Schlagwort-Archiv: Drittstaat

32. RDV-Forum: ein Tagungsbericht

Am 13.11.2013 fand im Maternushaus zu Köln unter der Leitung des Ehrenvorsitzenden des GDD Gesellschaft für Datenschutz und Datensicherheit  e.V. Prof. Peter Gola in seiner Funktion als Verantwortlicher Schriftleiter der Fachzeitschrift RDV das 32. RDV-Forum statt. Weiterlesen

Zweistufige Datenschutzprüfung bei Datenübermittlung in Drittstaaten

Der Zusammenschluss der Aufsichtsbehörden über den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, hat am 11./12. September 2013 beschlossen (Beschluss Volltext, PDF), dass Datenübermittlungen in Staaten außerhalb der EU/des EWR in zwei Stufen zu prüfen sind:

Zunächst ist auf der ersten Stufe zu prüfen, ob die Datenübermittlung gerechtfertigt ist. Dies kann durch Einwilligung der betroffenen Person oder durch Gesetz geschehen, vgl. § 4 Abs. 1 BDSG. Insoweit gelten die allgemeinen Datenschutzvorschriften. Allerdings gilt bei einer Auftragsdatenverarbeitung nicht die Privilegierung des § 11 BDSG, vgl. § 3 Abs. 7 BDSG am Ende. Als Prüfungsmaßstab ist hierbei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG anzulegen bzw. § 28 Abs. 6 ff. BGB bei sensiblen Daten. Sodann ist auf der zweiten Stufe zu prüfen, ob im entsprechenden Drittstaat ein ausreichendes Datenschutzniveau besteht oder ob eine Ausnahme nach § 4c BDSG vorliegt. Nur wenn beide Stufen positiv geprüft werden, ist die Datenübermittlung zulässig.

Mit diesem Beschluss hat der Düsseldorfer Kreis letztlich nur die gesetzliche Systematik in einen kurzen einseitigen Hinweis formuliert. Neuigkeiten sind mit dem Beschluss für Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln oder dort sonst erheben, verarbeiten oder nutzen, nicht verbunden.

Big Data Summit 2013 – ein Erfahrungsbericht

Zu Beginn dieser Woche hatte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) zum Gipfeltreffen 2013 “Big Data” nach Bonn geladen. Der Einladung folgten über 600 Teilnehmer, die (laut Untertitel der Veranstaltung) auf der Suche waren nach Impulsen für ihr Business.

Um für den eiligen Leser das Fazit an dieser Stelle schon vorweg zu nehmen: Die Suchenden dürften wohl leer ausgegangen sein. Zwar wurden die Ideen und Konzepte, die zusammenfassend mit dem Schlagwort Big Data bezeichnet werden, zu Beginn der Veranstaltung durch einen kurzweiligen gespielten Dialog eines fiktiven Unternehmers mit seinem fiktiven IT-Abteilungsleiter in verständlichen Worten dargestellt und anschließend wissenschaftlich korrekt von Prof. Dr. Wrobel vom Fraunhofer IAIS aufbereitet. Danach ist Big Data die Fortschreibung von gegenwärtig vier vorhandenen Trends, u.a. Social Media und die damit verbundenen nutzergenerierten Inhalte. Aber vor der Mittagspause waren konkrete Handlungsvorschläge oder Beispiele Mangelware und die Ausführungen der Referenten erschöpften sich in “Heilsversprechen”. Dieses Wort hatte Dr. Thilo Weichert, Leiter des ULD Schleswig-Holstein, zuvor in seinem Beitrag in der Zeitschrift für Datenschutz (ZD) 2013, Seiten 251 ff im Rahmen seines Problemaufriss völlig zu Recht verwendet. Tenor der ersten Vorträge war, dass mit dem Einsatz von Big Data Werkzeugen alles besser und effizienter würde. Kosten ließen sich sparen, Umsätze steigern oder gar neue Quellen erschließen, etc. Kurz: Das Übliche bei vertriebsorientierten Vorträgen. Substantieller Vortrag fehlte derweil. Anders dagegen der Nachmittagsbereich. Nun kamen neben den klassischen Einsatzgebieten wie Wettervorhersage und Stauprognose, bzw. Navigationssysteme erste praktische Anwendungsbeispiele zur Sprache, die sich schon schemenhaft aus der Ankündigung der Referenten und ihrer Herkunft ergaben. Für den durchschnittlichen Mittelständler ergaben sich jedoch, unabhängig von der Branche, wohl keine konkreten Impulse fürs Geschäft.

