Datenschutz News 22.01.2021

Deutschland: Geändertes Gesetz gegen den unlauteren Wettbewerb tritt in Kraft

Das Bundeskartellamt hat am 19. Januar 2021 bekannt gegeben, dass das Gesetz zur Änderung des Gesetzes gegen den unlauteren Wettbewerb (UWG) nach seiner Veröffentlichung im Bundesgesetzblatt am 18. Januar 2021 in Kraft getreten ist. Das Bundeskartellamt wies insbesondere darauf hin, dass der Kernpunkt der Novelle die Änderung und Modernisierung der Regeln für den Missbrauch einer marktbeherrschenden Stellung ist. Andreas Mundt, Präsident des Bundeskartellamtes, betonte insbesondere die Notwendigkeit präventiver Maßnahmen in Bezug auf Big Tech-Unternehmen. Der neu eingefügte Paragraph 19a ermöglicht dem Bundeskartellamt ein frühzeitiges Eingreifen, um wettbewerbswidrige Handlungen von Big Tech zu verhindern, einschließlich der Vorenthaltung von Daten, um Dritten den Zugang zum Markt zu verwehren. Darüber hinaus stellte das Bundeskartellamt fest, dass die Novelle spezifischere Regeln zur Berechnung der Marktmacht durch die Bewertung internetspezifischer Kriterien, wie z. B. die Macht der Plattform als Vermittler oder Dienstvermittler, sowie Abhilfemaßnahmen, einschließlich der Befugnis des Bundeskartellamts, den Zugang zu Daten anzuordnen, enthält.

Bundeskartellamt, 20.01.2021

EU: ENISA veröffentlicht Bericht über sichere Cloud-Dienste im Gesundheitssektor

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat am 18. Januar 2021 einen Bericht veröffentlicht, der Organisationen des Gesundheitswesens bei der sicheren Einführung von Cloud-Diensten vor dem Hintergrund der Cybersicherheitsherausforderungen unterstützen soll. In dem Bericht werden insbesondere die mit Cloud-Diensten verbundenen Cybersicherheitsherausforderungen im Zusammenhang mit elektronischen Gesundheitsakten, Fernversorgung, wie z. B. Telemedizin, und medizinischen Geräten bewertet und gleichzeitig eine Reihe bewährter Praktiken für die Einführung von Cloud-Diensten im europäischen Gesundheitssektor skizziert. Zu diesen guten Praktiken gehören insbesondere die Sensibilisierung für Cybersicherheit, die Verschlüsselung von sensiblen Daten und die Bewertung von Cybersicherheitsrisiken. Darüber hinaus hebt der Bericht einige datenschutzrechtliche Herausforderungen im Zusammenhang mit Cloud-Diensten hervor, wie z. B. die Datenverwaltung, die Löschung personenbezogener Daten und die Notwendigkeit für Gesundheitsdienstleister zu bewerten, ob der Cloud-Dienstanbieter Privacy by Design umgesetzt hat.

ENISA, 18.01.2021

EU: EDPB kündigt öffentliche Konsultation Leitlinien für die Benachrichtigung bei Datenschutzverletzungen Beispiele an

Der Europäische Datenschutzausschuss (EDPB) hat am 18. Januar 2021 angekündigt, dass er eine öffentliche Konsultation zu seinen Leitlinien 01/2021 zu Beispielen für die Benachrichtigung bei Datenschutzverletzungen durchführen wird. Die Leitlinien gehen insbesondere davon aus, dass, da die Leitlinien des EDPB zur Meldung von Datenschutzverletzungen gemäß der Verordnung (EU) 2016/679 nicht alle praktischen Fragen hinreichend detailliert behandelt haben, die Notwendigkeit für einen praxisorientierten, fallbasierten Leitfaden entstanden ist, der die Erfahrungen der Aufsichtsbehörden seit dem Inkrafttreten der Allgemeinen Datenschutzverordnung nutzt. Darüber hinaus sollen die Leitlinien den für die Datenverarbeitung Verantwortlichen bei der Entscheidung helfen, wie sie mit Datenschutzverletzungen umgehen und welche Faktoren bei der Risikobewertung zu berücksichtigen sind. Darüber hinaus befassen sich die Leitlinien unter anderem mit Beispielen in Bezug auf Ransomware, Angriffe zur Datenexfiltration, interne menschliche Risikoquellen, verlorene oder gestohlene Geräte und Papierdokumente, Falschmeldungen und andere Fälle wie Social Engineering.

