abakus it AG Newsletter Hero Datenschutzbrief

Datenschutzbrief – Newsletter Nr. 09/2021

Erst im Juli dieses Jahres (Newsletter Nr.07) informierten wir über den Angemessenheitsbeschluss zwischen der Europäischen Union und dem Vereinigten Königreich, das nach dem BREXIT gemäß Art. 44ff DSGVO hinsichtlich der Übermittlung personenbezogener Daten zum Drittland wurde.

Bereits Ende August, also einen Monat später, gab die britische Regierung die Absicht bekannt, ihr Datenschutzgesetz anhand ihrer globalen Partnerschaften u.a. mit den USA, Australien, Singapur, Dubai und der Republik Süd-Korea anzupassen. Zusätzlich sollen Länder, wie Brasilien, Kenia und Indonesien hinzukommen. Das britische Amt des Datenschutzbeauftragten soll der neuseeländische Datenschutzexperte John Edwards übernehmen. Neben seinen Aufgaben zum Schutz von personenbezogenen Daten in dieser neuen Wirtschaftsunion, soll das Amt darüber hinaus maßgeblich die Interessen von wirtschaftlichen Innovationen und Wachstum als Leitlinie des Schutzbedarfs berücksichtigen.

Durch den Verbund in der Europäischen Union sah sich das Vereinigte Königreich durch die DSGVO in ihrem Ansinnen nach Fortschritt und Entwicklung gebremst. Durch den Austritt aus der EU sollen mit der Neugestaltung des Datenschutzgesetzes neue Märkte erschlossen werden, um die Position Großbritanniens in der Weltwirtschaft, der Forschung und Wissenschaft zu stärken.

Zunächst gilt der Angemessenheitsbeschluss der EU für vier Jahre. Sollte die Regierung in London zwischenzeitig ihr eigenes Datenschutzgesetz ratifizieren, sieht die EU-Kommission das vorzeitiges Ende des obigen Beschlusses gekommen.

Wir werden diese Veränderung weiterhin beobachten.

Ihr Franz Obermayer
(Vorstand Complimant AG)

Quelle: https://www.gov.uk/government/news/uk-unveils-post-brexit-global-data-plans-to-boost- growth-increase-trade-and-improve-healthcare

Artikel 13 DSGVO: die Informationspflicht

Der Art. 13 DSGVO besagt, dass jeder Verantwortliche zum Zeitpunkt der Erhebung von personenbezogenen Daten eine Mitteilungspflicht gegenüber betroffenen Personen hat. Was genau in dieser Mitteilung stehen muss, erläutern wir hier:

Gleich zu Anfang sollte die Mitteilung mit dem Namen des Verantwortlichen inkl. Vertretung und deren Kontaktdaten beginnen. Verarbeiten nun mehr als 20 Personen im Unternehmen pers. bezog. Daten, steht darunter Name und Kontaktmöglichkeit des Datenschutzbeauftragten. Anschließend sollte der Verarbeitungszweck und die damit notwendige Rechtsgrundlage dokumentiert sein. Ist die Rechtsgrundlage das „berechtige Interesse“, muss dieses im

Detail erklärt werden. Dann gehört informiert, welche Kategorien von pers. bezog. Daten vorliegen und wer (intern oder extern) Empfänger dieser Daten ist, sowie ggf. den Hinweis, auch Daten an Drittländer mit vorliegenden Angemessenheitsbeschluss (o.Ä.) übermitteln zu wollen. Um für weitere Transparenz zu sorgen, sollten nun die Rechte des Betroffenen stehen (Recht auf Auskunft, Einschränkung, Berichtigung, Löschung und das Recht auf Widerspruch/-ruf sowie das Recht auf Datenübertragbarkeit). Erfolgt die Verarbeitung aufgrund einer schriftlichen Einwilligung, bedarf es dem Hinweis, diese Einwilligung jederzeit widerrufen zu können. Daran anschließend folgt das Beschwerderecht bei einer Aufsichtsbehörde.

Abschließend ist gemäß Art. 22 DSGVO zu erwähnen, dass die personenbezogenen Daten nicht einer austomatisierten Verarbeitung unterworfen sind, um bestimmte Vorhersagen über Personen zu treffen und Betroffenenprofile zu erstellen, aus denen Nachteile -z.B. negative rechtliche Konsequenzen- für Betroffene entstehen könnten. Beispiele dafür finden sich z.B. bei Kredit-Scoring, Tracking von IP-Adressen auf Webseiten, in Hotels und Autovermietungen. Die Informationspflicht sollte systematisch und nachweisbar im Erfassungsprozess abgebildet werden. Bereits eine Firmen-Webseite verarbeitet personenbezogene Daten – meist der erste Kontakt zum Kunden, die eine Informationspflicht auslöst.

Quelle: https://dsgvo-gesetz.de/art-13-dsgvo/

Datenschutz in China

Letzten Freitag wurde das chinesische Datenschutzgesetz vom Nationalen Volkskongress verabschiedet.

Was ab dem 1. Nov. 2021 in Kraft tritt, soll nach eigenen Angaben der Partei das strengste Datenschutzgesetz der Welt sein, einen Titel, den Kritiker bereits der DSGVO gaben. Betrachtet man die chinesische Neuregelung, dürfte Vieles durch die DSGVO bekannt sein.

So fordert das chinesische Gesetz ähnliche Grundsätze bei der Verarbeitung, definiert die dafür notwendige Rechtmäßigkeiten und stellt Regeln auf, insbesondere bei der Verarbeitung von (besonders sensiblen) personenbezogenen Daten. In erster Linie dürfte dieses Gesetz der Kontrolle von Privatunternehmen (insbesondere der Internetkonzerne) dienen, die mit Hilfe der gesammelten Daten u.a. Unterschiede bei der Preisgestaltung ihrer Produkte anhand von Kundenprofilen ausüben. Vordergründig soll somit der Datenmissbrauch chinesischer Firmen ein Riegel vorgeschoben werden, um die Rechte der Verbraucher zu stärken. Die staatliche Handhabe bei der Überwachung ihrer Bürger hingegen bleibt durch dieses Gesetz unberührt. Mit diesem Hintergrundwissen dürfte der Austausch und die Auftragsverarbeitung von personenbezogenen Daten mit chinesischen Unternehmen sorgfältig überlegt sein.

Engl. Übersetzung: https://digichina.stanford.edu/news/translationpersonal-information-protection-law-peoplesrepublic-china-effective-nov-1-2021

© Photo by Daniel Leone on Unsplash