Schlagwort-Archiv: Aufsichtsbehörden

Vorhaben der Artikel 29 Datenschutzgruppe für 2014 – 2015

Die Artikel 29 Datenschutzgruppe hat am 3. Dezember 2013 ihr Programm (PDF) für die Jahre 2014 und 2015 veröffentlicht. Anlass für die Entwicklung dieses Programms ist insbesondere die Kritik des Generalanwalts Pedro Cruz Villalón an der Richtlinie zur Vorratsdatenspeicherung, die seiner Meinung nach einen Eingriff in das Grundrecht der Unionsbürger auf Achtung des Privatlebens darstellt und deshalb nicht vereinbar mit der Grundrechte-Charta der EU ist (siehe dazu den Beitrag EU-Richtlinie zur Vorratsdatenspeicherung vs. EU-Grundrechts-Charta).

Weiterlesen

Düsseldorfer Kreis: Anwendungshinweise zum Umgang mit personenbezogenen Daten für werbliche Zwecke

Der Düsseldorfer Kreis hat im Dezember 2013 “Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung personenbezogener Zwecke für werbliche Zwecke” (Download PDF) veröffentlicht. Diese Anwendungshinweise sind “als beschlossen anzusehen”, aber gleichwohl bei der Beurteilung konkreter Maßnahmen durch die Datenschutzaufsichtsbehörden rechtlich nicht verbindlich.

Die Anwendungshinweise befassen sich mit der Gestaltung der Einwilligung, ferner der Abgrenzung der gesetzlichen Erlaubnistatbestände in § 28 BDSG, insb. der Werbung mit Listendaten, sowie dem Zusammenspiel von § 28 Abs. 1,  Abs. 3 BDSG mit § 7 UWG. Daneben wird die Rechtsprechung der letzten Jahre zur Einwilligung ausgewertet.

VG Leipzig: Kontrollbefugnisse der Aufsichtsbehörden

Die im Datenschutz zuständigen Aufsichtsbehörden müssen sich bei der Geltendmachung eines Auskunftsanspruchs nach § 38 Abs. 3 S. 1 BDSG gegenüber der für die Datenverarbeitung verantwortlichen Stelle nicht auf ein gestuftes Auskunftsverfahren verweisen lassen. Stattdessen können die Aufsichtsbehörden unmittelbar alle aus ihrer Sicht zur Durchführung einer allgemeinen, anlassunabhängigen Prüfung aller Geschäftsprozesse notwendigen Angaben von dem auskunftspflichtigen Unternehmen anfordern, so das VG Leipzig (Beschluss vom 3.12.2012 – 5 L 1308/12).

Inhalt der Entscheidung:

Nach § 38 Abs. 3 BDSG haben die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Dabei kann die Aufsichtsbehörde ausweislich der ihr durch § 38 Abs. 1 S. 1 BDSG zugewiesenen Aufgaben nicht nur „dateigebundene Verarbeitungen“ kontrollieren, sondern alle „automatisierten Verarbeitungsprozesse“.

Weiterlesen

Facebook: OVG Schleswig-Holstein bestätigt die Beschlüsse des VG Schleswig-Holstein

Das OVG Schleswig-Holstein hat auf die Beschwerde des ULD Schleswig-Holstein hin, mit Beschlüssen vom 22. April 2013 (Az.: 4 MB 10/13 – Volltext) und (Az.: 4 MB 11/13 – Volltext) die beiden Beschlüsse des VG Schleswig-Holstein vom 14. Februar 2013 (Az.: 8 B 60/12 und 8 B 61/12 – Beitrag zur Vorinstanz) bestätigt. Es hat die Beschwerde des ULD Schleswig-Holstein mit der Begründung abgewiesen, das VG Schleswig-Holstein habe zu Recht entschieden, dass die auf § 13 Abs. 6 TMG gestützten Verfügungen gegen Facebook rechtswidrig waren.

