Sehr geehrtes eBay-Mitglied,

wir möchten Sie in dieser E-Mail über Neuerungen und Verbesserungen informieren, die wir im Bereich des Datenschutzes vornehmen.

Für uns ist der verlässliche Umgang mit Ihren Daten von größter Wichtigkeit. Vor diesem Hintergrund aktualisieren wir unsere Datenschutzerklärung zum 1. November 2010 und führen weltweit in allen eBay-Unternehmen interne Regelungen ein, mittels derer wir uns verbindlich verpflichten, Datenschutz auf
dem Niveau der europäischen Datenschutz-Richtlinie zu gewährleisten (sogenannte “Binding Corporate Rules”).

Als Betreiber eines globalen Marktplatzes beobachten wir zunehmend mehr grenzüberschreitenden Handel, sowohl innerhalb der Europäischen Union, als auch weltweit. So macht zum Beispiel ein
günstiger Wechselkurs des Euro zum US-Dollar oder zum britischen Pfund Einkäufe in Großbritannien oder den USA oft sehr attraktiv. Die Aktualisierung der Datenschutzrichtlinie dient daher vor allem der Harmonisierung der Datenschutzrichtlinien unserer 43 internationalen Märkte.

eBay vereinheitlicht seine Datenschutzerklärungen, um auf diese Weise weltweit ein einheitliches und gleich hohes Datenschutzniveau nach europäischen Standards zu gewährleisten. Dazu hat eBay Binding Corporate Rules eingeführt, die im Herbst 2009 von der Luxemburger Datenschutzaufsichtsbehörde (CNPD) geprüft und akzeptiert worden sind. Die Datenschutzbehörden der weiteren
13 EU-Mitgliedsstaaten, in denen eBay Marktplätze betreibt, haben sich der Einschätzung der CNPD
im Rahmen eines gegenseitigen Anerkennungsverfahrens angeschlossen. Das bedeutet, dass die
14 EU-Mitgliedsstaaten, in denen eBay aktiv ist, die Datenschutzregeln und -standards von eBay
akzeptiert haben. Im Gegensatz zum Safe Harbor Programm der USA sind die Corporate Binding Rules in ihrem Geltungsbereich nicht auf die USA beschränkt, sondern gelten weltweit verbindlich für alle eBay-Unternehmen.

Bisher waren die eBay International AG mit Sitz in der Schweiz und die eBay Europe S.à r.l. mit Sitz
in Luxemburg die gemeinsam verantwortliche Stelle für Ihre Daten im Sinne des Datenschutzrechts.
Zur Vereinfachung wird zukünftig ausschließlich die eBay Europe S.à r.l. zuständig sein,
mit der Sie auch bereits heute Ihr Vertragsverhältnis haben. Hierdurch wird der Luxemburger
Datenschutzbeauftragte die für eBay alleinige zuständige Datenschutzaufsichtsbehörde mit einem einheitlichen Datenschutzrechtsrahmen für die eBay-Nutzer innerhalb der Europäischen Union.

Selbstverständlich haben wir diese Änderungen und die neue Datenschutzerklärung vorab mit dem
Luxemburger Datenschutzbeauftragen abgestimmt.

Die geänderte Datenschutzerklärung wird zum 1. November 2010 in Kraft treten.

Sollten Sie eBay zu den geänderten Datenschutzbestimmungen nicht mehr nutzen wollen, können Sie
der neuen Datenschutzerklärung bis spätestens 31. Oktober 2010 widersprechen und Ihr Mitgliedskonto bei eBay schließen. Sollten Sie eBay ab dem 01. November 2010 weiterhin nutzen, gilt die neue Datenschutzerklärung als akzeptiert.

