EU-Datenschutzverordnung: IT-Sicherheit im Wandel

2. März 2012

Die Kommission der Europäischen Union hat am 25. Januar 2012 einen Entwurf für einen neuen Rechtsrahmen zum Schutz personenbezogener Daten in der EU vorgestellt. Nach diesem Vorschlag soll u.a. die bisher bestehende Richtlinie 95/46/EG aus dem Jahr 1995 ersetzt werden. Kernstück soll eine neue Datenschutz-Grundverordnung (EU-Datenschutzverordnung) werden, die zur Harmonisierung des Datenschutzes in allen Mitgliedstaaten führen soll. Inhaltlich zielt die Reform in zwei Richtungen. Zum einen sollen die Rechte des Einzelnen auf Wahrung seiner Privatsphäre gestärkt werden, zum anderen soll die digitale Wirtschaft Europas belebt werden.

Einzelne Regelungen des Verordnungsentwurfes könnten hierbei weitreichende Änderungen der bestehenden IT- und Sicherheitskonzepte von Unternehmen zur Folge haben. Die Änderungen haben sowohl Erleichterungen als auch Verschärfungen zum Gegenstand. Zur Verminderung des Verwaltungsaufwands sollen administrative Anforderungen wie bestimmte Meldepflichten beseitigt werden. Anstelle der bisher bestehenden Verpflichtung den Datenschutzbeauftragten sämtliche datenschutzrelevanten Tätigkeiten zu melden, sieht die Neuregelung künftig mehr Verantwortung sowie eine verschärfte Rechenschaftspflicht bei der Verarbeitung personenbezogener Daten vor. Weiterhin muss nach der Feststellung einer Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich, d.h. innerhalb von 24 Stunden benachrichtigt werden. Die Umsetzung des Entwurfs könnte dazu führen, dass aufgrund der Anforderungen an Transparenz, Offenlegung und der Nachweispflicht für Verstöße Unternehmen IT-Sicherheitsprozesse tiefer in die Geschäftsprozesse integrieren müssen. Auch wenn einige Fragen noch offen bleiben, beispielsweise wie der Begriff der Unverzüglichkeit zu interpretieren ist,  sind die Änderungen überwiegend begrüßenswert. (md)

Google: Neue Datenschutzerklärung in Kraft

Trotz national und international geäußerter massiver Rechtmäßigkeitsbedenken gegen die neue Datenschutzerklärung von Google, wurde diese am gestrigen Tage plangemäß weltweit in Kraft gesetzt. Damit wurden nach Angaben des Konzerns die Richtlinien für mehr als sechzig einzelne Dienste vereinheitlicht und eine  Zusammenführung gesammelter Daten ermöglicht, die dazu dienen soll, die Nutzung der Produkte „unkomplizierter und intuitiver“ zu gestalten.

Beschäftigtendatenschutz: „Mobbing-Leitfaden“ bei der Deutschen Post

1. März 2012

Nach einem Bericht des Magazins „Stern“ haben Führungskräfte der Deutschen Post AG einen Leitfaden zum Umgang mit „Low-Performern“ entwickelt (sog. Umgang mit auffälligen Kräften in der Ist-Zeit). Führungskräfte sollen danach angehalten sein, ihre als „auffällig“ zu klassifizierenden Zusteller in vier Kategorien einzuordnen (Typ 1: zuverlässig, aber extrem langsam; Typ 2, „Motzbrüder“: uneinsichtig und beratungsresistent; Typ 3: „Sozialfälle“, die für die Briefzustellung ungeeignet sind; Typ 4: wegen hohen Alters unfähig zur Verhaltensänderung). Als „auffällig“ wiederum sollen die Zusteller gelten, die zu langsam arbeiten und zu viele Überstunden anhäufen. Als Maßnahme zur Leistungssteigerung solcher Mitarbeiter sehe der Leitfaden vor, dass z.B. samstags oder montags oder vor Feiertagen kein Urlaub gewährt werde oder Gespräche mit dem Ziel geführt werden, Überstunden verfallen zu lassen.

