Missbrauchsaufsicht über große Digitalkonzerne

Seit 2021 hat das Bundeskartellamt die Missbrauchsaufsicht über große Digitalkonzerne „mit überragender marktübergreifender Bedeutung“   (entspr. §19 Gesetz gegen Wettbewerbsbeschränkungen GWB).

Ziel ist die Vermeidung einer marktbeherrschenden Stellung, andere Marktteilnehmer sollen nicht behindert und Kunden/Nutzer*innen nicht benachteiligt werden, z.B. mittels überhöhter Entgelte – dazu sind Sanktionen wie Verwaltungsanordnungen zur Beendigung des festgestellten Missbrauchs und Bußgelder möglich.

Bislang sind Facebook (Meta), Google, Amazon und Apple unter die Missbrauchsaufsicht genommen worden, derzeit wird Microsoft geprüft.

Es bleibt spannend, welche Schritte das Kartellamt unternehmen wird.

Weitere Informationen

Schrems II – Whats next: Entwurf des neuen EU-US Data Privacy Framework

Worum es geht:

Transfers personenbezogener Daten aus der EU in die USA, die dort dem Zugriff der Sicherheitsbehörden unterliegen („Signals intelligence“, insb. der NSA).

Da viele Anwendungen von US-amerikanischen Unternehmen stammen, die Server in den USA nutzen, sind  personenbezogene Daten europäischer Bürger vor dem Zugriff möglicherweise nicht ausreichend geschützt.

Im Juli 2020 wurde vom EuGH das EU-US Privacy Shield gekippt, siehe Blogbeitrag Safe Harbour ade. Privacy Shield ade. What’s next?

Und nun?

Europäische Unternehmen und öffentliche Stellen müssen den Einsatz solcher Anwendungen seitdem aufwendiger datenschutzrechtlich absichern. Es genügt nicht mehr, dass sich ein US-Unternehmen auf den EU-US Privacy Shield  beruft.

Seitdem sind die neuen von der Europäischen Kommission erarbeiteten Standardvertragsklauseln und zusätzliche Schutzmaßnahmen geeignete Sicherheitsgarantien „Safeguards“, siehe z.B. die Orientierungshilfe der Baden-Württembergischen Datenschutzaufsicht (Oktober 2021): Was jetzt in Sachen internationaler Datentransfer?

Künftig soll der EU-US Data Privacy Framework, der den EU-US Privacy Shield in einigen Punkten erweitert, die Funktion übernehmen – nach der Executive Order des US-Präsidenten im Oktober 2022 hat die Europäische Kommission einen Angemessenheitsbeschluss als Entwurf vorbereitet, mit dem künftig Datentransfers in die USA datenschutzrechtlich abgesichert werden können:

Der europäische Datenschutzausschuss EDPB hat dazu im Februar 2023 Stellung genommen, begrüßt die vorgenommenen Verbesserungen, sieht aber noch weiteren Regelungsbedarf, u.a. für den sogenannten „bulk-upload“, bei dem große Datenmengen transferiert werden und erst im Anschluss gefiltert/selektiert wird:

Was in 2023 geschehen wird

Die Europäische Kommission nimmt die Stellungnahme des europäischen Datenschutzausschuss zur Kenntnis, das europäische Parlament kann eine Prüfung vornehmen und Anmerkungen geben und möglicherweise gibt es noch (Nach-)Verhandlungen mit der US-amerikanischen Seite. Letztlich ist ein finaler Angemessenheitsbeschluss der EU-Kommission für den EU-US Data Privacy Framework zu erwarten.

Damit könnten dann Datentransfers in die USA rechtlich abgesichert werden. Allerdings nur bis zum erwartbaren dritten Urteil des EuGH „Schrems III“ in einigen Jahren, da Max Schrems die Klage bereits ankündigte…

Nachtrag vom 13. Juli

Der Angemessenheitsbeschluss wurde nun gefällt, siehe Blogbeitrag

E-Mail-Apps für dienstliche Smartphones

Um E-Mails auf einem dienstlichen Mobilgerät abzurufen und senden zu können, gibt es mehrere Möglichkeiten:

  1. Die Weboberfläche des Exchange-Servers der TU Berlin im Browser aufrufen
  2. Die standardmäßig im jeweiligen Betriebssystem vorinstallierte Mail-App nutzen (Mail bei iOS, Gmail bei Android), oder
  3. eine zusätzliche E-Mail-App installieren

Wir diskutieren die Vor- und Nachteile der drei Ansätze.

