Die Geschichte einer schweren Geburt:
- Es gab einen Novellen-Entwurf 2009 im letzten Sommer, einen Entwurf 2010 diesen Sommer und vor wenigen Wochen landete dann ein plötzlich nochmals - recht originell - adaptierter Text als Regierungsvorlage im Ministerrat. Den Text der Regierungsvorlage finden Sie auf der Parlamentshomepage: http://www.parlament.gv.at/PG/DE/XXIV/I/I_00472/pmh.shtml
- Im Verfassungsausschuss wurden Anfang Dezember ganz kleine Änderungen eingefügt: http://www.parlament.gv.at/PG/DE/XXIV/I/I_00531/fname_173977.pdf
- Am Donnerstag kündigte die Opposition im Parlament an, weiter Verfassungsgesetze bei der Abstimmung zu blockieren. Da der Entwurf der DSG-Novelle einige Verfassungsbestimmungen enthielt, beschlossen die Regierungsparteien kurzerhand, aus dem Entwurf alle vorgesehenen Verfassungsbestimmungen zu entfernen. Wie macht man das?: Mit einem Abänderungsantrag, in dem man schnell alle Verfassungsbestimmungen aufnimmt und beantragt, diese nicht zu beschließen, sondern nur den restlichen Text. Den kopiert man schnell, verteilt ihn in Kopie an alle Abgeordneten (siehe Stempel ganz oben), fertig: http://www.parlament.gv.at/PG/DE/XXIV/AA/AA_00102/imfname_174910.pdf
- Der beschlossene Text dürfte also voraussichtlich Regierungsvorlage wie oben plus Verfassungsausschuss minus Abänderungsantrag sein. Was das genau bedeutet, wird nun in mühevoller Kleinarbeit zusammenzustellen sein. Die erfreuliche Nachricht für Sie: Die Herausgeber des großen Datenschutzkommentars planen, in den nächsten Wochen in Windeseile diese Arbeit für Sie zu tun und bereits Anfang Februar einen brandaktuellen "Pollirer/Weiss/Knyrim, Taschenkommentar zur DSG Novelle 2010" bei Manz erscheinen zu lassen!
Montag, 14. Dezember 2009
Inhalt der DSG-Novelle 2010
Der vermutliche Inhalt der letzten Donnerstag im Nationalrat beschlossenen DSG-Novelle ist Folgender:
- "Aufhänger" der Novelle in der Öffentlichkeit sind spezielle Regeln zur Videoüberwachung. Im Prinzip ändert sich am bisherigen Verfahren nicht viel, Videoüberwachung bliebt grundsätzlich vorab-genehmigungspflichtig bei der Datenschutzkommission, außer - und das ist originell - die Videoüberwachung erfolgt mittels analoger Aufzeichnung (misten Sie daher Ihren alten VHS-Videorekorder wieder aus!) oder die Videobilder werden verschlüsselt und der einzige Schlüssel wird bei der Datenschutzkommission deponiert (die Idee einer "trusted third party" ist an sich gut, man hat in der Regierungsvorlage aber dazu nur noch schnell einen Halbsatz eingefügt, ohne auch nur ansatzweise die näheren rechtlichen und technischen Umstände dieser Hinterlegung - und der allfälligen Herausgabe - festzulegen). Wenig "spaßig" für Unternehmen wird das Auskunftsrecht über Videos sein, das Unternehmen verpflichtet, auf Verlangen auch die Videobilder "in einem üblichen technischen Format" auszuhändigen.
- Von der Öffentlichkeit weitgehend unbemerkt, ist meines Erachtens der eigentliche "Knaller" der Novelle der neue § 24 Abs 2a DSG 2000 mit dem Österreich - soweit ersichtlich - als eines der ersten Länder in Europa nach Deutschland eine sogenannte "Data Breach Notification Duty" einführt, eine Informationspflicht der Betroffenen bei Brüchen des Datengeheimnis. Die Bestimmung lautet in der Regierungsvorlage so:
"Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert."
Dies bedeutet, dass künftig jedes Unternehmen, dessen Kunden-, Lieferanten oder Mitarbeiterdaten verloren gehen oder gestohlen werden (zB Laptop oder USB-Stick) oder gehackt werden, überlegen muss, ob es die Betroffenen informieren muss, um einen Schaden zu verhindern. In der vor wenigen Wochen in Deutschland eingeführten ähnlichen Bestimmung wird näher ausgeführt, dass diese Information bis hin zu "mindestens halbseitigen Inseraten in mindestens zwei bundesweit erscheinenden Tageszeitungen" erfolgen muss, wenn es sich um einen Massendatenverlust handelt.
