Datenschutz News 13.05.2021

International: EU-Indien Konnektivitätspartnerschaft deutet Konvergenz der Datenschutzstandards an

Der Europäische Rat und das Büro des indischen Premierministers gaben am 8. Mai 2021 bekannt, dass die EU und Indien eine “Konnektivitätspartnerschaft” eingegangen sind. Die Partnerschaft wird insbesondere Initiativen zur Verbesserung der Konnektivität zwischen den beiden Regionen untersuchen, um digitale, Verkehrs- und Energienetze sowie den Verkehr von Menschen, Waren, Dienstleistungen, Daten und Kapital zu unterstützen. Noch wichtiger ist, dass die Partnerschaft darauf abzielt, die Konvergenz der regulatorischen Rahmenbedingungen zu verbessern und ein hohes Maß an Datenschutz zu gewährleisten, um einen sicheren grenzüberschreitenden Datenverkehr zu ermöglichen. Insbesondere erkennt die Partnerschaft an, dass dies mögliche Entscheidungen über die Angemessenheit von Daten beinhalten kann.

Europäische Rat, 10.05.2021

Luxemburg: CNPD startet zweite öffentliche Konsultation zu den GDPR-CARPA-Zertifizierungskriterien

Die luxemburgische Datenschutzbehörde (CNPD) hat am 6. Mai 2021 eine zweite öffentliche Konsultation zu ihren Akkreditierungsanforderungen für die auf der Grundlage der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) zertifizierten Verarbeitungstätigkeiten (GDPR-CARPA) eingeleitet, nachdem die erste öffentliche Konsultation im Jahr 2018 stattgefunden hatte. Insbesondere wies der CNPD darauf hin, dass der Europäische Datenschutzausschuss (EDPB) seither seine Arbeit vorangetrieben hat, um die Einführung von GDPR-Zertifizierungssystemen zu erleichtern, und dass der CNPD die GDPR-CARPA-Zertifizierungskriterien entsprechend aktualisiert hat. Darüber hinaus wies der CNPD darauf hin, dass die Annahme für Mitte 2021 geplant ist.

CNPD, 10.05.2021

Spanien: AEPD verhängt Geldstrafe von 1,5 Mio. € gegen EDP ENERGÍA wegen Verstößen gegen Sicherheit und Transparenz

Die spanische Datenschutzbehörde (AEPD) hat am 4. Mai 2021 ihre Entscheidung im Verfahren PS/00236/2020 veröffentlicht, in der sie zwei Geldbußen in Höhe von insgesamt 1,5 Millionen Euro gegen EDP ENERGÍA, SAU verhängt hat. Die Entscheidung folgt insbesondere auf verschiedene Beschwerden, die wegen der Verarbeitung personenbezogener Daten ohne Zustimmung eingegangen sind. Darüber hinaus wird in der Entscheidung ein Bußgeld in Höhe von 500.000 € verhängt, weil es versäumt wurde, technische und organisatorische Maßnahmen zu ergreifen und eine Einwilligung einzuholen, wenn die Verarbeitung durch einen Vertreter erfolgt, was einen Verstoß gegen Artikel 25 der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) (GDPR) darstellt. Darüber hinaus verhängte die AEPD eine weitere Strafe in Höhe von 1 Mio. €, weil die betroffenen Personen bei der Auftragsvergabe über verschiedene Dienstleister nicht ausreichend informiert wurden, was einen Verstoß gegen Artikel 13 der DSGVO darstellt. Darüber hinaus stufte die AEPD den Verstoß gegen Artikel 25 der DSGVO als schwerwiegend ein und nannte mehrere Faktoren, die eine größere Rechtswidrigkeit und/oder Schuld erkennen lassen, darunter die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der Verarbeitungen, die Fortdauer des Verstoßes und etwaige frühere Verstöße des Verantwortlichen.