„E-Mail-Apps für dienstliche Smartphones“ weiterlesen

Berliner Beauftragte für Datenschutz und Informationsfreiheit bezieht neue Räumlichkeiten

Die Aufsichtsbehörde bittet darum:

die neue Hausadresse in ihren Datenschutzerklärungen anzugeben, falls dort die BlnBDI als Kontakt genannt wird.

Diese lautet:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
AltMoabit 5961
10555 Berlin

Die Telefon und Faxnummern sowie die EMailAdressen bleiben unverändert.

Sofern nicht bereits geschehen, sollte in den Datenschutzerklärungen der Einrichtungen der TU Berlin als Verantwortliche als Präsidentin Prof. Dr. Geraldine Rauch benannt werden.

Weitere Informationen

Die Juristin Meike Kamp wurde als Berliner Datenschutzbeauftragte gewählt

Am 6. Oktober wählte das Berliner Abgeordnetenhaus Meike Kamp als Berliner Datenschutzbeauftragte – sie tritt die Nachfolge Maja Smoltczyks nach fast einjähriger Vakanz der Position an.

Meike Kamp ist Informatikrechtlerin mit den Schwerpunktthemen E-Privacy, Datenschutzgrundverordnung sowie Medien- und Informationsfreiheit und war bis 2019 bereits als Referatsleiterin bei der Berliner Aufsichtsbehörde.

Neben der Begleitung der Berliner Umsetzung des Berliner Transparenzgesetzes stehen einige Datenschutzthemen auf der Tagesordnung – ihre Vorgängerin setzte sich beispielsweise intensiv mit der Nutzung von Videokonferenzdiensten während der Pandemie auseinander, ein Thema, welches an den Berliner Hochschulen auch nach der Pandemie seine Bedeutung behält.

Weitere Informationen

Open Source Business Alliance: Mindestanforderungen an Cloud-Angebote für die öffentliche Hand

Cloud-Lösungen werden künftig für staatliche Einrichtungen, Behörden und Bildungseinrichtugnen eine große Rolle spielen. Auf dem Weg zu digitaler Souveränität sind deshalb angemessene Vorgaben wichtig, um Sicherheit und Datenschutz der Anwendungen garantieren zu können. Diese sollten fester Bestandteil öffentlicher Ausschreibungen werden.

Die OSB-Alliance, der Bundesverband von Open Source Anbietern und Anwendern, hat dazu ein Positionspapier veröffentlicht.

Dieses formuliert aus ihrer Sicht erfüllbare Kriterien, die bei der Umsetzung von Cloud-Diensten im öffentlichen Sektor berücksichtigt werden sollen.

Sie formulieren zwei Kernziele für die digitale Souveränität:
  1. Wirkungsvoller Schutz von persönlichen Daten der Bürger*innen und vertraulichen Informationen  vor unerlaubtem Zugriff.
    Der Staat bzw. seine Behörden müssen jederzeit die Kontrolle darüber bewahren, wer, wann und unter welchen Umständen auf welche Daten zugreifen darf.
  2. Unabhängigkeit der Einsatzfähigkeit digitaler Infrastrukturen von anderen Staaten oder Unternehmen.
    Wirtschaftliche Abhängigkeiten und die Gefahr daraus resultierender politischer Zwänge müssen vermieden werden, um elementare staatliche Funktionen sicherzustellen und für Krisen- oder Katastrophenfällen widerstandsfähig, d.h. „resilient“, zu sein .

Diese beiden Fähigkeiten zur (1) Kontrolle von Datenflüssen sowie zur (2) Nutzung und Gestaltung von Informationstechnologie tragen entsprechend dem Papier zur digitalen Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten bei.