Bitte beachten Sie im österreichischen Text in den Ausnahmeregelungen im 2. Satz die interessante sprachliche Wendung: "einerseits ... oder ... andererseits", mit der man uns Datenschutzjuristen offensichtlich eine Freude machen wollte. Wir werden schön streiten können, ob das "oder" auch wirklich als "oder" zu verstehen ist oder eigentlich ein "und" sein sollte.
- Das Meldeverfahren soll durch Umstellung auf ein elektronisches Online-Meldeverfahren beschleunigt werden, das bis 1.1.2012 umgesetzt sein soll.
- Die Position der Datenschutzkommission wird durch eine Vielzahl von Regelungen etwas gestärkt, die DSK erhält die Möglichkeit, aktiver und schneller (bei Gefahr im Verzug) Datenverarbeitungen und deren Registrierung zu prüfen und zu untersagen.
- Die Strafen werden geringfügig erhöht, die Maximalstrafe wegen Datenschutzverstößen beträgt nun EUR 25.000,--. Interessant ist eine neue Verwaltungsstrafe in § 52 Abs 2a, laut der "mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht." Wie diese Verschränkung von Exekutive und Jurisdiktion bei einer an sich vor den Zivilgerichten abzuhandelnden Löschungsklage aufzulösen ist, werden wir in unserem Taschenkommentar enträtseln versuchen, vielleicht lässt es sich mit einem "einerseits ... oder ... andererseits" lösen.
- Völlig unklar ist derzeit, ob die Verfassungsbestimmungen, ua eine Abänderung des Wortlauts des Grundrechts auf Datenschutz in § 1 - demnächst noch "Nachbeschlossen" werden oder erst längerfristig mit gemeinsamen anderen unerledigten Themen erledigt werden. Themen, die im Datenschutz Regelungsbedarf haben sind ua der betriebliche Datenschutzbeauftragte (siehe oben den Link zum Verfassungsausschuss, in dem dies ausdrücklich festgehalten wurde), die Frage der Zulässigkeit der Mitarbeiterdatenverarbeitung und -überwachung im Betrieb, die Privatsphäre im Internet und viele mehr, die in dem letzte Woche beschlossenen Text fehlen.
- Zusammenfassend ist die groß angekündigte DSG-Novelle 2010 wie gesagt ein leider nur kleiner Schritt in der Entwicklung des Datenschutzrechts. Dies zur Enttäuschung jener, die sich in den letzten 2 Jahren intensiv mit der Novelle auseinandergesetzt haben und jetzt nur Brocken von dem umgesetzt sehen, an dem sie gearbeitet haben. Es ist ein Schritt in die richtige Richtung, aber eben nur einer und weitere werden folgen müssen.
- Um der evolutionären Entwicklung doch noch etwas Brisanz zu verleihen, hat man ihr - wie befürchtet - Rasanz mitgegeben: Das Inkrafttretensdatum wurde anscheinend nicht nach hinten verschoben, laut Abänderungsantrag beließ man es mit 1. Jänner 2010. Ein wenig erfreuliches Weihnachtsgeschenk: Zuerst bastelt man 2 Jahre an der Novelle, dann gibt man dem Volk exakt 3 Wochen (!) Zeit, um sich auf so Nebensächlichkeiten wie eine Data Breach Notification Duty einzustellen! Es bleibt zu hoffen, dass das Bundesgesetzblatt mit dem endgültigen Text wenigsten noch vor dem Inkrafttreten erscheint...
- "Aufhänger" der Novelle in der Öffentlichkeit sind spezielle Regeln zur Videoüberwachung. Im Prinzip ändert sich am bisherigen Verfahren nicht viel, Videoüberwachung bliebt grundsätzlich vorab-genehmigungspflichtig bei der Datenschutzkommission, außer - und das ist originell - die Videoüberwachung erfolgt mittels analoger Aufzeichnung (misten Sie daher Ihren alten VHS-Videorekorder wieder aus!) oder die Videobilder werden verschlüsselt und der einzige Schlüssel wird bei der Datenschutzkommission deponiert (die Idee einer "trusted third party" ist an sich gut, man hat in der Regierungsvorlage aber dazu nur noch schnell einen Halbsatz eingefügt, ohne auch nur ansatzweise die näheren rechtlichen und technischen Umstände dieser Hinterlegung - und der allfälligen Herausgabe - festzulegen). Wenig "spaßig" für Unternehmen wird das Auskunftsrecht über Videos sein, das Unternehmen verpflichtet, auf Verlangen auch die Videobilder "in einem üblichen technischen Format" auszuhändigen.
