Aktueller Fachbeitrag

Google Analytics im europäischen Kreuzfeuer

Fachbeitrag

Data Analytics

DSGVO

Google Analytics im europäischen Kreuzfeuer

In einer Verflechtung von Behörden, Gesetzen, Verfahren und Technologien, einem trüben Datenschutz-Eintopf, der seit Jahren brodelt, macht der Google-Konzern mit seinen Angeboten immer wieder Schlagzeilen; allen voran sein Dienst Google Analytics. Warum?

Denis F. Berger

Im Fokus

Österreichischen Datenschutzbehörde befindet Google Analytics als nicht DSGVO-konform

Rechtsprechung

DSGVO

ÖDSB_D155.027 GA_22122021

Österreichischen Datenschutzbehörde befindet Google Analytics als nicht DSGVO-konform

Gemäss Entscheid der österreichischen Datenschutzbehörde vom 22. Dezember 2021 würden Webseiten-Betreiber, die Google Analytics einsetzen, und Daten an Google LLC mit Sitz in den USA übermitteln, nicht dem Schutzniveau der DSGVO entsprechen. Insbesondere die von Google aufgezeigten technischen Massnahmen hätten nicht genügt, ein der DSGVO gleichwertiges Datenschutzniveau herzustellen.

WhatsApp klagt beim Europäischen Gerichtshof

Rechtsprechung

DSGVO

CJEU, WhatsApp vs. EDPB, T-709-21, 03.01.2022

European Data Protection Board (EDPB)

EDPB, Binding decision 01-2021 WhatsApp Ireland

European Data Protection Board (EDPB)

WhatsApp klagt beim Europäischen Gerichtshof

WhatsApp Ireland klagt vor dem Europäischen Gerichtshof zur Aufhebung der Geldbusse von 225 Mio. EUR, die ihnen die irische Datenschutzkommission am 2. September 2021 auferlegt hatte. WhatsApp richtet ihre Klage nicht gegen die irische Datenschusskommission, sondern gegen den Beschluss des Europäischen Datenschutzausschusses, die der Geldbusse vorausging.

CNIL: Unverhältnismässige Datenbearbeitung und ungenügender Schutz von Mitarbeiterdaten bei Beförderungslisten

Rechtsprechung

Datenschutzverletzungen

DSGVO

SAN-2021-019 v. 29.10.2021

Commission Nationale de l’Informatique et des Libertés (CNIL)

CNIL: Unverhältnismässige Datenbearbeitung und ungenügender Schutz von Mitarbeiterdaten bei Beförderungslisten

Die CNIL beurteilte, inwiefern bei Beförderungslisten von Mitarbeitenden der Grundsatz der Verhältnismässigkeit und der Datenminimisierung eingehalten bzw. verletzt wurde

Das Bundesgericht zu Art. 271 StGB: Verbotene Handlungen für einen fremden Staat

Rechtsprechung

Data Governance und Compliance

6B_216/2020

Bundesgericht

Das Bundesgericht zu Art. 271 StGB: Verbotene Handlungen für einen fremden Staat

Mit Urteil vom 1. November 2021 (BGE 6B/216_2020) bestätigte das Bundesgericht die Verurteilung eines Verwaltungsrats einer Zürcher Vermögensverwaltungsgesellschaft für die Übergabe von Kundendaten auf einem USB-Stick an das US-amerikanische Department of Justice (DoJ) nach Art. 271 Ziff. 1 Abs. 1 StGB wegen verbotener Handlungen für einen fremden Staat. Die Übergabe erfolgte im Zusammenhang mit einer Selbstanzeige und im Hinblick auf den Abschluss eines Non Prosecution Agreements (NPA).

Mangelhaft pseudonymisierte Daten bleiben Personendaten

Rechtsprechung

DSG

Data Governance und Compliance

Datenschutzverletzungen

HG190107-O

Handelsgericht ZH

Mangelhaft pseudonymisierte Daten bleiben Personendaten

Das Handelsgericht kam in einem weiteren Entscheid zu den sog. Leaver-Listen im Rahmen des DoJ-Programs zum Ergebnis, dass mangelhaft pseudonymisierte Daten für den Empfänger Personendaten sind, sind insb. wenn mit einem möglicherweise erfolgreichen Amts- oder Rechtshilfeverfahren, Personen re-identifizierbar sind.

EuGH Entscheid One Stop Shop C-645/19

Rechtsprechung

DSGVO

C-645/19

Europäischer Gerichtshof (EuGH)

EuGH Entscheid One Stop Shop C-645/19

Am 15. Juni 2021 entschied der EuGH im Rahmen einer Vorabentscheidung zum Thema One Stop Shop im Verfahren Facebook vs. das Berufungsgericht in Brüssel.

CNIL hebt Zwangsgeld gegen Google auf

Rechtsprechung

Datenschutzverletzungen

Sanktionen und Verfahren

DSGVO

CNIL, SAN-2020-012 v. 07.12.2020

Commission Nationale de l’Informatique et des Libertés (CNIL)

CNIL hebt Zwangsgeld gegen Google auf

Nach der Busse gegen Google in Frankreich von EUR 60 Millionen im Dezember 2020 setzte Google die nationalen Cookie-Bestimmungen gesetzeskonform um. Die französische Datenschutzaufsichtsbehörde verzichtete daraufhin auf die Sanktionierung von Zwangsgeldern in der Höhe von täglich EUR 100'000.

CNIL-Guideline für die Weiterarbeitung von Daten durch Auftragsverarbeiter

Kommentierung

Verantwortlicher und Auftragsdatenverarbeiter

CNIL-Guideline für die Weiterarbeitung von Daten durch Auftragsverarbeiter

Die französische Datenschutzbehörde (CNIL) publizierte am 12. Januar 2022 eine Guideline, ob und unter welchen Voraussetzungen ein Auftragsverarbeiter die Daten, die er von einem für die Verarbeitung Verantwortlichen erhält, für eigene Zwecke wiederverwenden kann. Für die Praxis stellen sich einige schwierige Umsetzungsfragen: Nach den Ausführungen CNIL müssen drei Voraussetzungen erfüllt sein, insbesondere eine schriftliche Vereinbarung mit dem Auftragsverarbeiter über die Weiterverwendung von Daten, einen im Einzelfall durch den ursprünglichen Verantwortlichen durchzuführenden Kompatibilitätstest nach Artikel 6(4) DSGVO und schliesslich einer Informationspflicht des ursprünglich Verantwortlichen an die betroffenen Personen über die Weiterverarbeitung.

Olivier Heuberger

Bericht zur Schaffung von vertrauenswürdigen Datenräumen basierend auf der digitalen Selbstbestimmung

Gesetzgebung

Data Governance und Compliance

Bericht zur Schaffung von vertrauenswürdigen Datenräumen basierend auf der digitalen Selbstbestimmung

Das UVEK und EDA haben einen Bericht zuhanden des Bundesrates verfasst um auf die Frage, wie das Potential für Daten für Wirtschaft und Gesellschaft besser ausgeschöpft werden kann. Nachfolgend werden die zentralen Punkte aufgegriffen und in gekürzter Form wiedergegeben.

Künstlichen Intelligenz und internationales Regelwerk

Gesetzgebung

Data Analytics

Künstlichen Intelligenz und internationales Regelwerk

Das EDA prüfte in einem Bericht an den Bundesrat, wie internationale Regeln im KI-Bereich entstehen, wie sie zu qualifizieren sind, inwiefern dadurch Völkerrecht geschaffen wird und wie sich die Schweiz dazu positionieren soll.