Datenschutz News 05.02.2021

International: CoE veröffentlicht Richtlinien zur Gesichtserkennung

Der Beratende Ausschuss des Europarats für das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) hat am 28. Januar 2021 Leitlinien zur Gesichtserkennung veröffentlicht. Die Leitlinien zielen insbesondere darauf ab, eine Reihe von Maßnahmen für Regierungen, Gesichtserkennungsentwickler, Hersteller, Dienstleister und Einrichtungen, die Gesichtserkennungstechnologien verwenden, bereitzustellen, um den Schutz der Menschenrechte und personenbezogener Daten zu ermöglichen. Konkret behandeln die Richtlinien unter anderem die Rechtmäßigkeit der Nutzung von Gesichtserkennungstechnologien durch öffentliche und private Stellen, die Rechenschaftspflicht, die Durchführung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIA), die Datensicherheit und die Wahrung der Rechte der Betroffenen. In Bezug auf die von den Entwicklern von Gesichtserkennungstechnologien zu ergreifenden Datensicherheitsmaßnahmen betonen die Leitlinien außerdem, dass sich diese Maßnahmen im Laufe der Zeit weiterentwickeln und in einem angemessenen Verhältnis zur Sensibilität der Daten stehen sollten.

Beratender Ausschuss des Europarats, 29.01.2021

Belgien: DPA veröffentlicht Empfehlungen für Datenbereinigung und Aktenvernichtung

Die belgische Datenschutzbehörde (die belgische DPA) hat am 27. Januar 2021 zu Ehren des Datenschutztages Empfehlungen für Datenverantwortliche zur Datenbereinigung und Vernichtung von Aufzeichnungen veröffentlicht. Die Empfehlungen zielen insbesondere darauf ab, die für die Datenverarbeitung Verantwortlichen bei der Verhinderung des unbefugten Zugriffs auf personenbezogene Daten, die in solchen Aufzeichnungen enthalten sind, zu unterstützen und die Privatsphäre der personenbezogenen Daten belgischer Bürger zu gewährleisten. Darüber hinaus umfassen die Empfehlungen unter anderem rechtliche Überlegungen, technische Anwendungen und organisatorische Maßnahmen in Bezug auf die Datenbereinigung. Im Einzelnen umreißen die Empfehlungen Schlüsselprinzipien und -konzepte, wie die Klassifizierung und Dokumentation von Informationen, Verfahrensschritte von der Formulierung von Richtlinien bis zur Bewertung, Kategorien von Aufzeichnungen sowie praktische Beispiele.

belgische DPA, 28.01.2021

UAE: Zentralbank erlässt erste Verbraucherschutzverordnung für lizenzierte Finanzinstitute

Die Zentralbank der Vereinigten Arabischen Emirate (CBUAE) gab am 1. Februar 2021 bekannt, dass sie die Verbraucherschutzverordnung als Teil ihres Regelwerks für den finanziellen Verbraucherschutz und im Rahmen ihres Mandats zur Festlegung von Vorschriften für den Schutz von Kunden lizenzierter Finanzinstitute (LFI) gemäß dem Dekret Federal Law No. 14 of 2018 Regarding the Central Bank and Organisation of Financial Institutions and Activities erlassen hat. Insbesondere erläuterte die CBUAE, dass die Verbraucherschutzverordnung dazu dient, die Qualität der von LFIs bereitgestellten Informationen über Produkte und Dienstleistungen zu verbessern. Darüber hinaus hob die CBUAE hervor, dass die Verordnung prinzipienbasiert ist und das angemessene erwartete Verhalten von LFIs unter anderem in Bezug auf Offenlegung und Transparenz, institutionelle Aufsicht, Marktverhalten, Geschäftsgebaren und Schutz von Verbraucherdaten und Privatsphäre vorsieht. Darüber hinaus stellte die CBUAE fest, dass die regulatorischen Grundsätze durch detaillierte Standards unterstützt werden, um eine einheitliche Anwendung zu gewährleisten.

CBUAE, 02.02.2021

USA: Werbefachverbände fordern eine Reform des Gesetzes in North Dakota, das den Verkauf geschützter Daten verbietet

Die Network Advertising Initiative (NAI) hat am 26. Januar 2021 zusammen mit anderen Branchenverbänden der Werbebranche eine Stellungnahme zum Gesetzentwurf 1330 des Repräsentantenhauses von North Dakota abgegeben, in dem es darum geht, betroffenen Unternehmen den Verkauf von geschützten Daten der Nutzer ohne Zustimmung zu verbieten. Insbesondere wird in den Kommentaren unter anderem darauf hingewiesen, dass das Gesetz keine Opt-in-Zustimmung für den Verkauf geschützter Daten vorsehen sollte, da dies die Geschäftspraktiken einschränken würde. Darüber hinaus sehen die Kommentare vor, dass die Durchsetzungsbefugnisse beim Generalstaatsanwalt (AG) liegen sollten und Einzelpersonen kein privates Klagerecht oder die Möglichkeit für Sammelklagen eingeräumt werden sollte, da die Annahme eines AG-Durchsetzungsrahmens einen konsistenteren und zuverlässigeren Schutz und klarere Regeln für Unternehmen bieten würde.

