IT und Recht, Cloud und mehr
Am 28. Mai 2016 ist in Brüssel wieder einiges los. Diesmal passend zum Europatag geht es um Programmieren und Coding einen ganzen Tag entlang.
Die Informationen: (http://europeday.europa.eu/mobile/en/activity/192)
Wann: 10:00 – 18:00 Uhr
Wo:
Rue de la Loi/Wetstraat, 200
B-1040 Bruxelles/Brussel
Belgium
coole Seiten für das Coding von Kindern:
Scratch: https://scratch.mit.edu/
CoderDojo Belgium: http://www.coderdojobelgium.be/en
Technies Lab: http://techieslab.org/
Seit gestern ist es nun endlich geschafft. Der lange vier jährige Weg zum neuen Datenschutzgrundverordnung und damit zur Vollharmonisierung im Datenschutzrecht. Eine komplette Vollharmonisierung ist es jedoch nicht ganz oder besser gesagt in einer gröberen Ebene, die zwar konkreter ist als bisher aber dennoch in gut 60% der Artikel sogenannte Öffnungsklauseln enthält.
Aber nun bevor ich auch auf diesem Blog Kritik übe, keinen kleinen Kommentar schreibe und mich dem Thema in den nächsten sechs Monaten mehr widme hier erstmal der Link zur deutschen Version:
http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C:2016:159:FULL&from=DE
Weiterhin werde ich mich natürlich mit Microsoft Cloud Services wie Office 365 und Azure in Zusammenhand mit der neuen Datenschutzgrundverordnung beschäftigten. Also freut euch auf viele neue Informationen!
Es wurde aller höchste Zeit für eine neue Regelung, da zunächst im vergangenen Jahr der EuGH unter dem deutschen Berichtsführer Prof. von Danwitz (ehemalig Uni Köln) nicht nur auf die Fragen eines Vorabentscheidungsverfahrens eines irischen Richters im Verfahren von Herrn Schrems geantwortet hat, sondern auch gleich die seit 2000 gültiges Abkommen der USA mit Europa für den Datentransfer Safe Harbor für nichtig erklärt haben. (Urteil vom 6. Oktober 2015)
Das neue Abkommen heißt EU-US Privacy Shield und wurde laut der Justizkommissarin Jourova in vielen langen nächtlichen Sitzungen verhandelt. Nun heißt es aber erstmal für uns IT-Juristen: Wo ist der genaue Text, was steht dort und vor allem was wird geregelt.
Wie Frau Jourova twitterte wird das neue Abkommen am Urteil des EuGH gemessen und muss die Kritikpunkte beseitigen. Zu den Hauptkritikpunkten gehörte einerseits die fehlende Rechtssicherheit in den USA für EU Bürger, sowie der niedrigere Datenschutz Niveau der USA.
Herr Ansip sagt, dass mit diesem Abkommen die personenbezogenen Daten vollständig geschützt sind und es Rechtssicherheit gerade auch für kleine Unternehmen geben wird, so dass diese Dienste in den USA rechtssicher nutzen können. Das Abkommen stärkt weiterhin die Partnerschaft mit den USA und soll den digitalen Binnenmarkt der EU zu einer vertrauenswürdigen und dynamischen Onlineumgebung führen.
Aus der Pressemitteilung und einer Pressekonferenz sind folgende Informationen zu Privacyshield durchgesickert:
Hier der originale Text:
„Clear safeguards and transparency obligations on U.S. government access: For the first time, the US has given the EU written assurances that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms. These exceptions must be used only to the extent necessary and proportionate. The U.S. has ruled out indiscriminate mass surveillance on the personal data transferred to the US under the new arrangement. To regularly monitor the functioning of the arrangement there will be an annual joint review, which will also include the issue of national security access. The European Commission and the U.S. Department of Commerce will conduct the review and invite national intelligence experts from the U.S. and European Data Protection Authorities to it.
Effective protection of EU citizens‘ rights with several redress possibilities: Any citizen who considers that their data has been misused under the new arrangement will have several redress possibilities. Companies have deadlines to reply to complaints. European DPAs can refer complaints to the Department of Commerce and the Federal Trade Commission. In addition, Alternative Dispute resolution will be free of charge. For complaints on possible access by national intelligence authorities, a new Ombudsperson will be created. “
Kritik von Jan Philipp Albrecht:
“ Es sei ein Witz und es sorgt nicht zu einem effektiven Rechtsschutz, wie vom EuGH gefordert.“ Aus meiner Sicht wird er oder die Fraktion der Grünen dieses vor dem EuGH prüfen lassen.
Ein wichtiger Twitterpost aus meiner Sicht:
Ob dies nun die entscheidende Information zum Ombutsmann-Verfahren ist oder ob wir wirklich Zugang zu US Gerichten haben ist fraglich. Weiterhin ist natürlich fraglich, welche Rechte man dort hat seine Daten zu schützen und diesen Schutz durchzusetzen. Auch der Zugang alleine genügt nicht für einen effektiven Rechtsschutz.
