EU-U.S. Data Privacy Framework – endlich Rechtssicherheit?
27. August 2023

Die EU-Kommission hat 10.7.2023  einen Adäquanzbeschluß gefällt, der den Datentransfer zwischen EU und USA vereinfachen soll. Dadurch gelten die USA unter bestimmten Voraussetzungen wieder als sicherer Drittstaat im Sinne der DSGVO. Damit endet eine dreijährige Phase der Verunsicherung. Denn nachdem der Europäische Gerichtshof 2020 das Vorgängerabkommen (EU-US Privacy Shield) kassiert hatte, war eine rechtssichere Übertragung […]

Die EU-Kommission hat 10.7.2023  einen Adäquanzbeschluß gefällt, der den Datentransfer zwischen EU und USA vereinfachen soll. Dadurch gelten die USA unter bestimmten Voraussetzungen wieder als sicherer Drittstaat im Sinne der DSGVO.

Damit endet eine dreijährige Phase der Verunsicherung. Denn nachdem der Europäische Gerichtshof 2020 das Vorgängerabkommen (EU-US Privacy Shield) kassiert hatte, war eine rechtssichere Übertragung sensibler Daten nur noch mit zusätzlichem Aufwand möglich.

Das Urteil des EuGH damals: Personenbezogene Daten dürfen nur in Länder übertragen werden, deren Datenschutz so streng ist wie der europäische. Diese Bedingung erfüllten die USA aus Sicht der Richter nicht, da US-Behörden trotz “Privacy Shield” fast ungehindert Zugang zu den Daten von EU-Bürgern hatten, wenn diese auf US-Servern lagen. Außerdem existierte kein angemessener Rechtsschutz für EU-Bürger, die gegen die Nutzung ihrer Daten vorgehen wollten.

Geklagt hatte der österreichische Datenschutzaktivist Max Schrems gegen die Übertragung von Daten durch Facebook aus Europa in die USA. Dort hätten NSA und FBI legal Zugriff auf persönliche Daten von Europäern. 

Das sahen die Richter am EuGH genauso. Das Urteil wurde als Schrems-II bekannt und machte den EU-US Privacy Shield über Nacht ungültig. Betroffen war somit nicht nur Facebook, sondern auch Microsoft, Google, Apple, Yahoo und jeder andere Serviceanbieter mit Kunden in Europa.

Aber auch die Datenschutzerklärungen vieler europäischer Unternehmen wurden hinfällig.

Wer danach immer noch personenbezogene Daten in die USA übertragen wollte, musste dafür Standardvertragsklauseln (SCC) abschließen und ein Transfer Impact Assessment (TIA) durchführen.

Was ändert sich?

Das EU-U.S. Data Privacy Framework (DPF) schafft eine allgemein gültige Rechtsgrundlage für Datentransfers in die USA. Es wird wieder deutlich einfacher, personenbezogene Daten in den USA zu speichern oder zu verarbeiten. Die bislang erforderlichen Maßnahmen hatten gerade für kleinere Unternehmen oft erheblichen Aufwand bedeutet. 

Was ist zu tun?

  • Voraussetzung ist, dass das US-Unternehmen auch beim Department of Commerce (DOC) zertifiziert ist. Solche Anbieter sind in der Data Privacy Framework List aufgeführt. 
  • Für alle anderen US-Datenverarbeiter ändert das neue Abkommen überhaupt nichts. In diesen Fällen gelten die gleichen Regeln wie für Unternehmen aus Ländern ohne Angemessenheitsbeschluss. Prüfen Sie also, ob Ihre Vertragspartner dem DPF beigetreten sind.
  • Vorhandene SCC bleiben bis dahin nötig, sollten also nicht gekündigt werden, bis Sie einen neuen DPF-basierten Vertrag mit Ihrem US-Partner abgeschlossen haben.
  • Prüfen Sie, ob Sie Ihre Datenschutzdokumentation anpassen müssen. Datenschutzerklärung, Informationspflichten und Ihr Verzeichnis von Verarbeitungstätigkeiten können betroffen sein.

