Tag Archives: EU

Bußgelder für unzulässige Datenübermittlung in die USA rechtskräftig

Die Landesdatenschutz aus Hamburg hat nun Datenübermittlungen in die USA geprüft und allen Unternehmen, die nicht rechtzeitig auf die Standardvertragsklauseln umgestellt haben, ein Bußgeld verhängt. Die betroffenen Unternehmen haben unrechtmäßig Daten ohne Rechtsgrundlage in die USA übermittelt und haben erst nach Einleitung des Bußgeldverfahrens auf Standardvertragsklauseln umgestellt.

Mittlerweile sind drei Bußgeldbescheide wegen unzulässiger Datenübermittlung rechtskräftig geworden, teilten heute die Landesdatenschützer in Hamburg in ihrer Pressemitteilung mit.

Continue reading

Abkommen Umbrella verabschiedet

Ich habe schon vor längerer Zeit einen Blogpost zu Umbrella geschrieben. Dieses datenschutzrechtliche Abkommen zwischen den USA und der EU ist heute im EU-Rat unterschrieben worden. Nun muss das Abkommen noch durch das Europaparlament verabschiedet werden und wird dann die Gültigkeit. Unterzeichnet wurde das Abkommen für die EU von

  • dem niederländischen Minister Ard van der Steur
  • der EU Kommissarin Jourová

und dem Generalstaatsanwalt in den US: Loretta Lynch.

Bei dem Abkommen „Umbrella agreement“ geht es um den Austausch von personenbezogenen Daten in Bezug auf Straftaten, also um die strafrechtliche Zusammenarbeit bei der Strafverfolgung. Somit können auf dieser Grundlage personenbezogene Daten zwischen Polizei- und Strafverfolgungsbehörden der Mitgliedsstaaten der EU und den US-Behörden zum Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten einschließlich Terrorismus ausgetauscht werden.

Ein wichtiger Punkt dieses Abkommens ist es vor allem auch, dass EU Bürger nun auch vor US-Gerichten den US-Bürgern gleichgestellt werden. Damit können diese auch Verfahren eröffnen und Rechtsschutz einklagen. Weiterhin sind in dem Abkommen enge Richtlinien und Garantien zur Rechtmäßigkeit der Übermittlung festgelegt worden.

  • klare Beschränkungen
  • vorherige Zustimmung vor der Weitergabe
  • Verpflichtung zu Aufbewahrungsfristen
  • Recht auf Zugang
  • Berichtung, Löschung

 

via

http://www.consilium.europa.eu/de/press/press-releases/2016/06/02-umbrella-agreement/

 

Coding am Europatag, den 28. Mai 2016

Am 28. Mai 2016 ist in Brüssel wieder einiges los. Diesmal passend zum Europatag geht es um Programmieren und Coding einen ganzen Tag entlang.

Die Informationen: (http://europeday.europa.eu/mobile/en/activity/192)

Wann: 10:00 – 18:00 Uhr

Wo:
Rue de la Loi/Wetstraat, 200
B-1040 Bruxelles/Brussel
Belgium

 

coole Seiten für das Coding von Kindern:

Scratch: https://scratch.mit.edu/

CoderDojo Belgium: http://www.coderdojobelgium.be/en

Technies Lab: http://techieslab.org/

 

 

 

via: https://ec.europa.eu/digital-single-market/en/news/try-coding-and-other-tech4eu-activities-europe-day-2016

 

 

Datenschutzgrundverordnung ausgefertigt!

Seit gestern ist es nun endlich geschafft. Der lange vier jährige Weg zum neuen Datenschutzgrundverordnung und damit zur Vollharmonisierung im Datenschutzrecht. Eine komplette Vollharmonisierung ist es jedoch nicht ganz oder besser gesagt in einer gröberen Ebene, die zwar konkreter ist als bisher aber dennoch in gut 60% der Artikel sogenannte Öffnungsklauseln enthält.

Aber nun bevor ich auch auf diesem Blog Kritik übe, keinen kleinen Kommentar schreibe und mich dem Thema in den nächsten sechs Monaten mehr widme hier erstmal der Link zur deutschen Version:

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C:2016:159:FULL&from=DE

Weiterhin werde ich mich natürlich mit Microsoft Cloud Services wie Office 365 und Azure in Zusammenhand mit der neuen Datenschutzgrundverordnung beschäftigten. Also freut euch auf viele neue Informationen!

