Datenschutz News 11.09.2020

Deutschland: LfDI Baden-Württemberg gibt FAQs zur Controller-Prozessor-Anleitung des EDPB heraus

Die baden-württembergische Datenschutzbehörde (LfDI Baden-Württemberg) veröffentlichte am 8. September 2020 ihre häufig gestellten Fragen (FAQs) zum neuen Leitfaden für die für die Verarbeitung Verantwortlichen des Europäischen Datenschutzrates (EDPB). In den FAQs werden insbesondere die Definitionen von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern, die Zuständigkeiten der gemeinsam für die Verarbeitung Verantwortlichen und der Einsatz von Unterauftragsverarbeitern erläutert. Darüber hinaus hob das LfDI Baden-Württemberg hervor, dass es nicht notwendig ist, dass ein für die Verarbeitung Verantwortlicher Zugang zu allen Daten hat, damit er für die Verarbeitung verantwortlich ist. Darüber hinaus wies das LfDI Baden-Württemberg in Bezug auf die gemeinsamen Verantwortlichkeiten der für die Verarbeitung Verantwortlichen darauf hin, dass bei der „Kettenverarbeitung”, wenn verschiedene Akteure nacheinander dieselben personenbezogenen Daten verarbeiten, wenn jeder dieser Akteure in seinem Teil der Kette unabhängige Zwecke verfolgt und unabhängige Mittel einsetzt, keine gemeinsame Verantwortung besteht, sondern die Akteure aufeinanderfolgende, voneinander unabhängige für die Verarbeitung Verantwortliche sind. Darüber hinaus hat das LfDI Baden-Württemberg festgelegt, dass in Vertragsklauseln dargestellt werden kann, wer die Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung hat. Das LfDI Baden-Württemberg präzisierte jedoch, dass ein Vertrag es den Parteien nicht erlauben darf, den für die Verarbeitung Verantwortlichen nach eigenem Ermessen Rollen zuzuweisen, und hob hervor, dass die tatsächlichen Rollen im Vertrag widergespiegelt werden müssen und entscheidend für die Festlegung der Verantwortung sind und dass ein für die Verarbeitung Verantwortlicher sich der Verantwortung nicht dadurch entziehen kann, dass er den Vertrag einfach auf eine bestimmte Art und Weise formuliert, wenn dies nicht die tatsächlichen Umstände der Verarbeitung widerspiegelt.

LfDl-Baden.Württemberg, 09.09.2020

EU: NOYB fordert DPC auf, die Datentransfers von Facebook vollständig zu untersuchen

The None of your business – European Center for Digital Rights (NOYB) gab am 9. September 2020 bekannt, dass die irische Datenschutzbehörde (DPC) mit Schreiben vom 31. August 2020 (DPC-Brief) mitgeteilt hat, dass sie beschlossen hat, das laufende Beschwerdeverfahren gegen Facebook Ireland Limited, das von Maximilian Schrems im Jahr 2013 eingeleitet wurde, zu unterbrechen, und dass die DPC eine neue Untersuchung über das Vertrauen von Facebook Irland in Standardvertragsklauseln (SCCs) einleiten wird. Insbesondere erklärte NOYB, dass die neue Untersuchung unabhängig von dem Beschwerdeverfahren sein werde, das zum Urteil des Gerichtshofs der Europäischen Union (CJEU) im Fall Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems führte. Darüber hinaus gab NOYB einen Briefwechsel mit Facebook Irland heraus, in dem die rechtliche Vertretung von Facebook Irland mit Schreiben vom 19. August 2020 erklärte: „Was ist unsere rechtliche Grundlage für die Datenverarbeitung?“ Abschnitt der Datenrichtlinie von Facebook Irland und der Informationsseite zur rechtlichen Grundlage unter anderem anmerkt, dass eine der Kerndatenverwendungen, die zur Bereitstellung der vertraglichen Dienstleistungen von Facebook erforderlich sind, darin besteht, Ihre Daten außerhalb des EWR zu übertragen, zu übermitteln, zu speichern oder zu verarbeiten, einschließlich innerhalb der Vereinigten Staaten und anderer Länder. Angesichts dieser Ereignisse gab NOYB bekannt, dass es am 9. September 2020 einen Brief an das DPC geschickt habe, in dem es behauptete, dass der Umfang der neuen Untersuchung des DPC unzureichend sei, da Facebook Irland auch Artikel 49 des GDPR als Grundlage für Datenübertragungen verwenden würde. Darüber hinaus erklärte NOYB, dass das DPC gegen einen Gerichtsbeschluss des Irish High Court verstoße, indem es das ursprüngliche Beschwerdeverfahren pausiere, und dass sich die zweite Untersuchung nur mit einer Teilfrage der ursprünglichen Beschwerde befassen werde. Schließlich kündigte NOYB an, dass es das DPC über seine Pläne informiert habe, eine einstweilige Verfügung einzureichen, um sicherzustellen, dass das DPC im Rahmen des laufenden Beschwerdeverfahrens gegen alle angeblichen Rechtsgrundlagen vorgeht, auf die sich Facebook Irland für Datentransfers beruft, einschließlich Artikel 46 und Artikel 49 des GDPR.

