Aktueller Fachbeitrag

Anonymisierung / Pseudonymisierung – was sind die Risiken?

Fachbeitrag

DSGVO

Data Governance und Compliance

Anonymisierung / Pseudonymisierung – was sind die Risiken?

In dem vorliegenden Artikel wird die Pseudonymisierung gemäss der Europäischen Datenschutz-Grundverordnung (DSGVO) als eine Methode zur Datenverarbeitung erläutert, bei der personenbezogene Daten so verarbeitet werden, dass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Im Gegensatz zur Anonymisierung, bei der persönliche Identifikatoren entfernt oder Daten aggregiert werden, gelten pseudonymisierte Daten weiterhin als personenbezogene Daten nach der DSGVO. Es wird betont, wie wichtig es ist, zwischen diesen beiden Konzepten zu unterscheiden.

Alesch Staehelin

Im Fokus

TikTok: 345 Millionen Euro Strafe für Versäumnis beim Schutz von Daten Minderjähriger

Rechtsprechung

DSGVO

Datenschutzverletzungen

EDPB_Decision 2-2023 re TikTok

European Data Protection Board (EDPB)

DPC_Decision IN-21-9-1 re TikTok

Irisch Data Protection Commission (IDPC)

TikTok: 345 Millionen Euro Strafe für Versäumnis beim Schutz von Daten Minderjähriger

Am 15. September 2023 verhängte die irische Datenschutzkommission (DPC) gegen TikTok eine Geldbuße von 345 Millionen Euro. Die Entscheidung kritisiert die unfaire Gestaltung der Pop-up-Grundeinstellungen für die Verarbeitung von Daten von Kindern und Jugendlichen und verlangt von TikTok, diese Designpraktiken zu ändern.

Die 40 Mio EUR Busse - CNIL verhängt Sanktionen gegen Criteo

Rechtsprechung

Sanktionen und Verfahren

SAN-2023-009

Commission Nationale de l’Informatique et des Libertés (CNIL)

Die 40 Mio EUR Busse - CNIL verhängt Sanktionen gegen Criteo

Criteo, ein 2005 gegründeter, grosser französischer Adtech Anbieter, wurde eine Busse in der Höhe von 40 Mio Euro aufgrund von Verstosse gegen die DSGVO auferlegt.

CNIL Entscheid DOCTISSIMO: Verbesserungen schützen nicht vor Fehler der Vergangenheit

Rechtsprechung

Sanktionen und Verfahren

DSGVO

CNIL-SAN-2023-006

Commission Nationale de l’Informatique et des Libertés (CNIL)

CNIL Entscheid DOCTISSIMO: Verbesserungen schützen nicht vor Fehler der Vergangenheit

Beim vorliegenden Entscheid erhob die CNIL Sanktionen gegen das Unternehmen DOCTISSIMO, wobei im Wesentlichen die Sicherheitsvorkehrungen, eine zu lange Speicherdauer, und fehlende Einwilligungen bemängelt wurden.

EuGH stärkt Wettbewerbsbehörden - Datenschutz im Fokus Meta-Falls

Rechtsprechung

Datenschutzverletzungen

EuGH C-252/21

Europäischer Gerichtshof (EuGH)

EuGH stärkt Wettbewerbsbehörden - Datenschutz im Fokus Meta-Falls

Meta erleidet im Rechtsstreit mit dem Bundeskartellamt eine Niederlage. Der EuGH entschied, dass Datenschutzbestimmungen im Rahmen von Wettbewerbsuntersuchungen überprüft werden dürfen. Die Verwendung personenbezogener Daten zur personalisierten Werbung wird nicht als "berechtigtes Interesse" anerkannt. Entscheidend ist die freiwillige Einwilligung der Nutzer, trotz der Marktmacht von Meta. Das Bundeskartellamt ist befugt, die Wirksamkeit der erteilten Einwilligungen zu prüfen.

Drittstaatenübermittlung post Schrems II: Landgericht Köln entscheidet über Datenübermittlung an Google

Rechtsprechung

Datentransfer

DSGVO

LG Köln 33 O 376/22 23.03.2023

Landgericht Köln

Drittstaatenübermittlung post Schrems II: Landgericht Köln entscheidet über Datenübermittlung an Google

Das Landgericht Köln hat mit Entscheid 33 O 376/22 vom 23. März 2023 entschieden, dass die Telekom Deutschland keine personenbezogenen Daten zu Analyse- und Marketingzwecken an Google-Server in die USA übermitteln darf, da dies gegen die DSGVO verstösst und die "Schrems II"-Entscheidung des EuGH's nicht einhält.