Nächste Schritte
Vizepräsident Ansip und Kommissarin Jourova sollen einen „angemessenen Entscheidungsentwurf“ in den kommenden Wochen erarbeiten, der dann wieder ins Gremium (US-EU) eingehen soll und nach Einholung von Gutachten dann verabschiedet werden soll.
Wichtig für uns und auch für mich:
Ich bin auf den Entscheidungsentwurf und dann auf das endgültige Abkommen, sowie die ab morgen Tagende Artikel 29 Kommission gespannt. Also beeilt euch und lasst uns etwas lesen!
Gutachten
Wenn das Gremium noch ein Gutachten will, ich würde dieses in Kooperation mit den bekannten Gelehrten schreiben und über den Preis wird man sich schon einig.
via PK:
http://europa.eu/rapid/press-release_IP-16-216_en.htm
DEUTSCH: http://europa.eu/rapid/press-release_IP-16-216_de.htm
Screenshots aus der kurzen verlesenen PK (ohne Fragen)
Herr Ansip (Vice von Herrn Oettinger, EU Kommission)
Frau Jourova (Justizkommissarin der EU Kommission)
EU Dialogue
Heute ab 13:00 Uhr könnt ihr Fragen zum Datenschutz, Urheberrecht und E-Commerce stellen!
Twitter: @Ansip_EU
Herr Ansip ist Kommissar für Digitale Wirtschaft und Gesellschaft (2014 – present)!
Live könnt ihr dies auch hier sehen:
Ich bekam am Ende der letzten Woche eine Email von Yammer, in der die Verfügbarkeit der EU Standardvertragsklauseln für Yammer bestätigt wurden. Dies ist äußerst wichtig für den Einsatz dieser Plattform in Deutschland. Aber warum? Es handelt sich natürlich um eine datenschutzrechtliche Fragestellung, wie so oft in den letzten Monaten.
Yammer wird seit Anfang Mai 2015 in Microsofts Rechenzentren gehostet und ist ein reiner SaaS Dienst. Nun schauen wir uns dies etwas genauer an. Yammer wird in US Rechenzentren gehostet und damit laut EU-Kommission in einem unsicheren Drittland aus Gesichtspunkten des Datenschutzes her. Um den Datenschutz nun auf das europäische Niveau zu heben, müssen die EU Standardvertragsklauseln zwischen dem Kunden/Nutzer und dem Dienstanbieter vereinbart werden. Diese müssen 1 zu 1 mit den EU Modelclauses übernommen werden, nach einer Überprüfung mit dem Vergleichen-Tool von Word, kann ich dies für Yammer bestätigen.
Früher wurden Daten im rechtlichem Sinne in Yammer alleine über den Dienstvertrag und über die ehemalig gültige Safe Harbor Vereinbarung verarbeitet. Durch den Wegfall der Safe Harbor Regelungen war der datenschutzkonforme Einsatz von Yammer endgültig beendet worden, doch nun wurden die EU Standardvertragsklauseln abgeschlossen und einer Nutzung von Yammer steht fast nichts mehr im Wege. Zu bedenken bleibt nun auf der einen Seite die korrekte Konfiguration von Yammer und dass die EU Standardvertragsklauseln eventuell nochmal angepasst werden müssen, denn als Folge des Safe Harbor Urteils müssen diese bis zum 31.01.2016 geprüft und eventuell angepasst werden.
Konfiguration von Yammer
Empfohlen sind folgende Einstellungen:
Yammer Einsatz im Graubereich muss bevorzugt werden?
Ein höchstinteressante Unterhaltung hatte ich auf dem Technical Summit 2015 in Darmstadt zu Yammer. Eine der größten deutschen und internationalen Firmen setzt Yammer aktuell ein. Bei der Diskussion über Datenschutz, Datensicherheit und Schatten-IT, sind wir nach gut 2,5h Abwägung der widerstreitenden Interessen zum Entschluss gekommen: Yammer muss eingesetzt und geduldet werden, auch wenn es datenschutzrechtlich in einem Graubereich sein könnte (vor der Ankündigung der EU Modelclauses).
