EuGH kippt EU-US Privacy Shield 

Der EuGH hat die zwischen den USA und der EU geschlossene Datenschutzvereinbarung „Privacy Shield“ für ungültig erklärt. Gleichzeitig stellt der EuGH in Frage, inwieweit Unternehmen ihre Datentransfers in die USA und in andere Drittländer auf die Standardvertragsklauseln der Europäischen Kommission stützen können. Der EuGH hat klargestellt, dass Standardvertragsklauseln kein “Freibrief” sind, sondern einzeln dahingehend evaluiert werden müssen, ob sie ein sicheres Datenschutzniveau im Empfangsland sicherstellen. Die ausführliche Urteilsbegründung finden Sie hier.

Erste Reaktionen der Aufsichtsbehörden (BfDI, Berlin, Hamburg, Thüringen) ließen nicht lange auf sich warten. Nach Ansicht der rheinland-pfälzischen Aufsichtsbehörde gibt es keine Übergangsfrist. Die Rechtsfolgen des Urteils treten mit sofortiger Wirkung ein. 

Nach einer ersten Stellungnahme hat der Europäische Datenschutzausschuss (EDSA) am 24. Juli einen FAQ-Katalog veröffentlicht, der eine erste Hilfestellung bieten soll. Darin beantwortet der EDSA die wichtigsten Fragen zu den Konsequenzen des Urteils, kann aber noch keine abschließende Lösung zur Frage bieten, welche zusätzlichen Maßnahmen zu den Standvertragsklauseln ergriffen werden müssen, um im Rahmen von Drittlandtransfers ein ausreichendes Datenschutzniveau im Empfangsland sicherzustellen. Der EDSA weist daraufhin, dass der FAQ-Katalog ein lebendes Dokument ist und weitere Antworten ergänzt werden. Eine Zusammenfassung der wesentliche Punkte der EDSA Empfehlungen finden Sie hier.

Eine ausführliche Analyse und Diskussion über die Auswirkungen des Urteils bietet Ihnen unser Webinar. Ferner werden wir Sie über unser News Centre über aktuelle Entwicklungen zu diesem Thema auf dem Laufenden halten.

---

DSGVO-Evaluation 

Nach gut zwei Jahren DSGVO hat die EU-Kommission einen ersten umfassenden Evaluierungsbericht nebst einem begleitenden Staff Working Document vorgelegt. Insgesamt wird die DSGVO darin positiv dargestellt. Sie schaffe einen guten Mittelweg zwischen Überwachung und Marktkontrolle. Außerdem habe sie sich in der Corona-Krise als datenschutzfreundlicher Rahmen für Maßnahmen zur Nachverfolgung von Infektionsfällen bewährt. Ausbaufähig sei allerdings noch, dass auf nationaler Ebene die Durchsetzungsmöglichkeiten unterschiedlich wahrgenommen werden.

Kritik erfährt der Evaluationsbericht durch den Hamburgischen Beauftragten für Datenschutz und Informationssicherheit. Danach habe die Kommission die Gelegenheit versäumt, Modernisierungsvorschläge für die DSGVO zu machen, speziell dort wo es erkennbare Fehlentwicklungen gäbe. Die ausführliche Stellungnahme finden Sie hier.

---

Referentenentwurf zum TKMoG 

BMWi und BMVI sind dabei einen umfangreichen Gesetzesentwurf zur Änderung des Telekommunikationsgesetzes auf den Weg zu bringen. Einen ersten, noch nicht offiziellen Entwurf veröffentlichte Anfang Juni das Blog Netzpolitik.org. Der Entwurf dient der Umsetzung der EU-Richtlinie des EU-Kodex für die elektronische Kommunikation (EKEK; eng-lisch „EECC“). Diese Novelle bedeutet teils grundlegende Änderungen im Telekommunikationsrecht in einer Vielzahl von Bereichen; u.a. beim Thema Breitbandausbau / Zugangsregulierung, bei der exterriorialen Nutzbarkeit von Rufnummern und bei der Frequenzvergabe.

