Archiv für die Kategorie 'Datenschutz'

Die Leitlinien des neuen Europäischen Datenschutzrechts

Donnerstag, 13. September 2012

Es ist ja bekannt, dass die EU derzeit mit einer Datenschutz-VO schwanger geht, die diesen hochaktuellen Bereich europaeinheitlich regeln soll.

Heute, auf dem EDV-Gerichtstag hat Ralf Bendrath, Berater von Philipp Albrecht (Berichterstatter des EU-Parlaments zur Datenschutz-VO) die groben Leitlinien skizziert. Schlagwortmäßig also hier der Überblick:

  • Die VO soll bis Juni 2014 (Europawahl) fertig sein.
  • Neben der VO wird eine RL für die Strafjustiz geschaffen.
  • Die Grundregeln des Datenschutzrechts, wie wir es in Deutschland kennen, sollen erhalten bleiben. Dennoch sind einige Neuerungen zu erwarten.
  • Technischer Datenschutz soll neu gefasst werden (Privacy by Design/Privacy by default).
  • Das Recht, vergessen zu werden, soll festgeschrieben werden (damit soll auch das Daten speichernde Unternehmen verpflichtet werden, bei einem durch den Betroffenen geltend gemachten Anspruch auf Datenlöschung die Datenspur zu verfolgen und ggf. darauf hinzuwirken, dass auch andere Unternehmen die Daten löschen. Wie das umgesetzt werden soll, ist nicht klar geworden).
  • Data portability ist ein großer Streitpunkt. Dies versteht sich einerseits als Anspruch, Daten von Unternehmen in akzeptablen Formaten zu erhalten (soweit in Deutschland auch üblich, aber auch nicht völliger Standard), zugleich sollen diese Formate es aber auch möglich machen, die Daten zu exportieren und somit in andere  Systeme einpflegen zu können. Kundenbindungsprogramme stehen hier auf der Kippe, weshalb hier noch Klärungsbedarf sein dürfte.
  • Das Recht, zu erfahren, wie genau die Daten verarbeitet werden, ist derzeit nicht vorgesehen, da nicht klar ist, wie dies umgesetzt werden kann.
  • Drittstaatenregelungen sollen erweitert werden, insbesondere soll es auch möglich sein, nur Sektoren zu akzeptieren, was eine Bewegung in Richtung USA darstellt, die Sektoren getrennt regeln.
  • Zugleich sollen auch nicht-EU-Unternehmen, die aber in der EU Daten sammeln, durch die VO erfasst werden und u.a. verpflichtet werden, einen Repräsentanten zu ernennen. Wie dies konkret umgesetzt wird, dürfte auch noch Fragen aufwerfen.
  • Im Fall eines Data Breaches sollen die Unternehmen verpflichtet werden, Betroffene und Aufsichtsbehörden zu informieren.
  • Es wird noch um die Schwellenwerte gerungen, die für Unternehmen gelten, um einen Datenschutzbeauftragten stellen zu müssen. Die Kommission stellt sich vor, dass hier jedes Unternehmen ab 250 Mitarbeitern einen Datenschutzbeauftragten haben soll. Diese Regelung ist natürlich einfach, aber lebensfremd, wenn bedacht wird, dass auch sehr kleine Unternehmen viele Daten verarbeiten und umgekehrt. Unternehmen, die Datenverarbeitung als Geschäftszweck haben, sollen immer einen Datenschutzbeauftragten beschäftigen.
  • Datenschutzbehörden sollen in der EU als one-stop-shop fungieren. Dann wäre nur die Behörde des Landes zuständig, in der ein Unternehmen seinen Sitzu hat.
  • Strafen sollen schmerzhafter werden mit Strafsummen bis zu 2 Prozent des Umsatzes.

