2015 war aus datenschutzrechtlicher Hinsicht ein turbulentes Jahr. Das Jahr startete zwar „ruhig“, nahm zum Ende hin aber Fahrt auf. Die wichtigsten Ereignisse haben wir Ihnen hier zusammengefasst.
Cyber-Angriff auf den Bundestag
Der Deutsche Bundestag scheint die Kontrolle über Ihre IT-Infrastruktur verloren zu haben. Wie im Mai 2015 bekannt wurde, war der Deutsche Bundestag das Ziel von einem gravierenden Hackerangriff. Bei dem Cyber-Angriff ist versucht worden große Datenmengen abzuschöpfen. Ob dies gelungen ist, ist unklar. Einige Rechner von Regierungsmitgliedern seien mit ausgefeilter Spionagesoftware infiziert worden. Wer hinter den Hackerangriffen steckt ist nicht bekannt bzw. nicht publik gemacht worden. Vermutungen lassen befürchten, dass die gesamte deutsche Regierung vom Angriff betroffen sein könnte.
Richtlinienentwurf für E-Mail-Dienstanbieter veröffentlicht
Die E-Mail soll sicherer werden. Am 20. August 2015 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Entwurf über eine Richtlinie für den sicheren E-Mail-Transport veröffentlicht. Diese Richtlinie richtet sich primär an E-Mail-Dienstleistern und dient dazu, den Nutzern ein höheres Sicherheitsniveau anzubieten.
Vorgesehen ist ebenfalls die Einführung einer Zertifizierung. Diese dient der Schaffung einer besonderen Vertrauenswürdigkeit. Zum Zeitpunkt des Entwurfes ist die Frage nach der Bewältigung der anfallen Zertifizierungskosten noch nicht geklärt. Kritiker bemängeln, dass vor allem kleinere E-Mail-Dienstanbieter vor finanzielle Herausforderungen gestellt werden.
Auf unserem Blog können Sie sich über die aktuellen Datenschutzrisiken bei E-Mail-Verkehr im Unternehmen informieren.
Safe Harbor Abkommen am 6. Oktober für ungültig erklärt
Eines der wichtigsten Entwicklungen in diesem Jahr ist sicherlich das am 6. Oktober vom EuGH gekippte Datenschutzabkommen zwischen den USA und der Europäischen Union. Das sogenannte Safe Harbor Abkommen regelte bis dato die Übermittlung von personenbezogenen Daten aus den Mitgliedsländern der Europäischen Union in die USA. Die Nachricht von der Ungültigkeitserklärung des Abkommens hat auf beiden Seiten des Atlantiks große Wellen geschlagen. Die Entscheidung des EuGHs betrifft sowohl Unternehmen als auch Privatpersonen.
Die Rechtsprechung ist auch deshalb von großer Bedeutung, da der Geltungsbereich der europäischen Datenschutzstandards auf internationaler Ebene zentrales Thema ist. Zum anderen bedeutet das Ende von Safe Harbor, dass jedes Unternehmen fortan selbst dafür verantwortlich ist, eine sichere, rechtskonforme Datenübertragung zu gewährleisten.
Wie wird es weitergehen? In den nächsten Wochen und Monate wird in diesem Bereich viel passieren. Mit der Ungültigkeitserklärung sind Abmahnungen wahrscheinlicher geworden. Einen großen Grund zur Panik gibt es jedoch nicht. US-Anbieter sind daran interessiert ist, Rechtsunsicherheiten im Umgang mit ihren Diensten zu beseitigen. Dass US-Unternehmen zukünftig mehr auf das EU-Recht zugehen müssen, ist spätestens seit dem 6. Oktober 2015 klar. Gespräche über eine neue Version des Safe Harbor zwischen der EU-Kommission und dem US-Handelsministeriums werden bereits geführt. Eine Annährung zu wichtigen Fragen soll es bereits geben.
Mehr zu diesem Thema finden Sie in unserem Blogartikel Safe Harbor und der Datenschutz – Die Folgen der Rechtsprechung des EuGH vom 6. Oktober 2015.
Neues Meldegesetz eingeführt
Seit dem 1. November 2015 gilt bundesweit ein neues Meldegesetz. Dieses regelt die behördliche Ummeldungsfrist bei Umzügen sowie den Schutz der eigenen Adressendaten vor kommerzieller Nutzung neu. Bei Adressänderung sind die Bürger jetzt verpflichtet, binnen 14 Tage bei der zuständigen Meldebehörde eine Ummeldung vorzunehmen. Andernfalls droht ein Bußgeld. Inwiefern diese Regelung bei Kommunen mit hoher Zuzug-Rate (Berlin, Hamburg, München etc.) praktisch umsetzbar ist, wird sich in den nächsten Monaten zeigen.
Aus Datenschutzsicht ist die zweite Änderungen weitaus spannender. Mit dem neuen Meldegesetz bedarf es nun einer ausdrücklichen Zustimmung, dass die Meldeämter die eigenen Daten an Dritte weitergeben dürfen. Hiervon ausgenommen sind Ermittlungsbehörden und Parteien (nur zu Wahlkampfzwecken). Diese haben weiterhin uneingeschränkten Zugang auf die Meldedaten.
Zum Thema Datenschutz bei Behörden inklusive Adresshandel haben wir bereits einen Artikel geschrieben.
Neue EU-Datenschutzverordnung
Das Jahr 2015 endet mit einem Paukenschlag. Am 15. Dezember 2015 haben Unterhändler von Europaparlament und Ministerrat eine neue Datenschutzverordnung verabschiedet. Diese neue Verordnung aktualisiert die EU-Datenschutzrichtlinie aus dem Jahr 1995.
Mit dieser neuen Verordnung erhalten die europäischen Verbraucher noch mehr Kontrolle über Ihre persönlichen Daten – vor allem auch im Internet. Das „Recht auf Vergessen“ im Netz wird bestätigt und geschützt. Auch das Thema Datenübertragbarkeit ist wesentlicher Bestandteil dieser Datenschutzreform. Es soll nun leichter möglich sein, Zugang zu den eigenen personenbezogenen Daten zu erhalten und diese von einem zu einem anderen Anbieter mitzunehmen. Auch sollen Datenschutz-Oasen wie Irland und Luxemburg zukünftig ausgetrocknet und weitere Schlupflöcher geschlossen werden.
Die neue EU-Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU. Damit reagiert die neue EU-Datenschutzregelung auch direkt auf das gekippte Safe Harbor Abkommen. Technologiekonzerne wie Google, Amazon und Facebook sind jetzt angehalten, die ausdrückliche Zustimmung der Nutzer in Hinblick auf Datenerhebung, -speicherung und -verarbeitung einzuholen. Gleichzeitig soll für jene Firmen durch klarere Regeln die Geschäftstätigkeit innerhalb der EU erleichtert und in Folge dessen Kosten gespart werden.
Aber auch außerhalb des Internets findet die neue Datenschutzregelung Anwendung. Diese behandelt unter anderem auch den Schutz personenbezogener Daten im Bereich Strafverfolgung sowie die Aufsicht durch unabhängige nationale Datenschutzbehörden.
Über die Löschpflichten bei Google und Co. können Sie sich hier informieren.