Schlagwort: EDSB

Europäischer Datenschutzbeauftragter schließt Rahmenvertrag für Nutzung von Nextcloud und LibreOffice in EU-Institutionen

28. Februar 2023

Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.

Datenschutzkonforme Gesamtlösung für EU-Einrichtungen

Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.

Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern

Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.

Alternative zu Microsoft und co.

Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.

Vorbild für den nichtöffentlichen Bereich?

Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.

Erweiterung der Verordnung über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit innerhalb der EU sorgt für Kritik

16. März 2022

Anfang März veröffentlichte der Europäische Datenschutzbeauftrage (EDSB) Wojciech Wiewiórowski eine Stellungnahme zu dem Vorschlag der EU-Kommission für eine Verordnung über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit (“Prüm II”). Eine zweite Stellungnahme wurde bezüglich des Vorschlags für eine Richtlinie über den Informationsaustausch zwischen den Strafverfolgungsbehörden der Mitgliedstaaten veröffentlicht.

Ziel der Vorschläge für die polizeiliche Zusammenarbeit ist es, die Zusammenarbeit der Strafverfolgungsbehörden und insbesondere den Informationsaustausch zwischen den für die Verhütung, Aufdeckung und Untersuchung von Straftaten zuständigen Behörden zu verbessern. Zu diesem Zweck legt der Vorschlag für die “Prüm II”-Verordnung die Bedingungen und Verfahren für den automatisierten Abruf von DNA-Profilen, Fingerabdrücken, Gesichtsbildern, polizeilichen Aufzeichnungen und Fahrzeugregisterdaten fest. Der Vorschlag für die Richtlinie über den Informationsaustausch zielt darauf ab, den Zugang der Strafverfolgungsbehörden zu Informationen anderer Mitgliedstaaten zu erleichtern.

In Bezug auf den Vorschlag für die “Prüm-II-Verordnung” betont Wiewiórowski, dass wesentliche Elemente in Bezug auf seinen sachlichen und persönlichen Anwendungsbereich fehlen, wie z. B. die Arten von Straftaten, die eine Abfrage rechtfertigen können, und die Kategorien von betroffenen Personen. Insbesondere solle der automatisierte Abruf von DNA-Profilen und Gesichtsbildern nur im Zusammenhang mit einzelnen Ermittlungen bei schweren Straftaten möglich sein und nicht bei jeder Straftat, wie im Vorschlag vorgesehen. Darüber hinaus ist der EDSB nicht von der Notwendigkeit des vorgeschlagenen automatisierten Abrufs und Austauschs von Daten aus polizeilichen Aufzeichnungen überzeugt und unterstreicht, dass strenge Sicherheitsvorkehrungen erforderlich sind, um die Risiken für die Datenqualität anzugehen.

In Bezug auf den Vorschlag für die Richtlinie über den Informationsaustausch unterstreicht Wiewiórowski die Notwendigkeit, den persönlichen Anwendungsbereich der Maßnahme klar zu definieren und auf jeden Fall die Kategorien personenbezogener Daten über Zeugen und Opfer zu begrenzen. Er äußert ferner Bedenken hinsichtlich der Dauer der Datenspeicherung in den Fallverwaltungssystemen der Behörden.

Die polizeiliche Zusammenarbeit in den Mitgliedstaaten sei laut Wiewiórowski “ein wichtiges Element eines gut funktionierenden Raums der Freiheit, der Sicherheit und des Rechts”. Sie dürfe allerdings nicht “als Nebeneffekt zur Schaffung neuer großer zentralisierter Datenbanken führen”.

Corona-Testseite des EU-Parlaments nicht datenschutzkonform

11. Januar 2022

Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.

Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation “noyb (None of Your Business)” um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.

Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.

Die Beschwerdegründe stellen einen Verstoß gegen die “DSGVO für EU-Institutionen” fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.

Europäischer Datenschutzbeauftragter leitet nach dem “Schrems II-Urteil” Untersuchungen bei EU-Institutionen ein

27. Mai 2021

Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.

Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.

Der EDSB, Wojciech Wiewiórowski, sagte: “Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“

Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.

Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.

Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.

EDSB: Jahresbericht 2011 veröffentlicht

26. Juni 2012

Der Europäische Datenschutzbeauftragte Peter Hustinx (EDSB) hat seinen Jahresbericht für 2011 (Annual Report 2011) veröffentlicht. Danach ist die Zahl der abgegebenen Stellungnahmen sowie die Zahl der von Behörden und Unternehmen zur Beurteilung eingereichten Maßnahmen stark gestiegen und hat ein Rekordniveau erreicht. Besonders “kritische” Stellungnahmen seien bezüglich der Richtlinie zur Vorratsdatenspeicherung und dem Vorschlag für einen Rahmenbeschluss über die Verwendung von Fluggastdaten zu Strafverfolgungszwecken abgegeben worden. Auch die Zahl der eingegangenen Beschwerden habe mit insgesamt 107 einen Höchststand erreicht, wenngleich diese vorwiegend nationale Themenbereiche tangiert haben sollen und deswegen unzulässig eingestuft worden seien.

2011 war ein sehr produktives Jahr, ganz im Einklang mit unseren Bemühungen, einen kohärenten und wirksamen Schutz der Privatsphäre und personenbezogener Daten in einer sich schnell verändernden, vernetzten Welt zu gewährleisten. Es ist wichtig, dass die EU-Verwaltung in ihrer Unterstützung technischer Fortschritte und wirtschaftlicher Entwicklung, besonders in einer Zeit der Sparpolitik, das Recht europäischer Bürgerinnen und Bürger auf den Schutz der Privatsphäre und Datenschutz nicht aus den Augen verliert. Nur eine gemeinsame Anstrengung, einen kohärenten und wirksamen Ansatz anzuwenden, wird dieses Grundrecht aufrechterhalten.”, kommentierte Hustinx.

