Datenschutz News 02.10.2020

EU: Kommission nimmt digitales Finanzpaket an, enthält Vorschläge zu Krypto-Assets und digitaler Ausfallsicherheit

Die Europäische Kommission gab am 24. September 2020 bekannt, dass sie ein neues digitales Finanzpaket verabschiedet hat, das eine digitale Finanzstrategie, eine Strategie für den Massenzahlungsverkehr sowie Legislativvorschläge zu Krypto-Assets und zur digitalen Ausfallsicherheit umfasst. Insbesondere wies die Kommission darauf hin, dass das Paket darauf abzielt, verantwortungsbewusste Innovationen im Finanzsektor der EU zu fördern, insbesondere für hochinnovative digitale Start-ups, und gleichzeitig alle potenziellen Risiken im Zusammenhang mit Anlegerschutz, Geldwäsche und Cyber-Kriminalität zu mindern. Darüber hinaus stellte die Kommission fest, dass die digitale Finanzstrategie allgemeine Leitlinien dafür festlegt, wie die EU die digitale Umgestaltung des Finanzwesens in den kommenden Jahren unterstützen kann, und gleichzeitig deren Risiken reguliert. Darüber hinaus erklärte die Kommission, dass der Legislativvorschlag zu Krypto-Vermögenswerten, der darauf abzielt, Innovationen so zu ermöglichen, dass die finanzielle Stabilität gewahrt und Investoren geschützt werden, zwischen Krypto-Vermögenswerten, die bereits durch EU-Rechtsvorschriften geregelt werden, und anderen Krypto-Vermögenswerten unterscheiden wird. Insbesondere erinnert die Kommission daran, dass erstere weiterhin der bestehenden Gesetzgebung unterliegen werden, mit einer Pilotregelung für Marktinfrastrukturen, die darauf abzielen, Transaktionen von Finanzinstrumenten in Form von Krypto-Vermögenswerten zu handeln und abzuwickeln. Darüber hinaus wies die Kommission darauf hin, dass der Legislativvorschlag für einen EU-Rechtsrahmen zur digitalen operationellen Belastbarkeit auf die ständig wachsende Abhängigkeit des Finanzsektors von Software und digitalen Prozessen eingeht, was bedeutet, dass die Risiken der Informations- und Kommunikationstechnologien (IKT) im Finanzsektor inhärent sind. Insbesondere erinnerte die Kommission daran, dass der Vorschlag von allen Unternehmen verlangt, sicherzustellen, dass sie allen Arten von IKT-bezogenen Unterbrechungen und Bedrohungen standhalten können. Der Europäische Bankenverband (EBF) und Insurance Europe haben eine Erklärung zum digitalen Finanzpaket der Kommission abgegeben, in der sie dies begrüßen.

Europäische Kommission, 25.09.2020

Tschechische Republik: UOOU verhängt Bußgeld von 6 Mio. CZK für das Versenden unerwünschter Marketing-E-Mails

Das Amt für den Schutz personenbezogener Daten (UOOU) gab am 25. September 2020 bekannt, dass es eine Geldbuße in Höhe von 6 Mio. CZK (ca. 221.200 €) gegen ein Unternehmen verhängt hat, das wiederholt Marketingbotschaften ohne Einholung der Zustimmung versandt und damit gegen § 7 Absatz 2 des Gesetzes Nr. 480/2004 Slg. über bestimmte Dienste der Informationsgesellschaft verstoßen hat. Insbesondere wies das UOOU darauf hin, dass es die gesamte Marketingkampagne des Unternehmens geprüft habe, die das Versenden von E-Mails an fast 500.000 Empfänger betraf und einen systematischen Fehler in Bezug auf die Rechtsgrundlage für das Versenden kommerzieller Mitteilungen aufdeckte.

Amt für den Schutz personenbezogener Daten, 28.09.2020

Kalifornien: Gouverneur legt Veto gegen Gesetzentwurf zur Schaffung eines Gesetzes zum Schutz der genetischen Privatsphäre ein

Der kalifornische Gouverneur, Gavin Newsom, gab am 5. September 2020 bekannt, dass er sein Veto gegen die Senate Bill (SB) 980 eingelegt habe, die den Genetic Information Privacy Act schaffen würde. Insbesondere bemerkte Newsom, dass der SB 980 zwar Anforderungen für direkt an Verbraucher gerichtete Gentestunternehmen aufstellen und Opt-in-Privatsphärenrechte und -Schutz für Verbraucher vorsehen würde, dass aber seine weit gefasste Formulierung unbeabsichtigte Konsequenzen haben könnte, da die Opt-in-Bestimmungen mit der obligatorischen Verpflichtung zur Meldung von COVID-19-Testergebnissen an die örtlichen Gesundheitsbehörden in Konflikt geraten könnten. Darüber hinaus betonte Newsom, dass diese Meldepflicht für die Reaktion Kaliforniens auf die Pandemie von entscheidender Bedeutung ist, und wies die California Health and Human Services Agency und das Gesundheitsministerium an, mit der kalifornischen Legislative zusammenzuarbeiten, um eine Gesetzgebung zu schaffen, die die Datenschutzziele von SB 980 erreicht und unbeabsichtigte Auswirkungen auf die COVID-19-Tests verhindert.

