Newsletter Technologie & Kommunikation Ausgabe 2 - 2024

Liebe Leser:innen,

Das neue Jahr steht stark im Zeichen der Rechtsprechung. Seit Januar sind einige datenschutzrelevante Urteile des EuGH ergangen und das OLG Thüringen hat ein Urteil zum schon lange bestehenden Streit um den „Arbeitgeber als Telekommunikationsanbieter“ beigetragen. Darüber hinaus hat der Bundestag das DSA-Umsetzungsgesetz verabschiedet während Bundesregierung und Bundesrat derzeit an einer Novellierung des Bundesdatenschutzgesetzes arbeiten, u.a., um dieses an die in letzter Zeit ergangene Rechtsprechung des EuGH anzupassen. Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen schöne Ostertage und natürlich viel Spaß beim Lesen!

Nachrichten

Bundestag beschließt DSA-Umsetzungsgesetz

Am 21. März hat der Bundestag das Gesetz zur Umsetzung des EU Digital Services Act verabschiedet. Das darin als Artikel 1 enthaltene „Digitale-Dienste-Gesetz“ („DDG“) regelt insbesondere die Zuständigkeiten für die Durchsetzung des Digital Services Act („DSA“). So wird etwa die Bundesnetzagentur als zuständige Koordinierungsbehörde festgelegt. Im Übrigen beinhaltet das DDG die Normen des aufgehobenen Telemediengesetzes, die nicht durch andere Gesetze verdrängt wurden, wie etwa die Impressumspflicht für digitale Dienste (ehem. „Telemedien“) in § 5 DDG oder das Haftungsprivileg für Anbieter von Vermittlungsdiensten (sog. „Providerprivileg“) in § 7 DDG, sofern diese nicht bereits direkt unter Art. 4 ff. DSA fallen. Ziel des DSA ist u.a. die Bekämpfung von Falschinformationen und rechtswidrigen Inhalten im Internet.

Eine weitere Änderung ist die der Aufhebung des Telemediengesetzes geschuldete Umbenennung des Telekommunikation-Telemedien-Datenschutz-Gesetzes („TTDSG“) in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz („TDDDG“).

Das vom Bundestag verabschiedete Gesetz wird nun dem Bundesrat vorgelegt, dessen Zustimmung jedoch nicht erforderlich ist (es handelt sich um ein Einspruchsgesetz).

Weitere Informationen finden Sie auf heise.de.

VG Köln: Festsetzung von Glasfaserentgelten durch BNetzA rechtswidrig

Mit Beschluss vom 15. März hat das VG Köln die aufschiebende Wirkung gegen eine Festsetzung von Zugangsentgelten durch die Bundesnetzagentur (BNetzA) angeordnet (Az. 1 L 2288/23). Die BNetzA hatte am 31. Oktober 2023 einen Netzbetreiber verpflichtet, einem anderen Netzbetreiber offenen Zugang zu dessen öffentlich geförderten Glasfasernetz zu gewähren und dazu Entgelte festgesetzt. Das VG Köln geht im einstweiligen Rechtsschutz davon aus, dass die Festlegung wegen Ermessensfehlern sowie Anhörungs- und Begründungsmängeln rechtswidrig sei. Ein Datum des Hauptsacheverfahrens ist noch nicht bekannt.

Weitere Informationen finden Sie auf der Webseite des VG Köln.

BfDI veröffentlicht Tätigkeitsbericht zu 2023

Der Bundesdatenschutzbeauftragte („BfDI“) hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Relevante Themen im vergangenen Jahr waren insbesondere die Regulierung von Künstlicher Intelligenz, die Digitalisierung des Gesundheitswesens und der Verarbeitung personenbezogener Daten durch Sicherheitsbehörden.

Weitere Informationen finden Sie auf der Webseite des BfDI.

