Datenschutz News 15.01.2021

EU: EDPB startet Konsultation zur Einschränkung der Rechte von Datensubjekten

Der Europäische Datenschutzausschuss (EDSB) hat am 18. Dezember 2020 die Leitlinien für die Einschränkung der Rechte der betroffenen Person gemäß Artikel 23 der Datenschutz-Grundverordnung (DSGVO) veröffentlicht und eine öffentliche Konsultation dazu eingeleitet. Die Leitlinien befassen sich insbesondere mit den Gründen für die Einschränkung der Rechte der betroffenen Person, darunter die nationale Sicherheit und die öffentliche Verteidigung, Ziele des allgemeinen öffentlichen Interesses und die Verhütung, Untersuchung, Aufdeckung und Verfolgung von Verstößen gegen die Berufsethik bei reglementierten Berufen. Darüber hinaus befassen sich die Leitlinien mit den Anforderungen, die Einschränkungen der Rechte der betroffenen Person gemäß Artikel 23 der DSGVO erfüllen müssen, wie z. B. die Notwendigkeit, in den Rechtsvorschriften die Kategorien personenbezogener Daten zu spezifizieren, die von Einschränkungen der Rechte der betroffenen Person betroffen sind. Schließlich werden in den Leitlinien die Befugnisse der Europäischen Kommission dargelegt, um zu überwachen, ob die nationalen Rechtsvorschriften mit den Anforderungen von Artikel 23 der DSGVO übereinstimmen, sowie die Durchsetzungsbefugnisse der nationalen Aufsichtsbehörden in Fällen, in denen der für die Verarbeitung Verantwortliche gegen diese Maßnahmen verstößt. Die Leitlinien sind bis zum 12. Februar 2021 zur Konsultation freigegeben.

EDSB, 21.12.2020

Südkorea: PIPC kündigt Konsultation zu PIPA-Änderungen an und führt Recht auf Datenübermittlung ein

Das Personal Information Protection Committee (PIPC) gab am 23. Dezember 2020 seine Bekanntmachung zur Überarbeitung des Personal Information Protection Act 2011 (PIPA) bekannt. Insbesondere stellte das PIPC klar, dass die Überarbeitung des PIPAs der weiteren Angleichung der Datenschutzvorschriften Südkoreas an die EU dient, um einen Angemessenheitsbeschluss zu erhalten. Darüber hinaus wies das PIPC darauf hin, dass die wichtigsten Änderungen, die im Rahmen der Bekanntmachung erwartet werden, das Recht, die Übermittlung von gesammelten personenbezogenen Daten zu verlangen, Überarbeitungen des Anwendungsbereichs beim Umgang mit pseudoanonymisierten Daten in besonderen Fällen, die Überarbeitung der Ermittlungs-, Durchsetzungs- und Sanktionsbefugnisse sowie zusätzliche Definitionen und Klarstellungen zum PIPA umfassen. Der PIPC wird seine Konsultationsphase am 11. Januar 2021 abschließen, die Stellungnahmen werden an aptom@korea.kr gesendet.

PIPC, 23.12.2020

UK: ICO veröffentlicht Erklärung zur verlängerten Frist für persönliche Datenflüsse

Das Information Commissioner’s Office (ICO) veröffentlichte am 28. Dezember 2020 eine Erklärung zum verlängerten Zeitraum für den Fluss personenbezogener Daten als Reaktion auf die Ankündigung der britischen Regierung, dass der mit der EU vereinbarte Vertrag den freien Fluss personenbezogener Daten aus der EU und dem EWR in das Vereinigte Königreich bis zur Annahme von Angemessenheitsbeschlüssen für höchstens sechs Monate ermöglichen wird. Das ICO wies insbesondere darauf hin, dass dies es Unternehmen und öffentlichen Einrichtungen in allen Sektoren ermöglichen wird, weiterhin ungehindert Daten aus der EU und dem EWR zu erhalten, einschließlich Strafverfolgungsbehörden. Darüber hinaus empfahl das ICO britischen Unternehmen, vor und während dieses Zeitraums mit EU- und EWR-Organisationen, die ihnen personenbezogene Daten übermitteln, zusammenzuarbeiten, um alternative Übermittlungsmechanismen einzurichten und sich gegen eine Unterbrechung des freien Flusses personenbezogener Daten von der EU ins Vereinigte Königreich abzusichern. Abschließend weist das ICO noch einmal darauf hin, dass das Vereinigte Königreich die EU- und EWR-EFTA-Staaten übergangsweise für angemessen hält, um Datenströme aus dem Vereinigten Königreich zuzulassen.

ICO, 29.12.2020

Japan: PPC veröffentlicht Regelungsentwurf zur teilweisen Überarbeitung der Meldung von Datenschutzverletzungen bei bestimmten personenbezogenen Daten

Die Kommission für den Schutz personenbezogener Daten (PPC) veröffentlichte am 25. Dezember 2020 den Entwurf einer Vorschrift zur teilweisen Überarbeitung der Pflichten zur Meldung von Datenschutzverletzungen bei bestimmten personenbezogenen Daten und anderen schwerwiegenden Situationen im Zusammenhang mit der Sicherheit bestimmter personenbezogener Daten. Die Änderungen betreffen insbesondere die Festlegung von Fristen für die Meldung von Datenschutzverletzungen, Benachrichtigungspflichten von Versendern und Empfängern sowie neue Benachrichtigungspflichten für Auftraggeber.