Wenig überraschend benennen sie Transparenz, Nachvollziehbarkeit und Überprüfbarkeit auf Code-Basis als wesentliche Aspekte für die Sicherheit von Cloud-Diensten. Mögliche Ableitungen von Daten sind nur dadurch zu vermeiden – Open Source Code sei (auch) deswegen für alle Teile von Cloud-Anwendungen zu bevorzugen.

Neben vielen weiteren Punkten wird (Daten-)portabilität eingefordert, um dem Lock-in-Problem zu begegnen: Es muss möglich sein, den Cloud-Anbieter zu wechseln (sonst gern als Multi-Cloud-Strategie bezeichnet).

Warum ist all das überhaupt erwähnenswert?

Leider sieht es bei Cloud-Anwendungen zur Zeit nicht danach aus, dass die oben genannten Punkte erfüllt werden können.

Der Cloud-Markt wird derzeit durch die großen US-Firmen bestimmt, d.h. Amazon mit AWS, Microsoft mit Azure und Google mit Google Cloud. Sie bieten nur Garantien vertraglicher Art – unabhängige und regelmäßige Code-Überprüfungen, wie sie in etablierten Open Source Projekten üblich sind, gibt es nicht.

Die Auftraggeber müssen darauf vertrauen, dass in den Rechenzentren der Anbieter alles mit rechten Dingen zugeht.

Die dort eingesetzte Cloud-Technologie ist -zumindest bei Platform as a Service (PaaS) und Software as a Service (SaaS)– Anbieter-spezifisch, proprietär und nicht Open Source. Der Auftraggeber kann somit keine echte Kontrolle über die Verarbeitungstätigkeiten haben, d.h. wer Zugriff auf Daten und Code hat und wo diese verarbeitet werden. Ein Wechsel von Anwendungen weg von einem dieser Anbieter ist ein unvorhersagbares Mammut-Projekt – es ist ein Lock-in gegeben.

Mittlerweile sind die Open Source Cloud-Technologien wie Open Stack weit ausgereift, mit ihrer Leistungsfähigkeit sind sie eine echte Alternative zu den kommerziellen US-amerikanischen Diensten. Auch in Deutschland gibt es kommerzielle Anbieter Open Source-basierter Cloud-Lösungen, so dass größere Anwendungen auch außerhalb des eigenen Rechenzentrums betrieben werden können.

Insofern sollten öffentliche Einrichtungen bei Cloud-Technologien von vornherein auf Open Source statt auf proprietäre Lösungen setzen.

Möglicherweise sind die US-amerikanischen Cloud-Anbieter durch Vergaberichtlinien für öffentliche Aufträge davon zu überzeugen, dass sie künftig (auch) auf Open Source setzen (Open Source bedeutet an dieser Stelle, dass der Code transparent ist, die Software jedoch u.U. nur mit Lizenzkosten nutzbar).

Weitere Informationen

 

Vorratsspeicherung ade – EuGH kippt deutsche Regelung

Der Eingriff in die Grundrechte sei nicht verhältnismäßig, insbesondere die anlasslose Vorratsspeicherung von Verkehrs- und Standortdaten. Eine allgemeine Speicherung von IP-Adressen und die gezielte Vorratsdatenspeicherung zur Bekämpfung schwerer Kriminalität kann aber von den Mitgliedsstaaten geregelt werden.

Die seit Jahren anhaltende Diskussion um die allgemeine Vorratsdatenspeicherung sollte mit dem Urteil ein Ende finden – auch wenn immer wieder vereinzelt Forderungen danach zu hören waren, zuletzt von der Innenministerin Faeser. Eine Nachfolgeregelung wird es wohl geben, diese muss aber deutlich weniger Daten speichern, wenn sie das EuGH-Urteil umsetzen soll.

Aus der Pressemitteilung:

Ein solcher Satz von Verkehrs und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren , und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.“

Weitere Informationen

Datenschutz blockiert nicht – er ist unentbehrlich für die Verarbeitung personenbezogener Daten

In den Medien kocht die Kritik an Datenschützern hoch – sie seien die Verhinderer von Innovation und bremsen die Wirtschaft aus.

Ganz im Sinne der FDP, die es mit Ihrem Wahlspruch auf den Punkt brachte:

Digitalisierung first, Bedenken second

(Am Rande: Erfreulicherweise werden mittlerweile auch in der FDP wieder vermehrt Grundrechte eingefordert, beispielsweise um den Überwachungsstaat einzuhegen.)