Novellierung des Bundesdatenschutzgesetzes

Die Bundesregierung hat am 7. Februar einen Entwurf für ein Änderungsgesetz zum Bundesdatenschutzgesetz (BDSG) veröffentlicht und dem Bundesrat zur Stellungnahme zugeleitet (BR-Drs. 72/24). Der Bundesrat hat seine Stellungnahme hierzu am 22.03. beschlossen. Die Novelle soll insbesondere der Verbesserung der Zusammenarbeit deutscher Datenschutzbehörden sowie der Umsetzung der EuGH-Entscheidung (Az. C-634/21) zum Scoring durch Auskunfteien dienen. Sie schreibt die Datenschutzkonferenz („DSK“) nun ausdrücklich im Gesetz fest, sieht jedoch keine Änderung der Rechtsform der DSK oder der Verbindlichkeit ihrer Beschlüsse vor. Darüber hinaus beinhaltet der Entwurf Vorschriften zur Zusammenarbeit der deutschen Datenschutzbehörden in Kohärenz- und Dringlichkeitsverfahren, sowie zur Zuständigkeit bei gemeinsamer Verantwortlichkeit von Unternehmen. Ein weiterer Schwerpunkt des Entwurfs ist der neu eingeführte § 37a BDSG-E, welcher die Zulässigkeit von Scoring insb. durch Wirtschaftsauskunfteien regeln und die Öffnungsklausel des Art. 22 Abs. 2 lit. b DSGVO umsetzen soll. Der EuGH hatte in seiner Scoring-Entscheidung zur Vorgängerregelung (§ 31 BDSG) „durchgreifende Bedenken“ geäußert.

Weitere Informationen finden Sie auf der Webseite des BMI.

BNetzA verpflichtet Telekommunikationsunternehmen zu Mindestversorgung zu erschwinglichen Preisen

Die Bundesnetzagentur (BNetzA) hat erstmals einen Telekommunikationsanbieter zur Versorgung eines Haushalts mit angemessenen Kommunikationsdiensten verpflichtet. Die BNetzA hatte zuvor auf Beschwerde eines Endnutzers eine Unterversorgung mit Diensten zu einem erschwinglichen Preis in dem betreffenden Gebiet festgestellt. Nachdem sich kein Telekommunikationsanbieter freiwillig zur Nachbesserung der Versorgung bereiterklärt hat, hat die BNetzA eines der Telekommunikationsunternehmen verpflichtet. Endnutzer haben seit 2021 einen Anspruch auf Mindestversorgung mit Internet- und Telefondiensten nach §§ 156 ff. TKG.

Weitere Informationen finden Sie auf der Webseite der BNetzA.

EuGH zu Real-Time-Bidding

Der EuGH hat am 7. März ein Urteil zum Personenbezug und zur Verantwortlichkeit beim sog. „Real-Time-Bidding“ veröffentlicht. Der Branchenverband IAB hat ein Rahmenmodell („TCF") entwickelt, das für seine Mitglieder das automatisierte Ersteigern von Nutzerprofilen für den Kauf oder Verkauf von Werbeplätzen im Internet („Real-Time-Bidding“) regeln soll.

Der EuGH entschied in dem Urteil zum einen, dass eine Zeichenfolge, die Präferenzen eines Websitebesuchers in Bezug auf Einwilligungen in personalisierte Werbung darstellt, ein personenbezogenes Datum ist, sofern die Zeichenfolge einer natürlichen Person zugeordnet werden kann. Zum anderen entschied der EuGH, dass IAB als Branchenverband gemeinsamer Verantwortlicher mit dem jeweiligen Mitglied für bestimmte Verarbeitungsvorgänge ist, wenn er seinen Mitgliedern einen Regelungsrahmen vorgibt, der verbindliche Vorschriften zu Speicherung und Verarbeitung personenbezogener Daten festlegt.

Weitere Informationen finden Sie auf curia.europa.eu.

OLG Thüringen zum Arbeitgeber als Anbieter von Telekommunikationsdiensten

Das OLG Thüringen hat sich in einem kürzlich veröffentlichten Urteil v. 14. September 2021 (Az. 7 U 521/21) für die Anwendbarkeit des Fernmeldegeheimnisses auf Arbeitgeber gegenüber den Arbeitnehmern bei erlaubter Privatnutzung betrieblicher Kommunikationsmittel ausgesprochen. Damit folgt das Gericht der Auffassung der DSK sowie der herrschenden Meinung in der Literatur. Die arbeitsgerichtliche Rechtsprechung hatte bislang überwiegend anders entschieden (dazu ausführlich Dieckhoff/Assion, ZD 2023, 371).

