1. Was das Ende des Privacy Shield für den Datenverkehr mit den USA bedeutet
Für einen lauten Knall sorgte am 16. Juli der Europäische Gerichtshof, als er das „Privacy Shield“-Abkommen zwischen der EU und den USA für unwirksam erklärte.
Auf Heise.de beschreibt der Kommentar zu diesem Artikel beschreibt wunderbar das Problem was das Urteil der EuGH zur Privacy-Shield-Abkommen mit der USA bedeutet.
Die Zukunft des Datentransfers über den Atlantik ist daher alles andere als klar.
2. Datenschutzbehörden erklären den Einsatz von Microsoft 365 für rechtswidrig
Zitat: Was die Datenschutzbehörden Anfang Oktober veröffentlicht haben, bewegt sich irgendwo zwischen unverschämt und weltfremd, findet Heise-Justiziar Joerg Heidrich.
Microsoft 365 gehört sowohl für den gewerblichen als auch den öffentlichen Bereich derzeit zu den wichtigsten Software-Angeboten.
Für seine Untersuchung nahm der „Arbeitskreis Verwaltung“ der DSK die dem Einsatz des Produkts zugrunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum) unter die Lupe. Eine technische Überprüfung der an Microsoft tatsächlich übermittelten Daten fand nicht statt.
In erster Linie hat die Konferenz geprüft, ob Microsoft 365 – das zum Zeitpunkt der Kontrolle noch Microsoft Office 365 hieß – die Anforderungen von Artikel 28 Absatz 3 der DSGVO erfüllt. Diese Vorschrift regelt den Umgang mit sogenannten Auftragsverarbeitern, also Unternehmen, an die personenbezogene Daten zur Weiterverarbeitung übermittelt werden.
Es sei nicht eindeutig ersichtlich, welche Daten tatsächlich verarbeitet werden, kritisierte die DSK. Dies gelte insbesondere für Informationen, die die Microsoft-Zentrale in den USA im eigenen Interesse verarbeite. Im Visier stehen hier vor allem die Telemetriedaten der einzelnen Nutzer.
Für private Unternehmen besteht ein legaler Zweck der Verarbeitung – der legitime Geschäftszweck, den Microsoft als Rechtsgrundlage für die eigene Nutzung der Daten nenntn. Dies gilt in der Regel aber nicht für alle öffentlichen Stellen (für die Verwaltung).
Laut DSK bedarf es zur Speicherung in der Microsoft-Cloud einer eigenen Rechtsgrundlage, „die es der öffentlichen Verwaltung erlaubt, Daten von Beschäftigten oder Bürgerinnen und Bürgern für diese Zwecke zur Verfügung zu stellen“. Zudem fehlten eine Aufstellung der Unterauftragsverarbeiter von Microsoft ebenso wie Angaben zur Löschfrist von bestimmten Daten.
3. Update E-Privacy-Verordnung
Die Bundesregierung startet einen weiteren Versuch zur Rettung der E-Privacy-Verordnung. IT-Wirtschaft und Verlage lehnen den Vorschlag ab.
Ich zitiere hier Teilweise einen Artikel auf www.Golem.de verfasst von Herrn Friedhelm Greis (URL: https://www.golem.de/news/nutzertracking-letzter-aufruf-e-privacy-verordnung-2011-152026.html)
Die EU-Mitgliedstaaten sollen nach jahrelangen Verzögerungen an diesem Mittwoch ein weiteres Mal über das Nutzertracking im Internet beraten. Ein am 4. November 2020 von der deutschen EU-Ratspräsidentschaft veröffentlichter Vorschlag zur EU-Privacy-Verordnung sieht eine „allgemeine Diskussion“ über den Text sowie über „die weitere Arbeit an dem Thema“ vor. Sollten die EU-Mitgliedstaaten den Vorschlag ablehnen, könnte die Verordnung komplett scheitern.
Der Vorschlag der EU-Kommission vom Januar 2017 sollte ursprünglich den Umgang mit Cookiers vereinfachen.
Nach dem Willen der Abgeordneten sollte der Browser so voreingestellt sein, dass Tracking nur bei gewissen Ausnahmen wie zum Zweck der Reichweitenmessung zulässig ist.
Damit Nutzer nicht zum Akzeptieren von Cookies gezwungen werden können, forderte das Parlament ein ausdrückliches Kopplungsverbot.
In der aktuellen Version gibt es allerdings kaum Veränderungen zu der Version aus dem Jahre 2019.
Vor allem die Werbewirtschaft und Verlage befürchten Einnahmeverluste, wenn sie Nutzer nicht mehr in gewohnter Form tracken können.
Den Entwurf der E-Privacy-Verordnung umfasst 98 Seiten (URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_9931_2020_INIT&from=EN)
Ein neuer Erwägungsgrund 20a ermuntert Browser-Hersteller stattdessen dazu, den Nutzern ein einfaches und transparentes Zustimmungsmanagement zu ermöglichen, beispielsweise über ein Whitelisting von Anbietern.
Im Vergleich zu 2019 wurde der Passus gestrichen, der Providern die Durchsuchung von Kommunikationsinhalten ermöglicht, um Kindesmissbrauch einzudämmen. Darüber hinaus wurden Formulierungen geändert, um die Verarbeitung von Metadaten zu „kompatiblen“ Zwecken einzudämmen.
Trotz dieser eher geringfügigen Änderungen befürchten Internetwirtschaft und Verlage negative Auswirkungen auf bestehende Angebote.
Es werden sogar Probleme bei Softwareupdates befürchtet. Der IT-Branchenverband Eco sieht in dem Vorschlag einen „herben Rückschlag für die Digitalisiserung“.
In einem offenen Brief (URL https://www.eco.de/wp-content/uploads/2020/11/be-2020-11-09-de-eprivacy-coalition-letter-to-ministers-belgium.pdf) hat der Verband ECO gemeinsam mit 28 anderen europäischen Verbänden aus der IT-Wirtschaft gefordert den deutschen Vorschlag abzulehnen.
„Der aktuelle Text würde bestimmte geschäftsmodelle unpraktikabel machen und die Qualität des digitalen Ökosystems untergraben“.
Comments are closed