news IT - Datenschutz - arrows

Insights

Newsflash IT / Datenschutz

Archiv 

Halten Sie sich mit unserem IT/Datenschutz Newsflash auf dem Laufenden über aktuelle Entwicklungen, Entscheidungen und Nachrichten aus dem Bereich IT und Datenschutz.

Zweiter Entwurf zum neuen Daten­schutz­gesetz

11. November 2016

Ab Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Bis dahin hat der deutsche Gesetzgeber Gelegenheit, die Vorschriften der DSGVO durch nationale Regelungen zu ergänzen und zu konkretisieren.

Nachdem der im September dieses Jahres veröffentlichte erste Entwurf eines neuen Bundestatenschutzgesetzes von vielen Seiten heftige Kritik erfahren hat, liegt nun ein zweiter Gesetzesentwurf des Bundesinnenministeriums vor.

Dieser enthält neben Regelungen zur Datenverarbeitung durch öffentliche Stellen auch Vorschriften für nichtöffentliche Stellen, die im Rahmen der Tätigkeiten einer Niederlassung in Deutschland personenbezogene Daten verarbeiten. Der Entwurf sieht unter anderem spezielle Regelungen zur Datenverarbeitung im Beschäftigtenverhältnis und bei Scoring, sowie zur Datenübermittlung an Auskunfteien vor.

Darüber hinaus beschränkt auch der neue Entwurf die Rechte der Betroffenen. Ob die damit anvisierte wirtschaftsfreundliche Herangehensweise des Bundesinnenministeriums für Unternehmen Vorteile bringt, ist jedoch zweifelhaft. Denn neben der Frage, ob die vorgesehenen Einschränkungen EU-rechtlich überhaupt zulässig sind, erschweren extensive nationale Abweichungen von der DSGVO die einheitliche und rechtssichere Datenschutzpraxis.

Umfangreiche Prüfungsaktion der Datenschutz­aufsichts­behörden

3. November 2016

Die Datenschutzaufsichtsbehörden haben angekündigt, in einer gemeinsamen Aktion 500 Unternehmen einer datenschutzrechtlichen Prüfung zu unterziehen.

Inhalt der Prüfung ist die Übermittlung personenbezogener Daten an Länder außerhalb des EU/EWR Raums. Mit Hilfe eines Fragebogens wird ermittelt, 

  • welche Daten 
  • zu welchen Zwecken und 
  • auf welche Art und Weise 
  • an welche Länder übermittelt werden und 
  • auf welcher Rechtsgrundlage die Datenübermittlung erfolgt.

Ein Fokus der Prüfung liegt auf der Datenübermittlung bei der Nutzung externer Services, wie Fernwartung, Support, Reisemanagement, CRM-Systeme, Recruiting, Cloud-Speicherlösungen und -Officelösungen, Kommunikationsdienste und Kollaborationsplattformen.

An der Prüfung nehmen die Datenschutzaufsichtsbehörden der Bundesländer Bayern, Berlin, Bremen, Hamburg, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt teil. Die Aktion beginnt im November 2016.

Bundestag beschließt Gesetz zu automatisierten Fahrzeugsystemen

29. September 2016

Der Bundestag hat heute beschlossen, dass die bereits im Frühjahr 2014 erfolgten Änderungen des Wiener Übereinkommens über den Straßenverkehr nun auch in Deutschland gelten.

Was bedeutet das für assistierte, automatisierte und autonome Fahrzeugsysteme?

Ein erster Schritt ist getan. Auf Grundlage des Gesetzes können die nationalen Regelungen so angepasst werden, dass auf technische Entwicklungen im Bereich des assistierten und automatisierten Fahrens schneller reagiert werden kann: Die Änderungen im Wiener Übereinkommen sehen vor, dass Fahrzeugsysteme, die Einfluss auf das Führen des Fahrzeugs haben, z.B. Fahrerassistenzsysteme oder teil- und hochautomatisierte Fahrsysteme unter zwei Voraussetzungen zulässig sind: Zum einen sind sie dann zulässig, wenn sie den laufend überarbeiteten und an den Stand der Technik angepassten technischen Regelungen der Wirtschaftskommission der Vereinten Nationen für Europa (UN-ECE) entsprechen. Zum anderen sind sie dann zulässig, wenn sie durch den Fahrer übersteuerbar oder abschaltbar sind.

Der Einsatz vollständig autonomer Fahrzeuge im öffentlichen Straßenverkehr ist derzeit rechtlich noch nicht möglich. Entsprechende Änderungen der internationalen Übereinkommen über den Straßenverkehr sind jedoch in Diskussion.

IT/Datenschutz

27. September 2016

Im Juni 2016 hatte der Hamburger Datenschutzbeauftragte darauf hingewiesen, dass die Nutzung von Google Analytics nicht rechtskonform sei, da die Datenübermittlung auf Grundlage des bereits ungültigen Safe-Harbor-Abkommens erfolge.

