Archiv für den Autor: Benedikt Hülsmann

Entwurf einer E-Privacy-Verordnung

Am 10. Januar 2017 hat die EU-Kommission ihren offiziellen Entwurf für über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG  (Verordnung über Privatsphäre und elektronische Kommunikation)  vorgelegt. Zeitgleich mit der zum 25. Mai 2018 wirksam werdenden EU-Datenschutzgrundverordnung (DS-GVO) soll die E-Privacy Verordnung die bisher geltende e-Privacy-Richtlinie und die ergänzende Cookie-Richtlinie aus dem Jahr 2009 ersetzen. Dies war auch dringend erforderlich, da die Richtlinie zwangsläufig nicht mit der technischen Entwicklung standhalten konnte.

Die neue Privacy-Verordnung soll die EU-Datenschutz-Grundverordnung dort ergänzen, wo sie nicht hinreicht. Dies betrifft insbesondere die sogenannten Over-the-Top-Dienste (OTT). Die Kommission führt als Beispiele Kommunikationsdienste wie WhatsApp, Facebook, Messenger, Skype, Gmail, iMessage oder Viber, aber auch die Maschine zu Maschine Kommunikation im “Internet der Dinge” an.

Die Kommission erhöht in Artikel 6 Abs. 3 die Voraussetzungen für eine Analyse von Inhalten elektronischer Kommunikation wie etwa Mail- oder Messaging-Nachrichten, weil sie hier grundsätzlich ein hohes Risiko von Grundrechtsverletzungen sieht. So sollen Dienste wie Googles GMail dafür künftig vorab die Datenschutz-Aufsichtsbehörden entsprechend Artikel 63 der DS-GVO konsultieren – noch ehe sie hierfür die ausdrückliche Einwilligung der Nutzer einholen. Den Empfehlungen der Behörde müssen die Diensteanbieter dann zwingend folgen.

Art. 6 legt fest, inwieweit eine Verarbeitung elektronischer Kommunikationsdaten erlaubt ist. Grundsätzlich dürfen Unternehmen Kommunikationsdaten von Verbrauchern nur nutzen, wenn der Nutzer ausdrücklich eingewilligt hat (Abs. 3 lit. a) oder die Daten zuvor anonymisiert wurden (Abs. 3 lit. b).

Wie bei allen Einwilligungen kann der Nutzer seine einmal abgegebene Einwilligung nach Artikel 9 Abs. 3 jederzeit widerrufen. An die Widerrufsmöglichkeit muss der Nutzer in regelmäßigen Abständen von 6 Monaten erinnert werden, solange die Verarbeitung andauert.

Unter der Überschrift unerbetene Kommunikation enthält Artikel 16 eine Ausnahmeregelung für Direktwerbung, welche die Verwendung von E-Mail-Kontaktdaten ohne weitere Einwilligung erlaubt, wenn es bereits eine “Kundenbeziehung” zwischen Anbieter und Nutzer gibt. Kunden müssen klar und deutlich die Möglichkeit haben,einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen. Es läuft also auf eine Opt-Out-Regelung hinaus. Ein Verbraucher muss damit rechnen, dass er nach einem Online-Einkauf möglicherweise mit einer Flut von Newsletters und E-Mailwerbung überschüttet wird.

Die Pflicht der Webseiten-Betreiber ihre Besucher über alle Cookies zu informieren ist nicht mehr erforderlich. Dies betrifft Cookies, die zu Konfigurationszwecken gesetzt werden oder in einem Webshop für das Befüllen von Warenkörben genutzt werden. Bei Tracking-Cookies entfällt die Informationspflicht nur dann, wenn der Browser über einen Do-Not-Track-Mechanismus verfügt, der Zustimmung oder Ablehnung übermitteln kann.

Browser müssen so konfigurierbar sein, dass Cookies von der direkt besuchten Website akzeptiert, jedoch Cookies von Drittanbietern blockiert werden können. Damit ist klar, dass die Werbeindustrie Do-Not-Track nicht länger wie bisher ungestraft ignorieren darf. Gleichzeitig werden damit wohl auch die meisten Cookie-Warn-Banner überflüssig.

Etwas verklausuliert und erst beim zweiten Durchlesen wird der Inhalt des letzten Satz von Präambel 21 verständlich. Dort heißt es: „Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

Damit versucht die Kommission das Blockieren von Adblock-Nutzer auf Verlags-Webseiten zu rechtfertigen. Diese Regelung dürfte aber dem Kopplungsverbot  in Art. 7 Abs. 4  DS-GVO zu widerlaufen, wonach eine verweigerte Einwilligung nicht zu einer grundsätzlichen Blockade des Webseitenbesuchers führen darf.