Gegnerliste “Abmahnpranger” bei U+C – Update

Montag, 3. September 2012

Die Kanzlei U+C Rechtsanwälte wollten eine Gegnerliste im Internet veröffentlichen – das hat zu einiger Aufregung bei den Abgemahnten geführt. Nun teilen die Kollegen folgendes mit:

Der Kanzlei U+C Rechtsanwälte wurde durch eine Anordnung des Bayerischen Landesamtes für Datenschutz die Veröffentlichung einer Gegnerliste vorerst untersagt. U+C wurde keinerlei rechtliches Gehör in dem Verfahren gewährt . Das Landesamt hat seine Informationen und Schlußfolgerungen offensichtlich alleinig aus der Presse entnommen. Die Ausführungen der Anordnung teilen wir nicht und halten sie für tatsächlich und rechtlich falsch.

U+C Rechtsanwälte wird sich diesem Druck nicht beugen und keine derartige Beschneidung von Grundrechten hinnehmen. Wir werden daher den rechtsstaatlichen Weg einhalten und gegen diese Anordnung mit einer Klage beim Bayerischen Verwaltungsgericht antworten. Bis zum Abschluß des Verfahrens werden wir keine Gegnerliste veröffentlichen.

Es wäre nicht das erste Mal, das Datenschutzbeauftragte allein aufgrund von Presserummel tätig werden. Die Darstellung der Kanzlei ist daher nicht unglaubwürdig. Was genau sie allerdings mit der Gegnerliste beabsichtigt, bleibt nach wie vor im Dunkeln. Zu Neuigkeiten in der Sache werden wir berichten.

IP|Expertennotizen: IPv6: Ende des Datenschutzes? Eine Analyse

Freitag, 24. August 2012

von Matthias Lachenmann

Die Einführung des IPv6 Protokolls eröffnet neue technische Möglichkeiten, die zu einer weltweiten Totalüberwachung jedes Einzelnen führen könnten. So die Horrorvision, die von manchen Datenschützern gezeichnet wird. Andererseits werden die technischen Möglichkeiten und die Komfortvorteile nicht nur für Werbetreibende, auch für den einzelnen, nicht nur für den netzaffinen Bürger gelobt und auf technische Möglichkeiten der Anonymisierung verwiesen. Wie ist das neue IPv6-Protokoll, das insgesamt 340 Sextillionen IPs ermöglicht, datenschutzrechtlich einzustufen? Welche Unterschiede ergeben sich zum bisherigen Ipv4-Protokoll (welches nur knapp über 4 Milliarden IPs ermöglicht)?

Dies möchte der folgende Beitrag knapp untersuchen. Nach einer kurzen Einführung zu IPv6, der Technik und den sich ergebenden Möglichkeiten (1)), wird unter 2) untersucht, inwieweit eine IP-Adresse ein personenbezogenes Datum ist und sodann zum Abschluss unter 3) die Rechtslage bei IPv6 inklusive der dortigen Möglichkeiten zur Anonymisierung geprüft.

1) Hintergrund zu IPv6

Wie bereits angedeutet sind IPs wurde die Einführung von IPv6 nötig, da der bisherige Rahmen der zu verteilenden IP-Adresse erschöpft ist.[1] Seit Einführung 1981 entwickelte sich die Verbreitung internetfähiger Geräte mit einer nicht geahnten Geschwindigkeit. Daher erschöpfte sich inzwischen der verfügbare Rahmen des IPv4-Standards (welcher nur aus 32 Binar Stellen (Bits) besteht). Da IPs (Internet Protocol) jedoch notwendig für den Transport der Daten über das Internet sind,[2] wurde bereits seit 1998 durch die maßgebliche Internet Engineering Task Force (IETF) der neue Standard entwickelt, um ein ausreichendes IP-Spektrum zur gewährleisten.