Weitere Informationen finden Sie bei CRonline.

VG Köln: Wettbewerber erhalten vorläufigen Zugang zu Kabelkanälen der Telekom

Das VG Köln hat mit Eilbeschluss vom 1. März 2024 entschieden, dass die Deutsche Telekom GmbH („Telekom“) vorläufig ihren Wettbewerbern Zugang zu ihren gesamten Kabelkanalanlagen, Masten und Trägersystemen eröffnen muss (Az. 21 L 2013/22). Die Bundesnetzagentur (BNetzA) hatte die Telekom mit Beschluss vom 21. Juli 2022  zur Zugangseröffnung verpflichtet, um den Glasfaserausbau in Deutschland zu beschleunigen. Laut Eilbeschluss des VG Köln sind die Erfolgsaussichten der Klage in der Hauptsache offen. Die Interessenabwägung im Eilverfahren falle jedoch zu Lasten der Telekom aus, da ein Antragserfolg zur irreversiblen Verzögerung beim Glasfaserausbau führen würde. Das VG Köln hat in seinem Beschluss angedacht, das Hauptsacheverfahren dem EuGH vorzulegen.

Weitere Informationen finden Sie auf der Webseite des VG Köln.

CSAM-Übergangsverordnung verlängert

Am 08. Februar hat das EU-Parlament die Verlängerung der CSAM-Übergangsverordnung (VO (EU) 2021/1232) beschlossen.  Diese nimmt die Durchsuchung von Kommunikationsinhalten nach Kindesmissbrauchsdarstellungen (CSAM) und sog. „Cybergrooming“ durch Anbieter von Messengerdiensten unter bestimmten Voraussetzungen vom Fernmeldegeheimnis aus. Die Übergangsverordnung wäre am 3. August 2024 außer Kraft getreten, wurde jedoch um 2 Jahre verlängert. Grund hierfür ist, dass sich die nachfolgende CSAM-Verordnung noch im Entwurfsstadium (COM(2022) 209 final) befindet, und voraussichtlich nicht mehr bis zum Ende der Legislatur finalisiert wird.

Weitere Informationen finden Sie auf heise.de

BMDV plant „Recht auf Verschlüsselung“ bei Messenger- und Clouddiensten

Das Bundesministerium für Digitales und Verkehr („BMDV“) plant die Einführung eines „Rechts auf Verschlüsselung“ im TTDSG. § 3 TTDSG soll um einen weiteren Absatz ergänzt werden, nach dem Anbieter von nummernunabhängigen interpersonellen Telekommunikationsdiensten (z.B. Messenger- oder E-Mail-Diensten) eine Ende-zu-Ende-Verschlüsselung gewährleisten und Endnutzer hierüber informieren müssen. Darüber hinaus soll § 19 TTDSG um eine Informationspflicht für Anbieter von Cloud-Diensten über die Möglichkeit für Endnutzer, eine Ende-zu-Ende-Verschlüsselung einzurichten, ergänzt werden. Noch ist unklar, in welchem Verhältnis diese Neuerungen zur geplanten CSAM-Verordnung der EU stehen werden. 

Weitere Informationen finden Sie auf netzpolitik.org.

Neue Technische Richtlinie zur E-Mail-Authentifizierung

Am 16. Februar hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Technische Richtlinie zur E-Mail-Authentifizierung (TR-03182) veröffentlicht. Diese beinhaltet Empfehlungen, wie E-Mail-Anbieter Cyber-Angriffe wie Phishing und Spoofing, also das Versenden schädlicher E-Mails unter gefälschtem Absendernamen, vorbeugen können. Konkret geht es dabei um Maßnahmen zur Authentifizierung des Inhalts und des Absenders einer E-Mail.

Weitere Informationen finden Sie auf der Webseite des BSI und auf heise.de.

