Datenschutz News 18.09.2020

Deutschland: DSK stellt regelmäßig mangelnde Eignung und Notwendigkeit von Temperaturkontrollen fest

Die Deutsche Datenschutzkonferenz (DSK) veröffentlichte am 10. September 2020 ihre Resolution zum Einsatz von Thermografie Kameras und elektronischer Temperaturmessung im Zusammenhang mit der Pandemie COVID-19. Insbesondere stellte die DSK fest, dass aufgrund der Tatsache, dass eine spezifisch erhöhte Temperatur ein Anzeichen für eine Corona Virus-Infektion sein kann, berührungslose elektronische Temperaturmessungen durch Infrarot zunehmend als Mittel zur Steuerung des Zutritts zu ehemals öffentlichen Räumen wie Flughäfen, Geschäften, Büros von Behörden oder Arbeitsplätzen eingesetzt werden. Darüber hinaus stellte die DSK fest, dass Temperaturmessungen regelmäßig als Verarbeitung personenbezogener Daten zu qualifizieren sind und dass solche Maßnahmen in öffentlichen Räumen grundsätzlich auf einem öffentlichen und berechtigten Interesse beruhen können, wie es in Artikel 6 Absatz 1 und Artikel 6 Absatz 1 der Allgemeinen Datenschutzverordnung in Verbindung mit Artikel 9 Absatz 2 der GDPR vorgesehen ist, und dass für Arbeitsstätten Artikel 88 der GDPR als Rechtsgrundlage dienen kann. Darüber hinaus brachte die DSK den Punkt zur Sprache, dass die Zustimmung als Rechtsgrundlage in der Praxis oft nicht funktionieren würde, weil die Zustimmung nicht als freiwillig gegeben angesehen werden kann, wenn es einer Person infolge der Verweigerung der Zustimmung nicht gestattet ist, einen bestimmten Ort zu betreten. Darüber hinaus hebt die DSK hervor, dass nach der derzeitigen Rechtslage in Deutschland keine rechtliche Verpflichtung für Arbeitgeber besteht, elektronische Temperaturkontrollen auf der Grundlage von Artikel 6 Absatz 1 GDPR durchzuführen. Darüber hinaus hebt die DSK hervor, dass Temperaturmessungen oft nicht als geeignetes und notwendiges Mittel qualifiziert werden können, da eine erhöhte Körpertemperatur nicht direkt als Symptom des Corona Virus angenommen werden kann, insbesondere weil einige infizierte Personen dieses Symptom nicht zeigen. Darüber hinaus stellte die DSK fest, dass mildere Mittel wie die Beachtung von Hygiene- und sozialen Distanzierungsmaßnahmen und die Befragung von Mitarbeitern eingesetzt werden sollten.

Deutsche Datenschutzkonferenz, 11.09.2020

 

EU: Cloud-Computing-Gemeinschaft kündigt nach Schrems II neuen Mechanismus zum Datentransfer außerhalb der EU an

Die Generalversammlung des EU-Cloud-Verhaltenskodex kündigte am 15. September 2020 an, dass sie an einer rechtlichen Lösung für den Transfer von persönlichen Daten in Länder außerhalb der EU arbeitet. Insbesondere wies die Generalversammlung darauf hin, dass der neue Mechanismus, sobald er von den EU-Datenschutzbehörden genehmigt ist, eine Alternative zu dem kürzlich aufgehobenen EU-US-Datenschutzschild sein könnte. Darüber hinaus hob die Generalversammlung hervor, dass die offizielle Genehmigung des aktuellen EU-Cloud-Verhaltenskodex durch den Europäischen Datenschutzrat zwar noch aussteht, sie jedoch in einer virtuellen Pressekonferenz die Schaffung eines neuen Moduls des Cloud-Kodex für die Übermittlung personenbezogener Daten in Länder außerhalb der EU angekündigt hatte. Die Generalversammlung lud interessierte Anbieter von Cloud-Diensten und Cloud-Nutzer ein, sich der Initiative anzuschließen und zur Entwicklung des neuen Moduls beizutragen und so die künftige Rechtsgrundlage für die Übermittlung personenbezogener Daten von EU-Bürgern in Drittländer auf der ganzen Welt zu gestalten.

Generalversammlung des EU-Cloud-Verhaltenskodex, 16.09.2020

 

Irland: Irish High Court gewährt Facebook gerichtliche Überprüfung, stoppt DPC-Untersuchung