Die technischen Möglichkeiten sind immens. So ermöglicht dies in größerem Umfang interaktives, internetbasierten Fernsehen (IPTV), Fahrzeugkommunikation zur Steuerung von Verkehrsflüssen, Zusammenführung von Kommunikationsdiensten mittels „Always-On“-Funktion wie auch eine sicherere Kommunikation aufgrund Ende-zu-Ende-Verbindungen. Insgesamt sorgen die technischen Möglichkeiten zu besseren Umsetzungsmöglichkeiten von technischen Entwicklungen und so zu einer Stärkung des deutschen Wirtschaftsstandortes.[3]

Die datenschutzrechtliche Problematik ergibt sich daraus recht offensichtlich: Ausführliche Bewegungs- und Nutzerprofile können erstellt werden (insbesondere durch die Verbreitung von Smartphones) – und das weit über die Grenzen von einzelnen Webseiten oder dem reinen Surfen im Netz hinaus. Insbesondere der Online-Werbung eröffnet dies ganz neue Möglichkeiten.[4] Ein weiterer aus datenschutzrechtlicher Sicht negativer Punkt ist, dass mit dem IPv6 Protokoll eine deutliche Vereinfachung des Routings, also der Verteilung der Datenpakete, erfolgt. Die Daten können nun bei geringen Wegen zielgerichteter verteilt werden. Dies hat zur Folge, dass durch ähnliche Adress-Präfixe Rückschlüsse „auf ähnliche Routen und damit geografische Herkunft von Datenpaketen“ möglich sind.[5]

Vor dem Hintergrund dieser Gefahren für die Privatsphäre ist zu prüfen, wie sich die deutsche Rechtslage zum Datenschutz von IP-Adressen darstellt. Das Bundesdatenschutzgesetz (BDSG) möchte gerade die Freiheit auf informationelle Selbstbestimmung schützen. Unternehmen sollen Daten über den Einzelnen nur in Grenzen sammeln dürfen. So besteht auch ein Bedürfnis, sich anonym im Internet bewegen zu können. Bei einer Personenbezogenheit von IP-Adressen haben die Unternehmen erhöhte rechtliche Anforderungen zu beachten.

2) Sind IP-Adressen personenbezogene Daten?

Die Kurzantwort ist ein klares: „Jein“ bzw. „Es kommt darauf an“.

a) Grundlagen

Da für IPv4 und IPv6 die identischen Grundsätze gelten, kann vom bestehenden IPv4-Standard ausgegangen werden. Rechtlich ist dabei von § 3 Absatz 1 BDSG auszugehen. Danach sind personenbezogene Daten alle „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlicher Person“. IP-Adressen sind dabei – zumindest bei privaten Anschlüssen – zweifellos Einzelangaben, die persönliche oder sachliche Verhältnisse beschreiben. Entscheidend ist die Frage, ob dadurch eine einzelne Person „bestimmt“, also konkret ermittelt, werden kann. Darüber herrscht in der juristischen Literatur große Uneinigkeit.

Es gibt zwei Lager: Nach der „absoluten Theorie“ ist eine IP-Adresse objektiv gesehen personenbezogen, da jedenfalls der Provider eine Verknüpfung vornehmen kann und aufgrund vieler technischer Möglichkeiten auf irgendeine Weise zumindest theoretisch ein Personenbezug hergestellt werden kann. Dies wird vor allem von Personen vertreten, die den Datenschutz als sehr wichtig einstufen, insbes. die Datenschutzbehörden. Nach der „relativen Theorie“ hingegen ist es irrelevant, dass ein Datum theoretisch irgendwie zu einem personenbezogenen Datum werden kann – maßgeblich sei nur die Frage, wann für wen die Möglichkeit bestehe, einen Bezug herzustellen – nur dann liege ein Personenbezug vor. (mehr…)

Informationen zum Datenschutz aus Schleswig-Holstein

Montag, 7. Mai 2012

Der Datenschutzbeauftragte aus Schleswig-Holstein, das sich in Sachen Datenschutz ja in letzter Zeit einen Namen gemacht hat, verfügt übrigens über eine überaus hässliche, aber trotzdem äußerst informative Website zum Thema. Diverse Vorträge zu Themen wie “Social Media und Datenschutz” oder auch “Privacy and Data Protection – a Conflict between Europe and the USA” stehen zum Abruf bereit. Eine Mediathek, Materialien verschiedenster Projekte etc pp. machen die Website durchaus zu einer interessanten Ressource. Bald geht der Relaunch online. Wir sind gespannt.