Google ist seit kurzem dem EU-U.S. Privacy-Shield beigetreten. Im Zusammenhang damit stellt Google jetzt auch ein aktualisiertes Vertragsformular zur Auftragsverarbeitung von Daten zur Verfügung.

Websitebetreibern, die Google Analytics nutzen ist dringend anzuraten, den aktualisierten Vertrag mit Google abschließen. Auf Grundlage des bisherigen Vertrages ist die Nutzung nicht datenschutzkonform.

---
Zum Hintergrund:
Bei der Verwendung von Google Analytics werden personenbezogene Daten der Nutzer einer Website von Google verarbeitet und dem Websitebetreiber zur statistischen Auswertung zur Verfügung gestellt. Um Google Analytics datenschutzkonform nutzen zu können muss
1. ein Vertrag über die Auftragsverarbeitung von Daten mit Google geschlossen werden,
2. mit Hilfe des Tools „anonymize IP“ die IP-Adresse der Nutzer anonymisiert werden,
3. in der Datenschutzerklärung auf die Nutzung von Google Analytics hingewiesen und eine Widerspruchsmöglichkeit (Opt-Out) implementiert werden.
Da die Daten in den USA verarbeitet werden, ist zudem eine Rechtsgrundlage für die Datenübermittlung erforderlich. In der Vergangenheit erfolgte die Datenübermittlung auf Grundlage des Safe-Harbour-Abkommens. Nachdem dieses vom EUGH für ungültig erklärt wurde, gibt es seit dem Sommer 2016 eine neue Rechtsgrundlage: das EU-US Privacy-Shield.

IT/Datenschutz

14. September 2016

Der Düsseldorfer Kreis hat am 14. September 2016 einen Beschluss zur Fortgeltung bisher erteilter Einwilligungen unter der EU-Datenschutzgrundverordnung (DSGVO) gefasst.

Der Düsseldorfer Kreis ist ein Gremium, in dem die deutschen Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich ihr Vorgehen zu bestimmten Fragestellungen abstimmen und beschließen.

Nach dem aktuellen Beschluss können „alte“ unter dem Bundesdatenschutzgesetz (BDSG) erteilte Einwilligungen in die Verarbeitung personenbezogener Daten auch unter der DSGVO weiter gelten. Die Aufsichtsbehörden gehen davon aus, dass bisher rechtswirksame Einwilligungen regelmäßig den Bedingungen der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) entsprechen und damit fortgelten.
Einwilligungen gelten nach dem Beschluss jedoch zum einen dann nicht fort, wenn die Betroffenen die Altersgrenze von 16 Jahren nach Art. 8 DSGVO nicht erreicht haben. Zum anderen ist eine Weiterverwendung ausgeschlossen, wenn die Einwilligungen nicht freiwillig erfolgt sind, insbesondere wenn sie gegen das Koppelungsverbot aus Art. 7 Abs. 4 DSGVO verstoßen.

Wir empfehlen darüber hinaus, nur solche Einwilligungen weiter zu verwenden, bei denen die Betroffenen im Vorfeld auf ihr Widerspruchsrecht hingewiesen wurden. Denn abweichend von der bisherigen Rechtslage ist eine Einwilligung nach Art. 7 Abs. 3 DSGVO nur dann wirksam, wenn der Betroffene vorab über sein Widerrufsrecht informiert wurde.

IT/Datenschutz

7. September 2016

Ein halbes Jahr nach dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) liegt der erste Entwurf eines neuen deutschen Datenschutzgesetzes (ABDSG) vor. Dieses ergänzt und konkretisiert die Regelungen der DSGVO.

Der Entwurf enthält unter anderem Regelungen zu Betroffenenrechten, zum Datenschutzbeauftragten, zum Beschäftigtendatenschutz, zur Zuständigkeit der Aufsichtsbehörden und der Verhängung von Bußgeldern.

Welche Regelungen des Entwurfs final werden, bleibt abzuwarten. Erste Stellungnahmen des Bundesministeriums für Justiz und Verbraucherschutz und der Bundesbeauftragten für Datenschutz und Informationsfreiheit sehen an vielen Stellen noch Änderungsbedarf. Insbesondere die Einschränkung der Betroffenenrechte stößt auf großen Widerstand. 

Safe Harbor 2.0

19. August 2016

Seit dem 1. August 2016 können sich US Unternehmen unter dem neuen „EU-US Privacy Shield“ selbst zertifizieren. Datenschutzrechtlich entsteht durch die Selbstzertifizierung ein „angemessenes Datenschutzniveau“ gemäß § 4b Absatz 2 BDSG.

