Bundesdatenschutzgesetz soll geändert werden

Das Bundesministerium des Inneren und für Heimat hat einen Vorschlag geliefert, aufgrund dessen das deutsche Bundesdatenschutzgesetz geändert werden könnte. Das Bundesministerium reagiert dabei auf die Evaluierung der aktuellen Rechtslage und ist bestrebt, Vereinbarungen aus dem Koalitionsvertrag umzusetzen.

Die DSK (Datenschutzkonferenz) soll dabei eine gesetzliche Grundlage finden – das ohne zusätzliches Personal oder gesonderte Finanzierung. Eine rechtliche Verbindlichkeit der Beschlüsse der DSK kann dabei nicht festgehalten werden, ohne eine Grundgesetzänderung (aufgrund des Verbots der Mischverwaltung) vornehmen zu müssen.

Darüber hinaus wird es nach der Gesetzesänderung eine Einschränkung des Auskunftsanspruches geben. Betriebe sind jetzt nicht länger in der Pflicht, einem Betroffenen gegenüber zu sagen, ob personenbezogene Daten verarbeitet wurden, wenn dadurch Betriebs- oder Firmengeheimnisse offengelegt würden.
Es bestehen Sorgen, dass auf dieser Basis vor allem große Digitalunternehmen zukünftig regelmäßig Auskünfte auf dieser Basis verweigern werden.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/138783-bundesdatenschutzgesetz-soll-geaendert-werden?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Fitbit: Achtung bei unberechtigter Datenweitergabe

Aktuell häufen sich Beschwerden gegen den Fitness-Smartwatch-Anbieter Fitbit. Denn dieser soll personenbezogene Daten ohne eine wirkliche vorliegende Einwilligung an Drittstaaten weitergegeben haben.

Besonders problematisch: es handelt sich hierbei auch noch um besondere Kategorien von personenbezogenen Daten im Sinne des Art. 9 DSGVO – nämlich Gesundheitsdaten wie Puls, Kalorienanzahl, Daten über den Schlaf, das Essverhalten oder den weiblichen Zyklus der Nutzer.

Und genau diese werden weitergegeben an Länder, in denen kein vergleichbares Datenschutzniveau besteht. Dies geschieht – entgegen den Anforderungen der Einwilligung – nicht freiwillig sondern gewissermaßen unter Zwang, was der Vorschrift der DSGVO zuwider läuft. Der Nutzer wird nicht darüber informiert welche der Daten in welche Länder abfließen bzw. weitergegeben werden.

Auch kann diese erzwungene Einwilligung nicht einfach und frei widerrufen werden, wie es die DSGVO in Artikel 7 fordert. Wenn der Nutzer nicht möchte, dass die Daten weitergegeben werden, muss er sein Konto löschen. Was die Nutzung der Uhr oder den dahinterstehenden Sinn und Zweck wiederum quasi nutzlos macht.

In diesem Fall sind die Datenschutzbehörden der jeweiligen Länder der Beschwerdeführer informiert worden.

Kommen diese zum selben Ergebnis, dann ist eine enorm hohe Geldstrafe gegen Fitbit sicher denkbar.

Deshalb sollte bei der Einwilligung unbedingt in jedem Fall darauf geachtet werden, dass die Anforderungen der Artikel 6 und 7 DSGVO eingehalten werden.

Data Privacy Framework

Am 10.07.2023 ist der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, der als Grundlage für Datenübermittlung an zertifizierte Organisationen in die USA dienen kann.

Damit soll die bisher kritisch begutachtete Datenübertragung nach den USA abgesichert werden.

Vorab aber dazu eine kurze Entstehungsgeschichte des EU‐US Data Privacy Framework um die Einordnung zu erleichtern.

Der Europäische Gerichtshof (EuGH) erklärte 2015 und 2020 in den sog. „Schrems I“‐ und „Schrems II“‐Urteilen zwei frühere Angemessenheitsbeschlüsse für zertifizierte Stellen in den USA („Safe Harbor“ sowie „Privacy Shield“) aufgrund unverhältnismäßiger Zugriffsbefugnisse der US‐Sicherheitsbehörden und unzureichender Rechtsschutzmöglichkeiten für betroffene Personen für ungültig.

