Neue Musterverträge der EU zum internationalen Datenstransfer

Die Europäische Kommission gibt Unternehmen Standardvertragsklauseln an die Hand betreffend Datentransfers innerhalb und ausserhalb der EU. Die Standartvertragsklauseln wurden am 04.06.2021 angenommen. Dabei hat die Europäische Kommission auch die neuen Anforderungen der Datenschutz-Grundverordnung sowie Vorgaben aus dem Schrems-II-Urteil vom Juli 2020 berücksichtigt.


vgl. dazu Standard contractual clauses for controllers and processors in the EU/EEA und Standard contractual clauses for international transfers sowie Anhang des Durchführungsbeschlusses der Kommission über Standardvertragsklauseln für die Übermittlung Personenbezogener Daten


DSB Sachsen: Durchsetzung der DSGVO gegen Verantwortliche in Drittländern 

Quelle: https://datenrecht.ch/dsb-sachsen-durchsetzung-der-dsgvo-gegen-verantwortliche-in-drittlaendern/  

Zur „Durchsetzung der DSGVO wegen des räumlichen Anwendungsbereichs gegenüber Verantwortlichen in Drittländern“ hat sich der sächsische Datenschutzbeauftragte in seinem Tätigkeitsbericht[1] wie folgt geäussert: 

„Gemäß Artikel 3 Absatz 2 DSGVO unterliegen auch Verantwortliche in Drittländern dem Anwendungsbereich der Verordnung. Bei meiner Dienststelle gehen zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union ein. Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar. Soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, wäre zudem ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten. Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen.“

Neue Plattformregulierung der EU: Digital Services Act und Digital Markets Act 

Quelle: https://datenrecht.ch/neue-plattformregulierung/

Am 15.12.2020 hat die EU-Kommission ein umfassendes neues Regelwerk für digitale Plattformen vorgeschlagen: Digital Services Act und Digital Markets Act. Die Verpflichtungen digitaler Dienste sowie von digitalen Plattformen werden mit den Verordnungen erhöht. Die Verantwortlichkeiten werden einheitlich geregelt.

Weiterlesen: Publikation Plattformregulierung - Digitale Services und Digitale Märkte

Englisches Datenschutzrecht nach dem Brexit

Quelle: https://datenrecht.ch/englisches-datenschutzrecht-nach-dem-brexit-uk-vertreter/

Seit dem Brexit gilt im englischen Datenschutzrecht folgendes:

Die DSGVO gilt nicht mehr als europäische Verordnung. Sie gilt aber materiell weiterhin, als „UK GDPR“, d.h. „Regulation (EU) 2016/679 (…) as it forms part of the law of England and Wales, Scotland and Northern Ireland”, als nationales englisches Recht.  Dies ergibt sich aus Section 3 des European Union (Withdrawal) Act 2018.[1]

Weiterlesen: Publikation: Englisches Datenschutzrecht nach dem Brexit


Italien: Busse von EUR 16.7 Mio. gegen einen Telekommunikationsanbieter


Quelle: https://datenrecht.ch/italien-busse-von-eur-16-7-mio-gegen-einen-telekommunikationsanbieter/

Gegen Wind Tre SpA (ein italienischer Telekommunikationsanbieter) hat die italienische Datenschutz-Aufsichtsbehörde eine Busse in Höhe von EUR 16.7 Mio. verhängt. Der Grund für die Busse waren mehrere Datenschutzverletzungen im Zusammenhang mit Direktmarketingmassnahmen.

Wind Tre hatte ohne Einwilligung Werbenachrichten per SMS, E-Mail und Anrufe übermittelt, auch an Personen mit Werbesperre. Ein Werbewiderspruch war offenbar nicht möglich, weil die entsprechenden Angaben in der Datenschutzerklärung unvollständig waren. Diesbezüglich erhielt die italienische Datenschutz-Aufsichtsbehörde mehrere Beschwerden. Des Weiteren kamen noch Verletzungen bei der Einbindung von Auftragsbearbeitern dazu.

BGH: Recht auf Vergessenwerden

Ein automatisches «Recht auf Vergessen» im Internet gegenüber Suchmaschinen-Betreibern wie Google gibt es nicht. Es ist immer von einer umfassenden Grundrechtsabwägung im Einzelfall abhängig, ob Links zu kritischen Artikeln aus der Trefferliste entfernt werden müssen.

Weiterlesen: Publikation Beschluss BGH

Spanien: Busse von EUR 30'000 gegen Twitter

Twitter wurde von der spanischen Datenschutzbehörde („AEPD“) mit Entscheid vom 9. Juni 2020 mit einer Busse von EUR 30‘000.00 bestraft.

