news IT - Datenschutz - arrows

Insights

Newsflash IT / Datenschutz 

Halten Sie sich auf dem Laufenden über aktuelle Entwicklungen, Entscheidungen und Nachrichten aus dem Bereich IT und Datenschutz.

Deutsche Aufsichtsbehörden verständigen sich auf Muster-Verfahrensverzeichnisse

30 June 2017

Die deutschen Aufsichtsbehörden haben sich auf Vorlagen für das Verfahrensverzeichnis nach Artikel 30 der EU-Datenschutzgrundverordnung (DSGVO) verständigt:

Die Vorlagen bieten Unternehmen eine Orientierungshilfe bei der Erstellung oder Anpassung ihres Verfahrensverzeichnisses an die neuen Anforderungen der DSGVO. Insbesondere im Bereich der technischen und organisatorischen Maßnahmen sollte überprüft werden, ob und inwieweit die bisherige Darstellung den neuen Anforderungen entspricht.

Bundestag beschließt Änderung von § 203 StGB

29 June 2017

Am 29. Juni 2017 hat der Bundestag gesetzliche Neuregelungen beschlossen, die Berufsgeheimnisträgern die Inanspruchnahme externer IT-Dienstleister erleichtert. Kernstück der Neuregelungen ist eine Änderung von § 203 des Strafgesetzbuchs (StGB). § 203 StGB bestraft die Offenbarung fremder Geheimnisse, die bestimmten Berufsgeheimnisträgern (z.B. Rechtsanwälte, Ärzte, Angehörige von Versicherungsunternehmen) im Rahmen ihrer Berufsausübung bekannt geworden sind.

Ziel der Änderung ist es, § 203 StGB an die mit der Digitalisierung einhergehenden Anforderungen anzupassen und die Einschaltung externer Dienstleister, insbesondere bei Einrichtung, Betrieb, Wartung und Anpassung informationstechnischer Anlagen, Anwendungen und Systeme zu ermöglichen. Bislang bedarf die Einschaltung externer Dienstleister einer ausdrücklichen Einwilligung der Betroffenen, sofern ihnen ein Zugriff auf oder die Kenntnis der Geheimnisse möglich ist. Zukünftig ist eine Offenbarung von Geheimnissen an sog. mitwirkende Personen zulässig, sofern dies für deren Tätigkeit erforderlich ist. Die externen Dienstleister sind vertraglich zur Geheimhaltung zu verpflichten. Für Mitarbeiter externer Dienstleister von Berufsgeheimnisträgern ist zukünftig zu beachten, dass sie sich persönlich strafbar machen, wenn sie Geheimnisse offenbaren, die ihnen im Rahmen ihrer Tätigkeit bekannt geworden sind.

Die gesetzlichen Neuregelungen umfassen darüber hinaus Anpassungen der Bundesrechtsanwaltsordnung (BRAO), der Bundesnotarordnung (BNotO), der Patentanwaltsordnung (PAO), des Steuerberatungsgesetzes (StBerG) und der Wirtschaftsprüfungsordnung (WPO).  

Handreichungen der Aufsichtsbehörden zum Beschäftigtendatenschutz

29. Juni 2017

Neue Handreichungen zum Beschäftigtendatenschutz: Sowohl die Artikel 29 Gruppe, ein Zusammenschluss der europäischen Datenschutzbehörden, als auch der Datenschutzbeauftragte des Landes Baden-Württemberg haben kürzlich Handreichungen zur Datenverarbeitung im Beschäftigungskontext veröffentlicht. Auch eine Veröffentlichung des Bayerischen Landesdatenschutzbeauftragten beschäftigt sich mit der Thematik (siehe hier, hier und hier). Die Handreichungen berücksichtigen noch nicht die Neuregelung des § 26 Bundesdatenschutzgesetz (BDSG). Die angesprochenen Themen und Empfehlungen werden jedoch auch nach dem neuen Recht von Relevanz sein.