Dies lag zu einem sehr großen Teil an den Offenlegungen, dass US‐Sicherheitsbehörden systematisch und massenhaft auf personenbezogene Daten von EU‐Bürgerinnen und EU‐Bürgern zugreifen. Damit wurden die Grundsätze der Besagten gravierend verletzen. Daraufhin erklärte der EuGH im Oktober 2015 in der sog. „Schrems I“‐Entscheidung den „Safe Harbor“‐Angemessenheitsbeschluss der Europäischen Kommission für ungültig.

Der nachfolgende Angemessenheitsbeschluss, der auf das sog. „Privacy Shield“ beruhte, wurde aus ähnlichen Gründen durch das Urteil des EuGH s am 16. Juli 2020 ebenfalls hinfällig.

I. Das Problem der Übermittlung an sog. unsichere Drittländer

Problematisch seit dem war, dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittland (beispielsweise für administrative oder Supportzwecke) um eine Übermittlung nach Drittländern handeln kann. Die seitdem von US-Dienstleistern angeführten Server innerhalb der EU, auf denen die personenbezogenen Daten von EU-Bürgern  abgespeichert wurden, waren daher, genauso wie die vertragliche (nicht realistisch erfüllbare) Garantie, die Datenverarbeitung auf EU-Länder zu beschränken, datenschutzrechtlich gesehen, häufig irrelevant .

Als Lösung sollten die von der Europäischen Kommission verfassten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer dienen.

Diese wurden allerdings auch von vielen als nicht ausreichend bewertet, aus Gründen, die bereits anderorts in erheblicher Breite und Tiefe diskutiert wurden und deswegen hier nicht wiederholt werden sollen.

Dieses Problem soll aber nun mit dem EU‐US Data Privacy Framework abgeschafft worden sein.

Wichtig zu merken ist, dass der Angemessenheitsbeschluss zum EU‐US DPF lediglich sektoral ist. Dies bedeutet, er erfasst nur Datenübermittlungen an teilnehmende US‐Organisationen. Hier handelt es sich eben nicht um einen umfassenden Angemessenheitsbeschluss für die gesamten USA.

Datenexporteure müssen daher prüfen, ob ihre geplanten Datenübermittlungen in den Anwendungsbereich des Beschlusses fallen und damit auf Grundlage dieses Übermittlungsinstrumentes vorgenommen werden können.

II. Wer kann sich zertifizieren lassen? Wie wird zertifiziert?

Eine Selbstzertifizierung unter dem EU‐US DPF ist jeder US‐Organisationen, die der Aufsicht der Federal Trade Commission (FTC, eine US‐Bundesbehörde, die für Wettbewerbskontrolle sowie Verbraucherschutz zuständig ist) oder des US Department of Transportation (DOT, US‐Verkehrsministerium) unterliegen, möglich.
Zukünftig können gegebenenfalls weitere Zuständigkeiten hinzukommen.
Bislang steht eine Zertifizierung jedoch nur Unternehmen offen, welche einer der genannten aufsichtsbehördlichen Zuständigkeiten unterliegen.

Für die Aufnahme der Zertifizierung in die Liste des US‐Handelsministeriums (US Department of Commerce, DOC) bestehen bestimmte Voraussetzungen.
Dem Handelsministerium müssen unter anderem bestimmte 25 Informationen übermittelt werden:
• den Namen der betreffenden US‐Organisation (US‐Unternehmen oder US‐Tochtergesellschaften),
• den Zweck, zu dem die Organisation personenbezogene Daten verarbeiten wird,
• die Kategorie der personenbezogenen Daten, die von der Zertifizierung erfasst werden,
• die gewählte Überprüfungsmethode,
• den einschlägigen unabhängigen Regressmechanismus und
• die für die Durchsetzung der Grundsätze zuständigen gesetzlichen Stelle.

Werden sämtliche Anforderungen nach Überprüfung durch das Handelsministerium erfüllt, erklären die jeweiligen US‐Organisationen öffentlich, dass sie sich zur Einhaltung der Vorgaben des EU‐US DPF verpflichten, ihre Datenschutzrichtlinien zur Verfügung zu stellen und diese vollständig umsetzen.

Zur Überprüfung wird eine „Data Privacy Framework List“ veröffentlicht, welche diejenigen US‐Organisationen auflistet, die ihre Selbstzertifizierung unter dem EU‐US DPF abgeschlossen haben.

Nur Übermittlungen an dort aufgelistete US‐Organisationen können auf den EU‐US DPF gestützt werden. Es sollte also vor dem Eingehen eines jeweiligen Vertragsverhältnisses eine Überprüfung erfolgen, ob die jeweilige US-Organisation eine entsprechend gültige Zertifizierung besitzt.

