SMS über Android-Apps ausspioniert

Laut einer Untersuchung spionieren 18.000 Apps Nachrichten über den Server des Werbeverteilers Taomike aus. Der Anbieter blendet über kostenlose Apps Werbung verschiedener Anbieter ein und spioniert dabei unterschiedliche Daten der Nutzer aus. Zur Zeit sind jedoch ausschließlich Nutzer in China betroffen und die App ist (noch) nicht über Google Play erhältlich.

Weitere Informationen erhalten Sie hier:
http://m.heise.de/security/meldung/18-000-Android-Apps-sollen-SMS-Nachrichten-ausspionieren-2860727.html

Der Europäische Gerichtshof stoppt Datentransfer in die USA. Safe Harbor-Regelungen sind unzulässig.

Die Große Kammer des Europäischen Gerichtshofs (EuGH) hat in seinem Urteil vom 6. Oktober 2015 in der Rechtssache Maximilian Schrems gegen den Kommissar für Datenschutz die Erklärung der Kommission zum Safe Harbor-Abkommen vom 26. 07. 2000 (Anmerkung: im Folgenden: SH) für ungültig erklärt. Der EuGH ist der Ansicht, dass durch Safe Harbour kein angemessenes Datenschutzniveau in Bezug auf die Übermittlung von personenbezogenen Daten von Europa in die USA gewährleistet wird.

Konsequenzen aus dem Urteil

Ein Datentransfer in die USA auf der Grundlage von SH ist mangels eines angemessenen Datenschutzniveaus unzulässig. Dieses Ergebnis hinterlässt ein unbefriedigendes Vakuum vor dem Hintergrund von über 4.000 Unternehmen, die personenbezogene Daten in die USA übermitteln und Millionen von Facebook-Nutzern. Gibt es eine Alternative, die anders als SH eine rechtmäßige transatlantische Datenübermittlung gewährleistet? In der Praxis und Fachöffentlichkeit werden die EU-Standardvertragsklauseln und die sogenannten Corporate Binding Rules diskutiert. Indessen binden diese Regelungen nur die jeweiligen Vertragsparteien. Hingegen haben die amerikanischen Behörden auf Grund der Rechtslage in den USA weiterhin ungehinderten Zugriff auf die Daten. Die EU-Standardvertragsklauseln und die Corporate Binding Rules stellen daher keine taugliche Alternative dar. Das Vakuum lässt sich auch nicht durch ein reformiertes SH-Regelwerk füllen, da in der Normenhierarchie die amerikanischen Rechtsnomen Vorrang gegenüber SH genießen. Vielmehr dürfte endgültig der Zeitpunkt gekommen sein, möglichst zeitnah ein internationales Abkommen zum transatlantischen Datenverkehr zu schaffen, das die im aktuellen Urteil des EuGH aufgestellten Anforderungen berücksichtigt, um die bestehende Rechtunsicherheit in der Praxis zu beseitigen. Für Kompromisse mit den USA ist der Spielraum begrenzt, da die EU beim Abschluss eines völkerrechtlichen Abkommens an die die in der EU-Grundrechtecharta verankerten Grundsätze, insbesondere Art. 8 (Schutz personenbezogener Daten), verbunden ist.

Zu den Entscheidungsgründen

Im Folgenden werden die Entscheidungsgründe – soweit bekannt – des für den Datentransfer aus Europa in die USA wegweisenden Grundsatzurteils dargestellt.

Entscheidungsbefugnis des EuGH

Wie kommt der EuGH dazu, SH zu kippen? Damit verhält es sich wie folgt: Vertritt eine nationale Datenschutzbehörde oder ein betroffener EU-Bürger die Ansicht, dass ein Rechtsakt der Europäischen Kommission wie etwa SH gegen die europäische Datenschutzrichtlinie im Lichte der EU-Grundrechtecharta verstößt, können sie die nationalen Gerichte anrufen. Schließt sich nun das angerufene nationale Gericht der Auffassung der Datenschutzbehörde bzw. des EU-Bürgers an, muss das nationale Gericht den Fall dem EuGH zur Vorabentscheidung vorlegen. Der EuGH entscheidet sodann abschließend über den Rechtsakt der Kommission.