Wie geht es weiter?

Damit das Data Privacy Framework ausgehandelt werden konnte, erließ US-Präsident Joe Biden am 07.10.2022 eine Executive Order. Darin wird den US-Geheimdiensten weiterhin Zugriff auf die Daten von Europäern gestattet. Genau dieser Zugriff aber war in der Vergangenheit Grund für die Ablehnung der Vorgängerabkommen durch den EuGH. 

Bidens Präsidentenerlass legt nun fest, dass der Datenzugriff der Geheimdienste “verhältnismäßig” sein solle. Ob das dem “angemessenen” Schutz personenbezogener Daten genügt, den die DSGVO fordert, wird den Europäischen Gerichtshof bald wieder beschäftigen. 

In Bezug auf den Rechtsschutz gibt es einen Fortschritt: EU-Bürger können jetzt nicht nur Beschwerde gegen die Verarbeitung ihrer Daten einlegen, sondern auch vor einem US-Gericht dagegen klagen.

Die Datenschutzbeauftragten von Hessen, Niedersachsen und Thüringen gehen nicht davon aus, dass das Data Privacy Framework dauerhaft Bestand haben wird. Max Schrems hat seine Einwände gegen das EU-U.S. Data Privacy Framework bereits öffentlich gemacht. Seine Klage dürfte folgen.

Datenschutz in Zeiten von Corona
31. Dezember 2020

Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick. tl; dr Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO […]

Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick.

tl; dr

  1. Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO implementierten wollte, einige strukturelle Mängel aufweist.
  2. Diese strukturellen Mängel wurden auch durch höchstrichterliche Urteile und die Diskussion um einen harten Brexit, der uns glücklicherweise erspart geblieben ist, deutlich.
  3. Folgende Mängel der DSGVO haben wir in diesem Jahr immer wieder beobachten können:

Corona-Warn-App

Die Diskussionen um die Corona-Warn-App zeigen exemplarisch, dass es entgegen der von Datenschützer*innen hier, hier und hier vertretenen Auffassung weiterhin einige Kritikpunkte auch aus Sicht des Datenschutzes gibt. So hat sich das höchste europäische Datenschutzgremium, der Europäische Datenschutzausschuss – EDSA (englisch: European Data Protection Board; EDPB) am 21. April 2020 recht früh festgelegt, dass es für Contakt-Tracing-Apps nicht erforderlich ist, dass der Ort von individuellen Usern verfolgt wird. Stattdessen sollen Näherungsdaten (proximity data) verwendet werden. Apple und Google haben festgelegt, dass das gemeinsame Exposure Notification Framework (ENF), das die Grundlage vieler Covid19-Apps wurde, aus Datenschutz- und Sicherheitsgründen keine Standortdaten an Gesundheitsbehörden und auch nicht an die eigenen Server weiter gibt. Nachdem wir nun seit dem Sommer wissen, dass „es auf die Cluster ankommt„, stellt sich schon die Frage, wie eine vernünftige elektronische Unterstützung ohne Geo-Lokalisierung auskommen kann. Die Antwort lieferte das RKI am 28.12.2020 mit Version 1.10.1 der Corona-Warn-App: einfach mal den Ort händisch eintippen. Die Implementierung einer seit über 10 Jahren üblichen „Check-In“-Funktion war scheinbar nicht möglich. Ebenso gibt es keinen Zugriff auf das lokale Adressbuch und den Kalender. Warum eigentlich nicht, wenn nicht aus Datenschutzgründen?

