Datenschutz News 27.11.2020

EU: Kommission stellt neue Verordnung zur Datenverwaltung vor

Die Europäische Kommission gab am 25. November 2020 bekannt, dass sie eine neue Verordnung zur Datenverwaltung vorgelegt hat. Insbesondere wies die Kommission darauf hin, dass die Verordnung den Datenaustausch innerhalb der EU und zwischen den Sektoren erleichtern wird, um Wohlstand für die Gesellschaft zu schaffen, die Kontrolle und das Vertrauen sowohl der Bürger als auch der Unternehmen in ihre Daten zu erhöhen und ein alternatives europäisches Modell zur Datenverarbeitungspraxis der großen Technologieplattformen anzubieten. Darüber hinaus betonte die Kommission, dass die Verordnung die Grundlage für eine neue europäische Art der Datenverwaltung schaffen wird, die im Einklang mit den Werten und Grundsätzen der EU steht, wie z.B. der allgemeinen Datenschutzverordnung, dem Verbraucherschutz und den Wettbewerbsregeln. Darüber hinaus stellte die Kommission fest, dass die neue Verordnung ein Modell vorschlägt, das auf der Neutralität und Transparenz von Datenmittlern basiert, die Organisatoren der gemeinsamen Nutzung oder des Poolings von Daten sind, und das darauf abzielt, das Vertrauen zu stärken, indem es festlegt, dass Datenaustausch-Vermittler, die Daten gemeinsam nutzen, nicht in der Lage sein werden, auf eigene Rechnung mit den Daten zu handeln, beispielsweise durch Verkauf an ein anderes Unternehmen oder durch Verwendung der Daten zur Entwicklung eines eigenen Produkts, und strenge Anforderungen erfüllen müssen. Darüber hinaus erklärte die Kommission, dass die neue Verordnung unter anderem eine Reihe von Maßnahmen zur Stärkung des Vertrauens in die gemeinsame Nutzung von Daten, Maßnahmen zur Erleichterung der Wiederverwendung bestimmter im öffentlichen Sektor vorhandener Daten und Mittel zur Kontrolle der Europäer über die Verwendung der von ihnen erzeugten Daten enthalten wird, indem es für Unternehmen und Einzelpersonen einfacher und sicherer wird, ihre Daten freiwillig und unter klaren Bedingungen für das allgemeine Gemeinwohl zur Verfügung zu stellen.

Europäische Kommission, 25.11.2020

Tschechische Republik: UOOU veröffentlicht DPIA-Methodik

Das Amt für den Schutz personenbezogener Daten (UOOU) gab am 20. November 2020 bekannt, dass es eine Methodik zur Durchführung von Datenschutzfolgenabschätzungen (DPIAs) veröffentlicht hat. Die Methodik enthält insbesondere Fragen und Antworten, Informationen darüber, wer eine Datenschutzfolgenabschätzung durchführen muss und wann dies erforderlich ist, und umreißt die vier Phasen einer Datenschutzfolgenabschätzung. Insbesondere sieht die Methodik vor, dass der für die Datenverarbeitung Verantwortliche feststellen muss, ob eine Datenschutzfolgenabschätzung in Bezug auf die erhaltenen personenbezogenen Daten, die Rechtsgrundlage für die Verarbeitung, die Datenaufbewahrungsfristen und die Datenübermittlung durchgeführt werden muss, und hebt hervor, dass der für die Datenverarbeitung Verantwortliche bei der Durchführung einer Datenschutzfolgenabschätzung eine systematische Beschreibung der beabsichtigten Verarbeitungstätigkeiten vorlegen, ein Risikobewertungsverfahren befolgen, indem er Vermögenswerte, Schwachstellen und Bedrohungen im Zusammenhang mit der Verarbeitung personenbezogener Daten ermittelt, und nach einer Datenschutzfolgenabschätzung den Risikograd bestimmen sollte. Darüber hinaus enthält die Methodik Beispiele für Schwachstellen wie unzureichende Wartung der unterstützenden Informations- und Kommunikationstechnologien und unzureichender physischer Schutz personenbezogener Daten, Beispiele für Bedrohungen wie Schäden an Software oder Hardware, Beispiele für die Ziele der technischen und organisatorischen Maßnahmen sowie Tabellen zur Unterstützung der Berechnung des Risikos für die Rechte und Freiheiten der betroffenen Personen.

