datenschützer nicht. Ebenfalls am gestrigen Dienstag äußerte sich der europäische Datenschutzbeauftragte, Peter Hustinx, kritisch gegenüber dem Regelwerk. Die von ihm vorgetragenen Bedenken decken sich dabei im Wesentlichen mit den bereits zuvor geäußerten Einwänden:

  • Die 15-jährige Aufbewahrungsfrist sei übertrieben: Daten sollten sofort nach deren Analyse oder nach maximal 6 Monaten gelöscht werden.
  • Auch die Zweckbindung sei zu weit gefasst. Fluggastdatensätze sollten nur verwendet werden, um Terrorismus oder eine gut definierte Liste von schweren grenzüberschreitenden Verbrechen zu bekämpfen.
  • Die Liste der Daten, die übermittelt werden sollen, sei unverhältnismäßig und sollte daher begrenzt werden.
  • Es dürfe keine Ausnahmen zur „Push“-Methode geben.
  • Es müsste für jeden Bürger ein Recht auf effektiven gerichtlichen Rechtsschutz vereinbart werden.
  • Die Daten sollten nach Ansicht Hustinx‘ nur an andere US-Behörden oder an Drittländer übermittelt werden dürfen, wenn diese ein gleichwertiges Schutzniveau gewährleisten könnten.

(se)

Verbraucherschutzministerin Aigner legt Beschwerde gegen Facebooks Gesichtserkennung ein

Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.

Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren

Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.

Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).

 

EU-Kommissarin fordert mehr Befugnisse für Datenschutzbehörden

30. November 2011

EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.

Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.

Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.

Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)

Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen.  (se)

 

ENISA mahnt zur Vorsicht beim Cloud Computing

23. November 2011

Udo Helmbrecht, Direktor der Europäischen Agentur für Netz- und Informationssicherheit, warnte Medienberichten zufolge vor einer unvorsichtigen Nutzung des Cloud Computings. Gerade mittelständische Unternehmen speicherten sensible Daten in der digitalen Wolke, so Helmbrecht, ohne datenschutzrechtliche Risiken zu beachten. Handele es sich um ausländische Anbieter von Cloud Computing, landeten die Daten möglicherweise in den USA oder anderen Drittstaaten. Dieser Datentransfer verstößt möglicherweise gegen das Bundesdatenschutzgesetz – und birgt damit ungeahnte Risiken für die Unternehmen, die auf das kostensparende Cloud Computing setzen.

Nach Ansicht von Helmbrecht seien die ersten Skandale beim Cloud Computing nur noch eine Frage der Zeit. (ssc)

BAG: Betrieblicher Datenschutzbeauftragter kann aus wichtigem Grund wieder abberufen werden

2. November 2011

Ein betrieblich bestellter Datenschutzbeauftragter kann nach § 4f Abs. 3 Satz 4 BDSG und dem dortigen Verweis auf § 626 BGB aus wichtigem Grund wieder abberufen werden. Als wichtiger Grund im Sinne dieser Normen zähle jedoch nicht allein die Absicht des Arbeitgebers, künftig einen externen Datenschutzbeauftragten zu bestellen, entschied das Bundesarbeitsgericht (Urt. v. 23.03.2011, Az. 10 AZR 562/09). Die wichtigen Gründe müssten sich vielmehr aus der Funktion und Tätigkeit des Datenschutzbeauftragten ergeben und als solche auch vorgebracht werden. Wird der betriebliche Datenschutzbeauftragte unzuverlässig oder reichen seine fachlichen Kenntnisse nicht (mehr) aus, dürfe der Arbeitgeber sehr wohl den Datenschutz in die Hände externer Datenschützer geben.

Betriebliche Datenschutzbeauftragte genießen einen besonderen Abberufungsschutz, der Verweis auf § 626 BGB soll ihre Unabhängigkeit stärken. Sie müssten ihr Amt weisungsfrei ausüben können, ohne dass die Erfüllung ihrer Aufgaben beeinträchtigt werde. Eine Furcht vor der Abberufung sei dabei hinderlich, nur objektive und schwerwiegende Gründe könnten sie rechtfertigen.

Der Arbeitgeber hatte aber keine besonderen Gründe vorgebracht, sondern die Abberufung allein mit dem Plan der künftigen Bestellung eines externen Datenschutzbeauftragten begründet. Das sei jedoch, so die Richter, kein so wichtiger Grund, der es dem Arbeitgeber „unter besonderer Berücksichtigung des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile unzumutbar mache, die betriebliche Datenschutzbeauftrage auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen“.