- Von der Öffentlichkeit weitgehend unbemerkt, ist meines Erachtens der eigentliche "Knaller" der Novelle der neue § 24 Abs 2a DSG 2000 mit dem Österreich - soweit ersichtlich - als eines der ersten Länder in Europa nach Deutschland eine sogenannte "Data Breach Notification Duty" einführt, eine Informationspflicht der Betroffenen bei Brüchen des Datengeheimnis. Die Bestimmung lautet in der Regierungsvorlage so:
"Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert."
Dies bedeutet, dass künftig jedes Unternehmen, dessen Kunden-, Lieferanten oder Mitarbeiterdaten verloren gehen oder gestohlen werden (zB Laptop oder USB-Stick) oder gehackt werden, überlegen muss, ob es die Betroffenen informieren muss, um einen Schaden zu verhindern. In der vor wenigen Wochen in Deutschland eingeführten ähnlichen Bestimmung wird näher ausgeführt, dass diese Information bis hin zu "mindestens halbseitigen Inseraten in mindestens zwei bundesweit erscheinenden Tageszeitungen" erfolgen muss, wenn es sich um einen Massendatenverlust handelt.
Bitte beachten Sie im österreichischen Text in den Ausnahmeregelungen im 2. Satz die interessante sprachliche Wendung: "einerseits ... oder ... andererseits", mit der man uns Datenschutzjuristen offensichtlich eine Freude machen wollte. Wir werden schön streiten können, ob das "oder" auch wirklich als "oder" zu verstehen ist oder eigentlich ein "und" sein sollte.
- Das Meldeverfahren soll durch Umstellung auf ein elektronisches Online-Meldeverfahren beschleunigt werden, das bis 1.1.2012 umgesetzt sein soll.
- Die Position der Datenschutzkommission wird durch eine Vielzahl von Regelungen etwas gestärkt, die DSK erhält die Möglichkeit, aktiver und schneller (bei Gefahr im Verzug) Datenverarbeitungen und deren Registrierung zu prüfen und zu untersagen.
- Die Strafen werden geringfügig erhöht, die Maximalstrafe wegen Datenschutzverstößen beträgt nun EUR 25.000,--. Interessant ist eine neue Verwaltungsstrafe in § 52 Abs 2a, laut der "mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht." Wie diese Verschränkung von Exekutive und Jurisdiktion bei einer an sich vor den Zivilgerichten abzuhandelnden Löschungsklage aufzulösen ist, werden wir in unserem Taschenkommentar enträtseln versuchen, vielleicht lässt es sich mit einem "einerseits ... oder ... andererseits" lösen.
- Völlig unklar ist derzeit, ob die Verfassungsbestimmungen, ua eine Abänderung des Wortlauts des Grundrechts auf Datenschutz in § 1 - demnächst noch "Nachbeschlossen" werden oder erst längerfristig mit gemeinsamen anderen unerledigten Themen erledigt werden. Themen, die im Datenschutz Regelungsbedarf haben sind ua der betriebliche Datenschutzbeauftragte (siehe oben den Link zum Verfassungsausschuss, in dem dies ausdrücklich festgehalten wurde), die Frage der Zulässigkeit der Mitarbeiterdatenverarbeitung und -überwachung im Betrieb, die Privatsphäre im Internet und viele mehr, die in dem letzte Woche beschlossenen Text fehlen.
- Zusammenfassend ist die groß angekündigte DSG-Novelle 2010 wie gesagt ein leider nur kleiner Schritt in der Entwicklung des Datenschutzrechts. Dies zur Enttäuschung jener, die sich in den letzten 2 Jahren intensiv mit der Novelle auseinandergesetzt haben und jetzt nur Brocken von dem umgesetzt sehen, an dem sie gearbeitet haben. Es ist ein Schritt in die richtige Richtung, aber eben nur einer und weitere werden folgen müssen.
- Um der evolutionären Entwicklung doch noch etwas Brisanz zu verleihen, hat man ihr - wie befürchtet - Rasanz mitgegeben: Das Inkrafttretensdatum wurde anscheinend nicht nach hinten verschoben, laut Abänderungsantrag beließ man es mit 1. Jänner 2010. Ein wenig erfreuliches Weihnachtsgeschenk: Zuerst bastelt man 2 Jahre an der Novelle, dann gibt man dem Volk exakt 3 Wochen (!) Zeit, um sich auf so Nebensächlichkeiten wie eine Data Breach Notification Duty einzustellen! Es bleibt zu hoffen, dass das Bundesgesetzblatt mit dem endgültigen Text wenigsten noch vor dem Inkrafttreten erscheint...
