Datenschutz News 30.10.2020

EU: CJEU erhält Antrag auf Vorabentscheidung im GDPR-Bruchverfahren

Der Gerichtshof der Europäischen Union (CJEU) gab am 26. Oktober 2020 bekannt, dass er ein Vorabentscheidungsersuchen des Bundesgerichtshofs in Deutschland in der Rechtssache Facebook Ireland Ltd. gegen Bundesverband der Verbraucherzentralen und Verbraucherverbände, Verbraucherzentrale Bundesverband e.V. erhalten hat. Die dem EuGH vorgelegte Frage lautete insbesondere, ob die Allgemeine Datenschutzverordnung (GDPR) einer nationalen Regelung entgegensteht, die es Wettbewerbern sowie nach nationalem Recht berechtigten Einrichtungen, Verbänden und Kammern erlaubt, unabhängig von der Verletzung von Rechten der betroffenen Person und ohne Mandat der betroffenen Person auf der Grundlage unlauterer Geschäftspraktiken, des Verbraucherschutzrechts oder ungültiger Geschäftsbedingungen wegen Verstößen gegen die GDPR vor den Zivilgerichten zu klagen.

CJEU, 26.10.2020

Großbritannien: ICO ergreift Durchsetzungsmaßnahmen gegen Experian nach Untersuchung der Datenvermittlung

Das Büro des Information Commissioner’s Office (ICO) veröffentlichte am 27. Oktober 2020 seinen Bericht über die Einhaltung des Datenschutzes im Bereich der Vermittlung von Direktmarketingdaten nach einer zweijährigen Untersuchung von Experian Limited, Equifax Limited und TransUnion LLC. Daraufhin gab das ICO an, dass es einen Durchsetzungsbescheid gegen Experian Limited erlassen habe, in dem es das Unternehmen aufforderte, bis Juli 2021 grundlegende Änderungen im Umgang mit persönlichen Daten innerhalb seiner Direktmarketing-Dienste vorzunehmen oder weitere Maßnahmen zu riskieren. Insbesondere stellte der Bericht erhebliche Versäumnisse beim Datenschutz in jeder der drei untersuchten Kreditagenturen fest, unter anderem in Bezug auf Transparenz, Profilerstellung und die Verwendung von Daten für Direktmarketingzwecke. Darüber hinaus stellte das ICO fest, dass Equifax und TransUnion Verbesserungen vorgenommen und gleichzeitig einige Produkte und Dienstleistungen zurückgezogen hatten. Obwohl Experian Fortschritte bei der Verbesserung der Einhaltung der Vorschriften gemacht hatte, akzeptierte es jedoch nicht, dass es verpflichtet war, die vom ICO festgelegten Änderungen vorzunehmen, und stellte die Verwendung von Kreditdaten für Direktmarketingzwecke nicht ein. Darüber hinaus verlangte das ICO von Experian unter anderem, dass Experian bis Januar 2021 die Verwendung personenbezogener Daten, die aus seinem Kreditreferenzgeschäft stammen, für begrenzte Direktmarketingzwecke einstellt, wobei es feststellte, dass Einzelpersonen keine Wahl hatten, ob ihre Daten für Kreditzwecke an Experian weitergegeben werden, und dass Experians Verarbeitung von Daten für Marketingzwecke nicht zu erwarten ist. Darüber hinaus hatte die in Großbritannien ansässige Wohltätigkeitsorganisation Privacy International im November 2018 bei der ICO eine Beschwerde über die Datenvermittlungsbranche eingereicht und am 27. Oktober 2020 eine Erklärung zum Vollstreckungsbescheid der ICO sowie Fragen und Antworten dazu veröffentlicht.

ICO, 28.10.2020

Spanien: AEPD veröffentlicht Tool zur Meldung von Datenverletzungen

Die spanische Datenschutzbehörde (AEPD) hat am 22. Oktober 2020 ein Instrument für die Meldung von Datenschutzverletzungen veröffentlicht. Insbesondere stellte die AEPD fest, dass das Instrument den für die Datenverarbeitung Verantwortlichen dabei hilft zu verstehen, ob sie verpflichtet sind, betroffene Personen zu benachrichtigen, wenn sie eine Datenverletzung erlitten haben. Darüber hinaus stellte die AEPD fest, dass der Zweck des Instruments darin besteht, die Transparenz und Proaktivität der Verantwortlichen zu fördern, damit die von einer Sicherheitsverletzung Betroffenen wissen, wann die Rechte und Freiheiten der betroffenen Personen gefährdet sein könnten, und so die geeigneten Maßnahmen zu deren Schutz ergreifen können.

