Schlagwort: EU-Datenschutz-Grundverordnung

Bundesregierung einigt sich auf Gesetzesentwurf für Novellierung des BDSG

2. Februar 2017

Das Bundeskabinett hat sich auf einen Gesetzesentwurf einigen können, mit dem sie das Bundesdatenschutzgesetz an die EU-Datenschutzverordnung für die Wirtschaft und Teile des öffentlichen Sektors sowie die zugehörige Richtlinie für Justiz- und Sicherheitsbehörden anpassen will.

Während Bundesinnenminister Thomas de Maizère von einem „großen Schritt zur Angleichung der Datenschutzregelungen in Europa und damit zu einem harmonisierten digitalen Binnenmarkt“ sprach, steht das geplante Gesetz zur Umsetzung der EU-Datenschutz-Grundverordnung weiter in der Kritik von Datenschützern und Rechtsexperten.

Die Datenschutzbeauftragte Andrea Voßhoff (CDU) kritisierte, dass mit dem Gesetzesentwurf die Kontrollrechte der Datenschutzbehörden wie auch die Rechte von Betroffenen auf Auskunft und Widerspruch eingeschränkt würden und sieht daher noch zahlreichen Anpassungsbedarf. Die geplanten Regelungen beschränken so die Befugnisse ihrer Behörde.

Der Innenexperte der Grünen Jan-Philipp Albrecht beklagt, dass durch das geplante Gesetz einige Regelungen der EU-Datenschutzgrundverordnung „nicht sehr intelligent“ übertragen werden. Der Abschreckungseffekt der Verordnung durch vorgesehene Geldbußen von bis zu vier Prozent des Jahresumsatzes eines Konzerns ginge so zum Beispiel verloren. Er erwartet, dass das Gesetz rasch zur Überprüfung vorm Europäischen Gerichtshof landet, wenn der Entwurf ohne Änderungen verabschiedet würde.

Vor der Verabschiedung geht der Gesetzesentwurf nun zur weiteren Beratung in Bundesrat und Bundestag.

EU-Datenschutzgrundverordung in Kraft getreten

9. Juni 2016

Lange wurde an den Einzelheiten gearbeitet und über die konkrete Ausgestaltung debattiert, seit dem 25. Mai 2016 ist es nun amtlich: Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist in Kraft getreten. Damit liegt ein Meilenstein in der Reformierung des europäischen Datenschutzrechts vor, dem ein mehrjähriger Prozess zur Vereinheitlichung vorausging. Darüber hinaus trat ebenso eine neue Richtlinie zum Datenschutz in Polizei und Justiz in Kraft.

Nunmehr gilt es innerhalb von zwei Jahren die entsprechenden Vorbereitungen zu treffen, um für das Wirksamwerden der EU-DSGVO vorbereitet zu sein. Dabei bleibt jedoch vorerst noch die Ungewissheit, inwiefern die nationelen Institutionenen von den in der EU-DSGVO beinhalteten Öffnungsklauseln zur Präzisierung des Datenschutzrechts Gebrauch machen werden.

EU-Parlament verabschiedet Datenschutzgrundverordnung

15. April 2016

EU-Parlament verabschiedet Datenschutzgrundverordnung

Diesen Donnerstag hat das Parlament der Europäischen Union die Datenschutzgrundverordnung verabschiedet. Damit endet nach über vier Jahren der Gesetzgebungsprozess. Die Datenschutzgrundverordnung ersetzt die seit 1995 geltende EU-Datenschutz-Richtlinie.

Die Mitgliedsstaaten haben nun zwei Jahre lang Zeit die EU-Datenschutzgrundverordnung in nationales Recht zu integrieren. Im Unterschied zu der bislang geltenden Datenschutz-Richtlinie, die den Mitgliedsstaaten lediglich umzusetzende Mindeststandards vorschreibt, werden durch die Grundverordnung ab 2018 europaweit einheitliche Standards gelten.

Wie bereits auf datenschutzticker.de berichtet, sollen durch die Grundverordnung zum einen die Rechte der EU-Bürger gestärkt und Rechtsklarheit und -sicherheit für Unternehmen hergestellt werden, die Daten von Europäern verarbeiten und nutzen.

EU-Datenschutzgrundverordnung kommt einen Schritt näher

16. Dezember 2015

Das europäische Parlament und der Rat der Europäischen Union haben am 15.12.2015 ihre Verhandlungen bezüglich des Entwurfs der EU-Datenschutzgrundverordnung beendet. Die Verordnung liegt nach der letzten Trilog-Runde noch nicht in der finalen vollständigen Fassung vor. Das EU-Parlament sowie die EU-Kommission haben bereits wesentliche Inhalte der Verordnung in Pressemitteilungen veröffentlicht. Zurzeit steht die Verabschiedung des Entwurfs durch den LIBE-Ausschuss aus. Dieser ist für Donnerstag, den 17.12.2015 in Strasbourg geplant. Aller Voraussicht nach wird die EU-Datenschutzgrundverordnung ab Anfang 2018 europaweit gelten.

