Das EuGH hat 2020 im sogenannten Schrems II Urteil die Übermittlung personenbezogener Daten auf Basis des Rechtsabkommen „Privacy Shield“ als rechtswidrig eingestuft und somit die Übermittlung der Daten in die USA quasi untersagt, wenn nicht adäquate Garantien für die Sicherheit personenbezogener Daten jenseits von „Privacy Shield“ gegeben werden können. Die für die Verarbeitung der Daten verantwortliche Stelle muss dies durch gesonderte Sicherheitsmaßnahmen und vertraglichen Regelungen sicherstellen.

Die EU-Kommission hat im Juni 2021 durch die Vorlage neuer verpflichtender Standard-Vertragsklauseln (SCC – Standard Contractual Clauses) einen scheinbaren Weg aufgezeigt die in vielen Anwendungsfällen nicht zu leistende Sicherheitsgarantie damit sicherstellen zu können. Begleitend ist eine zu erstellendes TIA (Transfer Impact Assessment) als Risikobewertung für die Offenlegung/Einsichtnahme durch Dritte vorzulegen: Welches Risiko besteht für den Betroffenen, dass durch US behördliche Zugriffe personenbezogene Daten offengelegt werden müssen (z.B. FISA, patriot act …).

[…]

Aktuell sind zwei Rechtsanwalts-Kanzleien damit beschäftigt Web-Site Betreiber, auf deren Seiten google fonts von google US-Servern beim Aufruf einer Seite geladen werden, abzumahnen. Inwieweit diese Praxis der Massenabmahnungen mit dem Standesrecht dieser Berufsgruppe zu vertreten ist erscheint uns fraglich. Die Anwälte sehen beim Laden der google fonts die Übermittlung der IP-Adresse der Besucher als gefährlich für die Besucher der Web-Site an. Hier spielt das berühmte Schrems II EuGH Urteil eine Rolle (Az.: C-311/18, Rechtsunsicherheit bei der Verarbeitung personenbezogener Daten in den USA) in Verbindung mit einem Urteil des LG München zur Verwendung von google fonts (Az.: 3 O 17493/20). Was ist hier aus Sicht des Datenschutzes zu tun?

[…]

Downlaod der FAQ zu Cookies und Tracking

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) haben zum 20. Dezember 2021 eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht. Durch das Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) zum 1. Dezember 2021 und damit verbundene Änderungen im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) in Kraft ergeben sich Änderungen zum Schutz personenbezogener Daten.

Damit wurde Art. 5 Abs. 3 der EU ePrivacy-Richtlinie in deutsches Recht umgesetzt (§ 25 TTDSG). Das TTDSG ist für jene „Endeinrichtungen“ anzuwenden, die wie folgt definiert werden: „ … direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.“

Dies trifft auf PC, Smartphones, IoT-Systeme, Web-Sites, VoiP, Smart-TVs etc.  zu.  Die vorgelegte Handreichung liefert auf 32 Seiten einen Überblick der Rechtslage für Entwickler, Betreiber und Anwender von den genannten Systemen.

Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021)

Java-Sicherheitslücke ‚Log4Shell‘ aus Sicht der DS-GVO

Die weit verbreitete Java-Protokollierungsbibliothek ‚Log4j‘ ist Bestandteil vieler Software-Produkten auf Java-Basis. Durch Schwachstelle „Log4Shell“ (CVE-2021-44228) können Angreifer über das Internet eigenen Programmcode einschleusen und ausführen. Dadurch sind viele Dienste und IT-Systeme bedroht.

Was ist hier aus Sicht des Datenschutzes zu beachten? Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat dazu kurzfristig eine hilfreiche Handreichung veröffentlicht: „Das Dokument soll Verantwortlichen und deren betriebliche Datenschutzbeauftragte wesentliche datenschutzrechtlich gebotene Abhilfemaßnahmen und weiterführende Links zur Erstanalyse bei eigener Log4Shell-Betroffenheit aufzeigen.“

Die Handreichung wird laufend aktualisiert und bietet wertvolle Hinweise zu einer extrem kritischen Situation.

Link: Handreichung zur Log4Shell-Erstanalyse