Kategorie: Internationaler Datenschutz
23. November 2011
Udo Helmbrecht, Direktor der Europäischen Agentur für Netz- und Informationssicherheit, warnte Medienberichten zufolge vor einer unvorsichtigen Nutzung des Cloud Computings. Gerade mittelständische Unternehmen speicherten sensible Daten in der digitalen Wolke, so Helmbrecht, ohne datenschutzrechtliche Risiken zu beachten. Handele es sich um ausländische Anbieter von Cloud Computing, landeten die Daten möglicherweise in den USA oder anderen Drittstaaten. Dieser Datentransfer verstößt möglicherweise gegen das Bundesdatenschutzgesetz – und birgt damit ungeahnte Risiken für die Unternehmen, die auf das kostensparende Cloud Computing setzen.
Nach Ansicht von Helmbrecht seien die ersten Skandale beim Cloud Computing nur noch eine Frage der Zeit. (ssc)
2. November 2011
Ein betrieblich bestellter Datenschutzbeauftragter kann nach § 4f Abs. 3 Satz 4 BDSG und dem dortigen Verweis auf § 626 BGB aus wichtigem Grund wieder abberufen werden. Als wichtiger Grund im Sinne dieser Normen zähle jedoch nicht allein die Absicht des Arbeitgebers, künftig einen externen Datenschutzbeauftragten zu bestellen, entschied das Bundesarbeitsgericht (Urt. v. 23.03.2011, Az. 10 AZR 562/09). Die wichtigen Gründe müssten sich vielmehr aus der Funktion und Tätigkeit des Datenschutzbeauftragten ergeben und als solche auch vorgebracht werden. Wird der betriebliche Datenschutzbeauftragte unzuverlässig oder reichen seine fachlichen Kenntnisse nicht (mehr) aus, dürfe der Arbeitgeber sehr wohl den Datenschutz in die Hände externer Datenschützer geben.
Betriebliche Datenschutzbeauftragte genießen einen besonderen Abberufungsschutz, der Verweis auf § 626 BGB soll ihre Unabhängigkeit stärken. Sie müssten ihr Amt weisungsfrei ausüben können, ohne dass die Erfüllung ihrer Aufgaben beeinträchtigt werde. Eine Furcht vor der Abberufung sei dabei hinderlich, nur objektive und schwerwiegende Gründe könnten sie rechtfertigen.
Der Arbeitgeber hatte aber keine besonderen Gründe vorgebracht, sondern die Abberufung allein mit dem Plan der künftigen Bestellung eines externen Datenschutzbeauftragten begründet. Das sei jedoch, so die Richter, kein so wichtiger Grund, der es dem Arbeitgeber „unter besonderer Berücksichtigung des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile unzumutbar mache, die betriebliche Datenschutzbeauftrage auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen“.
Daran ändern könne auch nichts der Umstand, dass der Arbeitgeber sich für einen internen oder externen Datenschutzbeauftragten bei der erstmaligen Bestellung habe entscheiden können. Einmal getroffene Entscheidungen binden ihn trotz der vorherigen Wahlfreiheit, damit der Abberufungsschutz seine Wirkung entfalten könne. (ssc)
10. Oktober 2011
Nachdem bekannt wurde, dass US-Behörden selbst dann Zugriff auf bei US-Cloud-Anbietern gespeicherte Daten erhalten, wenn sich diese auf Servern innerhalb der EU befinden, stellt sich für viele deutsche Unternehmen die Frage, ob es generell noch möglich ist, in datenschutzkonformer Weise mit US-Anbietern zusammenzuarbeiten.
Aus der Orientierungshilfe – Cloud Computing, welche die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht haben, ergibt sich, dass die deutschen Datenschutzbehörden eine Zusammenarbeit mit US-Cloud-Anbietern nicht generell für unmöglich halten.
Bei der Übermittlung von Daten außerhalb der EU und des EWR kann durch den Cloud-Anwender als verantwortliche Stelle ein ausreichendes Schutzniveau sichergestellt werden, indem Standardvertragsklauseln oder Binding Corporate Rules verwendet werden. Nach Einschätzung der Datenschützer wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet. Daher fordern sie, dass Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus, die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend eine Auftragsdatenverarbeitung vertraglich vereinbaren. Zusammengenommen können diese Maßnahmen dazu führen, dass die Übermittlung durch den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG gedeckt ist. Dies alles gilt für die USA ebenso, wie für andere Drittstaat ohne angemessenes Datenschutzniveau.