OVG NRW: Neufassung der Vorratsdatenspeicherung verstößt gegen EU-Recht | Bundesnetzagentur setzt Durchsetzung aus

22. Juni 2017

Die ab dem 1. Juli 2017 zu beachtende Neufassung der Vorratsdaten­speicherung ist nach einem Beschluss des Oberverwaltungsgerichts NRW vom 22.06.2017, Az. 13 B 238/17 nicht mit EU-Recht vereinbar.

Nach Auffassung des Gerichts ist die in § 113 b Telekommunikations­gesetz geregelte Pflicht für Anbieter öffentlicher Telekommunikations­dienste, pauschal und anlasslos die Verkehrs- und Standortdaten ihrer Nutzer für zehn (Verkehrsdaten) bzw. vier (Standortdaten) Wochen zu speichern, nicht mit Art. 15 Abs. 1 der EU-Datenschutz­richtlinie für elektronische Kommunikation (2002/58/EG) vereinbar. Das Gericht stützt sich auf ein Urteil des Europäischen Gerichtshofs vom 21. Dezember 2016, Az. C-203/15 und C-698/15. Danach müssen nationale Regelungen zur Vorratsdaten­speicherung den betroffenen Personenkreis wirksam begrenzen, z.B. im Hinblick auf die Verfolgung schwerer Straftaten, die Bekämpfung schwerer Kriminalität oder die Verhinderung einer schwerwiegenden Gefahr für die öffentliche Sicherheit.

Der Beschluss ist unanfechtbar. Eine Entscheidung im Hauptsacheverfahren steht derzeit noch aus. Die Entscheidung gilt unmittelbar nur für das am Verfahren beteiligte Unternehmen. Die Bundesnetzagentur hat jedoch mitgeteilt, bis zum Abschluss des Hauptsacheverfahrens auf Anordnungen und Maßnahmen zur Durchsetzung der Vorratsdatenspeicherung zu verzichten.

BGH-Urteil zur Speicherung von IP-Adressen durch Webseitenbetreiber

16. Juni 2017

Nach einer Entscheidung des BGH vom 16. Mai 2017, Az. VI ZR 135/13 dürfen Internetseitenbetreiber die IP-Adressen ihrer Besucher auch ohne Einwilligung über den Nutzungsvorgang hinaus speichern, sofern dies erforderlich ist, um die Funktionsfähigkeit der Webseite zu gewährleisten. Dies wird insbesondere dann der Fall sein, wenn die Webseite Ziel von Cyberangriffen ist. Die Frage, wie groß die Gefahr für die jeweilige Website sein muss, wurde nicht geklärt. Das Thema dürfte daher auch weiterhin die Gerichte beschäftigen. Die vorsorgliche Speicherung muss dem Zweck dienen, Angriffe abzuwehren und die Strafverfolgung zu erleichtern.

Bereits im Oktober 2016 hatte der Europäische Gerichtshof auf Vorlage des BGH entschieden, dass auch dynamische IP-Adressen personenbezogene Daten sind (C-582/14). Künftig regelt Art. 4 Nr. 1 DSGVO, dass IP-Adressen personenbezogene Daten sind.

Erste Stellungnahme der Artikel-29-Datenschutzgruppe zum EU-US Privacy Shield

15. Juni 2017

Zur Vorbereitung der jährlichen Überprüfung des EU-US Privacy Shield (Privacy Shield) durch die Europäische Kommission hat die Artikel-29-Datenschutzgruppe, ein Zusammenschluss von Vertretern aller europäischer Datenschutzaufsichtsbehörden, eine erste Einschätzung abgegeben.

Die Gruppe äußert insbesondere Bedenken hinsichtlich der Umsetzung des Abkommens durch das US-Wirtschaftsministerium und forderte die Präzisierung von zu weit formulierten Definitionen des Abkommens. Außerdem verlangt sie Auskünfte zu den jüngsten Entwicklungen im US-Datenschutzrecht. Zudem sei unsicher, ob und wie die neue US-Administration das Abkommen umsetzen und sich an gegebene Zusagen halten werde.

