The French data protection supervisory authority, Commission Nationale de l’Informatique et des Libertés (CNIL), recently published a Guide (25.04.2022) about call recording to prove the formation of a contract. When to record? The rule of thumb is to record calls that are necessary because there are no other means of proving that the data subject has […]
Internationaler Datenschutz
Internationaler_Datenschutz

Was der Entwurf zum EU-Data-Act mit Sex-Toys zu tun hat
Vor einiger Zeit berichteten wir über We-Vibe, ein Sex Toy des Herstellers QIUI. Dabei ging es vor allem um Sicherheitsdefizite. Solche Geräte, die Daten sammeln und mit dem Internet vernetzt sind, sind Gegenstand des geplanten EU Data Acts, dessen Entwurf die EU-Kommission im Februar vorlegte. Der EU Data Act soll für Verbraucher und Unternehmen regeln, […]

Amazon Road Transport Spain Fined 2 Million EUR by Spanish Regulator for Requesting Certificates of Good Conduct from Drivers
The Spanish data protection supervisory authority, Agencia Española de Protección de Datos (AEPD), has issued a fined of 2 million EUR against Amazon Road Transport Spain, S. L., a logistics company that manages deliveries for US-based online-merchant Amazon (see here). Backgound, or: How to Become a Delivery Driver Amazon Road Transport works with formally self-employed […]

Will the Trans-Atlantic Data Privacy Framework Bloom this Summer?
Spring has sprung, but we are still waiting for the flowers to appear. As I wrote in a blog article dated, March 23, 2022, it was anticipated that this spring the EU and the U.S. would come to an agreement with regards to the EU-U.S. Privacy Shield. On March 25, 2022, a joint announcement was […]

Backups and the Right to Erasure
Discussed many times and yet not less important: In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis. The same applies if the legal basis ceases to exist. In this case, too, processing must be prevented aswell […]
Was Sie über die Gültigkeit von DSGVO-Zertifikaten wissen sollten
DSGVO-Zertifikate werden kommen, soviel steht fest. Perspektivisch werden sie so selbstverständlich sein wie ISO/IEC 27001-Zertifikate bei Rechenzentren. Sie werden eine wichtige Grundlage für die Datenübermittlung in Drittstaaten sein und sie werden – neben einer Haftungsreduktion – maßgeblich ein Qualitätskriterium für Auftragsverarbeiter darstellen. Und noch etwas steht heute bereits fest: DSGVO-Zertifikate sind kein rein nationales Thema […]
Update: Angemessenheitsbeschluss für die Republik Korea – nun offiziell!
Mitte letzten Jahres haben wir über das Verfahren zum Angemessenheitsbeschlusses für die Republik Korea berichtet und dabei insbesondere auf das Beispiel Japan abgestellt (siehe hier). Kurz vor Weihnachten hat sich die europäische Kommission dann doch nochmal ins Zeug gelegt und geliefert. Seit dem 17.12.2021 ist der Beschluss für die Republik Korea nun (endlich) da. Die […]
The Dutch Data Protection Authority has published brief guidance on the pressing issue of Google Analytics
The Austrian Data Protection Authority has recently on the back of a NOYB compliant, come to the decision that the use of Google Analytics is not compliant with the GDPR, Schrems II, and data transfer laws. In the case, they found that personal data from the complainant’s browser or device had been transferred to the […]
International transfers: The new EDPB Guidelines 05/2021: Ending the discussion about the new SCCs and recital 7?
The European Data Protection Board adopted new Guidelines (05/2021) on the interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR on 18 November 2021. These Guidelines aim to assist controllers and processors in the EU in identifying whether a processing operation constitutes an international […]
How will the approaching EU Whistleblower Directive impact companies?
What is Happening? In light of the increasing importance of whistleblowers and the decreasing levels of uniformity within EU legislation, the European Commission has created the: “Directive on the Protection of Persons who report Breaches of Union Law (Directive 2019/1937)” or more commonly known colloquially as “the whistleblower directive”. The directive entered into force on […]
Encryption measures validated by the Belgian Council of State as an additional measure to the transfer of personal data outside of the EEA
The Flemish Authorities initially considered the specific encryption tools as a valid supplementary measure in addition to the European Standard contractual clauses (SCCs). The measure was applied by a European branch of a US company using AWS cloud. The decision was confirmed by the Belgian Council of State upon a formal complaint of a third […]

Privacy Shield 2.0?
Since the CJEU declared the Privacy Shield agreement invalid with its Schrems II ruling, the EU and the USA have been working on a replacement agreement. This is intended to enable companies to transfer data between EU countries and the USA., thereby creating a legal mechanism for data transfers. This would then be the third […]
Privacy Shield 2.0?
Seitdem der EuGH mit seiner Schrems II Entscheidung das Privacy Shield Abkommen für ungültig erklärt hat, wird von Seiten der EU und den USA an einem Ersatzabkommen gearbeitet. Hiermit soll es Unternehmen ermöglicht werden, Daten von EU-Ländern in die USA zu übermitteln, wodurch ein rechtlicher Mechanismus für Datenübermittlungen geschaffen wird. Dies wäre dann der dritte […]
Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]
The New California Privacy Rights Act (CPRA)
Not that long ago, in January 2020, the California Consumer Privacy Act (CCPA) entered into force. Shortly after that, a proposition was made to amend the CCPA, introducing a new privacy law in California, the CPRA. We reported here. Californians once more voted in favor of a new data protection law on November 3, 2020, […]