Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.



Datenschutz Update


EuGH erklärt EU-U.S. Privacy Shield für ungültig

Der Europäische Gerichtshof (EuGH) hatte im Rahmen eines Vorabentscheidungsersuchens des High Court in Irland über eine weitere Beschwerde des österreichischen Juristen Maximilian Schrems zu entscheiden. Nachdem Schrems bereits zuvor (6. Oktober 2015) erfolgreich gegen das Safe Harbor-Abkommen zwischen den USA und der EU vor dem EuGH geklagt hatte (Rs. C-362/14), wurde nun auch das Nachfolgeabkommen, das EU-U.S. Privacy Shield, von dem europäischen Gerichtshof als ungültig erklärt.
Im konkreten Fall ging es um die Untersagung der Datenübertragung der Facebook Ireland Inc. in die USA. Die übermittelten Daten seien durch Zugriffe von CIA und NSA vor staatlichem Zugriff nicht in der Weise geschützt, wie es die unionsrechtlichen Datenschutzbestimmungen vorschrieben.
Diesen Bedenken schloss sich der EuGH mit Urteil vom 16.07.2020 (Rs C‑311/18) an. Aufgrund der sehr weitreichenden Rechte der US-Sicherheitsbehörden erklärte der EuGH das EU-U.S. Privacy Shield Abkommen für ungültig. Personenbezogene Daten von EU-Bürgen können fortan nicht mehr auf Grundlage des Abkommens übermittelt werden.
Die EU-Standardvertragsklauseln (SCCs) behalten nach Entscheidung des EuGH ihre Gültigkeit. Grundsätzlich seien die SCCs anwendbar, jedoch müsse darüber hinausgehend noch im Einzelfall durch den Datenexporteur geprüft werden, ob ein ausreichendes Schutzniveau im Drittland eingehalten werden kann. Insbesondere bedarf es hier einer detaillierten Betrachtung der jeweiligen Rechtsordnung im Drittstaat und der Zugriffsbefugnisse der Behörden. Darüber hinaus sollte zudem darüber nachgedacht werden, gesteigerte technische und organisatorische Maßnahmen zu implementieren, die unabhängig von der Rechtsordnung im Drittstaat für ein adäquates Datenschutzniveau sorgen können.


Statement
Stephan Kratzmann, Consultant Datenschutz
Sämtliche Verträge mit Dienstleistern in den USA sollten daraufhin geprüft werden, ob Standardvertragsklauseln vereinbart wurden. Soweit keine SCCs bestehen, sollten diese dringend abgeschlossen werden. Zudem sollten Maßnahmen erörtert werden – gegebenenfalls mit der IT (Security) - um die Sicherheit und den Schutzstandard, zumindest als mitigierende Maßnahme, zu verbessern. Bei Überprüfung der Verträge bietet es sich auch an, Dienstleister mit Sitz in UK einzubeziehen und diese zu überprüfen, da zum Ende des Jahres 2020 der Brexit vollzogen wird. Hier bedarf es gegebenenfalls auch der Anpassung der vertraglichen Grundlagen. Zur Vertiefung in das Thema Drittlandübermittlung lesen Sie auch gerne hier.


IT - Sicherheitsgesetz 2.0

Bereits seit 2 Jahren arbeitet das Innenministerium (BMI) an einer neuen Version des IT-Sicherheitsgesetztes. Im Jahr 2019 wurde bereits ein erster Referentenentwurf veröffentlicht, welcher nun seit Mai 2020 als neuer Entwurf in die Ressortabstimmung gegangen ist. Mit der Reform des IT-Sicherheitsgesetzes will das BMI die Sicherheit kritischer Infrastrukturen (Kritis) verbessern und andererseits auch die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhöhen.
Wichtigste Neuregelung für die Betreiber kritischer Infrastrukturen dürften unter anderem sein, dass IT-Komponenten und Systeme beim Betrieb kritischer Infrastrukturen nur noch von vertrauenswürdigen Herstellern eingesetzt werden dürfen. Darüber hinaus wird es zusätzliche Pflichten für die Betreiber kritischer Infrastrukturen geben, wie Energie- oder Wasserversorger, Arzneimittel- und Impfstoffhersteller, die Telekommunikationsbranche oder aber auch Verkehrs- und Logistikbetriebe. Diese sollten in Zukunft einen Katalog von Sicherheitsanforderungen erfüllen, welcher vom BSI veröffentlicht wird.
Neben den Betreibern kritischer Infrastrukturen umfasst das Gesetzesvorhaben auch “Unternehmen im besonderen öffentlichen Interesse”. Hierunter sollen auch Unternehmen fallen, die zur Außenwirtschaftsverordnung gehören, wie Rüstungskonzerne oder der Verordnung zum Schutz vor Gefahrstoffen unterliegen, wie Chemiekonzerne. Diese Unternehmen sollen zwei Jahre nach Inkrafttreten des Gesetzes ein IT-Sicherheitskonzept beim BSI vorlegen worin sie erklären, welche IT-Komponenten “für die Erbringung der Wertschöpfung” maßgeblich sind und wie sie Störungen “der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit” vermeiden.