IT-Sicherheit: Entwurf zur Änderung der BSI-KRITIS-Verordnung

6. Juni 2017

Neue Entwicklungen im Bereich IT-Sicherheit: Das Bundeskabinett hat einen Entwurf zur Änderung der BSI-KRITIS-Verordnung beschlossen. Dieser legt für weitere Sektoren fest, welche Infrastrukturen als kritisch gelten.

Zum Hintergrund:
Mit dem IT-Sicherheitsgesetz wurden im Juli 2015 umfangreiche gesetzliche Pflichten für die Betreiber kritischer Infrastrukturen eingeführt. Hierzu gehören nach § 8 a und b des BSI-Gesetzes die Pflicht zu einem angemessenen Schutz der IT-Systeme nach dem Stand der Technik und zu dessen Nachweis, zur Benennung einer Kontaktstelle und zur Meldung wesentlicher Störungen der IT-Systeme.

Was kritische Infrastruktur ist, wurde für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation bereits im Mai 2016 durch die BSI-KRITIS-Verordnung festgelegt. Der nun beschlossene Änderungsentwurf beinhaltet darüber hinaus die kritischen Infrastrukturen in den Sektoren Finanz- und Versicherungswesen, Gesundheit, sowie Transport und Verkehr.

Die Verordnung wird voraussichtlich noch im Sommer 2017 in Kraft treten. Betreiber kritischer Infrastrukturen der neu erfassten Sektoren müssen dann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine Kontaktstelle benennen und innerhalb von zwei Jahren angemessene technische und organisatorische Maßnahmen zum Schutz der IT-Systeme treffen und nachweisen. Hierfür können Sie auf die Orientierungshilfe des BSI zurückgreifen.

Neue Regelungen zum elektronischen Personalausweis

2. Juni 2017

Der Bundesrat hat dem Gesetz zur Förderung des elektronischen Identitätsnachweises (eID) (konsolidierte Fassung liegt noch nicht vor: Gesetzesentwurf, Änderungen des Bundesrates) am 2. Juni 2017 zugestimmt. Ziel der Neuregelung ist es, die Handhabung der Online-Funktionen des elektronischen Personalausweises zu vereinfachen. Hierdurch soll deren Akzeptanz erhöht und die Anwendung verbreitet werden.

Zukünftig werden die Online-Funktionen des elektronischen Personalausweises standardmäßig aktiviert sein. Die hierfür erforderliche eID-Funktion ist zwar bereits seit November 2010 in den Personalausweis integriert. Bisher wurden die Online-Funktionen jedoch nur auf Wunsch des Inhabers aktiviert, was Schätzungen zufolge nur von etwa einem Drittel der Inhaber in Anspruch genommen wurde.

Für Unternehmen wird es zudem einfacher eine Berechtigung zu erhalten, um ihren Kunden die Online-Funktionen des elektronischen Personalausweises anbieten zu können.

Außerdem ist vorgesehen, dass Sicherheitsbehörden künftig automatisiert Zugriff auf die biometrischen Lichtbilder erhalten. Dies wird von Datenschützern teils heftig kritisiert.

Vor seinem Inkrafttreten muss das Gesetz noch durch den Bundespräsidenten unterzeichnet und anschließend verkündet werden. Es tritt - mit Ausnahme des automatisierten Lichtbildabrufs, der erst ab Mai 2018 gilt - am Tag nach seiner Verkündung in Kraft. 

Update neues Bundesdatenschutzgesetz

12. Mai 2017

Das neue Bundesdatenschutzgesetz (BDSG-neu) ist da: Am 12. Mai 2017 hat der Bundesrat dem finalen Entwurf zugestimmt und das Gesetzgebungsverfahren abgeschlossen.

Regelungen im BDSG-neu betreffen z.B. die Datenverarbeitung im Beschäftigungsverhältnis, bei der der Vergabe von Verbraucherkrediten, sowie bei Scoring und Bonitätsauskünften und die Pflicht zur Bestellung eines Datenschutzbeauftragten. Mehr dazu finden Sie in Kürze in unseren Topics IT/ Datenschutz.

