Datenschutz News

UK: ICO veröffentlicht Leitfaden zu DSARs für Arbeitgeber

Am 24. Mai 2023 veröffentlichte das Information Commissioner's Office (ICO) einen neuen Leitfaden zur Beantwortung von Auskunftsersuchen für Arbeitgeber. Das ICO präzisiert, dass das Auskunftsrecht den betroffenen Personen das Recht gibt, von Organisationen eine Kopie ihrer personenbezogenen Daten anzufordern, wenn eine Nichtbeantwortung eine Straftat darstellen würde.

Anwendungsbereich

Der Leitfaden behandelt mehrere Fragen im Zusammenhang mit DSARs, mit praktischen Beispielen für Arbeitgeber, einschließlich Informationen zu Folgendem:

das Auskunftsrecht und die diesbezüglichen datenschutzrechtlichen Verpflichtungen der für die Verarbeitung Verantwortlichen;

das Format von DSARs;

das Bemühen um Klärung von DSARs;

Fälle, in denen die Zurückhaltung von Informationen gerechtfertigt ist;

Überlegungen zur Offenlegung von Fehlverhalten im Rahmen von Whistleblowing-Meldungen;

DSARs im Zusammenhang mit Mitarbeitern, die Vertraulichkeitsvereinbarungen oder Vergleichsvereinbarungen unterzeichnet haben; und

DSARs im Zusammenhang mit Gerichts- oder Beschwerdeverfahren.

DSAR-Antworten

Der Leitfaden behandelt DSAR-Erwägungen, die Arbeitgeber in Bezug auf folgende Punkte bewerten sollen

Offenlegung von E-Mails, in die Arbeitnehmer kopiert werden;

Offenlegung von Informationen über die Social-Media-Plattformen des Arbeitgebers; und

Interessen Dritter.

Das ICO weist darauf hin, dass es Arbeitgebern zwar keine Ratschläge dazu geben kann, was in einer DSAR-Antwort enthalten sein sollte, dass es ihnen aber Ratschläge geben kann, wie sie angemessen auf eine Anfrage reagieren können, wenn eine betroffene Person beim ICO Bedenken zu einer Anfrage äußert.

UK, 24.05.2023

USA: Weißes Haus veröffentlicht Factsheet über Schritte zur Förderung verantwortungsvoller KI-Forschung, -Entwicklung und -Einführung

Am 23. Mai 2023 veröffentlichte das Weiße Haus ein Faktenblatt über neue Maßnahmen zur Förderung der verantwortungsvollen Forschung, Entwicklung und Einführung von künstlicher Intelligenz (KI). Das Weiße Haus kündigte an:

eine aktualisierte Roadmap zur Fokussierung von Bundesinvestitionen in die KI-Forschung und -Entwicklung;

ein neues Ersuchen um Informationen, um Beiträge zu nationalen Prioritäten für die Abschwächung von KI-Risiken und den Schutz der Rechte und der Sicherheit von Personen einzuholen; und

einen neuen Bericht über die Risiken und Chancen von KI im Bildungsbereich.

USA, 24.05.2023

Montana: Gouverneur unterzeichnet Gesetz zum Schutz der Verbraucherdaten

Am 18. Mai 2023 unterzeichnete der Gouverneur von Montana die Senatsvorlage Nr. 384 über ein Gesetz zur Einführung des Verbraucherdatenschutzgesetzes (das Gesetz). Dem Gesetz wurde daraufhin am 22. Mai 2023 eine Kapitelnummer zugewiesen.

Geltungsbereich

Das Gesetz gilt für Personen, die in Montana geschäftlich tätig sind, oder Personen, die Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Montana richten, und:

die personenbezogenen Daten von mindestens 50.000 Verbrauchern kontrollieren oder verarbeiten, ausgenommen personenbezogene Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden; oder

die personenbezogenen Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten und mehr als 25 % der Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Rechte der betroffenen Person

Nach dem Gesetz hat ein Verbraucher das Recht auf:

sich zu vergewissern, ob ein für die Verarbeitung Verantwortlicher seine personenbezogenen Daten verarbeitet, und Zugang zu diesen Daten zu erhalten;

die Berichtigung von Ungenauigkeiten in seinen personenbezogenen Daten unter Berücksichtigung der Art der personenbezogenen Daten und des Zwecks der Verarbeitung;

die Löschung ihrer personenbezogenen Daten zu verlangen;

eine Kopie ihrer personenbezogenen Daten, die sie dem für die Verarbeitung Verantwortlichen zuvor zur Verfügung gestellt haben, in einem tragbaren und - soweit technisch machbar - leicht nutzbaren Format zu erhalten, das es dem Verbraucher ermöglicht, die personenbezogenen Daten ungehindert an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, wenn die Verarbeitung mit automatisierten Mitteln erfolgt, sofern der für die Verarbeitung Verantwortliche keine Geschäftsgeheimnisse preisgeben muss; und

der Verarbeitung ihrer personenbezogenen Daten zu folgenden Zwecken zu widersprechen:

gezielter Werbung;

Verkauf, mit einigen Ausnahmen; oder

Profiling zur Unterstützung automatisierter Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen auf den Verbraucher haben.

Grundsätze und Verpflichtungen

Das Gesetz erlegt den für die Verarbeitung Verantwortlichen Verpflichtungen auf, wie z. B. die Verpflichtung, angemessene administrative, technische und physische Datensicherheitspraktiken einzuführen, umzusetzen und aufrechtzuerhalten. Ebenso muss der für die Verarbeitung Verantwortliche die Erhebung personenbezogener Daten auf das beschränken, was im Hinblick auf die Zwecke, für die die personenbezogenen Daten verarbeitet werden, angemessen, sachdienlich und vernünftigerweise erforderlich ist, und er muss einen wirksamen Mechanismus vorsehen, mit dem der Verbraucher seine Zustimmung gemäß dem Gesetz widerrufen kann.

In der Praxis bedeutet dies, dass die für die Verarbeitung Verantwortlichen in Verbindung mit Verarbeitungstätigkeiten, die ein erhöhtes Risiko für einen Verbraucher darstellen, eine Datenschutzbewertung durchführen müssen, wobei das Gesetz die erforderlichen Inhalte einer solchen Bewertung festhält. Das Gesetz besagt auch, dass Datenverarbeiter die Anweisungen des für die Verarbeitung Verantwortlichen befolgen und die für die Verarbeitung Verantwortlichen bei der Erfüllung ihrer Pflichten unterstützen müssen.

Das Gesetz tritt am 1. Oktober 2024 in Kraft.

Montana, 23.05.2023