Aktueller Fachbeitrag

Internationaler Datentransfer China - Schweiz

Fachbeitrag

Data Governance und Compliance

Internationaler Datentransfer China - Schweiz

Am 1. November 2021 trat das neue chinesische Datenschutzgesetz – das PIPL – in Kraft. Business as ususal? Das PIPL ist zwar von der DSGVO inspiriert, enthält jedoch einige Eigenheiten und Anforderungen gerade in Bezug auf internationale Datentransfers.

Im Fokus

Das Bundesgericht zu Art. 271 StGB: Verbotene Handlungen für einen fremden Staat

Rechtsprechung

Data Governance und Compliance

6B_216/2020

Bundesgericht

Das Bundesgericht zu Art. 271 StGB: Verbotene Handlungen für einen fremden Staat

Mit Urteil vom 1. November 2021 (BGE 6B/216_2020) bestätigte das Bundesgericht die Verurteilung eines Verwaltungsrats einer Zürcher Vermögensverwaltungsgesellschaft für die Übergabe von Kundendaten auf einem USB-Stick an das US-amerikanische Department of Justice (DoJ) nach Art. 271 Ziff. 1 Abs. 1 StGB wegen verbotener Handlungen für einen fremden Staat. Die Übergabe erfolgte im Zusammenhang mit einer Selbstanzeige und im Hinblick auf den Abschluss eines Non Prosecution Agreements (NPA).

CNIL: Unverhältnismässige Datenbearbeitung und ungenügender Schutz von Mitarbeiterdaten bei Beförderungslisten

Rechtsprechung

Datenschutzverletzungen

DSGVO

SAN-2021-019 v. 29.10.2021

Commission Nationale de l’Informatique et des Libertés (CNIL)

CNIL: Unverhältnismässige Datenbearbeitung und ungenügender Schutz von Mitarbeiterdaten bei Beförderungslisten

Die CNIL beurteilte, inwiefern bei Beförderungslisten von Mitarbeitenden der Grundsatz der Verhältnismässigkeit und der Datenminimisierung eingehalten bzw. verletzt wurde

Mangelhaft pseudonymisierte Daten bleiben Personendaten

Rechtsprechung

DSG

Data Governance und Compliance

Datenschutzverletzungen

HG190107-O

Handelsgericht ZH

Mangelhaft pseudonymisierte Daten bleiben Personendaten

Das Handelsgericht kam in einem weiteren Entscheid zu den sog. Leaver-Listen im Rahmen des DoJ-Programs zum Ergebnis, dass mangelhaft pseudonymisierte Daten für den Empfänger Personendaten sind, sind insb. wenn mit einem möglicherweise erfolgreichen Amts- oder Rechtshilfeverfahren, Personen re-identifizierbar sind.

EuGH Entscheid One Stop Shop C-645/19

Rechtsprechung

DSGVO

C-645/19

Europäischer Gerichtshof (EuGH)

EuGH Entscheid One Stop Shop C-645/19

Am 15. Juni 2021 entschied der EuGH im Rahmen einer Vorabentscheidung zum Thema One Stop Shop im Verfahren Facebook vs. das Berufungsgericht in Brüssel.

CNIL hebt Zwangsgeld gegen Google auf

Rechtsprechung

Datenschutzverletzungen

Sanktionen und Verfahren

DSGVO

CNIL, SAN-2020-012 v. 07.12.2020

Commission Nationale de l’Informatique et des Libertés (CNIL)

CNIL hebt Zwangsgeld gegen Google auf

Nach der Busse gegen Google in Frankreich von EUR 60 Millionen im Dezember 2020 setzte Google die nationalen Cookie-Bestimmungen gesetzeskonform um. Die französische Datenschutzaufsichtsbehörde verzichtete daraufhin auf die Sanktionierung von Zwangsgeldern in der Höhe von täglich EUR 100'000.

Booking.com wegen verspäteter gemeldeter Sicherheitslücke gebüsst

Rechtsprechung

Datenschutzverletzungen

Booking.com_Dutch_Fine

Autoriteit Persoonsgegevens (AP)

Booking.com wegen verspäteter gemeldeter Sicherheitslücke gebüsst

Die niederländische Datenschutzbehörde büsste die Buchungsplattform Booking.com wegen verspäteter Meldung einer Verletzung der Datensicherheit.

Entscheid Schrems II ECLI:EU:C:2020:559 (Schrems II)

Rechtsprechung

DSGVO

ECLI:EU:C:2020:559 (Schrems II)

Europäischer Gerichtshof (EuGH)

Entscheid Schrems II ECLI:EU:C:2020:559 (Schrems II)

Am 16. Juli 2020 entschied der Europäische Gerichtshof in der Sache C‑311/18, auch bekannt als Schrems II Entscheid.