Datenschutz News 01.07.2022

USA: U.S. Repräsentant veröffentlicht Diskussionsentwurf für Bundesgesetz zum Schutz von Finanzdaten

Ein US-Repräsentant im Ausschuss für Finanzdienstleistungen des Repräsentantenhauses hat am 23. Juni 2022 einen Diskussionsentwurf für ein Bundesgesetz zum Schutz von Finanzdaten veröffentlicht, das im Falle seiner Verabschiedung den Gramm-Leach-Bliley Act von 1999 („GLBA“) ändern würde. Ziel des Entwurfs ist es insbesondere:

das GLBA nach einem technologieunabhängigen Ansatz zu modernisieren;

sicherzustellen, dass die Verbraucher die Kontrolle darüber haben, wie ihre personenbezogenen Daten verwendet werden, und sie zu ermächtigen, die Erhebung ihrer Daten zu beenden und/oder deren Löschung jederzeit zu verlangen;

die betroffenen Einrichtungen zu verpflichten, den Verbrauchern offenzulegen, warum sie bestimmte Daten erheben, und diese Daten nur für den angegebenen Zweck zu verwenden;

die betroffenen Einrichtungen zu verpflichten, den Verbrauchern die Möglichkeit zu geben, der Datenerhebung zu widersprechen, wenn diese nicht notwendig ist, um den von der Einrichtung angebotenen Dienst zu erbringen;

vorzuschreiben, dass die Datenschutzbestimmungen transparent und für die Verbraucher leicht verständlich sein müssen; und

eine landesweite Vereinheitlichung der Art und Weise zu erreichen, wie nachgelagerte Stellen personenbezogene Daten der Verbraucher erheben und verwenden.

USA, 30.06.2022

 

China: CAC bittet um Kommentare zu Standardvertragsklauseln für die Weitergabe personenbezogener Daten

Die chinesische Cyberspace-Verwaltung („CAC“) bat am 30. Juni 2022 um öffentliche Stellungnahmen zu ihrem Entwurf der Standardvertragsklauseln für die Weitergabe personenbezogener Daten. Im Falle der Verabschiedung des Entwurfs würden die Bestimmungen insbesondere für Verarbeiter personenbezogener Daten gelten, die mit Empfängern im Ausland Verträge über die Bereitstellung personenbezogener Daten außerhalb der Volksrepublik China („VRC“) abschließen, wobei insbesondere betont wird, dass andere Verträge zwischen Verarbeitern personenbezogener Daten und Empfängern im Ausland nicht im Widerspruch zu den Bestimmungen stehen dürfen. Konkret heißt es in dem Entwurf, dass Auftragsverarbeiter personenbezogener Daten einen Standardvertrag unterzeichnen können, wenn sie die folgenden Anforderungen erfüllen:

Sie sind Betreiber einer nicht kritischen Informationsinfrastruktur;

sie verarbeiten personenbezogene Daten von weniger als einer Million Personen;

seit dem 1. Januar 2021 hat die kumulative Menge der im Ausland bereitgestellten personenbezogenen Daten 100.000 Personen nicht erreicht; und

seit dem 1. Januar 2021 die kumulierte Menge der im Ausland bereitgestellten sensiblen personenbezogenen Daten weniger als 10.000 Personen beträgt.

Darüber hinaus sieht der Entwurf vor, dass vor der Bereitstellung von Informationen im Ausland eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Des Weiteren sieht der Entwurf vor, dass ein Standardvertrag unter anderem grundlegende Informationen über jede Partei, die Verantwortlichkeiten und Verpflichtungen sowie die Auswirkungen der nationalen Gesetze und Vorschriften auf die Verarbeitung personenbezogener Daten enthalten muss. Darüber hinaus werden in den Entwürfen Umstände genannt, die es erforderlich machen, Änderungen an solchen Verträgen zu vermerken und diese neu zu unterzeichnen, einschließlich Änderungen u. a. des Zwecks, des Umfangs, der Speicherdauer, des Speicherorts und der Vorschriften des Drittlandes.

Ebenso sieht der Entwurf vor, dass die Verarbeiter personenbezogener Daten innerhalb von 10 Arbeitstagen nach Inkrafttreten des Standardvertrags den Vertrag und den DPIA-Bericht bei der lokalen Provinzbehörde für Cybersicherheit und Informationstechnik einreichen müssen.

China, 30.06.2022