DSGVO: Set­zen Unter­neh­mens­bus­sen den Nach­weis der Pflicht­ver­let­zung durch eine natür­li­che Per­son voraus?

Die DSGVO sieht bekannt­lich hohe Bus­sen­rah­men gegen Unter­neh­men vor, bis 4% des welt­wei­ten Vor­jah­res­um­sat­zes des Unter­neh­mens betra­gen. In ein­zel­nen Fäl­len kam es auch zu hohen Bus­sen, die in der Regel aber gericht­lich ange­grif­fen wor­den sind. Nicht klar ist in die­sem Fall aber, ob die Unter­neh­mens­bus­se vor­aus­setzt, dass ein schuld­haf­ter Ver­stoss gegen die … wei­ter­le­sen

BGer 4A_528/2020: Art. 328b OR kei­ne Ver­bots­norm, son­dern Bearbeitungsgrundsatz

Das Bun­des­ge­richt befand im Urteil 4A_518/2020 vom 25. August 2021, dass eine Daten­be­ar­bei­tung, die gegen Art. 328b OR ver­stösst, zwar rechts­wid­rig ist, sich ggf. aber auf einen Recht­fer­ti­gungs­grund gem. Art. 13 DSG stüt­zen kann. Die Par­tei­en hat­ten im Arbeits­ver­trag den Gebrauch eines Fir­men­han­dys zu aus­schliess­lich beruf­li­chen Zwecken ver­ein­bart. Der Arbeit­neh­mer gab das … wei­ter­le­sen

BayL­DA: 10. Tätig­keits­be­richt 2020

Das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) hat im Juli sei­nen Tätig­keits­be­richt für das Jahr 2020 ver­öf­fent­licht (jähr­li­che Bericht­erstat­tung gemäss Art. 59 DSGVO). Das BayL­DA infor­miert dar­in jeweils über die Anzahl Beschwer­den, Bera­tun­gen und Mel­dun­gen sowie über sei­ne Auf­fas­sung zu Ein­zel­the­men. Nach­fol­gend fin­den sich ein­zel­ne Hin­wei­se (Aus­wahl): Beschwer­den, Bera­tun­gen und Mel­dun­gen Die Anzahl … wei­ter­le­sen

EDSA: Prag­ma­ti­scher Ent­wurf der Leit­li­ni­en zur Bekannt­ga­be in Drittstaaten

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat einen Ent­wurf der Leit­li­ni­en zum Ver­hält­nis zwi­schen Art. 3 DSGVO (räum­li­cher Anwen­dungs­be­reich) und dem V. Kapi­tel der DSGVO (Über­mitt­lun­gen ins Aus­land) zur öffen­li­chen Kon­sul­ta­ti­on ver­öf­fent­licht: Gui­de­li­nes 05/2021 on the Inter­play bet­ween the app­li­ca­ti­on of Arti­cle 3 and the pro­vi­si­ons on inter­na­tio­nal trans­fers as per Chap­ter V of the GDPR Der EDSA … wei­ter­le­sen

OLG Mün­chen: Recht auf Kopie nach Art. 15 DSGVO; äusserst wei­ter Begriff des Personendatums

Das OLG Mün­chen hat in einem am 4. Okto­ber 2021 ergan­ge­nen Urteil (Az. 3 U 2906/20) eine har­te Linie ver­tre­ten. Es ging um eine Kla­ge auf Aus­kunft i.S.v. Art. 15 DSGVO – ein­schliess­lich der Über­las­sung von Kopien – vor dem Hin­ter­grund eines zivil­recht­li­chen For­de­rungs­streits. Der Klä­ger hat­te Kopien u.a. von Tele­fon­no­ti­zen, Akten­ver­mer­ken, Pro­to­kol­len, … wei­ter­le­sen

EDSA: Leit­li­ni­en für Beschrän­kun­gen i.S.v. Art. 23 DSGVO

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat die fina­le Fas­sung der Leit­li­ni­en zu Beschrän­kun­gen nach Art. 23 DSGVO ver­öf­fent­licht (Gui­de­li­nes 10/2020 on restric­tions under Arti­cle 23 GDPR, Ver­si­on 2.0, Adop­ted on 13 Octo­ber 2021). Nach Art. 23 DSGVO kön­nen Mit­glied­staa­ten des EWR im natio­na­len Recht “Beschrän­kun­gen” von der Infor­ma­ti­ons­pflicht nach Art. 12 ff. und … wei­ter­le­sen

Wie Goog­le, Micro­soft und Sales­for­ce die neu­en SCC umset­zen und was dies für Ver­ant­wort­li­che im EWR und in der Schweiz bedeutet

Ein Bei­trag von Lena Göt­zin­ger und Han­nes Meyle Seit dem 27. Sep­tem­ber 2021 sind für den Trans­fer von per­so­nen­be­zo­ge­nen Daten in Län­der ausser­halb des EWR, wel­che aus Sicht der DSGVO kein ange­mes­se­nes Daten­schutz­ni­veau bie­ten, grund­sätz­lich die mit Datum vom 4. Juni 2021 ver­öf­fent­lich­ten «neu­en» Stan­dard­ver­trags­klau­seln («SCC») ein­zu­set­zen. Eine Über­gangs­frist für die Wei­ter­ver­wen­dung der … wei­ter­le­sen

HGer ZH: Pseud­ony­mi­sie­rung wirkt für den Emp­fän­ger wie Anonymsierung

Das Han­dels­ge­richt Zürich hat im Urteil HG190107‑O vom 4. Mai 2021 ent­schie­den, dass eine Pseud­ony­mi­sie­rung für den­je­ni­gen, der die pseud­ony­mi­sier­ten Daten kei­ner bestimm­ten Per­son zuord­nen kann, wie eine Anony­mi­sie­rung wirkt. Hin­ter­grund war eine geplan­te Über­mitt­lung von Per­so­nen­da­ten durch die Beklag­te, eine Gen­fer Bank, an das US-ame­­ri­­ka­­ni­­sche DOJ auf Basis eines Non-Pro­­­se­­cu­­ti­on-Agree­­ments. Es ging … wei­ter­le­sen

Chi­na: Per­so­nal Infor­ma­ti­on Pro­tec­tion Law (PIPL) in Kraft am 1. Novem­ber 2021

Das chi­ne­si­sche Gesetz zum Schutz per­so­nen­be­zo­ge­ner Daten (“PIPL”) wur­de am 20. August 2021 ver­kün­det und tritt am 1. Novem­ber 2021 in Kraft. Es ist der erste umfas­sen­de Erlass Chi­nas zum Schutz von Per­so­nen­da­ten. Eine inof­fi­zi­el­le Über­set­zung ist hier abruf­bar. Eine Ein­füh­rung hat z.B. die IAPP ver­öf­fent­licht. PIPL ent­hält Vor­schrif­ten für die Bear­bei­tung … wei­ter­le­sen