EU-Kommissarin fordert mehr Befugnisse für Datenschutzbehörden

30. November 2011

EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.

Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.

Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.

Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)

Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen.  (se)

 

IFK: Aufnahme der Informationsfreiheit in das Grundgesetz und die Landesverfassungen

29. November 2011

Die 23. Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) verabschiedete unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Schaar am gestrigen Tage eine Entschließung zur Informationsfreiheit, die darauf abzielt, die Transparenz staatlichen Handelns auf Bundes- und Landesebene zu verstärken. Demokratie und Rechtsstaat könnten sich nur dort wirklich entfalten, wo auch die Entscheidungsgrundlagen staatlichen Handelns offen gelegt würden. Eine verfassungsrechtliche Verankerung der Informationsfreiheit sei insofern geboten. Daneben sei auch die Implementierung eines Anspruches auf freien Zugang zu amtlichen Informationen in das Grundgesetz und – sofern noch nicht erfolgt – in die Landesverfassungen von Nöten. Auf diese Weise würden öffentliche Stellen verpflichtet, vorliegende Informationen grundsätzlich öffentlich zugänglich zu machen. (sa)

Bundesrat: Einspruch gegen Gesetz zur Änderung des TKG

28. November 2011

Der Bundesrat hat bezüglich der Ende Oktober vom Bundestag beschlossenen Novelle des Telekommunikationsgesetzes (TKG) Änderungswünsche angemeldet und den Vermittlungsausschuss angerufen, so dass sich die Verabschiedung wohl verzögern wird. Er möchte eigenen Angaben zufolge hierdurch zahlreiche medienpolitische Verbesserungen erreichen und sicherstellen, dass künftige Verordnungen der Bundesregierung zur Förderung der Transparenz und Kostenkontrolle auf dem Telekommunikationsmarkt mit seiner Zustimmung erfolgen. Die Änderungswünsche betreffen u.a. die Beteiligung der Länder an den möglichen zukünftigen Erlösen des Bundes aus Frequenzversteigerungen, weil sich diese zweckgebunden für den Breitbandausbau verwenden ließen. Des weiteren sei die Implementierung einer Regelung von Nöten, die der Erleichterung des Zugangs zu alternativen Infrastrukturen wie öffentlichen Wasserleitungen oder Abwasserkanälen zum Zweck des Telekommunikationsnetzausbaus zu dienen bestimmt ist. Die Nutzung von Frequenzen solle effizienter und flexibler gestaltet werden. (sa)

BfDI: Forderung nach gesetzlicher Weichenstellung für Datenschutz im Internet

25. November 2011

Im Rahmen der von der Google Deutschland GmbH am gestrigen Tage initiierten Veranstaltung „DatenDialog“, die der Diskussion über Privatsphäre und Daten- schutz im Internet diente, kritisierte der Bundesbeauftragte für den Datenschutz und die Informations- freiheit (BfDI) Schaar Medienberichten zufolge die gesetz- geberische Inaktivität der Bundesregierung in Sachen Datenschutz im Internet. Sie verpasse dahingehend wichtige Weichenstellungen und berufe sich lediglich auf Selbstregulierungen der Industrie, die generell nicht hinreichend seien. „Die Unternehmen schaffen eine Realität, mit der sich der Gesetzgeber immer schwerer tut. Der Markt allein werde Probleme nicht lösen.“, so Schaar. (sa)

Kategorien: Allgemein
Schlagwörter: ,

Landesregierung NRW: Versand von „stillen SMS“

24. November 2011

Die nordrhein-westfälische Landesregierung hat aufgrund einer Kleinen Anfrage der Landtagsfraktion der Linken mitgeteilt, dass im Jahr 2010 nach polizeilichen Erhebungen in Nordrhein-Westfalen in insgesamt 778 Ermittlungsverfahren 255.784 Ortungsimpulse (sog. stille SMS) an 2644 Mobilfunkteilnehmer zur Aufenthaltsbestimmung versendet wurden. Wie viele Ortungsimpulse hiervon ein Endgerät tatsächlich erreicht haben, könne jedoch nicht beziffert werden, da keine Zustellung an Endgeräte, die z.B. wegen Ausschaltung nicht betriebsbereit sind oder im Ausland betrieben werden, erfolgt. Eine nachträgliche „Zustellung“ solcher Ortungsimpulse finde nicht statt, ein Verkehrsdatum würde insoweit nicht erzeugt.

