Dienstag, 26. November 2024
Die deutsche Datenschutzkonferenz hat vor kurzem die aktualisierte “Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten (OH Digitale Dienste)” in der Version 1.2 veröffentlicht.
Grundsätzlich ist gemäß § 25 Abs. 1 Satz 1 TDDDG die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer:innen zulässig (siehe in Österreich § 165 Abs 3 TKG 2021 und diese FAQ der österreichischen Datenschutzbehörde). Die OH enthält u.a. Ausführungen zur Anforderungen an die Einwilligung vor dem Setzen von Cookies und eine Abgrenzung der Anwendungsbereiche des TDDDG [Anm: entsprechend den Vorgaben der ePrivacyRL) und der DSGVO. Die Orientierungshilfe ergänzt laut DSK die im Oktober 2024 in finaler Fassung veröffentlichten EDSA Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive.
Dienstag, 25. Juni 2024
Das deutsche Bundeskartellamt hat am 19.6.2024 den Abschlussbericht zu seiner verbraucherrechtlichen Sektoruntersuchung „Scoring beim Online-Shopping“ veröffentlicht. Das Bundeskartellamt kommt zu dem Ergebnis, dass Online-Händler, Zahlungsdienstleister und Auskunfteien die geltenden Vorgaben des Verbraucherrechts nicht immer einhalten - dabei geht das Kartellamt auch auf damit verbundene (datenschutz-)rechtliche Themen (DSGVO, BDSG, UWG, Digital Markets Act, AI Act und EU‐Verbraucherkreditrichtlinie) sowie Online-Bonitätsprüfungen ein.
Der vollständige Bericht zur Sektoruntersuchung „Scoring beim Online-Shopping“ ist auf der Internetseite des Bundeskartellamtes abrufbar.
Donnerstag, 13. Juni 2024
The Report from the Multistakeholder Expert Group on the GDPR evaluation was just published.
Sonntag, 9. Juni 2024
Seit Jahren ist ein Trend hin zur Auslagerung von IT-Services („IT-Outsourcing“) via Cloud Computing an spezialisierte Dritte (oft als Software as a Service - SaaS) festzustellen. Bei diesen Cloud-Anbietern handelt es sich meist um global agierende Unternehmen, die zwar idR allgemeine Branchenstandards der IT-Sicherheit beachten, jedoch laut den Aussagen einiger Datenschutzbehörden nicht immer (durchgängig) europäische bzw. nationale datenschutzrechtliche Anforderungen an den Datenschutz erfüllen. Hier obliegt es dem datenschutzrechtlichen Verantwortlichen, vor Vertragsabschluss sorgfältig zu prüfen, ob der gewählte Cloud-Anbieter diese Voraussetzungen wirklich mitbringt. Denn der Verantwortliche darf nur geeignete Auftragsverarbeiter einsetzen und muss nachweisen können, dass er die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat („Rechenschaftspflicht“, Art 5 Abs 2 DSGVO). Insbesondere ist ein Vertrag über die Auftragsverarbeitung (AVV) mit dem IT-Dienstleister abzuschließen, der bestimmte Anforderungen erfüllen muss (siehe insb Art 28 Abs 3 und 4 DSGVO).
Im Fokus mehrerer Datenschutzbehörden stand und steht aktuell der Einsatz von Microsoft 365 (MS365). Jüngst hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysiert darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.europa.e … ions-use-microsoft-365_en).
Aber auch Max Schrems mit seiner Datenschutz-NGO noyb hat unlängst zwei Beschwerden hinsichtlich der Verwendung von MS365 Education in Schulen bei der österreichischen Datenschutzbehörde eingebracht (https://noyb.eu/de/micros … -blames-your-local-school).
Unter diesen Prämissen sollte die Einführung von MS365 bei Verantwortlichen auch aus Datenschutzsicht engmaschig begleitet werden, weitere Hinweise findet man u.a. bei der deutschen Datenschutzkonferenz (https://datenschutzkonfer … S365_abschlussbericht.pdf) und in einer Handreichung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) und sechs weiterer Datenschutzaufsichtsbehörden (https://www.lfd.niedersac … mit-microsoft-225722.html) - es bleibt spannend, da der LfD Niedersachsen die Einführung von Microsoft Teams in der Landesverwaltung Niedersachsen, mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung, für akzeptabel hält (https://www.lfd.niedersac … niedersachsen-231856.html).