Außerdem soll die Gesetzesänderung Verbraucherrechte und die Durchsetzung von Versorgungsauflagen stärken. Wichtig ist auch die Ausweitung des Anwendungsbereichs: Die sog. „OTT-Dienste“ werden in die Definition des Telekommunikationsdienstes aufgenommen, aber im Wege einer abgestuften Regulierung nur in manche Verpflichtungen einbezogen. Außerdem integriert der Entwurf das „Post- und Telekommunikationssicherstellungsgesetz“ (PTSG) in das TKG. Gleichzeitig soll er die Vorgaben zum Fernmeldegeheimnis und TK-Datenschutz aus dem TKG herausnehmen und offenbar in ein eigenes „E-Privacy-Gesetz“ auslagern. Den Referentenentwurf zum TKMoG finden Sie hier; über das „E-Privacy-Gesetz“ sind bislang noch keine Details bekannt.

Weitere Informationen und aktuelle Entwicklungen zur Umsetzung des EU-Kodex für die elektronische Kommunikation innerhalb jener Mitgliedstaaten, in denen wir niedergelassen sind, bietet unser „EECC Implementation Tracker“. 

---

Patientendatenschutzgesetz und elektronische Patientenakte (ePA) kommen 

Am 03.07.2020 hat der Bundestag das Patientendatenschutzgesetz (PDSG) verabschiedet und damit auch die Einführung der elektronischen Patientenakte (ePA) beschlossen. Das PTSG ändert vor allem das fünfte Buch des Sozialgesetzbuchs und schafft dort die Grundlagen für eine Reihe von Projekten im Bereich der medizinischen Telematikinfrastruktur (TI). Dazu gehört auch die Einführung der ePA. Durch die ePA sollen Ärzte einfacher an die zur Behandlung nötigen Patienteninformationen kommen. Kritik erntet die ePA allerdings aufgrund des hohen zu leistenden Datenschutzniveaus. Ebenso müsse, nach Aussage von Erik Bodendieck von der Bundesärztekammer, zunächst eine geeignete Infrastruktur in den Arztpraxen eingerichtet werden. Das Gesetz soll nach Verkündung unmittelbar in Kraft treten, allerdings werden viele Änderungen erst später wirksam, da noch technische Grundlagen geschaffen werden müssen. Alle Dokumente zum parlamentarischen Vorgang finden Sie hier; eine finale Fassung des Gesetzes liegt noch nicht vor. 

---

ePrivacy-VO: Deutsche Ratspräsidentschaft startet mit ‚Diskussionspapier‘

Die deutsche Bundesregierung hat zum Auftakt ihrer EU-Ratspräsidentschaft zur ePrivacy-Verordnung erst einmal keinen neuen Entwurf vorgelegt, sondern will auf Basis eines „Diskussionspapiers“ erst einmal im EU-Ministerrat Grundlagen besprechen. Die offenen Fragen betreffen u.a. die Themen Cookies und Metadaten sowie webseiten- und geräteübergreifendes Tracking. Mehr dazu auf heise.de. Das Diskussionspapier finden Sie hier. 

---

Bundeskartellamt sieht DSGVO-Verstöße bei Smart-TVs

Das Bundeskartellamt (BKartA) hat die Ergebnisse seiner Sektoruntersuchung zu Smart-TVs veröffentlicht. Laut dem Untersuchungsbericht des BKartA haben sich dabei einige Mängel in den Bereichen Datenschutz, Datensicherheit und Transparenz gezeigt. Insbesondere wird kritisiert, dass Nutzermenüs oftmals so ausgestaltet seien, dass sie den Nutzer in Richtung einer bestimmten Auswahlentscheidung lenken. Ebenso sei bei manchen Geräten ein Widerruf nur nach aufwändiger „Menühangelei“ oder sogar nur durch telefonischen Kontakt mit dem Hersteller möglich. 

Mehr dazu hier. Den Bericht des BKartA finden Sie hier.

