Kategorie-Archiv: Veröffentlichungen

Düsseldorfer Kreis: Orientierungshilfe für regulierte Selbstregulierung veröffentlicht

Der Düsseldorfer Kreis (Zusammenschluss der Aufsichtsbehörden zum Datenschutz in Deutschland) hat eine “Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG” (PDF) veröffentlicht.

§ 38a BDSG erlaubt die Vorlage von Entwürfen für Verhaltensregeln an die Aufsichtsbehörde, die deren Vereinbarkeit mit geltendem Recht überprüft. Damit wird die Möglichkeit zur Schaffung datenschutzrechtlicher Verhaltenskodizes als “Vollzugsregelungen” geschaffen, dies freilich nur in sehr rudimentärer Form, ohne dass die Anforderungen an derartige Verhaltenskodizes festgelegt und die Bedeutung der Prüfung durch die Aufsichtsbehörden durch § 38a BDSG geregelt wird.

Um diese Lücken der gesetzlichen Regelung zu schließen, konkretisiert die Orientierungshilfe zunächst den Begriff der Verhaltensregel:

Konkret folgt daraus, dass durch Verhaltensregeln insbesondere unbestimmte Rechtsbegriffe, Ermessenskriterien, Musterklauseln, verfahrensrechtliche Vorkehrungen, Vorgaben für die Bearbeitung von Betroffenenrechten oder technisch organisatorische Maßnahmen festgelegt werden können.”

Zu einer Erhöhung des Datenschutzniveaus über die gesetzlichen Standards hinaus müssen Verhaltensregeln damit nach dem Düsseldorfer Kreis nicht (mehr) führen.

Wird die Verhaltensregel “anerkannt” ist damit die

“Feststellung der Rechtskonformität der Verhaltensregeln”

verbunden. Unternehmen, die sich an derartige Verhaltensregeln halten, können nach einer solchen Anerkennung davon ausgehen, sich datenschutzkonform zu verhalten und hierauf ggf. auch in ihrem Außenauftritt werblich hinweisen. Die Erarbeitung solcher Verhaltensregeln kann demnach für die hiervon profitierenden Unternehmen zur Beseitigung von Unklarheiten bei der Anwendung der sehr allgemein gehaltenen datenschutzrechtlichen Bestimmungen und damit der Schaffung von Rechtsklarheit führen.

Hinweise und Q&A zum Datenschutz international

Auf Practical Law findet sich ein sehr hilfreicher Data Protection Multi-jurisdictional Guide zum Datenschutzregime in mehr als 30 Staaten weltweit, insbesondere in der Europäischen Union und dem Europäischen Wirtschaftsraum. Der Guide ist in Form von “Country Q&A” organisiert, über die die wesentlichen Fragen zum Datenschutzrecht (Anwendungsbereich, gesetzliche Regelungen, Besonderheiten) beantwortet werden. Derzeit befinden sich Q&A zu folgenden Ländern auf der Website. Australien, Österreich, Belgien, Brasilien, Kanada, China, Tschechei, Frankreich, Finnland, Deutschland, Hongkong, Ungarn, Indien, Irland, Italien, Japan, Luxemburg, Mexiko, Norwegen, Polen, Qatar, Rumänien, Russland, Saudi-Arabien, Südafrika, Spanien, Schweden, Thailand, Türkei, Großbritannien (England und Wales), Vereinigte Arabische Emirate und Vereinigte Staaten/USA.

Vorhaben der Artikel 29 Datenschutzgruppe für 2014 – 2015

Die Artikel 29 Datenschutzgruppe hat am 3. Dezember 2013 ihr Programm (PDF) für die Jahre 2014 und 2015 veröffentlicht. Anlass für die Entwicklung dieses Programms ist insbesondere die Kritik des Generalanwalts Pedro Cruz Villalón an der Richtlinie zur Vorratsdatenspeicherung, die seiner Meinung nach einen Eingriff in das Grundrecht der Unionsbürger auf Achtung des Privatlebens darstellt und deshalb nicht vereinbar mit der Grundrechte-Charta der EU ist (siehe dazu den Beitrag EU-Richtlinie zur Vorratsdatenspeicherung vs. EU-Grundrechts-Charta).

Weiterlesen

Trust Issues – Vertrauensprobleme in der EU …

…oder wie Safe Harbor eine (amerikanisch-europäische) Beziehung auf die Probe stellt

Die Europäische Kommission hat im November 2013 eine „Mitteilung zum Funktionieren von Safe Harbour aus der Perspektive der EU-Bürger und von in der EU ansässigen Unternehmen“ (COM(2013) 847 „on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“, Download PDF, englisch) veröffentlicht.