EU Gigabit Infrastructure Act

Die EU-Kommission hat am 23. Februar einen Entwurf für den Gigabit Infrastructure Act (GIA) vorgelegt. Dabei handelt es sich um ein Gesetzespaket, mit dem die Kosten für den Glasfaser- und 5G-Ausbau in der EU verringert und dessen Ausbau beschleunigt werden soll. Insbesondere ist eine Reduzierung des Verwaltungsaufwands durch Vereinfachung und Digitalisierung der Genehmigungsverfahren geplant. Zudem sieht der Entwurf eine Erhöhung der Preise für kupferbasierte Dienste vor, um Zugangsinteressierten Anreize dazu zu geben, sich auf Glasfasernetze zu konzentrieren.

Weitere Informationen finden Sie auf twobirds.com und heise.de.

EuGH zum immateriellen Schadensersatz nach Art. 82 DSGVO

Am 15. Januar hat der EuGH erneut zum immateriellen Schadensersatz nach Art. 82 DSGVO entschieden (Az. C-687/21). Konkret ging es um die Darlegung eines immateriellen Schadens. Der EuGH hat entschieden, dass die Befürchtung einer missbräuchlichen Verwendung personenbezogener Daten einen immateriellen Schaden nach darstellen können. Der Betroffene müsse jedoch eine begründete Befürchtung darlegen. Ein rein hypothetisches Risiko einer missbräuchlichen Verwendung reiche hierfür nicht aus.

Weitere Informationen finden Sie auf lto.de.

EuGH zur Anwendbarkeit der DSGVO auf parlamentarische Untersuchungsausschüsse

Mit Urteil vom 16. Januar hat der EuGH (Az. C-33/22) zur Anwendbarkeit der DSGVO auf parlamentarische Untersuchungsausschüsse entschieden. Nach Ansicht des EuGH ist der Anwendungsbereich der DSGVO auf solche Ausschüsse eröffnet, die keine Tätigkeiten wahrnehmen, die der nationalen Sicherheit dienen. Den Begriff der nationalen Sicherheit legt der EuGH eng aus sodass hierunter keine Untersuchungsausschüsse fallen, die sich auf die Tätigkeiten von polizeilichen Staatsschutzbehörden wegen des Verdachts auf politische Einflussnahme beziehen.

Weitere Informationen finden Sie auf Verfassungsblog.de.

BNetzA veröffentlicht Gutachten zum Wettbewerb im Mobilfunkmarkt

Die Bundesnetzagentur hat am 23. Januar ein Gutachten zu den Wettbewerbsverhältnissen im Mobilfunkmarkt veröffentlicht. Hintergrund ist ein laufendes Frequenzvergabe-Verfahren, in welchem die Ergebnisse des Gutachtens mit Blick auf die Aufrechterhaltung des Wettbewerbs berücksichtigt werden sollen. Durch die Auswertung verschiedener Indikatoren kommt die BNetzA zu dem Ergebnis, dass sowohl auf der Ebene des Vorleistungs- als auch auf dem Endkundenmarkt im Bereich des öffentlichen Mobilfunks ein wirksamer Wettbewerb herrscht. Mobilfunknetzbetreibern werden ausreichend Anreize für Netzinvestitionen gegeben und insbesondere der Markteintritt von Anbieter 1 & 1 wirke sich positiv auf die Interessen der Verbraucher aus.

Weitere Informationen finden sie auf der Webseite der Bundesnetzagentur.

Events

Global Cookie Review Launch (4th edition) - what’s on the horizon for global cookie enforcement activity?

As regulators across the world continue to increase their focus on the use of cookies and other similar devices (for targeted advertising and more broadly), we are seeing an increasing level of regulatory focus, in the form of both new legislation and regulatory guidance, targeting the use of these technologies both directly and indirectly.

To help you navigate these changes, we are pleased to be launching the 4th edition of our Global Cookie Review (GCR) on Thursday 21 March. The updated GCR is now in a true digital form and currently reflects the fourth edition of the regular series providing a global overview of the legal and regulatory landscape relating to the use of cookies and similar technologies.