 

 

Privacyshield – die neue Datenschutzvereinbarung zwischen USA & Europa

privacyshield_logo

Es wurde aller höchste Zeit für eine neue Regelung, da zunächst im vergangenen Jahr der EuGH unter dem deutschen Berichtsführer Prof. von Danwitz (ehemalig Uni Köln) nicht nur auf die Fragen eines Vorabentscheidungsverfahrens eines irischen Richters im Verfahren von Herrn Schrems geantwortet hat, sondern auch gleich die seit 2000 gültiges Abkommen der USA mit Europa für den Datentransfer Safe Harbor für nichtig erklärt haben. (Urteil vom 6. Oktober 2015)

Das neue Abkommen heißt EU-US Privacy Shield und wurde laut der Justizkommissarin Jourova in vielen langen nächtlichen Sitzungen verhandelt. Nun heißt es aber erstmal für uns IT-Juristen: Wo ist der genaue Text, was steht dort und vor allem was wird geregelt.

Wie Frau Jourova twitterte wird das neue Abkommen am Urteil des EuGH gemessen und muss die Kritikpunkte beseitigen. Zu den Hauptkritikpunkten gehörte einerseits die fehlende Rechtssicherheit in den USA für EU Bürger, sowie der niedrigere Datenschutz Niveau der USA.

Herr Ansip sagt, dass mit diesem Abkommen die personenbezogenen Daten vollständig geschützt sind und es Rechtssicherheit gerade auch für kleine Unternehmen geben wird, so dass diese Dienste in den USA rechtssicher nutzen können. Das Abkommen stärkt weiterhin die Partnerschaft mit den USA und soll den digitalen Binnenmarkt der EU zu einer vertrauenswürdigen und dynamischen Onlineumgebung führen.

 

 

Aus der Pressemitteilung und einer Pressekonferenz sind folgende Informationen zu Privacyshield durchgesickert:

  • „gültig in 3 Monaten“
  • „Ersatz für Safe Harbour“
  • Schutz der Grundrechte der Europäer, wenn ihre Daten in die USA übertragen werden.“
  • Gewährleistung der Rechtssicherheit für Unternehmen.“
  • Überwachung und Durchsetzung der neuen Regelungen auch wieder durch das U.S. Department of Commerce and Federal Trade Commission (FTC)
  • „Soll als Grundlage für den Datentransfer EU – US neben den EU Modelclauses gelten.“
  • enthält die Verpflichtung der USA, die Zugriff auf persönliche Daten an öffentliche Behörden übertragen haben, den „generellen“ Zugriff auf persönliche Daten einzuschränken und den klaren Bedingungen, Einschränkungen und Aufsicht unterzuordnen. (Schutzmaßnahmen und Transparenzverpflichtungen)
  • das neue Ombusmannverfahren für Datenschutzverletzungen in den USA. EU Bürger haben das Recht einen Schiedsmann einzuschalten (Beschwerde, Anfrage), der unabhängig beispielsweise von der NSA entscheiden darf.
    [Anmerkung]
    Es mag ein erster richtiger Schritt sein, dieses neue Verfahren eines Ombusmannes in den USA zu etablieren, aber ob dieser dem Kriterium des effektiven Rechtsschutzes – welches der EuGH und auch nationale Datenschutzbehörden fordern – wird sich erst mit genaueren Informationen zum Verfahren sagen können. Ebenfalls haben die nationalen Datenschutzstellen nun eh das Recht dieses Abkommen selbstständig zu prüfen, zwar nicht für ungültig zu erklären – dies darf nur der EuGH- aber vor allem ihr Kritik vielleicht für ein Privacyshield 2.0 einbringen. Letzt endlich wird es sich wohl wieder vor dem EuGH entscheiden, ob das neue Abkommen bestand hat. Fraglich ist dann auch in der praktischen Durchführung wie teuer ein Verfahren ist und ob EU Bürger in die USA reisen müssten.Festzuhalten ist jedenfalls, dass dieses Verfahren noch Schwachstellen aufweist und wohl nachgebessert werden muss.

