Schlagwort: USA

Fluggastdatenabkommen EU-USA meistern weitere Hürde – Datenschützer protestieren weiterhin

14. Dezember 2011

Nachdem wir bereits vor Kurzem über den Streit bezüglich des „Drückens“ und „Ziehens“ beim geplanten Fluggastdatenabkammen (PNR-Abkommen) zwischen der EU und den USA berichtet haben, hat das umstrittene Abkommen eine weitere Hürde genommen: So haben die Innen- und Justizminister der jeweiligen Nationalstaaten im Rat der Europäischen Union am gestrigen Dienstag grünes Licht für das umstrittene Abkommen gegeben. Österreich, Deutschland und Frankreich haben sich dabei ihrer Stimme enthalten.

Auch wenn die Verabschiedung des Abkommens damit wieder einen Schritt näher gerückt ist, verstummt die Kritik der Datenschützer nicht. Ebenfalls am gestrigen Dienstag äußerte sich der europäische Datenschutzbeauftragte, Peter Hustinx, kritisch gegenüber dem Regelwerk. Die von ihm vorgetragenen Bedenken decken sich dabei im Wesentlichen mit den bereits zuvor geäußerten Einwänden:

  • Die 15-jährige Aufbewahrungsfrist sei übertrieben: Daten sollten sofort nach deren Analyse oder nach maximal 6 Monaten gelöscht werden.
  • Auch die Zweckbindung sei zu weit gefasst. Fluggastdatensätze sollten nur verwendet werden, um Terrorismus oder eine gut definierte Liste von schweren grenzüberschreitenden Verbrechen zu bekämpfen.
  • Die Liste der Daten, die übermittelt werden sollen, sei unverhältnismäßig und sollte daher begrenzt werden.
  • Es dürfe keine Ausnahmen zur „Push“-Methode geben.
  • Es müsste für jeden Bürger ein Recht auf effektiven gerichtlichen Rechtsschutz vereinbart werden.
  • Die Daten sollten nach Ansicht Hustinx‘ nur an andere US-Behörden oder an Drittländer übermittelt werden dürfen, wenn diese ein gleichwertiges Schutzniveau gewährleisten könnten.

(se)

USA: Klagen gegen Facebook

19. Oktober 2011

Medienangaben zufolge haben Facebook-Nutzer aus den US-Bundesstaaten Mississippi, Kansas, Kentucky und Louisiana Klagen gegen das soziale Netzwerk Facebook wegen des unzulässigen Einsatzes von Cookies und damit einhergehender „Bespitzelung“ der Nutzer eingereicht.

Die Klagen beziehen sich auf eine Bestimmung des „Wiretap Act„, der auf Bundesebene das Abhören drahtgebundener, mündlicher oder elektronischer Kommunikation verbietet.  „Bis zum 23. September 2011 soll  Facebook die drahtgebundene oder elektronische Kommunikation seiner Nutzer verfolgt, gesammelt und gespeichert haben, darunter auch den teilweisen Surfverlauf von nicht mehr bei Facebook eingeloggten Nutzern“, stellt eine der weitestgehend inhaltsgleichen Klageschriften fest. Der Kläger habe nicht zugestimmt oder Facebook anderweise ermächtigt, seine Kommunikation abzufangen, zu verfolgen, zu sammeln und zu speichern einschließlich des Surfverlaufs, während er nicht bei Facebook eingeloggt war. Facebook soll die Vorwürfe zwar wiederholt bestritten, allerdings die Cookies dahingehend abgeändert haben, dass sie nach dem Ausloggen keine eindeutigen, den Nutzer identifizierenden Informationen mehr enthalten. (sa)
Kategorien: Allgemein
Schlagwörter: , ,

Regulierungsfreier Verbraucherdatenschutz in den USA diskutiert

25. August 2011

US-amerikanischen Regierungskreisen zufolge streben die Vereinigten Staaten bezüglich des Verbraucherdatenschutzes im Internet einen regulierungsfreien Ansatz an. Danny Weitzner, der für die National Telecommunications and Information Administration (NTIA) tätig ist, führte aus, dass Unternehmen, die sich durch einen verantwortungsvollen Umgang mit dem Datenschutz auszeichneten, nicht noch zusätzliche Steine in den Weg gelegt werden sollten. Weiterhin vertritt Weitzner die Auffassung, dass man bessere Datenschutzgesetze, klarere Regeln, sowie rechtlich verankerte Prinzipien auch ohne die Kosten und Nachteile traditioneller Regulierungsstrukturen erreichen könnte.

Erwartungsgemäß begrüßten Branchenvertreter, wie Victor Nichols von Experian North America, den Vorschlag, auf eine strikte Regulierung zu verzichten. Nichols betonte, dass nur eine Selbstregulierung flexibel genug sei, um ausreichend schnell auf den Markt zu reagieren und den Verbrauchern gleichzeitig Transparenz und Wahlmöglichkeiten zu bieten.

