Das neue “Profiling mit hohem Risiko” nach Art. 5 lit. g revDSG wirft einige Fragen auf, besonders was das Gesetz unter hohem Risiko versteht und welche Folgen ein solches Profiling hat. Definiert ist das Profiling mit hohem Risiko wie folgt: Profiling, das ein hohes Risiko für die Persönlichkeit oder die … weiterlesen
Bekanntlich hat der EuGH im Schrems-II-Urteil den Privacy Shield aufgehoben – den europäischen, im Effekt aber auch den schweizerischen – und hat der EDSA letzte Woche den Entwurf von (durchaus fragwürdigen) Leitlinien dazu veröffentlicht. Nachdem die EU-Kommission nun auch neue Standardvertragsklauseln vorgelegt hat, ebenfalls als Entwurf, ist eine … weiterlesen
David Rosenthal hat im Jusletter vom 17. November 2020 einen Aufsatz zum revidierten DSG veröffentlicht. Der Beitrag ist auf rosenthal.ch im Volltext frei abrufbar.
Die Europäische Kommission hat am 12. November 2020 den erwarteten Entwurf der revidierten Standardvertragsklauseln veröffentlicht (PDF mit Inhaltsverzeichnis), kurz nachdem der EDSA seine Empfehlungen für zusätzliche Massnahmen zum Schutz bei grenzüberschreitenden Übermittlungen vorgelegt hat. Die neuen Klauseln beruhen auf einer entsprechenden Entscheidung der EU-Kommission, die gewissermassen die Erwägungsgründe … weiterlesen
Der EuGH hat in “Schrems II”-Urteil bekanntlich festgehalten, dass der EU-US Privacy Shield unwirksam ist und dass die Standardvertragsklauseln weiterhin verwendet werden können; dass bei Übermittlungen ins Ausland aber eine Risikoeinschätzung erforderlich ist (die man “Transfer Impact Assessment”, “TIA” nennen kann) und dass als Ergebnis zusätzliche Massnahmen – … weiterlesen
Der EDSA hat eine neue Version 2.0 der bereits 2019 erschienen Leitlinien zu Privacy by Design und Privacy by Default veröffentlicht. Eine Vergleichsfassung (Deltaview, PDF) findet sich hier. Die Leitlinien sind in vielen Punkten nach wie vor recht luftig, enthalten aber Hinweise, auf welche Weise die Einhaltung der … weiterlesen
Das LG Hamburg hat am 4. September 2020 u.a. über einen Anspruch auf Ersatz immateriellen Schadens geurteilt (Urteil 324 S 9/19). Hintergrund war eine Datenerhebung über ein Terminerfassungsformular auf einer Website. Das LG Hamburg weist einen Anspruch auf immateriellen Schadenersatz ab, weil ein entsprechender Schaden nicht bewiesen war (vgl. … weiterlesen
Die Datenschutzbeauftragte des Kantons Zürich hat Unterlagen zur Meldung von Datenschutzvorfällen an die Datenschutzbeauftragte (einschliesslich eines Meldeformulars) und zu Datenschutz-Folgenabschätzung (ebenfalls mit einem Formular) veröffentlicht. Diese Unterlagen richten sich an die Adressaten des per 1. Juni 2020 durch entsprechendes Anpassungsgesetz revidierten Zürcher Gesetzes über die Information und den … weiterlesen
Die englische Aufsichtsbehörde ICO hat einen detaillierten Leitfaden zum Umgang mit Betroffenenbegehren veröffentlicht. Der Leitfaden enthält bspw. auch Ausführungen dazu, welche Anstrengungen von Unternehmen bei der Suche nach Personendaten des Betroffenen erwartet werden: Daten in Archiv- und Backupsystemen seien grundsätzlich zu durchsuchen, auch wenn die Möglichkeiten eingeschränkter sind … weiterlesen