Datenschutz News 07.08.2020

Spanien: AEPD gibt Erklärung zur Erfassung personenbezogener Daten durch Unterhaltungseinrichtungen aufgrund des Coronavirus heraus

Die spanische Datenschutzbehörde (AEPD) gab am 31. Juli 2020 eine Erklärung ab, die sich mit der Erhebung personenbezogener Daten durch Unterhaltungseinrichtungen im Zusammenhang mit der Covid19-Pandemie befasst. Insbesondere vertrat die AEPD die Auffassung, dass persönliche Daten zwar gesammelt werden, um die Infektion mit dem Coronavirus zu verfolgen, dass diese Daten jedoch nicht als sensible persönliche Daten eingestuft werden. Darüber hinaus hob die AEPD hervor, dass, wenn die Einwilligung als rechtliche Grundlage für die Datenverarbeitung verwendet wird, Personen, die keine Einwilligung geben wollen, keine negativen Folgen, wie z.B. die Verhinderung der Einreise, auferlegt werden könnten. Darüber hinaus stellte die AEPD fest, dass eine obligatorische Verpflichtung zur Bereitstellung personenbezogener Daten auf einer rechtlichen Verpflichtung und Artikel 6 Absatz 1 Buchstabe e der Allgemeinen Datenschutzverordnung beruhen kann, da sie durch das öffentliche Interesse gerechtfertigt wäre. Darüber hinaus stellte die AEPD fest, dass die Gesundheitsbehörden beurteilen sollten, in welchen öffentlichen Räumen es notwendig ist, eine obligatorische Identifizierungspflicht vorzuschreiben, wobei sie berücksichtigen sollten, ob es moderatere Maßnahmen geben könne, und die Besonderheiten der Sphäre berücksichtigen und unter anderem Nachtclubs und Museen hervorheben sollten. Letztendlich vertrat die AEPD die Auffassung, dass der Grundsatz der Datenminimierung eingehalten werden müsse und dass es manchmal ausreichen könne, eine Telefonnummer zu erhalten, um eine Infektion zurückzuverfolgen. Die AEPD stellte fest, dass eine Identifizierung durch einen nationalen Personalausweis immer unnötig ist, da sie als unverhältnismäßig angesehen wird.

Aepd.es, 31.07.2020

International: ITA aktualisiert FAQs zum Thema Privacy Shield

Die International Trade Administration (ITA) des US-Handelsministeriums aktualisierte am 31. Juli 2020 ihre FAQs in Bezug auf den EU-U.S.-Rahmen für den Schutz der Privatsphäre (Privacy Shield) nach dem Urteil des Gerichtshofs der Europäischen Union in der Rechtssache Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems. Insbesondere stellte die ITA fest, dass das Urteil die Teilnehmer des Privacy Shield nicht von ihren Verpflichtungen aus dem Rahmenwerk entbindet und dass die USA weiterhin mit der EU zusammenarbeiten wollen, um die Kontinuität des transatlantischen Datenflusses und des Schutzes der Privatsphäre zu gewährleisten. Darüber hinaus hob die ITA hervor, dass die fortgesetzte Teilnahme am Privacy Shield ein ernsthaftes Engagement für den Schutz personenbezogener Daten beweist und dass sie das Programm weiterhin verwaltet, einschließlich der Bearbeitung von Einreichungen zur Selbstzertifizierung und Neuzertifizierung beim Privacy Shield und der Pflege der Privacy Shield-Liste.

Privacyshield.gov, 31.07.2020

EU: Kommission leitet Untersuchung der Übernahme von Fitbit durch Google ein

Die Europäische Kommission gab am 4. August 2020 bekannt, dass sie eine eingehende Untersuchung der geplanten Übernahme von Fitbit Inc. durch Google LLC eingeleitet hat. Insbesondere unterstrich die Kommission ihre Besorgnis, dass die geplante Transaktion die Marktposition von Google auf den Online-Werbemärkten weiter stärken wird, indem sie die Datenmenge erhöht, die Google für die Personalisierung der eingeblendeten Anzeigen verwenden könnte. Vor diesem Hintergrund stellte die Kommission fest, dass der Datenvorteil, den Google durch diese Transaktion erlangt, die Markteintritts- und Expansionsbarrieren für Googles Wettbewerber auf dem Online-Werbemarkt erhöhen würde. Darüber hinaus erklärte die Kommission, dass sie bis zum 9. Dezember 2020 90 Tage Zeit hat, um eine Entscheidung zu treffen.

