Kategorie: Online-Datenschutz

EU-Kommissarin fordert mehr Befugnisse für Datenschutzbehörden

30. November 2011

EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.

Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.

Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.

Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)

Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen.  (se)

 

Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

ENISA mahnt zur Vorsicht beim Cloud Computing

Udo Helmbrecht, Direktor der Europäischen Agentur für Netz- und Informationssicherheit, warnte Medienberichten zufolge vor einer unvorsichtigen Nutzung des Cloud Computings. Gerade mittelständische Unternehmen speicherten sensible Daten in der digitalen Wolke, so Helmbrecht, ohne datenschutzrechtliche Risiken zu beachten. Handele es sich um ausländische Anbieter von Cloud Computing, landeten die Daten möglicherweise in den USA oder anderen Drittstaaten. Dieser Datentransfer verstößt möglicherweise gegen das Bundesdatenschutzgesetz – und birgt damit ungeahnte Risiken für die Unternehmen, die auf das kostensparende Cloud Computing setzen.

Nach Ansicht von Helmbrecht seien die ersten Skandale beim Cloud Computing nur noch eine Frage der Zeit. (ssc)

Die eigenen Basisstationen aus Googles WLAN-Datenbank entfernen

17. November 2011

Google betreibt eine Datenbank, in der alle bekannten WLAN-Basisstationen verzeichnet sind. Die Standorte der Netzwerke werden gespeichert und dazu verwendet, auch ohne GPS-Signal eine ungefähre Positionssbestimmung zu ermöglichen. Ein Teil der Daten wurde durch Fahrten mit den Street-View-Fahrzeugen zusammengetragen; andere Daten stammen von mobilen Endgeräten, wie z.B. Android-Telefonen. Ebenso wie bei den Mitbewerbern Apple und Microsoft gab es in der Vergangenheit Unstimmigkeiten in Bezug auf den Datenschutz dieser Geolocation-Dienste.

Wer möchte, dass seine Basistation nicht mehr erfasst wird, kann dies auf einfache Weise erreichen. Google führt dazu in einem Blogeintrag aus, dass bei der Netzwerkkennung (SSID) ein „_nomap“ angehängt werden muss. Lautet der Name des Netzwerkes also bisher „JuppMüller“, reicht es aus, das Netzwerk in „JuppMüller_nomap“ umzubennen. Dies kann einfach über die Konfigurationsoberfläche der WLAN-Basisstation geschehen. Beispiele für das Vorgehen bei verschiedenen Endgeräten gibt Google auf einer Hilfeseite.

Wer die Datensammlung zur Postionsbestimmung generell nicht unterstützen möchte, sollte bei seinem Endgerät die Option deaktivieren, Standorte mit Hilfe von Mobilfunk- und WLAN-Netzwerken zu bestimmen. Durch das Abschalten dieser Option wird üblicherweise auch die Übertragung der gefundenen Netze an den Datenbankbetreiber unterbunden. Dies gilt herstellerübergreifend für alle Mobilgeräte mit Ortungsfunktionen.

Die Möglichkeit eines Opt-Outs für bereits in der Datenbank befindliche Daten bietet bisher allerdings nur Google. Google selbst drückt in dem Blogeintrag jedoch die Hoffnung aus, dass das einfache Anhängen eines „_nomap“  an die SSID sich universell durchsetzt und in Zukunft von mehreren Betreibern von Geolocation-Datenbanken berücksichtigt wird. (se)

Valve Software: Hacking-Angriff

14. November 2011

Medienangaben zufolge ist es Unbekannten gelungen, in die Spiele-Distributionsplattform Steam der Valve Software Corporation einzudringen. Zunächst sei ein Einbruch in die Foren-Server erfolgt, weitere Untersuchungen sollen dann ergeben haben, dass die Hacker auch Zugriff auf die Steam-Datenbank nehmen konnten. Betroffen seien circa 35 Millionen Zugangskonten, die u.a. Angaben zu Namen, Salt-Hashes von Passwörtern, Kaufbestätigungen von Spielen, Rechnungsadressen sowie verschlüsselten Kreditkarteninformationen enthalten. Unklar sei derzeit, ob tatsächlich diese Daten abgerufen oder sonst missbraucht wurden. (sa)

BGH regelt Haftung von Hostprovidern für Persönlichkeitsrechtsverletzungen

26. Oktober 2011

Der Bundesgerichtshof (BGH) hat mit Urteil vom Dienstag entschieden, wann Hostprovider für Inhalte der bei ihnen gespeicherten Blogs haften müssen (Urt. v. 25.10.2011, Az. VI ZR 93/10).