Der Sanktionsrahmen der geplanten E-Privacy-Verordnung entspricht konsequenterweise der Datenschutzgrundverordnung und verleiht den Vorgaben entsprechend Nachdruck. Ein Verbandsklagerecht, wie im Vorentwurf noch vorgesehen, gibt es nicht mehr. Das deutsche Verbandsklagerecht wird davon nicht beeinträchtigt.

Der Verordnungsentwurf geht jetzt zur Beratung zum Europäischen Parlament und zum Europäischen Rat.

Veröffentlichung des Aktuellen Gesetzentwurf der Bundesregierung zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680

Das Bundeskabinett hat am 01. Februar den überarbeiteten Gesetzentwurf des BMI zur Anpassung des Bundesdatenschutzgesetzes an die EU-Datenschutz-Grundverordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 beschlossen.

 

Kritik der Bundesbeauftragten für den Datenschutz und die Informationfreiheit an DSAnpUG-EU

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert, dass das Datenschutz -Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU dringend nachgebessert werden muss. Die BfDI moniert, dass die vom Bundesverfassungsgericht eingeforderten Kontrollbefugnisse der BfDI im Bereich Polizei und Justiz und außerhalb des Geltungsbereichs des EU-Rechts in dem vorliegenden Gesetzesentwurf deutlich beschränkt wurden. Sie hält eine unabhängige Kontrolle für heimliche Datenerhebungen für zwingend notwendig. Die BfDI erhalte hier keinerlei Durchsetzungsbefugnisse, möglich sind nur nicht-bindende Beanstandungen. Aus ihrer Sicht ist dies europarechtswidrig und auch in der Sache falsch.

EU-Parlament beschließt Datenschutzgrundverordnung

Vier Jahre hat es nun gedauert, seitdem die EU-Kommission im Jahr 2012 einen ersten Entwurf für eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes vorgelegt hatte. Die seit 1995 bestehende Datenschutzrichtlinie war dringend erneuerungsbedürftig, da sie aufgrund der rasanten technischen Entwicklung überholt war. Sie machte grundlegende Prinzipien wie Zweckbindung und Datensparsamkeit zum europaweiten Standard.

Die Verordnung tritt 20 Tage nach Veröffentlichung im Amtsblatt in Kraft und wird in zwei Jahren wirksam sein.

Am 4. Mai 2016 erfolgte die Veröffentlichung der DS-GVO im Amtsblatt der Europäischen Union. Sie tritt 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Unternehmen und Behörden verpflichtend. Der Zeitraum bis zum Wirksamwerden wirkt auf den ersten Blick sehr lang. Der Arbeitsaufwand sollte in Unternehmen und Behörden aufgrund der Vielzahl der neuen Anforderungen nicht unterschätzt werden, um die Prozesse der Datenverarbeitung den neuen Regelungen anzupassen.

Hatte das BDSG 48 Paragraphen, so kommt, die EU-Datenschutz-Grundverordnung mit 99 Artikeln und 173 Erwägungsgründen daher und ist damit deutlich umfangreicher als das Bundesdatenschutzgesetz. Die Verordnung, die zum Teil auch Richtliniencharakter hat, enthält eine Reihe von Öffnungsklauseln, die der nationale Gesetzgeber auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszufüllen hat, das gibt ihm aber auch die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Die Herausforderung besteht  darin, dass dem Gesetzgeber ein relativ kurz bemessener Zeitraum zur Verfügung steht, die entsprechenden Gesetzgebungsverfahren durchzubringen. Durch die im Herbst 2017 stattfindende Bundestagswahl wird das gerade in der Bundesrepublik zu einer großen Herausforderung.

Es lassen sich folgende Prinzipien unterscheiden:

  • Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 a, 1. Fall),
  • Grundsatz der Fairness (Art. 5 Abs. 1 a, 2. Fall),
  • Grundsatz der Transparenz (Art. 5 Abs. 1 a, 3. Fall),
  • Grundsatz der Zweckbindung (Art. 5 Abs. 1 b),
  • Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 c),
  • Grundsatz der sachlichen Richtigkeit (Art. 5 Abs. 1 d),
  • Grundsatz der begrenzten Speicherung (Art. 5 Abs. 1 e),
  • Grundsatz der Datensicherheit, Integrität und Vertraulichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der Verantwortlichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der datenschutzfreundlichen Technikgestaltung (Art. 25 Abs. 1),
  • Grundsatz der datenschutzfreundlichen Voreinstellung (Art.25 Abs. 2).