Auslöser waren insbesondere die diesjährigen Enthüllungen über das Ausspionieren personenbezogener Daten europäischer Politiker, die eine erhebliche Störung des Vertrauensverhältnisses zwischen der EU und den USA nach sich zogen. Dass bei der Gewinnung dieser personenbezogenen Daten Prinzipien des Safe Harbour Abkommens verletzt wurden ist kaum auszuschließen und wirft Fragen zur Sicherheit der Daten im internationalen Datenverkehr und auch Kritik an der Durchsetzung der Bedingungen des Abkommens auf, insbesondere da die Unternehmen, die am PRISM Programm beteiligt sind und die den US Behörden Zugang zu personenbezogenen Daten gewährt haben, alle am Safe Harbour Abkommen beteiligte und entsprechend zertifizierte Unternehmen waren.

Weiterlesen

Beitrag: Subunternehmer in der Leistungskette bei der Auftragsdatenverarbeitung

Unsere Berater Sascha Kremer und Stefan Sander, LL.M. B.Sc., haben im Newsletter zum Datenschutzkongress 2014 einen Beitrag über “Subunternehmer in der Leistungskette bei der Auftragsdatenverarbeitung” veröffentlicht. Im Beitrag wird auf Risiken beim Einsatz von Subunternehmern hingewiesen; zudem werden Empfehlungen für die Vertragsgestaltung ausgesprochen. Der Newsletter ist kostenfrei (Registrierung erforderlich) auf der Website zum Datenschutzkongress erhältlich. Der 15. Datenschutzkongress 2014 findet vom 14. bis 16. Mai 2014 in Berlin statt und wird gemeinsam von Euroforum und dem Datenschutz-Berater veranstaltet.

BSI, ]init[ und Fraunhofer SIT veröffentlichen Studie zur Datensicherheit in Web Content Management Systemen

Das Bundesministerium für Sicherheit in der Informationstechnologie, die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie haben eine gemeinsame Studie zur Datensicherheit in Web Content Management Systemen (CMS) veröffentlicht.

Bei CMS handelt es sich allgemein um Systeme, die die Darstellung, Nutzung und Verwaltung aufbereiteter Daten (z.B. Bilder, Texte) ermöglichen. Web CMS sind somit für die Aufbereitung solcher Daten auf Intra- oder Internetseiten zuständig. Ein solches Web CMS kann ein großer Schwachpunkt für die Datensicherheit sein, da es einem Angreifer meist eine erste Plattform zum tieferen Einstieg in eine Unternehmensstruktur bietet. Aufgrund des immer ähnlichen Aufbaus solcher CMS gefährden veröffentlichte Sicherheitslücken meist viele CMS-Websites.

Die nun vorgestellte Studie hat Open Source Web CMS wie Drupal, Joomla!, Plone, TYPO3 und WordPress im Hinblick auf deren Sicherheit unter die Lupe genommen. Diese sind die sowohl privat als auch professionell meist genutzten Web CMS. Geprüft wurden die Systeme dabei sowohl im Hinblick auf die rechtliche und organisatorische Ebene, als auch auf die dahinterliegende Technik. Dabei wurde "auch der gesamte Lebenszyklus von der Produktauswahl bis zum kontinuierlichen Betrieb des CMS betrachtet". Hierzu nutzten BSI, ]init[ und Fraunhofer SIT Dokumentenlagen, die sie durch eigene Tests und Installationen prüften.

Im Ergebnis beruht die Sicherheit vom CMS-Websites, laut der Studie, besonders auf:

  1. der eingesetzen Software, bzw. deren Sicherheit,
  2. der Konfiguration der CMS in Abstimmung mit anderen eingesetzten Komponenten, und
  3. einem stetigen Einspielen der Sicherheitsupdates und weiterem kontinuierlichen Systemmanagements.

Die Studie bewertet die sicherheitstechnische Eignung der verschiedenen CMS und zeigt Privatleuten und IT-Spezialisten der öffentlichen Verwaltung und der freien Wirtschaft Möglichkeiten für den sicheren Umgang mit CMS auf.

Die Studie ist hier abrufbar.

DATEV und DsiN stellen neuen Leitfaden zu E-Mail-Verschlüsselung vor

Am 05.07.2013 stellten die DATEV eG und Deutschland sicher im Netz e.V. (DsiN) ihren neuen Leitfaden zu E-Mail-Verschlüsselung für kleine und mittelständische Unternehmen (KMU) vor (Download Leitfaden, PDF). Dass ein solcher Leitfaden mit Schwerpunkt IT-Sicherheit durch E-Mail-Verschlüsselung dringend nötig ist, zeigt eine Studie der DsiN mit dem Titel IT-Sicherheitslage im Mittelstand 2013, nach der nicht einmal die Hälfte der kleinen und mittelständischen Unternehmen (KMU) ihre E-Mail-Kommunikation sichert. Der Leitfaden wurde, gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi), im Rahmen des Projektes Freie Berufe als Brückenbauer für IT-Sicherheit erstellt.