In dem zugrundeliegenden Verfahren standen sich ein Unternehmer aus Deutschland und Google gegenüber. Der kalifornische Internetgigant bietet als Hostprovider Webspeicher und die nötige Software an, um einen Blog, so genannte Web-Tagebücher, zu betreiben. Auf einem solchen Blog tauchten Aussagen auf, die der Deutsche für unwahr und ehrverletzend hielt.

Dass Google in das Verfahren gezogen wurde, lag an der Anonymität des mutmaßlichen Ehrverletzers. Nur der Hostprovider selbst kann eine Schmähung aus dem Netz verbannen, wenn deren Urheber nicht mehr greifbar ist.

Der BGH bestätigte zunächst die Vorinstanzen in der Annahme, dass deutsches Recht anwendbar sei. In der Sache haben die Karlsruher Richter aber nicht entschieden, sondern an das Oberlandesgericht Hamburg zurück verwiesen. Weichen haben sie trotzdem gestellt, indem sie für künftige Fragen der Haftung eines Hostproviders eine mehr oder weniger klare Linie gezogen haben.

Die Bundesrichter haben in dem Urteil die Voraussetzungen festgelegt, nach denen ein Hostprovider als Störer für Äußerungen eines Dritten in einem Blog auf Unterlassung in Anspruch genommen werden kann. Denn zunächst müsse der Betroffene den Hostprovider konkret auf den Rechtsverstoß hinweisen. Erst dann sei der Provider gefordert, an den für den Blog Verantwortlichen heranzutreten und zur Stellungnahme aufzufordern.

Schweigt der Blogger über einen gewissen Zeitraum, sei davon auszugehen, dass die Beschwerde des Betroffenen berechtigt sei und der Eintrag im Blog gelöscht werden müsse. Sollte aber der Blog-Betreiber die Beanstandung „substantiiert in Abrede“ stellen und der Hostprovider Zweifel bekommen, sei der Betroffene aufzufordern, seinerseits für Nachweise zu sorgen. Der Provider müsse weiter prüfen und bei bestätigter Verletzung des Persönlichkeitsrechts schließlich löschen.

Provider müssen also künftig immer reagieren, wenn sie Beschwerden oder Hinweise von möglicherweise Betroffenen erhalten und prüfen, ob die Hinweise und Beschwerden genug Substanz aufweisen – nur so lässt sich nämlich feststellen, ob die nunmehr vom BGH verlangten Schritte der Klärung, nämlich ob es sich um eine Verletzung des Persönlichkeitsrechts handelt oder nicht, vollzogen werden müssen. (ssc)

Irische Behörde will Facebook prüfen – Wissenschaftlicher Dienst legt Gutachten zu Social-Plugins vor

24. Oktober 2011

Wie heise online berichtet, plant die irische Datenschutzbehörde eine Überprüfung der europäischen Facebook-Niederlassung in der kommenden Woche. Anlass hierfür gaben auch die Beschwerden des österreichischen Studenten, der seine bei Facebook gespeicherten Daten angefordert hatte. Auf der ihm anschließend übersandten CD mit einem 1200 Seiten starken Dokument fanden sich unter anderem Einträge und Daten, die er längst gelöscht hatte.

Die Überprüfung von Facebook in Dublin soll nach dem Bericht etwa eine Woche dauern. Zuständig ist der irische „Data Protection Comissioner“, weil Facebook allein in Irland die „Facebook Ireland Limited“ als Niederlassung für Europa betreibt.

Inzwischen hat sich auch der Wissenschaftliche Dienst des Bundestages mit Facebook beschäftigt. Genauer ging es um die Anfrage eines FDP-Bundestagsabgeordneten, ob das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein Nutzern der Social-Plugins von Facebook zu Recht vorwerfe, gegen deutsches Datenschutzrecht zu verstoßen.

Das eindeutige Fazit der Wissenschaftler lautet, dass wegen deutlicher Unsicherheiten im geltenden Datenschutzrecht keinesfalls eindeutig von einem Verstoß ausgegangen werden könne. Die Rechtsauffassung des ULD sei vertretbar, die Behauptung eines eindeutigen Verstoßes aber unzutreffend.

