Schlagwort: EU
16. November 2018
Nachdem sich die EU mit Großbritannien letztendlich auf einen Entwurfstext für ein Austrittsabkommen geeinigt haben, rückt der Austritt am 29. März 2019 immer näher. Demnach stellt sich die Frage wie sich der Datenschutz in Großbritannien gestalten wird.
EU und Großbritannien haben sich nun in 5 kurzen Artikeln verständigt, dass das europäische Datenschutzrecht während der Übergangsphase weiterhin im Wesentlichen gelten soll. In Artikel 71 (1) des Abkommens wird dabei zwischen den Daten, die bis zum Ablauf des Übereinkommens verarbeitet werden und solchen, die danach verarbeitet unterschieden. Bis zum Ende der Übergangsphase gilt weiterhin EU-Recht. In Artikel 71 (2) hat Großbritannien die Möglichkeit ein nationales Datenschutzgesetz zu beschließen und dafür einen Angemessenheitsbeschluss mit der EU auszuhandeln. Artikel 73 des Abkommens schreibt nieder, dass Daten aus Großbritannien wie Daten aus den Mitgliedsländern behandelt werden.
Spannend bleibt, ob dieses Übereinkommen überhaupt Wirkung entfalten wird, da das britische Parlament ein Strich durch diese Rechnung machen könnte.
Gesetzt den Fall es gäbe keinen Deal, würde es keinen Angemessenheitsbeschluss nach Art. 45 DSGVO geben. Großbritannien müsste demnach wie ein Drittland behandelt werden.
27. Juli 2018
Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der “umstrittene Privacy-Shield” zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.
Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden, welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.
Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.
6. Juli 2018
Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll. Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.
Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.
Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.
In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.
Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.
Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von “Machine Learning”, das sogenannte “Natural Language Processing”. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.
Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.
24. Mai 2018
International ist der Datenaustausch zwischen den Unternehmen schon seit 2016 möglich. In Deutschland war dieser jedoch noch nicht zulässig. Auf der Unterseite der WhatsApp Homepage ist jedoch nun zu erkennen, das WhatsApp unter anderem die Telefonnummer und Gerätedaten an Facebook weitergibt, was aus der aktuellen Datenschutzrichtlinie der App nicht ersichtlich ist.
2016 hat WhatsApp die Nutzungsbedingungen dahingehend geändert, dass Telefonnummern und weitere Informationen mit Facebook ausgetauscht werden, jedoch nicht zu Werbungszwecken.
Deutsche Datenschützer untersagten dies, wogegen Facebook geklagt hat und verlor. Das Verbot gilt aufgrund des neuen Gesetzes nicht mehr, nach DSGVO ist die Datenschutzbehörde in Irland nun zuständig.
Der hamburgische Datenschutzbeauftragte Johannes Caspar bezeichnete den Vorgang als “alarmierend” und als Verstoß gegen die DSGVO.
Das Oberverwaltungsgericht Hamburg hat Anfang März 2018, die Annahme Caspars bestätigt, wonach Facebook nicht massenhaft Daten seiner Tochterfirma WhatsApp für eigene Zwecke nutzen darf.
Facebook-Chef Mark Zuckerberg hatte an diesem Dienstag bei der Anhörung vor dem Europäischen Parlament die konkrete Frage nach der Weiterleitung der Daten nicht beantwortet.
7. Juni 2017
Der EU-Rat hat am vergangenen Donnerstag seinen Vorschlag für eine Verordnung für ein „Reiseinformations- und Genehmigungssystem“ veröffentlicht und so seine Zustimmung zu einem entsprechenden, von der EU-Kommission vorgeschlagenen, Meldesystem signalisiert.
Ab 2020 soll nach dem US-amerikanischen Vorbild ESTA das „EU Travel Information and Authorisation System“ (ETIAS) eingeführt werden. Über dieses sollen sich dann alle Personen, die visumfrei in die EU einreisen vorab online registrieren.