Die teilnehmenden US Unternehmen werden in die vom US Handelsministerium geführte öffentliche „Privacy Shield Liste“ aufgenommen. Über die Liste können insbesondere die jeweiligen Privacy Policies der Unternehmen sowie Informationen über die Art der betroffenen Daten abgerufen werden. Zudem sind dort die Kontaktdaten zum jeweiligen Ansprechpartner beim Unternehmen für Fragen und Beschwerden hinterlegt. Die Unternehmen müssen auf Anfragen innerhalb von 45 Tagen antworten.

Da jedoch die Kritik am EU-US Privacy Shield nicht abreißt und fraglich ist, ob die Angemessenheitsentscheidung der EU Kommission zum EU-US Privacy Shield einer Überprüfung durch den EuGH standhalten wird, sollte die Entwicklung beobachtet werden. Eine längerfristige Strategie für den internationalen Datentransfer sollte deshalb auch weiterhin die anderen Möglichkeiten wie EU-Standardvertragsklauseln (diese allerdings mit Blick auf die aktuellen Entwicklungen der möglichen Überprüfung durch den EuGH) und Binding Corporate Rules berücksichtigen.

Safe Harbor 2.0

12. Juli 2016

Die EU-Kommission hat am 12. Juli 2016 das EU-US Privacy Shield (Privacy Shield) angenommen und damit den Weg für die Übermittlung personenbezogener Daten in die USA geebnet. Das Privacy Shield ist die Nachfolgeregelung des Safe Harbor Abkommens, welches im Oktober 2015 vom Europäischen Gerichtshof (EUGH) für ungültig erklärt wurde. Das Abkommen gewährleistet nach dem Angemessenheitsbeschluss der EU--Kommission ein angemessenes Datenschutzniveau und ausreichende Betroffenenrechte. Es kann von Unternehmen zukünftig als Grundlage für die Übermittlung personenbezogener Daten aus der EU/EWR an teilnehmende Unternehmen in den USA herangezogen werden.

US Unternehmen, die am Privacy Shield teilnehmen wollen, zertifizieren sich jährlich anhand der dort geregelten Vorgaben selbst. Sie müssen insbesondere die dort geregelten Voraussetzungen der Privacy Principles einhalten und unter anderem sicherstellen, dass ihre Datenschutzerklärung bestimmte Informationen enthält, dass sie den Anforderungen zu Transparenz, Datensparsamkeit, Datensicherheit, Datenweitergabe, Datenintegrität und Vertraulichkeit entsprechen und dass sie den Betroffenen ausreichende Rechte einräumen.

Ab dem 1. August 2016 können sich US Unternehmen in eine vom US Handelsministerium geführte öffentliche Liste teilnehmender Unternehmen aufnehmen lassen.

Angesichts der umfangreichen Kritik an dem EU-US Privacy Shield ist allerdings fraglich, ob es sich um eine dauerhafte Lösung handelt. Es ist nicht auszuschließen, dass auch dieses Abkommen dem EUGH zur Prüfung vorgelegt werden wird.

IT/Datenschutz

10. Juni 2016

Website-Betreiber aufgepasst: Der Hamburgische Datenschutzbeauftragte weist darauf hin, dass die Nutzung des Analyse Tools Google Analytics derzeit nicht rechtskonform ist.

Hintergrund des Hinweises ist, dass die für das Tool erforderliche Datenübermittlung in die USA noch auf Grundlage des Safe-Harbor-Abkommens erfolgt. Dieses wurde jedoch bereits im Oktober 2015 vom EUGH für unwirksam erklärt und darf nicht mehr als Grundlage für eine Datenübermittlung in die USA herangezogen werden. Derzeit laufen erste Bußgeldverfahren gegen Unternehmen, die ihre Datenübermittlung nicht rechtzeitig umgestellt haben.

Eine aktualisierte Handreichung des Hamburgischen Datenschutzbeauftragten zur Nutzung von Google Analytics ist in Kürze zu erwarten. Bis dahin ist die Nutzung von Google Analytics risikobehaftet.

Haftung für W-Lan Betreiber

1. Juni 2016 

Am 1. Juni 2016 hat der Bundestag eine Änderung des Telemediengesetzes (TMG) beschlossen. Die Gesetzesänderung soll dazu führen, dass Betreiber von offenen W-Lan-Netzen zukünftig nicht für Rechtsverletzungen Dritter über ihren Anschluss haften. Ziel ist es, die Ausbreitung offener Netze zu fördern.

Ob die Gesetzesänderung die rechtlichen Fragen im Zusammenhang mit dem Betrieb offener W-Lan-Netze klärt, wird sich zeigen. Klar ist nach derzeitiger Gesetzesfassung lediglich, dass Betreiber offener W-Lan-Netze unter den Voraussetzungen des § 8 Abs. 1 TMG nicht auf Schadensersatz haften. Juristisch umstritten bleibt jedoch, ob die Haftungsbeschränkung auch für Unterlassungsansprüche gilt und welche Darlegungs- und Beweispflichten bestehen. 