Auf Grundlage des EU‐US DPF, können personenbezogene Daten ab dem Zeitpunkt, zu welchem die Organisation auf der entsprechenden Liste aufgezeigt wird, übermittelt werden.

Zum Erhalt der Zertifizierung erfolgt eine jährliche „Neu‐Zertifizierung“ mit Verpflichtungserklärungen gegenüber dem Handelsministerium und einer erneuten Prüfung durch dieses.

Die FTC, deren Zuständigkeit in 15 U.S.C. § 45 geregelt ist, weist auf Bereiche hin, in welchen sie keine bzw. nur eingeschränkte Zuständigkeiten hat.

Sollte der Datenexporteur daher Übermittlungen in diesen Bereichen planen, kann dies evtl. nicht auf Grundlage des Angemessenheitsbeschlusses zum EU/US DPF erfolgen. Betroffen sind insbesondere die Betreiber öffentlicher Telekommunikationsnetze, das Versicherungsgewerbe und der Bankensektor. Hier muss der Datenexporteur genau prüfen, ob der Datenimporteur auf der EU/US/DPF /Liste gelistet wurde.

III.  Welche Übermittlungen sind erfasst?

Auf Grundlage des EU‐US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU sowie dem EWR an US‐Organisationen, die aufgrund ihrer Zertifizierung zum EU‐US DPF in der EU‐US‐DPF‐Liste gelistet sind, erfolgen.

Allerdings sind keine Datenübermittlungen von Stellen außerhalb der EU (EWR), welche der DS‐GVO gem. Art. 3 Abs. 2 DS‐GVO unterfallen, an Organisationen in den USA, welche in der EU‐US‐DPF‐Liste, aufgelistet sind, vom Angemessenheitsbeschluss umfasst. Zudem gilt eine „journalistische Ausnahme“ für Daten im Zusammenhang mit journalistischer Aktivität und Medienarchiven. Diese Daten können nicht auf Grundlage des EU‐US DPF übermittelt werden.

Bei Beschäftigtendaten, welche im Beschäftigungskontext übermittelt werden, muss vorher geprüft werden, ob die Zertifizierung sich tatsächlich auch auf diese spezielle Datenart bezieht, da die Zertifizierung diese, nach unserer Ansicht, nicht zwingend erfasst.

Bußgeld für Datenpanne von Schwedischem Versicherungsunternehmen

Das schwedische Versicherungsunternehmen Trygg Hansa Försäkring wurde kürzlich im Rahmen einer Datenpanne von der schwedischen Datenschutzbehörde durchleuchtet.

Im Rahmen der Untersuchungen wurde eine technische Schwachstelle entdeckt, die zwischen 2018 und 2021 durch eine Anpassung einer URL-Adresse den Zugriff auf Dokumente von Versicherungsnehmenden ermöglichte.
Etwa 650.000 personenbezogene Daten von Kunden (über Gesundheit, Versicherung und finanzielle Situation) wurden dadurch einsehbar.

Für dieses Versäumnis wurden 35.000.000 Schwedische Kronen (= 2.945.632 Euro) verhängt.

Weitere Informationen finden Sie hier:
https://www.imy.se/contentassets/c3ee6b30e5084c598ff5545cd4912055/beslut-efter-tillsyn-enligt-dataskyddsforordningen—trygg-hansa-forsakring-filial.pdf

Finanzaufsicht Bafin von Hackern angegriffen

Die Bafin (Bundesanstalt für Finanzdienstleistungsaufsicht) wurde Opfer eines Hacker-Angriffs. Mittels einer DDoS-Attacke („Distributed Denial of Service“) sollten die Server der Bafin durch eine massive von Aufrufen überlastet werden.
Aufgrund der daraufhin eingeleiteten Abwehrmaßnahmen war die Webseite seit dem 1. September nur eingeschränkt erreichbar.

Hacken nahmen dieses und letztes Jahr bereits andere deutsche Unternehmen ins Visier, wie etwa diverse Flughäfen, welche dadurch keine Online-Services anbieten konnten. Bereits 2022 wurden diverse Ministerien, einschließlich des Verteidigungsministeriums, der Bundespolizei und des Bundesrates Opfer der russischen Hackergruppe „Killnet“.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/138739-finanzaufsicht-bafin-hackern-angegriffen-rewe-prospekt-bundesnetzagentur-gas?utm_source=newsletter&utm_medium=email&utm_campaign=ohn