Problematisch sei besonders der Personenbezug von Cookies und IP-Adressen. Die Anforderungen an die Bestimmbarkeit einer Person seien sehr umstritten und von der Rechtsprechung nicht einheitlich geklärt. Diese Kontroverse würde aber vom ULD ausgeblendet. Nicht nachvollziehbar sei auch die Begründung einer Auftragsdatenverarbeitung  nach  §11 BDSG, aus der sich die angeprangerte Verantwortlichkeit der Webseitenbetreiber für die von Facebook erstellen Statistiken ergeben könnte. (ssc)

Sony: Erneuter Hacking-Angriff

18. Oktober 2011

Der Elektronikkonzern Sony ist nach den im April dieses Jahres erfolgten Hacking-Angriffen abermals erfolgreich angegriffen worden. Das Unternehmen gab bekannt, dass unbekannte Täter zwischen dem 07. und 09. Oktober in etwa 93.000 Kundenkonten der Dienste Playstation Network, Sony Entertainment Network und Sony Online Entertainment haben eindringen können. Dies soll durch das Ausprobieren von Login-Daten, die wohl von einer anderen Stelle erhoben wurden, gelungen sein. Die Betroffenen sind nach Angaben des Unternehmens bereits mittels E-Mail über den Angriff informiert wurden und die Zugänge wurden gesperrt. (sa)

Kategorien: Hackerangriffe
Schlagwörter: ,

2-Klick-Lösung für besseren Datenschutz bei Social-Plugins

11. Oktober 2011

Der Heise-Verlag stellt seit einiger Zeit allen interessierten Webmastern ein Skript zur Verfügung, welches dafür sorgt, dass die Social-Plugins von Facebook, Twitter und Google+ keine Daten übermitteln, bevor die Nutzer die Funktionalität der Schaltflächen nicht freischalten.

Ein solches Vorgehen ist notwendig, da insbesondere Facebooks Like-Button völlig ohne Zutun der Nutzer Daten an Facebook sendet. Dafür reicht bereits der Aufruf der Seite, auf der der Like-Button eingebunden ist; einer aktiven Nutzung des Buttons bedarf es nicht.

Bei der 2-Klick-Lösung laufen, im Gegensatz zu den normal eingebunden Social-Plugins, die Skripte der Social-Media-Anbieter nicht schon beim Laden der Seite im Hintergrund. Der Nutzer muss die Schaltflachen erst über einen Klick „scharf schalten“. Dies aktiviert die Skripte und die Funktionalität der Schaltflächen. Bereits wenn man den Mauszeiger über den deaktivierten Button bewegt (Mouseover), erhält der Nutzer ein Infofenster, das darauf hinweist, dass schon das reine Aktivieren der Schaltflächen zu einer Datenübermittlung an Dritte führt. Weiterhin wird in der kurzen Mitteilung auf eine „i“ Schaltfläche verwiesen, die ihrerseits beim Mouseover erläutert, dass beim Aktivieren der Buttons Daten in die USA übertragen und dort auch möglicherweise gespeichert werden. Ein Klick auf „i“ leitet auf die Projektseite weiter. Dort finden sich weitere Angaben zu den technischen Hintergründen und der Notwendigkeit des gewählten Verfahrens.

Heise verweist selber darauf, dass ein solches Verfahren bereits zuvor bei SWR3 und RP-Online eingesetzt wurde. Nichtsdestotrotz hat die Freigabe des Quellcodes durch Heise, sowie der große mediale Aufwand seitens des Verlags, eine gewisse Katalysatorwirkung für deutsche Onlinemedien gehabt. Heise selbst spricht von über 500 Anfragen allein in der ersten Woche. Auch große deutsche Portale wie zeit.de und computerbase.de sind mittlerweile dazu übergegangen, Social-Plugins standardmäßig zu deaktivieren.

Facebook selbst zeigte sich von dieser Lösung wenig begeistert und beschwerte sich sowohl bei Heise als auch bei SWR3 über einen Verstoß gegen die Platform Policies, da die Betreiber eine Facebook Funktion nachahmten. Dies wurde damit begründet, dass eine Schaltfläche, die wie ein Like-Button aussehe, auch die Funktionalität des Like-Buttons haben müsse. Um einer Sperrung der betroffenen Domains bei Facebook zu verhindern, haben die Verwantwortlichen das Design der deaktivierten Facebook-Buttons mittlerweile so angepasst, dass diese nicht mehr dem Like-Button von Facebook ähneln.

