SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

PrivazyPlan® im Juli 2021

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im Juli an 50 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 646 Seiten (zzgl. 305 Seiten Extramaterial). Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2021_juli.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Sargnagel für EU Standard-Datenschutzklauseln hinsichtlich der USA

von: Nicholas Vollmer, (Kommentare: 0)

Die datenschutzrechtliche Lage hinsichtlich der US-Datentransfers spitzt sich seit dem EuGH-Urteil  Az. C311/18 vom 16.07.2020 beständig zu.

Am 21.06.2021 haben die deutschen Aufsichtsbehörden einer Pressemeldung die Sachlage klipp und klar beschrieben:

In seinem Urteil "Schrems II" hat der Europäische Gerichtshof das Datenschutzniveau in den USA im Detail geprüft und für unzureichend befunden. Im Fall von Datenübermittlungen in die USA sind daher  regelmäßig  ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern. Solche Maßnahmen sind allerdings nur für wenige Fälle denkbar.

Welche Fälle von US-Datentransfers wären denn noch denkbar? Die deutschen Aufsichtsbehörden lassen dies offen, aber vermutlich wäre es z.B. machbar, dass man lokal verschlüsselte Daten (z.B. Backups) auf US-Servern speichert. Hier wären die EU-Standardvertragsklauseln also anwendbar (sofern die Backup-Daten personenbezogene Daten beinhalten, die dies erforderlich machen).

Aber was ist mit allen anderen Fällen, wie Videokonferenzen, Website-Technologien und bei US-Anbietern gehostete E-Mail- und Groupware-Server?

Die deutschen Aufsichtsbehörden verweisen explizit auf die Empfehlungen zu den "ergänzenden Maßnahmen" des EDPB (European Data Protection Board), welches am 18.06.2021 hier eine 48-seitige Empfehlung erarbeitet (die wir hier mittels www.deepL.com automatisiert ins Deutsche übersetzt haben). Dort ist zu lesen:

  • Allem Voran gehört die wirksame Verschlüsselung zu diesen Maßnahmen, sofern gemäß Randnummer 84 sichergestellt ist, dass "die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs [...] aufbewahrt [werden...]". Aber auch eine wirksame Pseudonymisierung ist gemäß Randnummer 85 möglich.
  • Eine ganz klare Absage wird aber den technischen Gegebenheiten der typischen (US-) Clouddienste u.a. in Randnummer 94 und 95 erteilt:
    "(94) Ein Datenexporteur übermittelt personenbezogene Daten, sei es durch elektronische Übermittlung oder durch Zurverfügungstellung an einen Cloud-Service-Provider oder einen anderen Auftragsverarbeiter, um personenbezogene Daten nach seinen Anweisungen in einem Drittland verarbeiten zu lassen (z. B. für die Bereitstellung von technischem Support oder jede Art von Cloud-Verarbeitung), und diese Daten sind nicht - oder können nicht - pseudonymisiert werden, wie in Anwendungsfall 2 beschrieben, oder verschlüsselt werden, wie in Anwendungsfall 1 beschrieben, weil die Verarbeitung den Zugriff auf Daten im Klartext erfordert. [...]
    [Hier] ist der EDSB nach dem derzeitigen Stand der Technik nicht in der Lage, sich eine wirksame technische Maßnahme vorzustellen, die verhindert, dass dieser Zugriff die Grundrechte der betroffenen Person beeinträchtigt. [...]
    (95) In den gegebenen Szenarien, in denen unverschlüsselte personenbezogene Daten für die Erbringung der Dienstleistung durch den Auftragsverarbeiter technisch notwendig sind, stellen Transportverschlüsselung und Data-at-rest-Verschlüsselung auch zusammengenommen keine ergänzende Maßnahme dar, die ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet, wenn der Datenimporteur im Besitz der kryptografischen Schlüssel ist."
     
  • Das gleiche gilt für Geschäftsprozesse, wo US-Unternehmen der Zugriff auf Unternehmensdaten gewährt wird (beispielsweise der US-Konzernmutter), wie die Randnummern 96 und 97 erläutern.
     
  • In den Randnummern 98-143 werden noch zusätzliche vertragliche und organisatorische Maßnahmen erörtert, die aber nur sehr schwer einzuschätzen sind.

Es besteht also dringender Handlungsbedarf für europäische Unternehmer und Behörden, wie auch eine Entschließung der Datenschutzkonferenz aufzeigt.

