Irische Datenschützer klagen gegen Privacy Shield

/in /von

Von Anfang an stand Privacy Shield, das Datenschutzabkommen zwischen der EU und den USA, in der Kritik. Nun hat Digital Rights Ireland beim Gericht der Europäischen Union eine Klage eingereicht.

Nachdem der Europäische Gerichtshof vor einem Jahr das Safe Harbor-Abkommen gekippt hatte, das den Schutz personenbezogener Daten bei der Übermittlung von der EU in die USA regelte, wurde mit Privacy Shield schnell ein Nachfolger aufgesetzt. Zu schnell, hatten Kritiker bemängelt – im Prinzip sei es nur ein neuer Name, am unzureichenden Datenschutz habe sich nichts geändert. Diese Auffassung vertritt auch Digital Rights Ireland, das Reuters zufolge eine Nichtigkeitsklage beim Gericht der Europäischen Union (EuG) eingereicht hat, um das Abkommen zu kippen. Die irischen Datenschützer zweifeln an, dass mit Privacy Shield tatsächlich adäquate Mechanismen implementiert wurden, die eine Speicherung und Verarbeitung der Daten von EU-Bürgern in den USA nach europäischen Normen sicherstellen.

Reuters zufolge kann es ein Jahr oder länger dauern, bis das Gericht über die Klage entschieden hat. Zudem sei noch gar nicht sicher, ob sie überhaupt zulässig ist. Insidern zufolge muss zunächst geklärt werden, ob Digital Rights Ireland überhaupt von Privacy Shield betroffen ist und gegen das Abkommen vorgehen kann. Allerdings mussten die Datenschützer rasch handeln, da mit der Veröffentlichung im Amtsblatte am 1. August dieses Jahres die zweimonatige Frist für solche Nichtigkeitsklagen zu laufen begann.

Mehr als 500 Unternehmen haben sich bereits für Privacy Shield registriert, darunter praktisch alle wichtigen Cloud-Anbieter und Internet-Konzerne wie Amazon, Facebook, Google, Microsoft und Salesforce.

Dell: Firmen schlecht vorbereitet auf EU-Datenschutzgrundverordnung

/in /von

Die meisten Unternehmen sind nicht mit den Details der EU-Datenschutzgrundverordnung vertraut und haben auch keinen Plan, wie sie neuen Anforderungen gerecht werden sollen. Zudem unterschätzen sie die möglichen Strafen.

Die im Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung dürfte eines der dominierenden Themen des kommenden Jahres werden. Einerseits weil die Anforderungen an Datensicherheit und Datenschutz für Unternehmen noch einmal stark erhöht werden, andererseits weil viele Unternehmen noch gar nicht wissen, was überhaupt auf sie zukommt. So gaben etwa in einer Umfrage von Dimensional Research im Auftrag von Dell mehr als 80 Prozent von über 800 Managern an, nur wenige oder keine Details der Verordnung zu kennen. Nur 30 Prozent waren der Meinung, ihr Unternehmen sei gut auf die neuen Anforderungen vorbereitet. Immerhin: In Deutschland liegt dieser Anteil bei 44 Prozent.

Allerdings haben die meisten Firmen, die sich bislang nicht gut für die Datenschutzgrundverordnung aufgestellt sehen, meist keinen Plan, wie sie das ändern (97 Prozent). Dabei spielt womöglich auch eine Rolle, dass die Konsequenzen, die Verstöße mit sich bringen, unterschätzt werden. So sind 21 Prozent der Befragten sicher, sie hätten mit einer Strafe zu rechnen, wenn die Verordnung bereits gelten würde. Allerdings geht gut ein Drittel von diesen davon aus, einfache Nachbesserungen im Unternehmen würden reichen. Knapp 50 Prozent glauben, mit einer moderaten Geldstrafe und überschaubaren Anpassungen davonzukommen.

»Die Umfrage zeigt deutlich den globalen Mangel an Verständnis für die GDPR und was getan werden muss, um die strengen Strafen zu vermeiden«, sagt John Milburn, Vice President und General Manager für die Dell One Identity Solution. Viele Unternehmen glaubten zwar, den Anforderungen gerecht zu werden, »doch es wird ein böses Erwachen geben, wenn sie einen Verstoß begehen, überprüft werden und die Folgen tragen müssen«. Denn in der EU-Datenschutzgrundverordnung sind Strafen von bis zu 4 Prozent des Jahresumsatzes vorgesehen.

EU-Kommission veröffentlicht Leitfaden zum Privacy Shield

/in /von

Die  Europäische  Kommission  hat  einen  Leitfaden  zum  Privacy-Shield veröffentlicht. Diesen können Interessierte auch in der deutschen Übersetzung abrufen.

