DSGVO-Konformität in Krisenzeiten.
DSGVO-Compliance in Krisenzeiten. Was sind die Prioritäten? Aufsichtsbehörden und Was sind die Kontrollen Was erwartet Unternehmen im aktuellen Gesundheits- und Wirtschaftskontext?
Obwohl die CNIL ihre Aktivitäten eindeutig auf die Verarbeitung von Gesundheitsdaten konzentriert, hat sie ihre Aufsichtsbefugnisse im weiteren Sinne nicht aufgegeben.
Zunächst einmal gibt es zahlreiche Sensibilisierungsmaßnahmen, die sich an Arbeitgeber (siehe das Dokument zur rechtlichen Überwachung vom September), Lehrkräfte und Forscher richten, die mit der zunehmenden Nutzung von Informationstechnologien und künstlicher Intelligenz konfrontiert sind.
Die CNIL konzentrierte ihre Untersuchungen auch auf die Epidemieüberwachungssysteme und die StopCovid-Anwendung.
Der Leiter der Inspektionsabteilung weist in einer kürzlich erschienenen Veröffentlichung darauf hin, dass die Kleine Unternehmen, KMU und Start-ups unterliegen daher weniger der Kontrolle.
Die Ermittlungen sind jedoch nicht eingestellt, zumal die Verantwortlichen seit Inkrafttreten der DSGVO Zeit hatten, die notwendigen Compliance-Maßnahmen zu ergreifen.
Diese Kontrollen erfolgen verstärkt auf Basis von Fragebögen und Interviews, unangekündigte Kontrollen finden krisenbedingt seltener statt.
Bei Kontrollen vor Ort besteht daher eine 48-stündige Warnfrist.
Ähnliche Anpassungen finden in vielen europäischen Ländern statt, wie aus dem jüngsten Bericht des Europarats zu diesem Thema hervorgeht.
Wenn Flexibilität beispielsweise hinsichtlich der Überschreitung der gesetzlichen Frist für die Beantwortung des Auskunftsrechts von Einzelpersonen zu ihren Daten beobachtet wurde, Die Toleranz ist deutlich geringer oder gar nicht vorhanden, wenn die Datenverarbeitung das Kerngeschäft der kontrollierten Stelle darstellt.
Neben der Anpassung der Kontrollmethoden in Krisenzeiten hat sich auch die Form der Rechtsmittel geändert, die dem Einzelnen im Falle einer Verletzung seiner Rechte zur Verfügung stehen.
Die DSGVO ermöglicht es nun, dass sich Beschwerdeführer durch Einrichtungen des öffentlichen Interesses vertreten lassen können. Viele Verbände haben seit 2018 eine Ausweitung ihrer Aktivitäten erlebt, wie „La Quadrature du Net“ in Frankreich oder „None of Your Business“ in Österreich.
Wir haben sie in jüngster Zeit bei Gerichtsverfahren im Zusammenhang mit der Drohnenüberwachung über Paris während des Lockdowns und im Kontext von Demonstrationen sowie mit der Frage der Datenübertragung in die Vereinigten Staaten am Werk gesehen (siehe das Schrems-II-Urteil, das in unserem Legal Watch vom August erörtert wurde).
Diese Strukturen, die zunehmend besser organisiert und finanziert werden, verleihen dem Problem des Datenschutzes eine neue Sichtbarkeit.
Angesichts der in der Verordnung vorgesehenen möglichen Schadensersatzansprüche und Sanktionen verdeutlichen sie die Problematik nicht nur aus ethischer, sondern auch aus finanzieller und strategischer Sicht.
Diese Entwicklungen stehen im Mittelpunkt eines bevorstehenden Webinars, das am 18. November von der Datenschutzplattform der Europaabgeordneten Sophie In't Veld organisiert wird.
Und auch
Frankreich:
- Der Staatsrat lehnt es ab, den Betrieb des „Health Data Hub“ auszusetzen, trotz der Risiken, die mit der Übermittlung dieser Daten in die USA verbunden sind.
Die CNIL hatte auf die Risiken hingewiesen, die mit der Bereitstellung von Gesundheitsdaten von in Frankreich behandelten Personen durch Microsoft verbunden sind, und an die Rechtsfragen erinnert, die das Schrems-II-Urteil des Europäischen Gerichtshofs aufgeworfen hat.
Obwohl der Staatsrat den Betrieb der Plattform nicht aussetzt, erkennt er dennoch die Risiken einer Übertragung an und fordert, dass entsprechende Garantien übernommen werden, bis eine dauerhafte Lösung gefunden ist.
Die CNIL berät die Behörden in dieser Angelegenheit und stellt bei Genehmigungsanträgen für Forschungsprojekte im Rahmen der Gesundheitskrise sicher, dass die Nutzung der Plattform technisch notwendig ist.
- Die CNIL bietet am Montag, den 23. November 2020 von 14:00 bis 17:30 Uhr eine Veranstaltung zum Thema Portabilitätsrecht an.
Dieses neue, in der DSGVO verankerte Recht ermöglicht es jedem, die personenbezogenen Daten, die er einem Verantwortlichen übermittelt hat, in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten und sie an einen anderen Verantwortlichen zu übermitteln.
Ziel der Debatten wird es insbesondere sein, konkrete Lösungen zur Optimierung des Datenflusses zwischen den Diensten unter Wahrung der Rechte des Einzelnen zu erörtern.