Auf Anfrage des Stern soll die Deutsche Post AG die Existenz des Papiers eingeräumt, sich aber von den Inhalten distanziert haben. Es widerspreche eklatant den Grundsätzen zum Umgang mit Mitarbeitern. Die Vorschläge seien nie umgesetzt worden. Vielmehr sei die besagte Unterlage vor längerer Zeit – im Jahre 2009 – in einer einzelnen Niederlassung in Nordrhein-Westfalen entstanden. Der Fall sei zusammen mit dem Betriebsrat aufgeklärt worden.

BfDI: Kritik an neuer Datenschutzerklärung von Google

29. Februar 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat die von Google für den 01.03.2012 angekündigte neue Datenschutzerklärung scharf kritisiert. Sie werfe vielzählige datenschutzrechtliche Fragen auf, was bereits  die französische Datenschutzaufsichtsbehörde Commission Nationale de l´Informatique et des Libertés (CNIL) mittels Schreibens an den Konzern adressiert habe. Die seitens der CNIL im Auftrag der Artikel 29-Gruppe der Europäischen Datenschutzbeauftragten durchgeführte Analyse der neuen Datenschutzerklärung habe ergegeben, dass diese den EU-Vorschriften zum Datenschutz widerspreche.  Schaar selbst meldet insbesondere wegen der Verknüpfung personenbezogener Daten von Google-Kunden aus unterschiedlichen Diensten rechtlich massive Bedenken an. Kritisch sei, dass die Nutzer der Neufassung der Datenschutzerklärung nicht in ausreichender Klarheit entnehmen können, welche Daten das Unternehmen für welche Zwecke erhebt, speichert, übermittelt und auswertet. Er fordert Google daher auf, die angekündigte Umstellung der Datenverarbeitungsregeln auszusetzen, bis alle Zweifel an der Rechtskonformität ausgeräumt sind.

 

Kategorien: Allgemein
Schlagwörter: , ,

GSMA: Datenschutzrichtlinien für die Entwicklung mobiler Anwendungen

28. Februar 2012

Die Industrievereinigung der internationalen Mobilfunkanbieter GSM Association (GSMA) hat zusammen mit den führenden europäischen Mobilfunkanbietern Richtlinien für Datenschutz bei der Entwicklung mobiler Anwendungen („Privacy Design Guidelines for Mobile Application Development“) entwickelt und anlässlich des Mobile World Congresses in Barcelona veröffentlicht. Diese Richtlinien sollen die Transparenz und Wahlmöglichkeiten für Nutzer verbessern und ihnen eine Kontrollmöglichkeit über ihre personenbezogenen Daten, auf die eine Anwendung zugreifen kann, einräumen. Die Mobilfunkbetreiber in Europa, u.a. die Deutsche Telekom, France Telecom, Telefónica, Telekom Austria Group, Telenor Group und Vodafone, werden von nun an diese Richtlinien implementieren und auf ihre Markenprodukte anzuwenden. (sa)

BfDI: Bundesverfassungsgericht sorgt für besseren Schutz der Grundrechte

27. Februar 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat den Beschluss des Bundesverfassungsgerichts (BVerfG) vom 24.02.2012 explizit begrüßt. In diesem wurde die Regelung des § 113 Abs. 1 S. 2 Telekommunikationsgesetz (TKG) für verfassungswidrig erklärt, wonach Ermittlungsbehörden ein beschlagnahmtes Mobiltelefon auslesen und gespeicherte Daten durchsuchen konnten, obwohl für diese Vorgehensweise keine Ermächtigungsgrundlage vorhanden ist. Auskünfte über den Inhaber einer dynamischen IP-Adresse dürfen danach zwar erteilt werden, allerdings bedürfe es dazu einer ausdrücklichen gesetzlichen Neuregelung.

Diese höchstrichterliche Beschränkung der Speicherung und Verwendung von Telekommunikationsdaten führe zu einem verbesserten Grundrechtsschutz, so Schaar. Der Beschluss verdeutliche, dass ein Zugriff auf Telekommunikationsdaten immer nur unter Wahrung des Fernmeldegeheimnisses zulässig ist und der Gesetzgeber noch etliche Hausaufgaben zu erledigen hat. Dies betreffe auch die Auskunftserteilung von dynamischen IP-Adressen. (sa)