---

Italienische Aufsichtsbehörde verhängt 17 Millionen Euro Bußgeld gegen Telekommunikationsanbieter

Das 5G-Radar des GEREK

5G gehört zu den Themen, die im Mittelpunkt der strategischen Prioritäten des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) für den Zeitraum 2021 – 2025 stehen. Die Begleitung und Gestaltung der regulatorischen Entwicklungen in der EU anlässlich der 5G-Einführung ist ein wichtiger Teil der Arbeit des GEREK. Im Rahmen seiner diesbezüglichen Aktivitäten hat das GEREK zwei Dokumente veröffentlicht: (i) das 5G-Radar und (ii) den Entwurf eines Leitfadens dazu (beide auf der Website des GEREK in englischer Sprache abrufbar). Das 5G-Radar ist ein interaktives Instrument, das die regulatorischen Aspekte des 5G-Ökosystems und darlegt und den Zeithorizont aufzeigt, an dem diese nach Einschätzung des GEREK auf die Tagesordnung kommen werden. Der Leitfaden erläutert die Themen und die erwarteten zeitlichen Entwicklungen näher.

Weiterlesen >>

Virtuelle Gerichtsverhandlungen als Teil des „New Normal“ ?! 

Was bisher eine absolute Ausnahme war, könnte schon bald gängige Realität werden – Gerichtsverfahren via Videokonferenz, um die gerichtliche Funktionsfähigkeit während der Zeit der Corona-Pandemie zu gewährleisten. Täglich kommen neue Berichte von begeisterten Richtern, Anwälten und Parteien über Verfahren, die bereits per Videokonferenz – ohne physische Anwesenheit sämtlicher Beteiligter im Gerichtssaal – abgehalten wurden, dazu. Weitere Informationen finden Sie hier.

---

Einwilligung im Online-Kontext - BGH-Urteile in den Verfahren Planet49 (I ZR 7/16) und Facebook (I ZR 186/17) 

Einwilligungen dominieren den Online-Alltag. Die Ausgestaltung dieser Einwilligungen variiert jedoch stark. Einige Webseiten arbeiten mit elaborierten Cookie-Bannern. In anderen Fällen werden lediglich rudimentäre Informationen bereitgestellt und eine Einwilligung eher fingiert, als tatsächlich eingeholt. 

Der Bundesgerichtshof (BGH) hat heute in zwei bedeutenden Fällen Entscheidungen erlassen, welche die Einwilligung, die Verwendung von Cookies und die Durchsetzung von Anforderungen nach der DSGVO durch Dritte betreffen (siehe hier und hier).

Weitere Informationen finden Sie hier.

---

Deutsche Datenschutzbehörde verhängt erneut hohe Strafe nach der DSGVO

Die Datenschutzbehörde Baden-Württemberg („DSB“) hat eine Geldbuße in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg verhängt, weil diese keine angemesse-nen technischen und organisatorischen Maßnahmen getroffen hatte (Art. 32 DS-GVO). Die offizielle Pressemitteilung kann hier abgerufen werden. 

Weitere Informationen erhalten Sie hier.

---

Platform-to-Business Verordnung: welche Rechte haben Verbrauchermarken beim Verkauf über Online-Plattformen?

Die "Platform-to-Business Verordnung" ("P2B-Verordnung", offiziell Verordnung (EU) 2019/1150 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten) tritt am 12. Juli 2020 in Kraft. Hauptzweck der P2B-Verordnung besteht darin zu regeln, wie Betreiber von Online-Plattformen und Suchmaschinen mit Unternehmen interagieren, die diese Plattformen und Suchmaschinen nutzen wollen, um Verbraucher zu erreichen. Der Erfolg von Online-Plattformen und Suchmaschinen hat dazu geführt, dass diese als "Torwächter" für den Zugang zu Märkten und Verbrauchern betrachtet werden. Die Europäische Union versucht durch die Umsetzung der P2B-Verordnung die teilweise asymmetrischen Wettbewerbsbedingungen zwischen Betreibern von Online-Plattformen/Suchmaschinen und Unternehmen, die an Verbraucher verkaufen wollen, anzugleichen. Weitere Informationen finden Sie hier.

---

COVID-19: Leitlinien von Datenschutzbehörden, Bund und Ländern 

Sie wollen wissen, welche Informationen, Hinweise und FAQ-Dokumente anlässlich der Corona-Pandemie aktuell von Datenschutzbehörden zur Verfügung gestellt wurden? Wir haben für Sie eine entsprechende Übersicht erstellt. Weitere Informationen finden Sie hier.

