Schlagwort: CNIL

Article 29 WP will release guidelines on the GDPR by the end of 2016

28. Oktober 2016

As Bloomber reports, the Article 29 WP will provide guidance on the GDPR soon. Isabelle Falque-Pierrotin, Chairwoman of the CNIL as well as of the Article 29 WP, acknowledged that the GDPR text is ambiguous in some aspects. Therefore, these guidelines aim at serving as an operational toolbox.

Amongst others, the guidance to the GDPR shall refer to the following aspects:

• The designation of the leading Supervisory Authority in case of complaints or in relation to other procedures. Moreover, aspects of the bilateral cooperation and competence to resolve disputes by the Supervisory Authorities and the European Data Protection Board shall be clarified.
• Guidance on the figure of Data Protection Officers is one of the priorities of the Article 29 WP, as it will play an essential role in companies on achieving GDPR compliance.
• The right to data portability has been regulated for the first time in the GDPR. This right will allow data subjects to access their data and transfer data to other data controllers, for example upon the change of telephone provider. The guidance should focus on its scope and implementation.
• The standard by which the proof of consent will take place, will have to be specified. This is especially important for small and medium-sized companies, for which a “simple pedagogical tool” will be developed.
• A formal guidance on the Privacy Shield will not take place until the EU Commission has reviewed its functioning after the first year, this is summer or early fall 2017.

At the moment, the Article 29 WP remains neutral with regard to the Brexit. However, Falque-Pierrotin remarked that the Privacy Shield may be also useful in UK regarding international data flows with the U.S.A.

Further guidance is also expected in 2017, especially regarding topics such as the EU-U.S. Privacy Shield and the implication of the Brexit in privacy issues.

———-
If you would like to read more articles about international data protection topics, we invite you to visit our international blog: www.privacy-ticker.com.

CNIL: Formelle Rüge für Facebook

9. Februar 2016

Die französische Commission National de l´informatique et des libertés (CNIL) hat Facebook Medienberichten zufolge insbesondere wegen Datenübermittlungen in die USA auf Grundlage von Safe Harbor formal gerügt. Damit ist sie die erste europäische Datenschutzaufsichtsbehörde, die in Sachen Safe Harbor rechtliche Schritte einleitet. Eine Übermittlung von personenbezogenen Daten der europäischen Nutzer auf Basis des Safe Harbor-Abkommens in die USA wird seit der Entscheidung des Europäischen Gerichtshofs als unzulässig angesehen. Die Rüge sei sowohl dem US-Mutterkonzern, als auch der europäischen Tochter Facebook Ireland Limited zugestellt worden. Facebook habe eine dreimonatige Frist erhalten, alle gerügten Umstände zu beseitigen. Sollte dies nicht geschehen, werde die französische Datenschutzbeauftragte Isabelle Falque-Pierrotin einen „Berichterstatter“ beauftragen, der über Sanktionen gegenüber Facebook entscheiden soll.

CNIL fordert weltweites Recht auf Vergessen werden

14. August 2015

Wie die Zeit berichtet, hat die französische Datenschutzbehörde CNIL den Suchmaschinenbetreiber Google aufgefordert, das Recht auf Vergessen werden weltweit umzusetzen.
Im Jahr 2014 hatte der EuGH geurteilt, dass Betroffenen im Rahmen ihres Rechts auf informationelle Selbstbestimmung auch das Recht zusteht digital vergessen zu werden. Hiernach können Bürger der EU Google dazu verpflichten, bestimmte Links zu ihrer Vergangenheit nicht mehr in der Liste der Suchergebnisse aufzuführen.
Google entspricht den Ansprüchen von Betroffenen insoweit, als dass Einträge zu den jeweiligen Personen in der europäischen Version der Suchmaschine nicht mehr erscheinen. Der CNIL geht diese Vorgehensweise jedoch nicht weit genug. Sie fordert von Google, dass Einträge aus der Vergangenheit einer Person weltweit zu entfernen sind.
Hiergegen wehrt sich Google mit dem Argument, dass eine französische Behörde nicht die Zuständigkeit habe anzuordnen, wie die weltweiten Suchergebnisse von Google zu gestalten sein.
Ob und wie die CNIL in dieser Angelegenheiten weiter gegen Google vorgeht, bleibt abzuwarten.

