iusNet Digitales Recht und Datenrecht

Schulthess Logo

Digitales Recht und Datenrecht > Modulspezifische Rechtsgebiete > DSGVO

DSGVO

DSGVO

Anonymisierung / Pseudonymisierung – was sind die Risiken?

Fachbeitrag
DSGVO
Data Governance und Compliance

Anonymisierung / Pseudonymisierung – was sind die Risiken?

Im Zusammenhang mit Möglichkeiten der Datenbearbeitung spricht man häufig von "Pseudonymisierung". Es gibt hier aber viele Missverständnisse: Pseudonymisierung ist eine grundlegende Methode zum Mindern von Datenschutzrisiken. Die Europäische Datenschutz-Grundverordnung (DSGVO; Englisch: General Data Protection Regulation, GDPR) definiert sie sinngemäss als die Verarbeitung personenbezogener Daten in einer Weise, dass diese Daten ohne Hinzuziehen zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Der Unterschied zur "Anonymisierung" besteht darin, dass bei der Anonymisierung persönliche Identifikatoren entfernt werden, Daten aggregiert werden oder diese Daten so bearbeitet (im "DSGVO-Jargon": "verarbeitet") werden, dass sie nicht mehr einer bestimmten oder bestimmbaren Person zugeordnet werden können. Im Gegensatz zu anonymisierten Daten gelten pseudonymisierte Daten nach DSGVO als personenbezogene Daten. Darum ist zwischen diesen beiden Konzepten stets klar zu unterscheiden.
Alesch Staehelin
iusNet DigR 28.09.2023

TikTok: 345 Millionen Euro Strafe für Versäumnis beim Schutz von Daten Minderjähriger

Rechtsprechung
DSGVO
Datenschutzverletzungen

TikTok: 345 Millionen Euro Strafe für Versäumnis beim Schutz von Daten Minderjähriger

Am 15. September 2023 veröffentlichte die irische Datenschutzkommission (DPC) ihre endgültige Entscheidung gegen TikTok und verhängte eine Geldbusse in Höhe von insgesamt 345 Millionen Euro. Die Entscheidung betrifft die Verarbeitung personenbezogener Daten von Kindern und Jugendlichen und kritisiert insbesondere die unfaire Gestaltung der Pop-up-Grundeinstellungen, die den Nutzern keine neutralen Optionen bieten. TikTok wurde angewiesen, diese Designpraktiken, die gegen den Grundsatz von Treu und Glauben verstossen, zu ändern.
iusNet DigR 28.09.2023

CNIL Entscheid DOCTISSIMO: Verbesserungen schützen nicht vor Fehler der Vergangenheit

Rechtsprechung
Sanktionen und Verfahren
DSGVO

CNIL Entscheid DOCTISSIMO: Verbesserungen schützen nicht vor Fehler der Vergangenheit

Die UNIFY-Tochter DOCTISSIMO wurde wegen Verstössen gegen den Datenschutz verurteilt. Es hatte Nutzerdaten unsachgemäß gespeichert, Gesundheitsdaten ohne Einwilligung verarbeitet und die Sicherheit der Website unzureichend gewährleistet. Die CNIL verhängte Bußgelder in Höhe von 280’000 € für Verstöße gegen die DSGVO und 100’000 € für Verstöße gegen das französische Datenschutzgesetz von 1978. Trotz späterer Bemühungen zur Einhaltung der Vorschriften bleibt das Unternehmen für frühere Versäumnisse haftbar.
iusNet DigR 24.07.2023

Drittstaatenübermittlung post Schrems II: Landgericht Köln entscheidet über Datenübermittlung an Google

Rechtsprechung
Datentransfer
DSGVO

Drittstaatenübermittlung post Schrems II: Landgericht Köln entscheidet über Datenübermittlung an Google

Das Landgericht Köln hat entschieden, dass die Übermittlung von personenbezogenen Daten bei Besuch der Webseite "www.telekom.de" an Google LLC Server in die USA rechtswidrig ist, basierend auf der "Schrems II" Entscheidung des Europäischen Gerichtshofs. Das Gericht stellte auch fest, dass die Übermittlung von Positivdaten an die SCHUFA, die von der Verbraucherzentrale NRW beanstandet wurde, zwar rechtswidrig war, jedoch der Unterlassungsantrag zu weit gefasst war. Das Urteil ist noch nicht rechtskräftig.
iusNet DigR 25.05.2023

Clearview AI: CNIL legt 5.2 Mio Busse auf

Rechtsprechung
DSGVO
Künstliche Intelligenz

Clearview AI: CNIL legt 5.2 Mio Busse auf

Mit Entscheid vom 17. Oktober 2022 legte die CNIL der Clearview AI verschiedene Massnahmen auf, u.A. das unterlassen von der Bearbeitung von Personendaten von Französischen Bürgern ohne gesetzliche Grundlage, und die Löschung der unrechtmässig erhobenen Daten. Trotz Aufforderung der CNIL und gesetzter Nachfrist, erbrachte Clearview AI keinen Nachweis für die Umsetzung der geforderten Massnahmen.
iusNet DigR 25.05.2023

