Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Die EU-Kommission und der Europarat befassen sich in parallelen Initiativen mit einer internationalen Harmonisierung der Verfolgung von Computerkriminalität. Der Entwurf einer Cyber-Crime Convention des Europarats wurde in Expertengremien weitgehend unter Ausschluß der interessierten Öffentlichkeit verhandelt und soll demnächst den politischen Gremien des Europarats zur Entscheidung vorgelegt werden. Demgegenüber hat die EU-Kommission mit einer kürzlichen Anhörung zu ihrer Mitteilung KOM(2000)890 einen Diskussionsprozess zur Bekämpfung der Computerkriminalität eingeleitet, der für alle Interessierten transparent sein und in ein pluralistisches EU-Forum münden soll. In diesem Rahmen hat das ULD Schleswig-Holstein eine Stellungnahme zu beiden Initiativen abgegeben. Sie führt die wesentlichen Defizite des Europaratsentwurfs auf und setzt sich dafür ein, das Recht auf Anonymität von Internetnutzenden lediglich im Einzelfall, bei Vorliegen von Anhaltspunkten für strafbare Handlungen, zu durchbrechen.

Beitrag von Dr. Thilo Weichert zum Symposium "Internet-Kriminalität" des Landeskriminalamts Mecklenburg-Vorpommern am 01.11.2000

 

6-8/2007

Rezertifiziert am 04.08.2016
Befristet bis 04.08.2018
Erstzertifizierung am 27.08.2007

Dialogsystem für den Einsatz im Bereich der sozialen Sicherung

Seit vielen Jahren berät das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Bürgerinnen und Bürger zum Thema Selbstdatenschutz. Darunter versteht man die Möglichkeiten für jede Nutzerin und jeden Nutzer, selbst Maßnahmen für Datenschutz zu ergreifen. Selbstdatenschutz beginnt beim Entscheiden, welche Daten man gegenüber anderen preisgibt. Bei der Internet-Nutzung helfen Selbstdatenschutz-Tools, um sich gegen unbefugte Zugriffe abzusichern oder um zu verhindern, dass man beim Surfen im Internet beobachtet werden kann. Wer E-Mail- oder Messenger-Dienste nutzt, kann die Inhalte auf dem Übertragungsweg verschlüsseln – das funktioniert jedenfalls dann, wenn sich die Nachricht für die berechtigten Empfänger auch wieder entschlüsseln lässt.

Selbstdatenschutz ist aber kein Allheilmittel: Wer im Datenschutz auf sich allein gestellt ist, kann sich nicht effektiv gegen eine Verarbeitung seiner personenbezogenen Daten schützen. Deswegen richten sich die Datenschutzgesetze in Deutschland und Europa an die datenverarbeitenden Stellen, die die Einhaltung der Datenschutzanforderungen gewährleisten müssen.

Große Ereignisse werfen ihre Schatten voraus: Die Europäische Datenschutz-Grundverordnung kommt – und mit ihr das Instrument der „Datenschutz-Folgenabschätzung“. Für Datenverarbeitungen, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bergen, sollen künftig laut Artikel 33 der Grundverordnung vorab die Folgen der vorgesehenen Verarbeitungsvorgänge abgeschätzt werden. Dies gilt insbesondere für die Verwendung neuer Technologien. Ziel ist eine gute Datenschutzvorsorge im Interesse der Bürgerinnen und Bürger: Bestehende Mängel und Risiken in Verfahren und Systemen sollen frühzeitig identifiziert und vor der Inbetriebnahme behoben werden.

Nach der Verabschiedung der Datenschutz-Grundverordnung, mit der im Frühjahr 2016 gerechnet wird, bleiben zwei Jahre Zeit, bis die Datenschutz-Folgenabschätzung für möglicherweise kritische Verarbeitungen Pflicht wird. In der Übergangszeit gilt es, die genauen Anforderungen an eine Datenschutz-Folgenabschätzung zu erarbeiten. Einen Entwurf zur Ausgestaltung der künftigen Datenschutz-Folgenabschätzungen hat nun das interdisziplinäre „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ in einem White Paper vorgelegt, an dem Forscherinnen und Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) mitgewirkt haben.

Die DATENSCHUTZAKADEMIE Schleswig-Holstein – das gemeinsame Angebot des Unabhängigen Landeszentrums für Datenschutz (ULD) und des Grenzvereins e.V./Nordsee Akademie – bietet Ihnen im 23. Jahr ihres Bestehens wieder interessante Fortbildungsmöglichkeiten.

Datenschutzbeauftragte in Verwaltung und Wirtschaft, Führungskräfte, Beschäftigte in den Bereichen Datenverarbeitung und Administration und nicht zuletzt Bürgerinnen und Bürger können in ein- und mehrtägigen Grundlagen- und Spezialkursen in Leck und in Kiel notwendiges Wissen zu Datenschutz und Informationsfreiheit erlangen.

Nachdem der Generalanwalt des Gerichtshofs der Europäischen Union (EuGH) bereits mit deutlichen Worten die Safe-Harbor-Grundsätze für unzureichend befunden hat (siehe Pressemitteilung des ULD vom 23.09.2015), hat der EuGH mit Urteil vom 06.10.2015 die Safe-Harbor-Entscheidung ausdrücklich für ungültig erklärt. Unternehmen, die personenbezogene Daten an US-amerikanische Geschäftspartner und Auftragnehmer übermitteln, können sich von nun an nicht mehr auf die Safe-Harbor-Grundsätze stützen. 

