Datenschutz News 08.07.2022

 

Russland: Änderungen des Gesetzes über personenbezogene Daten in dritter Lesung angenommen

Das Staatsparlament („Duma“) gab am 6. Juli 2022 bekannt, dass der Gesetzentwurf Nr. 101234-8 zur Änderung des Föderalen Gesetzes Nr. 152 vom 27. Juli 2006 über personenbezogene Daten (in seiner geänderten Fassung) („das geänderte Gesetz über personenbezogene Daten“) in dritter Lesung angenommen wurde. Die Duma hob insbesondere hervor, dass die Änderungen vorsehen, dass Datenbetreiber innerhalb von zehn bis 30 Tagen auf Anfragen von betroffenen Personen und zuständigen Behörden im Zusammenhang mit der unrechtmäßigen Verarbeitung personenbezogener Daten reagieren müssen. Im Einzelnen sieht das geänderte Gesetz über personenbezogene Daten vor, dass die Datenbetreiber die weitere Verarbeitung personenbezogener Daten auf Antrag der betroffenen Person innerhalb von 30 Tagen einstellen müssen.

Darüber hinaus sieht das geänderte Gesetz über personenbezogene Daten seine extraterritoriale Anwendung und die Möglichkeit des Eingreifens russischer Behörden bei der Verarbeitung personenbezogener Daten russischer Bürger auf dem Gebiet anderer Staaten vor. Ebenso wird im geänderten Gesetz über personenbezogene Daten darauf hingewiesen, dass Datenbetreiber die zuständigen Behörden über die Absicht einer grenzüberschreitenden Datenübermittlung informieren müssen und dass eine solche Datenübermittlung im Falle einer Bedrohung der Verteidigung, der Sicherheit und der verfassungsmäßigen Ordnung eingeschränkt werden kann.

Darüber hinaus sieht das geänderte Gesetz über personenbezogene Daten ein Verbot vor, russischen Bürgern Dienstleistungen zu verweigern, wenn sie sich weigern, ihre personenbezogenen Daten anzugeben, selbst wenn dies notwendig wäre, und fügt Einschränkungen für die Verarbeitung biometrischer Daten von Minderjährigen hinzu. Ebenso schreibt das geänderte Gesetz über personenbezogene Daten vor, dass personenbezogene Daten, die im Einheitlichen Staatlichen Immobilienregister (USRN) enthalten sind, nur mit Zustimmung der betroffenen Person und unter Anwendung des korrekten Verfahrens für den Zugang zu den im USRN enthaltenen Informationen an Dritte weitergegeben werden dürfen.

Das geänderte Gesetz über personenbezogene Daten tritt am 1. September 2022 in Kraft, mit Ausnahme der Bestimmungen, die ein separates Datum für ihr Inkrafttreten festlegen.

Duma, 07.07.2022

 

 

China: CAC veröffentlicht Maßnahmen zur Bewertung der Sicherheit von Datenexporten

Die chinesische Cyberspace-Verwaltung (CAC) hat am 7. Juli 2022 die Maßnahmen zur Sicherheitsbewertung von Datenexporten veröffentlicht. Die CAC hob insbesondere hervor, dass die Maßnahmen für Datenverarbeiter gelten, die Sicherheitsbewertungen für wichtige Daten und personenbezogene Informationen durchführen, die in der Volksrepublik China erhoben wurden und ins Ausland übermittelt werden sollen. Darüber hinaus wird in den Maßnahmen erläutert, dass die Sicherheitsbewertung für Datenexporte sowohl eine Vorabbewertung als auch eine kontinuierliche Überwachung umfasst, um Sicherheitsrisiken bei Datenexporten zu vermeiden. Konkret sehen die Maßnahmen vor, dass ein Datenverarbeiter, der Daten ins Ausland liefert, dem CAC über die Provinzabteilung für Cybersicherheit und Informationssicherheit eine Sicherheitsbewertung für den Datenexport vorlegen muss, wenn:

– der Datenverarbeiter wichtige Daten im Ausland bereitstellt;

– der Datenverarbeiter ein Betreiber kritischer Informationsinfrastrukturen ist und der Datenverarbeiter die personenbezogenen Daten von mehr als 1 Million Menschen verarbeitet;

– der Datenverarbeiter die persönlichen Daten von 100.000 Personen oder die sensiblen Daten von 10.000 Personen seit dem 1. Januar des Vorjahres verarbeitet; oder

– andere Situationen, in denen eine Sicherheitsbewertung für den Datenexport gemäß den Bestimmungen des CAC erforderlich ist.