Data Breach Notification Duty Workshop
Da hinsichtlich der Informationspflicht der Betroffenen bei Datenschutzbrüchen, die in knapp 2 Wochen, am 1.1.2010, in Kraft tritt, in Unternehmen Vorkehrungen getroffen werden sollten, um für den Ernstfall gerüstet zu sein, erarbeite ich gerade gemeinsam mit einem auf IT-Sicherheitsfragen spezialisierten Consultingunternehmen sowie mit einer Werbeagentur einen "Data Breach Notification Duty Workshop", den wir noch vor Weihnachten erstmalig abhalten werden, und zwar in-House in einem großen österreichischen Konzern aus der Finanzbranche.
Gerne veranstalten wir auf Anfrage auch in Ihrem Unternehmen einen solchen Workshop, um Ihnen das Zusammenspiel aus Rechtsfragen, organistorischen und technischen Maßnahmen und medialem Auftreten im Ernstfall näherzubringen. Kontaktieren Sie mich einfach!
Gerne veranstalten wir auf Anfrage auch in Ihrem Unternehmen einen solchen Workshop, um Ihnen das Zusammenspiel aus Rechtsfragen, organistorischen und technischen Maßnahmen und medialem Auftreten im Ernstfall näherzubringen. Kontaktieren Sie mich einfach!
Datenschutz im Internet
Einer der Bereiche, der konkreterer datenschuztrechtlicher Regeln bedürfte, ist das Internet. Hier drei Beiträge zu diesem Themenbereich:
Der 1. Beitrag ist die schriftliche Wiedergabe meines Referats auf der heurigen Tagung der Österreichischen Juristenkommission mit dem Titel "Alles unter Kontrolle? - Überwachung - Privatsphäre - Datenschutz", der kürzlich im gleichnamigen Tagungsband, den die Juristenkommission herausgegeben hat, im nwv Verlag erschienen ist. Ich befasse mich in diesem mit Suchmaschinen und Privatsphäre sowie erstmalig mit dem neuen, in Österreich erst teilweise angekommenen Hype-Thema "Behavioral Advertising", das mittlerweile in den USA und Großbritannien schon Dauerthema ist, siehe etwa http://www.physorg.com/news176879023.html oder http://www.clickz.com/3635590. Auch in Deutschland befasst man sich schon mit dem Thema: http://www.jurablogs.com/de/entscheidung-datenschutzbehoerden-nutzung-google-analytics-zustimmung-besucher-unzulaessig. Den Beitrag finden sieh hier online: http://www.preslmayr.at/admin2/untermenue/pdf/10/20091118065320KY_DSR_Suchmaschinen_andersrum.pdf
Der 2. Beitrag ist ein Bericht über ein Mandat von mir, das zeigt, wie schnell unangenehme Informationen (wie etwa Nacktfotos) von einem etwa auf Facebook landen können, in diesem Fall durch einen schönen Fall eines "Identity Theft": Jemand gibt sich als jemand anderer aus und eröffnet unter dessen Namen ein Personenprofil auf einem Sozialen Netzwerk wie Facebook und stellt Informationen über diesen (oder Nacktfotos von diesem) hinein, als ob dieser es selbst gemacht hätte. Der Beitrag erschien zuerst in einem Sammelartikel im Profil (wo ihn anscheinend niemand gelesen hat), dann kurz darauf nochmals als eigene Geschichte in der Wiener Bezirkszeitung (die anscheinend jeder liest, weil sie gratis ist und, was besonders witzig ist: Jeder glaubt, dass der Artikel zufällig nur in "seinem" Bezirk erschienen ist, dabei ist der Inhalt der Zeitung in allen Bezirken fast derselbe). Da ich auf den Beitrag x-fach angesprochen wurde, möchte ich ihn den nicht-Wienern unter den Newsletterlesern nicht vorenthalten möchte. Sie finden den Beitrag demnächst auf www.preslmayr.at/datenschutz.php unter "e-commerce & Web 2.0" online.
