25. Mai 2011
Der Verkehrsausschuss des EU-Parlaments hat sich in seiner Sitzung am 24.05.2011 in Brüssel mehrheitlich für den Einsatz von Körperscannern an europäischen Flughäfen ausgesprochen, gleichzeitig aber auch Rahmenbedingungen für dessen zulässigen Einsatz definiert. Wichtigste Vorraussetzung dafür sei, dass die Nutzung der Körperscanner freiwillig erfolgt. Entschließt sich der Passagier für eine Sicherheitskontrolle mittels Körperscanners muss sichergestellt sein, dass Gesundheit und Persönlichkeitsrechte des Betroffenen so wenig wie möglich beeinträchtigt werden. So sollen beispielsweise der Einsatz von röntgen-basierten Scannern sowie jede Form der Erstellung von Persönlichkeitsprofilen unterlassen werden. Außerdem sollen keine realen Körperbilder, sondern lediglich schematische, einheitliche Abbildungen von Körpern erzeugt werden, die direkt nach Abschluss der Sicherheitskontrolle zu vernichten sind. Eine Speicherung der Bilder soll verboten sein. Verweigert der Passagier den Einsatz eines Körperscanners, ist er einer alternativen, gleichermaßen effektiven Screening-Methode zu unterziehen. Aus der Weigerung soll jedoch nicht geschlossen werden, dass der Passagier als besonders verdächtig gilt. Das Plenum des EU-Parlaments will sich am 23. Juni abschließend mit dem Einsatz von Körperscannern befassen.
Die Neuerungen im indischen Datenschutzrecht zeigen nun bei Firmen in den USA erste Auswirkungen. Verschiedene amerikanische Firmen und auch einige indische Firmen, die um ihre Geschäftsbeziehungen fürchten, halten die nun erforderte schriftliche Zustimmung einer Person, bevor ihre persönlichen Daten gesammelt und genutzt werden dürfen, für viel zu restriktiv. Es wird befürchtet, dass viele Firmen nicht bereit sind, das Risiko einzugehen, dass ein Kunde, der die ausdrücklich Anfrage aus Indien bekommt, ob seine Daten dort gespeichert und genutzt werden dürfen, seine Zustimmung dafür verweigert. Stattdessen würden Firmen ihr Geschäft dann eher nach China oder auf die Philippinen auslagern, wo solche Bestimmungen nicht gelten. Auch Google protestiert gegen einige Passagen aus dem neuen Gesetz, wonach ein Internetanbieter für Inhalte verantwortlich gemacht werden, die als „belästigend“, „grob schädlich“ oder „ethnisch verwerflich anzusehen sind.
Der indische Minister für Informationstechnologie verteidigte das Gesetz damit, dass es einem seit langem geäußerten Begehren der IT-Industrie nachkäme, endlich gesetzlich Rahmenregelungen für den Datenschutz zu schaffen. Auch einige amerikanische Firmen befürworteten jedenfalls die Richtung des Gesetzes, da so das Vertrauen im Ausland hinsichtlich der ausgelagerten Datenverarbeitung in Indien gestärkt werde.
Ob und wie lange das Gesetz in seiner momentanen Ausgestaltung bestehen bleibt, dürfte letztlich maßgeblich von der Frage abhängen, wie stark der Druck aus dem Ausland noch wird. Da Indien in extrem hohen Maß auf die IT- und Outsourcing- Branche angewiesen ist, könnten allzu starke Proteste und Rückzugsdrohungen von Firmen aus diesem Bereich durchaus noch zu einer Änderung des Gesetzes führen.
24. Mai 2011
In Schweden wurde am Donnerstag über das neue „Cookie – Gesetz“ abgestimmt, das nun zum 01.07.2011 in Kraft treten wird. Hintergrund ist die „E-Privacy-Richtlinie“ (RICHTLINIE 2009/136/EG). In Deutschland wird die Frist zur Umsetzung bis zum 25. Mai 2011 nicht eingehalten, da momentan im Bundestag immer noch über einen Gesetzesentwurf beraten wird, bei dem im Übrigen das Thema Cookies außen vor bleibt.