Mittels des richterlich angeordneten Versands von stillen SMS wird ein Mobiltelefon technisch veranlasst, mit dem Mobilfunknetz Kontakt aufzunehmen, ohne dass bei dem empfangenden Endgerät eine Aktivität erkennbar wird. Der Ortungsimpuls verfügt nicht über kommunikative Inhalte, sondern ist ein rein technischer Impuls zur Ortung des Endgerätes. Da lediglich ein Kommunikationsvorgang simuliert wird, greift Art. 10 Grundgesetz, der das Brief-, Post- und Fernmeldegeheimnis regelt, nicht ein. Werden mehrere Ortungsimpulse kurz nacheinander gesendet, besteht die Möglichkeit, Bewegungen (z.B. Fluchtwege) in Echtzeit zu bestimmen. Stille SMS werden zur Aufklärung von Straftaten von erheblicher Bedeutung, z.B. Verfolgung von schwerer oder organisierter Kriminalität eingesetzt. (sa)
Kategorien: Allgemein
Schlagwörter: ,

Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

„Drücken“ und „Ziehen“ – Kritik am geplanten Fluggastdaten-Abkommen zwischen der EU und den USA

Wie bereits berichtet, hat sich die EU-Kommission mit den USA auf ein neues Fluggastdaten-Abkommen (PNR-Abkommen) geeinigt, das die Erhebung von 19 Daten legitimieren soll. Zu diesen Daten gehören Name, Anschrift, Kreditkartennummer, Telefonnummer, Reiseverlauf, Gepäckinformationen, Sitzplatz und auch das im im Flugzeug bestellte Essen. Diese Daten werden nicht ausschließlich von Personen erhoben, die in die USA einreisen, sondern auch von solchen Passagieren, die im Laufe ihrer Reise über die USA fliegen.

Nach dem Bekanntwerden der Pläne ist umgehend Kritik an den neuen Plänen laut geworden. Stein des Anstoßes ist insbesondere folgende Regelung: Obwohl die Fluggesellschaften im Regelfall die Daten an die US-Behörden übermitteln sollen (Push-Methode), können die US-Behörden die Daten doch eigenmächtig aus dem Buchungssystem der Airlines entnehmen (Pull-Methode), wenn eine Übermittlung durch die Gesellschaften technisch nicht möglich ist, oder eine „dringende und ernste Gefahr“ besteht, die es abzuwehren gelte.

Peter Schaar drückte gegenüber der Berliner Zeitung seinen Unmut über diese Regelung aus, weil sie es den US-Behörden doch ermögliche direkt auf den gesamten Datensatz, welcher auch sensible Daten enthalte, zuzugreifen. Der Bundesdatenschutzbeauftrage störte sich weiterhin daran, dass die Daten ohne Anfangsverdacht und Erforderlichkeitsnachweis jahrelang von den US-Behörden gespeichert werden dürften.

Auch Jan Philipp Albrecht, der für die Grünen im EU-Parlament sitzt, sprach von einer „Mogelpackung“, die keine substanziellen datenschutzrechtlichen Verbesserungen im Vergleich zur Vorversion brächte und aus verfassungsrechtlichen Gründen abzulehnen sei. Als „nicht zustimmungsfähig“ erachtet der liberale EU-Parlamentarier Alexander Navaro den Entwurf und moniert insbesondere, dass den USA weitergehendere Befugnisse zugestanden würden, als dies für Kanada und Australien der Fall sei.
Der unabhängige österreichische EU-Abgeordnete Martin Ehrenhauser wirft der Kommission gar vor, dass diese gezielt die Unwahrheit verbreite und mit Hilfe eines „Datenwäsche-Tricks“ Bürgerrecht umgehe.