Der Leitfaden gibt nicht nur Antworten auf die Frage „Was ist der EU-US-Datenschutzschild und warum brauchen wir ihn?“, sondern gibt auch eine Erklärung zu der Frage, wie genau denn der Schutzschild überhaupt funktioniert.

Für  Betroffene  besonders  interessant  dürften  die  Ausführungen  sein,  welche  Verpflichtungen,  die  dem  Datenschutzschild  angeschlossenen  Unternehmen  haben  und  welche  Rechte  im  Zusammenhang  mit  der  Verwendung  personenbezogenen  Daten  der  Betroffenen bestehen.

Quelle: Europäische Kommission

BayLDA: Auftragsverarbeitung nach der DS-GVO

/in /von

Auch in der DS-GVO findet sich eine Regelung zur Auftragsdatenverarbeitung – jetzt Auftragsverarbeitung genannt – wieder. Allerdings legt die DS-GVO den Auftragsverarbeitern künftig mehr Verantwortung und Pflichten auf als bislang. Welche Rahmenbedingungen besonders im Fokus stehen hat das BayLDA in einem kurzem Papier zusammengefasst, das nachfolgend heruntergeladen werden kann.

https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

BayLDA: Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen – Bußgeld

/in /von

Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einem solchen Fall eine Geldbuße gegen ein Unternehmen ausgesprochen.

Unternehmen und andere Stellen müssen einen Datenschutzbeauftragten bestellen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung  personenbezogener Daten befasst sind. Zahlreiche Unternehmen erfüllen diese  Voraussetzungen. Das Gesetz stellt es Unternehmen und anderen Stellen frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Wird ein Mitarbeiter zum Datenschutzbeauftragten  bestellt, so darf er jedoch daneben  nicht  noch  für solche Aufgaben  zuständig sein,  die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können.

Eine solche Interessenkollision lag nach Auffassung des BayLDA im Falle eines Datenschutzbeauftragten eines bayerischen Unternehmens vor, der die Position des „IT-Managers“ des Unternehmens bekleidete. Eine  derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten. Dies liefe letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Diese Aufgabe kann der Datenschutzbeauftragte nicht erfüllen, wenn er gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.

Das BayLDA hatte das Unternehmen auf diesen Umstand hingewiesen und zur Bestellung eines Datenschutzbeauftragten aufgefordert, der keiner derartigen Interessenkollision unterliegt. Das Unternehmen kündigte zwar wiederholt an, im Zuge von Umstrukturierungen auch die Funktion des Datenschutzbeauftragten neu zu bekleiden. Es versäumte es jedoch über Monate, dem BayLDA den Nachweis für die Bestellung eines geeigneten Datenschutzbeauftragten vorzulegen. Vor  diesem  Hintergrund hat  das  BayLDA  gegen  das  Unternehmen  eine Geldbuße festgesetzt, die inzwischen bestandskräftig ist.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und  ein  sehr  wichtiges  Element der  Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer  unabhängigen,  effektiven  internen  Aufsicht  über  den  Datenschutz  stehen. Unternehmen,  die  gesetzlich  zur Bestellung  eines  Datenschutzbeauftragten  verpflichtet  sind, können daher  nur  eine  solche Person  zum  Datenschutzbeauftragten  bestellen,  die  in der  Lage  ist,  diese  Aufgabe  frei  von  sachfremden  Zwängen  auszuüben.  Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Quelle: https://www.lda.bayern.de/media/pm2016_08.pdf

BvD stellt aktualisiertes Berufsbild für Datenschutzbeauftragte vor

/in /von

Die neue EU-Datenschutz-Grundverordnung (DS-GVO) und die dadurch erforderliche Anpassung des nationalen Datenschutzrechts stellen Unternehmen und Behörden vor große Herausforderungen. Um die Sicherheit von Kunden-, Mitarbeiter- und Geschäftsdaten zu gewährleisten, müssen bestehende Managementsysteme an die neuen Anforderungen angepasst und regelmäßig überprüft werden. Hilfe durch den Dschungel der neuen Regelungen bietet der betriebliche Datenschutzbeauftragte. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. stellt jetzt hierzu ein aktualisiertes Berufsbild vor.

Darin beschreibt der BvD die Anforderungen und Aufgaben für Datenschutzbeauftragte durch die neue DS-GVO, die ab 25. Mai 2018 von Firmen und Behörden angewendet werden muss. Die Selbstverpflichtung der Datenschutzbeauftragten auf das aktualisierte Leitbild sichert Unternehmen und Behörden ein Datenschutz-Knowhow auf höchstem Niveau und sorgt für Reputation, Glaubwürdigkeit und Kundenbindung.