Im Unterschied zur bisherigen Gesetzeslage in Schweden, die dem Nutzer nur die Möglichkeit gab Cookies auszuschalten, wird nun künftig vom Besucher einer Seite eine vorherige aktive Zustimmung zur Nutzung von Cookies auf einer Seite erwartet.
Das neue Gesetz hat bereits im Vorfeld zahlreiche starke Kritik hervorgerufen, da es deutlich weiter gehe als aufgrund der EG-Richtlinie erforderlich. Naturgemäß kritisch sind die Stimmen aus der Werbebranche, die erhebliche Einbußen befürchten. Im Bereich der Online-Zeitungen hat die schwedische Zeitung Aftonbladet beispielsweise im Jahr 2010 mit Online-Werbung mehr verdient als mit Print-Werbung. Aber auch „neutrale“ Stimmen äußern sich kritisch. Eine wörtliche Interpretation des Gesetzes werde jedenfalls erhebliche Nachteile mit sich bringen, auch wenn das eigentliche Ziel des Gesetze- das zu starke Ausspionieren von Seitenbenutzern- durchaus begrüßenswert sei. Das Surfen im Internet werde aufgrund des Zustimmungserfordernisses nun unübersichtlich und unkomfortabel. Erhebliche Probleme werden jedenfalls in nächster Zeit bei der praktischen Umsetzung erwartet. Teilweise wird angenommen, dass auf einer Internetseite eine deutliche Information über Cookies und wie man sie abstellt doch- anders als der Gesetzestext vermuten lässt- ausreichend sein sollte. Von anderer Seite wird in diesem Zusammenhang die Nutzung von Pop-ups zur Informations- und Zustimmungszwecken befürwortet, da die Information so jedenfalls nicht so leicht übersehen werden könne. Zudem wird die Idee einer der eigentlichen Zielseite vorgeschalteten Informationsseite, wo die Zustimmung erklärt werden kann, diskutiert.
23. Mai 2011
Nach neuen datenschutzrechtlichen Bestimmungen in Indien gibt es auch in Frankreich aktuell Bestrebungen den Datenschutz zu verstärken, auch wenn es in diesem Fall nicht durch neue gesetzliche Bestimmungen erfolgt. Die französische Datenschutzbehörde CNIL will künftig die Kontrolle in Firmen und Organisationen verstärken. Ziel ist dabei die Zahl der im Jahr 2011 kontrollierten Firmen auf mindestens 400 zu erhöhen, was im Vergleich zum Vorjahr eine Steigerung von ca. 30% bedeuten würde. Dadurch soll gewährleistet werden, dass der internationale Datenverkehr in den betroffenen Firmen sowohl den französischen als auch den europäischen Datenschutzvorschriften entspricht. Diese Kontrollverstärkung soll dabei insbesondere bei den US-Firmen, die an dem U.S.-E.U. Safe Harbor Program beteiligt sind betreffen, um sicherzustellen, dass diese die geforderten europäischen Standards einhalten.
Die Kontrollen konzentrieren sich dabei zunächst auf den Gesundheitssektor, wo naturgemäß besonders sensible Daten verarbeitet werden. Zu überprüfende Bereiche liegen dabei beispielsweise in der Telemedizin oder bei der Speicherung von Gesundheitsdaten in für Monitoringzwecke in der medizinischen Forschung. Im späteren Verlauf des Jahres soll zudem die Aufsicht hinsichtlich des Datenschutzes im Rahmen von Videoüberwachung verstärkt werden.
Im Falle von Verstößen gegen datenschutzrechtliche Bestimmung stehen der CNIL verschiedene Befugnisse zu Verfügung. Neben Warnungen oder einstweiligen Verfügungen kann sie Bußgelder von bis zu 300.000€ aussprechen.
19. Mai 2011
Nachdem Sony erst vor einem Monat durch einen Hacking-Angriff auf mehr als 100 Millionen Kundendaten im Zentrum des öffentlichen Interesses gestanden hat, wurde nun nach dem Neustart des PlayStation Network und des Qriocity-Dienstes eine neue Sicherheitslücke publik. Diese betrifft die Internetseite, die für die Zurücksetzung der Passwörter für die Sony-Dienste genutzt wird. Es ist möglich gewesen, Passwörter allein mit der Kenntnis von E-Mail-Adresse und Geburtsdatum des berechtigten Account-Inhabers zu ändern. Die Möglichkeit der Änderung des Passworts eröffnet wiederum potentiellen Angreifern die Möglichkeit, alle weiteren Daten zu ändern und sich sonst zu eigen zu machen. Sony hat die Internetseite zur Passwortänderung umgehend offline gestellt.
