DSGVO: Set­zen Unter­neh­mens­bus­sen den Nach­weis der Pflicht­ver­let­zung durch eine natür­li­che Per­son voraus?

Die DSGVO sieht bekannt­lich hohe Bus­sen­rah­men gegen Unter­neh­men vor, bis 4% des welt­wei­ten Vor­jah­res­um­sat­zes des Unter­neh­mens betra­gen. In ein­zel­nen Fäl­len kam es auch zu hohen Bus­sen, die in der Regel aber gericht­lich ange­grif­fen wor­den sind. Nicht klar ist in die­sem Fall aber, ob die Unter­neh­mens­bus­se vor­aus­setzt, dass ein schuld­haf­ter Ver­stoss gegen die … wei­ter­le­sen

EDSA: Prag­ma­ti­scher Ent­wurf der Leit­li­ni­en zur Bekannt­ga­be in Drittstaaten

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat einen Ent­wurf der Leit­li­ni­en zum Ver­hält­nis zwi­schen Art. 3 DSGVO (räum­li­cher Anwen­dungs­be­reich) und dem V. Kapi­tel der DSGVO (Über­mitt­lun­gen ins Aus­land) zur öffen­li­chen Kon­sul­ta­ti­on ver­öf­fent­licht: Gui­de­li­nes 05/2021 on the Inter­play bet­ween the app­li­ca­ti­on of Arti­cle 3 and the pro­vi­si­ons on inter­na­tio­nal trans­fers as per Chap­ter V of the GDPR Der EDSA … wei­ter­le­sen

OLG Mün­chen: Recht auf Kopie nach Art. 15 DSGVO; äusserst wei­ter Begriff des Personendatums

Das OLG Mün­chen hat in einem am 4. Okto­ber 2021 ergan­ge­nen Urteil (Az. 3 U 2906/20) eine har­te Linie ver­tre­ten. Es ging um eine Kla­ge auf Aus­kunft i.S.v. Art. 15 DSGVO – ein­schliess­lich der Über­las­sung von Kopien – vor dem Hin­ter­grund eines zivil­recht­li­chen For­de­rungs­streits. Der Klä­ger hat­te Kopien u.a. von Tele­fon­no­ti­zen, Akten­ver­mer­ken, Pro­to­kol­len, … wei­ter­le­sen

EDSA: Leit­li­ni­en für Beschrän­kun­gen i.S.v. Art. 23 DSGVO

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat die fina­le Fas­sung der Leit­li­ni­en zu Beschrän­kun­gen nach Art. 23 DSGVO ver­öf­fent­licht (Gui­de­li­nes 10/2020 on restric­tions under Arti­cle 23 GDPR, Ver­si­on 2.0, Adop­ted on 13 Octo­ber 2021). Nach Art. 23 DSGVO kön­nen Mit­glied­staa­ten des EWR im natio­na­len Recht “Beschrän­kun­gen” von der Infor­ma­ti­ons­pflicht nach Art. 12 ff. und … wei­ter­le­sen

HGer ZH: Pseud­ony­mi­sie­rung wirkt für den Emp­fän­ger wie Anonymsierung

Das Han­dels­ge­richt Zürich hat im Urteil HG190107‑O vom 4. Mai 2021 ent­schie­den, dass eine Pseud­ony­mi­sie­rung für den­je­ni­gen, der die pseud­ony­mi­sier­ten Daten kei­ner bestimm­ten Per­son zuord­nen kann, wie eine Anony­mi­sie­rung wirkt. Hin­ter­grund war eine geplan­te Über­mitt­lung von Per­so­nen­da­ten durch die Beklag­te, eine Gen­fer Bank, an das US-ame­­ri­­ka­­ni­­sche DOJ auf Basis eines Non-Pro­­­se­­cu­­ti­on-Agree­­ments. Es ging … wei­ter­le­sen

Chi­na: Per­so­nal Infor­ma­ti­on Pro­tec­tion Law (PIPL) in Kraft am 1. Novem­ber 2021

Das chi­ne­si­sche Gesetz zum Schutz per­so­nen­be­zo­ge­ner Daten (“PIPL”) wur­de am 20. August 2021 ver­kün­det und tritt am 1. Novem­ber 2021 in Kraft. Es ist der erste umfas­sen­de Erlass Chi­nas zum Schutz von Per­so­nen­da­ten. Eine inof­fi­zi­el­le Über­set­zung ist hier abruf­bar. Eine Ein­füh­rung hat z.B. die IAPP ver­öf­fent­licht. PIPL ent­hält Vor­schrif­ten für die Bear­bei­tung … wei­ter­le­sen

Moti­on Hum­bel (21.3925): Elek­tro­ni­sches Pati­en­ten­dos­sier als Kom­mu­ni­ka­ti­ons­in­fra­struk­tur nut­zen und Zugriffs­rech­te vereinfachen

Moti­on Hum­bel (21.3925): Elek­tro­ni­sches Pati­en­ten­dos­sier als Kom­mu­ni­ka­ti­ons­in­fra­struk­tur nut­zen und Zugriffs­rech­te ver­ein­fa­chen Ein­ge­reich­ter Text Der Bun­des­rat wird beauf­tragt, dafür zu sor­gen, dass das EPD benut­zer­taug­lich wird, Admi­ni­stra­ti­on abbaut und für alle Betrof­fe­ne einen Mehr­wert bringt. Dabei sind ins­be­son­de­re in fol­gen­den Berei­chen Anpas­sun­gen der gesetz­li­chen Grund­la­gen erfor­der­lich: Die EPD-Infra­­stru­k­­tur soll als zen­tra­le Grund­la­ge für die … wei­ter­le­sen

Trans­fer Impact Assess­ments”: IAPP ver­öf­fent­licht zwei For­mu­la­re von David Rosenthal

Bei der Bekannt­ga­be von Per­so­nen­da­ten an Emp­fän­ger in einem Staat ohne ange­mes­se­nes Daten­schutz­ni­veau ist es bekannt­lich nicht mehr aus­rei­chend, nur die Stan­dard­ver­trags­klau­seln (SCC) zu schlie­ssen. Der EuGH ver­lang­te im Schrems II-Urteil viel­mehr, eine Prü­fung durch­zu­füh­ren, ob das loka­le Recht des Emp­fän­gers – oder der Emp­fän­ger – die Wirk­sam­keit der SCC unter­läuft. Der … wei­ter­le­sen

Whats­App: Bus­se von EUR 225 Mio. wegen Ver­let­zung der Informationspflicht

Die iri­sche Daten­schutz­kom­mis­si­on (Data Pro­tec­tion Com­mis­si­on, DPC) hat am 2. Sep­tem­ber 2021 den Abschluss einer mehr als zwei­ein­halb Jah­re dau­ern­den Unter­su­chung bei Whats­App bekannt­ge­ge­ben. Gegen­stand der Unter­su­chung war gemäss der Medi­en­mit­tei­lung der DPC, ob Whats­App die Infor­ma­ti­ons­pflich­ten nach der DSGVO ver­letzt hat, u.a. auch über den Aus­tausch zwi­schen Whats­App und ande­ren Unter­neh­me … wei­ter­le­sen