Daran ändern könne auch nichts der Umstand, dass der Arbeitgeber sich für einen internen oder externen Datenschutzbeauftragten bei der erstmaligen Bestellung habe entscheiden können. Einmal getroffene Entscheidungen binden ihn trotz der vorherigen Wahlfreiheit, damit der Abberufungsschutz seine Wirkung entfalten könne. (ssc)

 

 

 

 

Können deutsche Unternehmen Cloud-Anbieter mit Sitz in den USA noch nutzen?

10. Oktober 2011

Nachdem bekannt wurde, dass US-Behörden selbst dann Zugriff auf bei US-Cloud-Anbietern gespeicherte Daten erhalten, wenn sich diese auf Servern innerhalb der EU befinden, stellt sich für viele deutsche Unternehmen die Frage, ob es generell noch möglich ist, in datenschutzkonformer Weise mit US-Anbietern zusammenzuarbeiten.

Aus der Orientierungshilfe – Cloud Computing, welche die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht haben, ergibt sich, dass die deutschen Datenschutzbehörden eine Zusammenarbeit mit US-Cloud-Anbietern nicht generell für unmöglich halten.

Bei der Übermittlung von Daten außerhalb der EU und des EWR kann durch den Cloud-Anwender als verantwortliche Stelle ein ausreichendes Schutzniveau sichergestellt werden, indem Standardvertragsklauseln oder Binding Corporate Rules verwendet werden. Nach Einschätzung der Datenschützer wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet. Daher fordern sie, dass Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus, die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend eine Auftragsdatenverarbeitung vertraglich vereinbaren. Zusammengenommen können diese Maßnahmen dazu führen, dass die Übermittlung durch den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG gedeckt ist. Dies alles gilt für die USA ebenso, wie für andere Drittstaat ohne angemessenes Datenschutzniveau.

Wenn eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter in den USA erfolgt,  können die Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, falls der Cloud-Anbieter gemäß der Safe-Habor-Grundsätze zertifiziert ist. In Ermangelung einer flächendeckenden Kontrolle der Selbstzertifizierungen durch Kontrollbehörden in Europa und den USA sehen die Datenschützer die Cloud-Anwender in der Pflicht gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln. Von den Cloud-Anwendern fordern sie dabei:

  • Sich zu überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht.
  • Zu prüfen, ob der Cloud-Anbieter sich gemäß FAQ 9 Frage 4 des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat, falls Beschäftigtendaten verarbeitet werden sollen.
  • Sicherzustellen, dass der Cloud-Anwender vom Cloud-Anbieter alle nötigen Informationen erhält, wenn ein Betroffener eine Anfrag an ihn richtet.
  • Eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung entsprechend § 11 Abs. 2 BDSG zu treffen.

Abschließend halten die Arbeitskreise fest, dass eine Safe-Harbor-Zertifizierung den Cloud-Anwender nicht von der Erfordernis einer Rechtsgrundlage für die Übermittlung (z.B. § 28 Abs. 1 Satz 1 Nr. 2 BDSG) oder seiner Kontrollpflicht analog § 11 Abs. 2 Satz 3 BDSG entbindet.

Diese Anforderungen verdeutlichen einmal mehr, dass datenschutzkonformes Cloud Computing immer noch mit vielen Fallstricken versehen ist. (se)

Google Analytics nun datenschutzkonform einsetzbar

19. September 2011

Fast zwei Jahre wurde verhandelt, jetzt die Einigung: Der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, verkündete am Donnerstag vergangene Woche, dass Google die Bedingungen für das Statistik-Tool Google Analytics geändert hat.

Im Kern waren für die Datenschützer drei Punkte entscheidend, um Google Analytics den Segen zu erteilen:

  • Künftig haben Nutzer über eine Browser-Erweiterung die Möglichkeit, Google Analytics persönlich zu deaktivieren. Dieses Add-on wird Google für alle gängigen Browser anbieten.
  • Seitenbetreiber können die so genannte IP-Maskierung aktivieren. Dann wird Google Analytics die IP-Adresse der Nutzer nur anonymisiert speichern. Anonymisierung bedeutet dabei, dass der letzte Zahlenblock der IP-Adresse nicht mitgespeichert wird. Eine Zuordnung der Adresse zu einem Nutzer ist dann nicht mehr möglich.
  • Außerdem wird Google mit den Seitenbetreibern einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes (§ 11 BDSG) abschließen.