Im März 2011 hatte Weitzners Vorgesetzter Lawrence Strickling dem Kongress vorgeschlagen, dass durch Verbraucherdatenschutzgrundrechte ( „consumer privacy bill of rights“) eine breitere Basis für Datenschutz geschaffen werden könnte. Die Ausführungen Stricklings blieben jedoch recht unspezifisch. Unter anderem forderte er, dass der Zweck der Datenerhebung durch die Unternehmen offengelegt wird. Ob dies auch eine Zweckbindung im Sinne des § 12 Abs. 2 TMG impliziert, lässt sich den Aussagen Stricklings nicht entnehmen. Auch seine weitreichende Formulierung, dass die Unternehmen die einmal gesammelten Daten sicher verwahren müssten, lässt noch keine Rückschlüsse auf einen möglichen Regelungsgehalt der zukünftigen Vorschriften zu.

Bereits im Dezember 2010 hatte das US-Handelsministerium, welchem auch die NTIA unterfällt, einige Anregungen gemacht, wie man die Bundesgesetze bezüglich der Datenerhebung durch Unternehmen, aktualisieren könnte. Konkrete Umsetzungsvorschläge folgten bisher jedoch nicht. Ein sogenanntes white paper, welches klarstellt, wie die Regierung die Frage handhaben möchte, wird für den Herbst 2011 erwartet.

Die USA haben bisher kein dem europäischen Datenschutzrecht vergleichbares Regelwerk. Jedoch haben US-Bundesbehörden wie die Federal Communications Commission und die Federal Trade Commission bereits jetzt einige Möglichkeiten bei Datenschutzverstöße einzuschreiten. Auch auf Grundlage einzelstaatlicher Regelungen ist die Ahndung von Datenschutzverstößen bereits möglich. (se)

Folgen der Weitergabe von Cloud-Daten an US-Behörden

13. Juli 2011

Wie bereits berichtet, hat Microsoft offen zugegeben, auch in Europa gespeicherte Daten seines Dienstes Office 365 unter Umständen an US-Behörden weitergeben zu müssen.

Sogleich haben die deutschen Aufsichtsbehörden hierzu eine Reaktion gezeigt: Nach einer Meldung von heise online sieht Dr. Thilo Weichert vom Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) in einer solchen Datenweitergabe aus dem EU-Gebiet heraus einen Widerspruch zum europäischem Datenschutzrecht. Ein drohender Zugriff von US-Behörden stelle die Vertraulichkeit der gespeicherten Daten infrage und entziehe bestehenden Verträgen zur Datenverarbeitung somit die Grundlage. Auf Grund dessen lasse sich sowohl ein Sonderkündigungsrecht ableiten als auch die Feststellung treffen, dass Microsoft als Anbieter von Cloud-Lösungen wie Office 365 und Windows-Azure für personenbezogene IT-Dienstleistungen ausscheide. Als Alternative käme ferner der Bezug von Office 365 über T-Systems infrage, da dieser Anbieter seinen Nutzern zusichert, dass die Daten ausschließlich auf „unter eigener Kontrolle stehenden“ Servern gespeichert werden.

Dies zeigt einmal mehr, dass das Feld des Cloud Computing in Bezug auf Datenschutz rechtlich immer noch ein Minenfeld ist. (se)

Update:

Auch seitens der EU-Kommission liegt nunmehr eine Reaktion vor: Matthew Newman, der Pressessprecher der für Justiz-, Grundrechts- und Bürgerschaftsbelange zuständigen EU-Kommisarin Viviane Reding, hat sich gegenüber CHIP Online zu der Datenübermittlung in die USA im Rahmen des Patriot Acts geäußert. Nach seinem Verständnis muss sich dabei „jedwede Übertragung personenbezogener Daten in Drittstaaten (…) an die grundlegenden Prinzipien des Datenschutzes in der EU halten“. Wenn ein Drittland Zugriff auf Daten aus dem EU-Raum erlangen wolle, setze dies voraus, „die etablierten offiziellen Kommunikationswege zwischen öffentlichen Ämtern benutzen“.

Zur abschließenden Regelung des Problems hält Newman es für unerlässlich, „eine allumfassende Vereinbarung zwischen der EU und den USA über die gemeinsamen Datenschutz-Prinzipien zu treffen, um die personenbezogenen Daten, die ausgetauscht werden, im Kontext der Verbrechens- und Terrorismusbekämpfung zu schützen.“ (se)

Indien reagiert auf Proteste gegen die neuen Datenschutzregelungen

6. Juli 2011

Es scheint so, als reagierte Indien auf die anhaltende Kritik aus der Wirtschaft, die in Folge des 43a IT Act steigende Kosten und mangelnde Akzeptanz für Indien als Datenverarbeitungsstandort erwartet.