Abgefragt werden Angaben zur Identität, Reisedokument, Aufenthaltsort, Kontaktmöglichkeiten, infektiöse Krankheiten oder Ausbildung.
Der EU-Datenschutzbeauftragte Giovanni Buttarelli hatte bereits im März diesen Jahres eine Stellungnahme zu dem Verordnungsentwurf der Kommission veröffentlicht, in der er sich in vielerlei Hinsicht kritisch zu dem Vorhaben äußert. So bemängelt er unter anderem, dass die Kommission nicht die erforderliche Datenschutzfolgeabschätzung mitgeliefert hätte, zudem hält er die Art und den Umfang der abgefragten Daten für problematisch. So sei insbesondere der Zugriff auf Gesundheitsdaten von der Komission zu rechtfertigen. Darüber hinaus fehle laut Buttarelli eine Begründung für die Übermittlung der Daten an Strafverfolgungsbehörden wie Europol oder Interpol.
Der Entwurf des EU-Rats berücksichtigt die Stellungnahme sowie eine Studie, die die Effektivität und Verhältnismäßigkeit des Verordnungsentwurfs untersucht und einige der vorgesehenen Maßnahmen als unzureichend beurteilt.
Abzuwarten bleibt noch eine Stellungnahme des EU-Parlaments bevor eine einheitliche Fassung erarbeitet werden kann.
14. Juli 2016
Wie die EU-Kommission mitteilte, ist nun das neue Privacy Shield (EU-US-Datenschutzschild) in Kraft. Nach dem monatelangen Hin-und-Her gaben die US-Staatssekretärin Penny Pritzker und die EU-Kommissarin Vera Jourova nun den Angemessenheitsbeschluss der EU-Kommission sowie den Rahmen des Datenschutzschildes bekannt.
Diejenigen US-Unternehmen, die an dem Datenschutzschild teilnehmen möchten, müssen bestimmte Regeln zum Schutzniveau der Datenverarbeitung einhalten und können sich in eine entsprechende Liste beim US-Handelsministerium eintragen lassen. Die Liste soll regelmäßig überprüft und aktualisiert weden.
Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden auf Gründe der Strafverfolgung oder der nationalen Sicherheit beschränkt und nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sei.
Von dem Datenschutzschild sollen nicht nur die Unternehmen auf beiden Seiten des Atlantiks profitieren, sondern auch die EU-Bürger. Für sie soll es mehr Beschwerde- und Auskunftsrechte direkt in den USA geben. Hierfür wird die Kommission voraussichtlich im August einen kurzen Leitfaden für Bürger zur Erläuterung der Rechtsbehelfe veröffentlichen.
Nach der Einigung haben US-Unternehmen aktuell nun Gelegenheit, den Rahmen zu überprüfen und Anpassungen zur Einhaltung der Regeln in ihrem Unternehmen vorzunehmen. Ab dem 1. August können sie sich dann eine entsprechende Bescheinigung vom US-Handelsministerium ausstellen lassen.
Dass die Vorstellungen in Sachen Datenschutz von USA und EU mitunter weit auseinander gehen, war allen Beteiligten klar. Der nun vorliegende Angemessenheitsbeschluss ist jedoch ein wichtiger Schritt zu mehr Rechtssicherheit für alle EU-Unternehmen, die Daten mit US-Unternehmen austauschen und für die seit dem Wegfall von Safe-Harbour Ende 2015 große Unsicherheit herrschte.
29. Juni 2016
Das Privacy Shield, der Nachfolger des im Oktober 2015 für ungültig erklärten Safe Harbours, kommt nun vielleicht doch schneller als gedacht.
Nach Berichten von ZEIT Online und der BBC haben sich die EU-Kommission und die US-Regierung nun endgültig geeinigt. Da jedoch kurz darauf die Entscheidung über den Brexit bekannt gegeben wurde, ging die Meldung bisher unter.
Auch wenn schon im Februar eine Einigung über das Privacy Shield bekannt gegeben wurde, so musste die EU-Kommission auf Grund der Vielzahl der Kritiken noch einmal nachbessern.