EuGH prüft die Anwendung der DSGVO auf Zivilprozesse

Rechtsprechung
DSGVO

EuGH prüft die Anwendung der DSGVO auf Zivilprozesse

EuGH C-286/21 i.S. Fastect vs. Nycander v. 02.03.2023

Im Urteil C-268/21 geht es um die Auslegung von Artikel 6 Absatz 4 der Datenschutz-Grundverordnung (DSGVO) und die Frage, ob das nationale Verfahrensrecht die Pflicht zur Vorlage von Dokumenten vor Gericht regelt. Der EuGH bejaht dies und hält fest, dass die Rechte und Freiheiten der betroffenen Personen nach der DSGVO zu wahren sind, auch wenn Daten Dritten bei Gericht eingereicht werden. Das bedeutet auch, dass das nationale Gericht den Grundsatz der Verhältnismässigkeit berücksichtigen und bei der Abwägung die Interessen der betroffenen Personen und anderen berechtigten Interessen sicherstellen muss.
iusNet DigR 25.4.2023

Rechtsgrundlagen für verhaltensorientierte Werbung nach der DSGVO

Fachbeitrag
DSGVO
Data Governance und Compliance
Rechte betroffener Personen

Rechtsgrundlagen für verhaltensorientierte Werbung nach der DSGVO

Die EDSA hat drei Entscheidungen zur Streitbeilegung auf der Grundlage von Art. 65 DSGVO in Bezug auf Meta Platforms Ireland Limited (Meta IE) getroffen. Die bindenden Entscheidungen behandeln wichtige rechtliche Fragen, die aus den Entwürfen der irischen SA als Leitaufsichtsbehörde in Bezug auf die Meta IE-Plattformen Facebook, Instagram und WhatsApp hervorgegangen sind. Die Entscheidungen der EDSA spielen eine wichtige Rolle bei der Sicherstellung der korrekten und konsistenten Anwendung der DSGVO durch die nationalen Aufsichtsbehörden.
Olivier Heuberger
iusNet DigR 23.01.2023

Busse der CNIL von 1 Million Euro gegen die französische Totalenergies wegen Verletzung von Informationspflichten

Rechtsprechung
DSGVO

Busse der CNIL von 1 Million Euro gegen die französische Totalenergies wegen Verletzung von Informationspflichten

CNIL n°SAN-2022-011 v. 23.06.2022

Die TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE («Unternehmen») wurde mit 1 Million Euro gebüsst, weil Privatpersonen bei der Ausübung ihrer Rechte auf Zugang oder Widerspruch gegen den Erhalt von Telefonanrufen zu Werbezwecken ungenügend oder gar nicht informiert wurden. Der Ausschuss der CNIL (« Ausschuss ») prüfte wie das Unternehmen mit den Rechten von Personen umgeht, und insbesondere, wie die Anträge auf Ausübung der Betroffenenrechte, bearbeitet wurden. Diese Kontrolle diente auch der Prüfung der zur Verfügung gestellten Informationen, und wie Widersprüche gehandhabt wurden. Dabei stellte der Ausschuss fest, dass das Unternehmen gegen das französische Gesetz über Post und elektronische Kommunikation (Art. L. 34-5 CPCE) sowie die Art. 12, 14, 15 und 21 DSGVO verstossen hat. Gegen den Entscheid der CNIL kann innerhalb von zwei Monaten nach Bekanntgabe eine Beschwerde beim Staatsrat eingelegt werden.
iusNet DigR 25.07.2022

Kein berechtigtes Interesse von TikTok bei personalisierter Werbung

Rechtsprechung
Datentransfer
DSGVO

Kein berechtigtes Interesse von TikTok bei personalisierter Werbung

TikTok in Italien plante die Anzeige von personalisierter Werbung anstatt wie bisher auf der Einwilligung der Nutzer:innen, neu auf ihr berechtigtes Interesse zu stützen. Vor Inkrafttreten der neuen Datenschutzbestimmungen verwarnte die italienische Datenschutzbehörde TikTok vor diesem Wechsel und drohte dringende Massnahmen an, falls die neuen Bestimmungen dennoch anwendbar würden. Werden für personalisierte Werbeanzeigen Cookies und andere Tracking-Technologien auf den Geräten der Endnutzer gespeichert, muss zwingend die ausdrückliche Einwilligung der Nutzenden eingeholt werden. Zudem hat TikTok sicherzustellen, dass Kinder unter 13 Jahren keinen Zugang zur Plattform haben. Jugendliche sind in verständlicher und altersgerechter Sprache über die Datenverarbeitungsvorgänge zu informieren und die Einwilligung in die personalisierte Werbung muss ebenfalls altersgerecht erfolgen.
iusNet DigR 29.07.2022

Seiten