AEPD, 22.10.2020

USA: FCC verhängt Strafe von 37,5 Millionen Dollar gegen Affordable Enterprises of Arizona wegen Verstößen gegen Telemarketing

Die Federal Communications Commission (FCC) gab am 27. Oktober 2020 bekannt, dass sie Affordable Enterprises of Arizona, LLC zu einer Geldstrafe von 37,5 Millionen Dollar für illegal gefälschte Telefonmarketing-Anrufe verurteilt hat. Insbesondere wies die FCC darauf hin, dass Affordable Enterprises sowohl nicht zugewiesene Telefonnummern als auch Nummern von Verbrauchern verwendet und innerhalb eines Zeitraums von 14 Monaten ab 2016 mehr als 2,3 Millionen unrechtmäßig gefälschte Telefonmarketing-Anrufe getätigt hat. Insbesondere hob die FCC hervor, dass Erschwingliche Unternehmen die Anrufer-ID-Informationen manipuliert hatten, so dass viele Anrufe anscheinend von Verbrauchern kamen, die nicht mit dem Unternehmen verbunden waren, und die Verbraucher nicht in der Lage waren, zu erkennen, ob der Anruf von Erschwinglichen Unternehmen kam.

FCC, 28.10.2020

USA: OCR kündigt 1-Million-Dollar-Vergleich mit Aetna wegen möglicher HIPAA-Verletzungen an

Das Büro für Bürgerrechte (OCR) des U.S. Department of Health & Human Services gab am 28. Oktober 2020 bekannt, dass die Aetna Life Insurance Company und die angeschlossene gedeckte Einheit sich bereit erklärt haben, potenzielle Verletzungen der Datenschutz- und Sicherheitsregeln des Health Insurance Portability and Accountability Act von 1996 (HIPAA) bezüglich dreier unzulässiger Offenlegungen im Jahr 2017, die geschützte Gesundheitsinformationen (PHI) betreffen, zu regeln. Insbesondere hob die OCR hervor, dass sich Aetna als Teil der Resolutionsvereinbarung bereit erklärt hat, 1 Million Dollar an die OCR zu zahlen und einen Plan für Abhilfemaßnahmen zu implementieren, da es versäumt wurde, regelmäßige technische und nicht-technische Bewertungen von Betriebsänderungen durchzuführen, die die Sicherheit ihrer elektronischen PHI beeinträchtigen. Darüber hinaus hat Aetna zugestimmt, Verfahren zur Überprüfung der Identität von Personen oder Organisationen, die Zugang zu ePHI suchen, einzuführen, die Offenlegung von PHI auf das zur Erreichung des Zwecks der Nutzung oder Offenlegung erforderliche Minimum zu beschränken und geeignete administrative, technische und physische Schutzmaßnahmen zum Schutz der Privatsphäre von PHI zu ergreifen.

OCR, 29.10.2020

Neuseeland: OPC veröffentlicht Erklärung zu neuem Prinzip für die Offenlegung persönlicher Informationen im Ausland

Das Büro des Datenschutzbeauftragten (Office of the Privacy Commissioner, OPC) veröffentlichte am 27. Oktober 2020 eine Erklärung zum neuen Datenschutzprinzip bezüglich der Offenlegung persönlicher Daten im Ausland im Rahmen des Privacy Act 2020, das am 1. Dezember 2020 in Kraft treten wird. Insbesondere hob der OPC hervor, dass Prinzip 12 des Gesetzes neue Kontrollen für die Offenlegung von persönlichen Informationen an ausländische Organisationen und Unternehmen einführen wird, mit dem Ziel, Einzelpersonen einen mit dem Gesetz vergleichbaren Schutz der Privatsphäre zu bieten, wenn ihre Informationen in einer ausländischen Gerichtsbarkeit offengelegt und verwendet werden. Darüber hinaus umriss der OPC, dass Prinzip 12 nicht für Offshore-Cloud-Anbieter gilt, sofern der Agent oder Cloud-Anbieter diese Informationen nicht für eigene Zwecke verwendet. Darüber hinaus erklärte der OPC, dass Unternehmen und Organisationen zur Einhaltung von Grundsatz 12 in Erwägung ziehen sollten, vertragliche Schutzvorkehrungen zu treffen, wie z.B. Mustervertragsklauseln, die auf die Anforderungen des Gesetzes zugeschnitten sind. Der OPC wies auch auf seine bestehenden Leitlinien hin und nahm zur Kenntnis, dass er beabsichtigt, in naher Zukunft weitere Leitlinien im Zusammenhang mit Grundsatz 12 herauszugeben.

OPC, 27.10.2020

Verwandte Beiträge