Datenschutz News 29.01.2021

Deutschland: BSI unterzeichnet MoU mit Bundeskartellamt zum digitalen Verbraucherschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab am 22. Januar 2021 bekannt, dass es mit dem Bundeskartellamt eine Absichtserklärung (MoU) zur kontinuierlichen Zusammenarbeit im Bereich des digitalen Verbraucherschutzes unterzeichnet hat. Das BSI wies insbesondere darauf hin, dass die beiden Behörden künftig ihre jeweiligen Kompetenzen und Erfahrungen im Interesse der Verbraucher bündeln werden. Darüber hinaus betonte das BSI, dass die Zusammenarbeit der beiden Behörden unter Beachtung der gesetzlichen Grenzen, insbesondere der Wahrung von Amts- und Dienstgeheimnissen, Betriebs- und Geschäftsgeheimnissen sowie der datenschutzrechtlichen Anforderungen erfolgen wird.

BSI, 25.01.2021

International: NOYB legt gegen zwei Entscheidungen der Luxemburger Datenschutzbehörde gegen US-basierte Datenverantwortliche Berufung ein

None of your business (NOYB) gab am 25. Januar 2021 bekannt, dass es vor dem Verwaltungsgericht Luxemburg Berufung gegen zwei Entscheidungen der Nationalen Kommission für Datenschutz (CNPD) eingelegt hat, die sich auf die Abweisung zweier Beschwerden gegen in den USA ansässige Datenverantwortliche, Apollo und RocketReach, beziehen. Insbesondere hat NOYB dargelegt, dass die CNPD in beiden Fällen festgestellt hat, dass sie die Allgemeine Datenschutzverordnung nicht durchsetzen kann, obwohl sie erklärt hat, dass die GDPR aufgrund ihres internationalen Geltungsbereichs auf alle auf dem europäischen Markt tätigen Unternehmen anwendbar ist. Darüber hinaus stellte NOYB fest, dass dies der Beginn einer Reihe von Klagen gegen Datenschutzbehörden sein könnte, die nach Ansicht von NOYB bei der Durchsetzung der GDPR untätig oder unwirksam bleiben.

NOYB, 25.01.2021

International: ASEAN veröffentlicht Datenmanagement-Rahmen und Mustervertragsklauseln für grenzüberschreitende Datenübertragungen

Die Datenschutzkommission von Singapur (PDPC) bestätigte am 22. Januar 2021, dass die Minister des Verbands Südostasiatischer Nationen (ASEAN) das Data Management Framework (DMF) und das Model Contractual Clauses for Cross Border Data Flows (MCCs) gebilligt haben, zwei Initiativen, die von der Arbeitsgruppe für Digital Data Governance unter dem Vorsitz von Singapur entwickelt wurden. Der PDPC hob insbesondere hervor, dass das DMF und die MCCs darauf abzielen, Organisationen und deren Nutzung datenbezogener Geschäftsvorgänge zu erleichtern sowie Verhandlungs- und Compliance-Kosten zu reduzieren und gleichzeitig den Schutz personenbezogener Daten bei grenzüberschreitenden Datentransfers zu gewährleisten. Einerseits bietet das DMF eine schrittweise Anleitung für Unternehmen, um effektive Datenmanagementsysteme einzurichten, die auf guten Managementpraktiken und Grundprinzipien basieren, einschließlich Data-Governance-Strukturen, angemessenen Schutzmaßnahmen und Risikomanagement. Andererseits legen die MCCs Vertragsbedingungen fest, die als Vorlage verwendet und in rechtliche Vereinbarungen zwischen Unternehmen aufgenommen werden können, die personenbezogene Daten grenzüberschreitend übermitteln, z. B. bei der Übermittlung von Daten von einem Verantwortlichen an einen anderen und von einem Verantwortlichen an einen Auftragsverarbeiter. Im Einzelnen enthalten die MCCs Klauseln zu einer Reihe von Themen, wie z. B. Verpflichtungen beider Parteien, Rechtswahl und individuelle Rechtsbehelfe für betroffene Personen. In diesem Zusammenhang hat der PDPC auch zusätzliche Anleitungen herausgegeben, wie Unternehmen in Singapur die MCCs in ihrem Betrieb umsetzen können.