Datenschutz-Folgenabschätzung (DSFA)

Und damit kommen wir zu den Mängeln der DSGVO, die bei der Beurteilung der Corana-Warn-App aus Sicht des Datenschutzes deutlich werden. Das RKI als verantwortliche Stelle hat gemeinsam mit den Dienstleistern T-Systems und SAP sowie der Kanzlei Schürmann Rosenthal Dreyer eine bemerkenswerte Datenschutz-Folgenabschätzung (DSFA) vorgelegt. Bemerkenswert in zweierlei Hinsicht. Erstens ist es die derzeit wohl umfangreichste veröffentlichte DSFA im deutschsprachigen Raum (117 Seiten Bericht plus 297 Seiten Anlagen mit über 200 einzeln betrachteten Risiken). Noch überraschender ist aber das Ergebnis: Es bestehen nämlich laut DSFA hohe Restrisiken für die Betroffenen, die vom Verantwortlichen (dem RKI) nicht beseitigt werden können, schon weil die Corona-Warn-App auf Diensten von Google und Apple aufsetzt. Wohlgemerkt handelt es sich bei den vom RKI angeblich im ersten Schritt verarbeiteten Daten um stark pseudonymisierte Schlüssel aus dem ENF von Google und Apple, die ausschließlich im Speicher der Telefone der Betroffen liegen. Es ist insofern überraschend, dass für diese im ersten Schritt vom Betroffenen freiwillig auf dem eigenen Telefon verarbeiteten Daten, bei denen es unklar ist, ob überhaupt jemand mit vertretbarem Aufwand einen Personenbezug herstellen kann, die DSGVO Anwendung finden und das RKI (als Hersteller der App) dafür verantwortlich sein soll. Aber der Gesetzgeber und viele Datenschützer*innen wünschten sich offenbar eine strenge Auslegung des Haushaltsprivilegs. Es gibt sogar Datenschützer*innen, die die Auffassung vertreten, dass z.B. die Überprüfung einer Corona-App im Rahmen einer Einlasskontrolle  der DSGVO unterliegen soll (Zitat: „Der Aufenthalt von Personen in umgrenzten Räumen sortiert nach bestimmten Kriterien erfüllt die Voraussetzungen für ein nicht-automatisiertes Dateisystem„).

Microsoft Office 365 und Zoom

Etwas anders gelagert, aber gleichfalls betroffen von den Mängeln der DSGVO, ist die möglicherweise rechtswidrige Nutzung von Microsoft Office 365 mit Teams oder der beliebten Anwendung von Zoom in den Zeiten von Social Distancing und Homeoffice. Hier soll nicht etwa der Hersteller der Software für etwaige Datenschutzmängel zuständig sein, sondern der Nutzer der Software wie z.B. die örtliche Schulleitung. Schließlich stellt sich am Beispiel von Zoom schon die Frage, warum die Firma B verantwortlich ist, wenn ihr Mitarbeiter Herr A eine Einladung für eine Videokonferenz an Herrn C von der Firma D verschickt. Dabei hat Firma D doch ebenfalls einen Business Account bei Zoom und eine AVV abgeschlossen. Es könnte ja auch das Telekommunikationsgeheimnis zur Anwendung kommen und dann wäre der Dienstanbieter verantwortlich. Aber statt solche praktischen Lösungsvorschläge zu überlegen, beschenkt man sich bei den Aufsichtsbehörden lieber mit Nebelkerzen (Hashtag: #dsgvowirkt). 

Drittstaatentransfer

Ein weiterer unmittelbarer Konstruktionsfehler der DSGVO zeigt sich beim Drittstaatentransfer rund um die Artikel 44 ff. DSGVO. So musste die große Mehrheit der europäischen Unternehmen am 16.7.2020 nach dem Urteil des EuGH in Sachen Schrems II (gegen Facebook) überrascht feststellen, dass Teile Ihrer Datenverarbeitung unzulässig sind. Jedenfalls die Teile bei denen eine Übermittlung in die USA (z.B. durch den Einsatz von Subunternehmern) nicht ausgeschlossen werden konnte. Dabei ist es doch relativ unwahrscheinlich, dass eine betroffene Arbeitnehmerin z.B. an der Einreise in die USA gehindert wird, weil amerikanische Behörden sich ohne richterlichen Beschluss Zugang zu ihrer dienstlichen IP Adresse verschafft haben. Interessanterweise wurde die Interessenabwägung beim Drittstaatentransfer im Rahmen des Trilogs aus dem Gesetz gestrichen. Auch hier bemühten sich die Aufsichtsbehörden redlich, konnten aber nicht wirklich behilflich sein.