Safe Harbor 2.0

26. Mai 2016

Die für Facebook zuständige irische Datenschutzaufsichtsbehörde hat mitgeteilt, nunmehr auch die Datenübermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln vom EUGH überprüfen lassen zu wollen.

Seit der EuGH das Safe-Harbor Abkommen als bisherige Grundlage der Datenübermittlung in die USA gekippt hat, gelten die EU-Standardvertragsklauseln zumindest als vorübergehende „Lösung“. Sollte der EUGH jedoch an seinen bisherigen Kriterien festhalten, dürften auch die EU-Standardklauseln zukünftig nicht ausreichen, um Daten von EU-Bürgern rechtmäßig in die USA zu übermitteln. Denn das Grundproblem der bestehenden Zugriffsmöglichkeiten der US-Behörden und den fehlenden Rechtsschutzmöglichkeiten gegen derartige Zugriffe bleibt bestehen.

Eine dauerhafte Lösung des Grundproblems auf Ebene der US-Gesetze scheint politisch nahezu ausgeschlossen. Ob das neue EU-US Privacy Shield hier Abhilfe schaffen wird, ist derzeit mehr als fraglich. Das derzeitige Verhandlungsergebnis wurde gerade erst durch das EU-Parlament als unzureichend kritisiert, die Verhandlungen zwischen der EU und den USA werden fortgesetzt.

Safe Harbor

26. Mai 2016

In einer nichtbindenden Resolution fordert das EU-Parlament die EU-Kommission auf, die Verhandlungen mit den USA über eine Regelung zum Schutz persönlicher Daten von EU-Bürgern, die in die USA übertragen werden, fortzuführen. Die neuen Verhandlungen waren nötig geworden, nachdem der EUGH im Oktober 2015 die Vorgängerregelung „Safe Harbor“ gekippt hatte.

Die bisherigen Verhandlungsergebnisse hält das EU-Parlament in Teilen für verbesserungswürdig. Zwar wurde beispielsweise die geforderte Einsetzung eines Ombudsmannes vereinbart, diesem fehlten jedoch die erforderlichen Kompetenzen und Unabhängigkeit, um seine Aufgabe wirksam zu erfüllen. Auch das Rechtsbehelfsverfahren hinke in Sachen Benutzerfreundlichkeit und Effizienz hinterher. Größter Kritikpunkt dürfte wohl sein, dass die Daten der EU-Bürger nach Ansicht des EU-Parlaments immer noch nicht hinreichend vor dem Zugriff der US-Behörden geschützt seien. 

IT/Datenschutz

4. Mai 2016

Bereits im April 2016 wurde die EU-Datenschutzgrundverordnung (EU-DSGVO) durch das EU-Parlament verabschiedet (siehe unten). Mit der Veröffentlichung im Amtsblatt gilt nunmehr die Übergangsfrist und ab dem 25. Mai 2018 ein einheitliches EU-Datenschutzrecht (zu den Auswirkungen siehe bereits hier). Bestimmte Regelungsbereiche können jedoch weiterhin von den nationalen Gesetzgebern ausgestaltet werden. In der Übergangsfrist sind daher erhebliche Neuerungen in den nationalen Datenschutzregelungen zu erwarten, insbesondere im Hinblick auf die Einrichtung und Ausgestaltung der nationalen Aufsichtsbehörden, des Rechtsschutzes gegen deren Entscheidungen und der Regelung weitergehender Sanktionen. Auch der Beschäftigtendatenschutz und die Voraussetzungen für die verpflichtende Bestellung eines Datenschutzbeauftragten können von den nationalen Gesetzgebern gesondert geregelt werden.

IT/Datenschutz

20. April 2016

Das Bundesverfassungsgericht (BVerfG) hat eine Entscheidung zu einer vor Jahren erhobenen Verfassungsbeschwerde gegen das Anfang 2009 geänderte BKA-Gesetz getroffen. Die Gesetzesänderung hatte zu einer Ausweitung der Befugnisse des BKA, insbesondere im Bereich der Datenerhebung zur Terrorismusbekämpfung geführt. Diese Befugnisse sind zum Teil verfassungswidrig, so entschied das BVerfG nun in seiner vom Vize-Gerichtspräsident Ferdinand Kirchhof als „Grundsatzentscheidung zum Datenschutz“ bezeichneten Entscheidung.

Nach (nicht einstimmiger Ansicht) der Richter ist das Gesetz zwar im Grundsatz mit den Grundrechten vereinbar. Aber verschiedene Einzelvorschriften stellten unverhältnismäßige Eingriffe dar, insbesondere im Bereich der Wohnungsüberwachung. Zudem entschied das BVerfG erstmals zur Datenübermittlung an in- und ausländische Stellen. Die Regelungen zur Datenübermittlung an Verfassungsschutzbehörden, den MAD und den BND seien nicht verhältnismäßig, die Regelungen für die Datenübermittlung an ausländische Stellen genügten sogar grundgesetzlichen Anforderungen nicht.