Prüfungsmaßstab der Kommission und Prüfungsmaßstab des EuGH

Im Falle eines Datentransfers von Europa in einen Drittstaat muss gemäß Art. 25 der europäischen Datenschutz-Richtlinie in dem Drittstaat ein angemessenes Datenschutzniveau sichergestellt sein. Nach Auffassung der Kommission ist das Datenschutzniveau hinsichtlich der USA angemessen, soweit die Grundsätze der Entscheidung der Kommission vom 26.07.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ (Safe Harbor) und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, eingehalten werden.

Dem SH als Prüfungsmaßstab für die Ermittlung des angemessenen Datenschutzniveaus erteilt der EuGH eine klare Absage. Anders als der von der Kommission gewählte Ansatz ist nach Auffassung des EuGH zu klären, ob die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisten, das dem in der EU aufgrund der Richtlinie im Lichte der EU-Grundrechtecharta garantierten Niveau der Sache nach gleichwertig ist. Demzufolge ergibt sich daraus ein dreistufiges Prüfungsprogramm:

  1. Bestimmung des Schutzniveaus der Grundrechte in der EU, das sich aus der Interpretation der Richtlinie im Lichte der EU-Grundrechtecharta ergibt.
  2. Bestimmung des Schutzniveaus der Grundrechte in den USA auf der Grundlage der innerstaatlichen Rechtsvorschriften und internationalen Verpflichtungen.
  3. Prüfung der Gleichwertigkeit des US-amerikanischen Regimes zum Datenschutz im Vergleich zum europäischen Datenschutz.

Keine Gewährleistung eines angemessenen Datenschutzniveaus durch das Safe Harbour-Abkommen

Der EuGH prüft – ohne dass dafür seiner Ansicht nach eine rechtliche Notwendigkeit gegeben sein muss – zunächst das Datenschutzniveau von SH. Dieses verwirft der EuGH als völlig unzureichendes Instrument zur Gewährleistung eines angemessenen Datenschutzniveaus. Es begründet dies wie folgt:

  1. SH gilt nur für private Unternehmen, die sich den Regelungen auch ausdrücklich unterwerfen (Selbstverpflichtung). Andere private Unternehmen sowie staatliche Behörden sind an die Regelungen des SH nicht gebunden.
  2. SH muss höherem (us-amerikanischem) Recht weichen. Rechtsgüter wie die nationale Sicherheit, des öffentlichen Interesses, der Durchführung von Gesetzen haben gegenüber SH Vorrang. SH gewährleistet keinen Grundrechtsschutz gegenüber Eingriffen in den Datenschutz. Der Staat habe letztlich einen unbegrenzten Zugriff auf die übermittelten Daten. Hinzu kommt, dass es in den USA keinen effektiven gesetzlichen Rechtsschutz gegen solche Eingriffe gibt.

In einem weiteren Schritt prüft der EuGH, ob die Rechtsordnung der USA ein hinreichendes Schutzniveau gewährleistet, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist. Dem erteilt der EuGH eine klare Absage und zwar unter Verweis darauf, dass in den USA die Speicherung sämtlicher aus der EU übermittelten Daten durch staatliche Stellen ohne Einschränkungen zulässig ist. Die undifferenzierte und schrankenlose Verarbeitung und Nutzung der personenbezogenen Daten aus Europa, wird insbesondere nicht durch den Zweck der Datenverarbeitung beschränkt.

Der EuGH gelangt zu dem für den Datenschutz in den USA fatalen Ergebnis: Das Grundrecht auf Achtung der Privatsphäre ist in seinem Wesensgehalt verletzt. Der Wesensgehalt macht den Kern des Grundrechts aus, der für staatliche Eingriffe Tabu sein muss. Eine staatliche Intervention in den Wesensgehalt des Grundrechts lässt sich nicht durch den Vorrang anderer verfassungsrechtlich geschützter Rechtsgüter, z.B. öffentliches Interesse oder Sicherheit, rechtfertigen.

