Datenschutz News 24.07.2020

Deutschland: Berliner Datenschutzbehörde gibt Erklärung zum Fall Schrems II ab und fordert die Verantwortlichen auf, Datentransfers in die USA zu stoppen

Die Berliner Datenschutzbehörde gab am 17. Juli 2020 eine Erklärung zum Urteil des Gerichtshofs der Europäischen Union (CJEU) in der Rechtssache Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems (Fall Schrems II) ab. Die Berliner Datenschutzbehörde forderte insbesondere, dass in Berlin ansässige für die Datenverarbeitung Verantwortliche, die personenbezogene Daten in den USA speichern, diese nach Europa übermitteln sollten. In diesem Zusammenhang hob die Berliner Datenschutzbehörde hervor, dass nach dem Urteil die Daten nicht an die USA übermittelt werden sollten, solange dieser Rechtsrahmen nicht reformiert worden sei. In Bezug auf Standardvertragsklauseln hob die Berliner Datenschutzbehörde hervor, dass nach dem Urteil europäische Datenexporteure und Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob das Drittland über einen staatlichen Zugang zu den Daten verfügt, der über das nach europäischem Recht zulässige Maß hinausgeht, und dass die SCC, falls solche Zugangsrechte bestehen, die Datenübermittlung an ein solches Drittland nicht rechtfertigen können. Darüber hinaus forderte der Berliner Kommissar alle für die Datenverarbeitung Verantwortlichen auf, das Urteil des CJEU zu beachten und ihm nachzukommen. In der Praxis sah die Berliner Datenschutzbehörde vor, dass die für die Datenverarbeitung Verantwortlichen, die Daten in die USA übermitteln, insbesondere bei der Nutzung von Cloud-Dienstanbietern, nun verpflichtet sind, Dienstanbieter mit Sitz in der EU oder in einem Land mit einem angemessenen Schutzniveau zu nutzen.

Datenschutz-berlin.de, 17.07.2020

Spanien: Regierung richtet neuen Beirat für KI ein

Die spanische Regierung  gab am 20. Juli 2020 bekannt, dass sie einen neuen Beirat für künstliche Intelligenz eingerichtet hat. Insbesondere teilte die Regierung mit, dass das Beratungsgremium unabhängigen Rat und Empfehlungen zu Maßnahmen geben wird, die zu ergreifen sind, um die sichere und ethische Nutzung der künstlichen Intelligenz zu gewährleisten. Insbesondere hob die Regierung hervor, dass der Beirat die Auswirkungen der KI-Technologien auf Bereiche wie die Verwaltung und die Zukunft der Arbeit, den Schutz der Grundrechte, die Verwaltung von Daten, den Kampf gegen Diskriminierung und die Beseitigung sozialer Lücken bewerten werde.

Lamoncloa.gob.es, 20.07.2020

USA: Bürgerrechtsorganisationen legen dem Staatssekretär Widerlegung vor und lehnen Vorschlag für CPRA ab

Die American Civil Liberties Union unterbreitete dem kalifornischen Außenminister am 19. Juli 2020 zusammen mit anderen Bürgerrechtsorganisationen eine Widerlegung eines Arguments zugunsten von Proposition 24 bei der Abstimmung im November 2020, mit der der California Consumer Privacy Rights Act (CPRA) eingeführt werden sollte. Insbesondere wiesen die Organisationen darauf hin, dass das CPRA die Rechte der Anwohner im Rahmen des geltenden Gesetzes einschränken würde, indem es den großen Technologieunternehmen neue Wege zur Erfassung privater Daten, wie Daten aus Gesundheits- und Finanzanwendungen, eröffnen würde, und dass die Unternehmen durch die Billigung eines “Pay for Privacy”-Modells in der Lage wären, für den Schutz persönlicher Daten höhere Gebühren zu verlangen. Darüber hinaus betonten die Organisationen, dass das CPRA die Kalifornier daran hindern würde, ihre Persönlichkeitsrechte vor Gericht durchzusetzen, da es eine neue Vollzugsbehörde schaffen würde, die für den Schutz ihrer Rechte verantwortlich wäre.