 

Hier der originale Text:

„Clear safeguards and transparency obligations on U.S. government access: For the first time, the US has given the EU written assurances that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms. These exceptions must be used only to the extent necessary and proportionate. The U.S. has ruled out indiscriminate mass surveillance on the personal data transferred to the US under the new arrangement. To regularly monitor the functioning of the arrangement there will be an annual joint review, which will also include the issue of national security access. The European Commission and the U.S. Department of Commerce will conduct the review and invite national intelligence experts from the U.S. and European Data Protection Authorities to it.

Effective protection of EU citizens‘ rights with several redress possibilities: Any citizen who considers that their data has been misused under the new arrangement will have several redress possibilities. Companies have deadlines to reply to complaints. European DPAs can refer complaints to the Department of Commerce and the Federal Trade Commission. In addition, Alternative Dispute resolution will be free of charge. For complaints on possible access by national intelligence authorities, a new Ombudsperson will be created. “

 

Kritik von Jan Philipp Albrecht:
“ Es sei ein Witz und es sorgt nicht zu einem effektiven Rechtsschutz, wie vom EuGH gefordert.“ Aus meiner Sicht wird er oder die Fraktion der Grünen dieses vor dem EuGH prüfen lassen.

 

Ein wichtiger Twitterpost aus meiner Sicht:
privacyshield11
Ob dies nun die entscheidende Information zum Ombutsmann-Verfahren ist oder ob wir wirklich Zugang zu US Gerichten haben ist fraglich. Weiterhin ist natürlich fraglich, welche Rechte man dort hat seine Daten zu schützen und diesen Schutz durchzusetzen. Auch der Zugang alleine genügt nicht für einen effektiven Rechtsschutz.

 

 

Nächste Schritte
Vizepräsident Ansip und Kommissarin Jourova sollen einen „angemessenen Entscheidungsentwurf“ in den kommenden Wochen erarbeiten, der dann wieder ins Gremium (US-EU) eingehen soll und nach Einholung von Gutachten dann verabschiedet werden soll.

 

Wichtig für uns und auch für mich:
Ich bin auf den Entscheidungsentwurf und dann auf das endgültige Abkommen, sowie die ab morgen Tagende Artikel 29 Kommission gespannt. Also beeilt euch und lasst uns etwas lesen!

 

Gutachten
Wenn das Gremium noch ein Gutachten will, ich würde dieses in Kooperation mit den bekannten Gelehrten schreiben und über den Preis wird man sich schon einig.

 

 

 

via PK:
http://europa.eu/rapid/press-release_IP-16-216_en.htm

DEUTSCH: http://europa.eu/rapid/press-release_IP-16-216_de.htm

Screenshots aus der kurzen verlesenen PK (ohne Fragen)

 

privacyshield10

privacyshield9

 

Herr Ansip (Vice von Herrn Oettinger, EU Kommission)

privacyshield8

 

Frau Jourova (Justizkommissarin der EU Kommission)

privacyshield7

Yammer nun mit EU Modelclauses

EUM_Yammer

Ich bekam am Ende der letzten Woche eine Email von Yammer, in der die Verfügbarkeit der EU Standardvertragsklauseln für Yammer bestätigt wurden. Dies ist äußerst wichtig für den Einsatz dieser Plattform in Deutschland. Aber warum? Es handelt sich natürlich um eine datenschutzrechtliche Fragestellung, wie so oft in den letzten Monaten.

Yammer wird seit Anfang Mai 2015 in Microsofts Rechenzentren gehostet und ist ein reiner SaaS Dienst. Nun schauen wir uns dies etwas genauer an. Yammer wird in US Rechenzentren gehostet und damit laut EU-Kommission in einem unsicheren Drittland aus Gesichtspunkten des Datenschutzes her. Um den Datenschutz nun auf das europäische Niveau zu heben, müssen die EU Standardvertragsklauseln zwischen dem Kunden/Nutzer und dem Dienstanbieter vereinbart werden. Diese müssen 1 zu 1 mit den EU Modelclauses übernommen werden, nach einer Überprüfung mit dem Vergleichen-Tool von Word, kann ich dies für Yammer bestätigen.