Das BDSG-neu wird am 25. Mai 2018 in Kraft treten.

Deutschland hat damit als erstes Land der EU ein nationales Begleitgesetz zur EU- Datenschutz-Grundverordnung (DSGVO) geschaffen. Es ist anzunehmen, dass BDSG-neu anderen EU-Staaten als Basis für nationale Datenschutzgesetze dienen wird. Aufgrund der umfassenden Abweichungen von der DSGVO, die das BDSG-neu vorsieht, steht zu befürchten, dass die Datenschutzanforderungen in den einzelnen Mitgliedsstaaten der EU stark variieren werden und sich die mit der DSGVO verfolgte Idee eines europaweit einheitlichen Datenschutzes nicht durchsetzen kann.

Bundestag verabschiedet neues Bundesdatenschutzgesetz

27. April 2017

Am 27. April 2017 hat der Bundestag das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) in seiner finalen Version vom 25. April 2017 angenommen. Das Gesetzespaket dient der Anpassung des deutschen Datenschutzrechts an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und der Umsetzung der EU-Datenschutzrichtlinie für Polizei- und Justiz (EU-Richtlinie 2016/680). Kernstück ist das neue Bundesdatenschutzgesetz (BDSG), das zum 25. Mai 2018 das bisherige BDSG ersetzen wird und die DSGVO in einzelnen Punkten ergänzt und konkretisiert.

Mit der für Mai 2017 anvisierten Zustimmung des Bundesrates zu dem Gesetzespaket wird das Gesetzgebungsverfahren abgeschlossen sein. Damit ist Deutschland europaweit Vorreiter bei der Umsetzung der neuen Anforderungen des EU-Datenschutzrechts in nationales Recht.

Ob der Abschluss des Gesetzgebungsverfahrens die gewünschte Rechtssicherheit bringt, bleibt abzuwarten: Die Europäische Kommission hat sich der bisher geäußerten Kritik an einigen Regelungen des neuen BDSG angeschlossen und Zweifel an deren Rechtmäßigkeit geäußert.

Weißbuch Digitale Plattformen

20. März 2017

Am 20. März 2017 hat die Bundesregierung ihr „Weißbuch Digitale Plattformen“ veröffentlicht. Das Dokument stellt das Ergebnis eines Konsultationsprozesses vor, an dem Unternehmen, Gewerkschaften, Verbände sowie interessierte Bürger teilgenommen haben. Anhand von verschiedenen Thesen und Leitlinien wurde die Öffentlichkeit über die mögliche Ausgestaltung eines künftigen Ordnungsrahmens für digitale Plattformen befragt.

Das Weißbuch folgt der Digitalen Strategie 2025 des Bundesministeriums für Wirtschaft und Energie (BMWi), welche im März 2016 Leitsätze und Handlungsfelder für die weitere Digitalisierung der Wirtschaft und Gesellschaft identifizierte. Im Weißbuch wird u.a. für eine rasche und europaweit einheitliche Umsetzung der europäischen Datenschutz-Grundverordnung plädiert. Ferner nimmt das BMWi Stellung zur Entstehung eines Vertrauensdienstegesetzes und zieht die Einrichtung einer Digitalagentur in Betracht.

EU US Privacy Shield und Trumps „Executive Order“

2. März 2017

Die EU-Justizkommissarin hat gegenüber der Nachrichtenagentur Bloomberg erklärt, die erst jüngst in Kraft getretene EU US Privacy Shield-Vereinbarung "ohne Zögern“ außer Kraft zu setzen, wenn die US-Regierung etwas an den ausgehandelten Voraussetzungen "signifikant“ ändere.