Cookies

Beim Thema Cookies gab es ein bemerkenswertes Urteil des BGH aus dem Mai, das zwar dazu führte, dass wir jetzt auch in Deutschland überall Consent Management Plattformen einsetzen. Ansonsten ist allerdings die Sanktionierung für Verstößen in diesem Bereich weitgehend unklar.

Bußgelder gegen 1&1, AOK und H&M

Ein weiteres hervorzuhebendes Thema ist das sog. Bußgeldkonzept der deutschen Aufsichtsbehörden. Durch drei interessante Bußgeldverfahren wurde in diesem Jahr zweierlei deutlich: Im Verfahren gegen 1&1 vor dem Landgericht Bonn zeigte sich, dass die Bußgelder unangemessen hoch sind. Im Verfahren gegen H&M zeigte sich, dass auch ein noch so hohes Bußgeld vom Beschuldigten akzeptiert wird, wenn die befürchteten Schäden durch eine medienwirksame Auseinandersetzung mit der Aufsichtsbehörde unkalkulierbar werden könnten. Gleiches dürfte sich auch die AOK gedacht haben, nachdem der Datenschutzbeauftragte von Baden-Würtemberg offenbar sogar mit einem Durchsuchungsbefehl um die Ecke kam.

Aber es gab auch gute Nachrichten in 2020: Einige Projekte konnten erfolgreich abgeschlossen werden, wir haben freundliche neue Kunden gewonnen und Martin hat im Podcast von Härting über die Einführung eines Datenschutz-Managements-Systems mit agilen Methoden berichtet.

In diesem Sinne wünschen wir Ihnen ein erfolgreiches und gesundes Jahr 2021!

Wir sind umgezogen!
01. März 2019

Ab sofort finden Sie uns in der Witzlebenstraße 21a in 14057 Berlin direkt hinter dem Amtsgericht Charlottenburg. Wir teilen uns die neuen Räumlichkeiten mit unseren Schwesterfirmen brainpilot, Klar EDV und NoX.

Ab sofort finden Sie uns in der Witzlebenstraße 21a in 14057 Berlin direkt hinter dem Amtsgericht Charlottenburg.

Wir teilen uns die neuen Räumlichkeiten mit unseren Schwesterfirmen brainpilot, Klar EDV und NoX.

3, 2, 1, hurra … die #DSGVO ist da. Hier sind die 10 beliebtesten Aufgaben.
25. Mai 2018

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch […]

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch keinen Einstieg in die neue Gesetzgebung gefunden haben, hilft evtl. der von uns entwickelte 10-Punkte-Plan:

  1. Aktualisieren Sie die Datenschutz-Erklärung Ihrer Website. Ein gutes Muster finden Sie beim Anwaltsverein. Etwas komfortabler geht es bei Thomas Schwenke (Kosten ab 99 EUR).
  2. Kümmern Sie sich um die Informationspflicht gegenüber Kunden, Mandanten, Patienten, Beschäftigten oder Bewerbern. Eine gute Praxishilfe finden Sie hier.
  3. Schalten Sie Ihre Video-Überwachung ab oder kümmern sich wenigstens um die Informationspflicht sowie die Beschilderung. Wie das geht, erfahren Sie beim LfD Niedersachsen.
  4. Analysieren Sie Ihre CRM-Daten und die Prozesse beim E-Mail-Marketing. Warum Sie dabei nicht in Panik geraten sollten, erfahren Sie von Martin Schirmbacher.
  5. Verzichten Sie auf Facebook Custom Audience und arbeiten Sie die Checkliste zu Google Analytics von Nina Diercks ab.
  6. Überlegen Sie sich interne Prozesse zum Auskunftsrecht und zur Meldepflicht bei Datenpannen.
  7. Benennen Sie einen DSB ab 10 Beschäftigten (Artikel 37 & § 38 BDSG) und teilen dessen Kontaktdaten (E-Mail-Adresse) der Aufsichtsbehörde mit.
  8. Schulen Sie Ihre Beschäftigten und verpflichten Sie sie auf die DSGVO. Ein gutes Muster erhalten Sie vom Bayerischen Landesamt für Datenschutzaufsicht.
  9. Beginnen Sie mit der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie Gesundheitsdaten verarbeiten, denken Sie an die Risikoanalyse. Vergessen Sie nicht die TOM-Liste.
  10. Erstellen Sie eine Übersicht Ihrer Auftragsverarbeiter. Eine Übersicht mit 100 Beispielen finden Sie hier.
DSGVO-Wissen
07. März 2018

Unsere neue Online-Mitarbeiterschulung (E-Learning) zur Datenschutz-Grundverordnung kommt bald! Am 25. Mai 2018 löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. Rechtzeitig zu dieser Umstellung werden wir auch BDSG-Wissen.de erneuern. Nicht nur die Inhalte werden an die […]

Unsere neue Online-Mitarbeiterschulung (E-Learning) zur Datenschutz-Grundverordnung kommt bald!

Am 25. Mai 2018 löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab.

Rechtzeitig zu dieser Umstellung werden wir auch BDSG-Wissen.de erneuern. Nicht nur die Inhalte werden an die neue Gesetzgebung angepasst, die Seite erfährt auch ein überfälliges Facelift. Das neue DSGVO-Wissen wird moderner, ansprechender und freundlicher. Was wir behalten ist unser Ansatz: kompetent, eingängig, preiswert – und leicht in Ihren Arbeitsalltag zu integrieren.

Ab April 2018 können wir Ihnen ein individuelles Angebot erstellen.

0 Kommentare
Der Countdown läuft … #DSGVO
25. Mai 2017

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und […]

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und nun bereits zur Hälfte verstrichen ist.

Die teilweise massiven Veränderungen bei der Datenverarbeitung im Unternehmensbereich, die durch das neue europäische Datenschutzrecht eintreten werden, lassen sich grob in drei Kategorien unterteilen:

  • erweiterte Informations- und Meldepflichten (gegenüber Betroffenen und Aufsichtsbehörden)
  • ausführlichere Dokumentationspflichten und der Nachweis der Rechtmäßigkeit der Datenverarbeitung (Rechenschaftspflicht)
  • verstärkte Anforderungen an die IT-Sicherheit (nach dem Stand der Technik)

Außerdem steigt wegen des erhöhten Sanktionsrahmens und der neuen Rechenschaftspflicht das Risiko bei Datenschutzverstößen auch noch im Nachhinein empfindlich belangt zu werden. Die Geldbußen werden mindestens um den Faktor 60 erhöht und orientieren sich an den Größenordnungen, die aus dem Kartellrecht bekannt sind.

Alle Unternehmen sollten sich also mit dem neuen Gesetz rechtzeitig vertraut machen und ein internes Projekt zur Umsetzung der Anforderungen aufsetzen. Nach aktuellen Schätzungen haben derzeit noch über 50 % der Unternehmen in Deutschland überhaupt nicht mit einem Umsetzungsprojekt zur DSGVO begonnen.

Für diese Unternehmen wird es jetzt höchste Zeit sich dem Thema zu widmen. Gute Möglichkeiten zum Einstieg finden sich in den Leitfäden zur DSGVO, die der Arbeitskreis Datenschutz des Bitkom e.V. entwickelt hat.