Früher wurden Daten im rechtlichem Sinne in Yammer alleine über den Dienstvertrag und über die ehemalig gültige Safe Harbor Vereinbarung verarbeitet. Durch den Wegfall der Safe Harbor Regelungen war der datenschutzkonforme Einsatz von Yammer endgültig beendet worden, doch nun wurden die EU Standardvertragsklauseln abgeschlossen und einer Nutzung von Yammer steht fast nichts mehr im Wege. Zu bedenken bleibt nun auf der einen Seite die korrekte Konfiguration von Yammer und dass die EU Standardvertragsklauseln eventuell nochmal angepasst werden müssen, denn als Folge des Safe Harbor Urteils müssen diese bis zum 31.01.2016 geprüft und eventuell angepasst werden.

Konfiguration von Yammer
Empfohlen sind folgende Einstellungen:

  • Benutzersyncronisation mit der lokalen AD / Benutzersteuerung / Benutzerkontrolle / SSO
  • Wortfilter
  • Nutzungsbedigungen erstellen und von allen Nutzern vor der Nutzung des Tools bestätigen lassen
  • Betriebsvereinbarungen und Absprache mit dem Betriebsrat zur Nutzung von Yammer als Tool im Unternehmen. Sinnvoller Weise wird ein Ausschluss der Auswertung der Daten zur Leistungskontrolle und Überwachung des Mitarbeiters vereinbart.
  • regelmäßige Sicherung und Extraktion der Inhalte von Yammer auf lokale Festplatten (Archivierung)

via: https://blogs.office.com/2015/11/20/eu-model-clauses-and-hipaa-baa-update-now-available-for-all-yammer-customers/

 

 

Yammer Einsatz im Graubereich muss bevorzugt werden?

Ein höchstinteressante Unterhaltung hatte ich auf dem Technical Summit 2015 in Darmstadt zu Yammer. Eine der größten deutschen und internationalen Firmen setzt Yammer aktuell ein. Bei der Diskussion über Datenschutz, Datensicherheit und Schatten-IT, sind wir nach gut 2,5h Abwägung der widerstreitenden Interessen zum Entschluss gekommen: Yammer muss eingesetzt und geduldet werden, auch wenn es datenschutzrechtlich in einem Graubereich sein könnte (vor der Ankündigung der EU Modelclauses).

Was wäre die Alternative eines gut konfigurierbaren und aus Datensicherheitsgründen erstmal akzeptable Plattform – außer eventuell der Gedanke des Zugriffs von Geheimdiensten, aber ist es onPremise sicherer? – : Die User nutzen alternativ private Tools wie WhatsApp, Dropbox, GoogleDocs oder MegaUploads, TeamSpeak, Facebook-Gruppen oder Twitter. Alles dies ist aus Sicht eines Unternehmens schlechter, ein Verbot dieser Dienste nicht ausreichend, da unkontrollierbar, so die realistische Einschätzung. Also: geduldeter Yammer-Einsatz mit Aufklärung der Mitarbeiter und Kontrolle der Plattform durch des Unternehmens. (Berechtigung der Mitarbeiter über eine eigens eingerichteten Stelle: Berichtigung, Löschung, Sperrung und Änderung der Daten

Digital Agenda Action Day 2014

Heute findet der Digitale Action Day der EU Kommission statt. Damit auch ihr nichts verpasst hier der Livestream:

http://webcast.ec.europa.eu/eutv/portal/_v_fl_300_en/player/index_player_en.html?id=23864#

 

papers:

 

Agenda:

Part 1: Introduction and keynote speeches

10.00 – 10.05: Opening by the moderator, Ann Mettler, Executive Director and co-founder of The Lisbon Council

10.05 – 10.15: Keynote speech by Neelie Kroes, Vice-President of the European Commission

10.15 – 10.25: Video message on behalf of the Italian Presidency by Sandro Gozi,  Secretary of State for European Affaires, Italy

10.25 – 10.40: A view from outside Europe on digital transformation and disruption by Jeremy Rifkin, President of The Foundation on Economic Trends, USA

Part 2: Telling the stories of the digital transformation

10.40 – 10.55: Automotive/car sectors in Europe. New models for consuming and automated manufacturing
Dr Volkmar Tanneberger, Head of electrical/electronics development, Volkswagen brand

10.55 – 11.10: Adapting disruption in the media sector: Lessons learned and next steps
John O’Donovan, CTO, Financial Times

11.10 – 11.25: Transforming traditional tourism industry
Gillian Tans, COO, Booking.com