Kamlesh Bajaj, CEO des DSCI (Data Security Council of India), gab bekannt, dass die Regierung innerhalb der kommenden 2-3 Wochen mit Hilfe eines Amendments (Änderungsantrag) klarstellen will, dass die strikten Regeln bezüglich der schriftlichen Einwilligung nur für die Erhebung der Daten von indischen Kunden maßgeblich seien. Er betonte in seiner Stellungnahme explizit, dass die Firmen, welche ihre Datenverarbeitung nach Indien verlagern, keine schriftliche Einwilligung von Personen außerhalb Indiens einholen müssten, bevor sie deren Daten erheben. Somit seien aus seiner Sicht die Sorgen bezüglich steigender Kosten unbegründet. (se)

 

Datenschutzprobleme im Gesundheitswesen der USA

31. Mai 2011

Nachdem das Gesundheitsministerium der USA eine Liste mit annährend 300 Krankenhäusern, Ärzten und Versicherungen, die in den letzten Jahren massiv gegen medizinische Verschwiegenheitsregelungen verstoßen haben, veröffentlicht hat, wird in den USA nun verstärkt über Maßnahmen zum Schutz solcher sensibler Daten debattiert. In den letzten zwei Jahren wurden danach mehr als 7,8 Millionen Patienteninformationen unzulässiger Weise öffentlich zugänglich gemacht. Dabei vergaß z.B. der Mitarbeiter eines Krankenhauses 192 Patientenakten in einer U-Bahn, die elektronischen Daten von 1,7 Millionen Patienten und Mitarbeiter kamen abhanden, als der Van, in dem sie zwischenzeitlich auf Speichermedien aufbewahrt wurden, gestohlen wurde und ein Versicherungsunternehmen teilte mit, dass ihm die Daten von 1,9 Millionen Versicherten abhandengekommen sei.

Diese Vorfälle könnten zudem ein Problem für Präsident Obamas Bemühungen werden, die amerikanische Bevölkerung künftig in elektronischen Gesundheitsdaten zu erfassen, da sich die Skepsis dagegen verstärkt.

Die Regierung will zunächst erst einmal das Einhalten der aktuellen Regelungen stärker kontrollieren und gegebenenfalls sanktionieren. Dabei wurden bislang unter Berufung auf das HIPPA (Health Insurance Portability and Accountability Act, 1996) teilweise schon Strafen in Millionenhöhe ausgesprochen. Dagegen bezweifeln andere Stimmen, dass die momentanen Regelungen ausreichend sind. Vielmehr seien strengere Gesetze erforderlich, beispielsweise einen Verbrechenstatbestand für die Nutzung unsachgemäß erlangter Informationen. Auch gibt es den Vorschlag, dass eine Maßnahme durch einen Arbeitgeber oder Versicherer aufgrund von Gesundheitsdaten wie HIV/ AIDS, Krebs oder mentaler Probleme, die die betroffene Person benachteiligt, unzulässig sein soll. Insbesondere richtet sich die Kritik jedoch gegen das HIPPA. Dieses beruht teilweise auf Ideen aus dem britische Common law, wonach eine Information dem gehört, der sie besitzt. In der heutigen Zeit, in der die Informationen an verschiedenen Stellen bearbeitet und gespeichert werden, führt dies im Prinzip dazu, dass jedem, der die Informationen auf seinem Computer gespeichert hat, diese auch gehören und er sie weitergeben kann.

Internationale Datenverarbeitung – erste Proteste gegen neue Regelungen im indischen Datenschutz

25. Mai 2011

Die Neuerungen im indischen Datenschutzrecht zeigen nun bei Firmen in den USA erste Auswirkungen. Verschiedene amerikanische Firmen und auch einige indische Firmen, die um ihre Geschäftsbeziehungen fürchten, halten die nun erforderte schriftliche Zustimmung einer Person, bevor ihre persönlichen Daten gesammelt und genutzt werden dürfen, für viel zu restriktiv. Es wird befürchtet, dass viele Firmen nicht bereit sind, das Risiko einzugehen, dass ein Kunde, der die ausdrücklich Anfrage aus Indien bekommt, ob seine Daten dort gespeichert und genutzt werden dürfen, seine Zustimmung dafür verweigert. Stattdessen würden Firmen ihr Geschäft dann eher nach China oder auf die Philippinen auslagern, wo solche Bestimmungen nicht gelten. Auch Google protestiert gegen einige Passagen aus dem neuen Gesetz, wonach ein Internetanbieter für Inhalte verantwortlich gemacht werden, die als „belästigend“, „grob schädlich“ oder „ethnisch verwerflich anzusehen sind.

Der indische Minister für Informationstechnologie verteidigte das Gesetz damit, dass es einem seit langem geäußerten Begehren der IT-Industrie nachkäme, endlich gesetzlich Rahmenregelungen für den Datenschutz zu schaffen. Auch einige amerikanische Firmen befürworteten jedenfalls die Richtung des Gesetzes, da so das Vertrauen im Ausland hinsichtlich der ausgelagerten Datenverarbeitung in Indien gestärkt werde.

Ob und wie lange das Gesetz in seiner momentanen Ausgestaltung bestehen bleibt, dürfte letztlich maßgeblich von der Frage abhängen, wie stark der Druck aus dem Ausland noch wird. Da Indien in extrem hohen Maß auf die IT- und Outsourcing- Branche angewiesen ist, könnten allzu starke Proteste und Rückzugsdrohungen von Firmen aus diesem Bereich durchaus noch zu einer Änderung des Gesetzes führen.

1 3 4 5