The Dutch Data Protection Authority has recently issued a fine of €475,000 to the online touristic operator Booking.com for having notified a data breach to the DPA with a sensible delay. The data breach The staff of about 40 Hotels located in the United Arab Emirates were cheated by a telephone scam and convinced to […]
Internationaler Datenschutz
Internationaler_Datenschutz

Vermehrt Bußgelder aufgrund verspätetet gemeldeter Datenpannen
In letzter Zeit häufen sich die bekannt gewordenen Bußgelder aufgrund zu spät gemeldeter Datenpannen. Vor kurzem wurde nun auch ein Bußgeld gegen Booking.com i.H.v. 475.000€ publik. Dieses wurde verhängt, da es Cyberkriminellen Anfang 2019 gelang, über 4000 Kundendatensätze mit Namen, Adressen, Telefonnummern und in knapp 300 Fällen auch Kreditkarteninformationen vom Betreiber zu stehlen. Neben den […]

Datentransfer zu AWS in den USA rechtmäßig – unter Bedingungen
Bereits in der Vergangenheit hat der Conseil d’Etat – Frankreichs oberstes Verwaltungsgericht und Beratungsgremium der Regierung in Rechtsfragen – sich zur Anwendung von Schrems II geäußert. Im Rahmen der Corona-Impfkampagne in Frankreich hat er wiederum die Gelegenheit erhalten, sich über einen Datentransfer zu Dienstleistern mit Verbindungen zu US-Dienstleistern zu äußern. Terminvergabe für Impfungen mithilfe von […]

Common trend in the health-industry?
Fine of 440.000 EUR imposed by Autoriteitspersoonsgegevens on Dutch Hospital. Back in the lovely Spring of 2019, the Autoriteitspersoongegevens (‘AP’) started investigations against the Onze Lieve Vrouwen Gasthuis (‘OLVG’). The OLVG is an educational hospital that has two locations in Amsterdam and holds more than 550.000 patients on an annual basis. After the AP got […]

Angemessenheitsbeschluss für das Vereinigte Königreich?
Nach dem vollzogenen Brexit und dem daraus resultierenden Austritt des Vereinigten Königreichs (UK) aus der Europäischen Union (EU) gilt hinsichtlich des Datenaustauschs noch eine Übergangsfrist bis einschließlich dem 30.06.2021. Die getroffene Vereinbarung über die Datenübermittlung über den Ärmelkanal wurde in dem sog. Partnerschaftsvertrag, der am 24.12.2020 zwischen beiden Parteien geschlossen wurde, niedergeschrieben (nachzulesen hier). Innerhalb […]

