EDSA: Fina­le Fas­sung der Leit­li­ni­en zu Schrems II-Mass­nah­men veröffentlicht

Der Euro­päi­sche Daten­schutz­aus­schuss hat sei­ne Leit­li­ni­en zu zusätz­li­chen Mass­nah­men für Dritt­lands­über­mitt­lun­gen nach Schrems II in der defi­ni­ti­ven Fas­sung ver­öf­fent­licht (V. 2.0, datiert auf den 18. Juni 2021). Ein Del­ta­view des Ent­wurfs (dazu hier) und der nun ver­öf­fent­lich­ten fina­len Fas­sung ist hier abruf­bar. Offen­sicht­lich trug die mas­si­ve Kri­tik am zu strik­ten “rights based”-Ansatz … wei­ter­le­sen

EDÖB: Leit­fa­den für die Daten­über­mitt­lung ins Aus­land aktualisiert

Der EDÖB hat sei­ne „Anlei­tung für die Prü­fung der Zuläs­sig­keit von Daten­über­mitt­lun­gen mit Aus­land­be­zug (nach Art. 6 Abs. 2 lit. a DSG)“ mit Datum vom 18. Juni 2021 neu ver­öf­fent­licht: Web­site des EDÖB zur Aus­lands­über­mitt­lung Anlei­tung (PDF) Die Anlei­tung besteht aus einem Prüf­sche­ma, Erläu­te­run­gen zu den ein­zel­nen Prüf­schrit­ten und einem Anhang. Kern der Anlei­tung ist … wei­ter­le­sen

Neue Stan­dard­ver­trags­klau­seln: ver­pflich­tend ab dem 27.9.2021; Alt­ver­trä­ge: ab dem 27.12.2022

Die Euro­päi­sche Kom­mis­si­on hat mit Datum vom 4. Juni 2021 die neu­en Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses; SCC; deutsch / eng­lisch) ver­öf­fent­licht, nach dem Ent­wurf der SCC vom 12. Novem­ber 2020. Wir hat­ten über den Ent­wurf berich­tet und die wesent­li­chen Neue­run­gen zusam­men­ge­fasst. Ein Del­ta­view zwi­schen dem Ent­wurf und der nun ver­ab­schie­de­ten Fas­sung ist hier … wei­ter­le­sen

US Con­gres­sio­nal Rese­arch Ser­vice: Umgang mit Schrems II

Der US-Con­­gre­s­­si­o­­nal Rese­arch Ser­vice hat einen Bericht mit Datum vom 17. März 2021 zu “EU Data Trans­fer Requi­re­ments and U.S. Intel­li­gence Laws: Under­stan­ding Schrems II and Its Impact on the EU‑U.S. Pri­va­cy Shield” ver­öf­fent­licht (PDF). Der Bericht ent­hält in einem ersten Teil eine Über­sicht über die Rege­lung von Aus­lands­be­kannt­ga­ben in der DSGVO, … wei­ter­le­sen

BayL­DA: Ein­satz von Mail­chimp ohne Prü­fung zusätz­li­cher Mass­nah­men DSGVO-widrig

Das Bay­ri­sche Lan­des­da­ten­schutz­amt (BayL­DA) hat am 15. März 2021 fest­ge­hal­ten, dass der Ein­satz von Mail­chimp im beur­teil­ten Fall unzu­läs­sig war (LDA-1085.1 – 12159/20-IDV). Mass­ge­bend war, dass Mail­chimp zwar die EU-Stan­­dar­d­­ver­­­trag­s­­­klau­­seln schliesst, aber als “Elec­tro­nic Com­mu­ni­ca­ti­ons Ser­vice Pro­vi­der” i.S.v. § 1881 (b) (4) des US-ame­­ri­­ka­­ni­­schen For­eign Intel­li­gence Sur­veil­lan­ce Act ein­zu­stu­fen sei – zumin­dest sah das … wei­ter­le­sen

Nor­we­gen: Bus­se von EUR 40’000 für das Wei­ter­lei­ten von Mitarbeiter-E-Mails

Die nor­we­gi­sche Daten­schutz­be­hör­de hat ein Unter­neh­men mit EUR 40’000 gebüsst, weil es unrecht­mä­ssig eine auto­ma­ti­sche Wei­ter­lei­tung der E‑Mails eines Mit­ar­bei­ters ein­ge­rich­tet hat­te (vgl. Medi­en­mit­tei­lung). Der Mit­ar­bei­ter hat­te sich dar­über bei der Auf­sichts­be­hör­de beschwert. Die Wei­ter­lei­tung wur­de im Zusam­men­hang mit einer krank­heits­be­ding­ten Abwe­sen­heit des Mit­ar­bei­ters ein­ge­rich­tet und war mehr als einen Monat aktiv. … wei­ter­le­sen

Bekannt­ga­be von Gesund­heits­da­ten an Ehe­mann: Bus­se von EUR 50’000; Ver­öf­fent­li­chung als Nebensanktion

In Ita­li­en hat der Garan­te, die ita­lie­ni­sche Auf­sichts­be­hör­de. mit Ent­scheid von 27. Janu­ar 2021 eine Bus­se von EUR 50’000 gegen ein Kran­ken­haus ver­hängt, dem ein Ver­stoss gegen die daten­schutz­recht­li­chen Vor­ga­ben bei Gesund­heits­da­ten zur Last gelegt wur­de (Ent­scheid auf ita­lie­nisch). Es ging um Daten einer Pati­en­tin, die eigens in einem beson­de­ren For­mu­lar ange­ord­net … wei­ter­le­sen

LfD Nie­der­sach­sen: Prüf­sche­ma DSFA

Das Lan­des­amt für Daten­schutz Nie­der­sach­sens hat ein Prüf­sche­ma ver­öf­fent­licht, das durch die Ent­schei­dung führt, ob eine Daten­­schutz-Fol­­gen­a­b­­schä­t­­zung erfor­der­lich ist (Schwel­len­wert­ana­ly­se). Das Prüf­sche­ma ist nicht nur eine Ent­schei­dungs­hil­fe, son­dern kann auch dabei hel­fen, die­se Ent­schei­dung zu dokumentieren.

Micro­soft Exchan­ge-Ser­ver: Hand­lungs­be­darf für Unternehmen

Vor eini­gen Tagen wur­de bekannt, dass Micro­soft Exchan­ge E‑Mail-Ser­­ver von Schwach­stel­len betrof­fen sind (vgl. z.B. die Mit­tei­lun­gen des deut­schen BSI). In ihrer Kom­bi­na­ti­on konn­ten die­se Schwach­stel­len für Angrif­fe ver­wen­det wer­den, was offen­bar breit erfolgt ist (Krebs on Secu­ri­ty): At least 30,000 orga­niz­a­ti­ons across the United Sta­tes — inclu­ding a signi­fi­cant num­ber of small busi­nes­ses, towns, … wei­ter­le­sen