Seitenbereiche

Datenschutz News

© k11-consulting.com

EU: EDPB veröffentlicht verbindliche Entscheidung zu WhatsApp

 

Der Europäische Datenschutzausschuss ("EDSB") gab am 24. Januar 2023 die Veröffentlichung seines verbindlichen Beschlusses bekannt, den er am 5. Dezember 2022 auf der Grundlage von Artikel 65 Absatz 1 Buchstabe a der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) ("DSGVO") zu dem von der Datenschutzkommission ("DPC") vorgelegten Streitfall über WhatsApp Ireland Limited erlassen hatte. Insbesondere stellte der EDSB fest, dass er die DPC angewiesen hatte, ihren Entscheidungsentwurf im Hinblick auf die Feststellungen zur Rechtmäßigkeit der Verarbeitung und zum Grundsatz der Fairness sowie auf die geplanten Abhilfemaßnahmen zu ändern. Insbesondere entschied der EDSB, dass WhatsApp sich unzulässigerweise auf einen Vertrag als Rechtsgrundlage für die Verarbeitung personenbezogener Daten gestützt hatte. Daher wies der EDSB den Datenschutzbeauftragten an, einen Verstoß gegen Artikel 6 Absatz 1 der Datenschutz-Grundverordnung sowie einen Verstoß gegen den Grundsatz der Fairness gemäß Artikel 5 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung hinzuzufügen.

 

Darüber hinaus entschied der EDSB, dass der Datenschutzbeauftragte eine Untersuchung der Verarbeitungen von WhatsApp durchführen muss, um festzustellen, ob die Verarbeitung

 

besondere Kategorien personenbezogener Daten im Einklang mit Artikel 9 der Datenschutz-Grundverordnung und

personenbezogene Daten für verhaltensorientierte Werbung, für Marketingzwecke sowie für die Bereitstellung von Metriken an Dritte und den Austausch von Daten mit verbundenen Unternehmen zum Zwecke der Verbesserung von Dienstleistungen.

Darüber hinaus wies der EDSB darauf hin, dass er den Datenschutzbeauftragten unter anderem aufgefordert hatte, in seiner endgültigen Entscheidung WhatsApp anzuweisen, seine Verarbeitungen innerhalb eines bestimmten Zeitrahmens in Einklang mit Artikel 6 Absatz 1 der DSGVO zu bringen und eine Geldstrafe zu verhängen. Dementsprechend erinnerte der EDSB daran, dass die Datenschutzbehörde in Anbetracht der verbindlichen Entscheidung eine Geldstrafe von 5,5 Mio. EUR gegen WhatsApp verhängt hat.

EDPB, 25.01.2023

 

New York: Gesetzentwurf zum Schutz der Privatsphäre von Studenten und Arbeitnehmern in die Staatsversammlung eingebracht

 

Die Gesetzesvorlage AB 1360 zur Änderung des Arbeitsrechts in Bezug auf den "Uniform Employee and Student Online Privacy Protection Act" wurde am 17. Januar 2023 in die New York State Assembly eingebracht und am selben Tag an den Arbeitsausschuss überwiesen. AB 1360 sieht insbesondere vor, dass Arbeitgeber nicht:

 

von einem Arbeitnehmer verlangen, ihn zwingen oder ihn auffordern,:

die Anmeldedaten für ein geschütztes persönliches Online-Konto preiszugeben;

den Inhalt des Kontos offen zu legen, mit der Ausnahme, dass ein Arbeitgeber einen Arbeitnehmer auffordern kann, den Arbeitgeber zu dem Personenkreis hinzuzufügen, dem der Arbeitnehmer Zugang zu den Inhalten gewährt, oder ihn nicht daraus zu entfernen;

die Einstellungen des Online-Kontos so zu ändern, dass die Anmeldeinformationen oder der Inhalt des Kontos für andere leichter zugänglich werden, und

auf das Konto in Anwesenheit des Arbeitnehmers in einer Weise zuzugreifen, die es dem Arbeitgeber ermöglicht, die Anmeldeinformationen zur Kontrolle des Kontos zu beobachten; und

nachteilige Maßnahmen gegen einen Mitarbeiter zu ergreifen oder anzudrohen, wenn er diese nicht einhält:

einer Anforderung oder Zwangsmaßnahme des Arbeitgebers; oder

einer Aufforderung des Arbeitgebers, den Arbeitgeber in den Kreis der Personen aufzunehmen, denen der Arbeitnehmer Zugang zu den Inhalten eines geschützten persönlichen Kontos gewährt, oder ihn nicht aus diesem Kreis zu entfernen.