Ec.europa.eu, 04.08.2020

USA: Walgreens benachrichtigt OCR über Datenschutzvorfall

Walgreens Co. informierte am 24. Juli 2020 das Büro für Bürgerrechte (OCR) des Department of Health and Human Services über einen Datenschutzvorfall, der 72.143 potenzielle Opfer betraf. Insbesondere in einem Benachrichtigungsschreiben über eine Datenverletzung, das dem kalifornischen Office of the Attorney General vorgelegt wurde, stellt Walgreens fest, dass am 15. Januar 2020 ein Fehler in der persönlichen Sicherheitsfunktion der mobilen App von Walgreens entdeckt wurde. Eine Untersuchung ergab, dass ein interner Anwendungsfehler es ermöglichte, dass bestimmte persönliche Nachrichten von Walgreens, die in einer Datenbank gespeichert sind, von anderen Kunden, die die mobile App von Walgreens nutzen, eingesehen werden können. Schließlich heißt es im Benachrichtigungsschreiben, dass die Untersuchung ergeben hat, dass die Informationen, die möglicherweise eingesehen wurden, Vor- und Nachnamen, die Nummer des Rezeptes und des Medikaments sowie die Nummer des Geschäftes umfassen.

OneTrust DataGuidance, 05.08.2020

Neuseeland: OPCNZ adressiert Datentransfers nach Schrems II

Das Büro des neuseeländischen Datenschutzbeauftragten (OPCNZ) veröffentlichte am 6. August 2020 einen Blog-Beitrag über internationale Datentransfers im Lichte des Urteils des Gerichtshofs der Europäischen Union (CJEU) in der Rechtssache Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems. Insbesondere hob das OPCNZ hervor, dass die Entscheidung im Fall Schrems II keine direkten Auswirkungen auf die Übermittlung personenbezogener Daten zwischen der EU und Neuseeland hat, da diese Übermittlungen auf der Grundlage der bestehenden Angemessenheitsentscheidung erfolgen, die seit 2012 in Kraft ist. Das OPCNZ merkte jedoch an, dass der Einfluss der Entscheidung auf internationale Datentransfers wahrscheinlich erheblich sein und sich auf den internationalen Rahmen für Datenflüsse auswirken wird. Darüber hinaus wies das OPCNZ darauf hin, dass es die Entscheidung im Fall Schrems II bei der Entwicklung von Mustervertragsklauseln im Rahmen des Privacy Act 2020 berücksichtigen werde, der neue Beschränkungen für internationale Transfers persönlicher Daten nach dem Datenschutzprinzip 12 enthält.

Privacy.org.nz, 06.08.2020

Deutschland: HmbBfDI fordert Bundesgesetzgeber auf den Zugriff der Strafverfolgungsbehörden auf Daten zu beschränken, welche zur Ermittlung von Kontaktpersonen für Corona-Zwecken gesammelt wurden

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) gab am 4. August 2020 eine Erklärung ab, in der der Bundesgesetzgeber aufgefordert wird, den Zugriff der Strafverfolgungsbehörden auf Daten zu beschränken, welche für die Ermittlung von Kontaktpersonen für COVID-19-Zwecke gesammelt wurden. Insbesondere stellte der HmbBfDI fest, dass die örtlichen Datenschutzbehörden im Allgemeinen nicht in der Lage sind, Fälle zu überwachen, in denen die massiven Datenmengen, die in der Reserve gespeichert sind, als Hilfsmittel bei der Erfüllung der Aufgaben der Strafverfolgungsbehörden verwendet werden, da es häufig an Wissen über die Fälle von Zweckänderungen mangelt. Darüber hinaus wies das HmbBfDI darauf hin, dass die Möglichkeit, dass die Strafverfolgungsbehörden diese Daten für ihre eigenen Zwecke nutzen, durch die Strafprozessordnung und das Bundesdatenschutzgesetz vom 30. Juni 2017 weitgehend unbeschränkt ist und dass eine entsprechende Datenverarbeitung, soweit sie zur Feststellung oder Ahndung von Straftaten oder Ordnungswidrigkeiten erfolgt, dem Grundsatz der Verhältnismäßigkeit entsprechen muss.

Datenschutz-hamburg.de, 04.08.2020

Verwandte Beiträge