Ganz im Gegenteil: Bezüglich des Themas Big Data, welches nun schon seit einiger Zeit durch die IT-Fachpresse geistert und sich nach Einschätzung der Referenten im Gartner-Hype-Cycle schon auf dem absteigenden Ast nach dem ersten Zenit befindet, wurde von einem referierenden Mittelständler konstatiert, dass der Einsatz entsprechender Methoden und Werkzeuge in seiner Branche derzeit nur bei den Big Five zu vernehmen ist. Der Markt sei hart umkämpft, der Einsatz neuer Methoden risikoreich. Sollten sich doch erst die Großkonzerne eine “blutige Nase” holen, solange die Verfahren noch in der Kinderschuhen stecken. Die Mittelständler würden entsprechende Methoden und Werkzeuge erst einsetzen, wenn diese sich bewährt haben.

Die Skepsis ist völlig zu Recht angebracht. Sämtliche Träume von Marketingabteilungen in Zusammenhang mit Big Data sind pure Illusion. Entsprechende Werkzeuge sind konzeptionell darauf ausgelegt, zunächst alle verfügbaren Daten zu erfassen und zu speichern. Danach erst beginnt zu einem späteren Zeitpunkt die Nutzung der Daten und damit auch erst die Festlegung des Zwecks der Verarbeitung. Soweit die erhobenen Daten nicht ausschließlich aus dem Bereich machine-to-machine (M2M) stammen, wo sicherlich lohnenswerte Einsatzmöglichkeiten zu finden sind, sind im Bereich der personenbezogenen Daten nahezu keine Einsatzmöglichkeiten erkennbar, die mit geltendem Recht in Europa vereinbar sind. Hier treffen einfach zwei Grundideen diametral aufeinander: Big Data vs. Datenvermeidung und Datensparsamkeit.

Dass sich Anwendungsbeispiele durchaus anhand us-amerikanischer Unternehmen aufzeigen lassen, ergibt sich schlicht aus dem dortigen Datenschutzrecht. Als Europäer darf man es aber durchaus für sehr bedenklich halten, wenn unter Geringschätzung der IT-sicherheitsrelevanten Gefahren, die großen Datensammlungen immanent sind, große Gefährdungen der Persönlichkeitsrechte in Kauf genommen werden. Der Schritt zum gläsernen Menschen ist nicht mehr weit, wenn mittels Big Data Verfahren individuelle Verhaltensvorhersagen ermöglicht werden, welche selbstverständlich für Marketingzwecke interessant sind. Wenn sodann die Technick noch entgegen bewährter Prinzipien der Statistik – Definieren eine These und validiere sie mittels Zahlen! – die Zahlen die These vorgeben (oder jedenfalls durch das Aufzeigen von Korrelationen das Formulieren der These stark beeinflussen), dann dürfte dem Thema doch tatsächlich mit Bedenken zu begegnen sein.

Wi-Fi access points (WLAN Netze) und Google Street View

Zum widerholten Male sorgen die Geschäftspraktiken von Google auch in den USA für datenschutzrechtliche Bedenken. Obwohl dort traditionell unter dem Begriff Datenschutz eher das Thema „data protection“ behandelt wird und das Thema „data privacy“, wie es dem europäischen Verständnis vom Begriff Datenschutz nahe kommt, tendenziell wenig Aufmerksamkeit zukommt, kam es nun erneut zu freiwilligen Strafzahlungen von Google wegen Verletzungen der „data privacy“.

Weiterlesen

Neue EU-Studie: “Fighting cyber crime and protecting privacy in the cloud”

Unter dem TItel “Fighting cyber crime and protecting privacy in the cloud” hat das EU-Parlament eine neue Studie vorgestellt (PDF, englisch). Der Studie vorausgegangen war die Mitteilung der Kommission zur “Freisetzung des Cloud-Computing-Potenzials in Europa” vom 27.9.2012 (COM (2012) 529 final, PDF).

DIe Studie befasst sich mit den Auswirkungen der zunehmenden Nutzung von Cloud-Diensten in der EU. Im Mittelpunkt stehen die von der EU ergriffenen Maßnahmen zur Sicherung der Daten in der Cloud, insbesondere mit Blick auf den Datenschutz, das anwendbare Recht sowie die Verantwortlichkeit und Regulierung von Datenübermittlungen bzw. Auftragsdatenverarbeitungen in Drittstaaten außerhalb von EU/EWR.

Die Ergebnisse der Studie sind ernüchternd: Weder die Empfehlungen der Art. 29 Gruppe zum Cloud Computing (Opinion 05/2012/WP 196, PDF) noch die (geplanten) Regelungswerke der EU hätten/könnten dazu beigetragen, die Sicherheit der EU-Bürger in der Cloud bei Datentransfers in Drittstaaten zu erhöhen oder die offenen Rechtsfragen zu lösen.

So führen die Verfasser der Studie u.a. aus:

“Consumers’ rights are subsumed into a complex mesh of contracts among private entities. [...] Lack of legal certainty surrounding the concept of cybercrime and legal frameworks of cloud-based investigations, as well as inadequate tools to safeguard privacy and data protection increase the potential for misuses and abuses by law enforcement actors and agencies. European citizens’ data are not sufficiently protected in this regard.”