AB 1360 fügt jedoch hinzu, dass ein Arbeitgeber, der auf die Inhalte von Arbeitnehmern zugreift, dies zu einem bestimmten Zweck tun muss, die Inhalte nur für den angegebenen Zweck verwenden darf und die Inhalte nicht verändern darf, es sei denn, dies ist zur Erreichung des angegebenen Zwecks erforderlich. Darüber hinaus legt AB 1360 fest, dass Arbeitgeber, die Anmeldeinformationen für geschützte persönliche Online-Konten erworben haben, unter anderem den Zugriff durch andere Personen nicht ermöglichen und angemessene Anstrengungen unternehmen müssen, um die Anmeldeinformationen sicher zu halten.

 

Bemerkenswert ist, dass AB 1360 ähnliche Verbote für den Schutz von Schülerdaten vorsieht. AB 1360 verweist jedoch auf die Ausnahmen von den Verboten des Zugriffs auf Schülerinformationen, darunter:

 

Zugriff auf öffentlich zugängliche Informationen;

die Einhaltung des Gesetzes oder eines Gerichtsbeschlusses; und

die Anforderung oder Beantragung des Zugriffs auf geschützte persönliche Online-Konten von Schülern auf der Grundlage bestimmter Fakten, um:

die Einhaltung von Gesetzen oder bildungsbezogenes Fehlverhalten von Schülern zu gewährleisten; und

zum Schutz vor einer Bedrohung der Sicherheit, der Informationen von Bildungseinrichtungen oder der Kommunikationstechnologiesysteme.

NY, 25.01.2023

 

Massachusetts: Gesetzentwurf zur Einführung eines Internet-Rechtskatalogs in die Legislative von Massachusetts eingebracht

 

Die Gesetzesvorlage House Docket ("HD") Nr. 3245 für ein Gesetz zur Einführung einer Internet Bill of Rights wurde am 20. Januar 2023 in das Repräsentantenhaus des Commonwealth of Massachusetts eingebracht. HD 3245 gilt insbesondere für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die Teil eines Dateisystems sind oder sein sollen, und bietet natürlichen Personen Schutz in Bezug auf die Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten. Darüber hinaus sieht HD 3245 verschiedene Rechte für die betroffenen Personen vor, darunter das Recht auf Information, das Recht auf Bestätigung der Verarbeitung, das Recht auf unverzügliche Berichtigung, das Recht auf Erhalt personenbezogener Daten, das Recht auf Datenübermittlung, das Recht auf Widerspruch, das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten zu Marketingzwecken und das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, um nur einige zu nennen.

 

HD 3245 verlangt von den für die Verarbeitung Verantwortlichen, dass sie der betroffenen Person jede Verletzung des Schutzes personenbezogener Daten unverzüglich mitteilen und diese dokumentieren, damit der Generalstaatsanwalt die Einhaltung der Vorschriften überprüfen kann. Darüber hinaus schreibt HD 3245 vor, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen, wenn die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern.

 

Hinsichtlich der Durchsetzung und der Sanktionen legt HD 3245 fest, dass der AG sicherstellen soll, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Konkret kategorisiert HD 3245 die Verstöße in verschiedene Stufen:

 

Verstöße gegen Bestimmungen, einschließlich der Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters, werden mit Geldbußen von bis zu 10.000.000 USD oder im Falle eines Unternehmens von bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet, je nachdem, welcher Betrag höher ist; und

Verstöße gegen Bestimmungen, einschließlich der Grundprinzipien für die Verarbeitung und der Bedingungen für die Einwilligung, der Rechte der betroffenen Person, der Übermittlung personenbezogener Daten an einen Empfänger im Ausland, werden mit Geldbußen von bis zu 20.000.000 $ oder im Falle eines Unternehmens von bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet, je nachdem, welcher Betrag höher ist.

Massachusetts, 26.01.2023

Erstellt:

Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite
Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Scannen Sie ganz einfach mit einem QR-Code-Reader auf Ihrem Smartphone die Code-Grafik links und schon gelangen Sie zum gewünschten Bereich auf unserer Homepage.