Was wäre die Alternative eines gut konfigurierbaren und aus Datensicherheitsgründen erstmal akzeptable Plattform – außer eventuell der Gedanke des Zugriffs von Geheimdiensten, aber ist es onPremise sicherer? – : Die User nutzen alternativ private Tools wie WhatsApp, Dropbox, GoogleDocs oder MegaUploads, TeamSpeak, Facebook-Gruppen oder Twitter. Alles dies ist aus Sicht eines Unternehmens schlechter, ein Verbot dieser Dienste nicht ausreichend, da unkontrollierbar, so die realistische Einschätzung. Also: geduldeter Yammer-Einsatz mit Aufklärung der Mitarbeiter und Kontrolle der Plattform durch des Unternehmens. (Berechtigung der Mitarbeiter über eine eigens eingerichteten Stelle: Berichtigung, Löschung, Sperrung und Änderung der Daten
Heute findet der Digitale Action Day der EU Kommission statt. Damit auch ihr nichts verpasst hier der Livestream:
http://webcast.ec.europa.eu/eutv/portal/_v_fl_300_en/player/index_player_en.html?id=23864#
papers:
Agenda:
10.00 – 10.05: Opening by the moderator, Ann Mettler, Executive Director and co-founder of The Lisbon Council
10.05 – 10.15: Keynote speech by Neelie Kroes, Vice-President of the European Commission
10.15 – 10.25: Video message on behalf of the Italian Presidency by Sandro Gozi, Secretary of State for European Affaires, Italy
10.25 – 10.40: A view from outside Europe on digital transformation and disruption by Jeremy Rifkin, President of The Foundation on Economic Trends, USA
10.40 – 10.55: Automotive/car sectors in Europe. New models for consuming and automated manufacturing
Dr Volkmar Tanneberger, Head of electrical/electronics development, Volkswagen brand
10.55 – 11.10: Adapting disruption in the media sector: Lessons learned and next steps
John O’Donovan, CTO, Financial Times
11.10 – 11.25: Transforming traditional tourism industry
Gillian Tans, COO, Booking.com
11.25 – 11.40: Developing new disruptive digital business models
Nicolas Brusson, COO and co-founder, Blablacar
11.40 – 11.50: Making digital policy in Europe: What needs to change – transformation and accepting a changed reality
Guy Levin, Executive Director of Coadec and policy columnist of Tech City News
11.50 – 12.10: Voices of the next generation: Actions for the future, co-moderated by Julie Cullen, Young Advisor to Vice-President Kroes
Amy Mather, European Digital Girl 2013, and Jordan Casey, CEO, Casey Games
12.10 – 12.30: Closing of morning session by the moderator and Q&A with the audience
12.30 – 14.00: Lunch break
14.00 – 16.00: Parallel work sessions
16.00 – 16.15: Coffee break
16.15 – 16.25: Introduction by the moderator, Ann Mettler
16.25 – 16.50: Feedback on digital actions from the work sessions rapporteurs
16.50 – 17.50: Debate on future policy actions with institutional, business and consumer representatives and the audience
17.50 – 18.00: Closing by Vice-President Neelie Kroes with the Digital Champions and Young Advisors
Ich hatte zu Beginn dieses Jahres mehrfach dazu aufgefordert sich an der Konsultation der EU Kommission zum europäischen Urheberrecht zu beteiligen. Nachdem die Konsultation noch einmal um einen Monat verlängert wurde, endete diese an 5. März 2014.
Das Ergebnis kann sich sehen lassen und wird den Mitarbeitern der Kommission erfreulicher Weise viel arbeit machen. Denn es wurden 7.474 Stellungnahmen eingereicht.
Alle Stellungnahmen kann man auf dieser Webseite der EU Kommission downloaden:
http://ec.europa.eu/internal_market/consultations/2013/copyright-rules/index_en.htm
Eine Auflistung der größeren und bekannten Stellungnahmen wie die der Bitkom lassen sich auf den Webseiten der Verbände finden
Bitkom: http://www.bitkom.org/de/themen/54834_78786.aspx
oder gesammelt hier auf der Webseite urheberrecht.org
http://www.urheberrecht.org/topic/EU-Konsultation/
Ab 11:00 wird der Präsident der EU Kommission eine Rede zur Lage von Europa an der Humboldt Universität in Berlin. Ist als Tagesordnungspunkt auch eine Diskussionsrunde mit Studierenden.
Hier der offizielle Eintrag auf dem Audio-Service:
José Manuel BARROSO, President of the EC at the Humboldt University in Berlin
Zugang per Stream über:
http://ec.europa.eu/avservices/ebs/schedule.cfm?sitelang=en&page=3&institution=0&date=05/08/2014
Seit vielen jahren wird in Deutschland und in der EU über das Thema Vorratsdatenspeicherung gesprochen, diskutiert und es gab so manches Urteil und um so mehr Aufsätze, aber auch Examensklausuren zu diesem Thema. Ich habe mich persönlich mehr mehreren Blogbeiträgen auf diesem Blog mit dem Thema befasst. Als letztes berichtete ich von den Schlussanträgen des Generalanwaltes beim EUGH zu dem nun am 08.04.2014 entschiedenen Verfahren vor dem EUGH.