Aktuell polemisiert Sascha Lobo im Spiegel gegen den Datenschutz, dabei geht es ihm inhaltlich insbesondere um die Unfähigkeit der deutschen (Ministerial-)Bürokratie und das Scheitern öffentlicher IT-Projekte wie dem E-Rezept.

Dafür Datenschützer verantwortlich zu machen ist jedoch weit hergeholt.

Richtig ist, dass der Schutz von Persönlichkeitsrechten oft nicht ernst genug genommen wird und Datenschutz in der langsam voranschreitenden Digitalisierung meist nicht von Anfang mitgedacht wird.

Sascha Lobo greift Thilo Weichert, den ehemaligen obersten Datenschützer Schleswig-Holsteins persönlich an und bezeichnet ihn als „Hohepriester der radikalen schleswig-holsteinischen Datenschutzschule“, die er als die Verhinderer ausgemacht haben will.

Datenschutz ist kein Supergrundrecht, es gibt immer wieder Abwägungen gegenüber anderen Grundrechten – in der Pandemie beispielsweise die physische Unversehrtheit. Jedoch sollten nicht unternehmerische Vermarktungsinteressen  oder Kontrollbedürfnisse des Staates der Maßstab sein, der mündige Bürger sollte im Zentrum stehen:

Privates soll auch privat bleiben!

Dieses sicherzustellen ist Aufgabe demokratisch verfasster Staaten. Die EU strebt einen angemessenen Schutz personenbezogener Daten an, und hat dafür 2016 einen Rechtsrahmen geschaffen, die DSGVO. Es gilt, sie mit Leben zu füllen und die Bürger vor der maßlosen Sammelwut von Unternehmen und den Überwachungsfantasien staatlicher Behörden zu schützen.

Dafür lohnt es sich zu kämpfen, das sollte auch Sascha Lobo wissen!

Aktuelle Stichworte sind:
Chatkontrolle,  Steuer-ID, angreifbare IT-Systeme dank geheimgehaltener Sicherheitslöcher, Staatstrojaner, Microtargeting, Nutzerprofile, Videoüberwachung mit biometrischen Verfahren u.v.m.

 

D*ie Datenschutzbeauftragte verbietet das! – Oder doch nicht?

Sehr oft hört mensch im beruflichen Kontext die Aussage: „Das dürfen wir so nicht machen, unser*e Datenschutzbeauftragte*r hat das verboten.

Aber hat er* sie das wirklich?

Kurze Antwort vorab: Nein, dieses Recht steht ih*r nicht zu!

Aber wozu gibt es dann die Datenschutzbeauftragten?

De*m Datenschutzbeauftragten eines Betriebs, einer Behörde oder eines Unterbehmens obliegt u.a. die Aufgabe der Beratung der Leitungsebene sowie der gesamten Belegschaft in allen datenschutzrechtlichen Fragen. Auch hat sie*er die Einhaltung aller datenschutzrechtlichen Bestimmungen zu überwachen. Allerdings steht de*r Datenschutzbeauftragten kein Weisungsrecht zu.

Demnach muss Er*Sie nicht datenschutzkonforme Verarbeitungsvorgänge beanstanden, hat aber kein Recht diese zu verbieten oder zu erlauben.

Entscheidungen über die Umsetzung von Verarbeitungsvorgängen  trifft ausschließlich die Leitungsebene, ggf. die nachgeordneten Führungskräfte. Sie sind Verantwortliche im Sinne der Datenschutzgrundverordnung  und somit auch verantwortlich für die Einhaltung der bei der Verarbeitung personenbezogener Daten gebotenen organisatorischen und technischen Sicherheit und aller datenschutzrechtlichen Vorschriften.

Fazit:

Verbieten oder erlauben dürfen nur die Leitungsebene, bzw. die nachgeordneten Führungskräfte.

D*ie Datenschuztbeauftragte darf ausschließlich Empfehlungen abgeben.

Vielleicht ist es manchmal einfach bequemer oder leichter d*en Datenschutzbeauftragte*n als Buhmenschen vorzuschieben.