Kategorien: Allgemein
Schlagwörter: , ,

Kalifornien: Mehr Datenschutz bei der Nutzung von Apps

24. Februar 2012

Die sechs größten App-Store-Betreiber Apple, Google, Microsoft, Amazon, Hewlett-Packard und Research in Motion haben sich in einem Abkommen mit dem kalifornischen Justizministerium zu einer erhöhten Achtung des Datenschutzes bei der Nutzung von mobilen Applikationen („Apps“) verpflichtet, teilte die kalifornische Generalstaatsanwältin Harris öffentlich mit. In Zukunft werde bereits bei der Entwicklung von Apps von den verantwortlichen Entwicklern gefordert, dass Datenschutzmechanismen integriert werden und die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz in Kalifornien gewährleistet ist, z.B., dass die Nutzer zeitlich vor einem Download informiert werden, auf welche Daten die App zugreift und was mit diesen Daten geschieht. Die App-Store-Betreiber sollen sich u.a. verpflichtet haben, auf dieses hinzuwirken sowie eine Plattform für Nutzer-Beschwerden über unzureichenden Datenschutz einzurichten. In sechs Monaten werde der Umsetzungsstatus des Abkommens bei den App-Store-Betreibern überprüft. (sa)

Kategorien: Allgemein
Schlagwörter: ,

LDI RLP: Kritik an Stiftung Datenschutz

23. Februar 2012

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LDI RLP), Edgar Wagner, hat abermals Bedenken gegen die geplante Stiftung Datenschutz geäußert. Eine nähere Darlegung der Bundesregierung zur Stiftungsgründung habe ergeben, dass die Stiftung mit einem nur sehr geringem Stiftungsvermögen ausgestattet werde und ansonsten auf den Zuschuss von Stiftungskapital durch die Wirtschaft angewiesen sei. Dies steht nach Ansicht Wagners dem Wesen einer unabhängigen Stiftung entgegen. Es sei wesentlich besser, die unabhängigen Datenschutzbeauftragten zu stärken, als neue Einrichtungen zu schaffen, die über keine klaren Aufgabenzuweisungen, keine hinreichende Finanzausstattung und keine Unabhängigkeit verfügen. So würden wieder einmal Erwartungen geweckt, die nicht erfüllt werden könnten. Stärkung des Datenschutzes heiße nicht, zusätzliche Datenschutzeinrichtungen zu schaffen, sondern die vorhandenen, nämlich die unabhängigen Datenschutzbeauftragten, zu stärken, betonte Wagner. (sa)

Kategorien: Allgemein
Schlagwörter: ,

EuGH lehnt Inhaltskontrollen in Sozialen Netzwerken ab

21. Februar 2012

Wie huntonprivacyblog.com berichtet, hat der Europäische Gerichtshof vergangene Woche über die Zulässigkeit von Vorabkontrollen der Inhalte in Sozialen Netzwerken entschieden.

In dem Verfahren SABAM vs. Netlog forderte der belgische Verband von Urheberrechtsinhabern, Netlog als Anbieter eines Sozialen Netzwerks müsse ein generelles Filtersystem für Nutzerinhalte installieren. Nutzer sollten so davon abgehalten werden, Urheberrechte zu verletzen, wenn sie Dateien hochladen.

Im Ergebnis entschied der EuGH gegen ein generelles Filtersystem. Der Rahmen der Verhältnismäßigkeit würde gesprengt, müssten die Anbieter Sozialer Netzwerke solch aufwendige Systeme auf eigene Kosten einrichten und betreiben.

Darüber hinaus würde schwerwiegend in Nutzerrechte eingegriffen. Besonders Datenschutzrechte seien betroffen, wenn sämtliche Profile und Inhalt der Nutzer erfasst und analysiert werden müssten.

Verstöße gegen die Informationsfreiheit könnten ebenfalls nicht ausgeschlossen werden, wenn die automatischen Filter aufgrund von Ungenauigkeiten oder Programmfehlern auch zulässige Inhalte blockieren würden.

Der EuGH hatte im Rahmen eines Vorlageverfahrens zu entscheiden, ob die Richtlinien 2000/31/EG, 2001/29/EG und 2004/48/EG solchen automatischen Filtersystemen entgegenstehen. In einem früheren Verfahren (SABAM vs. Scarlet, C-70/10) entschied der EuGH bereits, dass ein Internet-Service-Provider nicht zur Errichtung solcher Filtersysteme gezwungen werden könne.