Die Firma SecureDataService möchte diese Transformation unterstüzen und liefert einen Digitalisierungs-Leitfaden, der europäische Alternativen aufzeigt:

    https://www.securedataservice.de/Digitalisierungs-Produkte.pdf

Das obige Dokument ist ein Ausschnitt aus dem Dokument-Portfolio des Datenschutz-Praxisleitfadens PrivazyPlan®, der für 295 € (brutto) erhältlich ist und monatlich aktualisiert wird.

Quellen:

  • EuGH-Urteil "Schrems II", Az. C311/18 vom 16.07.2020
  • Entschließung der Datenschutzkonferenz zur "Digitalen Souveränität der öffentlichen Verwaltung" am 22.09.2020
  • Empfehlung 01/2020 der EDBP zu "Recommendations on measures the supplement transfer tools to ensure compliance wicht EU level of protection of personal data - Version 2.0" am 18.06.2021
  • Pressemeldung der Datenschutzkonferenz zu "Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln sind nötig" am 21.06.2021

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im Juni 2021

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im März an 20 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 632 Seiten (zzgl. 279 Seiten Extramaterial). Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2021_juni.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im Mai 2021

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im März an 41 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 628 Seiten (zzgl. 279 Seiten Extramaterial). Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2021_mai.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Neue Aukunftspflicht im Telemediengesetz (TMG)

von: Nicholas Vollmer, (Kommentare: 0)

Im Turbo-Schnellgang hat der deutsche Gesetzgeber eine Änderung des Telemediengesetzes durchgepeitscht. Demnach sind alle Website-Betreiber auskunftspflichtig gegenüber deutschen Ermittlungsbehörden.

In Deutschland haben Ermittlungsbehörden ab dem 01.04.2021 erweiterte Ermittungsbefugnisse und können Bestands- und Nutzungsdaten von Website-Besuchern anfordern. Die neuen §§ 15a-c TMG und der überarbeitete § 113 TKG machen es möglich. Von dieser Auskunftspflicht betroffen sind alle Betreiber von Webseiten (genau genommen von „Telemediendiensten“, wie hier auf Seite 13 grob erläutert).

Auslöser war ein Beschluss des BVerfG (Az. 1 BvR 1873/13 vom 27.05.2020). Der Wortlaut findet sich im Bundesgesetzblatt vom 01.04.2021 (dort ab Seite 15 bzw. 462) und verwirrenderweise auch hier im Bundesgesetzblatt (dort ab Seite 4 bzw. 444) und die Begründungen in der Bundestags-Drucksache 19/25294 (speziell hier ab Seite 53).

Die Ermittlungen müssen sich beziehen auf (a) Straftaten oder (b) Ordnungswidrigkeiten mit einem Höchstmaß der Geldbuße von mindestens 15.000 €. Beispiel: Eine Online-Apotheke wäre prinzipiell auskunftspflichtig bei Verstößen gegen das Betäubungsmittelgesetz, weil diesbezügliche Ordnungswidrigkeiten gemäß § 32 BtMG mit bis zu 25.000 € geahndet werden können (allerdings würde hier wohl das Berufsgeheimnis von der Auskunftspflicht entbinden).

Gemäß § 15a Abs. 5 TMG hat der Verantwortliche „Über das Auskunftsersuchen und die Auskunftserteilung haben die Verpflichteten gegenüber den Betroffenen sowie Dritten Stillschweigen zu wahren“.

Gemäß § 15a Abs. 6 TMG fordert u.a.: „Jedes Auskunftsverlangen ist durch eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 genannten formalen Voraussetzungen zu prüfen. Die weitere Bearbeitung des Auskunftsverlangens darf erst nach einem positiven Prüfergebnis freigegeben werden“. (Siehe Seite 312)

Die Webserver-Logfiles sind bei der Auskunft von Nutzungsdaten von besonderem Interesse, denn „für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen“. In diesen Dateien finden sich auch dynamische IP-Adressen („eine zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse“), die als Identifikationsmerkmale genutzt werden dürfen. Allerdings gelten hier die besonderen Verhältnismäßigkeitsanforderungen des § 15a Abs. 4 TMG.

Gemäß § 16 Abs. 1 Nr. 7 TMG kann eine Geldbuße von bis zu 50.000 € verhängt werden, wenn die Auskunftspflicht an die Behörden nicht ordnungsgemäß erfolgt.

Neu ist der auch der eingeschobene § 14 Abs. 2 TMG: „Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist“.

So unglaublich es auch klingt: Auch eine Woche nach Veröffentlichung dieser Gesetzesnovellierung ist eine diesbezügliche Internet-Recherche erfolglos. [War das etwa ein Aprilscherz des Bundesgesetzblatt-Verlags?] Allein der Juris-Verlag kritisierte im Januar 2021 diese Express-Gesetzesänderung.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.