Hintergrund ist die Executive Order zur „Verbesserung der öffentlichen Sicherheit“ von US-Präsident Donald Trump vom 25. Januar. Diese nimmt Nicht-US-Bürger vom Schutz des "Privacy Act“ aus. Zwar hatte das US-Justizministerium der EU-Kommission am 22. Februar in einem Schreiben versichert, dass die USA weiterhin hinter dem Privacy Shield stünden. Die EU will jedoch in Anbetracht der „Unvorhersehbarkeit“ in einen weiteren Dialog mit der US-Regierung eintreten. Ende März soll ein klärendes Treffen zwischen der EU-Justizkommissarin und Vertretern der US-Regierung in Washington D.C. stattfinden.

Sollte das Privacy Shield tatsächlich kippen, bestünde erneut Rechtsunsicherheit im Hinblick auf Datenübermittlungen in die USA.

Aktuelle Leitfäden der Artikel 29 Gruppe zur DSGVO

1. Februar 2017

Die Artikel 29 Gruppe hat im Dezember 2016 einige Leitfäden zur Umsetzung der Datenschutzgrundverordnung (DSGVO) veröffentlicht: Ein Leitfaden beschäftigt sich mit dem Recht auf Datenportabilität in Artikel 20 DSGVO (Leitfaden, FAQ). Ein weiterer Leitfaden wurde zum Thema „Datenschutzbeauftragter“ veröffentlicht (Leitfaden, FAQ). Der dritte Leitfaden beschäftigt sich mit der Frage, welche Aufsichtsbehörde bei grenzüberschreitender Datenverarbeitung federführend ist, Artikel 56 DSGVO (Leitfaden, FAQ). Weitere Leitfäden zu den Themen Einwilligung, Profiling, Transparenz, Datenübermittlung in Drittländer und zur Meldepflicht bei Datenschutzvorfällen sind für das Jahr 2017 angekündigt.

Die Artikel 29 Gruppe ist ein europäischer Zusammenschluss aus Vertretern der nationalen Datenschutzbehörden, Vertretern der Europäischen Kommission und dem europäischen Datenschutzbeauftragten. Sie berät die Europäische Kommission in Datenschutzfragen und fördert die einheitliche Anwendung des europäischen Datenschutzrechts. Ihre Stellungnahmen und Leitlinien zu datenschutzrechtlichen Themen sind als rechtlich verbindlich zu betrachten, da sie die Rechtsauffassung der Aufsichtsbehörden im Bereich Datenschutz widerspiegeln.

Bundesregierung beschließt Gesetzesentwurf zum neuen deutschen Datenschutzgesetz

1. Februar 2017

Die Bundesregierung hat heute einen Gesetzesentwurf beschlossen, mit dem das nationale Datenschutzrecht an die neuen Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) angepasst werden soll.

Die DSGVO enthält eine Vielzahl von Öffnungsklauseln, die es den nationalen Gesetzgebern ermöglichen, ergänzende und konkretisierende nationale Regelungen zu treffen, z.B. im Bereich des Beschäftigtendatenschutzes, sowie im Hinblick auf die Voraussetzungen für die Bestellung eines Datenschutzbeauftragten.

Der beschlossene Gesetzentwurf muss jetzt erst noch im parlamentarischen Verfahren im Bundestag und Bundesrat beraten werden und die Entscheidung ist ungewiss. Denn der beschlossene Entwurf trifft wie die beiden ersten Entwürfe auf umfangreiche Kritik, z.B. im Hinblick auf die geplante Verkürzung der Betroffenenrechte und die Vereinfachung der Videoüberwachung öffentlicher Räume. Zudem halten Kritiker Teile des Gesetzes für europarechtswidrig, insbesondere soweit diese über die Öffnungsklauseln in der DSGVO hinausgehen.

IT-Sicherheit, E-Government, Automatisiertes Fahren: Neue Gesetzesentwürfe der Bundesregierung

25. Januar 2017

Aktuelle Entwicklungen im Bereich IT/Datenschutz: Die Bundesregierung hat heute einige relevante Gesetzesentwürfe beschlossen.

Im Bereich IT-Sicherheit handelt es sich um den Entwurf eines Gesetzes zur Umsetzung der EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS Richtlinie). Die NIS Richtlinie enthält neben Regelungen für Betreiber kritischer Infrastrukturen neue Pflichten für Anbieter digitaler Dienste.

