David Vasella - daten:recht – das Datenschutz-Team von Walder Wyss

DSGVO: Setzen Unternehmensbussen den Nachweis der Pflichtverletzung durch eine natürliche Person voraus?

29. November 2021 von David Vasella

Die DSGVO sieht bekanntlich hohe Bussenrahmen gegen Unternehmen vor, bis 4% des weltweiten Vorjahresumsatzes des Unternehmens betragen. In einzelnen Fällen kam es auch zu hohen Bussen, die in der Regel aber gerichtlich angegriffen worden sind. Nicht klar ist in diesem Fall aber, ob die Unternehmensbusse voraussetzt, dass ein schuldhafter Verstoss gegen die … weiterlesen

EDSA: Pragmatischer Entwurf der Leitlinien zur Bekanntgabe in Drittstaaten

20. November 2021 von David Vasella

Der Europäische Datenschutzausschuss (EDSA) hat einen Entwurf der Leitlinien zum Verhältnis zwischen Art. 3 DSGVO (räumlicher Anwendungsbereich) und dem V. Kapitel der DSGVO (Übermittlungen ins Ausland) zur öffenlichen Konsultation veröffentlicht: Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR Der EDSA … weiterlesen

OLG München: Recht auf Kopie nach Art. 15 DSGVO; äusserst weiter Begriff des Personendatums

25. Oktober 202125. Oktober 2021 von David Vasella

Das OLG München hat in einem am 4. Oktober 2021 ergangenen Urteil (Az. 3 U 2906/20) eine harte Linie vertreten. Es ging um eine Klage auf Auskunft i.S.v. Art. 15 DSGVO – einschliesslich der Überlassung von Kopien – vor dem Hintergrund eines zivilrechtlichen Forderungsstreits. Der Kläger hatte Kopien u.a. von Telefonnotizen, Aktenvermerken, Protokollen, … weiterlesen

EDSA: Leitlinien für Beschränkungen i.S.v. Art. 23 DSGVO

25. Oktober 2021 von David Vasella

Der Europäische Datenschutzausschuss EDSA hat die finale Fassung der Leitlinien zu Beschränkungen nach Art. 23 DSGVO veröffentlicht (Guidelines 10/2020 on restrictions under Article 23 GDPR, Version 2.0, Adopted on 13 October 2021). Nach Art. 23 DSGVO können Mitgliedstaaten des EWR im nationalen Recht “Beschränkungen” von der Informationspflicht nach Art. 12 ff. und … weiterlesen

HGer ZH: Pseudonymisierung wirkt für den Empfänger wie Anonymsierung

7. Oktober 2021 von David Vasella

Das Handelsgericht Zürich hat im Urteil HG190107‑O vom 4. Mai 2021 entschieden, dass eine Pseudonymisierung für denjenigen, der die pseudonymisierten Daten keiner bestimmten Person zuordnen kann, wie eine Anonymisierung wirkt. Hintergrund war eine geplante Übermittlung von Personendaten durch die Beklagte, eine Genfer Bank, an das US-amerikanische DOJ auf Basis eines Non-Prosecution-Agreements. Es ging … weiterlesen

China: Personal Information Protection Law (PIPL) in Kraft am 1. November 2021

7. Oktober 20217. Oktober 2021 von David Vasella

Das chinesische Gesetz zum Schutz personenbezogener Daten (“PIPL”) wurde am 20. August 2021 verkündet und tritt am 1. November 2021 in Kraft. Es ist der erste umfassende Erlass Chinas zum Schutz von Personendaten. Eine inoffizielle Übersetzung ist hier abrufbar. Eine Einführung hat z.B. die IAPP veröffentlicht. PIPL enthält Vorschriften für die Bearbeitung … weiterlesen

Motion Humbel (21.3925): Elektronisches Patientendossier als Kommunikationsinfrastruktur nutzen und Zugriffsrechte vereinfachen

7. Oktober 2021 von David Vasella

Motion Humbel (21.3925): Elektronisches Patientendossier als Kommunikationsinfrastruktur nutzen und Zugriffsrechte vereinfachen Eingereichter Text Der Bundesrat wird beauftragt, dafür zu sorgen, dass das EPD benutzertauglich wird, Administration abbaut und für alle Betroffene einen Mehrwert bringt. Dabei sind insbesondere in folgenden Bereichen Anpassungen der gesetzlichen Grundlagen erforderlich: Die EPD-Infrastruktur soll als zentrale Grundlage für die … weiterlesen

“Transfer Impact Assessments”: IAPP veröffentlicht zwei Formulare von David Rosenthal

10. September 202110. September 2021 von David Vasella

Bei der Bekanntgabe von Personendaten an Empfänger in einem Staat ohne angemessenes Datenschutzniveau ist es bekanntlich nicht mehr ausreichend, nur die Standardvertragsklauseln (SCC) zu schliessen. Der EuGH verlangte im Schrems II-Urteil vielmehr, eine Prüfung durchzuführen, ob das lokale Recht des Empfängers – oder der Empfänger – die Wirksamkeit der SCC unterläuft. Der … weiterlesen

WhatsApp: Busse von EUR 225 Mio. wegen Verletzung der Informationspflicht

3. September 2021 von David Vasella

Die irische Datenschutzkommission (Data Protection Commission, DPC) hat am 2. September 2021 den Abschluss einer mehr als zweieinhalb Jahre dauernden Untersuchung bei WhatsApp bekanntgegeben. Gegenstand der Untersuchung war gemäss der Medienmitteilung der DPC, ob WhatsApp die Informationspflichten nach der DSGVO verletzt hat, u.a. auch über den Austausch zwischen WhatsApp und anderen Unternehme … weiterlesen