Art. 23 DSGVO und der Europäische Datenschutzausschuss
Dürfen datenschutzrechtliche Betroffenenrechte durch Mitgliedsstaaten eingeschränkt werden? Der Europäische Datenschutzausschuss hat im Rahmen der 42. und 43. Sitzung zahlreiche Dokumente noch im vergangenen Jahr verabschiedet. Dieses Potpourri an Dokumenten umfasst neben einem Strategiedokument für den Zeitraum 2021 bis 2023 unter anderem weitere Dokumente wie die vorliegende Richtlinie 10/2020. Die Richtlinie thematisiert die Möglichkeiten der Beschränkungen […]
Welche Datenpannen sind zu melden?
Am 18.01.2021 hat der Europäische Datenschutzausschuss (EDSA) Richtlinien zur Einordnung und Meldung von Datenpannen herausgegeben. Wir berichteten schon hier. Aufbauend auf dem Beitrag unserer Kollegin soll dieser Beitrag die vom EDSA aufgeführten Fallbeispiele summarisch zusammenfassen und einen ersten (stark verkürzten) Überblick geben. Vorangestellt finden sich die wesentlichen Kontrollfragen, die bei der Einordnung eines Verstoßes herangezogen […]
Datentransfer in die USA – Microsoft integriert zusätzliche Garantien in die Kundenverträge, aber es besteht trotzdem Handlungsbedarf
Mit dem als Schrems-II bekannten Urteil vom 16.07.2020 (Rechtssache C-311/18) erklärte der EuGH zum einen den Angemessenheitsbeschluss der Europäische Kommission für die USA (sog. EU-US Privacy Shield) für ungültig. Zum anderen stellte der Gerichtshof zusammenfassend fest, dass der Abschluss der grundsätzlich weiterhin wirksamen Standarddatenschutzklauseln ohne die Umsetzung zusätzlicher Maßnahmen kein effektives Mittel darstellt, um Datentransfers […]
The NHSX is recommending companies collaborating with NHS organisations to enter into a controller-to-controller Data Sharing Agreement
As of July 2019, the National Health Service in the Great Britain has founded the NHSX by combining teams from the UK Department of Health and Social Care, NHS England and the NHS Improvement. The NHSX is a digital health and social care transformation program designed to improve the UK’s long-term plans with regard to […]
Brexit: Vielumjubelter Last- Minute- Handelspakt vereinbart
Zufriedenstellende Einigung auch im Datenschutz? Der Brexit ist nach Ablauf der vereinbarten Übergangsfrist zum 31.12.2020 endgültig besiegelt und das Vereinigte Königreich (UK) seither kein Mitgliedsstaat der Europäischen Union (EU) mehr. Die Zeit der Ungewissheit, ob der EU-Austritt des Vereinigten Königreichs aus der Europäischen Union mit oder ohne Deal erfolgen wird, hat mit dem Handels- und […]
Switzerland adopts revised data protection law
The protection of personal data is becoming more and more relevant. This is a result of the rapid advancement of communication and sales channels as well as the increasing capacities of companies to collect personal data. The Swiss Parliament seemingly acknowledged this too when it recently announced that it adopted the revised version of the […]
Aus der Bußgeldstelle – Oh, du fröhliche Weihnachtszeit!
Die irische Datenschutzbehörde hat eine Geldstrafe über € 450.000 gegen die Twitter International Company verhängt, da Twitter die irische Aufsichtsbehörde nicht binnen 72 Stunden über einen Datenschutz-Vorfall informierte und auch keine entsprechende Dokumentation anfertigte (Art. 33 Abs. 1 und 5 DSGVO). Zum Thema im Allgemeinen wird auf diesen Beitrag und zur Fristenberechnung auf diesen verwiesen. […]
Orientierungshilfe zum Targeting von Social Media Nutzern
Das European Data Protection Board (EDPB – ein unabhängiges Gremium, das sich aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammensetzt) hat am 2. September 2020 eine Orientierungshilfe zum Targeting von Social Media Nutzern herausgegeben. Dabei werden auf 37 Seiten die Rahmenbedingungen für die Zielgruppenauswahl in sozialen Netzwerken beschrieben. Relevant ist dies für alle […]
Conseil de’etat ruling on the Data Health Hub: The start of Schrems III or rather a turning point?
The derogation to the restriction to transfer data to the USA on the basis of the Covid-19 pandemic. Introduction On 23 October 2020 the Conseil d’etat, a French public institution with the primary role of giving administrative judicial rulings, (‘the Conseil’) ruled on the issue whether the use of Microsoft to host the Health Data […]
Revision des schweizerischen Datenschutzgesetzes – eine Odyssee neigt sich dem Ende zu
Aufgrund der Revisionen der datenschutzrechtlichen Bestimmungen in der EU und beim Europarat, sah sich auch die Schweiz gezwungen ihr Datenschutzrecht zu überarbeiten und an das europäische Schutzniveau anzupassen. Ohne Anpassungen hätten unsere südlichen Nachbarn damit rechnen müssen, ihren Angemessenheitsbeschluss zu verlieren. Dieses Risiko scheint nun nicht mehr zu bestehen, nachdem sowohl National- als auch Ständerat […]