• 12.12.2017//
• Celine Zeck//
• EU und IT-Sicherheit, Gesetze und Verordnungen

Die DSGVO gilt auch für außereuropäische Unternehmen

Die EU als weltweit größter Binnenmarkt setzt einen weltweiten Standard für den Datenschutz. Dies wird unter anderem dadurch manifestiert, dass auch Unternehmen mit Niederlassungen außerhalb der EU die Vorgaben der DSGVO einhalten müssen – zumindest unter bestimmten Voraussetzungen. Die DSGVO erweitert in Art. 3 Abs. 2 den bisherigen räumlichen Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) durch Einführung des sog. Marktortprinzips. Die datenschutzrechtlichen Anforderungen gelten daher auch für nicht in der EU niedergelassene Unternehmen, wenn sie innerhalb der EU Waren oder Dienstleistungen anbieten oder Internetaktivitäten von betroffenen Personen in den Mitgliedstaaten beobachten, beispielweise durch das Tracken von Usern durch Cookies oder „Browser Fingerprints“. Weitere Hinweise und Erläuterungen zu diesem Thema können Sie einem entsprechenden Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) entnehmen. (MB)   Bildnachweis: © grafvision/shutterstock.com

WEITERLESEN

• 10.12.2017//
• Celine Zeck//
• EU und IT-Sicherheit, Gesetze und Verordnungen

Ausblick: ePrivacy-Verordnung verabschiedet – Trilog-Verhandlungen laufen

Das EU-Parlament hat Ende Oktober einen Entwurf der sogenannten  ePrivacy-Verordnung verabschiedet. Dem schließen sich nun die Trilog-Verhandlungen zusammen mit der Kommission und dem Rat an. Die Verordnung wird die ePrivacy-Richtlinie aus dem Jahre 2002 sowie die sog. Cookie-Richtlinie von 2009 ablösen und künftig die Datenschutzgrundverordnung im Bereich der elektronischen Kommunikation ergänzen. Ursprünglich war ein Inkrafttreten parallel zur Geltung der DSGVO ab Mai 2018 geplant. Dies wird sich nicht mehr realisieren lassen, so dass spezialgesetzliche Regelungen zur elektronischen, beispielsweise des TMG und TKG zunächst durch die DSGVO außer Kraft gesetzt werden. Wir halten Sie über die Entwicklungen auf dem Laufenden! (MB)   Bildnachweis: Hadrian/shutterstock.com

WEITERLESEN

• 04.08.2017//
• Celine Zeck//
• EU und IT-Sicherheit, Gesetze und Verordnungen

Verschärfte Ausfuhrbedingungen für Informationstechnologie

Am 27. April 2017 ist die nationale Außenwirtschaftsverordnung (AWV) in ihrer geänderten Fassung in Kraft getreten. Auch der Dual-Use-Verordnung („Dual-Use-VO“) der EU stehen höchstwahrscheinlich noch im Jahr 2017 Neuerungen bevor. Beide Regelungswerke betreffen die Ausfuhr von IT-Sicherheitsleistungen. Hintergrund Wer Waren aus Deutschland ausführt, hat die Ausfuhrbestimmungen aus AWV, dem Außenwirtschaftsgesetz (AWG) und der Dual-Use-VO einzuhalten. Auch die Ausfuhr von IT-Sicherheitsleistungen (v. a. außerhalb des EU-Raumes) kann genehmigungspflichtig sein. Voraussetzung ist, dass sie als „Dual-Use-Güter“ gelistet sind. Dual-Use-Güter sind solche mit doppeltem Verwendungszweck (vgl. Ausfuhrliste Teil I B  der AWV und Anhang I der Dual-Use-VO). Ziel der Neuerungen Insbesondere bei der Dual-Use-VO sieht die EU-Kommission Änderungsbedarf (vgl. Änderungsvorschlag vom 28. September 2016). Gerade im Bereich der Informationstechnologie führt der unterschiedliche Stand des technischer Entwicklungen in den einzelnen Mitgliedstaaten mitunter dazu, dass Exportkontrollen in der Praxis ungleich umgesetzt werden. Die Aktualisierungen sollen aber nicht nur die Angleichung des EU-Binnenmarktes fördern, sondern zudem sicherstellen, dass die EU-Mitgliedsstaaten ihren internationalen Sicherheitsverpflichtungen nachkommen. Eine  restriktivere Ausfuhrhandhabung bestimmter Güter soll verhindern, dass diese zu Menschenrechtsverletzung oder terroristischen Zwecken missbraucht werden können. Neue Änderungsinhalte Der neue „Dual-Use-Begriff“ benennt nun ausdrücklich auch Cyber-Überwachungstechnologie, die für Menschenrechtsverletzungen eingesetzt werden kann. Gemeint sind Güter, die besonders dafür konstruiert sind, das unbemerkte Eindringen in Informations- und  Telekommun­ika­tions­systeme zu ermöglichen, um Daten zu überwachen, zu extrahieren, zu  sammeln und zu analysieren und/oder das betreffende System betriebsunfähig zu machen oder zu  beschädigen (Art. 2 Abs. 21 des Änderungsvorschlags).  Dazu zählen z. B. Ausrüstung zum Abhören von mobiler Telekommunikation, Intrusion-Software, Systeme zur rechtmäßigen Überwachung und Vorratsdatenspeicherung sowie digitale Forensik. Auch die „Catch-All-Klausel“ wurde neu gefasst: Eine Ausfuhrgenehmigung soll etwa auch dann erforderlich sein, wenn der Exporteur von der zuständigen Behörde unterrichtet wurde, dass bestimmte Güter für Menschenrechts­verlet­zungen eingesetzt werden können, unabhängig davon, ob sie als Dual-Use-Güter gelistet sind. Gelockerte Ausfuhrbedingungen sind hingegen für Rechner und Technologien erkennbar, die z. B. dem Verbrauchsgüterbereich dienen, etwa aus der Medizintechnologiebranche oder der Autoindustrie. Aktueller Stand und zukünftige Entwicklung Den Vorschlag zur neu ausgearbeiteten Dual-Use-VO hat die EU-Kommission bereits dem Europäischen Rat und dem Parlament vorgelegt. Die Bundesregierung hat dazu am 27. Januar 2017 verschiedene Wirtschaftsverbände zu Stellungnahmen aufgefordert. Wie der Europäische Rat und das Parlament im ordentlichen Gesetzgebungsverfahren über den Änderungsvorschlag befinden, bleibt derzeit abzuwarten. Die Verhandlungen werden jedoch voraussichtlich nicht vor Ende 2017 abgeschlossen sein. Bild: shutterstock.com

WEITERLESEN