Der 3. Beitrag ist ein kurzer Bericht über die Anfang Dezember abgehaltene Veranstaltung "Security 09" des e-centers, in der es ua um Google Street View ging, siehe http://diepresse.com/home/techscience/internet/sicherheit/525423/index.do
Der 1. Beitrag ist die schriftliche Wiedergabe meines Referats auf der heurigen Tagung der Österreichischen Juristenkommission mit dem Titel "Alles unter Kontrolle? - Überwachung - Privatsphäre - Datenschutz", der kürzlich im gleichnamigen Tagungsband, den die Juristenkommission herausgegeben hat, im nwv Verlag erschienen ist. Ich befasse mich in diesem mit Suchmaschinen und Privatsphäre sowie erstmalig mit dem neuen, in Österreich erst teilweise angekommenen Hype-Thema "Behavioral Advertising", das mittlerweile in den USA und Großbritannien schon Dauerthema ist, siehe etwa http://www.physorg.com/news176879023.html oder http://www.clickz.com/3635590. Auch in Deutschland befasst man sich schon mit dem Thema: http://www.jurablogs.com/de/entscheidung-datenschutzbehoerden-nutzung-google-analytics-zustimmung-besucher-unzulaessig. Den Beitrag finden sieh hier online: http://www.preslmayr.at/admin2/untermenue/pdf/10/20091118065320KY_DSR_Suchmaschinen_andersrum.pdf
Der 2. Beitrag ist ein Bericht über ein Mandat von mir, das zeigt, wie schnell unangenehme Informationen (wie etwa Nacktfotos) von einem etwa auf Facebook landen können, in diesem Fall durch einen schönen Fall eines "Identity Theft": Jemand gibt sich als jemand anderer aus und eröffnet unter dessen Namen ein Personenprofil auf einem Sozialen Netzwerk wie Facebook und stellt Informationen über diesen (oder Nacktfotos von diesem) hinein, als ob dieser es selbst gemacht hätte. Der Beitrag erschien zuerst in einem Sammelartikel im Profil (wo ihn anscheinend niemand gelesen hat), dann kurz darauf nochmals als eigene Geschichte in der Wiener Bezirkszeitung (die anscheinend jeder liest, weil sie gratis ist und, was besonders witzig ist: Jeder glaubt, dass der Artikel zufällig nur in "seinem" Bezirk erschienen ist, dabei ist der Inhalt der Zeitung in allen Bezirken fast derselbe). Da ich auf den Beitrag x-fach angesprochen wurde, möchte ich ihn den nicht-Wienern unter den Newsletterlesern nicht vorenthalten möchte. Sie finden den Beitrag demnächst auf www.preslmayr.at/datenschutz.php unter "e-commerce & Web 2.0" online.
Der 3. Beitrag ist ein kurzer Bericht über die Anfang Dezember abgehaltene Veranstaltung "Security 09" des e-centers, in der es ua um Google Street View ging, siehe http://diepresse.com/home/techscience/internet/sicherheit/525423/index.do
Buchtipp
Für Weihnachten noch der bereits von mir angekündigte Buchtipp mit einer Geschichte über eine Welt, in der schon alle Gesund und Glücklich sind: Juli Zeh, deutsche Bestseller-Newcomerin zeichnet in ihrem Roman "Corpus Delicti" eine Gesellschaft, die erkannt hat, dass das größte Übel der Gesellschaft Krankheiten sind, da sie der Gesellschaft immer höhere Gesundheitskosten verursacht und diese vollständig (!) ausgerottet hat. Es gibt nur noch gesunde und glückliche Menschen. Bis auf die Protagonistin, die sich aufgrund des kürzlichen Todes ihres Bruders einfach eine Auszeit gönnen will und sich auf ihre Couch legt, ein Fläschchen Wein aufmacht und eine Zigarette anzündet. Und nicht mehr ihr tägliches Fitnesspensum am Hometrainer radelt, der dieses automatisch ans Gesundheitsamt meldet, dass sie daraufhin vor Gericht lädt, wo sie in immer größere Probleme verwickelt wird, weil man sie nicht einfach in Ruhe sein lassen kann. Sie beginnt einen Kampf gegen die Obrigkeit der seine Staatstheorie, "Die Methode" genannt, um ihrer selbst willen durchsetzen will, was schließlich in einem Volksaufstand endet...