Dies ist angeblich nun geschehen, auch wenn ein Entwurf bisher nur dem Artikel-31-Ausschuss vorliegt. Ob die wesentlichen Kritikpunkte, wie die massenhafte Speicherung und Überwachung der Daten durch US-Dienste, nun hinreichend geklärt sind, wird sich zeigen.
Für Unternehmen, die Daten in die USA übermitteln, sind dies spannende Zeiten, da die ersten Bußgelder wegen unzulässiger Datenübermittlugn in die USA bereits verhängt wurden.
18. März 2016
Stellt ein Unternehmen ein kostenloses, offenes WLAN-Netz zur Verfügung, so haftet dieses nicht für durch Nutzer begangene Urheberrechtsverletzungen. Das ist der Tenor eines Gutachtens des Generalanwalts des Europäischen Gerichtshofs, welches am 16.3.2016 verkündet wurde.
Bisher ist es vor allem das Instrument der sogenannten Störerhaftung, das dem flächendeckenden, offenen Ausbau von öffentlichen WLAN-Netzen verhindert. Dabei haftet der Anbieter für Rechtsverstöße, welche ein Nutzer des bereitgestellten Netzwerks begeht, so zum Beispiel im Falle illegalen Downloads von Musik- oder Videodateien im Rahmen von urheberechtsgesetzlichen Haftungsnormen.
Nach Auffassung des Generalanwalts kann der Betreiber des WLAN-Netzes zwar zu einer Beendigung oder künftigen Verhinderung der Rechtsverletzung verpflichtet werden, soweit Nutzer wie beispielsweise Kunden eines Gastronomiebetriebs über dessen offenes Netz illegal Dateien downloaden. Der Betreiber eines kostenlosen WLAN-Netzes kann vom Rechteinhaber aber nicht verpflichtet werden, dieses stillzulegen, durch ein Passwort zu schützen oder die Kommunikationsvorgänge zu überwachen; auch Schadensersatzansprüche oder eine Geltendmachung der Mahn- und Gerichtskosten bestehen demnach gegen den Betreiber nicht.
Hintergrund des Gutachtens ist der Rechtstreit zwischen Sony und einem Geschäftsinhaber, der in seinem Betrieb ein für Kunden offenes WLAN anbietet. Über dieses wurde ein Musikwerk illegal heruntergeladen, für das Gericht glaubhaft aber nicht vom Betreiber selbst, sondern von einem anderen Nutzer. Das zuständige Landgericht München hatte den Europäischen Gerichtshof um Hilfe bei der Auslegung der Europäischen Richtlinie über den Elektronischen Rechtsverkehr dahingehend gebeten, ob diese auch auf Betriebe anzuwenden sei, die ein WLAN-Netz bloß im Rahmen einer anderen Hauptdienstleistung „nebenbei“ anbieten.
Der Auslegung des Generalanwalts muss der Europäische Gerichtshof zwar nicht folgen. Ein abweichendes Urteil wäre jedoch die Ausnahme.
11. Januar 2016
Die Europäische Bürgerbeauftragte ist der Ansicht, die Europäische Kommission habe einem deutschen Journalisten zu Unrecht den Zugang zu Dokumenten bezüglich der Überwachung durch britische Geheimdienste verwehrt. Im konkreten Fall hatte ein deutscher Journalist die Europäische Kommission um die Freigabe eines Briefes des Außenministers des Vereinigten Königreichs an die damalige Vizepräsidentin der Kommission und weiterer Dokumente gebeten. Die Europäische Kommission kam dem Antrag zum Teil nach, indem sie den Brief veröffentlichte. Die Freigabe der weiteren Dokumente verweigerte sie jedoch mit der Begründung, dass noch nicht abschließend geprüft sei, ob in der Massenüberwachung durch britische Geheimdienste ein Verstoß gegen das Datenschutzrecht des Einzelnen vorläge.