CNIL: Geldstrafe gegen Google wegen fortdauernder Datenschutzverstöße

13. Januar 2014

Die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés  (CNIL) hat nach einem Bericht von heise.de  Google eine Strafzahlung in Höhe von 150.000 Euro auferlegt und das Unternehmen verpflichtet,  binnen acht Tagen eine Stellungnahme zu der CNIL-Entscheidung auf seiner französischen Suchmaschine Google.fr zu veröffentlichen. Grund dafür sei die nicht rechtskonforme Datenschutzerklärung des Unternehmens zum Umgang mit Nutzer-Informationen, die trotz mehrfacher Aufforderung nicht geändert worden sei.

Frankreich ist nicht das erste europäische Land, dass den bei Google praktizierten Umgang mit personenbezogenen Daten und die im März 2012 eingeführten Regeln des Unternehmens beanstandet. Vor kurzem hat deshalb auch die spanische Datenschutzbehörde AEPD gegen Google eine Geldstrafe von 900.000 Euro verhängt, so heise. In Deutschland habe Hamburgs Datenschutzbeauftrager Johannes Caspar im Juli 2013 ein Verwaltungsverfahren gegen den Konzern eingeleitet. Hauptkritikpunkt der Datenschützer sei, dass Google die aus verschiedenen Diensten wie Google+, Picasa, Drive, Docs und Maps gesammelten Daten zu einem Profil zusammenführt, auf unbestimmte Zeit speichert und und für eigene Zwecke verwende. Dabei werde es den Nutzern erschwert oder gar unmöglich gemacht, gespeicherte Daten zu korrigieren oder zu löschen.

 

Google: Ankündigung von Sanktionen

19. Februar 2013

Medienberichten zufolge sollen die EU-Behörden ihre Ermittlungen betreffend die aktuelle Datenschutzrichtlinie von Google fortsetzen wollen.
Diese gilt seit März 2012 und ersetzt die rund 60 Einzelregelungen. Hauptsächlich sei kritisiert worden, dass Google persönliche Daten über seine Nutzer sammele, kombiniere und speichere. Google behalte sich ausdrücklich vor, persönliche Informationen über seine Dienste hinweg zusammenzuführen.

Die französische Datenschutzaufsicht Commission Nationale de l’Informatique (CNIL) soll noch vor dem Sommer repressive Maßnahmen gegen Google angekündigt haben. Grund hierfür sei, dass Google eine vor vier Monaten gesetzte Frist zur Reaktion auf die Kritik der EU-Datenschützer verstreichen lassen haben soll. Im Oktober 2012 seien von den nationalen Regulierungsbehörden der EU “Empfehlungen” zu Googles neuer Datenschutzrichtlinie verabschiedet worden, auf welche der Konzern ebenfalls nicht reagiert habe.

Google selbst bestreitet einen Verstoß seiner Datenschutzrichtlinie gegen EU-Recht sowie den Vorwurf der mangelnden Zusammenarbeit mit der CNIL.

 

Google: Neue Datenschutzerklärung ist mangelhaft

17. Oktober 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat am gestrigen Tag das Ergebnis der Prüfung der neuen Datenschutzerklärung des Unternehmens Google durch die europäischen Datenschutzbehörden, welche federführend durch die französische Datenschutzaufsichtsbehörde Commission Nationale de l’Informatique et des Libertés durchgeführt wurde, bekannt gegeben.