http://www.juli-zeh.de/
http://www.juli-zeh.de/
Wissenswertes & Schmankerl
Teurer Nikolo: Die zwei Geschäftsführer einer Drogeriewarenkette wurden zu Verwaltungsstrafen wegen E-Mail-Spamming verurteilt. Der Verwaltungsgerichtshof hat die Geldstrafe gegen zwei Geschäftsführer bestätigt. Sie hatten Kunden ohne vorherige Einwilligung E-Mails zum Zweck der Direktwerbung zugesandt. Die Kunden seien bei der Erhebung der E-Mail nicht auf die mögliche Direktwerbung hingewiesen worden, wie in § 107 Abs 3 Z 3 TKG 2003 vorgesehen. Die Höhe der Strafen: Immerhin EUR 500,--. Die Drogeriewarenkette hat ihren Sitz in Deutschland und sandte unter anderem Werbung für "Nikolausgeschenke" an jemanden in Graz, der sich bei der Fernmeldebehörde Steiermark darüber beschwerte. Also Achtung: Spamming ist verboten, auch an eigene Kunden, wenn man sie nicht vorwarnt! Siehe http://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Vwgh&Dokumentnummer=JWT_2008030008_20090325X00&ResultFunctionToken=80566e54-346a-4b6a-bc00-fe2315f0f3ef&Entscheidungsart=Undefined&Sammlungsnummer=&Index=&SucheNachRechtssatz=True&SucheNachText=True&GZ=2008%2f03%2f0008&VonDatum=&BisDatum=14.12.2009&Norm=&ImRisSeit=Undefined&ResultPageSize=50&Suchworte=
Seit 2005 läuft gegen die Republik Österreich ein Vertragsverletzungsverfahren wegen unzureichender Unabhängigkeit der Datenschutzkommission. Die EU-Kommission hat nun angedroht, eine Klage gegen Österreich vor dem EuGH einzubringen: http://futurezone.orf.at/stories/1631534/
Die Einführung einer "Data Breach Notification Duty" in Österreich kommt nicht von ungefähr: 2009 war angeblich das Jahr der "Mega-Datengeheimnisbrüche", mit 220 Millionen (!) betroffenen Datensätzen in 435 Fällen in den USA, wie das Magazin Forbes berichtet: http://www.forbes.com/2009/11/24/security-hackers-data-technology-cio-network-breaches.html. Der englische Datenschutzkommissar hat sich auf BBC darüber beschwert, dass die Datengeheimnisbrüche in England ein inakzeptables Niveau erreicht hätten, es wurden ihm 434 Fälle gemeldet, knapp die Hälfte davon im Krankenhausbereich mit Gesundheitsdaten: http://news.bbc.co.uk/2/hi/uk_news/politics/8354655.stm. Dem deutschen Verbraucherzentrale Bundesverband wurden über 100.000 Datensätze aus dem Sozialen Schülernetzwerk SchülerVZ zugespielt: http://www.vzbv.de/go/presse/1225/index.html
Auf EU-Ebene wurden Anfang November vom Europäischen Rat die "Data Breach Notification Rule" für Telekomunternehmen beschlossen. Die EU-Richtlinie über Datenschutz in der elektronischen Kommunikation wird entsprechend angepasst und es wird daher in nächster Zeit auch das österreichische Telekommunikationsgesetz daran anzupassen sein: http://www.out-law.com/page-10497. Zu beachten ist, dass die bisherige EU-Telekommunikationskommissarin Viviane Reding, die diese Änderung im Telekombereich durchgesetzt hat, nun die neue, für Datenschutz zuständige EU-Kommissarin ist. Kommissionspräsident Barroso soll ihr den Auftrag gegeben haben, die EU-Datenschutzrichtlinie neu zu schreiben: http://www.computerworld.com/s/article/9141540/Viviane_Reding_picked_to_re_write_EU_data_protection_laws - Es ist daher damit zu rechnen, dass auch auf EU-Ebene bald eine Data Breach Notification Rule in der allgemeinen Datenschutzrichtlinie eingeführt wird.
- In Deutschland herrscht ein anderes Tempo: Kaum ist die letzte große Novelle des BDSG durch, fordert der deutsche Bundesbeauftragte für den Datenschutz, dass dieses "umfangreich modernisiert gehört". Unter anderem fordert er, dass jeder Bürger elektronisch Zugang zu den Daten bekommen soll, die über ihn gespeichert sind - das ist Revolution, nicht Evolution! (Halte ich aber kaum für umsetzbar): http://www.abendblatt.de/politik/deutschland/article1279153/Schaar-Bundesregierung-soll-Datenschutzrecht-modernisieren.html
Daimler wurde in Deutschland erneut dafür gerügt, dass Gesundheitsdaten über kranke Mitarbeiter gespeichert werden: http://futurezone.orf.at/stories/1630516/.
