Seitenbereiche
info@k11-consulting.de

Datenschutz News

© k11-consulting.com

Schweden: Feststellungen des IMY

 

Nach seiner Untersuchung stellte das IMY fest, dass Spotify in seinen Datenschutzhinweisen Informationen über die Ausübung der Rechte der betroffenen Personen in 21 verschiedenen Sprachen bereitstellt und dass die Sprache der bereitgestellten Informationen von den Spracheinstellungen des verwendeten Browsers abhängt. Das IMY erkannte auch an, dass Spotify in den Datenschutzhinweisen u. a. Informationen über den Zweck der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten und die Quelle der personenbezogenen Daten bereitstellt. Insbesondere stellte das IMY klar, dass Spotify in seinem Datenschutzhinweis die Nutzer darüber informiert, wie sie ihr Auskunftsrecht ausüben können, während weitere Informationen auch in der Spotify-Datenschutzerklärung zu finden sind.

 

Das IMY stellte jedoch fest, dass die Informationen im Datenschutzhinweis so gestaltet sein müssen, dass der Zweck des Auskunftsrechts erfüllt wird, und dass die Informationen in einer Weise bereitgestellt werden müssen, die den Anforderungen an die Transparenz entspricht. Daher war das IMY der Ansicht, dass Spotify gegen Artikel 12 Absatz 1 der Datenschutz-Grundverordnung verstoßen hat.

 

In Bezug auf den Zweck des Auskunftsrechts stellte das IMY außerdem fest, dass der Inhalt der Informationen gemäß Artikel 15 Absätze 1 und 2 der Datenschutz-Grundverordnung angepasst werden muss, je nachdem, welche Dienste die betroffene Person in Anspruch nehmen möchte, z. B. welche Kategorien personenbezogener Daten verarbeitet werden, welche Empfänger es gibt und wo die personenbezogenen Daten erhoben wurden. Das IMY legte auch fest, dass die gleichen Anforderungen zur Anpassung des Inhalts für Datenübermittlungen in Drittländer und die geeigneten Garantien für eine solche Übermittlung gelten, wie in Artikel 15 Absatz 2 der DSGVO gefordert.

 

Im Wesentlichen stellte das IMY fest, dass die Informationen, die Spotify den betroffenen Personen zur Verfügung stellte, nicht spezifisch genug waren. So wies das IMY darauf hin, dass es für die betroffenen Personen einfach sein muss zu verstehen, wie die Unternehmen ihre Daten verwenden, und dass die betroffenen Personen im Hinblick auf die Aufbewahrung personenbezogener Daten verstehen müssen, wie lange ihre Daten gespeichert werden, wobei ein Zeitpunkt der Löschung angegeben werden muss. In Bezug auf die Übermittlung von Daten in Drittländer stellte das IMY fest, dass die betroffenen Personen aussagekräftige Informationen erhalten müssen, anhand derer sie feststellen können, ob ihre personenbezogenen Daten übermittelt wurden, und wenn ja, welche Schutzmaßnahmen getroffen wurden.

Das IMY stellte ferner fest, dass Spotify die den betroffenen Personen zur Verfügung gestellten personenbezogenen Daten in verschiedene Schichten unterteilt hat. Infolgedessen stellte das IMY fest, dass die Bereitstellung einer Stichprobe personenbezogener Daten über die betroffene Person die Gefahr birgt, dass die betroffene Person glaubt, die Stichprobe personenbezogener Daten sei eine vollständige Kopie.

 

Schließlich stellte das IMY fest, dass Spotify keine ausreichenden Maßnahmen ergriffen hat, um sicherzustellen, dass die betroffenen Personen die Beschreibung der Datenverarbeitung in nicht-technischen Begriffen verstehen, und dass die Beschreibung der Daten in den technischen Logdateien standardmäßig nur in englischer Sprache bereitgestellt wird.

 

Aus den oben genannten Gründen vertrat das IMY die Auffassung, dass Spotify gegen Artikel 15 Absätze 1 und 2 der Datenschutz-Grundverordnung verstoßen hat.

 

Ergebnisse

 

Abschließend verhängte das IMY eine Geldbuße in Höhe von 58 Mio. SEK (ca. 4,98 Mio. €) für die oben genannten Verstöße gegen die DSGVO, wobei es feststellte, dass die Mängel nur geringfügig sind.

Schweden, 13.06.2023

 

Connecticut: Gesetzentwurf zum Schutz von Privatsphäre, Daten und Sicherheit im Internet vom Gouverneur unterzeichnet und in Kraft gesetzt

 

Am 12. Juni 2023 wurde die Senate Bill 3, ein Gesetz zum Schutz der Privatsphäre, der Daten und der Sicherheit im Internet, vom Gouverneur von Connecticut, Ned Lamont, am 7. Juni 2023 unterzeichnet und trat damit in Kraft. Das Gesetz enthält insbesondere Änderungen des Connecticut Act Concerning Personal Data Privacy and Online Monitoring (CTDPA).

 

Inkrafttreten

 

Die Abschnitte 1 bis 6 und 17 des Gesetzes treten am 1. Juli 2023 in Kraft, die Abschnitte 14 bis 15 des Gesetzes am 1. Januar 2024, Abschnitt 7 des Gesetzes am 1. Juli 2024 und die Abschnitte 8 bis 13 am 1. Oktober 2024.