Was sind die wesentlichen Änderungen?

Einwilligung & Auskunftsrecht: Die Einwilligung bleibt wesentlicher Erlaubnistatbestand für die Datenverarbeitung und ihre Wirksamkeit wird weiterhin an strenge Voraussetzungen geknüpft, die zum Teil über die bisherigen Anforderungen hinausgehen.

 Der Einwilligende muss über Identität des Verantwortlichen und möglicher Empfänger, Art, Umfang und Zweck der Datenverarbeitung sowie das jederzeitige Widerrufsrecht informiert werden.

Das BDSG sah für die Einwilligung die Schriftform vor. Eine andere Form war wegen besonderer Umstände jedoch möglich (§ 4 a BDSG), wie z.B. im Onlinebereich mittels Mausklick.

Eine besondere Form der Einwilligung ist in der DSGVO nicht mehr vorgesehen. Die Einwilligung kann nunmehr mündlich, per Mausklick, mittels schlüssigen Verhaltens oder technischer Einstellungen am Browser erteilt werden.

Datenübertragbarkeit: Neu ist das Recht auf Datenübertragbarkeit gemäß Art. 20. Des Betroffenen erhält dadurch das Recht zur ungehinderten und uneingeschränkten Übermittlung seiner erhobenen personenbezogenen Daten durch den Verantwortlichen.

Die Datenübertragung hat in einer strukturierten, gängigen und maschinenlesbaren Form zu erfolgen.

Recht auf Vergessenwerden: Seit einem Urteil des Europäischen Gerichtshofs muss Google auf Verlangen von Nutzer*innen Suchergebnisse, welche auf sie bezogene Daten beinhalten, löschen. Dieses Recht wird nun für alle Unternehmen festgeschrieben. Sie müssen zukünftig persönliche Daten auf Wunsch der Betroffenen löschen.

Deutlich erhöhter Bußgeldrahmen: Verstöße gegen die Datenschutzregel, können mit bis zu vier Prozent des Jahresumsatzes eines Unternehmens geahnet werden. In einem früheren Entwurf war sogar ein Bußgeld von bis zu fünf Prozent des Jahresumsatzes als Strafe vorgesehen.

Mindestalter: Die Grundverordnung läßt den Mitgliedstaaten einen Entscheidungsspielraum,  ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen. Das könnte dazu führen, dass sich in einigen EU-Staaten Kinder bereits ab 13 Jahren beispielsweise bei Facebook anmelden dürfen, während in anderen EU-Ländern noch bis zum 16. Geburtstag die Zustimmung der Eltern dafür benötigt wird.

Marktortprinzip: Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt tätig sind, unabhängig davon ob sie ihren Sitz innerhalb der EU haben oder nicht. Wo die Datenverarbeitung stattfindet, ist auch unerheblich, da jede Verarbeitung von personenbezogenen Daten von Nutzerinnen bzw. Nutzern aus der EU unter den Anwendungsbereich der Grundverordnung fällt.

Privacy by Design – Privacy by Default

Art. 25 schreibt „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor. Unternehmen sollen bereits bei der technischen Produktentwicklung bzw. bei der Produktimplementierung datenschutzfreundliche Grundeinstellungen achten.

Politische Einigung im Trilog zur EU-Datenschutzgrundverordnung

Am 16.12.2015 wurde im Trilog von EU-Kommission, EU-Parlament und EU-Rat eine Einigung über den finalen Entwurf der EU-Datenschutz-Grundverordnung erzielt. Vorbehaltlich insbesondere der Zustimmung des EU-Parlaments Anfang des kommenden Jahres werden damit in Europa neue Datenschutz-Vorgaben geschaffen, die Anfang 2018 in Kraft treten sollen.

BSI, ]init[ und Fraunhofer SIT veröffentlichen Studie zur Datensicherheit in Web Content Management Systemen

Das Bundesministerium für Sicherheit in der Informationstechnologie, die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie haben eine gemeinsame Studie zur Datensicherheit in Web Content Management Systemen (CMS) veröffentlicht.