Ein weiterer Entwurf betrifft das Thema E-Government: Ein neues sogenanntes „Open-Data-Gesetz“ soll die unentgeltliche Bereitstellung öffentlicher Daten durch die Verwaltungsbehörden des Bundes fördern.

Der dritte Gesetzesentwurf hat das Ziel, das Thema „Automatisiertes Fahren“ in das Straßenverkehrsgesetz zu integrieren. So sollen zukünftig unter bestimmten Voraussetzungen hoch- und vollautomatisierte Fahrsysteme selbständig die Fahraufgaben übernehmen.

Datenschutz: Jahres­rückblick 2016 und Ausblick 2017 | DSGVO: Get ready for May 2018!

10. Januar 2017

EU-Datenschutz­grundverordnung (DSGVO), neues Bundes­datenschutz­gesetz, internationale Datentransfers, E-Privacy Verordnung, neue Prozessrisiken im Datenschutzbereich. Das waren die Datenschutz­themen des Jahres 2016, die auch für das Jahr 2017 noch von großer Relevanz sind. In unserem Beitrag „Jahresrückblick 2016 und Ausblick 2017“ zeigen wir auf, was wichtig war und geben einen Ausblick darüber, was uns im Jahr 2017 erwartet.

Are you ready for May 2018? Die DSGVO gilt ab Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten. Bis dahin müssen Unternehmen und öffentliche Hand die neuen Vorschriften umgesetzt haben. Somit ist spätestens mit Beginn des Jahres 2017 der Startschuss für die Umsetzung der DSGVO gefallen. Sind Sie bereit? Wir helfen Ihnen, sich den Herausforderungen der DSGVO zu stellen und die Chancen zu nutzen. Deloitte Legal bietet einen interdisziplinären Ansatz, der es Ihnen ermöglicht, nicht nur „compliant" zu sein, sondern vorausschauend zu agieren. Get ready for May 2018 hier erfahren Sie mehr.

Neue Vorschriften zur internationalen Daten­über­mittlung zwischen Ermittlungs­behörden

27. Dezember 2016

Auch im Bereich der Datenüber­mittlung zwischen Justiz- und Ermittlungs­behörden gab es einige Veränderungen in 2016:

Auf europäischer Ebene ist Ende April 2016 die Richtlinie 2016/80 in Kraft getreten. Sie vereinheitlicht europaweit die Vorgaben zur Übermittlung personen­bezogener Daten bei der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, sowie der Strafvollstreckung. Sie beinhaltet unter anderem Vorgaben zur Datenverarbeitung, zu den Rechten Betroffener, zur Datenübermittlung, sowie zu Datenschutz und Datensicherheit. Die Richtlinie muss von den Mitgliedsstaaten bis Mai 2018 in nationales Recht umgesetzt werden.

Auf internationaler Ebene ist das sog. „Umbrella Agreement“ von Relevanz. Es schafft verbindliche Vorgaben für die Datenübermittlung zwischen den Justiz- und Ermittlungs­behörden der EU und den USA. Hintergrund für das Abkommen ist zum einen die gemeinsame Verbrechens- und Terrorismusbekämpfung. Zum anderen soll ein verbesserter Schutz Betroffener gewährleistet werden. Neben einer Beschränkung der Speicherfristen soll den Betroffenen die Möglichkeit offen stehen, die Daten einzusehen und korrigieren zu lassen. Praktisch ist der Schutz allerdings beschränkt: diese Ansprüche müssen vor US Gerichten geltend gemacht werden und können aus Gründen der inneren Sicherheit abgelehnt werden. Nachdem Anfang Dezember 2016 das Europäische Parlament und der Europäische Rat dem Abkommen zugestimmt haben, sind insbesondere auf Seiten der USA noch interne Maßnahmen erforderlich, bevor das Abkommen in Kraft tritt.

Ältere Nachrichten finden Sie in unserem Newsflash Archiv.

Did you find this useful?

Related topics