Da laut BVerfG nicht der Kern des Gesetzes berührt ist, gelten die beanstandeten Vorschriften eingeschränkt bis Mitte 2018 fort. Bis dahin muss das BKA-Gesetz vom Gesetzgeber stark nachgebessert werden.

IT-Sicherheit

18. April 2016

Die Bundesregierung hat letzte Woche dem Erlass einer vom Bundesinnenminister vorgelegten Rechtsverordnung zur Konkretisierung des im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes zugestimmt. Gegenstand dieser ersten Rechtsverordnung sind die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation.

730 Anlagen werden von der Verordnung als kritisch eingeschätzt. Die betroffenen Betreiber sind mit Inkrafttreten der Rechtsverordnung (voraussichtlich Anfang Mai diesen Jahres) verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.

Entsprechende Regelungen für die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen sollen bis zum Anfang des kommenden Jahres folgen.

EU-DSGVO

14. April 2016

Nach Jahren der Diskussion wird ein einheitliches europäisches Datenschutzrecht nunmehr Realität. Die EU-Datenschutz-Grundverordnung (EU DSGVO) wurde heute vom EU Parlament verabschiedet und wird zwei Jahre nach der Veröffentlichung im EU-Amtsblatt voraussichtlich im Juni 2018 in Kraft treten. Sie ersetzt dann die bisherigen Datenschutzgesetze der EU-Mitgliedstaaten. Ziel der Reform ist die Stärkung der Rechte der Betroffenen und die Sicherstellung eines hohen und einheitlichen Datenschutzniveaus in Europa, um die EU für das digitale Zeitalter zu rüsten.

Bereits im Vorfeld wurden durch Wirtschaftsverbände insbesondere die mit der Umsetzung der neuen Anforderungen verbundenen Aufwände der Wirtschaftsunternehmen kritisiert. Dies nicht zuletzt vor dem Hintergrund, dass Verstöße zukünftig härter sanktioniert werden. Es drohen Strafen von bis zu 4 % des erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, wobei hierfür der weltweit erzielte Gesamtjahresumsatz herangezogen wird.

Mit der EU DSGVO werden Unternehmen mit einem erweiterten Pflichtenprogramm konfrontiert, welches zu technischen und organisatorischen Anpassungen führt, insbesondere im Zusammenhang mit der Verarbeitung von Kunden- und Beschäftigtendaten sowie mit der vertraglichen Gestaltung der Zusammenarbeit mit dritten Unternehmen (zu den Auswirkungen siehe bereits hier).

Unternehmen haben innerhalb der Umsetzungsfrist von zwei Jahren Zeit, sich auf die Zukunft im Datenschutz vorzubereiten. Hierzu zählen die Analyse der bestehenden Datenschutzorganisation und deren Anpassung an die neuen Anforderungen.

IT/Datenschutz

14. April 2016

Das EU Parlament hat die umstrittene Speicherung von Fluggastdaten – die sogenannte PNR-Richtlinie (Passenger Name Record) – verabschiedet. Die PNR-Richtlinie wird seit rund fünf Jahren diskutiert, blieb aber immer wieder ohne Konsens im EU Parlament.

Die PNR-Richtlinie verpflichtet Luftfahrtgesellschaften, den Behörden der Mitgliedstaaten Fluggastdaten für Flüge von der EU in Drittländer und andersherum zur Verfügung zu stellen. Die Mitgliedstaaten können zusätzlich entscheiden, ob sie die Richtlinie auch auf Flüge innerhalb der EU ausweiten. Die Datensammlung soll der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung terroristischer Straftaten und schwerer Kriminalität dienen. Zur Erhebung, Speicherung und Verarbeitung der Daten sollen die Mitgliedstaaten Zentralstellen errichten, die auch für den Austausch mit anderen Mitgliedstaaten und Europol verantwortlich sein sollen.

Zukünftig werden Daten wie Name, Adresse sowie Telefon- und Kreditkartennummer und das Reiseziel für die Dauer von sechs Monaten unter Klarnamen gespeichert, danach müssen die Daten bis zum Ablauf eines Zeitraums von fünf Jahren unkenntlich vorgehalten werden.

Für die Umsetzung der Richtlinie haben die Mitgliedstaaten zwei Jahre Zeit. Zunächst muss die Richtlinie jedoch noch formell durch den Rat gebilligt werden.

IT/Datenschutz

16. März 2016

Anlässlich des Rechtsstreits vor dem Landgericht München zwischen der Sony Music Entertainment GmbH und einem Betreiber eines Licht- und Tontechnikgeschäfts, der als Nebentätigkeit in seinem Geschäft ein frei zugängliches WLAN-Netz betreibt, hat sich der EuGH mit der Frage nach der Haftung eines WLAN-Betreibers für Urheberrechtsverstöße seiner Nutzer zu befassen. Über das streitgegenständliche Netz wurde 2010 ein Werk des Rechteinhabers Sony illegal zum Download angeboten.