Weiterlesen

Seminar: Datenschutz bei Finanzdienstleistern

Unser Berater Sascha Kremer, vom TÜV Rheinland zertifizierter externer Datenschutzbeauftragter, führt seit diesem Jahr für die TÜV Rheinland Akademie das Seminar “Datenschutz bei Finanzdienstleistern” durch. Die ersten beiden Termine in Köln und Frankfurt/Main wurden erfolgreich durchgeführt. Nunmehr stehen auch die weiteren Termine für das Jahr 2013 in Hamburg, Berlin, München, Köln und Frankfurt/Main fest. Anmeldungen sind jederzeit online möglich: hier anmelden.

Im Seminar werden u.a. die folgenden Themen behandelt:

  • Grundbegriffe des allgemeinen und finanzspezifischen Datenschutzes
  • Anforderungen an die Datenschutzorganisation bei Finanzdienstleistern
  • Rechte und Pflichten des betrieblichen Datenschutzbeauftragten
  • Kundendatenschutz
  • Scoring
  • Datenschutz bei Finanztransaktionen
  • SWIFT-Verfahren und Datenschutz
  • Mitarbeiterdatenschutz und Korruptionsprävention
  • Whistleblowing
  • Archivierung
  • Outsourcing von Finanzdienstleistungen
  • Umgang mit Datensicherheitsverstößen

BMI: Entwurf zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgestellt

Das Bundesministerium des Inneren (BMI) hat am 5.3.2013 den Referentenentwurf für ein “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme” (PDF) vorgestellt. Mit dem Gesetz will das BMI durch bestimmte Verpflichtungen, die man besonders wichtigen öffentlichen Einrichtungen und privaten Unternehmen auferlegt, die mit einem Ausfall der IT einhergehenden Risiken reduzieren. Der Gesetzentwurf wird nun beraten, mit den verschiedenen Fachgruppen (etwa dem BITKOM) diskutiert und anschließend im parlamentarischen Verfahren ggf. mit etwaigen Änderungen verabschiedet.

Weiterlesen

Art. 29 Gruppe: Anforderungen an Apps auf Smart Devices

Die Art. 29 Gruppe als Zusammenschluss der europäischen Datenschutzbehörden hat sich in der “Opinion 02/2013 on apps on smart devices” vom 27.2.2013 (WP 202) zu den aus ihrer Sicht notwendigen Anforderungen an den Datenschutz bei der Nutzung von Apps auf sog. Smart Devices, also Tablets und Smartphones, geäußert. Zu Recht weist die Art. 29 Gruppe in ihrer Stellungnahme darauf hin, dass sich Apps heute nicht mehr auf die Bereitstellung bestimmter Funktionalitäten auf einem Smart Device beschränken, sondern Zugang zu einer Vielzahl von anderen Anwendungen und Informationen auf dem Smart Device benötigen (oder verlangen), um diese Funktionalitäten überhaupt bereitstellen zu können. Typische Fälle sind etwa der Zugriff durch die App auf Kalender und Kontakte, aber auch auf GPS- und andere Sensordaten.

Um diesem Datenhunger der Apps, aber auch der App-Store Betreiber und der Betriebssystemanbieter für Smart Devices (allen voran Apple, Google, Microsoft und BlackBerry) gerecht zu werden, fordert die Art. 29 Gruppe klare Regelungen. Dies beginnt bei einer leicht zugänglichen und verständlichen Datenschutzerklärung in jeder App und wird ergänzt durch das Einholen der notwendigen Einwilligungen vor dem erstmaligen Zugriff auf die Datenbestände des Nutzers. Des Weiteren sei die besondere Schutzbedürftigkeit von Kindern zu berücksichtigen, wenn diese Apps auf Smart Devices nutzen. Schließlich müssten die Store-Betreiber und Betriebssystemhersteller die von den Programmierern der App zu nutzenden Schnittstellen so ausgestalten, dass diese eine Kontrolle des Nutzers über Art und Umfang der ggf. vom Smart Device zu übermittelnden Daten erhalten.