Bei CMS handelt es sich allgemein um Systeme, die die Darstellung, Nutzung und Verwaltung aufbereiteter Daten (z.B. Bilder, Texte) ermöglichen. Web CMS sind somit für die Aufbereitung solcher Daten auf Intra- oder Internetseiten zuständig. Ein solches Web CMS kann ein großer Schwachpunkt für die Datensicherheit sein, da es einem Angreifer meist eine erste Plattform zum tieferen Einstieg in eine Unternehmensstruktur bietet. Aufgrund des immer ähnlichen Aufbaus solcher CMS gefährden veröffentlichte Sicherheitslücken meist viele CMS-Websites.

Die nun vorgestellte Studie hat Open Source Web CMS wie Drupal, Joomla!, Plone, TYPO3 und WordPress im Hinblick auf deren Sicherheit unter die Lupe genommen. Diese sind die sowohl privat als auch professionell meist genutzten Web CMS. Geprüft wurden die Systeme dabei sowohl im Hinblick auf die rechtliche und organisatorische Ebene, als auch auf die dahinterliegende Technik. Dabei wurde "auch der gesamte Lebenszyklus von der Produktauswahl bis zum kontinuierlichen Betrieb des CMS betrachtet". Hierzu nutzten BSI, ]init[ und Fraunhofer SIT Dokumentenlagen, die sie durch eigene Tests und Installationen prüften.

Im Ergebnis beruht die Sicherheit vom CMS-Websites, laut der Studie, besonders auf:

  1. der eingesetzen Software, bzw. deren Sicherheit,
  2. der Konfiguration der CMS in Abstimmung mit anderen eingesetzten Komponenten, und
  3. einem stetigen Einspielen der Sicherheitsupdates und weiterem kontinuierlichen Systemmanagements.

Die Studie bewertet die sicherheitstechnische Eignung der verschiedenen CMS und zeigt Privatleuten und IT-Spezialisten der öffentlichen Verwaltung und der freien Wirtschaft Möglichkeiten für den sicheren Umgang mit CMS auf.

Die Studie ist hier abrufbar.

DATEV und DsiN stellen neuen Leitfaden zu E-Mail-Verschlüsselung vor

Am 05.07.2013 stellten die DATEV eG und Deutschland sicher im Netz e.V. (DsiN) ihren neuen Leitfaden zu E-Mail-Verschlüsselung für kleine und mittelständische Unternehmen (KMU) vor (Download Leitfaden, PDF). Dass ein solcher Leitfaden mit Schwerpunkt IT-Sicherheit durch E-Mail-Verschlüsselung dringend nötig ist, zeigt eine Studie der DsiN mit dem Titel IT-Sicherheitslage im Mittelstand 2013, nach der nicht einmal die Hälfte der kleinen und mittelständischen Unternehmen (KMU) ihre E-Mail-Kommunikation sichert. Der Leitfaden wurde, gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi), im Rahmen des Projektes Freie Berufe als Brückenbauer für IT-Sicherheit erstellt.

Zweistufige Datenschutzprüfung bei Datenübermittlung in Drittstaaten

Der Zusammenschluss der Aufsichtsbehörden über den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, hat am 11./12. September 2013 beschlossen (Beschluss Volltext, PDF), dass Datenübermittlungen in Staaten außerhalb der EU/des EWR in zwei Stufen zu prüfen sind:

Zunächst ist auf der ersten Stufe zu prüfen, ob die Datenübermittlung gerechtfertigt ist. Dies kann durch Einwilligung der betroffenen Person oder durch Gesetz geschehen, vgl. § 4 Abs. 1 BDSG. Insoweit gelten die allgemeinen Datenschutzvorschriften. Allerdings gilt bei einer Auftragsdatenverarbeitung nicht die Privilegierung des § 11 BDSG, vgl. § 3 Abs. 7 BDSG am Ende. Als Prüfungsmaßstab ist hierbei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG anzulegen bzw. § 28 Abs. 6 ff. BGB bei sensiblen Daten. Sodann ist auf der zweiten Stufe zu prüfen, ob im entsprechenden Drittstaat ein ausreichendes Datenschutzniveau besteht oder ob eine Ausnahme nach § 4c BDSG vorliegt. Nur wenn beide Stufen positiv geprüft werden, ist die Datenübermittlung zulässig.

Mit diesem Beschluss hat der Düsseldorfer Kreis letztlich nur die gesetzliche Systematik in einen kurzen einseitigen Hinweis formuliert. Neuigkeiten sind mit dem Beschluss für Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln oder dort sonst erheben, verarbeiten oder nutzen, nicht verbunden.