Die EU-Datenschutzgrundverordnung wird die EU-Datenschutz-Richtlinie aus dem Jahr 1995 ablösen und damit europaweit dieselben Datenschutz-Standards einführen. Die Verordnung bezweckt einerseits, dass die von der Datenverarbeitung betroffenen Europäer ihre personenbezogenen Daten kontrollieren können. Gleichzeitig soll für Industrie und Wirtschaft Rechtssicherheit geschaffen werden.

Eine wesentliche Neuerung der Verordnung wird die Höhe der Sanktionen bei Datenschutzverstößen sein. Diese kann bis zu 4% des Jahresumsatzes der verantwortlichen Stelle betragen. Außerdem wird die Datenverarbeitung und -nutzung für verantwortlichen Stellen nur zu dem Zweck zulässig sein, für welchen der Betroffene seine ausdrückliche Einwilligung erklärt hat. Der Zweckbindungsgrundsatz, der im Bundesdatenschutzgesetz bereits verankert ist, wird mit in Krafttreten der Verordnung nicht mehr nur in Deutschland gelten.

Weiterhin wird die Bestellung eines Datenschutzbeauftragten für Unternehmen verpflichtend, die entweder besonders sensible Daten verarbeiten oder personenbezogene Daten von besonders vielen Betroffenen erheben. Die Verordnung wird eine Öffnungsklausel enthalten, die es den Mitgliedsländern ermöglicht, in ihrem Zuständigkeitsbereich auch eine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten festzulegen. Deutschland hat bereits angekündigt, hiervon Gebrauch machen zu machen und die bestehende nationale Regelung aufrechtzuerhalten.

Hinsichtlich des Schutzes von personenbezogenen Daten Minderjähriger konnten das europäische Parlament und der Rat der Europäischen Union sich nicht einigen. Unter welchen Voraussetzungen Kinder und Jugendliche – insbesondere in Sozialen Netzwerken wie Facebook oder Instagram – eine wirksame Einwilligung abgeben können, bleibt daher eine Angelegenheit, welche die Mitgliedsstaaten individuell regeln können.

Zeitgleich mit der Einführung der EU-Datenschutzgrundverordnung werden die Rechte der Europäer bei der Datennutzung und -verarbeitung durch Behörden verstärkt. Außerdem wird der Datenaustausch zwischen den verschiedenen nationalen Behörden zum Zwecke der Strafverfolgung und justiziellen Zusammenarbeit vereinfacht.

Sofern der LIBE-Ausschuss in dieser Woche dem Entwurf zustimmt, wird zu Beginn des nächsten Jahres das Europäische Parlament über die finale Fassung abstimmen. Die Mitgliedsstaaten haben dann 2 Jahre Zeit, die Verordnung in ihr jeweils national geltende Recht umzusetzen.

Update vom 17.12.2015:

In seiner heutigen Sitzung hat der LIBE-Ausschuss wie erwartet den vorgenannten Entwurf gebilligt. Am kommenden Montag, den 21.12.2015, wird dazu eine Pressekonferenz stattfinden.

EU-Datenschutz-Grundverordnung könnte für deutsche Unternehmen teuer werden

4. Mai 2015

Einem Bericht der Süddeutschen Zeitung zufolge, könnten die – sich immer noch in der Erarbeitung der EU-Gremien befindlichen – Grundsätze der europäischen Datenschutz-Grundverordnung die deutschen Unternehmen Milliarden kosten. Dies gehe aus einer Schätzung des Statistischen Bundesamtes hervor, die der Zeitung vorliegen. Allein um den umfassenden Informationspflichten nachzukommen, müssten die Unternehmen im ersten Jahr mit einem Kostenaufwand in Höhe von 1,5 Milliarden Euro planen. Für die weiteren Jahre nach der Umstellung komme noch einmal eine Milliarden Euro pro Jahr hinzu. Diese massiven Kosten hätten auch das Bundesinnenministerium aufhorchen lassen, das die Schätzung in Auftrag geben lassen habe, so die Süddeutsche. Das Ministerium habe verlauten lassen, dass dies Zahlen seien, die man sich ansehen müsse. Es müsse eine Balance zwischen Datenschutz und Wirtschaft gefunden werden.