Der Europäische Bürgerbeauftragten zufolge dürfe der Zugang zu derartigen Dokumenten nicht ohne angemessene Begründung abgelehnt werden. Eine solche Begründung, die eine Ablehnung gerechtfertigt hätte, sei hier nicht erfolgt. Die Europäische Kommission habe ihre Untersuchungen in dieser Angelegenheit offenbar seit 2013 nicht fortgesetzt. Die Europäische Bürgerbeauftragte sieht darin – angesichts der Relevanz dieses Themas für europäische Bürger – einen Missstand in der administrativen Tätigkeit der Kommission.
7. Oktober 2015
Nach der Entscheidung des EuGH vom 06. Oktober 2015 über die Gültigkeit des Safe-Harbor-Abkommens haben sich einzelne nationale Datenschutzbehörden zu möglichen Konsequenzen geäußert, die teilweise unterschiedlich bewertet werden. In Rede steht die Aussetzung des Datentranfers in die Vereinigten Staaten, aber auch die fortbestehende Rechtmäßigkeit einer Datenübermittlung im Rahmen von Standardvertragsklauseln oder verbindlichen Unternehmensvereinbarungen.
Die Artikel 29-Datenschutzgruppe hat in der Pressemitteilung vom 06. Oktober 2015 die Safe-Harbor-Entscheidung des EuGH ausdrücklich begrüßt. Sie teilte zudem mit, bereits in der folgenden Woche das Urteil in einer Expertenrunde zu analysieren und die Folgen für den Datentransfer in die Vereinigten Staaten zu diskutieren. Ein Termin für eine außerordentliche Plenarsitzung folge in Kürze.
Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass die Aufsichtsbehörden bei der Umsetzung des Urteils eine Schlüsselrolle einnehmen werden. Dabei sei zu prüfen, ob Datentransfers in die Vereinigten Staaten auszusetzen seien. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt würden. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits müsse die USA drängen, ein angemessenes Datenschutzniveau herzustellen.
Zustimmend äußerte sich zudem die britische Datenschutzbehörde ICO. Sie werde die Folgen des Urteils analysieren und in den kommenden Wochen bekanntgeben. Bereits jetzt erkennbare Folgen für die Praxis:
- Personenbezogene Daten seien nun nicht verstärkt gefährdet, jedoch seien Unternehmen jetzt verpflichtet sicherzustellen, dass Daten mit dem europäischen Datenschutzrecht konform übermittelt werden.
- Der Datenschutzbehörde sei dabei bewusst, dass den Unternehmen ein gewisser Zeitraum für Erfüllung dieser Pflichten eingeräumt werden müsse.
- Es bestünden bereits jetzt Möglichkeiten für eine rechtskonforme Übertragung.
- Verhandlungen über den Abschluss eines neuen Abkommens zwischen der EU und den Vereinigten Staaten seinen bereits fortgeschritten.
- Die Folgen des Urteils werden durch die ICO analysiert und Ergebnisse in den kommenden Wochen bekanntgegeben.
Die spanische Agencia Española de Protección de Datos – AEPD führt in ihrer Pressemitteilung zu der Entscheidung aus:
Bisher hat die AEPD internationale Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtlich anerkannt. Diese Unternehmen hatten demnach das Privileg, dass bei einer Meldung eines Systems an die zuständige Behörde keine weitere Genehmigung durch die Datenschutzbehörde erfoderlich war um die Übermittlung datenschutzkonform durchzuführen.
Jetzt hat die Datenschutzbehörde im Einzelfall zu prüfen, ob die Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtmäßig sind.
Die Europäischen Datenschutzbehörden hätten bereits in der Vergangenheit auf Mängel des Safe Harbor Abkommens aufmerksam gemacht. Nun arbeiteten sie zusammen, um koordinierte Maßnahmen bezüglich des EuGH-Urteils herbeizuführen, damit es gleichmäßig in allen EU Mitgliedstaaten interpretiert und umgesetzt werde.