Wann?          21.03.2024, 15:00-16:00

Wo?               Online

Weitere Informationen finden sie auf Twobirds.com.

Zur Anmeldung.

Veröffentlichungen und Vorträge

Simon Assion zu aktuellen Datenschutzthemen

Unser Partner Dr. Simon Assion hat in der aktuellen Ausgabe der „Neuen Juristischen Wochenschrift“ die relevantesten Ereignisse des letzten halben Jahres aus dem Datenschutzrecht zusammengetragen. Er fasst insbesondere die neuesten EuGH-Entscheidungen zusammen und gibt einen Überblick über die letzten gesetzgeberischen und rechtspolitischen Entwicklungen. [NJW 2024, 632]

Feyo Sickinghe, Oliver Belitz und Simon Hembt zum AI Act

Unser Of Counsel Feyo Sickinghe und unsere Associates Oliver Belitz und Dr. Simon Hembt sprechen in der zweiten Folge unseres Podcasts zum AI Act über die kommende KI-Regulierung. Sie gehen insbesondere auf General Purpose AI, sowie biometrische Identifizierung und Open-Source-Modelle ein.

Den Podcast finden Sie auf Soundcloud und Spotify. Ein Transkript finden Sie auf Twobirds.com.

Neu auf unserer Website

Die neusten Entwicklungen zur Plattformrichtlinie

Die in den Trilog-Verhandlungen vorläufige Einigung über eine Richtlinie zur Plattformarbeit zwischen der Europäischen Kommission, des Europäischen Parlaments und der spanischen Ratspräsidentschaft konnte am 22. Dezember nicht die erforderliche qualifizierte Mehrheit im Ausschuss der Ständigen Vertreter (AStV) finden. Seit dem 1. Januar 2024 gibt es neue Verhandlungen, jedoch nun unter belgischer Ratspräsidentschaft statt bisher unter spanischer.

Weiterlesen

China Cybersecurity and Data Protection - Monthly Update - March 2024 Issue

In February, we saw regulatory developments in data assets at central and foreign levels. The National Data Bureau initiated a survey requiring regulatory bodies, state-owned companies, companies in data industries, industry associations and the State Information Centre to report on their data resources. The Ministry of Finance issued a regulation that called upon governmental bodies to protect data assets and manage the data assets in an effective and efficient manner.

Weiterlesen

The ICO publishes long-awaited content moderation guidance, coinciding with the end of Ofcom's illegal harms consultation

On 16 February 2024 the ICO published guidance on the application of data protection law to content moderation activities (the "Guidance"), following a call for views last year. The topic is increasingly under regulatory scrutiny in the context of evolving online safety regulations, including the UK's Online Safety Act ("OSA") which gained Royal Assent on 26 October last year; though the Guidance also applies beyond the scope of activities required by the OSA. We have summarised key takeaways for businesses from the Guidance in this article.

Weiterlesen

Digital Services Act enters into force

The Digital Services Act (the "DSA"), i.e. Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC (Digital Services Act) fully entered into force on 17 February. The DSA imposes new obligations on intermediaries, inter alia, hosting service providers, including online platforms and online marketplaces. This overview provides valuable insights into the applicability and penalties of the DSA.

Weiterlesen

EDPB’s case digest on Security of Processing and Data Breach Notification – all you need to know

The European Data Protection Board (EDPB) recently commissioned and published a thematic One-Stop-Shop case digest on Security of Processing and Data Breach Notification. Despite its somewhat dry title this document provides a wealth of valuable material on how Data Protection Authorities across the EU have dealt with decisions relating to Article 32 (security of processing), Article 33 (notification of breaches to supervisory authorities) and Article 34 (notification of breaches to data subjects) with most of the focus and attention concentrated around the A.32 matters. The key themes and most important points are set out in this article.