0 Kommentare
EU Datenschutz Reform beschlossen
16. Dezember 2015

Am 15. Dezember 2015 einigten sich Rat, Kommission und Parlament auf einen Kompromiss für die neue Datenschutz-Grundverordnung. Die Verordnung muss nun noch vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres und dann vom Parlament bestätigt werden und tritt dann mit einer Übergangsfrist von zwei Jahren in Kraft. In dieser Zeit müssen alle Mitgliedsstaaten die Gesetzesänderung […]

Am 15. Dezember 2015 einigten sich Rat, Kommission und Parlament auf einen Kompromiss für die neue Datenschutz-Grundverordnung. Die Verordnung muss nun noch vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres und dann vom Parlament bestätigt werden und tritt dann mit einer Übergangsfrist von zwei Jahren in Kraft. In dieser Zeit müssen alle Mitgliedsstaaten die Gesetzesänderung in lokales Recht umsetzen. Dann entscheidet sich auch, ob die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten in Deutschland erhalten bleibt. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

„Der heutige Abend hat den erwarteten Durchbruch für ein neues Datenschutzgesetz in der Europäischen Union gebracht.“ Jan Philipp Albrecht, Verhandlungsführer des Europäischen Parlaments für die Datenschutzverordnung

Kompromissvorschlag der Datenschutzverordnung, gefunden bei Härting Rechtsanwälte

„Trilog erfolg­reich, Ein­wil­li­gung tot“ deutliche Kritik von Niko Härting

Ebenfalls kritische Auseinandersetzung mit der Verordnung von Winfried Veil auf CR-Online: Angriff auf Internet und Meinungsfreiheit (Teil I, II und III)

Weiterführende Informationen des Berufsverbands der Datenschützer (BvD): https://www.bvdnet.de/themen/dsgvo/

Update: Das Gesetz  zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) wurde mittlerweile von Bundestag und Bundesrat beschlossen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten gilt in Deutschland weiterhin für alle Unternehmen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

 

0 Kommentare
EuGH kippt Safe Harbor
06. Oktober 2015

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im […]

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im deutschen Volltext. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

Max Schrems: Initial Response

Anna Biselli auf netzpolitik.org: Europäischer Gerichtshof: Safe Harbor ist ungültig! Schluss mit der blauäugigen Datenübertragung in die USA.

Sascha Lobo auf Spiegel Online: Safe-Harbor-Urteil: Entschuldigung, ich verstehe nur Verschiebebahnhof

Joerg Heidrich auf Heise Online: Nach dem EuGH-Urteil: Alternativen zu Safe Harbor

Niko Härting: Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?

Pressemittelung des Berufsverbands der Datenschützer (BvD): EuGH: Safe Harbor gekippt

Patrick Beuth auf Zeit Online: Ein leises Donnerwetter vom EuGH

Matthias Lachmann: Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation

Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 26.10.1015

 

0 Kommentare
BvD Verbandstag 2012 und EU-Datenschutzreform
31. März 2012

Der Verbandstag des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. findet in diesem Jahr am 9. und 10. Mai 2012 in Berlin statt. Auch in diesem Jahr werde ich an dieser interessanten Veranstaltung teilnehmen. Zu erwarten sind spannende Vorträge rund um das Thema Datenschutz. Als Hauptredner haben bereits Prof. Dr. Dres. h.c. Spiros Simitis und Peter […]

Der Verbandstag des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. findet in diesem Jahr am 9. und 10. Mai 2012 in Berlin statt. Auch in diesem Jahr werde ich an dieser interessanten Veranstaltung teilnehmen. Zu erwarten sind spannende Vorträge rund um das Thema Datenschutz. Als Hauptredner haben bereits Prof. Dr. Dres. h.c. Spiros Simitis und Peter Schaar zugesagt.