In seinem Schlussantrag hat sich der Generalanwalt nunmehr gegen eine Haftung ausgesprochen. Der Geschäftsinhaber könne sich auf die Richtlinie über den elektronischen Datenverkehr (RL 2000/31/EG) berufen. Diese Richtlinie schränkt die Haftung von Vermittlern, die nur Dienste der reinen Durchleitung von Daten anbieten, für eine von einem Dritten begangene Rechtsverletzung ein.

Schließt sich der EuGH dem Votum des Generalanwalts an, was zwar nicht zwingend aber häufig der Fall ist, müsste das Konzept der Störerhaftung in Deutschland neu gefasst werden. Zudem müsste der Gesetzentwurf, über den der Bundestag gerade berät, überarbeitet werden müssen. Denn hiernach soll jeder Anbieter - egal, ob privat oder gewerblich - dazu verpflichtet werden, sein Netzwerk zu verschlüsseln. Öffentliche Anbieter sollen von den Nutzern ihres Netzwerks zudem eine Einwilligung einholen, keine rechtswidrigen Handlungen über das Netzwerk zu begehen.

Safe Harbor 2.0

29. Februar 2016

Die EU-Kommission hat heute verschiedene Texte zum neuen Datenschutzabkommen zwischen der EU und den USA, dem sog. Privacy Shield, veröffentlicht und die Beteiligung der EU Mitgliedstaaten, der Artikel-29-Datenschutzgruppe und des Europäischen Parlaments eingeleitet.

Neben den Eckpunkten der für Unternehmen geltenden Datenschutzprinzipien, wie insbesondere Anforderungen zur Zertifizierung, soll zukünftig eine sog. „Angemessenheitsentscheidung“ der EU Kommission (Bescheinigung der Einhaltung des EU Datenschutzstandards) sowie verschiedene schriftliche Zusicherungen der US Regierung als Rechtsgrundlage für Datentransfers von Unternehmen aus der EU in die USA dienen.

In den veröffentlichten Schreiben der US Behörden werden Beschränkungen und Schutzmaßnahmen gegen den Zugriff auf Daten von US Behörden aus Gründen der nationalen Sicherheit zugesichert. Durch diese Zusicherungen soll laut EU Kommission sichergestellt werden, dass eine massenhafte und anlasslose Datenerfassung durch US Behörden wie in der Vergangenheit nicht mehr erfolgt. Datenschützer kritisieren jedoch bereits, dass diese Zusicherungen nicht für bestimmte Ausnahmen gelten. Hierzu zählen insbesondere die Spionageabwehr im Rahmen der Terrorismusbekämpfung, die Verhinderung der Verbreitung von Massenvernichtungswaffen oder die Abwehr von internationalen kriminellen Bedrohungen.

IT-Sicherheit

5. Februar 2016

Der angekündigte Entwurf der ersten Rechtsverordnung zur Konkretisierung des IT-Sicherheitsgesetzes wurde diese Woche vom Bundesministerium des Innern veröffentlicht und an die Länder und Verbände zwecks Stellungnahme übermittelt.

Gegenstand des Entwurfs sind bislang lediglich die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation. Spannend sind insbesondere die gemäß Entwurf konkretisierten Anlagenkategorien und Arten von Dienstleistungen. Hiernach werden 650 Anlagen als Kritische Infrastruktur gemäß IT-Sicherheitsgesetz eingeschätzt.

Nach Angaben des BSI soll die Rechtsverordnung noch im Frühjahr 2016 erlassen werden. Die Rechtsverordnungen für die Bereiche Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen sollen bis Ende 2016 folgen.

Der Entwurf ist noch nicht die finale Fassung. Gleichwohl lässt sich sicherlich eine Tendenz erkennen, aus der Unternehmen der Sektoren zumindest in etwa abschätzen können, ob sie unter die Regelungen des IT-Sicherheitsgesetzes fallen.

Safe Harbor 2.0

4. Februar 2016

Nach der Pressekonferenz der EU Kommission zum EU-US Privacy Shield am 2. Februar 2016 hat sich die Art. 29-Datenschutzgruppe wie angekündigt am 3. Februar 2016 in einer offiziellen Stellungnahme zum EU-US Privacy Shield geäußert. Da die Inhalte und der Text des neuen Abkommens bislang nur in Auszügen vorliegen, sei man nicht in der Lage, eine abschließende rechtliche Würdigung im Hinblick auf Datenübermittlungen in die USA vorzunehmen. Jedenfalls bestünden immer noch erhebliche Bedenken hinsichtlich des in den USA geltenden Rechtsrahmens.

