Datenschutz News 22.07.2021

EU: EDPB startet Konsultation zur Veröffentlichung von Leitlinien zu Verhaltenskodizes als Instrumente für Transfers

Der Europäische Datenschutzausschuss (EDPB) gab am 14. Juli 2021 bekannt, dass er eine öffentliche Konsultation zu seinen am 7. Juli 2021 angenommenen Leitlinien 04/2021 zu Verhaltenskodizes als Instrumente für Übermittlungen eingeleitet hat. Die Leitlinien zielen insbesondere darauf ab, die Anwendung von Artikel 40 Absatz 3 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) (DSGVO) in Bezug auf Verhaltenskodizes als geeignete Garantien für Übermittlungen personenbezogener Daten in Drittländer gemäß Artikel 46 Absatz 2 Buchstabe e der DSGVO zu präzisieren und praktische Leitlinien zu geben, unter anderem zum Inhalt solcher Verhaltenskodizes, zu ihrem Annahmeverfahren und zu den beteiligten Akteuren sowie zu den Anforderungen und Garantien, die ein Verhaltenskodex für Übermittlungen bieten muss. Insbesondere enthalten die Leitlinien eine umfassende Checkliste mit Elementen, die in einem Verhaltenskodex für Übermittlungen enthalten sein müssen, wobei das Urteil des Gerichtshofs der Europäischen Union in der Rechtssache Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems (C-311/18) (Rechtssache Schrems II) berücksichtigt wird. Schließlich stellte der EDPB weiter klar, dass er in Zukunft zusätzliche Leitlinien zu den in der Checkliste enthaltenen Elementen herausgeben wird.

EDPB, 15.07.2021

Frankreich: Verhaltenskodex für Cloud-Anbieter jetzt einsatzbereit, da CNIL Überwachungsstelle genehmigt

Die französische Datenschutzbehörde (CNIL) gab am 16. Juli 2021 bekannt, dass sie am 17. Juni 2021 EY Certifypoint BV als Überwachungsstelle für den von Cloud Infrastructure Service Providers Europe (CISPE) vorgelegten Verhaltenskodex für Cloud-Infrastrukturdienstleister genehmigt hat. Insbesondere hob die CNIL hervor, dass nach dieser Genehmigung der Verhaltenskodex nun in Kraft ist und dass EY Certifypoint BV als Überwachungsstelle dafür verantwortlich sein wird, dass die Mitglieder dieses Kodex dessen Anforderungen einhalten. Darüber hinaus wies die CNIL darauf hin, dass die Genehmigung von EY Certifypoint BV als Überwachungsstelle für den Verhaltenskodex für einen Zeitraum von fünf Jahren ab dem 17. Juni 2021 gelten wird.

CNIL, 16.07.2021

Italien: Garante verhängt Geldstrafe von 150.000 € gegen Gesundheitsbehörde von Trient wegen unrechtmäßiger Weitergabe von Gesundheitsdaten von Patienten

Die italienische Datenschutzbehörde (Garante) gab am 20. Juli 2021 bekannt, dass sie einen Bußgeldbescheid gegen die örtliche Gesundheitsbehörde von Trient in Höhe von 150.000 € wegen der unrechtmäßigen Weitergabe der Gesundheitsinformationen von 293 Patienten, darunter zwei Minderjährige, erlassen hat, die gemäß dem Dekret Nr. 178 vom 29. September 2015 über elektronische Gesundheitsakten die Maskierung von Daten beantragt hatten. Die Garante führte insbesondere aus, dass die Gesundheitsbehörde aufgrund eines technischen Fehlers die medizinischen Berichte an die Allgemeinmediziner übermittelt hatte, obwohl eine Reihe von Patienten die Maskierung von medizinischen Berichten im Zusammenhang mit dem Abbruch ihrer Schwangerschaften beantragt hatte. Die Garante stellte fest, dass die Offenlegung der Gesundheitsdaten der Patientinnen einen Verstoß gegen die Grundsätze der Rechtmäßigkeit und der Integrität und Vertraulichkeit gemäß Artikel 5 Absatz 2 Buchstaben a und f der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) (DSGVO) darstellte und dass die Gesundheitsbehörde diese sensiblen Daten ohne eine geeignete Rechtsgrundlage unter Verstoß gegen Artikel 9 der DSGVO offengelegt hatte.