Darüber hinaus wird in den Maßnahmen dargelegt, dass sich die Vorabbewertung eines Datenverarbeiters unter anderem auf die Verantwortlichkeiten und Verpflichtungen konzentrieren sollte, denen die Empfänger im Ausland unterliegen, auf das Risiko, dass Daten manipuliert, zerstört oder durchgesickert werden, und auf die Frage, ob in den Verträgen über den Datenexport die Verantwortung und die Verpflichtung zum Schutz der Datensicherheit vollständig festgelegt sind. Schließlich wird in den Maßnahmen darauf hingewiesen, dass ein Erklärungsformular, eine Selbsteinschätzung der Datenexportrisiken, zwischen dem Datenverarbeiter und den Empfängern im Ausland geschlossene Rechtsdokumente und andere erforderliche Unterlagen bei der Provinzabteilung für Cybersicherheit und Informatisierung eingereicht werden müssen.

Die Maßnahmen treten am 1. September 2022 in Kraft.

CAC, 07.07.2022

 

 

EU: Parlament und Rat erzielen vorläufige Einigung über erste EU-Vorschriften zur Rückverfolgung von Krypto-Vermögenstransfers

Das Europäische Parlament (Parlament“) gab am 29. Juni 2022 bekannt, dass es mit dem Rat der Europäischen Union (Rat“) eine vorläufige Einigung über einen neuen Gesetzentwurf erzielt hat, der die ersten EU-Vorschriften für die Rückverfolgung von Transfers von Krypto-Vermögenswerten wie Bitcoins und E-Geld-Tokens festlegen würde. Das Parlament erläuterte insbesondere, dass der Gesetzentwurf, der Teil des neuen EU-Pakets zur Bekämpfung der Geldwäsche ist, sicherstellen soll, dass Transfers von Krypto-Vermögenswerten zurückverfolgt und identifiziert werden können, um Geldwäsche, Terrorismusfinanzierung und andere Verbrechen zu verhindern. Konkret erklärte das Parlament unter anderem, dass das vorläufige Abkommen die so genannte „Reiseregel“ des traditionellen Finanzwesens auf den Transfer von Krypto-Vermögenswerten ausweitet, wobei es feststellte, dass eine solche Regel verlangt, dass Informationen über die Quelle des Vermögenswerts und seinen Empfänger mit der Transaktion reisen und auf beiden Seiten des Transfers gespeichert werden. Das Parlament betonte, dass im Hinblick auf den Schutz personenbezogener Daten, insbesondere von Namen und Adressen, die von der Reisevorschrift verlangt werden, solche Daten nicht übermittelt werden sollten, wenn es keine Garantie dafür gibt, dass die Privatsphäre auf der Empfängerseite gewahrt wird.

Unabhängig davon stellte das Parlament fest, dass die Reisevorschrift auch für Transaktionen von nicht gehosteten Wallets gilt, d.h. einer Kryptowährungs-Wallet-Adresse, die sich im Besitz eines privaten Nutzers befindet, wenn diese mit gehosteten Wallets interagieren, die von Kryptowährungsdienstleistern verwaltet werden. Darüber hinaus stellte das Parlament fest, dass die Reisevorschrift nicht für Überweisungen von Person zu Person gilt, die ohne einen Anbieter durchgeführt werden, wie z. B. Bitcoin-Handelsplattformen oder zwischen Anbietern, die in ihrem eigenen Namen handeln. Abschließend erklärte das Parlament, dass es nun mit dem Rat und der Kommission an den technischen Aspekten des Textes arbeitet.

EU, 07.07.2022