Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 04 2017


Europe's Courts Decide: Does U.S. Spying Violate Europe's Privacy?

In a long-awaited decision on whether and how Europeans' private data can be protected from the roving eyes of the NSA, the Irish Commercial High Court this morning declared that "standard contractual clauses" —the procedure that tech companies like Facebook use to try to satisfy European privacy laws—should be reviewed by the European Union's top court, the Court of Justice (CJEU).

The decision hands the court a key question that could affect millions of users and the business practices of Facebook and other tech giants: should tech companies be allowed to send the personal data of European customers across the Atlantic if they can’t guarantee that, once in U.S. data centers, the information won’t be vacuumed up by NSA surveillance?


August 21 2017


50,000 Users Test New Anti-Censorship Tool TapDance

The CBC reports:
What if circumventing censorship didn't rely on some app or service provider that would eventually get blocked but was built into the very core of the internet itself? What if the routers and servers that underpin the internet -- infrastructure so important that it would be impractical to block -- could also double as one big anti-censorship tool...? After six years in development, three research groups have joined forces to conduct real-world tests.
An anonymous reader writes:
Earlier this week, Professor Eric Wustrow, from the University of Colorado at Boulder, presented An ISP-Scale Deployment of TapDance at the USENIX Workshop on Free and Open Communications on the Internet. TapDance is an anti-censorship, circumvention application based on "refraction networking" (formerly known as "decoy routing") that has been the subject of academic research for several years. Now, with integration with Psiphon, 50,000 users, a deployment that spans two ISPs, and an open source release, it seems to have graduated to the real world.
"In the long run, we absolutely do want to see refraction networking deployed at as many ISPs that are as deep in the network as possible," one of the paper's authors told the CBC. "We would love to be so deeply embedded in the core of the network that to block this tool of free communication would be cost-prohibitive for censors."

August 17 2017


EFF Urges Supreme Court to Protect Your Cell Phone Location Data from Over-Curious Cops

Washington, D.C - The Electronic Frontier Foundation (EFF) urged the U.S. Supreme Court today to curb law enforcement’s expansive tracking of suspects’ cell phones, arguing that police must get a warrant before collecting the detailed location data that all phones generate as part of their routine functioning.

The defendants in U.S. v. Carpenter were convicted after hundreds of days of location data collected from their wireless carriers associated them with a string of armed robberies. But investigators obtained those location records through a lower legal standard than needed for a warrant, relying on the “third-party doctrine”—an outdated legal standard that says if you voluntarily give certain information to entities like banks or the phone company, you have no expectation of privacy in the data.



EU-US Privacy Shield: Beschwerdeformulare für Betroffene veröffentlicht

Das seit August 2016 geltende Abkommen für die Übermittlung personenbezogener zwischen der EU und den USA räumt Betroffenen verschiedene Rechte sowie Beschwerdemöglichkeiten ein. Die passenden Formulare gibt es online.


EFF Urges Supreme Court to Take On Unconstitutional NSA Surveillance, Reverse Dangerous Ruling That Allows Massive Government Spying Program

WASHINGTON, D.C.—The Electronic Frontier Foundation (EFF) asked the Supreme Court to review and overturn an unprecedented ruling allowing the government to intercept, collect, and store—without a warrant—millions of Americans’ electronic  communications, including emails, texts, phone calls, and online chats.

This warrantless surveillance is conducted by U.S. intelligence agencies under Section 702 of the Foreign Intelligence Surveillance Act. The law is exceedingly broad—Section 702 allows the government to conduct surveillance of any foreigner abroad­—and the law fails to protect the constitutional rights of Americans whose texts or emails are “incidentally” collected when communicating with those people.

This warrantless surveillance of Americans is unconstitutional and should be struck down.


August 16 2017


End Biometric Border Screening

This summer, the U.S. Department of Homeland Security (DHS) is expanding its program of subjecting U.S. and foreign citizens to facial recognition screening at international airports. This indiscriminate biometric surveillance program threatens the personal privacy of millions of travelers. DHS should end it.

The history of this program is a case study in mission creep. In 1996, Congress authorized automated tracking of foreign citizens as they enter and exit the U.S. In 2004, DHS began biometric screening of foreign citizens upon arrival.



