Datenschutz News 20.11.2020

EU: EDPB veröffentlicht Dokument zum informellen Sitzungsverfahren des Verhaltenskodex

Das European Data Protection Board (EDPB) gab am 17. November 2020 auf Twitter bekannt, dass es sein Dokument über das Verfahren für die Entwicklung informeller „Verhaltenskodex-Sitzungen” veröffentlicht hat. Insbesondere zielt das Dokument darauf ab, ein informelles Verfahren für die Entwicklung informeller Verhaltenskodex-Sitzungen in Übereinstimmung mit den Richtlinien 1/2019 des EDPB zu Verhaltenskodizes und Kontrollinstanzen im Rahmen der Verordnung 2016/679 zu entwickeln, da diese die Möglichkeit vorsehen, wichtige Fragen im Zusammenhang mit transnationalen Verhaltenskodizes in „der entsprechenden Experten-Untergruppe” zu erörtern, bevor der Entwurf des Kodex dem EDPB selbst vorgelegt wird. Konkret geht das Dokument unter anderem auf Ziel, Art und Format der informellen Sitzung ein und behandelt Aspekte wie Vereinbarungen und Konsens während der Sitzung, die Periodizität der Sitzungen und die Vorlage des Entwurfs beim EDPB.

EDPB, 18.11.2020

EU: IAB Europe veröffentlicht Leitfaden für programmatische Außenwerbung

Das Interactive Advertising Bureau (IAB) Europe gab am 12. November 2020 bekannt, dass es seinen Leitfaden zur programmatischen Außenwerbung veröffentlicht hat. Insbesondere wies das IAB Europe darauf hin, dass der Leitfaden die Stärken und Möglichkeiten der digitalen Außenwerbung in ganz Europa untersucht und bewährte Verfahren und Überlegungen zur Messung und Kreativität für den Erfolg von Kampagnen austauscht. Darüber hinaus hebt der Leitfaden unter den Möglichkeiten, die die programmatische Außenwerbung bietet, die Möglichkeit hervor, eine datengestützte Entscheidungsfindung durchzuführen. In diesem Zusammenhang stellt der Leitfaden fest, dass Käufer durch die enge Zusammenarbeit mit Unternehmen im mobilen Datenraum ihre programmatische Entscheidungsfindung durch reichhaltige Einblicke in das Publikum bereichern können, indem sie beispielsweise Nutzersegmente nutzen, die aus dem historischen Standortverhalten der Besitzer von Mobilgeräten erstellt wurden und die Erkenntnisse für die Entscheidungsfindung bei Ausschreibungen in Echtzeit liefern können. Daher erinnert der Leitfaden daran, dass diese Publikumsdatensegmente mit Zustimmung und unter Einhaltung von Datenschutzbestimmungen wie der Allgemeinen Datenschutzverordnung gebildet werden müssen.

IAB, 13.11.2020

Großbritannien: ICO bestraft Ticketmaster mit einer Geldstrafe von £1,25 Mio. für das Versäumnis, die Zahlungsdaten von 9,4 Mio. Kunden zu schützen

Das Büro des Informationskommissars (ICO) gab am 13. November 2020 bekannt, dass es Ticketmaster UK Limited gemäß der Allgemeinen Datenschutzverordnung mit einer Geldstrafe in Höhe von 1,25 Millionen Pfund Sterling belegt hat, weil das Unternehmen es versäumt hat, die persönlichen Daten seiner Kunden zu schützen und geeignete Sicherheitsmaßnahmen zu ergreifen, um einen Cyberattacke auf den Chatbot zu verhindern, den Inbenta Technologies für seine Online-Zahlungsseite zur Verfügung gestellt hat und von dem zwischen Februar 2018 und 23. Juni 2018 möglicherweise 9,4 Millionen EWR-Kunden betroffen waren. Insbesondere wies das ICO darauf hin, dass die Datenverletzung persönliche Daten wie Namen, vollständige Zahlungskartennummern, Ticketmaster-Benutzernamen und -Passwörter, Ablaufdaten und CVV-Nummern (Card Verification Value) betraf. Darüber hinaus stellte das ICO fest, dass 60.000 Zahlungskarten, die Kunden der Barclays Bank gehörten, Gegenstand von Betrug waren und mehrere internationale Banken Ticketmaster ebenfalls über Betrugsvorschläge berichteten. Genauer gesagt stellte die ICO fest, dass Ticketmaster es versäumt hatte, die Risiken der Benutzung des Chatbots zu bewerten und die Quelle der angedeuteten betrügerischen Aktivitäten rechtzeitig zu identifizieren, da Ticketmaster den Netzwerkverkehr zu seiner Online-Zahlungsseite erst neun Wochen nach den Betrugswarnungen überwacht hatte. Hinsichtlich der Verhängung einer Geldstrafe wies das ICO darauf hin, dass die Verstöße einen schwerwiegenden Verstoß gegen die GDPR und den Payment Card Industry Data Security Standard (PCI-DSS) darstellten, dass kein finanzieller Gewinn aus dem Vorfall festgestellt werden konnte und dass die Strafe sich auf Ereignisse nach dem 25. Mai 2018 beziehe, als die GDPR galt.