Weitere Stellungnahmen der Art. 29 Gruppe zur Datenschutz-Grundverordnung

Die Artikel 29 Gruppe (Art. 29 WP) hat sich in weiteren Stellungnahmen zum Entwurf der Datenschutz-Grundverordnung (PDF) der EU vom Januar 2012 geäußert.

Mit der “Opinion 01/2013 providing further input into the discussions on the draft Police and Criminal Justice Data Protection Directive” (PDF) schlägt die Art. 29 Gruppe die Ergänzung der Datenschutz-Grundverordnung um einen Art. 7a (Different categories of data subjects) und einen Art. 46 (Powers) vor. Letzterer soll sicherstellen, dass die “supervisory authority” in allen Mitgliedsstaaten die erforderlichen Rechte erhält, um die von ihr ergriffenen Maßnahmen durchzusetzen, insb. was die Übermittlung von Informationen an diese Behörde angeht.

Mit dem weiteren “Statement of the Working Party on current discussions regarding the data protection reform package” (PDF) befasst sich die Art. 29 Gruppe u.a. mit Fragen der Pseudonymisierung, der Einwilligung und der Datentransfers in Drittländer. Ergänzt wird dieses Statement durch einen Annex I mit “Proposals for Amendments regarding Competence & Lead Authority” (PDF) und einem Annex II mit “Proposals for Amendments regarding exemption for personal or household activities” (PDF).

FTC fordert mehr Transparenz für Smart Devices

Die US-amerikanische Handelsaufsicht Federal Trade Commission (FTC) hat im Februar 2013 den von ihr erstellten Maßnahmenkatalog “Mobile Privacy Disclosures: Building Trust Through Transparency” (PDF, englisch) vorgestellt. Die darin enthaltenen Empfehlungen insbesondere für Hersteller von Smartphones, App-Entwickler und Betreiber von Werbenetzwerken sind nicht verbindlich, von der FTC aber mit der Ankündigung verbunden worden, entsprechende Gesetze zu erlassen, wenn die Empfehlungen nicht ernst genommen werden sollten.

Die von der FTC vorgeschlagenen Maßnahmen setzen insbesondere bei der Information der Nutzer von Smart Devices (Tablets, Smartphones) durch standardisierte Datenschutzerklärungen an und sehen vor, dass Nutzer vor dem Zugriff auf personenbezogene Daten durch eine App (z.B. Standortdaten, Kontakte) einwilligen müssen. Zudem sollen Apps und Betriebssysteme sog. “Do Not Track” (DNT) Verfahren unterstützen, mit denen Nutzer eine Nachverfolgung ihrer individuellen Nutzung durch Werbenetzwerke und Dritte (sog. Tracking) unterbinden können.

Cloud Computing ‘Made in Europe’ – Thesen zu IT-Sicherheit

Unser Geschäftsführer und externer Datenschutzbeauftragter Sascha Kremer hat auf dem Jahrestreffen der Softwareforen 2013 in Leipzig ein Streitgespräch zum “Cloud Computing ‘Made in Europe’ – Thesen zur IT-Sicherheit” geführt. Gemeinsam mit Dominik Birk, hauptberuflich als Account Manager im Bereich Information Security bei einer global agierenden Versicherung in Zürich tätig, wurden vier Thesen mit den Teilnehmern diskutiert.

Dabei ging es um die folgenden Thesen:

  • „Vollständiges sicheres Prozessieren von Daten in der (public) Cloud ist zum derzeitigen Stand nicht möglich – egal, was die Industrie verspricht.“ (Dominik Birk)
  • „Rechtssicher ist nur die private Cloud. Manchmal.“ (Sascha Kremer)
  • „Nicht nur Nutzer haben die Vorteile von Cloud Services erkannt – auch Angreifer werden vermehrt die Cloud in ihre zukünftigen Angriffe mit einbeziehen.” (Dominik Birk)
  • „Aufsichtsbehörden sind nicht böse. Sondern hilfreich.“ (Sascha Kremer)

Über die datenschutzrechtlichen Fragestellungen bei der Nutzung von Cloud-Lösungen, gleich ob “public” oder “private”, werden wir zukünftig auf unserer Website berichten.