Überwachung: Wie ein Algorithmus Spionageflugzeuge findet

In den USA haben Journalisten einen Algorithmus und den Datensatz von Flightradar24 eingesetzt, um Spionageflugzeuge zu finden. Sie sind bei vielen verschiedenen Behörden fündig geworden.


Reposted byEinhornZorro EinhornZorro

July 17 2017


Is Homeland Security's Face-Scanning At Airports An Unreasonable Search?

schwit1 shares an article from MIT's Technology Review:

Facial-recognition systems may indeed speed up the boarding process, as the airlines rolling them out promise. But the real reason they are cropping up in U.S. airports is that the government wants to keep better track of who is leaving the country, by scanning travelers' faces and verifying those scans against photos it already has on file... The U.S. Department of Homeland Security has partnered with airlines including JetBlue and Delta to introduce such recognition systems at New York's JFK International Airport, Washington's Dulles International, and airports in Atlanta, Boston, and Houston, among others. It plans to add more this summer...

As facial-recognition technology has improved significantly in recent years, it has attracted the interest of governments and law enforcement agencies. That's led to debates over whether certain uses of the technology violate constitutional protections against unreasonable searches... Harrison Rudolph, a law fellow at Georgetown Law's Center on Privacy and Technology, and others are raising alarms because as part of the process, U.S. Customs and Border Protection is also scanning the faces of U.S. citizens... They say Congress has never expressly authorized the collection of facial scans from U.S. citizens at the border routinely and without suspicion.

"We aren't entirely sure what the government is doing with the images," the article adds, though it notes that the Department of Homeland Security is saying that it deletes all data pertaining to the images after two weeks. But Slashdot reader schwit1 is still worried about the possibility of an irretrievable loss of privacy, writing that "If the DHS database gets hacked, it's hard to get a new face."

June 26 2017

8342 6e1c 500

Microsoft-Fall: US-Justizministerium bringt Streit über Datenzugriff in der EU vor den Supreme Court

Die US-Regierung drängt in der gerichtlichen Auseinandersetzung mit Microsoft über eine grenzübergreifende Datenherausgabe auf eine Grundsatzentscheidung, die breite Auswirkungen auf den Datenschutz haben könnte.


June 07 2017

June 03 2017

Einreise in die USA: Visumsformular fragt nach Internetaktivitäten

Welche E-Mail-Adressen und Namen in sozialen Netzen wurden genutzt? Wer gehört zur Familie? Wer war der Arbeitgeber? Eine Reihe von Antragstellern für ein US-Einreisevisum muss künftig sehr genau Auskunft über ihre Lebensumstände geben. (Datenschutz, Soziales Netz)

May 08 2017

Visa: US-Regierung will doch keine Passwörter mehr haben

Wer in die USA einreist, soll seine Passwörter also doch für sich behalten dürfen: Das US-Außenministerium hat erstmals eine schriftliche Version der geplanten Regeln veröffentlicht. Diese bleibt hinter vollmundigen Ankündigungen von Regierungsmitarbeitern zurück. (Passwort, Soziales Netz)

February 12 2016

Von Safe Harbor zum EU-US-Privacy-Shield – Zukunft internationaler Datentransfers

Mit dem Safe Harbor Urteil hat der EuGH eine Entscheidung der EU Kommission für nichtig erklärt und die Zulässigkeit transatlantischer Datenübermittlungen insgesamt in Frage gestellt. Ein Abkommen mit den USA – der EU-US-Privacy-Shield –  soll dieses Problem nun lösen. Ob das gelingt ist genauso fraglich wie die Zukunft von Datenübermittlungen in andere Drittstaaten.

1.    Die Safe Harbor Entscheidung

Mein Kollege Bernhard Freund hat zur Safe-Harbor-Entscheidung des EuGH berichtet. Seine Frage nach den bisher offenen Folgen soll in diesem Beitrag ohne Anspruch auf Vollständigkeit aufgegriffen werden. Aus der Safe-Harbor Entscheidung ergeben sich über den Wegfall einer Rechtsgrundlage für transatlantische Datenübermittlungen hinaus nämlich vielfältige und noch nicht abschließend erfasste Folgen für internationale Datenübermittlungen.