AEPD, 05.05.2021

Norwegen: Datatilsynet benachrichtigt Ferde über NOK 5 Mio. Bußgeld für illegalen Datentransfer nach China

Die norwegische Datenschutzbehörde (Datatilsynet) gab am 6. Mai 2021 bekannt, dass sie Ferde AS über ihre Entscheidung informiert hat, ein Bußgeld in Höhe von 5.000.000 NOK (ca. 498.065 €) zu verhängen, weil das Unternehmen die personenbezogenen Daten von Autofahrern illegal an einen Datenverarbeiter in China übermittelt hat. In der Meldung wird insbesondere hervorgehoben, dass die Untersuchungen von Datatilsynet ergeben haben, dass Ferde keine Datenverarbeitungsvereinbarung gemäß Artikel 28 Absatz 3 der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) (DSGVO) hatte und es versäumt hat, vor der manuellen Verarbeitung von über 12 Millionen Bildern von Kfz-Kennzeichen eine Risikobewertung durchzuführen, was einen Verstoß gegen Artikel 32 der DSGVO darstellt. Darüber hinaus sieht die Meldung vor, dass die Untersuchung weiter ergab, dass Fedre keine angemessene Rechtsgrundlage für die Datenübermittlung nach China zwischen 2017 und 2019 hatte und somit gegen Artikel 44 der DSGVO verstieß. Schließlich wird in der Meldung klargestellt, dass es sich nicht um eine endgültige Entscheidung handelt und dass eine endgültige Entscheidung getroffen wird, sobald die Stellungnahmen von Ferde eingegangen sind. Die Frist für die Abgabe von Kommentaren ist der 4. Juni 2021.

Datatilsynet, 06.05.2021

Philippinen: Bureau of Inland Revenue kündigt Änderungen am AML Act an

Das Bureau of Inland Revenue (BIR) hat am 3. Mai 2021 eine Bekanntmachung herausgegeben, dass Änderungen des Anti-Geldwäsche-Gesetzes von 2001 (Republic Act Nr. 9160) verabschiedet worden sind. Die Änderungen zielen insbesondere darauf ab, die Anti-Geldwäsche-Gesetzgebung (AML) auf den Philippinen zu stärken, indem die Definitionen für erfasste Unternehmen und erfasste Transaktionen, die unter das Gesetz fallen, klarer definiert werden. Genauer gesagt, erweitern die Änderungen den Geltungsbereich des Gesetzes, um Offshore-Glücksspielbetreiber sowie deren Dienstleister einzuschließen. Noch wichtiger ist, dass die Änderungen den Anti-Geldwäsche-Rat (AMLC) und seine Mitarbeiter dazu verpflichten, die Informationssicherheit und die Vertraulichkeit der erhaltenen Informationen zu wahren, wobei ein Verstoß gegen diese Bestimmungen zu einer Gefängnisstrafe oder zu einem Bußgeld führen kann. Darüber hinaus ermächtigen die Änderungen den AMLC, Regeln für den Austausch und die Verbreitung von Informationen sowie für die Sicherheit und Vertraulichkeit dieser Informationen zu formulieren, wie z. B. Verfahren für die Handhabung, die Speicherung, den Schutz und den Zugriff auf diese Informationen.

BIR, 07.05.2021

Thailand: Vertagung des PDPA erhält königliche Zustimmung und wird in der Royal Gazette veröffentlicht

Die Royal Gazette of Thailand hat am 8. Mai 2021 das Dekret zur Verschiebung des Inkrafttretens des Personal Data Protection Act 2019 (PDPA) veröffentlicht. Die Verschiebung tritt insbesondere in Kraft, nachdem die thailändische Regierung und das Ministerium für digitale Wirtschaft und Gesellschaft aufgrund wachsender Bedenken hinsichtlich der Bereitschaft von Unternehmen, sich an das PDPA zu halten, und der Auswirkungen der COVID-19-Pandemie auf solche Unternehmen beraten haben.

Royal Gazette of Thailand, 10.05.2021

Besuchen Sie uns auf folgenden Seiten:

www.k11-consulting.com

www.k11-rechtsanwaelte.com

www.deicke.net

www.certnex.com

www.datenschutz-spezialisten.com

Verwandte Beiträge