EuGH kippt Safe Harbor
06. Oktober 2015

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im […]

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im deutschen Volltext. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

Max Schrems: Initial Response

Anna Biselli auf netzpolitik.org: Europäischer Gerichtshof: Safe Harbor ist ungültig! Schluss mit der blauäugigen Datenübertragung in die USA.

Sascha Lobo auf Spiegel Online: Safe-Harbor-Urteil: Entschuldigung, ich verstehe nur Verschiebebahnhof

Joerg Heidrich auf Heise Online: Nach dem EuGH-Urteil: Alternativen zu Safe Harbor

Niko Härting: Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?

Pressemittelung des Berufsverbands der Datenschützer (BvD): EuGH: Safe Harbor gekippt

Patrick Beuth auf Zeit Online: Ein leises Donnerwetter vom EuGH

Matthias Lachmann: Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation

Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 26.10.1015

 

0 Kommentare
Datenschutz bei Compliance Programmen
28. März 2013

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist es, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen. Sie helfen zum Beispiel Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären. Doch auch das Compliance-Programm selbst muss stets den gesetzlichen Anforderungen genügen. Vor allem […]

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist es, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen. Sie helfen zum Beispiel Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären. Doch auch das Compliance-Programm selbst muss stets den gesetzlichen Anforderungen genügen. Vor allem das Datenschutzrecht stellt hierbei viele Anforderungen und setzt Grenzen.

Fälle aus der Vergangenheit haben gezeigt, dass selbst vermeintliche Verstöße des Compliance-Programms gegen den Datenschutz erhebliche Imageschäden für das Unternehmen und sogar persönliche Konsequenzen für das Management haben können. Es drohen Bußgelder und im Extremfall strafrechtliche Verfolgung.

Rechtsanwalt Dr. Thomas Helbing, Inhaber der Kanzlei für Datenschutz und IT-Recht, hat eine 12-seitige Checkliste mit dem Titel „Datenschutz bei Compliance Programmen – eine Checkliste mit Erläuterungen und Best Practices“ entworfen. Diese hilft, datenschutzrelevante Themen bei Compliance-Programmen zu erkennen. Neben Kontrollfragen enthält die Checkliste Erläuterungen sowie Empfehlungen und Best Practices. Die Checkliste wendet sich an Compliance Officer, Mitarbeiter von Compliance-, Rechts- und Revisions-Abteilungen sowie Datenschutzbeauftragte.

Die Checkliste deckt derzeit folgende Bereiche ab:

  1. Interne Compliance Ermittlungen
  2. Einsichtnahme und Auswertung von Mitarbeiter E-Mails
  3. IT-Forensische Untersuchungen / Compliance Screenings / Massendatenanalysen
  4. Hinweisgebersysteme (Whistleblowing)
  5. Zentrale Compliance im Konzern / Verbund

Weitere geplante Themen: E-Discovery, Pre-Employment Screenings, Terrorlisten Screenings und Geldwäscheprävention

Die Checkliste wird regelmäßig aktualisiert und ergänzt. Auf der Webseite der Kanzlei können Sie die jeweils aktuelle Version kostenlos herunterladen.

0 Kommentare
Double-Opt-In steht in Frage
20. Dezember 2012

Das Oberlandesgericht (OLG) München hat in einer vieldiskutierten Entscheidung die etablierte Praxis des Double-Opt-In in Frage gestellt. Das Urteil (Az. 29 U 1682/12) sorgt für Verwirrung und Unverständnis unter Rechtsexperten. Im Herbst 2012 hat das Gericht entgegen der gängigen Rechtsprechung entschieden, dass selbst die Bestätigungs-E-Mail nach der Anmeldung zu einem Newsletter belästigende Werbung, Spam, darstellt. In […]

Das Oberlandesgericht (OLG) München hat in einer vieldiskutierten Entscheidung die etablierte Praxis des Double-Opt-In in Frage gestellt. Das Urteil (Az. 29 U 1682/12) sorgt für Verwirrung und Unverständnis unter Rechtsexperten.

Im Herbst 2012 hat das Gericht entgegen der gängigen Rechtsprechung entschieden, dass selbst die Bestätigungs-E-Mail nach der Anmeldung zu einem Newsletter belästigende Werbung, Spam, darstellt. In vielen Internetblogs sorgt das Urteil für Ratlosigkeit. Vom faktischen Untergang des Newsletter-Marketings ist die Rede.