Im Folgenden haben wir einige Informationen für Sie zusammengestellt:

Zur neuen Datenschutzerklärung

Zu den “eBay Binding Corporate Rules”

Fragen und Antworten zur neuen Datenschutzerklärung

Mit freundlichen Grüßen

Scott Shipman
Konzerndatenschutzbeauftragter Steve Kenny
Leiter Datenschutz, EU

Bereits zu Jahresbeginn hatte Der Bundesdatenschutzbeauftragte Peter Schaar hat an das EU-Parlament appelliert, bei dem anstehenden Votum über den laufenden Transfer von Flugpassagierdaten in die USA den bislang “unzureichenden” Schutz der Privatsphäre der EU-Bürger zu verbessern. Nun liegt ein neuer Mandatsentwurf der EU-Kommission für die Neugestaltung der Fluggastdatenweitergabeabkommen vor.
Der Entwurf ist trotz einiger wichtiger Bestimmungen unzureichend. Mehrfach hatte das EU-Parlament deutlich gemacht, dass eine generelle Massenauswertung europäischer Fluggastdaten zur Kriminalitätsbekämpfung nicht gerechtfertigt ist. In der Parlamentsresolution vom Mai wurde mit großer Mehrheit beschlossen, dass die Weitergabe von PNR-Fluggastdaten den europäischen Datenschutzstandards entsprechen muss. Dies schließt einen generellen Zugriff auf personenbezogene Daten sowie eine andauernde Speicherung ohne konkreten Anhaltspunkt aus. Damit darf auf Fluggastdaten nur zugegriffen werden, wenn konkrete Verdachtsmomente gegen eine Person vorliegen. Um einen andauernden Konflikt mit geltendem EU-Recht zu verhindern, müssen diese grundsätzlichen Grenzen in den Verhandlungen klar benannt werden. Nur mit einem strikten Mandat wird es am Ende ein Abkommen geben, dass Parlament und Rat tatsächlich annehmen können.

Die jüngsten Urteile des Bundesverfassungsgerichts zeigen eindeutig, wo die Grenzen für eine anlassunabhängige Erhebung und Speicherung personenbezogener Daten liegen. Wenn überhaupt, dann sind solche Datensammlungen nur in wenigen Ausnahmefällen zulässig und mit hohen und strengen Zugriffshürden sowie kurzen Speicherfristen zu versehen. Die derzeit ohne legitimierte Rechtsgrundlage stattfindende und durch die Abkommen zu regelnde Weitergabe von PNR-Fluggastdaten widerspricht dieser auch vom Europäischen Gerichtshof für Menschenrechte verfolgten Rechtsprechung. Wer dies nicht deutlich benennt, akzeptiert den gefährlichen Paradigmenwechsel hin zum Generalverdacht, der in der Sicherheitspolitik der vergangenen Jahre stattgefunden hat.

Mit der De-Mail will das Bundesinnenministerium eigenen Angaben zufolge die “nicht-anonyme und sichere elektronische Kommunikation zum Normalfall” werden lassen. “Zum Normalfall wird aber eher, dass Strafverfolgungs- und Sicherheitsbehörden besonders vertrauliche Kommunikation, die heute aus gutem Grund noch vorwiegend postalisch oder möglichst anonym abgewickelt wird, ohne richterlichen Beschluss einsehen beziehungsweise mitlesen können”, erklärt Rene Zoch, 2. Vorsitzender von “no abuse in internet” (naiin). Die gemeinnützige Nichtregierungsorganisation, die von der Netzgemeinde und Internet-Wirtschaft getragen wird, sieht in dem vorliegenden Gesetzesentwurf zur De-Mail die Bürgerrechte nicht ausreichend berücksichtigt.

“Der Schutz der Privatsphäre scheint den politisch Verantwortlichen immer nur dann wichtig zu sein, wenn es um den Datenschutz in der Privatwirtschaft geht. Geht es aber um staatliche Eingriffe, scheint dieser offenbar keine große Rolle mehr zu spielen”, kritisiert der stellvertretende naiin-Vorsitzende.