The None of your business – European Center for Digital Rights, 10.09.2020

 

USA: Gericht entscheidet, dass die Telefonüberwachung durch die NSA illegal war

Der United States Court of Appeals for the Ninth Circuit entschied am 2. September 2020 in der Rechtssache Vereinigte Staaten gegen Moalin, dass das Programm der National Security Agency (“NSA”), das Millionen von Telefonaufzeichnungen der Amerikaner sammelte, illegal war. Das Gericht hob insbesondere hervor, dass die Sammlung der Telefonie-Metadaten durch die NSA gegen den Foreign Intelligence Surveillance Act von 1978 verstieß und dass die Möglichkeit, die gesammelten Telefonie-Metadaten von Millionen von Amerikanern zusammenzufassen und zu analysieren, die Sammlung der Metadaten des wegen Geldwäsche und Terrorismusfinanzierung verurteilten Angeklagten noch aufschlussreicher macht. Darüber hinaus stellte das Gericht fest, dass die Erhebungspraktiken “möglicherweise” zusätzlich gegen den Vierten Verfassungszusatz verstoßen haben. Das Gericht bestätigte jedoch die Verurteilung des Angeklagten und stellte fest, dass die Sammlung von Telefon-Metadaten in diesem Fall im Vergleich zur Verwendung aufgezeichneter Anrufe durch die Regierung geringfügig war.

The United States Court of Appeals for the Ninth Circuit, 07.09.2020

Washington: Senator sucht öffentliche Stellungnahme zum Gesetzentwurf für Washington Privacy Act

Reuven Carlyle, Senator des US-Bundesstaates Washington, gab am 9. September 2020 auf Twitter bekannt, dass der Gesetzesentwurf für das Washingtoner Datenschutzgesetz 2021 (die Gesetzesvorlage) nun für öffentliche Kommentare und Rückmeldungen zur Verfügung steht. Insbesondere wird der Gesetzentwurf für juristische Personen gelten, die Geschäfte mit Einwohnern von Washington betreiben und persönliche Daten von mehr als 100.000 Verbrauchern während eines Kalenderjahres kontrollieren oder verarbeiten oder mehr als 25% der Bruttoeinnahmen aus dem Verkauf persönlicher Daten erzielen und die persönlichen Daten von mehr als 25.000 Verbrauchern verarbeiten oder kontrollieren. Darüber hinaus deckt der Gesetzentwurf die Verwaltung von persönlichen Verbraucherdaten durch den privaten Sektor und die Verwaltung von Daten, die für einen Notfall im Bereich der öffentlichen Gesundheit verarbeitet werden, sowohl im privaten als auch im öffentlichen Sektor ab. Darüber hinaus würde der Gesetzentwurf Verbraucherrechte wie Zugang, Berichtigung, Löschung und Übertragbarkeit von Daten sowie die Verantwortlichkeiten der Kontrolleure u.a. in Bezug auf Transparenz, sensible Daten und Datenminimierung festlegen.

Reuven Carlyle, Senator des US-Bundesstaates Washington, 10.09.2020

Kanada: OPC-Kommissar drängt auf Rechtsrahmen mit Privatsphäre als Grundrecht

Das Büro des kanadischen Datenschutzbeauftragten (Office of the Privacy Commissioner of Canada (OPC) veröffentlichte am 8. September 2020 eine Stellungnahme des Datenschutzbeauftragten Daniel Therrien über den Wert von Daten, Privatsphäre und Schutz der Privatsphäre angesichts der zunehmenden Digitalisierung im Zuge der COVID-19. Insbesondere skizziert Therrien den Einsatz von Initiativen zur Förderung datengesteuerter Entscheidungsfindung, des verstärkten Datenaustauschs und der besseren Zugänglichkeit von Daten und drängt auf Überlegungen, die die Privatsphäre und die Grundrechte respektieren, wobei er insbesondere auf Videokonferenzen, telemedizinische Plattformen und künstliche Intelligenz verweist. Darüber hinaus hebt Therrien die vorgeschlagenen Reformen der kanadischen Datenschutzgesetzgebung hervor, durch die die Privatsphäre formell als ein grundlegendes Menschenrecht anerkannt würde. Darüber hinaus fordert Therrien ein Gleichgewicht zwischen der Nutzung persönlicher Informationen im öffentlichen Interesse, einer verantwortungsvollen Verarbeitung und der besonderen Beachtung sensibler Daten. Schließlich drängt Therrien abschließend auf die Schaffung eines Rechtsrahmens, der es den Technologien ermöglicht, Vorteile im öffentlichen Interesse zu erzielen und gleichzeitig unser Grundrecht auf Privatsphäre zu wahren.

Office of the Privacy Commissioner of Canada, 09.09.2020

Verwandte Beiträge