PPC, 29.12.2020

International: OECD veröffentlicht Bericht über Trends und Herausforderungen der Datenlokalisierung

Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) veröffentlichte am 22. Dezember 2020 einen Bericht über Datenlokalisierungstrends und -herausforderungen, der zur Überprüfung der Umsetzung der OECD-Datenschutzrichtlinien beitragen soll. Insbesondere stellte die OECD fest, dass sich der Bericht auf die Datenlokalisierung im Kontext des Datenschutzes sowie der Governance globalisierter Datenströme konzentriert und eine Definition für die Datenlokalisierung vorschlägt, einen Fahrplan skizziert, um sicherzustellen, dass die Datenlokalisierung grenzüberschreitende Datenströme nicht behindert, und Empfehlungen zur Unterstützung dieser Arbeit ausspricht, wobei die Relevanz des Grundsatzes der Rechenschaftspflicht und des in den OECD-Datenschutzleitlinien formulierten Verhältnismäßigkeitstests bei der Bewertung von Datenlokalisierungsmaßnahmen hervorgehoben wird. Insbesondere betont der Bericht die Notwendigkeit anzuerkennen, dass Datenlokalisierung das Potenzial hat, grenzüberschreitende Datenflüsse direkt und signifikant zu beeinflussen, weist aber darauf hin, dass im Allgemeinen die Bedingungen, die Datenschutzgesetze traditionell für grenzüberschreitende Datentransfers vorsehen, nicht notwendigerweise auf Maßnahmen zur Datenlokalisierung hinauslaufen. Darüber hinaus wies die OECD darauf hin, dass der Bericht nicht die offiziellen Ansichten der OECD oder ihrer Mitgliedsländer wiedergibt, sondern die des Autors.

OECD, 30.12.2020

Frankreich: CNIL veröffentlicht Leitfaden zur Datenerhebung im Rahmen der COVID-19-Impfung

Die französische Datenschutzbehörde (CNIL) hat am 30. Dezember 2020 einen Leitfaden zur Datenerhebung im Rahmen der COVID-19-Impfung veröffentlicht, nachdem der Entwurf eines Erlasses des Ministers für Solidarität und Gesundheit die Verarbeitung personenbezogener Daten im Zusammenhang mit der Verwaltung und Überwachung der Impfungen gegen COVID-19 unter der gemeinsamen Verantwortung der Generaldirektion für Gesundheit und der Nationalen Krankenkasse genehmigt hat. Der Leitfaden hebt insbesondere hervor, dass im Rahmen dieser Verarbeitung die personenbezogenen Daten von Personen, die zur Impfung eingeladen werden, nur zum Zweck der COVID-19-Impfkampagne, der Überwachung der Lieferung von Impfstoffen und Spritzen sowie der Durchführung von Pharmakovigilanz und Forschung erhoben werden dürfen. Darüber hinaus wird in dem Leitfaden unter anderem dargelegt, wer Zugriff auf die Daten haben wird, welche Aufbewahrungsfristen für die Daten gelten und welche Rechte für die Betroffenen gelten.

CNIL, 31.12.2020

Großbritannien: High Court entscheidet, dass Sicherheits- und Geheimdienste keine allgemeinen Haftbefehle mehr für Computer-Hacking verwenden dürfen

Der britische High Court veröffentlichte am 8. Januar 2021 sein Urteil in der Rechtssache Privacy International gegen Investigatory Powers Tribunal [2021] EWHC 27 (Admin), in dem er das Urteil des Investigatory Powers Tribunal aufhob und entschied, dass Section 5 des Intelligence Services Act 1994 die Ausstellung allgemeiner Durchsuchungsbefehle zur Genehmigung von Eingriffen in das Eigentum und bestimmte Formen der Ausnutzung von Computernetzwerken, umgangssprachlich als Computer-Hacking bekannt, nicht erlaubt. Der High Court bezog sich insbesondere auf Fälle aus dem 18. Jahrhundert und wies darauf hin, dass das Gewohnheitsrecht seit langem darauf besteht, dass die Regierung private Räumlichkeiten nicht ohne rechtmäßige Befugnis durchsuchen darf, auch nicht im Zusammenhang mit der nationalen Sicherheit, und da allgemeine Durchsuchungsbefehle für Hunderte, Tausende oder sogar Millionen von Menschen gelten könnten, verletzen sie das Recht des Einzelnen, sich zu weigern, sein Eigentum ohne rechtmäßige Befugnis durchsuchen zu lassen, und sind daher illegal.

