Schlagwort: Europäische Kommission

Datenschutz-Ausnahme zum Wohl von Kindern

7. Juli 2021

Im Internet kursieren immer mehr Bilder von sexuellem Missbrauch von Kindern. Bis zum 21.12.2020 konnten Online-Anbieter Nachrichten nach Hinweisen auf Kindesmissbrauch filtern, die in Mail- oder Messengerdiensten verschickt wurden. Dies wurde dann an nationale Behörden gemeldet und die entsprechenden Inhalte aus dem Netz entfernt.

Dann trat jedoch ein neuer EU-Kodex für elektronische Kommunikation in Kraft, der dieses Filtern verbietet. Seitdem haben die Online-Anbieter darauf verzichtet, um nicht Gefahr zu laufen, dagegen zu verstoßen. Nun hat das Europaparlament jedoch einer Vereinbarung zugestimmt, die Anbietern das Scannen wieder ermöglicht. Es ist bislang eine Übergangslösung mit einer Frist von drei Jahren.

Einige Datenschützer sind der Ansicht, der Kompromiss greife zu weit in die Vertraulichkeit der Kommunikation ein. Gleichwohl wird diese gefundene Lösung überwiegend als Kompromiss zwischen Datenschutz und Kindeswohl betrachtet. EU-Innenkommissarin Johansson betont die Schutzmechanismen wie menschliche Aufsicht und Überprüfbarkeit. Zudem sei nur das erlaubt worden, was unbedingt nötig sei. Kinderrechtsorganisationen sehen ein Gleichgewicht zwischen Kinderschutz und Datenschutz.

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel („sunset clause“) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.

Europäischer Datenschutzbeauftragter leitet nach dem „Schrems II-Urteil“ Untersuchungen bei EU-Institutionen ein

27. Mai 2021

Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.

Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.

Der EDSB, Wojciech Wiewiórowski, sagte: „Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“

Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.

Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.

Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.

Freier Datenverkehr zwischen Südkorea und der EU

1. April 2021

EU-Justizkommissar Didier Reynders und der Vorsitzende der Kommission für den Schutz personenbezogener Daten Yoon Jong In haben den erfolgreichen Abschluss der Angemessenheitsgespräche bekannt gegeben. Die Gespräche begannen bereits 2017. Beim Thema Datenschutz herrsche ein hohes Maß an Übereinstimmung zwischen der EU und der Republik Korea. Beide Seiten einigten sich auf einige zusätzliche Garantien, um das Schutzniveau in Südkorea noch einmal zu stärken. Zuvor wurden im südkoreanischen Datenschutzgesetz entscheidende Änderungen beschlossen, u.a. eine Stärkung der Ermittlungs- und Durchsetzungsbefugnisse der PIPC, der unabhängigen Datenschutzbehörde der Republik Korea.

Bis es zum freien Datenfluss kommen kann, muss die EU-Kommission das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten. In diesem Verfahren muss der Europäische Datenschutzausschuss eine Stellungnahme abgeben und ein Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, zustimmen. Anschließend stellt sie die Angemessenheit fest.

Die EU-Kommission kann gemäß Art. 45 Abs. 3 DSGVO beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, also der Schutz personenbezogener Daten im Wesentlichen mit dem in der EU vergleichbar ist. Auf Grundlage dieser Angemessenheitsbeschlüsse dürfen personenbezogene Daten aus der EU in das Drittland übermittelt werden, ohne das weitere Schutzmaßnahmen ergriffen werden müssen. Südkorea wird das 13. Land sein, in das personenbezogene Daten auf der Grundlage eines Angemessenheitsbeschlusses übermittelt werden dürfen.

Vereinigtes Königreich ist ab 30.03.2019 ein Drittland

12. Januar 2018

Die Europäische Kommission verkündete in einer Mitteilung vom 09.01.2018, dass das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) einzustufen ist. Durch den „Brexit“ wird das Primär- und Sekundärrecht der Europäischen Union zu diesem Datum nicht mehr anwendbar sein. Großbritannien und Nordirland sind datenschutzrechtlich damit so zu behandeln wie die USA, Russland oder China.

Während die Einstufung als Drittland als Konsequenz des Ausstiegs des Vereinigten Königreichs aus der EU noch zu erwarten war, vermag die Aussage der Kommission jene Beobachter zu enttäuschen, die auf eine Anerkennung des Datenschutzniveaus im Vereinigten Königreich hofften. Immerhin gilt die DSGVO dort bis zum Austritt aus der EU. Eine automatische Anerkennung des Schutzniveaus gibt es jedoch nicht.

Was bedeutet es für die Praxis, wenn Daten nach dem Stichtag in das Vereinigte Königreich übermittelt werden sollen? Mangels Angemessenheitsbeschluss der Kommission sind die Instrumente des Art. 46 DSGVO anzuwenden. Verantwortliche und Autragsverarbeiter werden wohl vorrangig auf EU-Standardvertragsklauseln zurückgreifen. Weiter könnten genehmigte Verhaltensregeln („Code of Conduct“) und Zertifizierungsmechanismen als Übermittlungsgrundlage dienen.

Unternehmen in der EU sollten sich also frühzeitig um die rechtssichere Ausgestaltung ihrer Datentransfers in das Vereinigte Königreich bemühen.

Datenschutzreform: Europäischer Ministerrat streitet um die Ausgestaltung der Novellierung

1. August 2012

Der zu Jahresbeginn von der Europäischen Kommission vorgelegte Entwurf zu einem neuen europäischen Datenschutzrecht ist Medienangaben zufolge vergangene Woche im Rat der Europäischen Union während einer Konferenz in der zypriotischen Hauptstadt Nikosia diskutiert worden.