Kalifornische Gouverneur, Gavin Newsom, 28.09.2020

USA: OCR kündigt Vergleich mit Premera Blue Cross über 6,85 Millionen Dollar wegen möglicher HIPAA-Verstöße an

Das Büro für Bürgerrechte (Office for Civil Rights, OCR) des US-Gesundheitsministeriums gab am 25. September 2020 bekannt, dass sich das Blaue Kreuz Premera bereit erklärt hat, mögliche Verletzungen der Datenschutz- und Sicherheitsvorschriften des Health Insurance Portability and Accountability Act von 1996 (HIPAA) in Bezug auf eine Verletzung, die über 10,4 Millionen Menschen betrifft, zu regeln. Insbesondere hob die OCR hervor, dass sich das Premera Blue Cross als Teil der Resolutionsvereinbarung bereit erklärt hat, 6,85 Millionen Dollar an die OCR zu zahlen und einen Plan zur Behebung der Verstöße umzusetzen. Darüber hinaus wies die OCR darauf hin, dass diese Vereinbarung die zweitgrößte Vereinbarung mit der OCR bezüglich einer Verletzung des HIPAA ist.

Office for Civil Rights, OCR, 29.09.2020

USA: Stellvertretender Beigeordneter Sekretär des DoC gibt Erklärung und Weissbuch zu Schrems II heraus

Der stellvertretende beigeordneter Staatssekretär im US-Handelsministerium (DoC), James Sullivan, gab am 28. September 2020 eine Erklärung und ein Weißbuch heraus, um Organisationen nach der Entscheidung des Gerichtshofs der Europäischen Union (CJEU) im Fall Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems (Fall Schrems II) zu unterstützen. Insbesondere wies die stellvertretende Assistentin darauf hin, dass der umfassende US-Rechtsrahmen für die Sammlung ausländischer Nachrichtendienste klarere Grenzen, stärkere Schutzmaßnahmen und eine strengere unabhängige Aufsicht bietet als die meisten anderen Länder. Darüber hinaus merkte der Stellvertretende Assistent an, dass das Weißbuch zwar keine substantielle Anleitung zum EU-Recht geben solle, sein Ziel jedoch darin bestehe, Organisationen bei ihrer Argumentation zu unterstützen, dass sie in der Lage sein sollten, personenbezogene Daten mit Hilfe von EU-genehmigten Transfermechanismen an die USA zu übermitteln. Konkret gibt das Weißbuch einen Überblick über die Datenschutzgarantien im geltenden US-Recht in Bezug auf den Zugang von Nachrichtendiensten zu Daten, die für das Urteil in Schrems II relevant sind, mit dem Ziel, Unternehmen zu unterstützen, die weiterhin Standardvertragsklauseln (SCC) als Mittel zur Datenübermittlung in die USA verwenden wollen. Darüber hinaus berücksichtigt das Weißbuch Szenarien, in denen Unternehmen personenbezogene Daten mit gewöhnlichen Geschäftsinformationen übermitteln, die für die US-Geheimdienste nicht von Interesse sind und die als solche nicht die Datenschutzrisiken darstellen, die den EuGH in Schrems II betrafen. Darüber hinaus erörtert das Weißbuch die Möglichkeit, dass sich Unternehmen, die Offenlegungsanordnungen von US-Geheimdiensten erhalten haben, auf die Ausnahmeregelung des öffentlichen Interesses nach Artikel 49 der Allgemeinen Datenschutzverordnung (GDPR) als Grundlage für die weitere Übermittlung von Daten aus der EU berufen können.

Stellvertretender Staatssekretär im US-Handelsministerium, 29.09.2020

Brasilien: Gesetzentwurf zur Datenlokalisierung und Ernennung von ANPD-Mitgliedern in die Kammer eingebracht

Die brasilianische Abgeordnetenkammer gab am 29. September 2020 bekannt, dass der Abgeordnete Luiz Philippe de Orleans e Bragança die Gesetzesvorlage 4723/2020 eingebracht hat, die darauf abzielt, Anforderungen an die Datenlokalisierung innerhalb Brasiliens zu stellen. Insbesondere würde der Gesetzentwurf das Gesetz Nr. 13.709 vom 14. August 2018, Allgemeines Gesetz zum Schutz personenbezogener Daten (in der durch das Gesetz Nr. 13.853 vom 8. Juli 2019 geänderten Fassung) (LGPD), dahingehend ändern, dass alle erhobenen und verarbeiteten personenbezogenen Daten gespeichert und physisch in einem Repository auf dem Staatsgebiet aufbewahrt werden müssen. Darüber hinaus würde das LGPD dahingehend geändert, dass die Verwendung von Cloud Computing für jegliche Verarbeitungsoperationen verboten würde, wenn Daten außerhalb des nationalen Territoriums gespeichert werden. Schließlich würde der Gesetzentwurf die Durchführung von Zuverlässigkeitsüberprüfungen vor der Ernennung von Mitgliedern der brasilianischen Datenschutzbehörde (ANPD) vorschreiben und die Ernennung von Verwandten von Mitgliedern der Legislative, Exekutive und Judikative in die ANPD verbieten.

Brasilianische Abgeordnetenkammer, 30.09.2020

Verwandte Beiträge