Kategorien: Allgemein
Schlagwörter: ,

Arbeitsschwerpunkte des Europäischen Datenschutzbeauftragten für das Jahr 2012

12. Januar 2012

Der Europäische Datenschutzbeauftragte, Peter Hustinx, hat im Rahmen einer Pressemitteilung die Schlüsselthemen des Jahres 2012 benannt. Folgenden Komplexen will er demzufolge besondere Aufmerksamkeit widmen:

  1. Der Überarbeitung des EU-Rechtsrahmens für den Datenschutz
  2. Den technologischen Entwicklungen rund um die Digitale Agenda, Rechte des geistigen Eigentums und Internet
    • Gesamteuropäische Rahmenbedingungen für die elektronische Identifizierung, Authentifizierung und Signatur
    • Internet-Überwachung (z. B. Durchsetzung der Rechte am geistigen Eigentum, Verfahren zur Entfernung von Inhalten, sog. Takedown-Verfahren)
    • Dienstleistungen im Bereich Cloud Computing
    • eGesundheit
  3. Der Weiterentwicklung des Raums der Freiheit, der Sicherheit und des Rechts
    • EU-PNR (Fluggastdatensätze)
    • EU-TFTS (Europäisches System zum Aufspüren der Terrorismusfinanzierung)
    • Grenzkontrollen
    • Überarbeitung der Richtlinie zur Vorratsdatenspeicherung
    • Verhandlungen über Abkommen mit Drittländern über den Datenschutz
  4. Der Reform des Finanzsektors
    • Regulierung und Aufsicht der Finanzmärkte und Akteuree

Hustinx betont, dass diese Liste nicht abschließend sei. Für den interessierten Leser ist die Gesamtagenda Hustinx’ mit farbkodierter Einschätzung der Wichtigkeit der Themen online abrufbar. (se)

Kategorien: Allgemein
Schlagwörter:

Fluggastdatenabkommen EU-USA meistern weitere Hürde – Datenschützer protestieren weiterhin

14. Dezember 2011

Nachdem wir bereits vor Kurzem über den Streit bezüglich des “Drückens” und “Ziehens” beim geplanten Fluggastdatenabkammen (PNR-Abkommen) zwischen der EU und den USA berichtet haben, hat das umstrittene Abkommen eine weitere Hürde genommen: So haben die Innen- und Justizminister der jeweiligen Nationalstaaten im Rat der Europäischen Union am gestrigen Dienstag grünes Licht für das umstrittene Abkommen gegeben. Österreich, Deutschland und Frankreich haben sich dabei ihrer Stimme enthalten.

Auch wenn die Verabschiedung des Abkommens damit wieder einen Schritt näher gerückt ist, verstummt die Kritik der Datenschützer nicht. Ebenfalls am gestrigen Dienstag äußerte sich der europäische Datenschutzbeauftragte, Peter Hustinx, kritisch gegenüber dem Regelwerk. Die von ihm vorgetragenen Bedenken decken sich dabei im Wesentlichen mit den bereits zuvor geäußerten Einwänden:

  • Die 15-jährige Aufbewahrungsfrist sei übertrieben: Daten sollten sofort nach deren Analyse oder nach maximal 6 Monaten gelöscht werden.
  • Auch die Zweckbindung sei zu weit gefasst. Fluggastdatensätze sollten nur verwendet werden, um Terrorismus oder eine gut definierte Liste von schweren grenzüberschreitenden Verbrechen zu bekämpfen.
  • Die Liste der Daten, die übermittelt werden sollen, sei unverhältnismäßig und sollte daher begrenzt werden.
  • Es dürfe keine Ausnahmen zur “Push”-Methode geben.
  • Es müsste für jeden Bürger ein Recht auf effektiven gerichtlichen Rechtsschutz vereinbart werden.
  • Die Daten sollten nach Ansicht Hustinx’ nur an andere US-Behörden oder an Drittländer übermittelt werden dürfen, wenn diese ein gleichwertiges Schutzniveau gewährleisten könnten.

(se)

EDSB fordert Einhaltung der Garantien für verhaltensorientierte Werbung im Internet

21. Juli 2011

Der Europäische Datenschutzbeauftragte Peter Hustinx (EDSB) hat die Europäische Kommission im Rahmen eines Vortrags über die Auswirkungen verhaltensorientierter Werbung (sog. Online Behavioural Advertising) öffentlich aufgefordert, die Einhaltung des Artikels 5 (3) der Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation bei der verhaltensorientierten Werbung im Internet systematisch sicherzustellen. Die Beobachtung und Verfolgung des Online-Konsumverhaltens sei eine sehr zudringliche Praxis, die strengen Anforderungen zu unterstellen sei, so der EDSB.

Während bis 2009 nach Artikel 5 (3) der Richtlinie lediglich gefordert wurde, dass der Nutzer das Recht zur Verweigerung des Online-Tracking habe (Opt-Out), sieht die Richtlinie in ihrer überarbeiteten Neufassung vor, dass der Nutzer nach Erhalt einer hinreichend transparenten Belehrung in die Speicherung von Informationen (z.B. Cookies für Zwecke des Online-Tracking) aktiv eingewilligt hat. Dieses Einwilligungserfordernis werde von den Vertretern der Online-Werbewirtschaft bislang nicht hinreichend berücksichtigt. Kritisch sei ferner, dass bislang nur wenige Mitgliedsstaaten der Umsetzungsverpflichtung der neugefassten Richtlinie bis zum 25.05.2011 nachgekommen sind.

Kategorien: Allgemein
Schlagwörter: ,