Weiterlesen

Cyber Resilience Act, NIS2 and CER Directives

These pivotal cybersecurity legislations will apply from 18 October 2024 and will impact a wide range of businesses including data centres, healthcare, cloud, as well as trusted service and communications providers. Therefore, we organized two webinars designed to address a worldwide audience. These sessions delve into the implications of the NIS2 and CER Directives, as well as the nearly finalized Cyber Resilience Act, and their impact on companies operating beyond the borders of the European Union.

Weiterlesen

PDPC Advisory Guidelines on the Use of Personal Data in AI Recommendation and Decision Systems

On 1 March 2024, the Personal Data Protection Commission (“PDPC”) published the Advisory Guidelines on use of Personal Data in AI Recommendation and Decision Systems (“Advisory Guidelines”). Broadly, the Advisory Guidelines explain when it may be appropriate for organisations to rely on certain exceptions under the Personal Data Protection Act when using personal data to develop AI Systems and sets out recommended data handling and accountability measures when deploying AI Systems. This article updates our previous article on the version of the Advisory Guidelines published for the PDPC’s public consultation held in 2023.

Weiterlesen

The Irish Digital Services Act 2024 – The DSA is now fully enforceable in Ireland

The Digital Services Act 2024 (the “Irish Act”) was signed into law on 11 February 2024. The Digital Services Act (Commencement) Order was signed on 16 February, meaning the legal enforcement and implementation framework for the DSA is now fully operative in Ireland from 17 February. The Irish Act designates Coimisiún na Meán as the Digital Services Coordinator (“DSC”) for Ireland. This article examines the implementation and enforcement mechanisms of the DSA in Ireland.

Weiterlesen

Gigabit Infrastructure Act: new European rules to spur telecoms networks roll-out

On 6 February, the Council presidency and the European Parliament reached a provisional agreement on a proposal to replace the 2014 Broadband cost-reduction directive (BCRD) by the Gigabit Infrastructure Act (GIA) to accelerate the deployment of gigabit network infrastructure across Europe. This outlook highlights the primary objective of the GIA and envisages the next steps.

Weiterlesen

What's next for the EU Data Act

The EU Data Act is the new EU law that aims to create a single market for data. As the law entered into force on 11 January 2024, the focus of the EU legislators and stakeholders will now shift to its application, its implementation, and its sectoral dimensions. The end goal is to ensure that data can be easily and safely shared across organisations and sectors within the EU to drive innovation while ensuring the privacy and protection of personal data. We invite you to consult the forthcoming deadlines below.

Weiterlesen

AI Act on track to be formally adopted ahead of the European elections

Groundbreaking new legislation to regulate artificial intelligence systems on the EU market is now on course to be officially adopted by the European Parliament in April and thereafter by the Council, ahead of the European elections in June. To recall, on 8 December 2023, EU institutions reached a provisional political agreement on the EU Artificial Intelligence Act (AI Act), which nevertheless left many open provisions regarding scope, enforcement, governance, prohibitions, general purpose AI (GPAI) and high-risk applications. Throughout January, several technical meetings took place between the European Commission, Council and the European Parliament to hash out agreements on these significant issues. A subsequent vote to endorse the finalised text at the Committee of Permanent Representatives (COREPER), comprising deputy ambassadors from the 27 EU Member States, passed unanimously on 2 February.

Weiterlesen

Which countries have appointed their Digital Services Coordinators under the DSA?

Under Article 49 of the DSA, Member States have until the 17 February 2024 to designate a competent authority as their Digital Service Coordinators (DSCs) who will oversee the enforcement of the Digital Services Act (DSA) at national level. 17 February 2024 is the date when the Regulation will apply to all intermediary service providers such as social media, hosting service providers, online marketplaces, app stores and collaborative economy platforms. The current list of officially appointed DSCs can be found below.

Weiterlesen

GDPR Fine Calculation: Comparing the EDPB and ICO's Draft Guidelines

In one of our previous articles from July 2023, we looked at the European Data Protection Board’s (“EDPB”) then recently published guidelines on the calculation of fines (“EDPB Guidelines”) and raised a question of what is next for the UK, as this had created a disparity between guidance available at an EU level and that available in the UK. As we noted under section 160 of the Data Protection Act 2018, the Information Commissioner's Office (”ICO”) must issue guidance on how they will calculate penalties and once issued they are bound to follow it or risk procedural challenges before the Tribunal or by way of Judicial Review. On 2 October 2023 the ICO opened a consultation on its draft guidelines (“ICO Draft Guidelines”). In this article we look at the level of detail and practical guidance set out in the ICO Draft Guidelines and its alignment with the EDPB Guidelines.