Darüber hinaus könne es zu größeren Belastungen für kleinere Unternehmen kommen, da die Vorschläge aus Brüssel zur Grundverordnung nicht zwischen großen Firmen und Kleinunternehmen unterscheiden. Die Bundesregierung sei sich dieser Schieflage bewusst und wolle daher dazu beitragen, dass die Situation von Kleinunternehmen mit bis zu zehn Mitarbeitern verbessert werde. So sei es denkbar, dass die Unternehmen keiner automatischen Informationspflicht in Form der Herausgabe der gesammelten Daten an die Nutzer nachkommen, sondern sie erst dann aktiv werden müssten, wenn sie vom Nutzer darum gebeten werden würden. Ob diese Ausnahme durchgesetzt werden könne, sei aber fraglich.

Die vom Statistischen Bundesamt geschätzten Mehrkosten basieren jedoch lediglich auf vier von insgesamt 30 Artikeln. Es sei durchaus möglich, dass auch noch weitere Artikel zu finanziellen Belastungen führen könnten, so das Innenministerium.

Einkaufen mit der Kreditkarte verrät Identität des Nutzers

4. Februar 2015

Eine aktuelle Studie mit dem Titel „Einzigartig im Shoppingcenter: Zur Wiedererkennung mit Metadaten aus Kreditkarteninformationen“ des Massachusetts Institute of Technology (MIT) in Cambridge und der dänischen Aarhus Universität macht deutlich, dass nur wenige Daten bei Kreditkartenzahlungen ausreichen, um fast jeden erkennbar zu machen.

Die Ergebnisse dieser Studie, für die Kreditkartendaten von 1,1 Millionen Nutzern aus 10.000 Geschäften untersucht wurden, ist nun im Wissenschaftsmagazin „Science“ veröffentlicht worden. Personenbezogene Daten wie Name, Kreditkarten- und Kontonummer wurden entfernt, es stand den Forschern lediglich ein Zeitstempel mit einer Genauigkeit von einem Tag, der Name und Ort des jeweiligen Geschäftes und der gezahlte Betrag zum Zwecke der Identifizierung zur Verfügung. Allein anhand dieser Daten konnten sie bis zu 90 % der an der Studie teilnehmenden Personen identifizieren und bewiesen damit, wie wenige Daten tatsächlich nötig sind, um Personen ausfindig zu machen: Ihr Einkaufsmuster, ermittelt anhand von nur vier Datenpunkten, verrät so viel Individualität, dass die jeweiligen Personen und damit prinzipiell auch alle weiteren Kreditkartendaten zu ermitteln sind.

Als Fazit der Studie wird festgehalten, dass die heute üblichen Methoden zur Anonymisierung von Datensätzen keinen ausreichenden Schutz für die Sicherung der Anonymität mehr bieten. Es müssten mithin Regeln für die Veröffentlichung von Datensätzen gefunden werden, die sicherstellen, dass die Menschen nicht zweifelsfrei identifizierbar sind. Ob die Pseudonymisierung von Datensätzen hier der richtige Weg ist, wird zur Zeit auch bei den Verhandlungen über die neue EU-Datenschutz-Grundverordnung diskutiert.

EU-Datenschutz-Grundverordnung: Direktmarketing mit personenbezogenen Daten legitim

29. Dezember 2014

In einem noch als vertraulich eingestuften, dennoch aber veröffentlichten Papier hat Medienberichten zufolge die italienische EU-Ratspräsidentschaft erstmals den Stand der Beratungen zur EU-Datenschutz-Grundverordnung zusammengefasst. Danach steht die Verarbeitung personenbezogener Daten für das Direktmarketing im Einklang mit der Verordnung. Man gehe davon aus, dass eine derartige Informationsnutzung in dem „legitimen Interesse“ der datenverarbeitenden Stelle erfolge. Laut Beratungsstand müsse sich künftig jeder, der nicht mit personalisierter Werbung bedacht werden möchte, ausdrücklich und gezielt dagegen aussprechen (Opt-Out). Für ein solches Opt-Out soll den Werbeempfängern ein eigenes Recht zugestanden werden, das u.a. beinhaltet, dass der Widerspruch kostenlos, einfach und effektiv erfolgen müsse.

Die geplante Regelung soll für Rechtsklarheit in der Werbewirtschaft sorgen. Moniert wurde seitens der Wirtschaft, dass nicht eindeutig sei, wann ein Opt-In des Nutzers erforderlich ist. Ob mit der Umsetzung der Regelung auch Verbraucher- und Datenschützer zufrieden gestellt werden können, ist mehr als zweifelhaft. Diese fordern für das Direktmarketing, dass der potentielle Werbeempfänger sich explizit einverstanden erklärt, Werbung zu erhalten, also ein Opt-In.