Clearview AI: CNIL legt 5.2 Mio Busse auf

Rechtsprechung

DSGVO

Künstliche Intelligenz

CNIL SAN-2022-019 17.10.2022

Commission Nationale de l’Informatique et des Libertés (CNIL)

CNIL SAN-2023-005 17.04.2023

Commission Nationale de l’Informatique et des Libertés (CNIL)

Clearview AI: CNIL legt 5.2 Mio Busse auf

Clearview AI erbrachte keinen Nachweis für die Umsetzung der im Entscheid SAN-2022-019 vom 17. Oktober festgelegten Massnahmen. Die EUR 100'000 pro Verzugstag festgesetzte Busse wurde mit vorliegenden Entscheid SAN-2023-005 vom 17. April 2023 festgelegt.

Das Urteil des EuGH zur Bedeutung einer originalgetreuen und umfassenden Datenkopie im Auskunftsrecht

Rechtsprechung

Auskunftsbegehren

EuGH C-487-21 i.S. CRIF v. 04.05.2023

Europäischer Gerichtshof (EuGH)

Das Urteil des EuGH zur Bedeutung einer originalgetreuen und umfassenden Datenkopie im Auskunftsrecht

Der Europäische Gerichtshof (EuGH) hat in einem wichtigen Urteil das Auskunftsrecht gemäss DSGVO präzisiert. Der EuGH betonte die Bedeutung der betroffenen Person eine originalgetreue und umfassende Datenkopie aller sie betreffenden personenbezogenen Daten zuzustellen. Mit diesem Entscheid werden Verantwortliche unter der DSGVO verpflichtet, alle relevanten Daten in einem technischen Format zur Verfügung zu stellen und zu prüfen, ob die Informationen, die sie der betroffenen Person zur Verfügung stellen wollen, vollständig und hinreichend verständlich sind.

CNIL-Guideline für die Weiterarbeitung von Daten durch Auftragsverarbeiter

Kommentierung

Verantwortlicher und Auftragsdatenverarbeiter

CNIL-Guideline für die Weiterarbeitung von Daten durch Auftragsverarbeiter

Die französische Datenschutzbehörde (CNIL) publizierte am 12. Januar 2022 eine Guideline, ob und unter welchen Voraussetzungen ein Auftragsverarbeiter die Daten, die er von einem für die Verarbeitung Verantwortlichen erhält, für eigene Zwecke wiederverwenden kann. Für die Praxis stellen sich einige schwierige Umsetzungsfragen: Nach den Ausführungen CNIL müssen drei Voraussetzungen erfüllt sein, insbesondere eine schriftliche Vereinbarung mit dem Auftragsverarbeiter über die Weiterverwendung von Daten, einen im Einzelfall durch den ursprünglichen Verantwortlichen durchzuführenden Kompatibilitätstest nach Artikel 6(4) DSGVO und schliesslich einer Informationspflicht des ursprünglich Verantwortlichen an die betroffenen Personen über die Weiterverarbeitung.

Olivier Heuberger

Die NIS 2-Richtlinie: Neue Anforderungen an Cybersicherheit für Unternehmen in der EU

Gesetzgebung

Cyber Security

Die NIS 2-Richtlinie: Neue Anforderungen an Cybersicherheit für Unternehmen in der EU

Die NIS 2-Richtlinie ersetzt die NIS-Richtlinie von 2016 und bringt wichtige Änderungen für EU-Unternehmen. Sie betrifft Firmen mit mind. 50 Mitarbeitern oder 10 Mio. EUR Umsatz in der EU. Kritische Einrichtungen und Telekommunikationsanbieter sind ebenfalls betroffen.

Merkblatt des EDÖB zur Datenschutz-Folgenabschätzung

Gesetzgebung

Datentransfer

Merkblatt des EDÖB zur Datenschutz-Folgenabschätzung

Ab dem 1. September 2023 erfordert das revidierte DSG bei hohen Bearbeitungsrisiken eine Datenschutz-Folgenabschätzung (DSFA). Diese bewertet und minimiert Risiken für die Privatsphäre und Grundrechte der Betroffenen. Das EDÖB-Merkblatt erläutert DSFA-Anforderungen, den Umgang mit "hohen Risiken" und Datenschutzmassnahmen.