---

Best Lawyers® ernennt Bird & Bird LLP zur "IT Law Firm of the Year 2021" und empfiehlt 19 Bird & Bird-Anwälte erstmalig sowie weitere 20 Anwälte wiederholt als die Besten ihres Faches 

Bird & Bird LLP wurde von Best Lawyers® zur "Law Firm of the Year 2021" im Bereich des Informationstechnologierechtes ernannt. Weiterhin wurden 19 Bird & Bird-Anwälte erstmalig sowie weitere 20 Anwälte wiederholt als die Besten ihres Faches empfohlen. Die Ergebnisse sind in dem Handelsblatt Spezial - Die besten Anwälte und Kanzleien Deutschlands 2020 - veröffentlicht. Weitere Informationen finden Sie hier.

---

Spanish Authority imposes a fine on Glovo for failing to appoint a DPO 

The Spanish Data Protection Authority (Agencia Española de Protección de Datos ("AEPD")) imposed a fine of EUR 25,000 on Glovo, an on-demand courier service, for failing to appoint a Data Protection Officer ("DPO") in application of Articles 37 and 83 of the General Data Protection Regulation ("GDPR"). More information here.

---

NIS Directive and the energy sector: a patchwork of national implementations

The energy infrastructure constitutes a foundational part of a modern society, and disturbances within its functions can have farreaching social and economic effects across borders. During the last decade, cyber-attacks directed at the energy sector have made headlines under the names of Stuxnet, DragonFly 2.0, Flame and Black Energy. This increasing threat compounded by rapid digitalization has brought the energy sector at the forefront of the cyber security discussion. More information here. 

---

China's long awaited draft Data Security Law released - What does it cover (and not cover)?

At the 20th meeting of the 13th National People's Standing Committee held from 28th to 30th June 2020, the long-expected draft of the PRC Data Security Law ("Draft Data Securi-ty Law") received its first round of review by the legislative body and is now released for the public's comment. More information here.  

---

What lies ahead for regulation of the 5G ecosystem? 

Speaking at the 2020 European Spectrum Management Conference on 23 June 2020, Internal Market Commissioner, Thierry Breton, described 5G connectivity as an “important pillar” for the EU (especially in light of the EU’s post-COVID economic recovery) and that “it is important to ensure the rapid deployment [of 5G] as a matter of political priority”. More information here.

---

Belgium – Bill on a temporary Digital Services Tax 

For a number of years now, there has been an increasing effort at international level in trying to define the appropriate international tax framework for the biggest digital players (such as the GAFA) and to address their lack of (fiscal) contribution to the local economies where their end-users reside. More information here.

---

Record breaking GDPR fine imposed in Hungary as a result of a website security vulnerability

Since the GPDR became applicable in 2018, the Hungarian Data Protection Authority (NAIH) has seemed reluctant to impose high administrative fines. Until now the highest fine amount was approx. EUR 87,000. This has become history as recently the NAIH imposed a fine of approx. EUR 290,000 on an electronic communications provider. The reason for this was a known vulnerability in the website which was not fixed for years, and allowed an ethical hacker to access, i.a., a test database created several years ago containing various categories of personal data of subscribers. More information here.

---

Act against undesired control in the telecom sector in the Netherlands: new notification requirement and power to block transactions

On 19 May 2020, the Act against undesired control in the telecom sector (“Act“) was adopted by the Dutch Parliament. The Act introduces a notification requirement applicable to anyone who has the intention to acquire ‘a controlling interest’ in a ‘telecom party’ if such interest results in ‘relevant influence’ in the telecom sector. If the controlling interest may result in a ‘threat to the public interest’, the Dutch Minister of Economic Affairs and Climate Policy (“Minister”) shall prohibit the acquiring or holding of such controlling interest or impose a ban subject to suspensive conditions. More information here.

---

Singapore introduces SG Digital Office and the Need for Digitalisation across Sectors

On 31 May 2020, the Infocomm Media Development Authority (IMDA) announced that a new SG Digital Office (SDO) will be formed to mobilise a whole-of-nation movement to accelerate Singapore's efforts to digitalise all aspects of the community and economy. More information here.

---

How does the new Dubai International Financial Centre Data Protection Law compare against the GDPR?