Verallgemeinern ließen sich diese Entscheidungen des EuGH aber nicht. Filtersysteme könnten sehr unterschiedlich ausgestaltet sein, vorliegend waren die Verstöße gegen Datenschutzgesetze mit entscheidend.

Auch Filtersysteme für unternehmensinterne Inhalte sind datenschutzrechtlich nicht einheitlich zu beurteilen. Hierbei wird es stets auf den Einzelfall und die unternehmensinternen Regelungen ankommen. Als Teil einer Compliance-Prüfung sollte hierbei nicht zuletzt auch ein der Datenschutzbeauftragte involviert sein, der die jeweiligen Systeme prüfen muss, um eine Einschätzung abgeben zu können. Ihr Externer Datenschutzbeauftragter steht Ihnen hierzu stets gerne beratend zur Verfügung. (ssc)

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Datenschützer äußern Bedenken an Two-Strike-Warnhinweismodell

Ein auf Betreiben des Bundeswirtschaftsministeriums (BMWi) durch die Forschungsstelle für Medien an der FH Köln erstellte vergleichende Studie plädiert für die Einführung eines zweistufigen, vorgerichtlichen Regulierungsmodells („Two-Strike“) zur Bekämpfung von Urheberrechtsverletzungen im Rahmen von P2P-Filesharing.

Das mehrstufige Modell sieht vor, dass Rechteinhaber zunächst nach der Kenntnisnahme von Urheberrechtsverletzungen den zuständigen Access-Provider unter Nennung der verletzenden IP-Adresse über den Verstoß informieren. Der Access-Provider, der als Vertragspartner der verletzenden IP-Adresse diese einem Klarnamen zuordnen kann, versendet einen aufklärenden Ersthinweis an den Anschlussinhaber und informiert diesen darüber, dass sein Name und der entsprechende Verstoßvorwurf in einer internen Liste abgelegt werden. Ab einer gewissen Anzahl von Verstößen durch eine IP-Adresse soll der Rechteinhaber dann im Wege eines gerichtlichen Auskunftsverlangens dessen Namen und Anschrift herausverlangen können.

Datenschutzrechtlichen Bedenken an dem Modell versucht die Studie durch eine situationsabhängige „konkrete Ausgestaltung der Maßnahme“ gerecht zu werden. Jedenfalls sei am Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung (BVerfG, Urt. v. 2.03.2010, Az. 1 BvR 256/08) ersichtlich, dass bei entsprechender gesetzlicher Ermächtigung eine sechsmonatige, anlasslose Speicherung von Telekommunikationsverkehrsdaten „mit Art. 10 GG nicht schlechthin unvereinbar“ sei.

Bereits kurz nach der Veröffentlichung der Studie wurde gegen diese jedoch Kritik aus Reihen der Datenschützer und der betroffenen Wirtschaft laut. Datenschützer kritisieren, dass es den Anbietern von Internetdiensten bisher gerade grundsätzlich nicht gestattet ist, Einsicht in die Kommunikationsinhalte ihrer Kunden zu nehmen. Lediglich der hier nicht vorliegende Ausnahmetatbestand des § 88 Abs. 3 TKG normiere eine Ausnahme zum Schutz technischer Systeme. Das betroffene Telekommunikationsgeheimnis sei sonst nur durch gesetzliche Vorschriften, etwa § 101 Abs. 9 UrhG und dann mit richterlichem Beschluss, zu beschränken. Würde die Überwachung aller Internetnutzer zur Feststellung von Urheberrechtsverletzungen hingegen wie durch das vorgeschlagene Modell generalisiert, wäre dies verfassungswidrig.

Zudem wird in der Verknüpfung von Verstößen und Namen in den entsprechend durch die Access-Provider geführten Listen ein nicht unerhebliches Datenschutz-Risiko für die Nutzer erkannt. Dieses sei, gerade in Hinsicht auf die nicht zu vernachlässigende Fehlerhaftigkeit des geplanten Vorgehens bei ähnlichen Modellen im europäischen Ausland, nicht als verhältnismäßig anzusehen.

Dem Leitsatz folgend „Datensparsamkeit ist der beste Datenschutz“ sehen Kritiker in dem vorgestellten Modell eine unzulässige Gefährdung des geltenden Rechts, insbesondere der verfassungsrechtlich gewährleisteten informationellen Selbstbestimmung. (jr)

1 192 193 194 195 196 215