Die Nichtregierungsorganisation None of your business – European Center for Digital Rights (NOYB) gab am 14. September 2020 bekannt, dass der Irish High Court Facebook Ireland Limited die Erlaubnis erteilt hat, eine gerichtliche Überprüfung gegen die irische Datenschutzbehörde (DPC) im Fall Nr. 2020/617 JR einzureichen und eine neue Untersuchung des DPC zu EU-US-Datentransfers gestoppt hat. Insbesondere erklärte NOYB, dass es Facebook Irland vorübergehend gelungen sei, die Untersuchung der DPC in Bezug auf EU-US-Datentransfers mittels Standardvertragsklauseln (SCCs) zu stoppen. Darüber hinaus erklärte NOYB, dass das DPC geplant habe, diesen Fall innerhalb von 42 Tagen an den Europäischen Konsistenzmechanismus der Aufsichtsbehörden aller 27 EU-Mitgliedstaaten zu verweisen. Darüber hinaus stellte NOYB fest, dass Facebook Irland argumentiert habe, dass ein Entscheidungsentwurf des DPC vom 28. August 2020, der am Anfang des Verfahrens stand, dem Ergebnis des Verfahrens des DPC vorgegriffen hätte und dass drei Wochen für eine Antwort nicht ausreichend gewesen wären. Darüber hinaus erklärte NOYB, dass auch Facebook Irland argumentiert habe, es sei unfair, dass die DPC nur Facebook und nicht auch andere IT-Unternehmen, die Daten von Irland in die Vereinigten Staaten transferieren, im Visier habe. Schließlich erklärte NOYB, dass die DPC innerhalb einer 72-Stunden-Frist gegen die Aussetzung ihrer Untersuchung vorgehen könne.

None of your business – European Center for Digital Rights, 15.09.2020

 

Kanada: IAB Canada veröffentlicht Leitfaden über Werbung auf Mobiltelefonen und in Anwendungen

Das Interactive Advertising Bureau Canada (IAB Canada) veröffentlichte am 1. September 2020 seinen Leitfaden zur Werbung für mobile Apps und In-Apps. Der Leitfaden zielt insbesondere darauf ab, prägnante Definitionen rund um die Werbung auf mobilen Endgeräten zu liefern, und erörtert unter anderem Forschungsarbeiten zur Unterstützung der Werbung auf mobilen Endgeräten, verfügbare Werbeformate sowie Targeting- und Kaufstrategien. Im Einzelnen behandelt der Leitfaden Themen wie den Kauf von Werbung auf Mobilgeräten, Monetarisierung, Targeting-Strategien für das Marketing wie kontextbezogene Werbung gegenüber verhaltensorientierter Werbung sowie Tracking und bewährte Verfahren.

Interactive Advertising Bureau Canada, 14.09.2020

 

Brasilien: Oberster Gerichtshof hebt Urteile auf, die Facebook und Microsoft zur Offenlegung persönlicher Daten der Nutzer verpflichten

OneTrust DataGuidance bestätigte am 15. September 2020 zusammen mit Fernanda Catão de Carvalho, Rechtsanwältin bei Mattos Filho, Veiga Filho, Marrey Jr. e Quiroga Advogados, dass der Oberste Gerichtshof am 14. September 2020 zwei Entscheidungen im Zusammenhang mit Berufungen erlassen hat, die von Facebook Serviços Online do Brasil LTDA und Microsoft Informatica LTDA gegen Gerichtsentscheidungen eingereicht wurden, die die Unternehmen zur Offenlegung persönlicher Daten ihrer Nutzer verpflichteten. Insbesondere bemerkte Catão: “Im Fall gegen Facebook verlangte ein Unternehmen, dass Facebook alle Informationen, die es über ein bestimmtes Profil hatte, einschließlich des Namens des Benutzers, der nationalen Identifikationsnummer und der Adresse, offenlegte, während es im Fall gegen Microsoft persönliche Informationen eines Hotmail-Konto-Benutzers offenlegen musste, der Beleidigungen mit voreingenommenen Ansichten per E-Mail verschickte, um ihn oder sie auf Schadenersatz zu verklagen. In beiden Fällen entschieden die Vorinstanzen zugunsten der Offenlegung der persönlichen Daten der Benutzer”. Darüber hinaus fügte Catão hinzu: “Das Oberste Gericht hob jedoch beide Urteile mit der Begründung auf, dass es zuvor in ähnlichen Angelegenheiten entschieden hatte, in denen die Richter entschieden hatten, dass Unternehmen, die Dienstleistungen über das Internet anbieten, nicht verpflichtet sind, die persönlichen Daten der Benutzer offenzulegen, und zitierte die brasilianische Internet-Zivilmarke, Gesetz Nr. 12.965 vom 23. April 2014 (die Zivilmarke), die vorsieht, dass Unternehmen nur verpflichtet sind, die IP-Adressen ihrer Benutzer zu speichern. Der Oberste Gerichtshof stellte fest, dass beide Unternehmen Wege finden sollten, um die völlige Anonymität der Benutzer bei der Nutzung ihrer Dienste zu verhindern, um eine Identifizierung in Fällen wie dem vorliegenden zu ermöglichen. Abschließend betonte Catão: “Die Zivilmarke verpflichtet die Internetdienstanbieter, die Verbindungsdaten ihrer Benutzer für einen Zeitraum von mindestens einem Jahr zu speichern, während bei den Zugriffsdaten der Benutzer nur die Anbieter von Anwendungen verpflichtet sind, die Informationen für einen Zeitraum von mindestens sechs Monaten zu speichern”.

OneTrust DataGuidance, 16.09.2020

Verwandte Beiträge