The French social media app BeReal promises its audience a daily dose of real life. Users are encouraged to “BeReal” by sharing daily selfies with their followers. To that end, every day at a random time, users receive a notification inviting them to „BeReal“ and take and post a photo of themselves within the next […]
CNIL
Alexa, ich erzähl dir alles?! Sprachassistenten im Visier der CNIL
Als Ausprägung des Rechts auf informationelle Selbstbestimmung gewährleistet das Datenschutzrecht natürlichen Personen einen grundsätzlichen Schutz ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten. Doch wer schützt uns als Personen vor uns selbst? Genau diesen Gedanken nahm die französische Aufsichtsbehörde CNIL zum Anlass, in einem Experiment zur Nutzung von Sprachassistenten aufzuzeigen, wie gedankenlos der Umgang mit innovativen […]
EDPB publishes opinion on the “Code of Conduct for Service Providers in Clinical Research” submitted by EUCROF
According to Art. 40 GDPR, associations and other bodies representing categories of controllers or processors are encouraged to prepare codes of conduct, or amend or extend such codes, for the purpose of contributing to the proper application of the GDPR in specific sectors. When such codes of conduct – or amendments to existing ones – […]
How to verify the implementation of Binding Corporate Rules? The CNIL published a monitoring tool
A number of multinational companies operating across multiple jurisdictions and sharing personal data between different countries, have adopted Binding Corporate Rules (BCRs) as a transfer mechanism under Art. 47 of the General Data Protection Regulation (GDPR). BCRs are internal data protection compliance rules to ensure that personal data transferred between their entities, particularly from the […]
CNIL veröffentlicht neue datenschutzrechtliche Anleitungen für die Entwicklung von KI-Systemen
Am 2. Juli 2024 hat die französische Datenschutzbehörde (CNIL) neue Anleitungen (sog. „How-to Sheets“) veröffentlicht, die sich mit der Entwicklung von Systemen der Künstlichen Intelligenz (KI) aus Sicht des Datenschutzes befassen. Diese folgen auf die Veröffentlichung früherer How-to Sheets zum gleichen Thema aus Juni 2024. Die neuen Anleitungen vom Juli werden bis zum 1. September […]
Das hat die KG COM nicht kommen sehen! Online-Hellseher mit 150.000 EUR Bußgeld belegt
Die französische Aufsichtsbehörde (CNIL) verhängte mit Beschluss vom 8. Juni 2023 gegen die KG COM zwei Bußgelder in Höhe von insgesamt 150.000 Euro, weil das Unternehmen seinen Verpflichtungen aus der Datenschutz-Grundverordnung und dem französischen Datenschutzgesetz nicht nachkam. Insbesondere erhob das Unternehmen übermäßig viele Daten sowie sensible Daten ohne vorherige und ausdrückliche Einwilligung. Auch war die […]
We will record this call for contract proving purposes
The French data protection supervisory authority, Commission Nationale de l’Informatique et des Libertés (CNIL), recently published a Guide (25.04.2022) about call recording to prove the formation of a contract. When to record? The rule of thumb is to record calls that are necessary because there are no other means of proving that the data subject has […]
Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]
Und täglich grüßt das Bußgeld
CNIL reagiert auf unzureichende Maßnahmen gegen Credential Stuffing Angriffe Ende Januar gab die französische Datenschutzbehörde (CNIL) bekannt, dass sie ein Bußgeld in Höhe von insgesamt 225.000 Euro gegen einen Online Shop Betreiber (i.H.v. 150.000 Euro) und dessen Auftragsverarbeiter (i.H.v. 75.000 Euro) verhängt hat. Ursache für das Bußgeld sind unzureichende technische und organisatorische Maßnahmen zur Abwehr […]
Conseil de’etat ruling on the Data Health Hub: The start of Schrems III or rather a turning point?
The derogation to the restriction to transfer data to the USA on the basis of the Covid-19 pandemic. Introduction On 23 October 2020 the Conseil d’etat, a French public institution with the primary role of giving administrative judicial rulings, (‘the Conseil’) ruled on the issue whether the use of Microsoft to host the Health Data […]
France and Apps/Websites: What do the latest CNIL recommendations say?
The Comission Nationale de l’informatique et des libertés, the French Data Protection Authority (‘CNIL’) published FAQs and a new guideline regarding cookies on October 1st, 2020. This guideline that was previously publicly consulted between January 14th to February 25th, 2020 has been developed in consultation with digital advertising stakeholders and civil societies. Stakeholders are requested […]
Frankreich und Apps/Websites – Neuigkeiten von der CNIL?
Die Comission Nationale de l’informatique et des libertés, die französische Datenschutzbehörde (‚CNIL‘), hat am 1. Oktober 2020 verschiedene Dokumente wie FAQs und eine neue Empfehlung zu Cookies veröffentlicht. Die Empfehlung, welche zwischen dem 14. Januar und dem 25. Februar 2020 öffentlich konsultiert wurde, ist mit Interessenvertretern der digitalen Werbung und der Zivilgesellschaft abgestimmt worden. Eine […]
Cookies und Tracker: die CNIL holt die Meinung der Nutzer ein
Die CNIL hat am 14. Januar 2020 eine öffentliche Konsultation über ihren Empfehlungsentwurf „Cookies und andere Tracker“ (sog. Recommandation „Cookies et autres traceurs“) eingeleitet. Diese Empfehlung im Entwurf erläutert praktische Modalitäten und Best-Pratices für die Einholung der Einwilligung der betroffenen Person beim Einsatz von Cookies und anderen Trackern. Bis zum 25. Februar 2020 kann jeder […]
EuGH: Keine weltweite Auslistung von Links
Der Europäische Gerichtshof hat mit Urteil vom 24. September 2019 (Aktenzeichen: C-507/17) entschieden, dass der Betreiber einer Suchmaschine wie Google Inc. (heute Google LLC) verpflichtet ist, dem Antrag einer betroffenen Person auf Löschung personenbezogener Suchergebnisse „in allen mitgliedstaatlichen Versionen seiner Suchmaschine“ nachzukommen. Nicht umfasst hiervon ist die Pflicht, die Auslistung „in allen Versionen seiner Suchmaschine“ […]
Forum shopping between data protection authorities?
The data protection authority (DPA) of the German federal state of Hamburg recently opened administrative proceedings against Google. It relates to Google’s “Google Assistant” System, the natural language assistant behind the “Google Home” speaker, and transcripts from it. The Belgian public broadcaster VRT NWS recently revealed that recordings from “Google Assistant” were systematically listened to […]