Leider habe sich die Erwartung von mehr Transparenz und Wahlmöglichkeit für die Nutzerinnen und Nutzer nicht erfüllt, kommentierte Schaar das mit „mangelhaft“ bewertete Prüfergebnis. Die Zusammenfassung und Kürzung der Datenschutzerklärung führe nicht zu einem dringend erforderlichen Informationsgewinn, sondern zu einem Informationsverlust. Die Verknüpfung von Nutzerdaten aus verschiedenen Google-Diensten zu einem umfassenden Metaprofil sei aus datenschutzrechtlicher Sicht nicht akzeptabel. Die Nutzerinnen und Nutzer seien weder um Einwilligung gebeten worden, noch bestünde eine Widerspruchsmöglichkeit, sofern sie den Dienst weiterhin nutzen wollen.

 

Kategorien: Allgemein
Schlagwörter: , ,

BfDI: Kritik an neuer Datenschutzerklärung von Google

29. Februar 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat die von Google für den 01.03.2012 angekündigte neue Datenschutzerklärung scharf kritisiert. Sie werfe vielzählige datenschutzrechtliche Fragen auf, was bereits  die französische Datenschutzaufsichtsbehörde Commission Nationale de l´Informatique et des Libertés (CNIL) mittels Schreibens an den Konzern adressiert habe. Die seitens der CNIL im Auftrag der Artikel 29-Gruppe der Europäischen Datenschutzbeauftragten durchgeführte Analyse der neuen Datenschutzerklärung habe ergegeben, dass diese den EU-Vorschriften zum Datenschutz widerspreche.  Schaar selbst meldet insbesondere wegen der Verknüpfung personenbezogener Daten von Google-Kunden aus unterschiedlichen Diensten rechtlich massive Bedenken an. Kritisch sei, dass die Nutzer der Neufassung der Datenschutzerklärung nicht in ausreichender Klarheit entnehmen können, welche Daten das Unternehmen für welche Zwecke erhebt, speichert, übermittelt und auswertet. Er fordert Google daher auf, die angekündigte Umstellung der Datenverarbeitungsregeln auszusetzen, bis alle Zweifel an der Rechtskonformität ausgeräumt sind.

 

Kategorien: Allgemein
Schlagwörter: , ,

Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

Frankreich verstärkt die Datenschutzkontrolle im Gesundheitssektor

23. Mai 2011

Nach neuen datenschutzrechtlichen Bestimmungen in Indien  gibt es auch in Frankreich aktuell Bestrebungen den Datenschutz zu verstärken, auch wenn es in diesem Fall nicht durch neue gesetzliche Bestimmungen erfolgt. Die französische Datenschutzbehörde CNIL will künftig die Kontrolle in Firmen und Organisationen verstärken. Ziel ist dabei die Zahl der im Jahr 2011 kontrollierten Firmen auf mindestens 400 zu erhöhen, was im Vergleich zum Vorjahr eine Steigerung von ca. 30% bedeuten würde. Dadurch soll gewährleistet werden, dass der internationale Datenverkehr in den betroffenen Firmen sowohl den französischen als auch den europäischen Datenschutzvorschriften entspricht. Diese Kontrollverstärkung soll dabei insbesondere bei den US-Firmen, die an dem U.S.-E.U. Safe Harbor Program beteiligt sind betreffen, um sicherzustellen, dass diese die geforderten europäischen Standards einhalten.

Die Kontrollen konzentrieren sich dabei zunächst auf den Gesundheitssektor, wo naturgemäß besonders sensible Daten verarbeitet werden. Zu überprüfende Bereiche liegen dabei beispielsweise in der Telemedizin oder bei der Speicherung von Gesundheitsdaten in für  Monitoringzwecke in der medizinischen Forschung. Im späteren Verlauf des Jahres soll zudem die Aufsicht hinsichtlich des Datenschutzes im Rahmen von Videoüberwachung verstärkt werden.

Im Falle von Verstößen gegen datenschutzrechtliche Bestimmung stehen der CNIL verschiedene Befugnisse zu Verfügung. Neben Warnungen oder einstweiligen Verfügungen kann sie Bußgelder von bis zu 300.000€ aussprechen.

 

Kategorien: Allgemein
Schlagwörter: , ,