Netzpolitischer Wochenrückblick KW 15: EU-Richtlinien zu Datenschutz, Geschäftsgeheimnis und Fluggastdaten

(Foto: van Dyk/CC BY 3.0)

Vergangene Woche dominierten Berichte rund um die Panama Papers die Medienwelt. Eine gestern gebilligte EU-Richtlinie zum Schutz von Geschäftsgeheimnissen könnte derartige Leaks zukünftig gefährden. Hintergrund sind die Verhandlungen um TTIP. Die US-Regierung sieht eine Stärkung des Schutzes von Geschäftsgeheimnissen als wichtige Voraussetzung für das Abkommen. Die Richtlinie legt fest, dass Unternehmen definieren können, wann für sie das Geschäftsgeheimnis verletzt wurde. Wenden Arbeitnehmer Wissen an, welches sie bei ihrem ehemaligen Arbeitgeber erworben haben, können sie verklagt werden. Auch Whistleblowing und Pressefreiheit sind betroffen. Die mediale Berichterstattung zu dieser Richtlinie fiel angesichts der weitreichenden Folgen recht schwach aus.

Der Netzpolitische Wochenrückblick erscheint wöchentlich jeden Freitag. Er fasst die wichtigsten Themen der Woche zusammen und ist auch als Newsletter verfügbar.

EU beschließt Vorratsdatenspeicherung für Fluggastdaten

Gestern hat das EU-Parlament mit der Vorratsdatenspeicherung von Fluggastdaten eine weitere umstrittene Richtlinie gebilligt. Demnach sind alle Fluggesellschaften der 28 EU-Länder verpflichtet, Passagierdaten weiterzugeben. Die entsprechenden Behörden dürfen dann pro Flug und Passagier etwa sechzig Einzeldaten, wie Essenswünsche, Kreditkartennummer, Mitreisende, Wohnort oder E-Mailadresse, für fünf Jahre speichern.

Der Sinn dieser Richtlinie, die laut EU-Kommission 500 Millionen Euro kostet, ist höchst umstritten. Kritiker sprechen von einem Placebo-Sicherheitsgefühl und Sicherheitsesoterik im Zusammenhang mit der Fluggastdatenspeicherung und halten sie schlicht für nutzlos.

Neue EU-Datenschutzgrundverordnung

Das europäische Parlament hat diesen Donnerstag eine neue Datenschutzgrundverordnung beschlossen. Diese soll bis 2018 in nationales Recht umgesetzt werden und die als überholt geltende Richtlinie von 1995 ersetzen. Nach der neuen Verordnung gilt das Datenschutzrecht nun für alle Unternehmen auf dem europäischen Markt, unabhängig vom Standort des Hauptsitzes oder Ort der Datenverarbeitung. Unternehmen sind verpflichtet, Zustimmung für die Verarbeitung von persönlichen Daten einzuholen und Auskunft über diese zu geben. Zudem müssen alle Unternehmen zukünftig persönliche Daten auf Wunsch löschen.

Bei Verstoß gegen die neue Verordnung drohen Strafzahlungen von bis zu vier Prozent des Jahresumsatzes. Über das Mindestalter, ab dem Kinder oder Jugendliche rechtswirksam Internetdienste nutzen dürfen, bestimmen die Mitgliedsstaaten selbst. Außerdem können Beschwerden zukünftig bei der Datenschutzbehörde des jeweiligen Landes des Betroffenen eingereicht werden und nicht mehr im Land der Niederlassung des angeklagten Unternehmens.

Im Ausschuss nichts Neues

Zum NSA-Untersuchungsauschuss gab es wieder ein Live-Blog unsererseits. Inhalt war diese Woche der Einsatz der Software XKeyscore beim Bundesamt für Verfassungsschutz. Die beiden Zeugen wurden befragt, wofür der Verfassungsschutz das von der NSA entwickelte System nutzt und welchen Gegenwert die NSA dafür haben wollte und will. Außerdem sollte geklärt werden, warum die Software seit knapp drei Jahren im Probebetrieb läuft und was für Gründe und Bedenken den Wirkbetrieb bis jetzt verhindern. Die Zeugen antworteten oft ausweichend, und der Erkenntnisgewinn blieb überschaubar. Die Befragung kann detailliert in unserem Artikel nachvollzogen werden.

Oettingers Mini-Davos

Vom 13.-15. April veranstaltet Digitalkommissar Oettinger zum sechsten Mal ein Treffen mit hochrangigen Gästen in den österreichischen Alpen. Teilnehmer sind Geschäftsführer und CEOs verschiedener europäischer Telekommunikationsunternehmen, (ehemalige) Politiker, Banker und Wissenschaftler. Von den einhundert Gästen sind lediglich acht Frauen. Diese Art von Treffen sind nicht verboten, werfen allerdings Fragen bezüglich Lobbytransparenz auf.

Fahrlässige Serverkonfiguration bei Mediengruppe

Die Mediengruppe DuMont, der viele bekannte Zeitungen angehören, ist Opfer eines Hackangriffs geworden. So las sich zumindest die entsprechende Pressemitteilung des Unternehmens. Der wahre Grund für die Komplikationen war allerdings eine falsche Konfiguration der internen Server, so dass Internetauftritte nicht verfügbar waren und ein Link auf Twitter auf einen offenen Server verwies. Das räumte das Unternehmen auch in einer aktualisierten Pressemitteilung verhalten ein. Pikant an dem Vorfall war, dass für mehrere Stunden unter anderem die Logdateien der Zugriffe von Abo-Kunden und deren im Klartext gespeicherten Passwörter, Namen, E-Mail-Adressen und Zugriffsdaten verfügbar waren.

2 Ergänzungen

  1. @ Jonas

    Ihr habt vergessen, darüber zu berichten, dass die Bundesregierung das Schlupfloch bei Prepaid-SIM-Karten schließen will. Die Anbieter sollen die Identität der Kunden prüfen MÜSSEN. Damit ist die Möglichkeit, Prepaid-Handykarten auf Fantasienamen zu registrieren, bald passé.

    Berichte siehe Heise, SPON, …

  2. Kurze Nachfrage zu folgendem Satz:
    „Diese soll bis 2018 in nationales Recht umgesetzt werden und die als überholt geltende Richtlinie von 1995 ersetzen.“

    Aus Beschreibungen zu EU-Gesetzgebungsverfahren, z.B. europal.de, habe ich entnommen, dass Verordnungen unmittelbar gelten:
    „Richtlinien sind Rahmengesetze der EU; sie stellen eine politische Forderung an die Gemeinschaft und müssen von den nationalen Parlamenten der Mitgliedstaaten innerhalb einer gesetzten Frist in nationales Recht umgesetzt werden. Verordnungen sind dagegen EU-Gesetze, die sofort und unmittelbar in allen Mitgliedstaaten gelten.“ (Quelle: http://www.europarl.de/de/europa_und_sie/das_ep/gesetzgebungverfahren.html)

    Kann mir jemand sagen, wie das zusammenpasst bzw. ob auch hier eine gesonderte ratifizierung in nationales Recht notwendig ist??

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.