In Deutschland befindet sich die Diskussion auf höchster Ebene in der Regierung, die eine Umsetzung mit Bedingungen in den Koalsationsvertrag geschrieben hatten. Nun sagte unser Justizminister Maas schon, dass die Richtlinie der EU zur Vorratsdatenspeicherung endgültig gekippt wurde und so eine Umsetzung in nationales Recht unmöglich sei. Die Bundesregierung unter CDU/FDP hatte schon eine Umsetzung versucht und scheitere am Bundesverfassungsgericht, welches die Umsetzung für verfassungswidrig deklarierte und so das Gesetz einkassierte.
Jedoch stand immernoch die europäische Richtlinie im Raum, die durch Deutschland zwar nicht wortwörtlich, aber umgesetzt werden muss gemäß Art 288 III AEUV. Eine Richtlinie hat unmittelbare Auswirkungen und auch die EU Kommission könnte gegen Deutschland ein Vertragsverletzungsverfahren gemäß Art. 258, 259 AEUV anstreben, dass die Richtline nicht umgesetzt wurde.
In dem Urteil des EUGH vom 08.04.2014 in den verbundene Rechtssachen C-293/12 und C-594/12 Digital Rights Ireland und Seitlinger u.a. erklärte der Gerichtshof die Richtline für ungültig.
„Der Gerichtshof stellt zunächst fest, dass den auf Vorrat zu speichernden Daten insbesondere zu entnehmen ist, 1. mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat, 2. wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand und 3. wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat. Aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert werden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufentshaltorte, täglich oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld.“
Ich würde Euch nun weiter sehr gerne eine kurze Zusammenfassung schreiben, aber die PM ist schon so konpremiert, dass es sich lohnt alles zu lesen:
„Der Gerichtshof sieht in der Verpflichtung zur Vorratsspeicherung dieser Daten und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Außerdem ist der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.
Sodann prüft der Gerichtshof, ob ein solcher Eingriff in die fraglichen Grundrechte gerechtfertigt ist. Er stellt fest, dass die nach der Richtlinie vorgeschriebene Vorratsspeicherung von Daten nicht geeignet ist, den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten anzutasten. Die Richtlinie gestattet nämlich nicht die Kenntnisnahme des Inhalts elektronischer Kommunikation als solchen und sieht vor, dass die Diensteanbieter bzw. Netzbetreiber bestimmte Grundsätze des Datenschutzes und der Datensicherheit einhalten müssen.
Die Vorratsspeicherung der Daten zur etwaigen Weiterleitung an die zuständigen nationalen Behörden stellt auch eine Zielsetzung dar, die dem Gemeinwohl dient, und zwar der Bekämpfung schwerer Kriminalität und somit letztlich der öffentlichen Sicherheit.
Der Gerichtshof kommt jedoch zu dem Ergebnis, dass der Unionsgesetzgeber beim Erlass der Richtlinie über die Vorratsspeicherung von Daten die Grenzen überschritten hat, die er zur Wahrung des Grundsatzes der Verhältnismäßigkeit einhalten musste. Hierzu führt der Gerichtshof aus, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung des Privatlebens und des Ausmaßes und der Schwere des mit der Richtlinie verbundenen Eingriffs in dieses Recht der Gestaltungsspielraum des Unionsgesetzgebers eingeschränkt ist, so dass die Richtlinie einer strikten Kontrolle unterliegt.
Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.
Erstens erstreckt sich die Richtlinie nämlich generell auf sämtliche Personen, elektronischeKommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.
Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können,dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug.
Überdies enthält die Richtlinie keine materiell-und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.
Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird.
Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird. Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind.
Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.
Der Gerichtshof rügt schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.“
Quelle:
Pressemitteilung Nr. 54/14
http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054de.pdf
Volltext der Entscheidung:
http://curia.europa.eu/juris/documents.jsf?num=C-293/12
Datenschutz im digitalen Zeitalter – global, europäisch, national
Auch in diesem Jahr veranstaltet das Institut für Rundfunkrecht wieder eine Jahrestagung. Diesmal findet diese beim WDR selber statt. Das Thema könnte nicht aktueller sein, es um den Datenschutz und die Herausforderungen in der aktuellen Zeit. Weiterhin spielt die aktuelle Reform des europäischen Datenschutzrechtes aus meiner Sicht auch eine wichtige Rolle und wird behandelt.
Die Speakerliste ist hervorragend:
Programmflyer:
http://www.rundfunkrecht.uni-koeln.de/fileadmin/sites/rundfunkrecht/Tagung_2014/Programmflyer.pdf
Die Veranstaltung ist kostenlos und eine Anmeldung wie auch weitere Informationen findet Ihr hier:
http://www.rundfunkrecht.uni-koeln.de/7140.html
Tipp für Anwälte:
Der Besuch der Tagung berechtigt zum Erhalt einer FA-Bescheinigung, jeh nach Anerkennung der Anwaltskammer