Der Bundesgerichtshof (BGH) in Karlsruhe sollte in naher Zukunft die Gelegenheit erhalten, die Entscheidung zu korrigieren. Die Revision zum BGH wurde zugelassen. Der BGH wird dem OLG München aber wohl nicht folgen. Als Reaktion auf das Urteil vom OLG München ist nun eine erneute Abmahnwelle nicht auszuschließen. Die zugrunde liegende Krux zum Double-Opt-In wird bei optivo, einem der größten E-Mail-Marketing-Dienstleister im deutschsprachigen Europa, in Form einer Infografik dargestellt.

Im Fachbeitrag von Dr. Philipp Kramer und David Oberbeck, Experten für Datenschutzrecht und Recht der neuen Medien, sind hierzu Hinweise für Unternehmen im Magazin von Gründerszene erschienen.

0 Kommentare
Achtung Fake-Rechnungen!
01. September 2011

Eine freches Schreiben haben wir vor einigen Tagen von der Firma OfficeMarkt 24 erhalten. Es sieht aus wie eine Rechnung. Wir haben aber dort nichts bestellt und auch keine Lieferung erhalten. Erst bei genauem Hinsehen fanden wir die Lösung im Kleingedruckten auf der vermeintlichen Rechnung: Es handelt sich nicht um eine Rechnung sondern um ein […]

Eine freches Schreiben haben wir vor einigen Tagen von der Firma OfficeMarkt 24 erhalten. Es sieht aus wie eine Rechnung. Wir haben aber dort nichts bestellt und auch keine Lieferung erhalten. Erst bei genauem Hinsehen fanden wir die Lösung im Kleingedruckten auf der vermeintlichen Rechnung: Es handelt sich nicht um eine Rechnung sondern um ein Angebot. Die Überweisung des unten stehenden Betrages würde als Annahme des Angebotes gewertet werden. Beim dritten Lesen fielen dann auch die ganzen Rechtschreibfehler auf und auch ein Besuch der angegeben Webseite ergab, dass es sich hierbei ganz offensichtlich nicht um ein seriöses Unternehmen handelt. Ein Impressum fehlt komplett, die „About“-Seite ist leer und die Kontakt-Seite lässt sich nicht einmal anklicken. Das Ganze zielt wohl auf den manchmal etwas hektischen Büro-Alltag ab, in dem Rechnungen auch mal beglichen werden, ohne so ganz genau hinzuschauen.

Wir haben noch etwas weiter geforscht und es ergab sich ein recht diffuses Bild: Auf Handelsregister.de ist kein Eintrag zur OfficeMarkt 24 GmbH zu finden. Die angegebene Handelsregisternummer hingegen gehört zu einer Baufirma in Hamburg. Abgeschickt wurde das Schreiben in Schweden. Die Domain officemarkt24.com wurde von einem amerikanischen IT-Unternehmen registriert. Interessant zu erfahren wäre, zu wem das angegebene Postbank-Konto gehört und wie es Scheinfirmen gelingt, in Deutschland Konten einzurichten.

Wer auf den Trick hereingefallen ist, dem sei die Seite netzbetrug.de empfohlen. Hier werden mögliche rechtliche Schritte beschrieben, die helfen können, aus dem Vertrag wieder herauszukommen.

0 Kommentare
Neue Regelungen für Webseitenbetreiber?
12. April 2011

Ob Impressum, AGB oder Datenschutzerklärung – wer in Deutschland eine Webseite betreiben möchte, muss sich mit allerlei rechtlichen Beschränkungen und Vorgaben herumschlagen. Weitere Regelungen hat nun die hessische Landesregierung erarbeitet. Einen entsprechenden Gesetzentwurf möchte sie über den Bundesrat einbringen. Im Fokus stehen diesmal soziale Netzwerke, Online-Shops, Foren oder Blogs – sprich alle Webangebote, die eine […]

Ob Impressum, AGB oder Datenschutzerklärung – wer in Deutschland eine Webseite betreiben möchte, muss sich mit allerlei rechtlichen Beschränkungen und Vorgaben herumschlagen. Weitere Regelungen hat nun die hessische Landesregierung erarbeitet. Einen entsprechenden Gesetzentwurf möchte sie über den Bundesrat einbringen. Im Fokus stehen diesmal soziale Netzwerke, Online-Shops, Foren oder Blogs – sprich alle Webangebote, die eine Registrierung erforderlich machen. Vorgesehen sind verschiedene Änderungen am Telemediengesetz.