ICO, 13.11.2020

Frankreich: CNIL startet Konsultation zum Normentwurf über Mietmanagement

Die französische Datenschutzbehörde (CNIL) gab am 17. November 2020 bekannt, dass sie eine Konsultation zu einem Normentwurf über die Mietverwaltung eingeleitet hat, der sich an natürliche und juristische Personen richtet, die beruflich Wohnräume vermieten, die keine Sozialwohnungen umfassen. Der Normentwurf übernimmt insbesondere einige Elemente der vereinfachten Norm NS-021 über die Immobilienverwaltung, die nach dem Inkrafttreten der Allgemeinen Datenschutzverordnung nicht mehr anwendbar ist und folgende Tätigkeiten der Mietverwaltung abdeckt: die Recherche und Vorschläge von Mietplätzen, den Abschluss eines Mietvertrags, die Verwaltung des Vertrags, einschließlich der Zahlung von Miete und Kautionen, sowie die Beendigung des Mietvertrags. Darüber hinaus befasst sich der Standardentwurf unter anderem mit den Rechtsgrundlagen für die Verarbeitung bei jeder Art von Mietverwaltungstätigkeit, wie vorvertragliche Maßnahmen und berechtigte Interessen, die Verarbeitung sensibler Daten, wie medizinische Aufzeichnungen und Daten im Zusammenhang mit Verurteilungen, sowie mit den Informationen, die der betroffenen Person zur Verfügung gestellt werden sollten.

CNIL, 18.11.2020

Japan: Peatix gibt Erklärung zur Datenverletzung heraus, von der potenziell 6,77 Millionen Kunden betroffen sind

Peatix Inc. gab am 17. November 2020 eine Erklärung zu einer Datenverletzung ab, bei der sich ein unbefugter Dritter Zugang zu den persönlichen Daten von bis zu 6,77 Millionen Kunden verschafft hatte. Peatix hob insbesondere hervor, dass zu den abgerufenen persönlichen Daten auch zahlungsbezogene Informationen wie Kontoinformationen von Kreditkarten und Finanzinstituten gehörten. Daraufhin wies Peatix darauf hin, dass sie den unbefugten Zugriff auf ihre Datenbank blockiert habe und ihre Sicherheitsmaßnahmen, einschließlich der obligatorischen Zurücksetzung aller Passwörter, verstärken werde. Darüber hinaus wies Peatix darauf hin, dass die Untersuchung mit Unterstützung externer Sicherheitsfirmen durchgeführt wird, die weitere Entwicklungen ankündigen werden, sobald neue Fakten bekannt werden.

Peatix Inc., 18.11.2020

Brasilien: Oberster Gerichtshof stellt unrechtmäßigen Austausch von Telekommunikations-daten mit öffentlichem Statistikinstitut fest

Das Oberste Bundesgericht veröffentlichte am 12. November 2020 in der Ação Directa de Inconstitucionalidade n. 6.387 sein Urteil mit der Stimme aller seiner Minister. Insbesondere in Bezug auf die provisorische Maßnahme 954/2020 vom 17. April 2020, die die Telekommunikationsbetreiber verpflichtete, persönliche Kundendaten an die Stiftung des brasilianischen Instituts für Geographie und Statistik (IBGE) weiterzugeben, um die offizielle Statistikproduktion während der Coronavirus-Pandemie zu unterstützen. Das Urteil bekräftigt insbesondere, dass die gemeinsame Nutzung von Telekommunikationsdaten gegen die Grundsätze der Menschenwürde, der Unverletzlichkeit der Intimität, des Privatlebens, der Ehre und des Ansehens der Menschen sowie gegen den Grundsatz des Informationsgeheimnisses und der Selbstbestimmung verstößt, die durch die brasilianische Verfassung geschützt werden. Darüber hinaus führt das Urteil aus, dass der Schutz der persönlichen Daten der Bürger bei mehreren Gelegenheiten im Zusammenhang mit der Aufnahme in die Verfassung als Grundrecht diskutiert worden ist. Die Verfassung bezieht sich derzeit jedoch auf die Privatsphäre als ein Grundrecht, nicht aber auf das Recht auf den Schutz personenbezogener Daten.

Oberster Gerichtshof, 18.11.2020

Verwandte Beiträge