Die unmittelbare Reaktion der EU-Kommission [PDF] und etwas später auch der Bundesregierung [PDF] auf das Safe Harbor Urteil könnte man stark vereinfacht mit „es ging schon immer, es wird auch immer gehen“ zusammenfassen. So wurden insbesondere das Ausweichen auf EU-Standardvertragsklauseln zur Rechtfertigung transatlantischer Datenübermittlungen vorgeschlagen. Dies wird zumindest in Kreisen der Datenschutzaufsichtsbehörden differenzierter gesehen.

Die bayerische Aufsichtsbehörde und die hamburgische Aufsichtsbehörde [PDF] halten Übermittlungen personenbezogener Daten in die USA auf der Basis der EU-Standardvertragsklauseln bis auf weiteres für möglich, die hessische und die schleswig-holsteinische Aufsichtsbehörde sehen EU-Standardvertragsklauseln als Rechtsfertigungsgrundlage in Frage gestellt, die Aufsichtsbehörde Rheinland-Pfalz [PDF] geht sogar davon aus, dass Datenübermittlungen in die USA nun grundsätzlich genehmigungspflichtig seien.

2.    Wie es weitergeht

Die Lösung für transatlantische Datenübermittlungen soll nun ein Abkommen zwischen der EU und den USA bringen. Der EU-US-Privacy-Shield. Was dahinter steckt ist noch nicht im Detail klar. Derzeit gibt es von Seiten der EU nur eine Pressemitteilung der EU-Kommission, aus der sich ergibt, dass die EU-Kommission mit Vertretern der US Regierung eine politische Einigung über ein Abkommen zum Schutz personenbezogener Daten von EU-Bürgern in den USA erzielt habe.

Die Erwartungen der EU-Kommission sind hoch. So soll der EU-US-Privacy-Shield EU-Bürger vor der Verletzung ihrer Grundrechte (insbesondere des Rechts auf Datenschutz) schützen, wenn ihre Daten in die USA übermittelt werden, und Rechtssicherheit für betroffene Unternehmen schaffen. Erreicht werden soll dies durch

  • „robuste“ Verpflichtungen von Datenempfängern in den USA zum Schutz personenbezogener Daten“,
  • schriftliche Zusicherung der USA zu Grenzen des Zugriffs auf personenbezogene Daten durch US Behörden, die sich am Grundsatz der Erforderlichkeit und Verhältnismäßigkeit orientieren sollen und regelmäßig überprüft werden und
  • effektiven Rechtsschutz für EU Bürger durch
    • Pflichten der Datenempfänger in den USA zur Reaktion auf Beschwerden,
    • die Möglichkeit Beschwerden über nationale Datenschutzaufsichtsbehörden an die Federal Trade Commission zu richten,
    • für EU Bürger kostenlose außergerichtliche Beschwerdeverfahren und einen Ombudsmann für Beschwerden wegen des Zugriffs von US-Geheimdiensten.


Die USA sollen nun mit der Umsetzung dieser Zusagen beginnen, während die EU Kommission eine neue Angemessenheitsentscheidung vorbereitet und sich dazu mit der Artikel-29-Gruppe und Vertretern der EU-Mitgliedsstaaten abstimmt. Dieser Prozess soll dann in etwa drei Monaten abgeschlossen sein.

3.    Rechtsrisiken bleiben

Für transatlantische Datenübermittlungen soll damit wieder Rechtssicherheit herrschen. Der EuGH hat hierfür jedoch hohe Anforderungen aufgestellt. So müssen die USA nicht weniger als ihre allgemeine Praxis zur Datenauswertung im Interesse der nationalen Sicherheit, des öffentlichen Interesses und zur Durchführung von Gesetzen umstellen. Statt einer anlasslosen Speicherung und Auswertung von Daten der EU-Bürger durch US-Behörden und Dienste müssten nun gesetzliche Ermächtigungen geschaffen werden, die sich am Grundsatz der Erforderlichkeit und Angemessenheit nach europäischem Maßstab orientieren.