EDPB, 18.01.2021

Spanien: AEPD veröffentlicht Papier zur Durchführung von Audits für Datenverarbeitung, die KI-Komponenten verwendet

Die spanische Datenschutzbehörde (AEPD) hat am 12. Januar 2021 ein Papier veröffentlicht, das sich an Manager richtet, die die Verarbeitung von künstlicher Intelligenz (KI) auditieren müssen, sowie an Manager und Entwickler, die Garantien für ihre Produkte und Lösungen bieten wollen. Das Papier hebt insbesondere hervor, dass die Prüfung der Verarbeitung personenbezogener Daten eines der Instrumente für die Bewertung der Einhaltung von Vorschriften ist, wie sie in der Allgemeinen Datenschutzverordnung gefordert werden, und bietet Leitlinien, Methoden, Kontrollziele und eine Liste von Kontrollen, die in den Datenschutz-Auditprozess einer Verarbeitung mit KI-Komponenten oder -Lösungen einbezogen werden könnten. Zu den in dem Papier aufgeführten Zielen gehören das Ziel, die geprüfte KI-Komponente zu dokumentieren und die Verantwortlichkeiten klar zu benennen, um dem Grundsatz der proaktiven Verantwortung zu entsprechen, sowie die Ziele der Transparenz, der Identifizierung der beabsichtigten Verwendungszwecke und der Zwecke der Verarbeitung und der Analyse des Kontexts der Verarbeitung, in den die KI-Komponente integriert ist, die alle mit einer Reihe von möglichen Kontrollen einhergehen.

AEPD, 14.01.2021

New York: Gouverneur kündigt in seiner Rede zur Lage der Nation 2021 Vorschläge für Datenschutzgesetze an

Der Gouverneur des Bundesstaates New York, Andrew M. Cuomo, hat am 15. Januar 2021 im Rahmen seiner Rede zur Lage der Nation 2021 den Vorschlag für ein umfassendes Gesetz zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre angekündigt. Insbesondere wies der Gouverneur darauf hin, dass dieses vorgeschlagene Gesetz Unternehmen, die Informationen über eine große Anzahl von Personen sammeln, dazu verpflichten wird, die Zwecke jeder Datenerhebung offenzulegen und nur Daten zu sammeln, die für diese Zwecke benötigt werden. Darüber hinaus hob der Gouverneur hervor, dass dieses vorgeschlagene Gesetz ausdrücklich sensible Datenkategorien wie Gesundheitsdaten, biometrische Daten und Standortdaten schützen und starke Durchsetzungsmechanismen schaffen würde, um die betroffenen Unternehmen zur Verantwortung zu ziehen. Darüber hinaus kündigte der Gouverneur an, dass er auch eine “Consumer Data Privacy Bill of Rights” einführen wird, die unter anderem das Recht auf Zugang, Kontrolle und Löschung von personenbezogenen Daten, die von Einzelpersonen erhoben wurden, garantieren und das Recht auf Nichtdiskriminierung durch Anbieter bei der Ausübung dieser Rechte gewährleisten würde. Schließlich sprach der Gouverneur auch die Absicht an, eine Gesetzgebung vorzuschlagen, die verlangt, dass Geräte, die aufzeichnen können, eine klare und auffällige Offenlegung ihrer Aufzeichnungsmöglichkeiten und ihrer Einstellungen bezüglich der Speicherung und Übertragung von Aufzeichnungen enthalten müssen.

Gouverneur des Bundesstaates New York, 20.01.2021

Washington: Washingtoner Datenschutzgesetz wieder im Senat eingebracht

Der Gesetzesentwurf für den Washington Privacy Act (SB 5062) (der Gesetzesentwurf) wurde am 5. Januar 2021 zum dritten Mal in den Senat des Bundesstaates Washington eingebracht, nachdem er im Jahr 2020 nicht verabschiedet wurde. Der Gesetzentwurf würde insbesondere vier zentrale Rechte für Verbraucher einführen, nämlich das Recht auf Zugang zu personenbezogenen Daten, das Recht auf Aktualisierung und Korrektur derselben, das Recht auf Datenportabilität und das Recht auf Widerspruch gegen die Verwendung von Daten. Darüber hinaus würde es Unternehmen dazu verpflichten, Datenschutzprüfungen durchzuführen, wenn die Verarbeitung unter anderem personenbezogene Daten von Verbrauchern zum Zwecke gezielter Werbung, zum Zwecke des Verkaufs personenbezogener Daten und wenn die Verarbeitung sensible personenbezogene Daten betrifft. Darüber hinaus sieht der Gesetzentwurf vor, dass der Generalstaatsanwalt für die Durchsetzung des Gesetzes verantwortlich ist und unter anderem befugt ist, Geldstrafen zu verhängen und Verstöße gegen das Gesetz zu untersuchen. Die Teile 2 und 3 des Gesetzentwurfs regeln insbesondere den Datenschutz in Bezug auf Notfälle im Bereich der öffentlichen Gesundheit sowohl im privaten als auch im öffentlichen Sektor. Der Gesetzentwurf, der im Falle seiner Verabschiedung am 31. Juli 2022 in Kraft treten würde, würde für Unternehmen gelten, die die Daten von mehr als 100.000 Einwohnern Washingtons verarbeiten oder die persönliche Daten von 25.000 Verbrauchern oder mehr verarbeiten oder kontrollieren und mehr als 25 % ihrer Bruttoeinnahmen aus dem Verkauf von persönlichen Informationen erzielen. Der Gesetzesentwurf ist für eine Exekutivsitzung im Washingtoner Senatsausschuss für Umwelt, Energie und Technologie am 21. Januar 2021 vorgesehen.

Gesetzesentwurf, 18.01.2021

Verwandte Beiträge