Datenschutz News 06.11.2020

 

UK: ICO verurteilt Marriott zu einer Geldstrafe von £18,4 Millionen für Verstöße gegen Datensicherheit

Das Information Commissioner’s Office (“ICO”) gab am 30. Oktober 2020 seine Entscheidung bekannt, gegen Marriott International Inc. eine Geldbuße in Höhe von 18,4 Millionen £ zu verhängen, nachdem es eine Untersuchung eines Datenbruchs durchgeführt hatte, von dem weltweit mehr als 339 Millionen Gastdatensätze im Jahr 2014 betroffen waren, sowie die Ankündigung des ICO, Marriot eine Geldbuße in Höhe von 99,2 Millionen £ auferlegen zu wollen. Die Untersuchung der ICO ergab insbesondere, dass Marriott es versäumt hat, angemessene technische oder organisatorische Maßnahmen zum Schutz der auf seinen Systemen verarbeiteten personenbezogenen Daten zu ergreifen, wie dies in Art. 5 Abs. 1 lit. f und Art. 32 der GDPR gefordert wird. Darüber hinaus legte das ICO in seinem Bußgeldbescheid seine Erwägungen für die Berechnung der Geldbuße dar, die das Fehlen früherer Verstöße oder Versäumnisse seitens Marriott bei der Einhaltung früherer Bescheide sowie die Tatsache umfassten, dass Marriott bei seiner Untersuchung uneingeschränkt kooperierte und Schritte unternommen hatte, um die betroffenen Datensubjekte zu benachrichtigen. Des Weiteren hebt der Strafbescheid hervor, dass Marriott unter anderem vorbrachte, dass die ICO die unangemessene Bußgeldstufe nach der GDPR angewandt habe, dass die ICO bei der Berechnung der vorgeschlagenen Strafe auf den Umsatz angewiesen sei und dass die vorgeschlagene Strafe im Widerspruch zu früheren Maßnahmen in Bezug auf “gleichwertige” Verstöße der ICO und anderer EU-Aufsichtsbehörden stehe, was dem erklärten Ziel der GDPR, ein harmonisiertes System zu schaffen, zuwiderlaufe.

ICO, 30.10.2020

Neuseeland: Privacy Act Codes of Practice veröffentlicht im Gazette

Die Verhaltenskodizes des Privacy Act wurden am 2. November 2020 im neuseeländischen Amtsblatt „Gazette“ veröffentlicht. Insbesondere der Health Information Privacy Code 2020, der Justice Sector Unique Identifier Code 2020, der Credit Reporting Privacy Code 2020, der Superannuation Schemes Unique Identifier Code 2020, der Telecommunications Information Privacy Code 2020 und der Civil Defence National Emergencies Code 2020 wurden aktualisiert, um sie mit den durch das Privacy Act 2020 eingeführten Änderungen der Datenerhebungsregeln, der grenzüberschreitenden Offenlegung und der Unique Identifiers in Einklang zu bringen.

Gazette, 02.11.2020

Spanien: AEPD billigt Verhaltenskodex für Werbung

Die spanische Datenschutzbehörde (“AEPD”) hat am 3. November 2020 den von der Vereinigung zur Selbstregulierung der kommerziellen Kommunikation (“AUTOCONTROL”) vorgelegten Verhaltenskodex für die Datenverarbeitung in der Werbung angenommen. Damit ist dies der erste Verhaltenskodex, den die AEPD im Rahmen der allgemeinen GDPR genehmigt hat. Insbesondere stellte die AEPD fest, dass der Verhaltenskodex darauf abzielt, ein außergerichtliches System zur Bearbeitung von Ansprüchen auf Datenschutz und Werbung einzurichten, das für die Verbraucher wirksam und kostenlos ist. Darüber hinaus stellte die AEPD fest, dass der GDPR festlegt, dass die Kontrollbehörden die Entwicklung von Verhaltenskodizes fördern werden, die zur korrekten Anwendung des GDPR beitragen sollen, wobei die spezifischen Merkmale der verschiedenen Sektoren und die spezifischen Bedürfnisse von Kleinst-, Klein- und Mittelunternehmen berücksichtigt werden sollen.