Der EU-US-Privacy-Shield dürfte jedenfalls keinen Bestand haben, wenn diese hohen Anforderungen nicht erfüllt werden. Der EuGH hat nämlich die europäischen Aufsichtsbehörden berechtigt und verpflichtet, diese Anforderungen im Einzelfall und grundsätzlich unabhängig von einer Entscheidung der EU-Kommission zu prüfen. Soweit sie zu dem Schluss kommen, dass eine neue Angemessenheitsentscheidung diesen Anforderungen nicht genügt, müssen sie dies im Zweifel vor den nationalen Gerichten geltend machen, was mittelbar zu einer erneuten Entscheidung des EuGH im Wege einer Vorabentscheidung führen würde. So heißt es im Safe-Harbor-Urteil des EuGH (Rn. 57 und 65):

„Auch wenn die Kommission eine Entscheidung nach Art. 25 Abs. 6 der Richtlinie getroffen hat müssen die nationalen Kontrollstellen […] prüfen können, ob bei der Übermittlung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. […] Hält die Kontrollstelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, […] für begründet, muss sie […] ein Klagerecht haben. Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.“

Ob der EU-US-Privacy-Shield in ihn gesteckte Erwartungen erfüllt und Rechtssicherheit für die transatlantische Übermittlung personenbezogener Daten schafft, bleibt also abzuwarten.

4.    Auswirkungen auf andere Datenübermittlungen

Denkt man die Entscheidung des EuGH konsequent weiter, so müssten Datenschutzaufsichtsbehörden auch Datenübermittlungen auf der Basis anderer Rechtfertigungsmechanismen – etwa den EU Standardvertragsklauseln – im Einzelfall und unabhängig von einer Kommissionsentscheidung prüfen und ggf. gerichtlich kontrollieren lassen. Soweit deutsche Aufsichtsbehörden sich zur Möglichkeit der Rechtfertigung von Datenübermittlungen in die USA auf Basis der EU-Standardvertragsklauseln bekennen, ist dies aus Sicht betroffener Unternehmen zu begrüßen – dass dies so bleibt, ist jedoch nicht sicher.

Doch damit nicht genug. Die USA sind nicht der einzige Staat, in dem es Befugnisse für Behörden und Dienste zur Auswertung personenbezogener Daten gibt, die wohl nicht ohne weiteres der europäischen Vorstellung von Erforderlichkeit und Angemessenheit entsprechen. Damit stellt sich die Frage, ob wir erst am Anfang einer Neuordnung der rechtlichen Anforderungen an internationale Datenübermittlungen stehen und es künftig zusätzlich zu sicheren und unsicheren Drittstaaten auch Drittstaaten gibt, in die personenbezogene Daten selbst mit zusätzlichen Schutzmaßnahmen nicht mehr übermittelt werden dürfen.

Dass Russland, China oder Nordkorea sich gegenüber der EU verpflichten, europäische Datenschutzstandards bei der Auswertung von personenbezogenen Daten von EU Bürgern zu beachten, dürfte jedenfalls zeitnah nicht zu erwarten sein.

5.    Was bleibt zu tun?

Unternehmen in Deutschland sollten diese Entwicklungen im internationalen Datenschutzrecht im Blick behalten und an die rechtlichen Risiken angepasste Strategien zur Reaktion entwickeln. Dafür sollten sie ihre Datenflüsse analysieren und dann für potentiell kritische Übermittlungen prüfen, ob es technische oder rechtliche Gestaltungsalternativen gibt, um auf Entwicklungen angemessen reagieren zu können. Hierzu zählt z.B. die Prüfung, ob bei Auftragsdatenverarbeitung eine für den Anbieter nicht auflösbare Verschlüsselung oder jedenfalls Pseudonymisierung eingesetzt werden kann. Für den Fall der Fälle sollte geklärt werden, ob grundsätzlich die Möglichkeit eines Anbieterwechsels besteht oder eine Lock-In-Situation vorliegt. Kurzfristig ist davon auszugehen, dass sich der Fokus der Aufsichtsbehörden auf Datenübermittlungen in die USA richten wird. Hier sollten Unternehmen daher vorrangig ansetzen, sodann aber auch Datenübermittlungen in weitere Staaten entsprechend einer zu entwickelnden Risikoklassifizierung einbeziehen.

Von Safe Harbor zum EU-US-Privacy-Shield – Zukunft internationaler Datentransfers was last modified: Oktober 18th, 2016 by Bernd Schmidt
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!