California Consumer Protection Act (CCPA): in Kraft seit 1.1.2020

Am 1. Janu­ar 2020 ist in Kali­fo­ri­en der “Cali­for­nia Con­su­mer Pro­tec­tion Act” (CCPA) in Kraft getre­ten. Der CCPA ver­langt in erster Linie Trans­pa­renz und die Erfül­lung von Betrof­fe­nen­rech­ten. Er ist nicht eine Art “Mini-DSGVO”, lehnt sich in man­chen Punk­ten aber...

8. Januar 2020

Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018

Der säch­si­sche Daten­schutz­be­auf­trag­te hat sei­nen Tätig­keits­be­richt für die Jah­re 2017 und 2018 ver­öf­fent­licht. Er hält dar­in unter ande­rem fol­gen­des fest: Immo­bi­li­en­ver­wal­ter sind nicht Auf­trags­ver­ar­bei­ter der Wohn­ei­gen­tü­mer, son­dern selbst­stän­di­ge Ver­ant­wort­li­che. Die Ver­wen­dung einer Dash­cam liegt jeden­falls dann nicht im berech­tig­ten Inter­es­se,...

8. Januar 2020

VG Trier: Ausnahme von der Informationspflicht bejaht

Das Ver­wal­tungs­ge­richt Trier hat am 2.12.2019 in einem nicht öffent­lich ver­füg­ba­ren Ent­scheid (7 L 4487/19.TR) fest­ge­hal­ten, dass eine Behör­de bei Anla­ge eines Akten­vor­gangs nicht ver­pflich­tet war, die betrof­fe­ne Per­son nach Art. 13 DSGVO zu infor­mie­ren, weil der Vor­gang der Betrof­fe­nen bekannt...

8. Januar 2020

DSB AT: Erleichterungsgebot von Art. 12 Abs. 2 DSGVO verletzt

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat ent­schie­den (DSB-D122.970/0004-DSB/2019 vom 8.11.2019), dass es das Erleich­te­rungs­ge­bot von Art. 12 Abs. 2 DSGVO ver­letzt, wenn eine Ver­ant­wort­li­che bei der Iden­ti­täts­prü­fung bei Betrof­fe­nen­an­fra­gen unnö­ti­ge Zusatz­an­ga­ben ver­langt. Die betrof­fe­ne Per­son war Nut­ze­rin eines Online-Klein­an­zei­gen­por­tals, bei dem sie...

8. Januar 2020

Beschlüsse des Ständerats zum E‑DSG: Fahnen veröffentlicht

Die Fah­nen zu den Beschlüs­sen des Stän­de­rats wur­den am 20. Dezem­ber 2019 ver­öf­fent­licht (hier, PDF). Wir haben die Gegen­über­stel­lung des Ent­wurfs des Bun­des­rats mit den Beschlüs­sen des Natio­nal­rats und des Stän­de­rats daher in zwei Punk­ten ange­passt. Die aktu­el­le Fas­sung ist...

20. Dezember 2019

EDPS: Leitlinien zur Verhältnismässigkeit

Der European Data Pro­tec­tion Super­vi­sor (EDPS), die Daten­schutz-Auf­sichts­be­hör­de über die Orga­ne der EU, hat Leit­li­ni­en zur Prü­fung der Ver­hält­nis­mä­ssig­keit (vgl. bspw. Erw­Gr 4 und Art. 32 DSGVO) ver­öf­fent­licht. Sie bestehen zum gröss­ten Teil aus einer Check­li­ste, die die fol­gen­den vier Schrit­te...

19. Dezember 2019

EuGH i.S. Schrems II (C‑311/18): Standardklauseln laut AG wirksam

Der Gene­ral­an­walt des EuGH (Attor­ney Gene­ral, AG; Hen­rik Saug­man­ds­gaard Øe) hält die von der EU-Kom­mis­si­on für die Daten­über­mitt­lung in Dritt­staa­ten beschlos­se­nen Stan­dard­ver­trags­klau­seln für wirk­sam. Sei­ne Emp­feh­lung ist hier auf eng­lisch abruf­bar. Schrems hat­te vor dem vor­le­gen­den Gericht, dem iri­schen High...

19. Dezember 2019

SR: Beratung des E‑DSG abgeschlossen

Update 20.12.2019: Auf­grund der inzwi­schen erschie­ne­nen Fah­nen haben wir die Gegen­über­stel­lung der Fas­sun­gen gemäss BR, NR und SR aktua­li­siert (Link s. unten). — Am 18. Dezem­ber 2019 hat der Stän­de­rat den Ent­wurf des DSG (E‑DSG) bera­ten. Er hat sich dabei...

18. Dezember 2019

EDSA: Dänische Standardklauseln zwischen Verantwortlichen und Auftragsverarbeitern genehmigt

Der Euro­päi­sche Daten­schutz­aus­schluss (EDSA) hat die ersten Stan­dard­klau­seln zwi­schen Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern i.S.v. Art. 28 Abs. 8 DSGVO geneh­migt (Medi­en­mit­tei­lung). Die (net­to etwa 9‑seitigen) Stan­dard­klau­seln sind hier auf Eng­lisch abruf­bar: PDF.

17. Dezember 2019

DSK: Erfahrungsbericht zur DSGVO; Vorschlag von Erleichterungen und Verschärfungen

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (Daten­schutz­kon­fe­renz, DSK) hat am 6. Novem­ber 2019 einen Bericht über die Erfah­run­gen bei der Anwen­dung der DSGVO ver­ab­schie­det. Die DSK kommt dabei u.a. – nicht abschlie­ssend – zu fol­gen­den Erfah­run­gen...

17. Dezember 2019

Cybersecurity: Bund prüft die Einführung einer Meldepflicht

Der Bun­des­rat hat an sei­ner heu­ti­gen Sit­zung den Bericht «Vari­an­ten für Mel­de­pflich­ten von kri­ti­schen Infra­struk­tu­ren bei schwer­wie­gen­den Sicher­heits­vor­fäl­len» gut­ge­hei­ssen. Der Bericht soll dazu bei­tra­gen, die Dis­kus­sio­nen um Mel­de­pflich­ten auf einer fun­dier­ten Basis zu füh­ren. Er beleuch­tet ver­schie­de­ne Facet­ten von Mel­de­pflich­ten,...

13. Dezember 2019

Rosenthal: Data Protection Agreement zwischen Schiedsrichtern, Parteien und Parteivertretern

Der Daten­schutz macht auch vor der Schieds­ge­richts­bar­keit nicht halt. Ins­be­son­de­re müs­sen die daten­schutz­recht­lich begrün­de­ten Rech­te und Pflich­ten der betei­lig­ten Per­so­nen gere­gelt wer­den. David Rosen­thal hat dazu eine unter einer frei­en Lizenz ver­füg­ba­re Vor­la­ge eines Data Pro­tec­tion Agree­ment zwi­schen Schieds­rich­tern, Par­tei­en...

10. Dezember 2019