Ein deutsches Gericht hat Teile der Nutzungsbedingungen von Google für ungültig erklärt: http://futurezone.orf.at/stories/1625444/. Ein italienischer Staatsanwaltschaft will überhaupt gleich die Geschäftsführer von Google ins Gefängnis bringen, weil ein Prügelvideo auf Google Video zu sehen war: http://www.cio.de/news/cio_worldnews/2216168/
Google-Gründer Eric Schmidt gab hingegen in einem Interview gelassen zu, dass auch die Suchanfragen von Google dem US Patriot Act unterliegen und daher von Google bei Anfrage an US-Behörden herausgegeben werden und man daher, wenn man etwas zu verbergen habe, es besser nicht auf Google suchen solle: http://www.securecomputing.net.au/News/162419,google-boss-dismisses-privacy-concerns.aspx
Suchen Sie aber auch nicht auf Yahoo nach illegalen Inhalten, denn bei Yahoo gibt es sogar eine Preisliste, was Behörden für Auskünfte zahlen müssen. Yahoo ist gerade damit beschäftigt, ein Unternehmen zu klagen, dass diese Preisliste online gestellt hat: http://www.v3.co.uk/v3/news/2254559/yahoo-copyright-legal-spat
- Andere Länder, andere Sitten: Norwegen stellt die Steuerdaten aller Bürger online, die Öffentlichkeit ergötzt sich an diesem "Steuer-Porno": http://www.thestar.com/news/world/article/714269--norway-publishes-all-tax-returns-online.
Andere Länder, andere Sitten II: Weil sich Mitarbeiter eines Krankenhauses in den USA an einem "Medizin-Porno" ergötzten und die Krankengeschichte einer Patientin, die vor einem Greißler niedergeschossen wurde, aber überlebte, einsahen, obwohl sie nicht deren Behandler waren, wurden sie alle (16 Personen) gefeuert: http://bulletin.aarp.org/states/ca/2009/47/articles/hospital_district_fires_16_privacy_violation.html
Zwei Hype-Themen haben die Medien in Österreich in den letzten Wochen besonders beschäftigt: Die Absegnung des SWIFT-Abkommens, dass es den US-Terrorfahndern ermöglicht, auf europäische Banküberweisungsdaten zuzugreifen, siehe http://futurezone.orf.at/stories/1633043/ und der neue Entwurf zur Vorratsdatenspeicherung in Österreich: http://www.heise.de/newsticker/meldung/Oesterreich-Gesetzentwurf-fuer-Vorratsdatenspeicherung-865876.html
Die Firma VeriChip, Hersteller von in Menschen implantierbaren RFID-Funkchips, hat kürzlich still und leise NationalCreditReport.com gekauft, das größte US-Kreditmonitoring-Unternehmen. Das gibt Stoff zum Träumen: "Sci-fi wise, you could have a chip read by a scanner that determines your credit-worthiness," says Evan Hendricks, editor of Privacy Times. "Or you could have a credit card implant.":
http://www.wired.com/threatlevel/2009/12/positive_id/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+wired%2Findex+%28Wired%3A+Index+3+%28Top+Stories+2%29%29
Seit 2005 läuft gegen die Republik Österreich ein Vertragsverletzungsverfahren wegen unzureichender Unabhängigkeit der Datenschutzkommission. Die EU-Kommission hat nun angedroht, eine Klage gegen Österreich vor dem EuGH einzubringen: http://futurezone.orf.at/stories/1631534/
Die Einführung einer "Data Breach Notification Duty" in Österreich kommt nicht von ungefähr: 2009 war angeblich das Jahr der "Mega-Datengeheimnisbrüche", mit 220 Millionen (!) betroffenen Datensätzen in 435 Fällen in den USA, wie das Magazin Forbes berichtet: http://www.forbes.com/2009/11/24/security-hackers-data-technology-cio-network-breaches.html. Der englische Datenschutzkommissar hat sich auf BBC darüber beschwert, dass die Datengeheimnisbrüche in England ein inakzeptables Niveau erreicht hätten, es wurden ihm 434 Fälle gemeldet, knapp die Hälfte davon im Krankenhausbereich mit Gesundheitsdaten: http://news.bbc.co.uk/2/hi/uk_news/politics/8354655.stm. Dem deutschen Verbraucherzentrale Bundesverband wurden über 100.000 Datensätze aus dem Sozialen Schülernetzwerk SchülerVZ zugespielt: http://www.vzbv.de/go/presse/1225/index.html
Auf EU-Ebene wurden Anfang November vom Europäischen Rat die "Data Breach Notification Rule" für Telekomunternehmen beschlossen. Die EU-Richtlinie über Datenschutz in der elektronischen Kommunikation wird entsprechend angepasst und es wird daher in nächster Zeit auch das österreichische Telekommunikationsgesetz daran anzupassen sein: http://www.out-law.com/page-10497. Zu beachten ist, dass die bisherige EU-Telekommunikationskommissarin Viviane Reding, die diese Änderung im Telekombereich durchgesetzt hat, nun die neue, für Datenschutz zuständige EU-Kommissarin ist. Kommissionspräsident Barroso soll ihr den Auftrag gegeben haben, die EU-Datenschutzrichtlinie neu zu schreiben: http://www.computerworld.com/s/article/9141540/Viviane_Reding_picked_to_re_write_EU_data_protection_laws - Es ist daher damit zu rechnen, dass auch auf EU-Ebene bald eine Data Breach Notification Rule in der allgemeinen Datenschutzrichtlinie eingeführt wird.