Die USA verletzen nach Auffassung des EuGH zudem das Grundrecht auf wirksamen rechtlichen Rechtsschutz. Eine Rechtsordnung, die keine Möglichkeit vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden Daten zu erlangen oder Berichtigung oder Löschung zu bewirken, unterminiert – so der EuGH – das Wesen des Rechtsstaats.

Daten Tausender Internetnutzer missbraucht

Nach Recherchen des Radioprogramms NDR Info sind Daten Tausender Internetnutzer missbraucht worden, um Onlineshops zu eröffnen und damit betrügerisch Kasse zu machen. Über diese Shops werden gefälschte Produkte bekannter Marken-Hersteller vertrieben. Die Opfer hatten zuvor ihre persönlichen Daten sowie ihre Kreditkartennummer in Onlineshop angegeben. Diese Daten nutzten die Betrügern für die Erstellung der illegalen Shops.

Einen ausführlichen Bericht finden Sie hier:
http://www.heise.de/newsticker/meldung/Medienbericht-Tausende-Onlineshops-auf-falsche-Namen-angemeldet-2843001.html

Neue Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW Helga Block

Zum 1. Oktober 2015 wird Helga Block neue Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW. Sie folgt damit Ulrich Lepper, der nach fünfjähriger Amtszeit in den Ruhestand geht.

Die Verwaltungsjuristin Helga Block ist gebürtige Münsteranerin und arbeitete vor ihrem Amtsantritt als Abteilungsleiterin im Innenministerium des Landes NRW. Hier war sie u. a. für die Themen Verfassungsrecht und Datenschutz verantwortlich.

Datenschützer gegen Facebook

Der Kläger Max Schrems, der vor dem europäischen Gerichshof gegen Facebooks Datenschutz klagt, hat in Irland einen Teilerfolg errungen. Der Generalanwalt des EuGH sieht das Safe-Harbour-Abkommen mit den USA in seinem Schlussantrag als ungültig an und unterstütz damit den Kläger Max Schrems. Es ist zwar nicht bindend für den Gerichtshof, dem Antrag zu folgen, doch der EuGH hielt sich in der Vergangenheit allgemeinhin an den Entscheidungen des Generalanwalts.

http://www.heise.de/newsticker/meldung/Datenschutz-bei-Facebook-EuGH-Generalanwalt-nennt-Safe-Harbour-ungueltig-2823994.html

Seminar “Ausbildung zum geprüften Datenschutzbeauftragten“ mit DEKRA-Zertifizierung „Fachkraft für Datenschutz“

Die GINDAT veranstaltet im November 2015 ein Seminar „Ausbildung zum geprüften Datenschutzbeauftragten“ mit dem Ziel der DEKRA-Zertifizierung zur geprüften „Fachkraft für Datenschutz“.

Das Seminar findet in der Zeit vom Montag, 16.11.2015 bis Donnerstag, 19.11.2015 in Remscheid statt. Am vierten Seminartag erfolgt die 90-minütige Prüfung durch Prüfer der DEKRA Certification GmbH.

Schwerpunkt des Seminars ist die Vermittlung von Rechtsgrundlagen zum Datenschutz. Daneben werden noch Technische und Organisatorische Maßnahmen zum Datenschutz (kurz TOM), Datenschutzorganisation sowie praktische Anwendungs- und Fallbeispiele im Datenschutz referiert.

Die Dozenten des Seminars, Rechtsanwälte und operativ tätige Datenschutzbeauftragte, verfügen über langjährige praktische Erfahrungen im Datenschutz.