Die Konferenz habe ergeben, dass kein Mitgliedsstaat prinzipiell gegen die Novellierung, sich der Ministerrat allerdings bezüglich einiger Punkte sehr uneinig ist. Zum einen betreffe dies die umfassende Nutzung sogenannter delegierter Rechtsakte, mit denen die Kommission „nicht wesentliche“ Aspekte einer Gesetzgebung alleine regeln kann, ohne dass die Mitgliedstaaten und das Europäische Parlament mitentscheiden können. Ein weiterer Streitpunkt seien die Ausnahmeregelungen für kleine und mittlere Unternehmen. Einige Mitgliedsstaaten sollen hierbei eine Ausrichtung an der Datengeneigtheit der Tätigkeit und weniger an der Größe der Unternehmen präferieren. Diskutiert worden sei ferner, ob der Staat nach den gleichen Datenschutzregeln arbeiten soll wie die Privatwirtschaft, wie es von der Kommission vorgeschlagen wurde. Übereinstimmend soll eine entsprechende Gleichbehandlung befürwortet worden sein, allerdings habe die Bundesrepublik betont, auch in Zukunft Spielräume im nationalen Bereich nutzen und insbesondere im öffentlichen Sektor über das hinausgehen zu wollen, was die europäischen Regelungen als Standard festschreiben.

Die irische Regierung, die im ersten Halbjahr 2013 die Ratspräsidentschaft von Zypern übernimmt hat sich als Ziel gesetzt eine Einigung im Ministerrat zu erzielen so dass mit Inkrafttreten der neuen Regelungen bis zu 2014 zu rechnen ist.

EU spricht sich für Netzsperren im Kampf gegen Kinderpornographie aus

28. Juni 2012

Wie die Europäische Kommission jetzt in einer Pressemeldung bekannt gab, beabsichtigen die Europäische Union sowie die Vereinigten Staaten ein globales Bündnis der nationalen Justiz- und Innenminister zur Bekämpfung von Kindesmissbrauch und Kinderpornographie im Internet zu initiieren. Darauf verständigten sich die EU-Kommissarin für Inneres Cecilia Malmström sowie US-Justizminister Eric Holder vergangene Woche in Kopenhagen.

Kritiker sehen trotz der prekären Thematik Probleme bei der Umsetzung. So ergänzte das Portal netzpolitik.org die reine Pressemeldung um die Information, dass der Rat der Europäischen Kommission in seiner sogenannten Schlussfolgerung als potentielles Mittel ebenfalls beabsichtigt Netzsperren einzusetzen „wo sie angemessen sind“. Diese wiederum sind alles andere als unumstritten, schränken sie doch in erheblichen Maße auch die völlig legale Nutzung von File-Holdern ein. „Dem Umstand, dass das Sperren von Internetseiten keine statistisch nachweisbare Verbesserung für den Schutz von Kindern mit sich bringt“, werde offenbar nicht beachtet.“ kritisiert Joe McNamee von „European Digital Rights“ zudem weiter. Letztlich wird von Seiten der Kritiker vorgetragen, dass Netzsperren, so sie denn erst einmal etabliert sind, für andere Zwecke ausgeweitet würden und so eine nicht unerhebliche Bedrohung für etwa informationelle Grundrechte der Internetnutzer bestünde.

EU-Datenschutzbeauftragte: Technischer Fortschritt verstärkt Gefährdung für Datenschutz

22. Mai 2012

Die Artikel-29-Gruppe der Europäischen Datenschutzbeuaftragten, ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, fordert in einer 34-seitigen Stellungnahme den rechtskonformen Einsatz biometrischer Technik. Die fortschreitende Verbreitung der Technologie stelle eine „enorme Bedrohung der Grundrechte“ dar. Vor allem der Umstand, dass Technologie wie etwa Lesegeräte für Fingerabdrücke und Videoüberwachungen zunehmend günstiger zu erstehen und somit längst auch Privaten zugänglich sind bedinge, dass die Gefährdung für Dritte enorm zugenommen habe. Auch DNA-Analysen seien erheblich schneller und kostengünstiger durchzuführen. Dies in Kombination mit dem praktisch unbegrenzt zur Verfügung stehenden Speicherplatz sowie der fortschreitenden Rechenkraft der Technologien führe aufgrund der Datenmengen zwangsläufig auch zu einer wachsenden Gefährdung des grundrechtlichen Datenschutzes.

Positiv an dieser Entwicklung sei zwar die höhere Aufklärungsrate von Straftaten, dies dürfe jedoch nicht zu Lasten der Grundrechte Betroffener führen. So sei etwa der Identitätsdiebstahl nicht länger nur ein theoretisches Problem. Gerade in Fällen in denen biometrische Daten mit einem Individuum direkt verknüpft werden bestünde eine besondere Gefahr. Kritisch setzt sich das Gremium daher zum Beispiel mit der in sozialen Netzwerken wie Facebook initiierten Technik der Gesichtserkennung auseinander und fordert derartigen Gefahren für den Datenschutz sowohl technisch als auch organisatorisch entschieden entgegen zu wirken. Informationen zu Körpermerkmalen dürften nur zweckgebunden verarbeitet sowie grundsätzlich nur sparsam erhoben werden. Der Erforderlichkeits- und Verhältnismäßigkeitsgrundsatz sei dabei zu wahren. Zudem sei immer die Zustimmung des Betroffenen erforderlich.