• Position Paper as PDF
• German Version

This Position Paper addresses public and private bodies in Schleswig-Holstein in their function as controllers responsible for the collection, processing or use of personal data [in the context of section 3, para. 7 BDSG (German Federal Data Protection Act) and section 2, para. 3 LDSG (State Data Protection Act of Schleswig-Holstein)]. The Unabhängiges Landeszentrum für Datenschutz (ULD) of Schleswig-Holstein aims to explain the appropriate consequences following the “Schrems”/Safe Harbor Judgment of the Court of Justice of the European Union (CJEU) in case C-362/14.

First, this paper clarifies which statements the CJEU has or has not taken in its judgment. Second, the position paper takes a stand on the question of what options for action are available to the European Commission in line with the judgment. Third, it considers on which legal basis a transfer of personal data to the United States can or cannot be taken into consideration, and, fourth, how to deal with Standard Contractual Clauses  for transfers to the United States. Fifth, and finally, it discusses the impact of the court decision – as far as is currently conceivable – on ULD’s enforcement action.

• Positionspapier als PDF
• English translation

Dieses Positionspapier richtet sich an nichtöffentliche und öffentliche Stellen in ihrer Funktion als verantwortliche Stellen für Datenverarbeitungen (§ 3 Abs. 7 BDSG/§ 2 Abs. 3 LDSG) und soll verdeutlichen, welche Folgen das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein aus dem „Safe-Harbor-Urteil“ des Gerichtshofs der Europäischen Union (EuGH) vom 06.10.2015, C-362/14, zieht.

Zunächst wird dargestellt, welche Aussagen der EuGH in seinem Urteil getroffen bzw. nicht getroffen hat (1). Das Positionspapier nimmt danach Stellung zu der Frage, welche Handlungsoptionen nach dem Urteil für die EU-Kommission bestehen (2), auf Basis welcher Rechtsgrundlagen eine Übermittlung personenbezogener Daten in die USA noch in Betracht kommt bzw. nicht mehr zulässig ist (3) und wie mit den Standardvertragsklauseln umzugehen ist (4). Schließlich wird dargestellt, welche Auswirkungen die gerichtliche Entscheidung – soweit dies derzeit absehbar ist – auf die Prüftätigkeit des ULD hat (5).

 

Im April 2015 hatte der AK Technik eingeladen, um den Stand der Entwicklung des Standard-Datenschutzmodells (SDM) zu erläutern und zur Diskussion zu stellen. Die Datenschutzkonferenz hat den AK Technik beauftragt, das SDM zu entwickeln. Ziel des SDM ist es, die rechtlichen Anforderungen der Datenschutzgesetzgebung von Bund und Ländern in die Gewährleistungsziele Datensparsamkeit, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit zu überführen und daraus einen Katalog mit standardisierten Datenschutzmaßnahmen abzuleiten. Auf diese Weise lassen sich aus den rechtlichen Anforderungen insbesondere Maßnahmen zur Gewährleistung eines angemessenen Datenschutzes ableiten. Da sich das SDM methodisch an den IT‐Grundschutz anlehnt, können auch Maßnahmen zur Gewährleistung der erforderlichen Informationssicherheit ausgewählt und auf ihre Datenschutzkonformität und Ordnungsmäßigkeit hin bewertet werden. Im Ergebnis soll das SDM auch bewirken, dass die datenschutzrechtlichen Anforderungen möglichst bundesweit einheitlich und für die verantwortlichen Stellen leicht nachvollziehbar sind. 

Das SDM soll auch dazu beitragen, dass die deutschen Datenschutzaufsichtsbehörden auf europäischer Ebene mit einer Stimme sprechen. Das SDM soll mit Blick auf die Entwürfe der europäischen Datenschutz‐Grundverordnung einen Weg aufzeigen, wie auch künftig ein an Grundrechten orientierter Datenschutz durchgesetzt werden kann. Auch vor diesem Hintergrund wird das SDM ins Englische übersetzt. Eine Kurzversion der Übersetzung ist diesem Tagungsband beigefügt.

 

Schleswig-Holsteinische Unternehmen, die personenbezogene Daten an Geschäftspartner oder Auftragnehmer in die Vereinigten Staaten von Amerika übermitteln, haben sich bisher vor allem auf „Safe Harbor“ („Sicherer Hafen“) berufen: Die Europäische Kommission hatte im Jahr 2000 eine Übermittlung personenbezogener Daten an US-amerikanische Unternehmen für zulässig erklärt, sofern sich diese den Vorgaben der sogenannten Safe-Harbor-Grundsätze unterwerfen. 

Die Grundsätze dieser Safe-Harbor-Entscheidung werden seit mehreren Jahren erheblich von den Datenschutzaufsichtsbehörden kritisiert. Sie ermöglichen keine befriedigende Kontrolle für Betroffene, werden nur unzureichend durchgesetzt und sind vor dem Hintergrund der willkürlichen Überwachungsmaßnahmen der US-amerikanischen Geheimdienste nicht dazu geeignet, ein angemessenes Schutzniveau für Betroffene zu gewährleisten. Aus diesem Grund hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 auf Initiative des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in einer Entschließung darauf hingewiesen, dass die Safe-Harbor-Entscheidung keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA biete.

Dieser Auffassung hat sich nun auch der Generalanwalt des Europäischen Gerichtshofs (EuGH) in dem Verfahren des österreichischen Studenten Max Schrems gegen die irische Datenschutzaufsichtsbehörde angeschlossen. Der EuGH hat in diesem Verfahren über die Frage zu entscheiden, ob die irische Aufsichtsbehörde verpflichtet war, auf Beschwerde des Studenten hin gegen die Facebook Ltd. tätig zu werden. Die irische Aufsichtsbehörde hatte dies mit Verweis auf die ausreichende Schutzwirkung der Safe-Harbor-Grundsätze verneint. Der daraufhin angerufene Irish High Court hat diese Rechtsfrage dem EuGH vorgelegt.