Im Kern obliegt dem Datenschutzbeauftragten die Aufgabe, ein funktionierendes Datenschutzmanagement zu entwickeln und Unternehmen zu unterstützen, bestehende Systeme an die neuen Anforderungen anzupassen. Er berät die Unternehmensleitung und unterstützt bei der rechtlich einwandfreien Datenverarbeitung sowie der Dokumentation von Datenschutzmaßnahmen und Datenverarbeitungsprozessen. Zudem schult er Mitarbeiter und Betriebsräte, um sie für den sicheren Umgang mit Daten zu sensibilisieren.

Interessierte können das neue Berufsbild auf den Internetseiten des BvD unter https://www.bvdnet.de/berufsbild.html downloaden.

BSI: „Sicher online bezahlen“: Empfehlungen zum Interneteinkauf

/in /von

Bürgerinnen und Bürger europaweit durch unterschiedliche Aktionen für einen sicherheitsbewussten Umgang mit dem Internet zu sensibilisieren, ist das Ziel des European Cyber Security Month (ECSM). Aus diesem Anlass informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Oktober zu vier verschiedenen Themenschwerpunkten aus dem Bereich der IT- und Internetsicherheit. Den Auftakt macht die Aktionswoche „Sicher online bezahlen“.

Mit dem orts- und zeitunabhängigen Einkauf im Internet ist das Leben von Millionen von Menschen einfacher und bequemer geworden. Ein sicherheitsrelevanter Aspekt dabei ist die Bezahlung. Viele gängige Methoden zur Bezahlung in Online-Shops erfordern die Übermittlung sensibler Informationen wie Kreditkarten- oder Kontodaten. Diese sollten stets verschlüsselt übertragen werden. Verbraucherinnen und Verbraucher erkennen dies an dem Kürzel „https“ und einem kleinen Vorhängeschloss-Symbol in der Adresszeile des Browsers. Es bedeutet, dass der Anbieter der Internetseite nach der Überprüfung durch eine unabhängige Stelle ein gültiges Zertifikat vorweisen kann, das seine Identität bestätigt. Ein besonders hohes Maß an Verlässlichkeit bieten sogenannte Extended-Validation-Zertifikate (EV-Zertifikat), da Antragsteller dafür erweiterte Sicherheitskriterien erfüllen müssen. Zu erkennen ist ein EV-Zertifikat meist an einer grün gefärbten Adresszeile im Browser.

Alternativ können Online-Shopper auf Online-Bezahldienste zurückgreifen. Dort werden die Kontodaten einmalig hinterlegt. Beim Bezahlvorgang wird der Kunde dann vom Internet-Shop auf die gesicherte Seite des Dienstleisters oder die Umgebung der kontoführenden Bank weitergeleitet, wo die Zahlung ausgeführt wird. Eine Weitergabe von sensiblen Kontodaten über das Internet an Dritte ist dadurch nicht notwendig.

Doppelter Nachweis beim Bezahlen

Um dem Missbrauch gestohlener Konto- oder Kreditkartendaten vorzubeugen, existieren Verfahren mit Zwei-Faktor-Authentifizierung. Dabei genügt es nicht, beim Bezahlvorgang lediglich die notwendigen Konto- oder Karteninformationen einzugeben. Vielmehr muss der Nutzer in einer der Kategorien Wissen, Besitz oder Inhärenz den Nachweis erbringen, dass er tatsächlich der rechtmäßige Besitzer des Kontos oder der Bezahlkarte ist. Zu den möglichen Authentifizierungswegen gehören ein Passwort (Wissen), eine beim Bezahlvorgang an das Handy geschickte TAN (Besitz) oder die Übertragung des gescannten Fingerabdrucks (Inhärenz). Dieser Nachweis macht die Kreditkarten- und EC-Karten-Zahlung im Internet sicherer und hilft dabei, Schäden durch Betrugsfälle zu reduzieren.

Weitere Informationen zum Thema sowie ein passendes Video sind abrufbar unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/sicher_online_bezahlen_05102016.html

Über den ECSM

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt und koordiniert im Oktober den European Cyber Security Month (ECSM) in Deutschland. Unter dem Motto „Ins Internet – mit Sicherheit“ informiert das BSI während des Aktionsmonats über die alltäglichen Gefährdungen in der Cyber-Welt und sensibilisiert Bürgerinnen und Bürger sowie Organisationen für einen umsichtigen und verantwortungsbewussten Umgang mit dem Internet. Neben dem BSI mit seinen Aktivitäten beteiligen sich über 50 weitere Partner mit eigenen Aktionen am ECSM.

Quelle: BSI Pressemitteilung