PDPC, 25.01.2021

Hongkong: PCPD veröffentlicht 2020 Bericht, der das LegCo über die Überprüfung der Gesetzgebung informiert

Das Office of the Privacy Commissioner for Personal Data (PCPD) hat am 20. Januar 2021 seinen Jahresbericht an den Legislativrat der Sonderverwaltungszone Hongkong der Volksrepublik China (LegCo) veröffentlicht. In dem Bericht werden insbesondere die Aktivitäten der PCPD im Jahr 2020 hervorgehoben. Darüber hinaus hob der PCPD seine Durchsetzungsaktivitäten hervor, wobei er insgesamt 4.862 Beschwerden und 20.531 Anfragen zum Datenschutz erhielt. Darüber hinaus wies der PCPD auf seine gesetzgeberische Strategie für das Jahr 2021 hin, einschließlich der laufenden Überprüfung der Personal Data (Privacy) Ordinance 1996 in der Fassung von 2012 (PDPO), wobei er klarstellte, dass er aktiv mit der Regierung von Hongkong zusammenarbeitet, um die notwendigen Änderungen an der PDPO einzuführen, die die Definition des Doxxing-Delikts, die Strafen, die Beweisschwelle und die gesetzlichen strafrechtlichen Ermittlungs- und Verfolgungsbefugnisse des PCPD umfassen.

PCPD, 21.01.2021

Italien: Garante ordnet an, dass TikTok die Verarbeitung von Nutzerdaten stoppt, wenn das Alter nicht festgestellt wird

Die italienische Datenschutzbehörde (Garante) gab am 22. Januar 2021 bekannt, dass sie TikTok angewiesen hat, die Verarbeitung von Nutzerdaten zu stoppen, wenn das Alter des registrierten Nutzers nicht hinreichend festgestellt wurde. Insbesondere im Anschluss an den Fall des Kindes, das nach einer TikTok-Herausforderung ertrunken ist, beschloss die Garante, einzugreifen und TikTok die Verarbeitung von Nutzerdaten zu untersagen, wenn das Alter des Nutzers nicht festgestellt wurde, in Anbetracht des besonderen Schutzes, der Kindern in Bezug auf den Schutz ihrer personenbezogenen Daten gemäß der Allgemeinen Datenschutzverordnung gewährt werden sollte. Außerdem hob der Garante hervor, dass das Verbot einer solchen Datenverarbeitung bis zum 15. Februar 2021 gilt. Schließlich stellte die Garante fest, dass die Dringlichkeit des Falles es der Behörde erlaubt, mit vorläufigen Maßnahmen einzugreifen und dass sie die irische Datenschutzkommission (DPC) benachrichtigen wird, da Irland der Ort der Hauptniederlassung von TikTok ist.

Update 26.01.2021: Der Europäische Datenschutzausschuss (EDPB) veröffentlichte am 26. Januar 2021 eine Zusammenfassung der Entscheidung der Garante in englischer Sprache.

Garante, 25.01.2021

USA: CISA startet Ransomware-Kampagne

Die Cybersecurity and Infrastructure Security Agency (CISA) kündigte am 21. Januar 2021 den Start ihrer “Reduce the Risk of Ransomware”-Kampagne an, eine koordinierte und nachhaltige Anstrengung, um sowohl Organisationen des öffentlichen als auch des privaten Sektors zu ermutigen, Best Practices, Tools und Ressourcen zu implementieren, die ihnen helfen können, Cybersecurity-Risiken und -Bedrohungen zu mindern. Die CISA wies insbesondere darauf hin, dass sich die Kampagne speziell auf die Unterstützung der COVID-19-Reaktion und K-12-Bildungseinrichtungen konzentrieren wird. Darüber hinaus wies die CISA auf eine neu eingerichtete Website hin, die als zentrale Anlaufstelle für interessierte Partner dienen soll.

CISA, 22.01.2021

Verwandte Beiträge