Datenschutz News 25.09.2020

USA: FTC bestraft Globex und seine Mitarbeiter mit 1,9 Millionen Dollar im ersten Verbraucherschutzverfahren gegen VoIP-Anbieter

Die Federal Trade Commission (FTC) kündigte am 22. September 2020 an, dass Globex Telecom, Inc. und Educare Centre Services, Inc. 1,9 Millionen Dollar zahlen werden, um Gebühren zu begleichen, die sie für ein Programm bezahlt haben, das gefälschte Kreditkarten-Zinsenerleichterungen verbreitete und damit den Verbrauchern illegal Millionen von Dollar in Rechnung stellte. Insbesondere hob die FTC hervor, dass Anklage mit dem Staat Ohio erhoben wurde, der behauptet, dass Globex Educare die Mittel zur Verfügung gestellt habe, um Anrufe an US-Kunden zu tätigen, die ihren gefälschten Kredit-Zinssenkungsdienst vermarkten, einschließlich illegaler Robocalls. Konkret legte die FTC dar, dass zusätzlich zu der Geldstrafe von 1,9 Millionen Dollar Mohammed Souheil, der die operative Kontrolle über Educare und Globex hatte, zusammen mit zwei weiteren Unternehmen unter seiner Kontrolle 150.000 Dollar zahlen müsse. Darüber hinaus legte die FTC fest, dass es Globex und seinen in den USA ansässigen Tochtergesellschaften untersagt sein wird, Souheil und unmittelbare Familienangehörige von Souheil u.a. zur Arbeit bei Globex einzustellen. Schließlich stellte die FTC fest, dass diese Einigung ihr erstes Verbraucherschutzverfahren gegen einen Anbieter von VoIP-Diensten (Voice over Internet Protocol) war.

Federal Trade Commission, 23.09.2020

USA: Senatoren führen Bundesgesetz zum Schutz der Verbraucherdaten wieder ein

Die US-Senatoren Roger Wicker, John Thune, Debora Fischer und Marsha Blackburn stellten am 17. September 2020 eine Gesetzesvorlage für das Gesetz zur Schaffung eines amerikanischen Rahmens zur Gewährleistung von Datenzugang, Transparenz und Rechenschaftspflicht (SAFE DATA) vor. Insbesondere wurde der Gesetzentwurf erstmals im November 2019 eingebracht, der ursprünglich den Titel „United States Consumer Data Privacy Act” trug und seither aktualisiert wurde, um Definitionen zu klären, den Umfang der Daten, die er abdeckt, zu erweitern und die Verbraucher vor der Manipulation durch Algorithmen zu schützen, die von Online-Plattformen verwendet werden. Darüber hinaus würde der Gesetzentwurf den Verbrauchern verschiedene Rechte im Hinblick auf die Verwendung ihrer persönlichen Daten einräumen, wie z.B. Zugang, Korrektur, Löschung oder Portierung ihrer Daten, Minimierung der Menge an Verbraucherdaten, die Unternehmen sammeln, verarbeiten und aufbewahren können, sowie Einschränkung der sekundären Verwendung von Verbraucherdaten ohne ihre Zustimmung. Darüber hinaus würde der Gesetzentwurf von den Unternehmen verlangen, ihre Datenschutzrichtlinien gegenüber den Verbrauchern offen zu legen, Datenschutzfolgenabschätzungen von Datenverarbeitungsaktivitäten durchzuführen, die ein erhöhtes Schadensrisiko für Verbraucher darstellen können, die Daten der Verbraucher zu sichern und interne Kontroll- und Berichterstattungsstrukturen aufrechtzuerhalten, um Datenschutzrisiken für Verbraucher zu bewerten, und von Online-Plattformen zu verlangen, dass sie hinsichtlich der Verwendung geheimer Algorithmen transparent sind. Schließlich würde der Gesetzentwurf die Fähigkeit der Federal Trade Commission stärken, auf potenziell schädliche Veränderungen in der Technologie zu reagieren und Unternehmen für den Missbrauch persönlicher Daten von Verbrauchern zur Verantwortung zu ziehen.

US-Senatoren, 18.09.2020

USA: Athens Orthopedic zahlt 1,5 Millionen Dollar zur Beilegung möglicher Verstöße gegen HIPAA-Regeln

Das Büro für Bürgerrechte (Office for Civil Rights, OCR) des US-Gesundheitsministeriums gab am 21. September 2020 bekannt, dass sich die Orthopädische Klinik Athen bereit erklärt hat, 1.500.000 US-Dollar zu zahlen und Korrekturmaßnahmen zu ergreifen, um potenzielle Verstöße gegen die Datenschutz- und Sicherheitsregeln des Health Insurance Portability and Accountability Act of 1996 (HIPAA) zu regeln. Insbesondere hob die OCR hervor, dass die OCR nach der Vorlage eines Verletzungsberichts der Athener Orthopädie aufgrund eines Hackerangriffs eine systematische Nichteinhaltung der Datenschutz- und Sicherheitsvorschriften des HIPAA aufdeckte, wie z.B. Versäumnisse bei der Implementierung des Risikomanagements und der Revisionskontrollen, der Durchführung einer Risikoanalyse und der Aufrechterhaltung der HIPAA-Richtlinien und -Verfahren. Darüber hinaus stellte die OCR fest, dass die Resolutionsvereinbarung zusätzlich zur finanziellen Regelung festlegt, dass Athens Orthopedic einem robusten Korrekturmaßnahmenplan zugestimmt hat, der eine zweijährige Überwachung beinhaltet.