Für weitere Informationen und ggf. Anmeldung zu diesem Seminar nutzen Sie bitte den nachfolgenden Link:

https://www.gindat.de/seminare/einzelansicht-seminare/article/seminar-ausbildung-zum-geprueften-datenschutzbeauftragten-brmit-dekra-zertifizierung-fachkraf.html

Keine EU Klage zur Vorratsdatenspeicherung

Laut EU-Kommission gibt es, entgegen anderen Berichterstattungen, keine Klage gegen das geplante Gesetzt zur Vorratsdatenspeicherung in Deutschland. Ein Vertragsverletzungsverfahren gegen die Pläne der Regierung wurde demnach vor dem Europäischen Gerichtshof (EuGH) nie angestrebt.
„Wir sind uns bewusst, dass die Vorratsdatenspeicherung oft Gegenstand einer sehr sensiblen, ideologischen Debatte ist und dass es eine Versuchung geben kann, die Europäische Kommission in diese Diskussionen zu ziehen“, heißt es in einer Stellungnahme der EU-Kommission.

Einen ausführlicheren Bericht finden Sie hier: http://www.heise.de/newsticker/meldung/EU-Kommission-plant-keine-Klage-wegen-deutscher-Vorratsdatenspeicherung-2818442.html

Bußgeld für unzureichende Auftragserteilung (§ 11 BDSG) – Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht

In seiner Pressemitteilung vom 20.08.2015 weist das Bayerische Landesamt für Datenschutzaufsicht auf die Fallstricke im Zusammenhang mit Auftragsdatenverarbeitung hin.

Die bayerische Datenschutzaufsichtsbehörde hatte vor kurzem ein Bußgeld in fünfstelliger Höhe gegen ein Unternehmen verhängt. In den schriftlichen Aufträgen mit den jeweiligen Dienstleistern, die im Auftrag Daten für dieses Unternehmen verarbeiten, fehlten konkrete Hinweise zu technischen und organisatorischen Maßnahmen, die laut § 11 Abs. 2 Satz 2 Nr. 3 BDSG zwingend erforderlich sind.

Ebenso wie die Beschreibung der Maßnahmen müssten dem Auftraggeber auch Kontrollrechte eingeräumt werden, die er gegenüber dem Dienstleister habe, so die Landesbehörde.

Die offizielle Pressemitteilung kann auf der Website des Bayerischen Landesamtes für Datenschutzaufsicht eingesehen werden.

Wenden Sie sich daher im Zweifelsfalle bei Auslagerung von Datenverarbeitung an Dienstleister (wie z. B. bei Fernwartung) an Ihren Datenschutzbeauftragten und bitten Sie ihn um Hilfestellung zur Erstellung der notwendigen vertraglichen Regelungen.

 

Marit Hansen ist neue Landesdatenschutzbeauftragte für Schleswig-Holstein

Marit Hansen ist die neue Landesdatenschutzbeauftragte für Schleswig-Holstein. Damit löst Sie den langjährigen Datenschützer Dr. Thilo Weichert ab, der dieses Amt seit 2004 innehatte.

Die Diplom-Informatikerin Frau Hansen war seit 2008 stellvertretende Landesbeauftragte für den Datenschutz in Schleswig-Holstein.

Der Presse gegenüber äußerte sie, dass sie den Verbraucherschutz weiter stärken wolle. Sie appellierte an die Wirtschaft, bereits frühzeitig bei der Entwicklung neuer Produkte Datenschutz und IT-Sicherheit mit zu berücksichtigen.

Weitere Sicherheitslücke beim Android Mediaserver

Wieder einmal steht bei Android-Geräten der Mediaserver als Schwachstelle im Mittelpunkt. Nach den Stagefright-Schwachstellen wurden weitere Sicherheitslücken entdeckt. Im Falle einer Attacke könnten Angreifer eigene Codes mit den Rechten des Mediaservers ausführen. Hierbei könnten Angreifer die Kontrolle über die Kamera und das Mikrofon übernehmen. Soweit bekannt ist, ist es bisher noch nicht zu derartigen Übergriffen gekommen, doch es scheint nur eine Frage der Zeit zu sein, bis wieder Millionen Smartphones betroffen sein könnten.

Einen ausführlicheren Bericht finden Sie hier: http://www.heise.de