Wenn eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter in den USA erfolgt, können die Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, falls der Cloud-Anbieter gemäß der Safe-Habor-Grundsätze zertifiziert ist. In Ermangelung einer flächendeckenden Kontrolle der Selbstzertifizierungen durch Kontrollbehörden in Europa und den USA sehen die Datenschützer die Cloud-Anwender in der Pflicht gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln. Von den Cloud-Anwendern fordern sie dabei:
- Sich zu überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht.
- Zu prüfen, ob der Cloud-Anbieter sich gemäß FAQ 9 Frage 4 des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat, falls Beschäftigtendaten verarbeitet werden sollen.
- Sicherzustellen, dass der Cloud-Anwender vom Cloud-Anbieter alle nötigen Informationen erhält, wenn ein Betroffener eine Anfrag an ihn richtet.
- Eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung entsprechend § 11 Abs. 2 BDSG zu treffen.
Abschließend halten die Arbeitskreise fest, dass eine Safe-Harbor-Zertifizierung den Cloud-Anwender nicht von der Erfordernis einer Rechtsgrundlage für die Übermittlung (z.B. § 28 Abs. 1 Satz 1 Nr. 2 BDSG) oder seiner Kontrollpflicht analog § 11 Abs. 2 Satz 3 BDSG entbindet.
Diese Anforderungen verdeutlichen einmal mehr, dass datenschutzkonformes Cloud Computing immer noch mit vielen Fallstricken versehen ist. (se)
19. September 2011
Fast zwei Jahre wurde verhandelt, jetzt die Einigung: Der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, verkündete am Donnerstag vergangene Woche, dass Google die Bedingungen für das Statistik-Tool Google Analytics geändert hat.
Im Kern waren für die Datenschützer drei Punkte entscheidend, um Google Analytics den Segen zu erteilen:
- Künftig haben Nutzer über eine Browser-Erweiterung die Möglichkeit, Google Analytics persönlich zu deaktivieren. Dieses Add-on wird Google für alle gängigen Browser anbieten.
- Seitenbetreiber können die so genannte IP-Maskierung aktivieren. Dann wird Google Analytics die IP-Adresse der Nutzer nur anonymisiert speichern. Anonymisierung bedeutet dabei, dass der letzte Zahlenblock der IP-Adresse nicht mitgespeichert wird. Eine Zuordnung der Adresse zu einem Nutzer ist dann nicht mehr möglich.
- Außerdem wird Google mit den Seitenbetreibern einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes (§ 11 BDSG) abschließen.
Die Datenschutzbehörde bietet auf ihrer Website eine Checkliste (pdf) für Seitenbetreiber an, die Google Analytics datenschutzkonform verwenden möchten. Neben den Änderungen müssten vor allem die alten Daten ohne IP-Maskierung gelöscht werden.
Caspar erinnerte auch daran, dass letztendlich die Seitenbetreiber für den Datenschutz verantwortlich seien – und nicht Google. Hamburgs oberster Datenschützer wies darauf hin, dass die jetzige Abstimmung mit Google nur der Anfang sei. Technische Fortschritte und die Umsetzung der E-Privacy-Richtlinie machten auch in Zukunft Gespräche notwendig. (ssc)
8. September 2011
Nach den verheerenden Angriffen auf das Playstation Network und Qriocity reagiert Sony mit der Ernennung eines neuen IT-Sicherheitschefs.
Um den “Sommer der Schicksalsschläge, Katastrophen und Unglücke”, wie Sonys Vorstandsvorsitzender Howard Stringer die Vorfälle gegenüber der FAZ nannte, nicht zu einem ganzen Jahr werden zu lassen, ernannte das japanische Unternehmen nun Philip R. Reitinger zum Chef der globalen IT-Sicherheit. Reitinger war zuvor in Schlüsselpositionen der US-Heimatschutzbehörde, bei Microsoft sowie im amerikanischen Verteidigungs- und Justizministerium tätig.
Eine weitere Maßnahme zur Bewältigung des Skandals besteht darin, dass der in Verruf geratene Name Qriocity in Zukunft nicht mehr verwendet wird. Anlässlich der IFA in Berlin gab das Unternehmen bekannt, seine Musik- und Videodienste künftig unter dem Dach des “Sony Entertainment Network” anzubieten. (se)
Wie bereits im Vorfeld erwartet, reagierte die indische Regierung auf die anhaltende Kritik aus der Wirtschaft, die in Bezug auf 43a IT Act laut wurde. In einer Mitteilung vom 24.08.2011 wird nunmehr klargestellt, dass die angegriffenen Regeln ausschließlich auf indische Unternehmen, die in einem direkten Vertragsverhältnis mit einer natürlichen Person stehen, anzuwenden sind. Es wird weiterhin explizit ausgeführt, dass die Regeln nicht anwendbar sind, wenn ein Auftragsdatenverarbeitungsverhältnis mit einem indischen Unternehmen besteht.
Unternehmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, sind somit voraussichtlich durch die Neuregelung nicht betroffen. (se)
31. August 2011
Mittlerweile hat Frankreich die Vorgaben der ePrivacy Richtlinie in nationales Recht umgesetzt.
Der Regelung zufolge ist eine generelle Einwilligung zum Setzen von Cookies durch den Browser oder ein anderes Programm möglich. Entgegen der Einschätzung der Artikel-29-Gruppe soll dies auch bereits vor Anzeige des Cookies und den damit verbundenen Informationen möglich sein.
Telekommunikationsanbieter sind verpflichtet, die französische Datenaufsichtsbehörde (CNIL) bei Verstößen gegen die Datensicherheit unverzüglich zu unterrichten. Die Betroffenen sind ebenfalls zu unterrichten, wenn die Gefahr besteht, dass personenbezogene Daten betroffen sind. Von der Unterrichtung des Betroffenen kann jedoch abgesehen werden, wenn die CNIL es als gesichert ansieht, dass angemessene Maßnahmen zur Unbrauchbarmachung der kompromittierten Daten getroffen wurden. Weiterhin sind die Anbieter gehalten, ein Verzeichnis über Verstöße gegen die Datensicherheit zu erstellen, welches jederzeit von der CNIL angefordert werden kann. Verstöße gegen die Vorschriften in Bezug auf die Datensicherheit können mit einer bis zu fünfjährigen Haftstrafe und/oder einer Geldstrafe bis zu 300.000 € geahndet werden. Für Unternehmen kann die Geldstrafe verfünffacht werden. (se)
25. August 2011
US-amerikanischen Regierungskreisen zufolge streben die Vereinigten Staaten bezüglich des Verbraucherdatenschutzes im Internet einen regulierungsfreien Ansatz an. Danny Weitzner, der für die National Telecommunications and Information Administration (NTIA) tätig ist, führte aus, dass Unternehmen, die sich durch einen verantwortungsvollen Umgang mit dem Datenschutz auszeichneten, nicht noch zusätzliche Steine in den Weg gelegt werden sollten. Weiterhin vertritt Weitzner die Auffassung, dass man bessere Datenschutzgesetze, klarere Regeln, sowie rechtlich verankerte Prinzipien auch ohne die Kosten und Nachteile traditioneller Regulierungsstrukturen erreichen könnte.
Erwartungsgemäß begrüßten Branchenvertreter, wie Victor Nichols von Experian North America, den Vorschlag, auf eine strikte Regulierung zu verzichten. Nichols betonte, dass nur eine Selbstregulierung flexibel genug sei, um ausreichend schnell auf den Markt zu reagieren und den Verbrauchern gleichzeitig Transparenz und Wahlmöglichkeiten zu bieten.
Im März 2011 hatte Weitzners Vorgesetzter Lawrence Strickling dem Kongress vorgeschlagen, dass durch Verbraucherdatenschutzgrundrechte ( “consumer privacy bill of rights”) eine breitere Basis für Datenschutz geschaffen werden könnte. Die Ausführungen Stricklings blieben jedoch recht unspezifisch. Unter anderem forderte er, dass der Zweck der Datenerhebung durch die Unternehmen offengelegt wird. Ob dies auch eine Zweckbindung im Sinne des § 12 Abs. 2 TMG impliziert, lässt sich den Aussagen Stricklings nicht entnehmen. Auch seine weitreichende Formulierung, dass die Unternehmen die einmal gesammelten Daten sicher verwahren müssten, lässt noch keine Rückschlüsse auf einen möglichen Regelungsgehalt der zukünftigen Vorschriften zu.
Bereits im Dezember 2010 hatte das US-Handelsministerium, welchem auch die NTIA unterfällt, einige Anregungen gemacht, wie man die Bundesgesetze bezüglich der Datenerhebung durch Unternehmen, aktualisieren könnte. Konkrete Umsetzungsvorschläge folgten bisher jedoch nicht. Ein sogenanntes white paper, welches klarstellt, wie die Regierung die Frage handhaben möchte, wird für den Herbst 2011 erwartet.
Die USA haben bisher kein dem europäischen Datenschutzrecht vergleichbares Regelwerk. Jedoch haben US-Bundesbehörden wie die Federal Communications Commission und die Federal Trade Commission bereits jetzt einige Möglichkeiten bei Datenschutzverstöße einzuschreiten. Auch auf Grundlage einzelstaatlicher Regelungen ist die Ahndung von Datenschutzverstößen bereits möglich. (se)
19. August 2011
Das Ministerium für Industrie und Informationstechnologie der Volksrepublik China hat einen Gesetzesentwurf vorgestellt, der einen grundlegenden Schutz personenbezogener Daten im Internet sicherstellen soll.