 

Begriffsbestimmungen

 

Das Gesetz ändert das CTDPA und enthält Definitionen für neue Begriffe, darunter "Abtreibung", "Erwachsener", "Verbraucher", "geschlechtsspezifische Gesundheitsdienste", "geschlechtsspezifische Gesundheitsdaten", "Geofence", "psychische Gesundheitseinrichtung", "Person", "reproduktive oder sexuelle Gesundheitsfürsorge", "reproduktive oder sexuelle Gesundheitsdaten", "reproduktive oder sexuelle Gesundheitseinrichtung" und "Social-Media-Plattform". Zu den bemerkenswerten Definitionen gehören die von "Gesundheitsdaten von Verbrauchern", d. h. alle personenbezogenen Daten, die ein für die Verarbeitung Verantwortlicher verwendet, um den körperlichen oder geistigen Gesundheitszustand oder die Diagnose eines Verbrauchers zu ermitteln, und die auch geschlechtsspezifische Gesundheitsdaten und Daten zur reproduktiven oder sexuellen Gesundheit umfassen, aber nicht darauf beschränkt sind.

 

Das Gesetz definiert den Begriff "für die Verarbeitung von Gesundheitsdaten der Verbraucher" als jeden für die Verarbeitung Verantwortlichen, der allein oder gemeinsam mit anderen den Zweck und die Mittel der Verarbeitung von Gesundheitsdaten der Verbraucher bestimmt.

 

Darüber hinaus ändert das Gesetz die Bedeutung des Begriffs "für die Verarbeitung Verantwortlicher" auf eine natürliche Person oder eine juristische Person, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet. Das Gesetz ändert auch die Definition von "sensiblen Daten" als personenbezogene Daten, die Folgendes umfassen:

 

Daten, aus denen die rassische oder ethnische Herkunft, religiöse Überzeugungen, der geistige oder körperliche Gesundheitszustand oder die Diagnose, das Sexualleben, die sexuelle Ausrichtung, die Staatsangehörigkeit oder der Einwanderungsstatus hervorgehen;

Gesundheitsdaten von Verbrauchern;

die Verarbeitung von genetischen oder biometrischen Daten zum Zwecke der eindeutigen Identifizierung einer Person;

personenbezogene Daten, die von einem bekannten Kind erhoben werden;

Daten über den Status einer Person als Opfer einer Straftat; oder

genaue Geolokalisierungsdaten.

Darüber hinaus ändert das Gesetz auch die Definition des Begriffs "Dritter" als eine Person, z. B. eine Behörde, eine Agentur oder eine Einrichtung, die nicht der Verbraucher, der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ist, oder ein verbundenes Unternehmen des Auftragsverarbeiters oder des für die Verarbeitung Verantwortlichen.

 

Darüber hinaus definiert das Gesetz den Begriff "Minderjährige" als Verbraucher, die jünger als 18 Jahre alt sind.

 

Gesundheitsdaten

 

Durch das Gesetz wird das CTDPA dahingehend geändert, dass keine Person:

Angestellten oder Auftragnehmern Zugang zu den Gesundheitsdaten von Verbrauchern gewähren, es sei denn, sie unterliegen einer vertraglichen oder gesetzlichen Geheimhaltungspflicht;

einem Auftragsverarbeiter Zugang zu den Gesundheitsdaten von Verbrauchern zu gewähren, es sei denn, diese Person und dieser Auftragsverarbeiter halten sich an Abschnitt 42-521 der allgemeinen Gesetze;

einen Geofence zu verwenden, um eine virtuelle Grenze im Umkreis von eintausendsiebenhundertfünfzig Fuß um eine Einrichtung für psychische Gesundheit oder eine Einrichtung für reproduktive oder sexuelle Gesundheit festzulegen, um einen Verbraucher zu identifizieren, zu verfolgen, Daten von ihm zu sammeln oder ihm eine Benachrichtigung über seine Gesundheitsdaten zu senden; oder

Gesundheitsdaten von Verbrauchern zu verkaufen oder zum Verkauf anzubieten, ohne zuvor die Zustimmung des Verbrauchers eingeholt zu haben.

Darüber hinaus wird durch das Gesetz das CTDPA dahingehend geändert, dass die Bestimmungen über Gesundheitsdaten von Verbrauchern und die für die Verarbeitung von Gesundheitsdaten zuständigen Personen für Personen gelten, die in diesem Bundesstaat geschäftlich tätig sind, sowie für Personen, die Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Connecticut richten.

 

Daten von Kindern

 

Durch das Gesetz wird das CTDPA auch dahingehend geändert, dass Social-Media-Plattformen verpflichtet werden, den Anträgen von Minderjährigen auf Rücknahme der Veröffentlichung oder Löschung ihrer Social-Media-Konten nachzukommen. Darüber hinaus wird das CTDPA dahingehend geändert, dass es Anforderungen an für die Verarbeitung Verantwortliche stellt, die Online-Dienste, -Produkte oder -Funktionen für Verbraucher anbieten, von denen der für die Verarbeitung Verantwortliche weiß, dass sie minderjährig sind, oder dies vorsätzlich ignoriert.

Connecticut, 13.06.2023

Erstellt:

Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite
Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Scannen Sie ganz einfach mit einem QR-Code-Reader auf Ihrem Smartphone die Code-Grafik links und schon gelangen Sie zum gewünschten Bereich auf unserer Homepage.