Garante, 21.07.2021

International: Schrems gibt Erklärung zum Jahrestag von Schrems II ab, fordert “No-Spy”-Abkommen

None of your business (NOYB) veröffentlichte am 16. Juli 2021 eine Stellungnahme von Maximilian Schrems zum Jahrestag des Urteils des Gerichtshofs der Europäischen Union (CJEU) in der Rechtssache Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems (C-311/18) (Rechtssache Schrems II). Insbesondere kritisierte Schrems die Reaktion verschiedener Interessengruppen auf das Schrems-II-Urteil, indem er behauptete, dass “relevante Interessengruppen sich hauptsächlich mit Ablenkungsmanövern und Schuldzuweisungen beschäftigt haben”, während er auch den Datenschutzbehörden Untätigkeit vorwarf. Darüber hinaus äußerte Schrems seine Überzeugung, dass die neuen Standardvertragsklauseln der Europäischen Kommission keine langfristige Lösung für die im Schrems-II-Urteil aufgezeigten Probleme darstellen und äußerte darüber hinaus Zweifel an der Aussicht auf eine Gesetzesreform der US-Überwachungsgesetze. Schrems hob jedoch ein No-Spy”-Abkommen zwischen demokratischen Nationen, dass das Menschenrecht der Nutzer auf Privatsphäre unabhängig von Standort und Staatsbürgerschaft schützt, als mögliche Lösung für den Datentransfer zwischen der EU und den USA hervor. Darüber hinaus merkte Schrems an, dass NOYB weiterhin an einer langfristigen Lösung arbeiten werde.

NOYB, 16.07.2021

USA: ULC billigt einheitliches Datenschutzgesetz

Die National Conference of Commissioners of Uniform State Laws (ULC) gab am 14. Juli 2021 bekannt, dass sie auf ihrer Jahrestagung 2021 sieben Gesetze verabschiedet hat, darunter den Uniform Personal Data Protection Act (UPDPA). Der UPDPA sieht insbesondere ein einheitliches, umfassendes Datenschutzgesetz vor, das von Staaten übernommen werden kann, in denen keines existiert. Darüber hinaus enthält der UPDPA Pflichten für Datenverantwortliche und -verarbeiter, Rechte für Betroffene, Anforderungen an die Datenschutzprüfung und legt auch ein privates Klagerecht für Einzelpersonen fest. Der UPDPA wurde von Verbraucherschutzverbänden wie der American Bankers Association kritisiert, weil er keine Ausnahmen für Finanzinstitute vorsieht, die bereits dem Bundesdatenschutzgesetz unterliegen.

ULC, 21.07.2021

Kalifornien: AG spricht CCPA-Durchsetzung an und startet Verbraucher-Tool, um Unternehmen über Verstöße zu informieren

Der Generalstaatsanwalt von Kalifornien (AG), Rob Bonta, veröffentlichte am 19. Juli 2021 eine Erklärung zu den Bemühungen zur Durchsetzung des kalifornischen Verbraucherschutzgesetzes von 2018 (CCPA) ein Jahr nach Beginn der Durchsetzung und kündigte die Einführung eines neuen Online-Tools an, das es Verbrauchern ermöglicht, Unternehmen direkt über mögliche Verstöße zu informieren. Insbesondere stellte der AG unter anderem fest, dass nach Erhalt einer Mitteilung über einen angeblichen Verstoß 75 % der Unternehmen innerhalb der 30-tägigen gesetzlichen Heilungsfrist gehandelt haben, um die Vorschriften einzuhalten, während die restlichen 25 % der Unternehmen, die eine Mitteilung über einen angeblichen Verstoß erhalten haben, entweder innerhalb der 30-tägigen Heilungsfrist waren oder aktiv untersucht wurden. Darüber hinaus hat die AG ein neues Online-Tool zum Schutz der Privatsphäre von Verbrauchern eingeführt, dass es Verbrauchern ermöglicht, Unternehmen direkt zu benachrichtigen, die auf ihrer Homepage keinen klaren und leicht zu findenden Link “Do Not Sell My Personal Information” haben. Das Tool stellt geführte Fragen, um die Verbraucher durch die grundlegenden Elemente des CCPA zu führen, bevor es eine Benachrichtigung generiert, die dann an das Unternehmen gesendet werden kann und die die 30-Tage-Frist für das Unternehmen auslösen kann, um ihren Verstoß zu beheben, was eine Voraussetzung für die Einleitung einer Durchsetzungsklage durch die AG ist.

AG, 20.07.2021

Besuchen Sie uns auf folgenden Seiten:

www.k11-consulting.com

www.k11-rechtsanwaelte.com

www.deicke.net

www.certnex.com

www.datenschutz-spezialisten.com

Verwandte Beiträge