AEPD, 04.11.2020

Kalifornien: CPRA auf dem Weg zur Verabschiedung mit der Mehrheit der ausgezählten Stimmen

Der California Privacy Rights Act of 2020 (“CPRA”) oder Proposition 24 der kalifornischen Parlamentswahlen wurde am 04. November mit 56% der Stimmen gebilligt. Insbesondere wird das CPRA den California Consumer Privacy Act of 2018 (“CCPA”) ändern und die Unternehmen dazu verpflichten:

  • die persönlichen Daten eines Verbrauchers auf dessen Wunsch nicht weiterzugeben;
  • Verbrauchern eine Opt-out-Option für die Nutzung oder Offenlegung ihrer sensiblen persönlichen Daten, wie sie im Gesetz definiert sind, zu Werbe- oder Marketingzwecken anzubieten;
  • die Erlaubnis einzuholen, bevor sie Daten von Verbrauchern sammeln, die jünger als 16 Jahre sind;
  • die Erlaubnis eines Elternteils oder Erziehungsberechtigten einholen, bevor Daten von Verbrauchern gesammelt werden, die jünger als 13 Jahre sind; und
  • die unrichtigen persönlichen Daten eines Verbrauchers auf dessen Wunsch zu korrigieren.

Das CPRA wird am 1. Januar 2023 in Kraft treten und nur für persönliche Informationen gelten, die nach dem 1. Januar 2022 gesammelt werden.

Caprivacy, 04.11.2020

EU: Präsidentschaft veröffentlicht überarbeiteten Entwurf der ePrivacy Verordnung

Der Vorsitz des Rates der Europäischen Union veröffentlichte am 4. November 2020 ihren überarbeiteten Text des Verordnungsvorschlags über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über den Schutz der Privatsphäre in der elektronischen Kommunikation). Insbesondere stellt der Entwurf der Verordnung über den Schutz der Privatsphäre in der elektronischen Kommunikation fest, dass die eingeführten Änderungen gegenüber dem Kompromissvorschlag des kroatischen Vorsitzes vom 6. März 2020 darstellen. Darüber hinaus und in Bezug auf die Datenspeicherung wurden Art. 6 Abs. 1 lit. d und Art. 7 Abs. 4 des früheren Entwurfs der Datenschutzverordnung für elektronische Kommunikation im Hinblick auf die Urteile des Gerichtshofs der Europäischen Union (“CJEU”) in der Rechtssache C-623/17 gestrichen. Dies gilt auch für Privacy International, und in den verbundenen Rechtssachen C-511/18, La Quadrature du Net, C-512/18, French Data Network und  C-520/18, Ordre des barreaux francophones et germanophone. Der Entwurf zum Datenschutz in der ePrivacy Verordnung wird von der  Arbeitsgruppe für Telekommunikation und Informationsgesellschaft am 11. November 2020 weiter diskutiert.

Council of the European Union, 05.11.2020

Singapur: Parlament verabschiedet Änderungen zu PDPA und Spam-Kontrollgesetz

Das Ministerium für Kommunikation und Information (“MCI”) gab am 2. November 2020 bekannt, dass das Parlament von Singapur die vorgeschlagenen Änderungen des Personal Data Protection Act (Nr. 26 von 2012) (“PDPA”) und des Spam Control Act 2007 verabschiedet hat. Das MCI hob insbesondere hervor, dass die Änderungen darauf abzielen, das PDPA besser an internationale Best Practices und globale Rahmenbedingungen anzupassen.

Zu den wichtigsten Änderungen gehören die folgenden:

  • Einführung eines Verantwortlichkeitsprinzips, um das Vertrauen der Verbraucher zu stärken;
  • obligatorische Bestimmungen zur Meldung von Datenverletzungen;
  • erweiterte Durchsetzungsbefugnisse für die Kommission für den Schutz personenbezogener Daten;
  • höhere finanzielle Höchststrafen von bis zu 10% des Jahresumsatzes einer Organisation in Singapur oder 1 Million SGD (ca. 626.220 €), je nachdem, welcher Betrag höher ist;
  • Verpflichtung zur Datenübertragbarkeit, die es Einzelpersonen ermöglicht, die Übermittlung einer Kopie ihrer persönlichen Daten an eine andere Organisation zu beantragen;
  • verbesserte Kontrollen für kommerzielle Kommunikation durch Änderungen sowohl des PDPA als auch des Spam-Kontrollgesetzes;
  • Erweiterung für vertragliche Leistungen; und
  • legitimes Interesse als Ausnahme von der Zustimmung.

Die vorgeschlagenen Änderungen treten mit ihrer Unterzeichnung und Veröffentlichung im Amtsblatt in Kraft.

MCI, 05.11.2020

Verwandte Beiträge