11.25 – 11.40: Developing new disruptive digital business models
Nicolas Brusson, COO and co-founder, Blablacar

11.40 – 11.50: Making digital policy in Europe: What needs to change – transformation and accepting a changed reality
Guy Levin, Executive Director of Coadec and policy columnist of Tech City News

11.50 – 12.10: Voices of the next generation: Actions for the future, co-moderated by Julie Cullen, Young Advisor to Vice-President Kroes
Amy Mather, European Digital Girl 2013, and Jordan Casey, CEO, Casey Games

12.10 – 12.30: Closing of morning session by the moderator and Q&A with the audience

12.30 – 14.00: Lunch break

Afternoon session – Work sessions, Plenary debate and Closing

Part 3: Work sessions

14.00 – 16.00: Parallel work sessions

  • Work session 1 – Traditional industry, digital and data strategies: How to get maximum benefits from disruptive ICT developments? (#DAD14industry)
  • Work session 2 – SMEs going digital, entrepreneurship and Startup Europe: How to stimulate transformation and scaling up of traditional companies as well as creating the conditions for disruptive new companies (#DAD14sme)
  • Work session 3 – Public sector and cities also go digital: What are the solutions for smart government and smart cities? (#DAD14smart)
  • Work session 4 – Transforming the traditional media sector: How to succeed in a strongly disruptive situation? (#DAD14media)
  • Work session 5 – How to ensure that Europe has the digital skills to succeed in transforming all economic sectors for the digital age? (#DAD14skills)
  • Work session 6 – Making it in the Digital Single Market: Overcoming challenges and impact of internet ‚gatekeepers‘? (#DAD14dsm)

16.00 – 16.15: Coffee break

Part 4: Debate and closing

16.15 – 16.25: Introduction by the moderator, Ann Mettler

16.25 – 16.50: Feedback on digital actions from the work sessions rapporteurs

16.50 – 17.50: Debate on future policy actions with institutional, business and consumer representatives and the audience

  • Markus Beyrer, Director-General Businesseurope
  • Arnis Daugulis, Deputy State Secretary for ICT, Ministry of Environmental Protection and Regional Development of Latvia, Latvian Presidency
  • Monique Goyens, Director-General BEUC
  • Robert Madelin, Director-General, European Commission, DG CONNECT
  • Catherine Stihler, Vice-Chair of Internal Market and Consumer Protection Committee, European Parliament

17.50 – 18.00: Closing by Vice-President Neelie Kroes with the Digital Champions and Young Advisors

 

über 7.000 Stellungnahmen bei der EU Konsultation zum europäischen Urheberrecht

Ich hatte zu Beginn dieses Jahres mehrfach dazu aufgefordert sich an der Konsultation der EU Kommission zum europäischen Urheberrecht zu beteiligen. Nachdem die Konsultation noch einmal um einen Monat verlängert wurde, endete diese an 5. März 2014.

 

Das Ergebnis kann sich sehen lassen und wird den Mitarbeitern der Kommission erfreulicher Weise viel arbeit machen. Denn es wurden 7.474 Stellungnahmen eingereicht.

 

Alle Stellungnahmen kann man auf dieser Webseite der EU Kommission downloaden:

http://ec.europa.eu/internal_market/consultations/2013/copyright-rules/index_en.htm

 

Eine Auflistung der größeren und bekannten Stellungnahmen wie die der Bitkom lassen sich auf den Webseiten der Verbände finden

Bitkom: http://www.bitkom.org/de/themen/54834_78786.aspx

oder gesammelt hier auf der Webseite urheberrecht.org

http://www.urheberrecht.org/topic/EU-Konsultation/

 

 

 

 

Rede zur Lage von Europa

Ab 11:00 wird der Präsident der EU Kommission eine Rede zur Lage von Europa an der Humboldt Universität in Berlin. Ist als Tagesordnungspunkt auch eine Diskussionsrunde mit Studierenden.

Hier der offizielle Eintrag auf dem Audio-Service:

LIVE

José Manuel BARROSO, President of the EC at the Humboldt University in Berlin

 

Zugang per Stream über:

http://ec.europa.eu/avservices/ebs/schedule.cfm?sitelang=en&page=3&institution=0&date=05/08/2014