Statement
Stephan Auge, Consultant Managementsysteme
Die Verabschiedung des IT-Sicherheitsgesetzes dauert nun bereits etwas mehr als 2 Jahre an. Das Gute daran ist, dass verschiedene Branchenverbände und Vereinigungen Vorschläge einbringen können, um das Gesetz zu optimieren und klarer zu gestalten. Auch haben Unternehmen so etwas mehr Zeit sich auf die Neuerungen und die Anforderungen mit Hinblick zur Informationssicherheit einzustellen, so dass mit einer Umsetzung und Implementierung direkt nach Verabschiedung des IT-Sicherheitsgesetzes 2.0 begonnen werden kann.


Aktuelle Seminare in unserer Akademie


Datenschutz Koordinator
Unterstützen Sie den Datenschutzbeauftragten Ihres Unternehmens bei den Aufgaben rund um den Datenschutz!

07.09. - 08.09.2020

zur Anmeldung

________________________________________________

Grundlagen des Datenschutzbeauftragten mit DEKRA Zertifizierung
Der Datenschutz ist für Sie ein wichtiges Thema und dies vermitteln Sie auch anderen!

12.10.- 16.10.2020

zur Anmeldung



Bundeskriminalamt kann bei WhatsApp mitlesen

Nach Recherchen von WDR und BR kann das Bundeskriminalamt (BKA) über eine reguläre WhatsApp Funktion Chatinhalte mitlesen. Es handelt sich dabei nicht um einen sogenannten Staatstrojaner, sondern schlicht um eine Synchronisation des Messengers, für die die Ermittler zunächst einmal direkten Zugriff auf das freigeschaltete Handy eines Verdächtigen benötigen. Damit WhatsApp mit einem Browser verbunden werden kann, muss der Nutzer im entsperrten Zustand seiner WhatApp Anwendung einen QR-Code auf dem Computerbildschirm einscannen. Da dieser Schritt auch seitens der Ermittler durchzuführen ist, sei diese Methode bislang nicht so häufig zum Einsatz gekommen. Der Aufwand wäre hier entsprechend hoch, wie nach Darstellungen des SPIEGEL Verlautbarungen aus Sicherheitskreisen ergaben. Die Kommunikation via WhatsApp ist grundsätzlich Ende-zu-Ende verschlüsselt, so dass ein Mitlesen nicht möglich ist, wenn man die Kommunikation beziehungsweise die Nachrichten „nur“ abgefangen werden.
Wie die Tagesschau berichtet, soll das BKA der Auffassung sein, es handele sich bei der Methode um eine Überwachung gemäß Paragraf 100a der Strafprozessordnung – und damit einer regulären Telekommunikationsüberwachung mit richterlicher Anordnung.


Statement
Stephan Kratzmann, Consultant Datenschutz
Grundsätzlich ist strittig ob Over-the-Top-Dienste (OTT), zu denen auch WhatsApp gehört, überhaupt als öffentlicher Telekommunikationsdienst im Sinne des TKG eingestuft werden können. Daher ist die gesetzliche Grundlage, auf welche sich die Bundesbehörde stützt, zumindest auch fragwürdig.