Die DSGVO ermöglicht es nun, dass sich Beschwerdeführer durch Einrichtungen des öffentlichen Interesses vertreten lassen können. Viele Verbände haben seit 2018 eine Ausweitung ihrer Aktivitäten erlebt, wie „La Quadrature du Net“ in Frankreich oder „None of Your Business“ in Österreich.
Wir haben sie in jüngster Zeit bei Gerichtsverfahren im Zusammenhang mit der Drohnenüberwachung über Paris während des Lockdowns und im Kontext von Demonstrationen sowie mit der Frage der Datenübertragung in die Vereinigten Staaten am Werk gesehen (siehe das Schrems-II-Urteil, das in unserem Legal Watch vom August erörtert wurde).
Diese Strukturen, die zunehmend besser organisiert und finanziert werden, verleihen dem Problem des Datenschutzes eine neue Sichtbarkeit.
Angesichts der in der Verordnung vorgesehenen möglichen Schadensersatzansprüche und Sanktionen verdeutlichen sie die Problematik nicht nur aus ethischer, sondern auch aus finanzieller und strategischer Sicht.
Diese Entwicklungen stehen im Mittelpunkt eines bevorstehenden Webinars, das am 18. November von der Datenschutzplattform der Europaabgeordneten Sophie In't Veld organisiert wird.
Und auch
Frankreich:
- Der Staatsrat lehnt es ab, den Betrieb des „Health Data Hub“ auszusetzen, trotz der Risiken, die mit der Übermittlung dieser Daten in die USA verbunden sind.
Die CNIL hatte auf die Risiken hingewiesen, die mit der Bereitstellung von Gesundheitsdaten von in Frankreich behandelten Personen durch Microsoft verbunden sind, und an die Rechtsfragen erinnert, die das Schrems-II-Urteil des Europäischen Gerichtshofs aufgeworfen hat.
Obwohl der Staatsrat den Betrieb der Plattform nicht aussetzt, erkennt er dennoch die Risiken einer Übertragung an und fordert, dass entsprechende Garantien übernommen werden, bis eine dauerhafte Lösung gefunden ist.
Die CNIL berät die Behörden in dieser Angelegenheit und stellt bei Genehmigungsanträgen für Forschungsprojekte im Rahmen der Gesundheitskrise sicher, dass die Nutzung der Plattform technisch notwendig ist.
- Die CNIL bietet am Montag, den 23. November 2020 von 14:00 bis 17:30 Uhr eine Veranstaltung zum Thema Portabilitätsrecht an.
Dieses neue, in der DSGVO verankerte Recht ermöglicht es jedem, die personenbezogenen Daten, die er einem Verantwortlichen übermittelt hat, in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten und sie an einen anderen Verantwortlichen zu übermitteln.
Ziel der Debatten wird es insbesondere sein, konkrete Lösungen zur Optimierung des Datenflusses zwischen den Diensten unter Wahrung der Rechte des Einzelnen zu erörtern.
Europa:
- Vereinigtes Königreich: Dort Marriott International Company wurde am 30. Oktober wegen einer Sicherheitsverletzung mit einer Geldstrafe von 20 Millionen Euro belegt, einem deutlich niedrigeren, wenn auch immer noch beträchtlichen Betrag als die ursprünglich von der britischen Datenschutzbehörde angekündigten 100 Millionen Euro.
- Der Europäische Gerichtshof fällte am 6. Oktober zwei wichtige Urteile (La Quadrature du Net und Privacy International) im Bereich der Nutzung personenbezogener Daten durch Geheimdienste.
Sie spezifiziert die strenge Bedingungen, unter denen Kommunikationsdaten von Betreibern gespeichert werden dürfen und bestätigt die Rechtswidrigkeit der „massenhaften“ Abhörmaßnahmen dieser Daten durch die Geheimdienste.
Der Gerichtshof bestreitet außerdem die Existenz eines grundlegenden und kollektiven Rechts auf Sicherheit., was eine Abwägung mit den Grundrechten auf Privatsphäre und Datenschutz rechtfertigen würde.
- Der Europäische Datenschutzausschuss (EDSA) verabschiedete in seiner Sitzung am 21. Oktober Leitlinien zum Datenschutz „von Natur aus und standardmäßig“, die konkret veranschaulichen, wie dieser Schutz bereits in der Entwurfsphase eines IT-Systems sichergestellt werden kann.
Internationales:
- Brasilien ist seit dem 19. Oktober mit einem Kollegium der Datenschutzbeauftragten für die Leitung seiner Aufsichtsbehörde.
Von den fünf vom Präsidenten der Republik ernannten und vom Senat bestätigten Mitgliedern verfügen drei hauptsächlich über militärische Erfahrung, was das Kollegium zu einem ziemlich einzigartigen macht.
- Die Global Privacy Assembly brachte Mitte Oktober rund hundert Vertreter von Datenschutzbehörden virtuell zusammen.
Die Versammlung verabschiedete mehrere Resolutionen bezüglich derKünstliche Intelligenz, Gesichtserkennung und humanitäre HilfeDarüber hinaus wurde eine Sammlung bewährter Verfahren im Zusammenhang mit der COVID-19-Pandemie veröffentlicht.
- UNICEF erstellt Leitlinien zum Schutz Kinderrechte im Kontext der Entwicklung künstlicher Intelligenz. Das Projekt ist online verfügbar und seine endgültige Version wird 2021 veröffentlicht.
Anne Christine Lacoste
Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.
DE_AT 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
ET 
FI 
LV 
LT 
SK 
SL