Während die 2-Klick-Lösung für den durchschnittlichen Internetnutzer ausschließlich positiv ist, da eine Datenübermittlung zu den Social-Media-Anbietern ohne sein Zutun nicht mehr stattfindet, reicht einigen Datenschützern diese Initiative nicht aus. Thilo Weichert vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) sieht darin zwar einen Schritt in die richtige Richtung, die aber nicht ausreiche. Nach seiner Einschätzung ist die Information beim Aktivieren des Button nicht ausreichend, da eine wirksame Einwilligung voraussetze, dass die Nutzer wüssten, worein sie einwilligten. Facebook lege aber bisher nicht dar, was mit den Nutzerdaten geschehe. Folgt man dieser Argumentation, ist eine datenschutzkonforme Nutzung von Facebook, und den entsprechenden Plugins, überhaupt nicht möglich, weil es immer an der erforderlichen informierten Einwilligung fehlt.

Unbeachtet dieser Kritik steht es völlig außer Frage, dass eine Einbindung der Social-Plugins im Wege der 2-Klick-Lösung deutlich datenschutzfreundlicher ist, als die Plugins ohne jegliche Restriktionen einzubauen. Wer also (überhaupt) plant Social-Media-Plugins zu verwenden, sollte im Interesse der Besucher seiner Website eine solche Lösung implementieren. (se)

 

Können deutsche Unternehmen Cloud-Anbieter mit Sitz in den USA noch nutzen?

10. Oktober 2011

Nachdem bekannt wurde, dass US-Behörden selbst dann Zugriff auf bei US-Cloud-Anbietern gespeicherte Daten erhalten, wenn sich diese auf Servern innerhalb der EU befinden, stellt sich für viele deutsche Unternehmen die Frage, ob es generell noch möglich ist, in datenschutzkonformer Weise mit US-Anbietern zusammenzuarbeiten.

Aus der Orientierungshilfe – Cloud Computing, welche die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht haben, ergibt sich, dass die deutschen Datenschutzbehörden eine Zusammenarbeit mit US-Cloud-Anbietern nicht generell für unmöglich halten.

Bei der Übermittlung von Daten außerhalb der EU und des EWR kann durch den Cloud-Anwender als verantwortliche Stelle ein ausreichendes Schutzniveau sichergestellt werden, indem Standardvertragsklauseln oder Binding Corporate Rules verwendet werden. Nach Einschätzung der Datenschützer wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet. Daher fordern sie, dass Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus, die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend eine Auftragsdatenverarbeitung vertraglich vereinbaren. Zusammengenommen können diese Maßnahmen dazu führen, dass die Übermittlung durch den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG gedeckt ist. Dies alles gilt für die USA ebenso, wie für andere Drittstaat ohne angemessenes Datenschutzniveau.

Wenn eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter in den USA erfolgt,  können die Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, falls der Cloud-Anbieter gemäß der Safe-Habor-Grundsätze zertifiziert ist. In Ermangelung einer flächendeckenden Kontrolle der Selbstzertifizierungen durch Kontrollbehörden in Europa und den USA sehen die Datenschützer die Cloud-Anwender in der Pflicht gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln. Von den Cloud-Anwendern fordern sie dabei:

  • Sich zu überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht.
  • Zu prüfen, ob der Cloud-Anbieter sich gemäß FAQ 9 Frage 4 des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat, falls Beschäftigtendaten verarbeitet werden sollen.
  • Sicherzustellen, dass der Cloud-Anwender vom Cloud-Anbieter alle nötigen Informationen erhält, wenn ein Betroffener eine Anfrag an ihn richtet.
  • Eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung entsprechend § 11 Abs. 2 BDSG zu treffen.

Abschließend halten die Arbeitskreise fest, dass eine Safe-Harbor-Zertifizierung den Cloud-Anwender nicht von der Erfordernis einer Rechtsgrundlage für die Übermittlung (z.B. § 28 Abs. 1 Satz 1 Nr. 2 BDSG) oder seiner Kontrollpflicht analog § 11 Abs. 2 Satz 3 BDSG entbindet.

Diese Anforderungen verdeutlichen einmal mehr, dass datenschutzkonformes Cloud Computing immer noch mit vielen Fallstricken versehen ist. (se)

1 57 58 59 60 61 63