DS-GVO Überblick: Die 7 wichtigsten Workstreams für eine intelligente Umsetzung im Unternehmen

dsgvo-ueberblick Um sämtlichen Anforderungen der Datenschutzgrundverordnung gerecht zu werden und diese auch wirksam im eigenen Unternehmen zu implementieren, bedarf es eines strukturierten Umsetzungsplanes und der Verankerung nachhaltiger Prozesse im Unternehmen.
Ein Überblick beziehungsweise eine Clusterung der vielfältigen Anforderungen ist hierbei für eine erfolgreiche Umsetzung innerhalb der internen Datenschutzorganisation unabdingbar.
Eine Aufteilung der Anforderungen, welche sich unserer Erfahrung nach bereits mehrfach – im Rahmen der praktischen Arbeit – bewährt hat, geht – in Abhängigkeit von der Unternehmensgröße – von fünf bis sieben abgegrenzten Anforderungsbereichen aus. Innerhalb dieser Bereiche werden die wichtigsten Aufgaben für einen DS-GVO konformen Betrieb des eigenen Unternehmens zusammengefasst und unterschiedliche Workstreams definiert.
weiterlesen

Übermittlung von personenbezogenen Daten in ein Drittland

eugh-kippt-privacy-shield Mit Globalisierung der Wirtschaft und einhergehender Digitalisierung, entstehen neue Herausforderungen im Rahmen der Verarbeitung und des Transfers personenbezogener Daten. Mit dem Instrument der Auftragsverarbeitung im Sinne des Art. 28 Datenschutzgrundverordnung (DS-GVO) ist es den Unternehmen möglich, Datenverarbeitungen an externe Dienstleister outzusourcen.
Oft bieten insbesondere Dienstleister mit Sitz außerhalb der Europäischen Union (EU) – und damit aus einem Drittland als erste innovative und gut umsetzbare Lösungen an. Darüber hinaus spielt bei der Drittlandsdienstleisterauswahl der wirtschaftliche Faktor eine entscheidende Rolle. Die Anzahl der transnationalen Datenströme expandiert exponentiell. Dabei werden die Daten in Drittländer vorwiegend übermittelt und gespeichert. In sämtlichen Fällen ist zumindest ein Zugriff auf die Daten aus Drittländern möglich.
Mit den wirtschaftlichen und innovativen Vorteilen, steigen jedoch auch die Herausforderungen, alle datenschutzrechtlich erforderlichen Absicherungen der Datentransfers in Drittländer zu gewährleisten (vgl. hierzu Erwägungsgrund 101 DS-GVO).
weiterlesen

Integrierte Managementsysteme: Was macht Sinn?

integrierte-managementsysteme Bis vor kurzem konnten sich viele Unternehmen nicht vorstellen, welche Auswirkungen die Corona-Krise für sie hat. Viele mussten ihr Tagesgeschäft innerhalb kürzester Zeit umstellen. Hektisch und oft mit begrenztem Erfolg wurden Alternativen [...] gesucht. [...]
Zugegeben, dieses Bild war längst nicht in allen Organisationen Realität. Allerdings kennen wahrscheinlich die meisten jemanden, der eine ähnliche Situation erlebt hat.
Fakt ist: Was die Resilienz von Organisationen gegenüber Krisen angeht, hat COVID-19 ganz klar die Spreu vom Weizen getrennt. Es muss aber nicht immer gleich die ganz große Krise eintreten, damit sich die Vorbereitung lohnt: der Ausfall eines Lieferanten oder der Angriff auf die IT-Infrastruktur sind Risiken, denen jede Organisation ausgesetzt ist. Ein angemessenes Risikomanagement als Teil eines Managementsystems in den Bereichen Qualität, Informationssicherheit, Umwelt oder anderen hilft dabei, Resilienz gegenüber derartigen Ereignissen aufzubauen.
weiterlesen


Kennen Sie schon unseren „Datenschutz Talk", den neuen Podcast der migosens zu den Themen Datenschutz und Informationssicherheit?


Hören Sie doch mal rein! www.migosens.de/podcast
Auch auf
Spotify, iTunes und Deezer zu finden.

Wenn Sie diese E-Mail (an: mara.hinkelmann@migosens.de) nicht mehr empfangen möchten, können Sie diese hier kostenlos abbestellen.

 Impressum | Datenschutz

migosens GmbH

Wiesenstr. 35, 45473

Mülheim an der Ruhr, Deutschland