In der Tat dürfte den Wenigsten der Hunderttausenden Bürger, die sich bisher im Rahmen der seit Anfang Juli laufenden Vorregistrierungsphase ihre persönliche De-Mail-Adresse gesichert haben, bewusst sein, dass die De-Mail-Anbieter auf Anfrage der Strafverfolgungsbehörden ihre Nutzernamen samt Passwörter herausgeben müssen. Ein Richter bleibt außen vor.

Sogar private Dritte können auf einfachem Wege – zum Teil sensible – persönliche Daten von einem De-Mail-Nutzer bei den Anbietern anfordern: Hierzu zählen neben dem vollständigen Namen und die Anschrift auch das Geburtsdatum. “Die beteiligten Internet-Anbieter werden auch bei der De-Mail in die unangenehme Rolle des Hilfssheriffs gedrängt. Sie haben keine Gewissheit darüber, ob die Anfragen seitens der Strafverfolgungsbehörden und Geheimdienste im Einzelnen überhaupt durch hinreichende Verdachtsmomente gerechtfertigt sind”, so Zoch. (Quelle: Net-Tribune)

Das lange Drängen des EU-Parlaments auf Einschränkungen des ACTA-Abkommens zur Produktpirateriebekämpfung zeigt erste Wirkung. Im neuen Abkommensentwurf sind erhebliche Änderungen insbesondere bei verpflichtenden Sanktionsmaßnahmen und Strafrechtsbestimmungen vorgenommen worden. Dies ist ein klarer Erfolg des EU-Parlaments, nicht zuletzt Dank des hartnäckigen Einsatzes der Grünen Fraktion. Die gestern von der Mehrheit der ParlamentarierInnen angenommene schriftliche Erklärung unterstreicht nochmal die schon in der Parlamentsresolution vom März klar geäußerte Kritik des EU-Parlaments. Gerade das umstrittene Internetkapitel ist danach nicht tragbar. Es geht über die bloße Bekämpfung der Produktpiraterie weit hinaus und unterläuft mit seinen vagen Formulierungen den Rahmen des im vergangenen Jahr von Parlament und Rat ausgehandelten EU-Telekompaketes.”

Statt die kritisierten Maßnahmen schlicht zu streichen, werden die Formulierungen im ACTA-Entwurf lediglich unpräziser gestaltet. So wird das Abkommen eher mehr als weniger Probleme aufwerfen. Absolut unklar bleibt, ob mit Hilfe des Abkommens eine schleichende Einführung von Softwarepatenten, einer Drittverantwortlichkeit von Internetprovidern und Maßnahmen wie Internetsperren erreicht werden soll. Auch die massive Erschwerung des Medikamentenhandels durch ACTA ist nicht auszuschließen. Bestimmungen zum Schutze von VerbraucherInnen- und Menschenrechten fehlen. Zudem wurden die Forderungen der ParlamentarierInnen nach mehr Transparenz in den Verhandlungen nicht erfüllt. Erneut toleriert die EU-Kommission, dass die USA auf Geheimniskrämerei beharren. Damit verhindert sie eine parlamentarische und öffentliche Debatte über dieses weitreichende Abkommen.