Nach diesem Entwurf sollen für Dienstanbieter im Internet folgende Regeln gelten:
- Personenbezogene Daten dürfen nicht ohne Zustimmung der Nutzer erhoben werden, sofern nicht Gesetze oder Verwaltungsvorschriften etwas Anderes bestimmen.
- Mit den personenbezogenen Daten ist sorgsam umzugehen. Diese dürfen Dritten nicht ohne Zustimmung der Nutzer zugänglich gemacht werden, es sei denn Gesetze und Verwaltungsvorschriften erlauben dies.
- Es dürfen nur solche Daten erhoben werden, die zur Bereitstellung des Dienstes notwendig sind.
- Der Nutzer muss ausdrücklich über Art, Umfang und Zweck der erhobenen und verarbeiteten Daten aufgeklärt werden. Die Verwendung der Daten ist auf die angegebenen Zwecke zu beschränken.
- Wenn es zu einem unbefugten Zugriff auf die Daten kam, oder die Gefahr eines solchen Zugriffs besteht, müssen Internetdienstanbieter unverzüglich Gegenmaßnahmen ergreifen. Die entstandenen oder zu erwartenden Auswirkungen des Vorfalls sind den zuständigen staatlichen Stellen zu melden. Mit dem Staat ist bezüglich der Aufklärung der Vorfälle zu kooperieren.
Bei den angestrebten Regelungen lassen sich Parallelen zum deutschen Datenschutzrecht erkennen: Die Punkte 1. & 2. statuieren ein Verbot mit Erlaubnisvorbehalt ähnlich dem des § 12 Abs. 1 TMG. Ob der dritte Punkt die Erhebung von Bestands- und/oder Nutzungsdaten betrifft, welche in hierzulande in § 14 TMG (Bestandsdaten) und § 15 TMG (Nutzsungsdaten) geregelt ist, lässt der knapp formulierte Entwurf nicht erkennen. Punkt 4. legt nahe, dass auch chinesische Dienstanbieter die erhoben Daten nur zweckgebunden verwenden dürfen, ähnlich wie dies in § 12 Abs. 2 TMG angeordnet ist. Der letzte Punkt weist schließlich inhaltlich eine gewisse Nähe zum § 15a TMG auf, der für die Informationspflichten der Anbieter bei unrechtmäßiger Kenntniserlangung von Daten auf § 42a BDSG verweist.
Dieses Gesetz würde den Schutz personenbezogener Daten im Internet erstmalig auf eine breite Basis stellen, da in China bisher nur sektorbezogene Regelungen erlassen wurden. Es ist jedoch denkbar, dass bis zum Erlass des endgültigen Gesetzes noch weitreichende Änderungen des Entwurfs vorgenommen werden. (se)
4. August 2011
Nach der Reaktion der Datenaufsichtsbehörden zu dem Eingeständnis Microsofts, dass US Firmen unter Umständen auch innerhalb Europas gespeicherte Cloud Daten an die US Behörden weitergeben müssen, äußerten sich nach einem Bericht der Financial Times nun auch Unternehmensvertreter zu den Auswirkungen dieser Praxis. IT-Verantwortliche aus Europa gaben demnach bei einer Serie von privaten Financial Times Meetings in Deutschland und der Schweiz bekannt, dass man US Cloud Service Anbieter meiden werde, da nicht einmal sicher gestellt sei, dass man im Falle eines Zugriffs auf die Daten darüber informiert würde. Ein Teil der Befragten wollten daraus die Konsequenz ziehen, auf Cloud-Dienste komplett zu verzichten, während andere Teilnehmer der Meetings lokalen Anbietern den Vorzug geben möchten.
Alan Murphy, der bei F5 Networks für Virtualisierung und Cloud Services zuständig ist, sieht in der zweiten Alternative mehr eine Chance, denn eine Notlösung. Nach Angaben der Financial Times führte er aus, dass gerade auf Grund der Weigerung der europäischen Wirtschaft in Zukunft US basierte Dienste zu nutzen, kleinere lokale Anbieter die Chance erhielten, auf Kosten der bekannten Marktgrößen Kunden zu gewinnen. Dazu müssten die kleinen Anbieter nach seiner Ansicht nur garantieren, dass ihre Cloud Angebote den örtlichen Datenschutzanforderungen entsprechen.(se)
Pages: 1 2 ... 28 29 30 31 32 33 34 35 