- In Deutschland herrscht ein anderes Tempo: Kaum ist die letzte große Novelle des BDSG durch, fordert der deutsche Bundesbeauftragte für den Datenschutz, dass dieses "umfangreich modernisiert gehört". Unter anderem fordert er, dass jeder Bürger elektronisch Zugang zu den Daten bekommen soll, die über ihn gespeichert sind - das ist Revolution, nicht Evolution! (Halte ich aber kaum für umsetzbar): http://www.abendblatt.de/politik/deutschland/article1279153/Schaar-Bundesregierung-soll-Datenschutzrecht-modernisieren.html
Daimler wurde in Deutschland erneut dafür gerügt, dass Gesundheitsdaten über kranke Mitarbeiter gespeichert werden: http://futurezone.orf.at/stories/1630516/.
Ein deutsches Gericht hat Teile der Nutzungsbedingungen von Google für ungültig erklärt: http://futurezone.orf.at/stories/1625444/. Ein italienischer Staatsanwaltschaft will überhaupt gleich die Geschäftsführer von Google ins Gefängnis bringen, weil ein Prügelvideo auf Google Video zu sehen war: http://www.cio.de/news/cio_worldnews/2216168/
Google-Gründer Eric Schmidt gab hingegen in einem Interview gelassen zu, dass auch die Suchanfragen von Google dem US Patriot Act unterliegen und daher von Google bei Anfrage an US-Behörden herausgegeben werden und man daher, wenn man etwas zu verbergen habe, es besser nicht auf Google suchen solle: http://www.securecomputing.net.au/News/162419,google-boss-dismisses-privacy-concerns.aspx
Suchen Sie aber auch nicht auf Yahoo nach illegalen Inhalten, denn bei Yahoo gibt es sogar eine Preisliste, was Behörden für Auskünfte zahlen müssen. Yahoo ist gerade damit beschäftigt, ein Unternehmen zu klagen, dass diese Preisliste online gestellt hat: http://www.v3.co.uk/v3/news/2254559/yahoo-copyright-legal-spat
- Andere Länder, andere Sitten: Norwegen stellt die Steuerdaten aller Bürger online, die Öffentlichkeit ergötzt sich an diesem "Steuer-Porno": http://www.thestar.com/news/world/article/714269--norway-publishes-all-tax-returns-online.
Andere Länder, andere Sitten II: Weil sich Mitarbeiter eines Krankenhauses in den USA an einem "Medizin-Porno" ergötzten und die Krankengeschichte einer Patientin, die vor einem Greißler niedergeschossen wurde, aber überlebte, einsahen, obwohl sie nicht deren Behandler waren, wurden sie alle (16 Personen) gefeuert: http://bulletin.aarp.org/states/ca/2009/47/articles/hospital_district_fires_16_privacy_violation.html
Zwei Hype-Themen haben die Medien in Österreich in den letzten Wochen besonders beschäftigt: Die Absegnung des SWIFT-Abkommens, dass es den US-Terrorfahndern ermöglicht, auf europäische Banküberweisungsdaten zuzugreifen, siehe http://futurezone.orf.at/stories/1633043/ und der neue Entwurf zur Vorratsdatenspeicherung in Österreich: http://www.heise.de/newsticker/meldung/Oesterreich-Gesetzentwurf-fuer-Vorratsdatenspeicherung-865876.html
Die Firma VeriChip, Hersteller von in Menschen implantierbaren RFID-Funkchips, hat kürzlich still und leise NationalCreditReport.com gekauft, das größte US-Kreditmonitoring-Unternehmen. Das gibt Stoff zum Träumen: "Sci-fi wise, you could have a chip read by a scanner that determines your credit-worthiness," says Evan Hendricks, editor of Privacy Times. "Or you could have a credit card implant.":
http://www.wired.com/threatlevel/2009/12/positive_id/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+wired%2Findex+%28Wired%3A+Index+3+%28Top+Stories+2%29%29
Abonnieren
Posts (Atom)
Posts