Seit kurzem gibt es den »E-Postbrief«. Zunächst hatte sich eine Arbeitsgruppe des Innenministeriums damit beschäftigt, eine Prozedur für den Versand rechtsverbindlicher E-Mails zu entwickeln. Zahlreiche Internet-Provider, die Deutsche Telekom und die Post arbeiteten anschließend etliche Jahre lang gemeinsam an der Idee: Ziel des Verfahrens ist die zweifelsfreie Identifikation von Sender und Empfänger einer E-Mail.
Bis zum Ende dieses Jahres soll nun ein Bürgerportalgesetz verabschiedet werden, das diese Art der elektronischen Briefkommunikation vor allem für den Geschäfts- und Behördenverkehr regelt. Aus Sorge um das eigene herkömmliche Briefgeschäft zog sich die Post im Laufe der Entwicklung zurück und bietet nun den »E-Postbrief« an. Web.de, GMX und die Deutsche Telekom wollen zum Jahreswechsel das Konkurrenzprodukt »De-Mail« auf den Markt bringen. Jeder Nutzer des »E-Postbriefs« soll nach erfolgreicher Anmeldung in der Lage sein, Empfängern ein rechtsverbindliches Schreiben zukommen zu lassen.
»De-Mail« behält es sich vor, die Korrespondenz selbst auf Viren und Spam zu überprüfen. Die Anbieter erklären ausdrücklich, dass keine gesicherte Ende-zu-Ende-Kommunikation stattfindet, der Brief also nicht unangetastet und vertraulich übermittelt wird. Die Sicherheit ist Sache des Anbieters, es ist zu befürchten, dass »De-Mail« dieses geplante Vorgehen als Beweis der eigenen Vertrauenswürdigkeit vermarkten wird.
Warum staatliche Behörden und Unternehmen die Verbreitung des elektronischen Einschreibens vorantreiben, liegt auf der Hand. Immerhin geht es um einen Betrag zwischen 40 und 70 Millionen Euro, der jährlich eingespart werden könnte.
Die Testphase von »De-Mail« in Friedrichshafen stieß bei den Anwendern überwiegend auf Begeisterung, Bedenken werden anscheinend dem unbändigen Always-Online-Wunsch untergeordnet.

»Wir bringen das Briefgeheimnis ins Internet.« Der Slogan der Post ist falsch. Den Allgemeinen Geschäftsbedingungen für Privatkunden des »E-Postbriefs« zufolge unterliegt dieser lediglich den Vorgaben der Telekommunikations-Überwachungsverordnung (TKÜV) und des Telekommunikationsgesetzes (TKG), aber nicht dem Briefgeheimnis. Dieses wird in Artikel 10 des Grundgesetzes garantiert. § 113 TKG dagegen gewährt Ermittlungsbehörden umfangreichen Zugriff auf elektronische Korrespondenz.

Die Möglichkeit, Kommunikationspartner im Internet zweifelsfrei zu identifizieren, besteht seit fast zwei Jahrzehnten. Die 1991 von Philip Zimmerman entwickelte Software »Pretty Good Privacy« (PGP) gewährleistet nicht nur die Vertraulichkeit in der E-Mail-Korrespondenz, sondern auch die Authentizität des Absenders. PGP und seine Derivate wie der Gnu Privacy Guard fanden jedoch nie größere Verbreitung. Die Gründe für das Scheitern sind zahlreich. Bis heute darf kryptografische Software in vielen Ländern nicht oder nur in stark eingeschränkter Funktion verwendet werden. Auch setzt Open-PGP-Software ein gewisse Bereitschaft des Nutzers voraus, sich mit der Materie auseinandersetzen. Doch Kriminalisierung und technische Hürden sind nicht die einzigen Gründe für die geringe Akzeptanz. Open-PGP verfolgt einen puristischen Ansatz, bei dem es nur darum geht, auf dem Weg der Nachricht zwischen den Kommunikationspartnern jederzeit ein Verschlüsselung zu garantieren. Entwicklungen hin zu einer halbttransparenten Verschlüsselung und Signierung waren für die Verfechter von Open-PGP-Software unbefriedigend.
Zweifellos ist der Wunsch nach einer Welt ohne Spam berechtigt. Dass der »E-Postbrief« dieses Versprechen einlösen wird, ist unwahrscheinlich. In einer weiteren Passage der Geschäftsbedingungen heißt es: »Falls der Veröffentlichung der Daten im Adressverzeichnis zugestimmt wurde, können diese Angaben von der Deutschen Post AG an andere registrierte Geschäftskunden/Versender auf Anfrage auch beauskunftet werden.« Geschäftsleute, die mit Adressen und anderen personenbezogenen Daten handeln, werden so eingeladen, die Informationen aus dem Adressverzeichnis gewinnbringend zu verhökern.