Zum Inkrafttreten des Abkommens ist neben der Zustimmung der Mitgliedsstaaten auch die Zustimmung des EU-Parlaments notwendig. Einem PNR-Abkommen mit Australien stimmte das EU-Parlament kürzlich zu. Im Gegensatz zum geplanten Abkommen mit den USA bleibt den australischen Sicherheitsbehörden jedoch der eigenmächtig Pull-Zugriff auf die Daten verwehrt. Nichtsdestotrotz darf bezweifelt werden, dass die weitergehenden Zugriffsrechte der US-Behörden dazu führen, dass das EU-Parlament seine Zustimmung verweigert. (se)

ENISA mahnt zur Vorsicht beim Cloud Computing

Udo Helmbrecht, Direktor der Europäischen Agentur für Netz- und Informationssicherheit, warnte Medienberichten zufolge vor einer unvorsichtigen Nutzung des Cloud Computings. Gerade mittelständische Unternehmen speicherten sensible Daten in der digitalen Wolke, so Helmbrecht, ohne datenschutzrechtliche Risiken zu beachten. Handele es sich um ausländische Anbieter von Cloud Computing, landeten die Daten möglicherweise in den USA oder anderen Drittstaaten. Dieser Datentransfer verstößt möglicherweise gegen das Bundesdatenschutzgesetz – und birgt damit ungeahnte Risiken für die Unternehmen, die auf das kostensparende Cloud Computing setzen.

Nach Ansicht von Helmbrecht seien die ersten Skandale beim Cloud Computing nur noch eine Frage der Zeit. (ssc)

severalnines/City Network: EU-Cloud-Service

Medienberichten zufolge haben sich die Unternehmen severalnines und City Network zusammengeschlossen, um europäischen Nutzern die Inanspruchnahme von Cloud-Diensten zu ermöglichen, ohne dass ein außereuropäischer Zugriff auf die Daten, z.B. durch US-Behörden aufgrund des umstrittenen Patriot-Act, erfolgt. Der gemeinsam angebotene Cloud-Dienst „Database as a Service“ soll der erst rein europäische Dienst sein, mittels dessen Unternehmen die Konfiguration ihrer Datenbanken in eine Cloud auslagern können. Damit soll ein datenschutzkonform- es Cloud Computing gewährleistet werden. (sa)

BfDI: Datenschutz zu Zeiten des Internetprotokolls Version 6 (IPv6)

22. November 2011

Am heutigen Tage hielt der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Peter Schaar in Kooperation mit dem Museum für Kommunikation in Berlin ein Symposium zu der Einführung des Internetprotokolls IPv6 und verwies Medienberichten (Artikel nicht mehr abrufbar) zufolge auf dramatische Konsequenzen für die Internet-Nutzer, die mit der Umstellung auf diesen Standard und der Möglichkeit einer festen Adresse einhergehen sollen. Die massive Ausweitung der Zahl möglicher Internetadressen – von bisher 4,3 Milliarden auf 340 Sextillionen möglicher Internetadressen – führe dazu, dass man jedes am Internet ange- schlossene Gerät auf Dauer zu identifizieren vermag. Die Internet-Adresse werde so zu einem „unverwechselbaren Identifikationsmerkmal“ des entsprechenden Gerätes, weswegen man sich Gedanken machen müsse, wie die Privatsphäre auch in Zeiten von IPv6 geschützt werden kann. Dies könne mit strikter Umsetzung des Grundsatzes „Privacy by default“ realisiert werden, d.h. der Schutz der Privatsphäre müsse bereits in den Standardeinstellungen gewährleistet sein. (sa)

Kategorien: Allgemein
Schlagwörter: , ,
1 173 174 175 176 177 191