So sollen User in der Lage sein, mit einem Klick ihr Nutzerkonto aufzulösen. Inaktive Konten müssen automatisch gelöscht werden. Bei der Löschung sind auch alle zum Account gehörenden Inhalte, z.B. Kommentare zu löschen. Zudem muss bei Erstellung eines neuen Nutzerkontos die höchste Sicherheitsstufe per Default eingestellt sein – was das genau heißt, wird nicht gesagt. Auch muss der User einstellen können, ob seine dort angegebenen Daten von Suchmaschinen erfasst werden sollen.

Der Webseitenbetreiber soll zukünftig den User zudem über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte informieren. Zudem sollen Webseitenbetreiber verpflichtet werden, auf ihren Webseiten die zuständige Datenschutzbehörde zu benennen.

Was aus dem Gesetzentwurf letztendlich wird, bleibt abzuwarten. Kommentare gibt es auf Internet-Law und auf dem Blog von Jens Ferner.

0 Kommentare
IT-Sicherheitscheck für kleine und mittlere Unternehmen
01. April 2011

IT und Internet bestimmen mittlerweile einen Großteil unseres täglichen Arbeitens und Handelns. Unternehmen aller Branchen profitieren von den vielfachen Vorteilen des Webs und den umfangreichen Möglichkeiten, die die Informationstechnologie bieten. Gleichzeitig steigt jedoch auch die Bedrohung durch Kriminelle, die Sicherheitslücken in IT-Architekturen von Unternehmen für ihre Zwecke missbrauchen und zum Teil erheblichen Schaden anrichten. Unternehmen […]

IT und Internet bestimmen mittlerweile einen Großteil unseres täglichen Arbeitens und Handelns. Unternehmen aller Branchen profitieren von den vielfachen Vorteilen des Webs und den umfangreichen Möglichkeiten, die die Informationstechnologie bieten. Gleichzeitig steigt jedoch auch die Bedrohung durch Kriminelle, die Sicherheitslücken in IT-Architekturen von Unternehmen für ihre Zwecke missbrauchen und zum Teil erheblichen Schaden anrichten. Unternehmen sind daher drauf angewiesen, sich vor solchen Angriffen zu schützen. Gerade in kleinen und mittleren Unternehmen ist die Unsicherheit darüber, welche Maßnahmen getroffen werden müssen, häufig groß.

Unterstützung bieten hier das Projekt „Ratgeber IT-Sicherheit“, das vom Netzwerk Elektronischer Geschäftsverkehr (NEG) im Rahmen eines vom Bundeswirtschaftsministerium geförderten Verbundprojektes entwickelt wurde, sowie der DsiN-Sicherheitscheck der Initiative „Deutschland sicher im Netz„. Beide Checks ermitteln mithilfe eines Online-Tests die Beschaffenheit der IT-Sicherheit in einem Unternehmen und geben auf Basis der gegebenen Antworten individuelle Hinweise zur Verbesserung der IT-Sicherheit.

0 Kommentare
Webseiten-Statistik mit Piwik
23. März 2011

Wer eine Webseite betreibt, interessiert sich für gewöhnlich auch für das Surfverhalten seiner User. Dies lässt sich mithilfe verschiedener Tools – darunter auch Google Analytics – untersuchen. Problem dieser Tools ist jedoch, dass sie sich häufig mit den in Deutschland geltenden Datenschutzregelungen nicht vereinbaren lassen oder sich zumindest in einer rechtlichen Grauzone befinden. Ein besonderes […]

Wer eine Webseite betreibt, interessiert sich für gewöhnlich auch für das Surfverhalten seiner User. Dies lässt sich mithilfe verschiedener Tools – darunter auch Google Analytics – untersuchen. Problem dieser Tools ist jedoch, dass sie sich häufig mit den in Deutschland geltenden Datenschutzregelungen nicht vereinbaren lassen oder sich zumindest in einer rechtlichen Grauzone befinden. Ein besonderes Problem von Google-Analytics ist zum Beispiel, dass die Daten nicht auf dem Server des Webseitenbetreibers verarbeitet werden, sondern bei Google in den USA. Google behält sich zudem vor, die erhobenen Daten über die einfache Webanalyse hinaus zu nutzen und mit anderen Daten zusammen zu führen.