Weiterlesen

ICO Enforcement Updates (PECR)

The ICO has fined four companies for illegal direct marketing under PECR and has also issued two enforcement notices in December against a company and its director, who was also a sole trader. The fines collectively total £440,000 and relate to contraventions of Regulations 21-24 of PECR. Three of the fines were issued in January, whilst one of them was issued in August 2023 but has only just been published. Let’s take a closer look at the cases in detail.

Weiterlesen

Stricter cybersecurity rules to apply to products

While much political attention focused on the intense negotiations on the AI Act at the end of last year, another important piece of legislation was also moving towards the finish line. On 27 November 2023, European parliamentarians and the Council struck a provisional deal on the Cyber Resilience Act (CRA), which will introduce new cyber security and cyber resilience obligations to protect digital products in the EU from cyber threats. Let’s take a closer look at the Cyber Resilience Act in the article below.

Weiterlesen

Product compliance for consumer products powered by AI

While the AI Act (a product safety law for specific AI systems), is currently attracting a lot of attention, the General Product Safety Regulation (GPSR) should not be overlooked. The EU adopted the GPSR in June 2023 to address risks associated with AI-related products. The GPSR aims to seamlessly integrate AI technology into existing product safety frameworks. With the growing prevalence of AI technologies, particularly in consumer products, these articles provide an outline of the new requirements that, while not exclusively AI-specific, significantly affect AI-powered consumer products.

Weiterlesen

New safety rules set to apply to all digital service providers

This year will see the full applicability of the EU Digital Services Act, which is designed to curb illegal and harmful activities online and increase user safety. From 17 February 2024 the DSA rules will apply to all digital service providers. The DSA is already having a significant impact on digital governance since it came into force on 16 November 2022. In the next 12 months, we can expect the publication of secondary legislation to further elaborate on the principles and objectives of the DSA. It is also possible that there will be further designations of very large players.

Weiterlesen

EU Data Act, accelerating the digital transformation of the energy sector

With the EU Data Act, the European Union is implementing another milestone in its European data strategy. After the formal adoption of the European Parliament and the Council, the new legislation entered into force on 11 January 2024. Its provisions aim to increase transparency and make data more usable. This opens new potential also for the use of data in the energy sector and for a further push in energy digitisation leading to much greater implications than many currently realise. Let’s take a closer look at the impact of the new EU Data Act on energy digitalisation.

Weiterlesen

GDPR principles on purpose and storage limitation in action – the fruits of a CJEU judgment

In June 2020, the Hungarian Data Protection Authority (NAIH) had imposed a fine of approx. EUR 260,000 (HUF 100 million) on an electronic communications service provider due to a personal data breach. In the appeal proceedings, the Budapest Metropolitan Court referred the case to the Court of Justice of the European Union for the interpretation of the GDPR, and then instructed the NAIH to conduct new proceedings. In such new procedure, the NAIH reduced the amount of the administrative fine to approx. EUR 208,000 (HUF 80 million).

Weiterlesen

Transfers of personal data outside the European Union: the French Data Protection Authority (CNIL) publishes a draft practical guide to carry out a Transfer Impact Assessment

The draft guide is published in the context of a public consultation. Organisations have 1 month to submit their observations to the CNIL. This article walks you through the context in which CNIL publishes this guide, its content and the keys takeaways.

Weiterlesen

The CJEU rules on the liability of controllers

Ruth Boardman and Katerina Tassi have written an insightful article for the International Association of Privacy Professionals (IAPP) covering the Court of Justice of the European Union’s interpretation of EU General Data Protection Regulation provisions in recent cases. In the article they delve into a recent case, C-683/21, where the court held a controller can be liable for processing carried out by its processor.

Weiterlesen