Deshalb hat die Datenschutzgruppe die EU Kommission dazu aufgefordert, ihr bis Ende Februar 2016 die vollständigen Unterlagen zwecks Prüfung zur Verfügung zu stellen. Sodann werde die Art. 29-Datenschutzgruppe analysieren, ob ihre Bedenken in Bezug auf den in den USA geltenden Rechtsrahmen mit der Einführung des EU-US Privacy Shield ausgeräumt werden. Zudem werde untersucht, inwieweit das Verhandlungsergebnis Rechtssicherheit für die anderen Übermittlungsinstrumente bieten kann. Die Ergebnisse sollen dann in einer außerordentlichen Vollversammlung finalisiert werden.

In der Zwischenzeit geht die Art. 29-Datenschutzgruppe davon aus, dass die Datenübermittlung auf Grundlage der EU-Standardvertragsklauseln oder Binding Corporate Rules vorübergehend zulässig bleibt. Auch wenn die Stellungnahmen der Art. 29-Datenschutzgruppe für deutsche Aufsichtsbehörden nicht bindend sind, dienen sie als wichtige Orientierung, weshalb zumindest vorübergehend noch auf die EU-Standardvertragsklauseln oder Binding Corporate Rules gesetzt werden kann.

Safe Harbor 2.0

2. Februar 2016

Die EU Kommission und die USA haben sich über neue Rahmenbedingungen zum künftigen Datenaustausch zwischen der EU und den USA geeinigt. Der Nachfolger des Safe-Harbor-Abkommens wird nach derzeitigem Kenntnisstand unter dem Titel "EU-US Privacy Shield" verabschiedet werden.

Ziel des EU-US Privacy Shield ist es, dass das US-Handelsministerium (unter strengeren Auflagen als bisher unter Geltung des Safe-Harbor-Abkommens) Firmen, die Daten aus Europa verarbeiten, überwacht. Ein zentraler Punkt des EU-US Privacy Shields ist zudem eine Zusage der US-Seite, dass behördliche Zugriffe auf in den USA gespeicherte Daten künftig nur zulässig sind, sofern dies für einen bestimmten Zweck erforderlich und verhältnismäßig ist. Ausdrücklich ausgeschlossen werden willkürliche Massenüberwachungen durch die US-Behörden. Sofern EU-Bürger künftig Datenschutz-Rechte durch US-Behörden verletzt sehen, können die Rechtsverletzungen künftig im Wege einer Beschwerde an das US-Handelsministerium sowie im Rahmen eines kostenlosen Alternative Dispute Resolution Verfahrens geltend gemacht werden. Für eventuelle Rechtsverletzungen seitens der US-Geheimdienste soll auf US-Seite ein unabhängiger Ombudsmann bestimmt werden.

Mit der Einigung auf das EU-US Privacy Shield sind Stand heute zunächst lediglich die Gespräche zwischen der EU Kommission und den USA abgeschlossen worden. Das EU-US Privacy Shield wird nunmehr zunächst noch der Art. 29-Datenschutzgruppe zur Prüfung vorgelegt und ist schließlich noch durch die Mitgliedsstaaten zu verabschieden. Auf US-Seite sind bis zur möglichen Anwendung des EU-US Privacy Shields ebenfalls noch einige Hausaufgaben zu erledigen.

Safe Harbor

1. Februar 2016

Die von der Artikel-29-Arbeitsgruppe gesetzte Übergangsfrist zum Abschluss eines neuen Abkommens zwischen der US-Regierung und EU-Kommission ist heute abgelaufen. Ab sofort sind deshalb Maßnahmen der Datenschutzbehörden im Zusammenhang mit der Übertragung personenbezogener Daten in die USA möglich, weitere Informationen von offizieller Seite sind angekündigt: Eine Unterrichtung des europäischen Parlaments durch die EU-Kommission zu den Ergebnissen der bisherigen Verhandlungen wurde für heute angekündigt. Die Artikel-29-Arbeitsgruppe tagt am 2. Februar 2016 und hat ihre Mitteilung für den 3. Februar 2016 angekündigt.

Onlinehandel

9. Januar 2016 

Mit Inkrafttreten der „Verordnung (EU) Nr. 524/2013 des Europäischen Parlaments und Rates vom 21. Mai 2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten“ (ODR-Verordnung) gelten ab dem 9. Januar 2016 neue Informationspflichten für den Onlinehandel. Hintergrund ist die Einrichtung einer OS-Plattform der EU (Online-Streitbeilegungsplattform), welche der gütlichen Beilegung von Streitigkeiten zwischen Unternehmen und Verbrauchern dient, wobei das Verfahren vollständig online verläuft. Onlinehändler müssen einen leicht zugänglichen Link zur OS-Plattform der EU sowie eine E-Mail-Adresse auf ihrer Webseite angeben. Auch wenn die OS-Plattform nach Angaben der EU-Kommission erst ab dem 15. Februar 2016 zur Verfügung stehen wird, sind die neuen Informationspflichten bereits jetzt verbindlich.