18. Mai 2011
Wie schon im Beitrag vom 5.Mai 2011 berichtet, wurde in Indien am 13. April neue, sehr restriktive Bestimmungen für den Datenschutz vorgestellt, nachdem der Bereich des Schutzes persönlicher Daten dort für nahezu 100 Jahre unverändert blieb. Diese Neuerungen sind dabei insbesondere für Firmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, von Relevanz.
Auch wenn sich insoweit naturgemäß pauschal noch keine präzisen Maßnahmen empfehlen lassen, so sind hier zumindest erst einmal einige Tipps und Hinweise für Firmen, die aufgrund ihrer Kontakte und Beziehungen zu indischen Firmen von den neuen Regeln betroffen sein können
1. Überprüfung der aktuell bestehenden Datenschutzregeln und Maßnahmen
Untersuchung und Dokumentierung beispielsweise welche Daten bislang in Indien erhoben und gelagert werden oder welche opt-in oder opt-out Regelungen momentan zur Anwendung gelangen.
2. Einsetzen eines “Update-Teams”
Dieses Team ist für die Entwicklung und Umsetzung der nun erforderlich werdenden Maßnahmen verantwortlich. Je nach Größe der Firma können solche Mitglieder beispielsweise CIO, legal counsel, externe Berater oder bisher mit der Überwachung der Outsource- Tätigkeit befasste Personen sein.
3. Überprüfung des Kundenkontakts
Ergänzend zu 1. kann dies speziell für Firmen, die dort im Handelsbereich z.B. online-Handel tätig sind von Relevanz sein. Insbesondere im Hinblick auf telefonischen Kontakt und das schriftliche Einverständnis zu Sammlung personenbezogener Daten ist hier Vorsicht geboten.
4. Berücksichtigung der Arbeitnehmer
Auch die bei den betroffenen Firmen beschäftigten Arbeitnehmer sind zu berücksichtigen, da auch sie schließlich in nicht unerheblichem Ausmaß personenbezogene Daten zur Verfügung stellen. Insoweit ist zu prüfen, ob und in welchem Maße die neuen Regeln in diesem Bereich zu neuen Maßnahmen führen.
5. Abstimmung mit anderen Beteiligten
Auch andere Firmen können in verschiedener Form direkt oder mittelbar durch die neuen Bestimmungen betroffen sein. Zum einen ist eine Abstimmung im Hinblick auf Maßnahmen beispielsweise beim Outsourcing bestimmter Geschäftsfelder an weitere Firmen erforderlich, zum anderen kann z.B. auch die aktuelle Internetkommunikation mit dem entsprechenden Provider und seinen eventuell kollidierenden Bestimmungen betroffen sein und es können sich insoweit Konfliktfelder auftun.
15. Mai 2011
Nach dem im vergangenen Monat bei dem Hack des von dem Elektronikkonzern Sony weltweit betriebenen Playstation-Netzwerks bis zu 100 Mio. Daten von Nutzers des Netzwerks von unbekannten Tätern kopiert worden sind, sind nach Angaben des von Thomson Reuters betriebenen internationalen Legal-Services-Anbieters Westlaw vor US-Gerichten bereits mindestens 25 Sammelklagen gegen das Unternehmen eingereicht worden. Zudem ist auch das FBI sowie die New Yorker Staatsanwaltschaft an Ermittlungen gegen den Konzern beteiligt.
Ziel der Kläger ist es, gemeinsam eine Schadensersatzzahlung von dem Elektronik-Reisen zu erhalten. Die von Sony getroffenen Sicherheitsmaßnahmen zur Zugriffskontrolle seien ungenügend gewesen, heißt es in den eingereichten Klageschriften. Schwerpunkt der erhobenen Vorwürfe ist aber die Tatsache, dass Sony – nachdem die Täter nach eigenen Angaben des Unternehmens Zugriff auf bis zu 12,3 Mio. Kreditkarten Zugriff genommen haben – noch etwa eine Woche zugewartet habe, bevor der Vorfall öffentlich gemacht wurde. Bei einem schnelleren Handeln hätte der Schaden deutlich reduziert werden können.