Britische High Court, 11.01.2021

Südkorea: PIPC veröffentlicht endgültigen Entwurf der PIPA-Änderungen zur öffentlichen Konsultation

Das Personal Information Protection Committee (PIPC) hat am 6. Januar 2021 den endgültigen Entwurf der Änderungen des Personal Information Protection Act 2011 (PIPA) zur öffentlichen Konsultation veröffentlicht. Der PIPC veröffentlichte den endgültigen Entwurf zusammen mit einer Analyse der regulatorischen Auswirkungen im Anschluss an die erste Konsultationsphase, in der die Gründe für die Änderungen erläutert und die Notwendigkeit der Angleichung an internationale Standards und die Erreichung der EU-Angemessenheit angeführt werden. Darüber hinaus enthält der endgültige Entwurf unter anderem die Einführung des Rechts auf Datenportabilität für Betroffene, Klarstellungen zur Regulierung der Nutzung und Verarbeitung personenbezogener Daten bei Offline-Aktivitäten, die Angleichung der Datenschutzregulierung und Compliance für CCTV und Videoüberwachung sowie die Verschärfung der Anforderungen an Datentransfers außerhalb von Südkorea. Die Konsultationsfrist für den endgültigen Entwurf läuft bis zum 16. Februar 2021, Stellungnahmen können eingereicht werden an: mjkoo99@korea.kr.

PIPC, 07.01.2021

USA: FTC schlägt Vergleich mit Everalbum wegen des Vorwurfs der Nutzung von Gesichtserkennungstechnologie ohne Zustimmung vor

Die Federal Trade Commission (FTC) kündigte am 11. Januar 2021 einen Vergleichsvorschlag mit Everalbum Inc. an, nachdem der Vorwurf erhoben worden war, dass das Unternehmen die Verbraucher über die Verwendung von Gesichtserkennungstechnologie und die Speicherung von Fotos und Videos von Nutzern, die ihre Konten in der “Ever”-App deaktiviert hatten, getäuscht hatte, die es den Nutzern ermöglichte, Fotos und Videos hochzuladen, um sie im cloudbasierten Speicher von Everalbum zu speichern und zu organisieren. Insbesondere hob die FTC hervor, dass Everalbum die Gesichtserkennung standardmäßig in seiner “Freunde”-Funktion in der App aktiviert hat, obwohl das Unternehmen zuvor erklärt hatte, dass es die Funktion nicht aktivieren würde, wenn die Nutzer sich aktiv für die Aktivierung der Funktion entscheiden. Darüber hinaus verlangt der vorgeschlagene Vergleich, dass Everalbum die ausdrückliche Zustimmung der Verbraucher einholt, bevor die Gesichtserkennungstechnologie auf deren Fotos und Videos verwendet wird. Darüber hinaus verlangt der Vergleich, dass Everalbum die Fotos und Videos von Nutzern löscht, die ihr Konto deaktiviert haben, da das Unternehmen den Nutzern versprochen hatte, die Fotos und Videos von Nutzern zu löschen, die ihre Konten deaktiviert haben, was Everalbum nach Ansicht der FTC jedoch nicht getan hat. Schließlich stellte die FTC fest, dass der vorgeschlagene Vergleich Everalbum dazu verpflichtet, alle Gesichtserkennungsmodelle oder -algorithmen zu löschen, die mit den Fotos und Videos der Ever-Nutzer entwickelt wurden. FTC-Kommissar Rohit Chopra veröffentlichte eine zusätzliche Erklärung zu dem vorgeschlagenen Vergleich, in der er die Bedeutung des Vergleichs im Hinblick auf eine Änderung der Durchsetzungsstrategie der FTC hervorhob. Chopra merkte insbesondere an: “Die vorgeschlagene Anordnung der FTC verlangt, dass Everalbum die Früchte seines Betrugs einbüßt […] Die Kommissare haben zuvor dafür gestimmt, dass Datenschutzrechtsverletzer Algorithmen und Technologien behalten dürfen, die einen Großteil ihres Wertes aus unrechtmäßig erworbenen Daten ableiten. Dies ist eine wichtige Kurskorrektur.”

FTC, 12.01.2021

Indonesien: Bank Indonesia erlässt neue Verordnung zum Verbraucherschutz

Die Bank Indonesia (BI) gab am 5. Januar 2021 bekannt, dass sie eine neue Verordnung zum Verbraucherschutz erlassen hat, die u. a. für Betreiber von Zahlungssystemen und Geldmarktgeschäfte gilt. Insbesondere hob die BI hervor, dass die Verordnung darauf abzielt, die Kernprinzipien des Verbraucherschutzes zu verbessern, Meldeverfahren zu klären und die Aufsichtsfunktion der BI bei der Verhaltensüberwachung, der Aufklärung über den Verbraucherschutz und der Bearbeitung von Beschwerden zu stärken. Im Einzelnen stellte BI fest, dass der Schutz von Verbraucherdaten ein Schlüsselprinzip der Verordnung ist. Zu diesem Zweck erlegt die Verordnung den beaufsichtigten Unternehmen mehrere Verpflichtungen auf, darunter die Gewährleistung von Datengenauigkeit, Vertraulichkeit und Sicherheit. Darüber hinaus ist es diesen Unternehmen untersagt, Kundendaten weiterzugeben, es sei denn, der Kunde hat dem schriftlich zugestimmt.

BI, 05.01.2021

Verwandte Beiträge