Weiterlesen: Publikation Spanien: Busse von EUR 30'000 gegen Twitter

ArbG Düsseldorf: Schadenersatz von EUR 5’000 für eine verspätete und inhaltlich unvollständige Auskunft gegenüber einem Arbeitnehmer

Am 5. März 2019 hat das Arbeitsgericht Düsseldorf entschieden, dass der Arbeitgeber durch eine verspätete und zudem unvollständige Auskunft Art. 15 DSGVO verletzt hatte (Urteil vom 5. März 2020, 9 Ca 6557/18). 

Weiterlesen: Publikation ArbG

LfDI: Busse von EUR 1.24M gegen Krankenkasse wegen einwilligungslos versandter Werbe-E-Mails

Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat gegen eine Krankenkasse (AOK Baden-Württemberg) eine Busse von EUR 1,24 Mio. verhängt.

Weiterlesen: Publikation LfDI

EU-Kommission: Angemessenheitsentscheid vertagt

Der auf 24. Juni 2020 geplante Angemessenheitsentscheid der EU-Kommission wurde verschoben. Mit dem heute veröffentlichten Evaluationsbericht zur Umsetzung der DSGVO ist zu entnehmen, dass der Angemessenheitsentscheid nicht getroffen wird, bevor der EuGH sein, auf den 16. Juli 2020 erwartetes Urteil in Sachen Schrems II gefällt hat:

Weiterlesen: Publikation Angemessenheitsentscheid


EU-P2B-Verordnung: Ab dem 12. Juli 2020 auch auf bestimmte Plattformen in der Schweiz anwendbar EU-Kommission: Angemessenheitsentscheid vertagt

Die P2B-Verordnung (Platform-To-Business-Verordnung) tritt am 12. Juli 2020 in Kraft. Der europäische Gesetzgeber hat die neue P2B-Verordnung verabschiedet, um das Ungleichgewicht zwischen Plattformen und ihren kommerziellen Nutzern durch Vorgaben an den Inhalt von AGB auszugleichen.

Weiterlesen: Publikation P2B Verordnung

Dänemark: Busse für eine Datenlöschung nach Auskunftsbegehren

Gegen ein Personalvermittlungsunternehmen wurde von der dänischen Datenschutzbehörde eine Busse beantragt. Personendaten, welche Gegenstand eines Auskunftsgesuches (vgl. Art. 15 DSGVO) waren, wurden nach Eingang des Ersuchens und vor der Auskunftserteilung vom Unternehmen gelöscht.


SPK-SR: Anträge zum E-DSG zuhanden des Ständerats (Sommersession 2020)

Am 18. Mai 2020 hat die Staatspolitische Kommission des Ständerats (SPK-SR) beraten und ihre Anträge verabschiedet, die der Ständerat in der Sommersession 2020 beraten wird.

Weiterlesen: SPK-SR: Anträge zum E-DSG

Kein Anspruch eines Lehrers auf Beseitigung von Fotos aus Schuljahrbuch

Das Oberverwaltungsgericht Rheinland-Pfalz in Koblenz hat entschieden, dass ein Lehrer, der sich bei einem Fototermin in der Schule freiwillig mit Schulklassen fotografieren liess, keinen Anspruch auf Entfernung der im Jahrbuch der Schule veröffentlichten Bilder hat.

Weiterlesen: Publikation

Belgien: Empfehlung für die Bearbeitung von Personendaten für Zwecke des Direktmarketings

In einem Dokument vom Januar 2020 wurden von der belgischen Aufsichtsbehörde die „Empfehlungen zur Bearbeitung von Personendaten für Direktmarketing“ veröffentlicht.

Weiterlesen: Empfehlungen

LfDi Niedersachsen: FAQ zu Informationspflichten

Der Landesbeauftragte für den Datenschutz des Landes Niedersachsen hat FAQ zu den Informationspflichten nach Art. 13 du 14 DSGVO veröffentlicht.

Weiterlesen: Informationspflichten

Mehr Rechtssicherheit für Influencerinnen und Influencer

Quelle: Bundesministerium der Justiz und für Verbraucherschutz, Pressemitteilung vom 13. Februar 2020

Das deutsche Bundesministerium der Justiz und für Verbraucherschutz hat am 13. Februar 2020 einen Regelungsvorschlag für sicheren Rechtsrahmen für unentgeltliche Empfehlungen von Influencern und Bloggern veröffentlicht.

Für Influencer gilt die Meinungsfreiheit auch. Die Follower haben gegenüber den Influencern und deren Empfehlungen grosses Vertrauen. Die Äusserungen auf sozialen Medien zu Produkten sollten nicht als Werbung gekennzeichnet werden müssen, wenn sie ohne Gegenleistung erfolgen, vorrangig der Information und Meinungsbildung dienen und keinen kommerziellen Zweck verfolgen.