Eine interessante Alternative zu Google Analytics ist das frei verfügbare Web-Tracking-Tool Piwik, das seit kurzem auch auf brainosphere.de zum Einsatz kommt. Empfohlen wird es unter anderem vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), das nach verschiedenen Tests zu dem Ergebnis gekommen ist, dass sich Piwik den geltenden Datenschutzregelungen entsprechend einrichten lässt. Eine umfangreiche Anleitung, was dabei zu beachten ist, gibt es auch.

Kommentare zu den teilweise recht weitgehenden Vorgaben des ULD gibt es auf den juristischen Blogs ferner-alsdorf.de und telemedicus.info.

Der größte Vorteil an Piwik ist, dass es – anders als Google Analytics – lokal auf dem eigenen Webserver läuft und keine Daten an Dritte verschickt. Auch gibt es ein PlugIn zum Anonymisieren von IP-Adressen. Bei der aktuellen Version wird es bereits automatisch mitgeliefert. Besonders praktisch ist zudem das OptOut-Feature. Es gibt dem User die Möglichkeit, auf einfache Weise, das Tracking seines Surf-Verhaltens zu verbieten. Ist das Feature auf einer Webseite eingebunden, so wird eine kleine CheckBox anzeigt, mit welcher der User seine Besuche vom Tracking ausschließen kann.

0 Kommentare
Sicherheitslücken
15. November 2010

Der neue Personalausweis steht erneut wegen Sicherheitslücken in der Kritik. Einen Tag stand die Software für den elektronischen Personalausweis zum Download bereit – da war sie auch schon gehackt. Der Download wurde deaktiviert – das berichtet Spiegel Online. Damit geht die Diskussion um die Sicherheit des neuen Persos in die nächste Runde. Bereits im September […]

Der neue Personalausweis steht erneut wegen Sicherheitslücken in der Kritik. Einen Tag stand die Software für den elektronischen Personalausweis zum Download bereit – da war sie auch schon gehackt. Der Download wurde deaktiviert – das berichtet Spiegel Online. Damit geht die Diskussion um die Sicherheit des neuen Persos in die nächste Runde. Bereits im September hatte der Chaos Computer Club Sicherheitslücken am Lesegerät angemahnt. Dabei bringt der neue Ausweis viele Vorteile mit sich. So sollen beispielsweise in Zukunft viele Amtsgänge nicht mehr nötig sein – sie lassen sich dann bequem vom heimischen Computer aus erledigen. Auch beim Online-Shopping könnte der Ausweis eine sicherere Authentifizierung als bisher ermöglichen. Wir sind also gespannt wie es weitergeht.

Der neue Perso wird seit dem 1.November 2010 ausgestellt.  Er hat die Größe einer Scheck- oder EC-Karte und enthält einen kontaktlosen Chip, auf dem alle Daten enthalten sind. Wer will, kann neben den auf einem Personalausweis bisher üblichen Daten auch seinen Fingerabdruck abspeichern. Mehr Informationen gibt es hier.

Auch Apple hatte zu tun mit Sicherheitslücken. 134 davon wurden mit dem Update auf Mac OS X 10.6.5 geschlossen. Mehr dazu bei heise.de. Achtung: mit der steigender Beliebtheit der Apple-Produkte steigt auch deren Attraktivität bei Hackern. Sophos hat daher einen kostenlosen Virenscan für Macs herausgebracht. Schaden kann das nicht.

0 Kommentare
Datenschutz im Internet
18. März 2010

Die Unwissenheit über Datenschutz im Internet ist groß. Dies zeigt eine aktuelle Studie des IT-Branchenverbands Bitkom. Eine Befragung von tausend Internet-Nutzern über 14 Jahren ergab, dass fast jedem Zweiten (47 Prozent) Informationen darüber, wie er seine Daten im Netz schützen kann, fehlen. Gleichzeitig gaben aber auch über die Hälfte (55 Prozent) der Befragten an, dass […]

Die Unwissenheit über Datenschutz im Internet ist groß. Dies zeigt eine aktuelle Studie des IT-Branchenverbands Bitkom. Eine Befragung von tausend Internet-Nutzern über 14 Jahren ergab, dass fast jedem Zweiten (47 Prozent) Informationen darüber, wie er seine Daten im Netz schützen kann, fehlen. Gleichzeitig gaben aber auch über die Hälfte (55 Prozent) der Befragten an, dass die Hauptverantwortung für den Datenschutz im Netz bei den Nutzern selber liege.

0 Kommentare