NAI, 01.02.2021

USA: FTC schließt Vergleich mit Zoom über Sicherheits- und Datenschutzpraktiken ab

Die Federal Trade Commission (FTC) gab am 2. Februar 2021 bekannt, dass sie ihren Vergleich mit Zoom Video Communications, Inc. über dessen Sicherheits- und Datenschutzpraktiken abgeschlossen hat, nachdem eine Beschwerde eingegangen war, wonach Zoom die Verbraucher in dem Glauben gelassen hatte, dass ein höheres Maß an Sicherheit und Verschlüsselung verfügbar sei, während Zoom in Wirklichkeit ein geringeres Maß an Ende-zu-Ende-Verschlüsselung angeboten hatte. Die FTC hob insbesondere hervor, dass es Zoom im Rahmen des endgültigen Vergleichs untersagt ist, falsche Angaben über seine Datenschutzpraktiken zu machen, und dass es verpflichtet ist, ein umfassendes Sicherheitsprogramm zu implementieren, alle Software-Updates vor der Veröffentlichung auf Sicherheitsmängel zu überprüfen und sicherzustellen, dass die Updates die Sicherheitsfunktionen von Drittanbietern nicht beeinträchtigen. Darüber hinaus ist Zoom verpflichtet, alle zwei Jahre eine Bewertung seines Sicherheitsprogramms durch eine unabhängige Drittpartei einzuholen, die von der FTC genehmigt werden kann, und die FTC zu benachrichtigen, wenn es zu einer Datenverletzung kommt.

FTC, 02.02.2021

Singapur: PDPC aktualisiert Leitfaden zu Datenverarbeitungsverträgen

Die Personal Data Protection Commission (PDPC) veröffentlichte am 1. Februar 2021 eine Aktualisierung ihres Leitfadens zu Datenschutzklauseln für Verträge über die Verarbeitung personenbezogener Daten, um die Änderungen des Personal Data Protection Act 2012 (Nr. 26 von 2012) (PDPA) zu berücksichtigen. Der aktualisierte Leitfaden enthält insbesondere Empfehlungen für die Benachrichtigung von Organisationen, wenn der Auftragnehmer Grund zu der Annahme hat, dass eine Datenschutzverletzung stattgefunden hat. Der Leitfaden weist insbesondere darauf hin, dass Auftragnehmer die betreffende Organisation ohne unangemessene Verzögerung über die Datenschutzverletzung benachrichtigen müssen, wobei hervorgehoben wird, dass die Organisation nach der Benachrichtigung eine Bewertung vornehmen muss, ob die Datenschutzverletzung meldepflichtig ist. Darüber hinaus wird in dem Leitfaden erläutert, dass die Organisation, wenn eine meldepflichtige Verletzung festgestellt wurde, den PDPC innerhalb von drei Tagen nach der Bewertung und jede betroffene Person in einer unter den Umständen angemessenen Weise benachrichtigen muss.

PDPC, 03.02.2021

Island: Persónuvernd veröffentlicht Leitfaden zu Sicherheitsverletzungen

Die isländische Datenschutzbehörde (Persónuvernd) veröffentlichte am 28. Januar 2021 eine Anleitung zu Sicherheitsverletzungen. Der Leitfaden enthält insbesondere konkrete Beispiele für Sicherheitsverletzungen, darunter solche, die unter anderem durch Ransomware, Hacking personenbezogener Daten, Sicherheitsfehler im Zusammenhang mit menschlichem Versagen sowie Sicherheitsverletzungen per E-Mail entstehen. Darüber hinaus enthält der Leitfaden Beispiele für Datenschutzverletzungen im Zusammenhang mit der Übermittlung von Informationen durch die Personalabteilung an Dritte, wie z. B. Namen und E-Mails von Bewerbern, und deckt auch den Diebstahl von Arbeitscomputern und Angriffe auf persönliche Konten von Geschäftsbanken ab.

Persónuvernd, 02.02.2021

Besuchen Sie uns auf folgenden Seiten:

https://www.k11-consulting.com/

https://www.k11-rechtsanwaelte.com/

https://www.deicke.net/

https://www.certnex.com/

https://www.datenschutz-spezialisten.com/

Verwandte Beiträge