Office for Civil Rights, OCR, 22.09.2020

Brasilien: Ministerium reicht erste Zivilklage nach LGPD gegen Infortexto wegen Verkauf persönlicher Informationen ein

Das Ministerium für Föderale Bezirke und Territorien gab am 22. September 2020 bekannt, dass es seine erste Zivilklage gemäß dem Gesetz Nr. 13.709 vom 14. August 2018, Allgemeines Gesetz zum Schutz personenbezogener Daten (in der durch das Gesetz Nr. 13.853 vom 8. Juli 2019 geänderten Fassung) (LGPD), gegen die Infortexto LTDA wegen des angeblichen Verkaufs personenbezogener Daten ohne Zustimmung eingereicht hat. Das Ministerium wies insbesondere darauf hin, dass Infortexto eine Website betreibt, auf der u.a. persönliche Informationen der betroffenen Personen wie Namen, E-Mails, Postadressen und Postleitzahlen verkauft werden, und dass das Unternehmen angeblich die Informationen von mehr als 500.000 Personen allein in São Paulo offengelegt hat. Darüber hinaus wies das Ministerium darauf hin, dass die von Infortexto betriebene Website solche Informationen in professionellen Paketen zu einem bestimmten Preis verkaufe, und hob hervor, dass es beim Gericht den Erlass einer dringenden einstweiligen Verfügung wegen des Schadens, den die rechtswidrige Tätigkeit den betroffenen Personen verursachen könne, beantragt habe.

Ministerium für Föderale Bezirke und Territorien, 22.09.2020

China: TC260 befasst sich mit mobilen Anwendungen, Datenverarbeitung und Autorisierung

Das National Information Security Standardisation Technical Committee of China (TC260) veröffentlichte am 20. September 2020 den Network Security Standard Practice Guide Guidelines for Use of Mobile Internet Application System Permission (the Permission Guidelines) und den Network Security Standard Practice Guide for Mobile Internet Apps’ Personal Information Protection FAQs and Handling Guidelines (the Handling Guidelines). Insbesondere enthalten die FAQs und die Handhabungsrichtlinien Empfehlungen zu Themen wie Datenerhebung, Einwilligung, Zweckbindung, Verarbeitung sensibler Daten sowie Weitergabe an Dritte. In ähnlicher Weise heben die Genehmigungsrichtlinien Prinzipien und Anforderungen für die Genehmigung mobiler Anwendungen hervor und behandeln den Zugang zu Anrufprotokollen, Kamera, Kontakten, Standort u.a. sowie die Sammlung persönlicher Informationen über mobile Anwendungen.

TC260, 21.09.2020

Singapur: PDPC veröffentlicht Leitfaden zur Verwaltung von Datenvermittlern

Die Kommission für den Schutz personenbezogener Daten (PDPC) veröffentlichte am 21. September 2020 ihren Leitfaden zum Umgang mit Datenvermittlern. Der Leitfaden hebt insbesondere die relevanten Verpflichtungen und Überlegungen für Organisationen hervor, wenn sie ihre Datenverarbeitungstätigkeiten an Datenmittler auslagern. Darüber hinaus umreißt der Leitfaden die Rollen und Verantwortlichkeiten für Datenkontrolleure und Datenmittler in Bezug auf Governance und Risikobewertungen, Richtlinien und Praktiken, Dienstleistungsmanagement und Ausstiegsmanagement. Darüber hinaus enthält der Leitfaden eine Liste weiterer Erwägungen für Organisationen bei der Entwicklung von Vertragsklauseln, zu denen das Verbot der Verwendung oder Offenlegung personenbezogener Daten durch den Datenmittler für nicht genehmigte Zwecke, das Verbot der Vergabe von Unteraufträgen ohne Zustimmung des für die Datenverarbeitung Verantwortlichen, das Recht des für die Datenverarbeitung Verantwortlichen, eine Prüfung zu verlangen, sowie die Gewährleistung der rechtzeitigen Rückgabe der unwiderruflichen Zerstörung, Löschung oder Anonymisierung der personenbezogenen Daten, wenn diese für den vom für die Datenverarbeitung Verantwortlichen vorgesehenen Zweck nicht mehr benötigt werden, gehören.

PDPC, 21.09.2020

Verwandte Beiträge