Safe Harbor

21. Dezember 2015

Die Bundesregierung hat eine kleine Anfrage der Fraktion DIE LINKE u.a. zu den Auswirkungen der „Safe Harbor“-Entscheidung des EuGH dahingehend beantwortet, dass Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA weiterhin auf Grundlage der verbliebenen möglichen Rechtsgrundlagen der Datenübermittlung (Standard-Vertragsklauseln, Einwilligung, verbindliche Unternehmensregelungen (BCRs)) erfolgen können. Die Bundesregierung weist in ihrer Stellungnahme gleichwohl darauf hin, dass die Art. 29-Daten­schutzgruppe derzeit die Auswirkungen des EuGH-Urteils auf diese verbliebenen Rechtsgrundlagen überprüft.

Erfahren Sie mehr zu der Themati in unseren Legal Dbrief Webcast am 17. Februar 2016.

Safe Harbor

17. Dezember 2015

Mit der Erweiterung des Unterlassungsklagengesetzes (UKlaG) sind nunmehr bestimmte autorisierte Verbände berechtigt, bei Datenschutzverstößen mit Unterlassungsklagen gegen Unternehmen und Unternehmensinhaber vorzugehen. Das UKlaG sieht insoweit vor, dass in solchen Unterlassungsklagenverfahren die jeweils zuständige Datenschutzbehörde von Amts wegen anzuhören ist. Unterlassungsklageverfahren dürften mithin stets ein kostspieliges Nachspiel für Unternehmen im behördlichen Bußgeldverfahren haben. Auf Basis einer Übergangsvorschrift stellt das UKlaG klar, dass unzulässige Datenübermittlungen in die USA, die bis zum EuGH-Urteil vom 6. Oktober 2015 noch auf der Grundlage des „Safe Harbor“-Abkommens zulässig waren, erst ab dem 1. Oktober 2016 verfolgt werden können.

Erfahren Sie mehr zu der Themati in unseren Legal Dbrief Webcast am 17. Februar 2016.

EU-DSGVO

15. Dezember 2015

Am 15. Dezember 2015 haben sich die zuständigen EU Organe auf einen gemeinsamen Text für die neue EU-DSGVO geeinigt. Die Einigung ist ein Meilenstein der Reform des europäischen Datenschutzrechts und gleichzeitig Startschuss für Strategien zur EU-Datenschutz-Compliance. Für die Schaffung eines einheitlichen Datenschutzrahmens in der EU bedarf es lediglich noch der finalen Verabschiedung durch das Europäische Parlament. Diese wird für Anfang des Jahres 2016 erwartet.

IT-Sicherheit

7. Dezember 2015

Zum Jahresende 2015 hat die EU eine politische Einigung über den Entwurf einer Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union („NIS-RL“) erzielt. Zwar hat Deutschland mit dem bereits am 25. Juli 2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) die Anforderungen der NIS-RL teilweise bereits umgesetzt. Aber es bestehen eine Reihe offener Fragen, insbesondere zum Anwendungsbereich des IT-Sicherheitsgesetzes sowie zu den Auswirkungen der NIS-RL.

Safe Harbor 2.0

26. Oktober 2015

Im Nachgang der „Safe Harbor“-Entscheidung des EuGH vom 6. Oktober 2015 haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (sog. Datenschutzkonferenz) in einem Positionspapier vom 26. Oktober 2015 mitgeteilt, dass zum einen für Binding Corporate Rules (BCR) bis auf weiteres keine Genehmigungen mehr erteilt werden und dass zum anderen BCR und EU Standardvertragsklauseln zur möglichen Rechtfertigung eines Datentransfers in die USA im Lichte der EuGH-Entscheidung überprüft werden sollen. Eine verbindliche Stellungnahme der deutschen Datenschützer wie auch der europäischen Datenschützer (Art. 29-Gruppe) ist für Ende Januar 2016 angekündigt. Sollte hier entschieden werden, dass weder EU Standardvertragsklauseln noch BCR einen Transfer personenbezogener Daten in die USA rechtfertigen können, wird eine Rechtfertigung künftig nur noch auf Grundlage individueller Einwilligungserklärungen der Betroffenen erfolgen können.

Safe Harbor Urteil des EuGH

6. Oktober 2015

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 6. Oktober 2015 (Az.: C-362/14) die sog. „Safe Harbor“-Entscheidung der EU-Kommission für unwirksam erklärt. Damit können ab sofort Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf die „Safe Harbor“-Entscheidung gestützt werden.

Vielen Unternehmen wird dadurch die von ihnen bisher gewählte rechtliche Grundlage für die Übermittlung von personenbezogenen Daten an Dienstleister und Unternehmen in den USA entzogen. Vor allem ist auch die Übermittlung von personenbezogenen Daten zwischen europäischen und US-amerikanischen Konzerngesellschaften auf der Grundlage der „Safe-Harbor“-Entscheidung nicht mehr möglich.

Did you find this useful?

Related topics