Die DS-GVO übersichtlich dargestellt

/in /von

​Der genaue Wortlaut der DS-GVO steht nun schon seit geraumer Zeit fest. Dennoch ist bis jetzt keine Online-Version des Gesetzestextes zu finden, mit der man unkompliziert arbeiten kann. In dem offiziellen PDF ist die Schrift sehr gedrängt und man kann einzelne Artikel z.B. nicht verlinken. Aus diesem Grunde gibt es die Website www.dsgvo-gesetz.de.

Durch die folgenden Punkte wird das Nachschlagen, Zitieren oder Herumblättern in der Datenschutz-Grundverordnung angenehmer:Gesetzestext und die dazugehörigen Erwägungsgründe

  • einfache Navigation
  • Schnellzugriff
  • übersichtliche Formatierung
  • alle erwähnten Normen sind verlinkt
  • Suchfunktion

Viel Vergnügen beim Arbeiten mit der Datenschutz-Grundverordnung.

Aerticket: Millionen Daten von Fluggästen ungeschützt im Internet

/in /von

News vom Virtuelles Datenschutzbüro, Veröffentlicht am 31. Juli 2016

Aufgrund einer Sicherheitslücke bei dem Berliner Flugticket-Großhändler Aerticket sollen seit 2011 Fluggastdaten ungeschützt im Internet einsehbar gewesen sein. Unter den Daten seien Informationen wie Name, Adresse, Flugticket, Rechnungen sowie zum Teil auch Bankdaten.

Das Unternehmen soll die Sicherheitslücke mittlerweile geschlossen haben. Nach Angaben von Aerticket seien die Daten von nur etwa ein Viertel der sechs Millionen Tickets zugänglich gewesen. Laut Sicherheitsexperten sei die Schwachstelle nicht von Kriminellen ausgenutzt worden. Zur Zeit laufe eine Überprüfung des Falles durch den Berliner Datenschutzbeauftragten.

Persönliche Anmerkung:

Dass eine so schwerwiegende Sicherheitslücke derart lange unentdeckt bleiben konnte, zeigt, welch geringe Rolle der Schutz von Kundendaten in vielen Branchen spielt – selbst, wenn viele Millionen Menschen betroffen sind. Erst vor wenigen Wochen hatte der Blog Netzpolitik eine ähnliche Lücke beim Berliner Putzkraftvermittler Helpling aufgedeckt. Diese betraf zwar weitaus weniger Kunden, der zugrunde liegende Fehler war technisch aber vergleichbar.

GDD: Whitepaper zu den Drittlandtransfers in der EU-Datenschutz-Grundverordnung

/in /von

Der GDD-Arbeitskreis „Datenschutz International“ hat ein Whitepaper zu den Drittlandtransfers in der EU-Datenschutz-Grundverordnung erstellt.

Die EU-Datenschutz-Grundverordnung (DS-GVO) knüpft, wie bereits die EU-Datenschutzrichtlinie 95/46/EG, besondere Bedingungen an die Übermittlung personenbezogener Daten in ein sog. „Drittland“ außerhalb des Europäischen Wirtschaftsraums und legt diese Bedingungen in Kapitel V fest. Hierbei werden vorhandene oder durch die aufsichtsbehördliche Praxis entwickelte Instrumente bestätigt und in ihren Vorgaben teilweise erweitert bzw. gesetzlich konkretisiert. Das Whitepaper möchte einen Überblick darüber schaffen, was sich für Datenverarbeitung nach Anwendung der DS-GVO ab dem 25.05.2018 ändert bzw. wo die neuen Herausforderungen liegen.

>> Das Whitepaper kann hier abgerufen werden.

GDD: EU-U.S. Privacy Shield verabschiedet

/in /von

Die Europäische Kommission hat das Privacy Shield Framework als Nachfolgeregelung zu Safe Harbor am gestrigen Tag beschlossen. Empfänger personenbezogener Daten in den USA können durch eine Zertifizierung nach den Vorgaben des Privacy Shield beim US-Handelsministerium ein angemessenes Datenschutzniveau im Sinne des § 4b BDSG gewährleisten.

Nach den hohen Wellen, die das Urteil des EuGH zu Safe Harbor in die transatlantischen Datenströme geschlagen hat, kann bald wieder etwas Ruhe in die Einbeziehung von US-Datenempfängern in die Verarbeitung von personenbezogenen Daten europäischer Bürgerinnen und Bürger einkehren. Nur Monate nach der Ungültigkeit des „sicheren Hafens“ wurde gestern die Nachfolgeregelung in Gestalt des EU-U.S. Privacy Shield durch die Europäische Kommission beschlossen, nachdem das obligatorische Ausschussverfahren nach Art. 31 der EU-Datenschutzrichtlinie erfolgreich durchlaufen wurde. Der Verabschiedung gingen vergleichsweise kurze Verhandlungen[1] zwischen Vertretern der Europäischen Kommission und dem US-Handelsministerium voraus, um das Vertrauen von Betroffenen in den Umgang mit ihren personenbezogenen Daten in den USA wiederherzustellen.

Durch die Verabschiedung des Privacy Shield, einschließlich des Angemessenheitsbeschlusses der EU-Kommission bezüglich des Schutzniveaus bei zertifizierten Datenempfängern in den USA, kann die sog. „2. Prüfstufe“ für den Export personenbezogener Daten in die USA an zertifizierte Empfänger nach diesem Framework gemeistert werden. Die 1. Prüfstufe hinsichtlich der Zulässigkeit der Datenübermittlung muss weiterhin genommen werden. Die Mitgliedstaaten sind an die Angemessenheitsentscheidung der Kommission gebunden. Nationalen Aufsichtsbehörden ist es unbenommen, die Eingabe einer Person dahingehend zu prüfen, ob im Rahmen einer Übermittlung sie betreffender personenbezogener Daten aus einem Mitgliedstaat in ein Drittland wie die USA, ein angemessenes Schutzniveau gewährleistet ist.[2]

Datenverarbeiter in den USA können sich ab dem 1. August 2016 durch verbindliche Erklärung gegenüber dem US-Handelsministerium nach dem EU-U.S. Privacy Shield zertifizieren. Bis zur Zertifizierung müssen die neuen Vorgaben des Privacy Shield umgesetzt worden sein. Verantwortliche Stellen in Europa sollten ab dem 1. August prüfen, ob eine Zertifizierung für das neue Framework tatsächlich vorliegt. Das beim US-Handelsministerium geführte Register ist derzeit jedoch noch nicht zugänglich.

Weitere Informationen zum Privacy Shield finden Sie auf den Webseiten der Kommission sowie des US-Handelsministeriums.

[1] Zu den Inhalten des EU-U.S. Privacy Shield und dem Gang der Verhandlungen, siehe Whitepaper des GDD-Arbeitskreises „Datenschutz International“ zu Datenexporten in die USA.

[2] So EuGH, Urteil vom 6. Oktober 2015 – Az. C 362/14.