Schrems II

DSB Österreich: Google Analytics II – Singularisierung reicht; keine individuellkonkrete Bestimmung der Angemessenheit

12. Mai 2022

Von Schrems II zu Google Analytics I… Die Datenschutzbehörde Österreichs (DSB) hatte am 22. Dezember 2021 auf Beschwerde von NOYB entschieden, dass der Einsatz von Google Analytics gegen die DSGVO verstosse, weil dadurch Personendaten in die USA übermittelt werden – so die DSB –, dass die Standardvertragsklauseln

Regierungsrat Zürich: grünes Licht für M365; Risikobeurteilungsmodell Rosenthal kanonisiert; Risikogrenze bei 10% über 5 Jahre

16. April 2022

Zulassung von M365 Der Zürcher Regierungsrat hat 30. März 2022 einen am 14. April 2022 publizierten Beschluss mit dem Titel „Einsatz von Cloud-Lösungen in der kantonalen Verwaltung, (Microsoft 365), Zulassung“ gefällt (RRB 542/2022). Dabei geht es um den Einsatz von M365 und insbesondere Exchange Online und

EU/USA: Trans-Atlantic Data Privacy Framework (TADPF) – neuer Wein in alten Schläuchen?

28. März 2022

Was zunächst diversen Medienberichten zu entnehmen war, haben die USA und die EU bestätigt. Aus dem Factsheet des Weissen Hauses: The United States and the European Commission have committed to a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns

UK: International Data Transfer Agreement und Addendum voraussichtlich ab 22.9.22 verpflichtend

8. Februar 2022

Seit dem Ausscheiden aus der EU ist die DSGVO im Vereinigten Königreich nicht mehr anwendbar (d.h. nur noch in Fällen, die kollisionsrechtlich unter die DSGVO fallen). Stattdessen hat UK die DSGVO als “UK GDPR” in nationales Recht überführt (dazu hier) – ein Beispiel eines infolge

“Transfer Impact Assessments”: IAPP veröffentlicht zwei Formulare von David Rosenthal

10. September 2021

Bei der Bekanntgabe von Personendaten an Empfänger in einem Staat ohne angemessenes Datenschutzniveau ist es bekanntlich nicht mehr ausreichend, nur die Standardvertragsklauseln (SCC) zu schliessen. Der EuGH verlangte im Schrems II-Urteil vielmehr, eine Prüfung durchzuführen, ob das lokale Recht des Empfängers – oder der Empfänger

EDSA: Finale Fassung der Leitlinien zu Schrems II-Massnahmen veröffentlicht

21. Juni 2021

Der Europäische Datenschutzausschuss hat seine Leitlinien zu zusätzlichen Massnahmen für Drittlandsübermittlungen nach Schrems II in der definitiven Fassung veröffentlicht (V. 2.0, datiert auf den 18. Juni 2021). Ein Deltaview des Entwurfs (dazu hier) und der nun veröffentlichten finalen Fassung ist hier abrufbar. Offensichtlich trug die

US Congressional Research Service: Umgang mit Schrems II

28. März 2021

Der US-Congressional Research Service hat einen Bericht mit Datum vom 17. März 2021 zu “EU Data Transfer Requirements and U.S. Intelligence Laws: Understanding Schrems II and Its Impact on the EU‑U.S. Privacy Shield” veröffentlicht (PDF). Der Bericht enthält in einem ersten Teil eine Übersicht über

BayLDA: Einsatz von Mailchimp ohne Prüfung zusätzlicher Massnahmen DSGVO-widrig

28. März 2021

Das Bayrische Landesdatenschutzamt (BayLDA) hat am 15. März 2021 festgehalten, dass der Einsatz von Mailchimp im beurteilten Fall unzulässig war (LDA-1085.1 – 12159/20-IDV). Massgebend war, dass Mailchimp zwar die EU-Standardvertragsklauseln schliesst, aber als “Electronic Communications Service Provider” i.S.v. § 1881 (b) (4) des US-amerikanischen Foreign Intelligence Surveillance

Hoeren/Tiessen: Hinweise und Musterantworten zur datenschutzkonformen Nutzung von Office/Microsoft 365

27. März 2021

Prof. Dr. Thomas Hoeren hat darauf hingewiesen, dass der Hamburgische Datenschutzbeauftragte einen umfangreichen Fragebogen zu Office/ Microsoft 365 verschickt, und dass verschiedene Landesdatenschutzbeauftragte ein weitgehendes Verbot der Nutzung entsprechender Dienste planen. Prof. Hoeren und Marten Tiessen (beide ITM Münster) haben vor diesem Hintergrund Musterantworten zum