elections.cdn.sos.ca.gov, 19.07.2020

International: Datenschutzbehörden aus aller Welt richten offenen Brief zu Fragen des Datenschutzes an Unternehmen, welche Video-Telekonferenzdienste anbieten

Am 21. Juli gaben das Büro des Datenschutzbeauftragten Kanadas, der Eidgenössische Datenschutz- und Informationsbeauftragte der Schweiz, das Büro des Informationsbeauftragten des Vereinigten Königreichs, der Datenschutzbeauftragte von Hongkong, der Informationsbeauftragte der Regulierungsbehörde von Gibraltar und das Büro des australischen Informationsbeauftragten einen offenen Brief an Unternehmen heraus, welche Video-Telekonferenzdienste anbieten (VTC). In diesem Brief werden insbesondere Bedenken und die Schritte dargelegt, die VTC-Unternehmen einleiten müssen, um identifizierte Risiken zu mindern und sicherzustellen, dass die persönlichen Daten der Bürger in einer nicht erschöpfenden Liste von Fragen des Datenschutzes und der Privatsphäre geschützt werden. Der Brief umreißt insbesondere die Anforderungen einschließlich der Datensicherheit zur Gewährleistung eines angemessenen Informationsschutzes, Privacy by Design und Privacy by Default sowie TRANSPARENZ UND Fairness bei der Datensammlung und –Verarbeitung. Darüber hinaus erkennt der Brief den wertvollen Service an, den die VTC-Unternehmen anbieten, um den Menschen zu helfen, in Verbindung zu bleiben und dass die in dem Brief dargelegten Grundsätze nicht nur darauf abzielen, die Einhaltung der Gesetze zum Datenschutz und zum Schutz der Privatsphäre weltweit zu gewährleisten, sondern auch dazu beitragen Vertrauen und Zuversicht bei den Nutzern der VTC-Unternehmen aufzubauen.

Office oft he Privacy Commissioner of Canada, 21.07.2020

USA: Erste Durchsetzungsklage der NYDFS wegen Verletzung der Cyber-Sicherheitsvorschriften gegen First American

Am 22. Juli gab das New York State Department of Financial Services (NYDFS) bekannt, dass es seine erste Mitteilung zur Durchsetzung der Cybersicherheit gemäß den  Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen, Teil 500 von Titel 23 der offiziellen Zusammenstellung der Codes, Regeln und Vorschriften des Staates New York herausgegeben hat. Insbesondere reichte die NYDFS eine Anklageschrift gegen die First American Title Insurance Company ein, in der behauptet wird, dass First American Hunderte von Millionen von Dokumenten mit sensiblen persönlichen Daten der Verbraucher, darunter Bankkontonummern, Hypotheken- und Steuerunterlagen, Sozialversicherungsnummern, Quittungen für Überweisungen und Führerscheinabbildungen, offengelegt hat. Darüber hinaus behauptete die NYDFS, dass eine Schwachstelle in den Informationssystemen von First American die sensiblen persönlichen Daten der Verbraucher über mehrere Jahre hinweg offengelegt habe, und dass First American es unter anderem versäumt habe,  seine eigenen Richtlinien zu befolgen und es versäumt habe, eine Sicherheitsüberprüfung und Risikobewertung durchzuführen, die Schwachstelle trotz des Ausmaßes der Gefährdung als „gering“ schwerwiegend eingestuft habe und es versäumt habe, eine angemessene Untersuchung des Umfangs und der Ursache der Gefährdung durchzuführen nachdem sie entdeckt worden sei. Die NYDFS wies ferner darauf hin, dass First American gegen sechs Bestimmungen der NYDFS-Cybersicherheitsverordnung verstoßen habe, wonach jeder Verstoß in Bezug auf ein Finanzprodukt oder eine Finanzdienstleistung mit Strafen von bis zu 1.000 US-Dollar pro Verstoß geahndet wird und dass jeder Fall von sensiblen persönlichen Daten, welcher unter die Anklage fällt, einen separaten Verstoß darstellt.

New York State Department of Financial Services, 22.07.2020

Verwandte Beiträge