Viele Influencer sind betreffend die Kennzeichnung von Werbung unsicher. Der Regelungsvorschlag soll einen sicheren Rechtsrahmen für unentgeltliche Empfehlungen im Internet durch Blogger und Influencer schaffen.

Das Bundesministerium der Justiz und für Verbraucherschutz bittet um Stellungnahmen interessierter Kreise wie Verbände, Unternehmen, Wissenschaft, Influencer und Journalisten. Die Stellungnahmen zum Regelungsvorschlag können bis 13. März 2020 abgegeben werden.



Anforderungen an Cloud-Service-Provider - Zertifizierungen von Datenschutzkonformität nach ISO 27001 und neu nach ISO 27701 und ISO 27018

Der Cloud-Standard ISO 27018 enthält für Anbieter von Cloud-Diensten spezifische datenschutzrechtliche Anforderungen. Er bietet Überwachungsmechanismen und Richtlinien für die Implementierung von Massnahmen zum Schutz personenbezogener Daten in der Cloud. Es werden speziell datenschutzrechtliche Anforderungen aus anderen Bereichen auf Informationssicherheitsrisiken im Bereich Cloud Computing angepasst.

Der Standard ISO 27701 ist im Juli 2019 hinzugekommen. Dieser erweitert das ISMS nach ISO 27001 um datenschutzrechtliche Aspekt.

RA Lukas Fässler und MLaw Milica Stefanovic dazu: Anforderungen an Cloud-Service-Provider - Zertifizierungen von Datenschutzkonformität nach ISO 27001 und neu nach ISO 27701 und ISO 27018

Brexit: Was Online-Händler jetzt beachten müssen

Der Austritt Grossbritanniens aus der EU stellt Online-Händler vor grosse Herausforderungen. Dazu müssen vor allem die Zollbestimmungen, das Marken- sowie das Datenschutzrecht berücksichtigt werden.

Am 22. Januar 2020 ratifizierte das britische Unterhaus das Brexit-Abkommen mit der EU. Das Königreich wird am 31. Januar 2020 die Union verlassen. Es wurde eine Frist bis zum 31. Dezember 2020 festgelegt, wonach alles so bleibt wie bisher, inklusive der Freizügigkeit von Geld, Waren und Menschen. Am Ende dieser Frist soll ein abgeschlossenes Handelsabkommen vorliegen. Dieses Handelsabkommen soll die zukünftigen Wirtschaftsbeziehungen der beiden Partner regeln.

MLaw Milica Stefanovic dazu: Brexit: Was Online-Händler jetzt beachten müssen


Daten mit Strategie - Wie Unternehmen vor dem Hintergrund der DSGVO und der kommenden ePrivacy-Richtlinie ihre Datenbestände richtig organisieren

Für einen erfolgreichen Betrieb ist der Umgang mit Cookies und die Zustimmung der Nutzer zur Verarbeitung ihrer Daten unerlässlich. Der Europäischer Gerichtshof (EuGH) hat am 1. Oktober 2019 entschieden, dass vor dem Setzen von Cookies oder dem Erheben sonstiger auf Personen bezieh-barer Daten, ein aktives, explizites und informiertes Opt-in nötig ist.

MLaw Milica Stefanovic dazu: Publikation Daten mit Strategie

Neue EU-Regeln sollen Online-Käufer besser schützen

In der europäischen Union sind neue Verbraucherschutzregeln in Kraft getreten, die binnen zwei Jahren in Deutschland und den anderen EU- Staaten umgesetzt werden sollen.

MLaw Milica Stefanovic dazu: Publikation Neue EU-Regeln

Liste der von der EU-DSGVO vorgeschriebenen Dokumenten

Die DSGVO hat viele Fragen ausgelöst. Die Unternehmen denken zum Beispiel oft, dass es ausreicht, eine Datenschutzpolitik und ein Einverständnisformular auf ihrer Website zu haben. Dies ist nur ein kleiner Teil der Dokumentation, die benötigt wird, um mit der neuen DSGVO übereinzustimmen.
Im Folgenden sind die notwendigen Dokumente aufgeführt, die für die Einhaltung der DSGVO benötigt werden: Liste der von der EU-DSGVO vorgeschriebenen Dokumenten

WhatsApp-Newsletter - Wie weiter ?

Seit einigen Jahren haben immer mehr Unternehmen über WhatsApp ihre Newsletter  verbreitet. Dies ist ab dem 7. Dezember 2019 jedoch nicht mehr erlaubt. Welche Alternativen bieten sich an?


MLaw Milica Stefanovic dazu:  Publikation_WhatsApp_Newsletter_5-12-19.pdf