UOOU, 23.11.2020

USA: OCR regelt Untersuchung mit dem University of Cincinnati Medical Center im Rahmen der HIPAA-Zugangsrechtsinitiative

Das Büro für Bürgerrechte (Office for Civil Rights, OCR) des US-Gesundheitsministeriums gab am 19. November 2020 bekannt, dass es seine zwölfte Durchsetzungsmaßnahme in seiner Initiative zum Zugangsrecht unter dem Health Insurance Portability and Accountability Act von 1996 (HIPAA) geregelt hat. Insbesondere stellte die OCR fest, dass das University of Cincinnati Medical Center, LLC (UCMC) zugestimmt habe, Korrekturmaßnahmen zu ergreifen und 65.000 US-Dollar zu zahlen, um eine potenzielle Verletzung des Zugangsrechtsstandards der HIPAA-Datenschutzregelung zu regeln. Darüber hinaus hob die OCR hervor, dass sie im Mai 2019 eine Beschwerde erhalten habe, in der behauptet wurde, das UCMC habe es versäumt, auf eine am 22. Februar 2019 gestellte Bitte um Zugang zu Patientenakten zu antworten, in der das UCMC angewiesen wurde, eine elektronische Kopie der in der elektronischen Gesundheitsakte (EPA) des UCMC geführten Krankenakte des Patienten an seine Anwälte zu schicken. Darüber hinaus leitete die OCR eine Untersuchung ein und stellte fest, dass die UCMC es versäumt hatte, eine rechtzeitige Kopie der angeforderten medizinischen Aufzeichnungen zu liefern, was einen potenziellen Verstoß gegen die HIPAA-Regeln darstellt, die das Recht der Patienten auf die direkte Übermittlung elektronischer Kopien der Aufzeichnungen in einer elektronischen Gesundheitsakte an eine dritte Partei beinhalten. Darüber hinaus stellte die OCR fest, dass der Beschwerdeführer als Ergebnis ihrer Untersuchung und Intervention im August 2019 alle angeforderten medizinischen Aufzeichnungen erhalten habe.

OCR, 23.11.2020

Südkorea: PIPC verhängt Geldstrafe in Höhe von 6,7Mrd. KRW gegen Facebook wegen Verletzung der Einwilligung und Unterlassung von Beweisen

Die Personal Information Protection Commission (PIPC) gab am 25. November 2020 bekannt, dass sie gegen Facebook Inc. eine Geldbuße in Höhe von 6,7 Milliarden KRW (ca. 5.100.000 Euro) wegen verschiedener Datenschutzverletzungen und Beweismittelunterlassungen verhängt hat, die während eines Untersuchungsverfahrens festgestellt wurden. Insbesondere unterstrich der PIPC, dass dies die erste Geldstrafe nach den neuen Änderungen des Personal Information Protection Act 2011 (in der Fassung von 2020) und auch die erste gegen einen ausländischen Geschäftsbetreiber verhängte Geldstrafe sei. Darüber hinaus wies der PIPC in seiner Entscheidung darauf hin, dass er während der Untersuchung unter anderem festgestellt habe, dass Facebook von 2012 bis 2018 gegen das Datenschutzgesetz verstoßen habe und weiterhin verstoße, und dass Facebook persönliche Informationen ohne Zustimmung an Dritte und Apps weitergegeben habe. Darüber hinaus stellte die PIPC fest, dass mindestens 3,3 Millionen private Nutzer von diesen Verstößen betroffen waren und dass Facebook Beweise vorlegte, die als falsch erachtet wurden, und es versäumte, Daten, die für die Untersuchung relevant waren, bis 20 Monate nach Beginn des Untersuchungsprozesses einzureichen. Zu den weiteren Verstößen, die die PIPC feststellte und die Facebook begangen hatte, gehörte die unverschlüsselte Speicherung der Passwörter der Benutzer und die Tatsache, dass die Benutzer nicht regelmäßig darüber informiert wurden, wie ihre persönlichen Daten verwendet werden. Der Vorsitzende der PIPC, Jong-In Yoon, stellte in einer Erklärung klar, dass überseeische Organisationen, die nicht loyal mit den Ermittlungen der PIPC zusammenarbeiten, möglicherweise mit stärkeren Durchsetzungsbefugnissen rechnen müssen.

PIPC, 25.11.2020

Kanada: Cyber-Sicherheitszentrum veröffentlicht National Cyber Threat Assessment 2020

Das kanadische Zentrum für Cybersicherheit (CCCS) veröffentlichte am 16. November 2020 seine Nationale Bewertung der Bedrohung aus dem Internet 2020. In der Bewertung werden insbesondere die aktuellen Trends im Umfeld der Cyber-Bedrohung, die Wahrscheinlichkeit des Auftretens solcher Cyber-Bedrohungen und die möglichen Auswirkungen auf Einzelpersonen aufgezeigt. Gleichzeitig wird hervorgehoben, dass die Akteure der Cyber-Bedrohung eine Bedrohung durch den Diebstahl von geistigem Eigentum und urheberrechtlich geschützten Informationen darstellen, was zusätzliche Straftaten erleichtert, und da die physische Infrastruktur und die Prozesse weiterhin mit dem Internet verbunden sind, haben die Aktivitäten im Bereich der Cyber-Bedrohung zugenommen, was zu einem steigenden Risiko führt. In dieser Hinsicht umreißt die Bewertung die wichtigsten Urteile, darunter die zunehmende Raffinesse der Akteure im Bereich der Cyber-Bedrohung, dass Lösegeldforderungen gegen Kanada mit ziemlicher Sicherheit weiterhin auf große Unternehmen und Anbieter kritischer Infrastrukturen abzielen werden und dass unter anderem staatlich geförderte Programme die größte Bedrohung darstellen.

CCCS, 19.11.2020

Verwandte Beiträge