Die Datenschutzbehörde bietet auf ihrer Website eine Checkliste (pdf) für Seitenbetreiber an, die Google Analytics datenschutzkonform verwenden möchten. Neben den Änderungen müssten vor allem die alten Daten ohne IP-Maskierung gelöscht werden.

Caspar erinnerte auch daran, dass letztendlich die Seitenbetreiber für den Datenschutz verantwortlich seien – und nicht Google. Hamburgs oberster Datenschützer wies darauf hin, dass die jetzige Abstimmung mit Google nur der Anfang sei. Technische Fortschritte und die Umsetzung der E-Privacy-Richtlinie machten auch in Zukunft Gespräche notwendig. (ssc)

Sony reagiert mit neuem Sicherheitschef auf Datenschutzdisaster

8. September 2011

Nach den verheerenden Angriffen auf das Playstation Network und Qriocity reagiert Sony mit der Ernennung eines neuen IT-Sicherheitschefs.

Um den „Sommer der Schicksalsschläge, Katastrophen und Unglücke“, wie Sonys Vorstandsvorsitzender Howard Stringer die Vorfälle gegenüber der FAZ nannte, nicht zu einem ganzen Jahr werden zu lassen, ernannte das japanische Unternehmen nun Philip R. Reitinger zum Chef der globalen IT-Sicherheit. Reitinger war zuvor in Schlüsselpositionen der US-Heimatschutzbehörde, bei Microsoft sowie im amerikanischen Verteidigungs- und Justizministerium tätig.

Eine weitere Maßnahme zur Bewältigung des Skandals besteht darin, dass der in Verruf geratene Name Qriocity in Zukunft nicht mehr verwendet wird. Anlässlich der IFA in Berlin gab das Unternehmen bekannt, seine Musik- und Videodienste künftig unter dem Dach des „Sony Entertainment Network“ anzubieten. (se)

Auftragsdatenverarbeitung in Indien nicht von neuen Datenschutzregeln betroffen

Wie bereits im Vorfeld erwartet, reagierte die indische Regierung auf die anhaltende Kritik aus der Wirtschaft, die in Bezug auf 43a IT Act laut wurde. In einer Mitteilung vom 24.08.2011 wird nunmehr klargestellt, dass die angegriffenen Regeln ausschließlich auf indische Unternehmen, die in einem direkten Vertragsverhältnis mit einer natürlichen Person stehen, anzuwenden sind. Es wird weiterhin explizit ausgeführt, dass die Regeln nicht anwendbar sind, wenn ein Auftragsdatenverarbeitungsverhältnis mit einem indischen Unternehmen besteht.

Unternehmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, sind somit voraussichtlich durch die Neuregelung nicht betroffen. (se)

Französische Umsetzung der ePrivacy Richtlinie

31. August 2011

Mittlerweile hat Frankreich die Vorgaben der ePrivacy Richtlinie in nationales Recht umgesetzt.

Der Regelung zufolge ist eine generelle Einwilligung zum Setzen von Cookies durch den Browser oder ein anderes Programm möglich. Entgegen der Einschätzung der Artikel-29-Gruppe soll dies auch bereits vor Anzeige des Cookies und den damit verbundenen Informationen möglich sein.

Telekommunikationsanbieter sind verpflichtet, die französische Datenaufsichtsbehörde (CNIL) bei Verstößen gegen die Datensicherheit unverzüglich zu unterrichten. Die Betroffenen sind ebenfalls zu unterrichten, wenn die Gefahr besteht, dass personenbezogene Daten betroffen sind. Von der Unterrichtung des Betroffenen kann jedoch abgesehen werden, wenn die CNIL es als gesichert ansieht, dass angemessene Maßnahmen zur Unbrauchbarmachung der kompromittierten Daten getroffen wurden. Weiterhin sind die Anbieter gehalten, ein Verzeichnis über Verstöße gegen die Datensicherheit zu erstellen, welches jederzeit von der CNIL angefordert werden kann. Verstöße gegen die Vorschriften in Bezug auf die Datensicherheit können mit einer bis zu fünfjährigen Haftstrafe und/oder einer Geldstrafe bis zu 300.000 € geahndet werden. Für Unternehmen kann die Geldstrafe verfünffacht werden. (se)

1 28 29 30 31 32