Die Herausforderung für die Kläger in den bisher angestrengten (und noch zu erwartenden) Verfahren dürfte aber nach wie vor der Nachweis eines konkreten Schadens für die Betroffenen sein, nachdem erst im letzten Monat eine vergleichbare Sammelklage gegen RockYou, einen Entwickler von Applikationen für Facebook und andere soziale Netzwerke von den zuständigen Bundesrichtern in Oakland, Kalifornien, zurückgewiesen würde.
12. Mai 2011
Das Bundesverwaltungsgericht Zürich hat im März dieses Jahres entschieden, dass Google für seinen Online-Dienst Street View alle gezeigten Personen automatisch unkenntlich zu machen habe. Darüber hinaus sollen im Umkreis besonders sensibler Einrichtungen – z.B. Kranken- und Frauenhäusern, Gerichten, Schulen und Gefängnissen –nicht nur die Gesichter der abgebildeten Personen, sondern auch weitere individuelle Merkmale der Personen – beispielsweise die Hautfarbe oder Kleidung – verpixelt werden. Die Bevölkerung solle zudem über die Lokalpresse auf Kamerafahrten und das Freischalten von Bildern informiert werden. Google teilte nun mit, dass gegen dieses Urteil Beschwerde bei dem Bundesgericht in Lausanne eingelegt werde. Eine gänzliche Unkenntlichmachung sei schlichtweg technisch nicht realisierbar, die Forderungen zudem unverhältnismäßig. Sollte die Beschwerde keinen Erfolg haben, droht Google, den Online-Dienst für die Schweiz einzustellen.
10. Mai 2011
Auch die staatlichen Ermittlungsbehörden entdecken die Möglichkeiten von Social Networks, wie Facebook und XING und machen im Rahmen ihrer Ermittlungen zunehmend von dort verfügbaren Informationen Gebrauch.
Zur datenschutzrechtlichen Zulässigkeit eines derartigen Vorgehens und den sich hier für die Strafverfolgungsbehörden bietenden Möglichkeiten und Grenzen nimmt Rechtsanwalt Stephan Krämer von Kinast & Partner Rechtsanwälte innerhalb des Artikels „Polizei jagt Raser via Facebook“ auf RTL.de Stellung.
Am 09.05.2011 erfolgt die erste gesamtdeutsche Volkszählung. Die letzte Volkszählung der alten Bundesrepublik fand im Jahre 1987 statt und war Gegenstand des „Volkszählungsurteils“ des Bundesverfassungsgerichts, das erstmalig das Grundrecht auf informationelle Selbstbestimmung benannte.
Es wird nun ein neues Verfahren zur Volkszählung angewandt („registergestützter Zensus“): Die statistischen Ämter des Bundes und der Länder erheben in erster Linie registergestützt Daten. Es werden vorwiegend die bei den öffentlichen Registern der Verwaltung vorhandenen Daten der Einwohner verwendet. Es sollen aber auch rund 8 Millionen Einwohner per Zufallsprinzip ausgewählt und einer direkten Befragung unterzogen werden. Gefragt wird unter anderem nach Familienstand, Wohnsituation, Bildung/Schulabschluss, Erwerbstätigkeit und Migrationshintergrund. Darüber hinaus werden die Daten von Eigentümern von Immobilien und Menschen, die in Gemeinschaftsunterkünften leben, erhoben, verarbeitet und genutzt. Die zur Befragung Auserwählten sind nach dem Zensusgesetz, welches wiederum aufgrund einer Verordnung des Europäischen Parlaments und des Rates über Volks- und Wohnungszählungen vom 09.07.2008 erlassen worden ist, zur Auskunft verpflichtet.
Ein zentrales Ergebnis des Zensus 2011 soll die amtliche Einwohnerzahl sein, die wiederum für viele Entscheidungen und Planungsprozesse in Bund, Ländern und Gemeinden – beispielsweise für die Festlegung finanzieller Zuweisungen an die Kommunen, die Bestimmung des Länderfinanzausgleichs und die Festlegung von Wahlkreisen – herangezogen werden wird. Die Ergebnisse der Auswertungen werden für Herbst 2012 erwartet.
