In a landmark ruling (‘Data Protection Commissioner v Facebook Ireland and Maximilian Schrems’)[1], the CJEU invalidated the Privacy Shield Decision[2], whereby the Commission had determined that the United States ensured an adequate level of protection for personal data transferred from the Union to organisations in the US. Many organisations involved in transborder data transactions will […]
Internationaler Datenschutz
Internationaler_Datenschutz
¿Es un deber notificar la designación del Delegado de Protección de Datos ante las Autoridades de Control?
El Reglamento General de Protección de Datos (RGPD) en su artículo 37.2, menciona la posibilidad de nombrar un Delegado de Protección de Datos (DPD) para un grupo empresarial, siempre y cuando este sea accesible desde cada establecimiento. Bajo esta premisa, entendemos que nombrando un DPD para el grupo se encuentra surtida la obligación. Sin embargo, […]
Is it a duty to notify the Supervisory Authorities of the appointment of the Data Protection Officer under the GDPR?
The General Data Protection Regulation (GDPR) in article 37.2 mentions the possibility of appointing a Data Protection Officer (DPO) for a business group, provided that the DPO is accessible from each establishment. This article has led to the conclusion that by appointing a DPO for the group the obligation is met. However, it is relevant […]
Europäischer Datenschutzausschuss kritisiert CLOUD Act Datenabkommen zwischen USA und Großbritannien
Das US-Gesetz CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Ermittlungsbehörden den Zugriff auf Daten von US-Unternehmen, auch, wenn diese sich auf Servern im Ausland befinden und ohne dass es eines vorherigen Rechtshilfegesuchs bedarf. Problematisch daran ist, dass Art. 48 der EU-Datenschutzgrundverordnung (DSGVO) vorsieht, dass eine Übermittlung personenbezogener Daten in ein Drittland nur […]
USA: Email marketing rules under the CAN-SPAM Act
There exists a misconception across Europe that the USA does not have any state laws enacted which protect consumer rights and privacy of consumers. The European Commission has enacted a very powerful tool with the implementation and development of the GDPR, which sometimes makes us reconsider other country’s rules. The USA has a wide range […]
Die Einführung eines zentralen Datenregisters in Russland – Digitalisierung versus Datensicherheit
Am 21. Mai 2020 hat das russische Parlament, die Duma, ein Gesetz verabschiedet, das die Einrichtung eines zentralen Datenregisters vorsieht. Die neue zentrale Datenbank wird sämtliche Daten aller Einwohner von der Geburt bis zum Tod in einem System vereinen. Das „Zentrale Bundesregister“ wird die personenbezogenen Daten aller russischen Bürger und anderen Einwohner, wie Stammdaten (Name, […]
Right to deletion? Dutch Court: Not if overriding interests exist!
Dutch Arnhem-Leeuwarden Court of Appeal (hereinafter “Court”) seems to give insides on what accounts to an overriding interest according to Art. 21 para. 1 GDPR, when considering the right to deletion according to Art. 17 para. 1 lit. c GDPR (see here). Facts The data subject who works as an accountant had provided false information […]
COVID-19 – New Guidelines on the processing of health data for scientific research
On 21st April 2020, the European Data Protection Board (EDPB) released new guidelines. As a preliminary remark, the EDPB sees that “there are currently great scientific research efforts in the fight against SARS-CoV-2”, which should lead to research results as soon as possible. At the same time, there are legal questions regarding the processing of […]
Unerwünschte Anrufe Episode II – italienischer Telefonkonzern TIM muss 27,8 Mio. Euro Bußgeld bezahlen
Das Imperium schlägt zurück In diesem Fall handelt es sich nicht um einen neuerlichen Teil der Star-Wars-Saga, sondern um einen weiteren Fall von wildem, bzw. nicht datenschutzkonformen Telemarketing und den sich daraus ergebenden Konsequenzen. Kaum zwei Wochen sind seit der Mitteilung der italienischen Aufsichtsbehörde für Datenschutz vergangen, dass ein Bußgeld in Höhe von 11,5 Millionen […]
The California Consumer Privacy Act, or “Do Not Sell My Personal Information”
On January 1, 2020, the California Consumer Privacy Act (CCPA) has entered into effect, described by many as a landmark law and, according to the American Bar Association, the most comprehensive privacy legislation to be enacted in the United States of America. The CCPA was passed in 2018 and is aimed at providing consumers with […]
Russische Staatsduma nimmt massiv Einfluss durch Pflichtsoftware auf Smartphones und Computern
Die russische Regierung will per Gesetz Hersteller von in Russland angebotenen Smartphones, Computern und Smart TVs dazu verpflichten, Software russischer Hersteller auf den Geräten vorzuinstallieren. Als Grund wird hier eine Hilfestellung gegen dominante internationale Hersteller angeführt. Höchst ehrenwert ist ein weiterer Grund, der für die Installation von verschiedenen App´s steht: Es soll unversierten Anwendern (hier […]
Totgesagte leben länger?
Die ePrivacy-Verordnung ist vorerst auf Eis gelegt Nachdem es vor einiger Zeit noch so schien, als würden die Verhandlungen zur geplanten e-Privacy-Verordnung möglicherweise wieder aufgenommen werden, ist die Verordnung nun erst einmal auf Eis gelegt. Auf dem Treffen des Telekommunikationsrates am 3. Dezember 2019 hat EU-Digitalkommissar Thierry Breton geäußert, dass ein komplett neuer Vorschlag zur […]
Swiss Hotel Booking Platform must comply with the GDPR
The Austrian Data Protection Authority has ordered a Swiss online hotel booking platform to comply with the requirements set forth in the EU General Data Protection Regulation (GDPR), in particular to provide the information according to Art. 13 GDPR to the data subject. The ordinance was based on the following facts: An Austrian citizen living […]
Digital marketing as a legitimate interest? Dutch DPA clarifies.
On the first of November the Dutch DPA (Autoriteit Persoonsgegevens) has tried to shed some more light on the subject of the legitimate interest as a lawful ground of processing. Besides reconfirming the common understanding and best practices, the Dutch DPA clarifies the legal basis for direct marketing if and to the extent, that the […]
„Windows Hello“ im Arbeitsverhältnis – Was ist zu beachten?
Niemand merkt sich gerne Passwörter… Microsoft bietet hierfür als Ersatz die Funktion „Microsoft Hello“ bei der Windows Anmeldung an. Damit soll das lästige Merken des Passwortes durch das Hinhalten des Gesichts, Auges oder Fingerabdrucks ersetzt werden können. Das klingt alles erstmal ganz schön. Dabei stellt sich aber spätestens bei der Aktivierung der Funktion die Frage: […]