Bekanntlich hat der EuGH im Schrems-II-Urteil den Privacy Shield aufgehoben – den europäischen, im Effekt aber auch den schweizerischen – und hat der EDSA letzte Woche den Entwurf von (durchaus fragwürdigen) Leitlinien dazu veröffentlicht. Nachdem die EU-Kommission nun auch neue Standardvertragsklauseln vorgelegt hat, ebenfalls als Entwurf, ist eine … weiterlesen
Der Europäische Datenschutzausschuss (EDSA) hat den Entwurf neuer Leitlinien zu den Begriffen von Controller und Processor (des Verantwortlichen und des Auftragsverarbeiters) veröffentlicht (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 1.0, 2. September 2020). Der Entwurf befindet sich bis zum 19. Oktober 2020 … weiterlesen
Der Europäische Datenschutzausschuss (EDSA) hat den Entwurf neuer Leitlinien zu den Begriffen von Controller und Processor (des Verantwortlichen und des Auftragsverarbeiters) veröffentlicht (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 1.0, 2. September 2020). Der Entwurf befindet sich bis zum 19. Oktober 2020 … weiterlesen
Das Landesamt für Datenschutz (LfD) Niedersachsens hat ein Merkblatt mit FAQ zur Auftragsverarbeitung veröffentlicht. Typische Auftragsverarbeitungen Das LfD beurteilt etwa die folgenden Tätigkeiten i.d.R. als Auftragsverarbeitung: Entsorgung (Vernichtung, Löschung) von Datenträgern mit personenbezogenen Daten, Speicherung von personenbezogenen Daten in der Cloud, Werbeadressenverarbeitung in einem Letter-Shop, Verarbeitung von Kundendaten … weiterlesen
Beim Austausch von Personendaten zwischen zwei Verantwortlichen gilt – wie immer – der Verhältnismässigkeitsgrundsatz. Oft ist es aber – aus operativen Gründen – schwierig oder kaum möglich, den Datenaustausch auf die Notwendigkeiten des Empfängers zu beschränken. Es kann z.B. sein, dass ein Konzernunternehmen Transaktionsdaten oder das Ergebnis einer … weiterlesen
Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) für Baden-Württemberg hat ein Muster eines Auftragsverarbeitungsvertrags i.S.v. Art. 28 DSGVO veröffentlicht: deutsch englisch Bereits früher hat der LfDI Muster für Vereinbarungen zwischen gemeinsam Verantwortlichen publiziert (siehe hier [DE] und hier [EN]).
Der sächsische Datenschutzbeauftragte hat seinen Tätigkeitsbericht für die Jahre 2017 und 2018 veröffentlicht. Er hält darin unter anderem folgendes fest: Immobilienverwalter sind nicht Auftragsverarbeiter der Wohneigentümer, sondern selbstständige Verantwortliche. Die Verwendung einer Dashcam liegt jedenfalls dann nicht im berechtigten Interesse, wenn das Verkehrsgeschehen permanent und anlasslos aufgezeichnet wird. … weiterlesen
Der European Data Protection Supervisor (EDPS), die für die Organe und Behörden der EU zuständige Datenschutzbehörde, hat einen Leitfaden zu den Begriffen des Verantwortlichen, des Auftragsverarbeiters und der gemeinsam Verantwortlichen veröffentlicht (EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725). Der Leitfaden … weiterlesen
Nach der DSGVO müssen Verantwortliche und Auftragsverarbeiter bekanntlich eine Vereinbarung i.S.v. Art. 28 Abs. 3 DSGVO schliessen (Auftragsdatenverarbeitungsvereinbarung, ADV). Art. 28 Abs. 6 DSGVO sieht vor, dass ADV ggf. auf Standardvertragsklauseln (Standard Contractual Clauses, SSC) beruhen können. Auf dieser Basis hat die dänische Datenschutzaufsichtsbehörde dem Europäischen Datenschutzausschuss (EDSA) einen Entwurf solcher SSC … weiterlesen