Insbesondere das Thema EU-Datenschutzreform wird sicher kontrovers diskutiert werden. Die Stellungnahme des BvD äußert sich sehr kritisch zu der geplanten Reform. Andere Stimmen, insbesondere der Bundesdatenschutzbeauftragte Peter Schaar (gemeinsam mit der EU-Kommisarin Viviane Reding), aber auch der Bundestagsabgeordnete Konstantin von Notz von den Grünen sehen eher die Vorteile eines einheitlichen europäischen Datenschutzniveaus.

Andere Kritiker der Reform, wie z.B. Prof. Nico Härting stellen das Verbotsprinzip beim Datenschutz komplett in Frage. So reizvoll dieser Ansatz auch sein mag, ich kann mir derzeit nicht vorstellen, dass es hierfür eine Mehrheit unter Fachleuten oder in der Politik geben könnte.

Am 20. März 2012 habe ich an dem ebenfalls sehr interessanten eco MMR Datenschutz Kongress in Berlin teilgenommen. Auch hier wurde das Thema EU-Datenschutzreform kontrovers diskutiert. Nach meiner Wahrnehmung war dort eine deutliche Mehrheit der Befürworter der EU-Datenschutzreform zu erkennen.

0 Kommentare
Webseiten-Statistik mit Piwik
23. März 2011

Wer eine Webseite betreibt, interessiert sich für gewöhnlich auch für das Surfverhalten seiner User. Dies lässt sich mithilfe verschiedener Tools – darunter auch Google Analytics – untersuchen. Problem dieser Tools ist jedoch, dass sie sich häufig mit den in Deutschland geltenden Datenschutzregelungen nicht vereinbaren lassen oder sich zumindest in einer rechtlichen Grauzone befinden. Ein besonderes […]

Wer eine Webseite betreibt, interessiert sich für gewöhnlich auch für das Surfverhalten seiner User. Dies lässt sich mithilfe verschiedener Tools – darunter auch Google Analytics – untersuchen. Problem dieser Tools ist jedoch, dass sie sich häufig mit den in Deutschland geltenden Datenschutzregelungen nicht vereinbaren lassen oder sich zumindest in einer rechtlichen Grauzone befinden. Ein besonderes Problem von Google-Analytics ist zum Beispiel, dass die Daten nicht auf dem Server des Webseitenbetreibers verarbeitet werden, sondern bei Google in den USA. Google behält sich zudem vor, die erhobenen Daten über die einfache Webanalyse hinaus zu nutzen und mit anderen Daten zusammen zu führen.

Eine interessante Alternative zu Google Analytics ist das frei verfügbare Web-Tracking-Tool Piwik, das seit kurzem auch auf brainosphere.de zum Einsatz kommt. Empfohlen wird es unter anderem vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), das nach verschiedenen Tests zu dem Ergebnis gekommen ist, dass sich Piwik den geltenden Datenschutzregelungen entsprechend einrichten lässt. Eine umfangreiche Anleitung, was dabei zu beachten ist, gibt es auch.

Kommentare zu den teilweise recht weitgehenden Vorgaben des ULD gibt es auf den juristischen Blogs ferner-alsdorf.de und telemedicus.info.

Der größte Vorteil an Piwik ist, dass es – anders als Google Analytics – lokal auf dem eigenen Webserver läuft und keine Daten an Dritte verschickt. Auch gibt es ein PlugIn zum Anonymisieren von IP-Adressen. Bei der aktuellen Version wird es bereits automatisch mitgeliefert. Besonders praktisch ist zudem das OptOut-Feature. Es gibt dem User die Möglichkeit, auf einfache Weise, das Tracking seines Surf-Verhaltens zu verbieten. Ist das Feature auf einer Webseite eingebunden, so wird eine kleine CheckBox anzeigt, mit welcher der User seine Besuche vom Tracking ausschließen kann.

0 Kommentare