On 01 June, 2020, the long awaited Dubai International Financial Centre Data Protection Law No. 5 of 2020 was enacted (“DIFC Law”, effectively repealing and replacing Data Protection Law No.1 of 2007 and all related Regulations made under that law (the “Previous Law”). The Law will be effective on 01 July, 2020  and businesses to which it applies will have a grace period of three months, until 1 October 2020, to comply with it, before it becomes enforceable. More information here.

Dr. Alexander Csaki zum Abschluss von Arzneimittelrabattverträgen 

Unser Partner Dr. Alexander Csaki hat sich in der jüngsten Ausgabe der "Arzneimittel & Recht" mit den aktuellen Rechtsfragen zum Abschluss von Arzneimittelrabattverträgen nach § 130 a Abs. 8 SGB V beschäftigt. Hierbei werden verschiedene Ausschreibungsmodelle vorgestellt und vergaberechtlich beurteilt. (A&R 2020, S. 105) 

---

Dr. Annika Lückemann und Dr. Moritz Schroeder zum zweiten ergänzenden Schutzzertifikat 

Dr. Annika Lückemann und Dr. Moritz Schroeder haben sich in der Fachzeitschrift „Pharma Recht“ mit den Anforderungen an ein zweites ergänzendes Schutzzertifikat nach Art. 3a und c der VO EG Nr. 469/2009 im Arzneimittelbereich beschäftigt. Hierbei beleuchten sie insbesondere die Rechtsprechung des EuGH und die Umsetzung dieser durch die Düsseldorfer Gerichte. (PharmR 2020, S. 238)

---

Claudia Bischoff und Julian Drechsler zu Pseudonymisierung und Anonymisierung im Rahmen klinischer Prüfungen 

Claudia Bischoff hat sich in der Zeitschrift „Pharma Recht“ mit Pseudonymisierung und Anonymisierung von personenbezogenen Daten im Rahmen klinischer Studien befasst. In dem ersten Teil des zweiteiligen Aufsatzes werden die gesetzlichen Anforderungen an Pseudonymisierung und Anonymisierung mit Hinblick auf das Zusammenspiel von DSGVO, BDSG, VO (EU) 536/2014 und AMG näher betrachtet. (PharmR 06/2020, S. 309 ff.). Im zweiten Teil befassen sich Claudia Bischoff und Julian Drechsler mit den technischen Möglichkeiten und Schutzzielen zur Umsetzung von Pseudonymisierungs- und Anonymisierungspflichten (PharmR 07/2020, S. 389ff.).

---

Carsten Beisheim, Dr. Kathrin Kruse und Dr. Stephan Waldheim zu den wesentlichen Aspekten der M&A-Compliance 

Unser Counsel Dr. Stephan Waldheim und unsere Associate Dr. Kathrin Kruse haben sich gemeinsam mit Carsten Beisheim in der Zeitschrift "Compliance-Berater" mit den wesentlichen Compliance-Risiken bei M&A-Transaktionen auseinandergesetzt. Der Schwerpunkt des ersten Teils des Beitrags liegt auf dem Gebiet des Gesellschaftsrechts (CB 2020, S. 236). Der im August erscheinende Teil 2 wird sich mit den Fragen des Kartell- und Arbeitsrechts befassen.

    

• Dutch Gambling Update: Further details and possible delay on Dutch Online Gambling Bill 
  Tessa Van Den Ende, Bird & Bird The Hague
  
  
• The Ongoing Battle between Australian Regulators and Illegal Offshore Gam-bling Operators
  Tom Macken and Rich Hawkins, both Bird & Bird Sydney
  
  
• Court of Appeal hears appeal regarding new right of confidence in live sports data: The Racing Partnership v Sports Information Services
  Andy Danson, Toby Bond, Jacob Webster, William Wortley and Harry Arnold, all Bird & Bird London
  
  
• Australian Media Reform Report 
  Jarrad Parker, Sophie Dawson and Meggie Zhang, all Bird & Bird Sydney
  
  
• The Swedish Gambling Authority promotes a prompt implementation of B2B–licences for providers of gambling software
  Karin Soderberg and Kajsa Zenk, both Bird & Bird Stockholm 
  
  
• Update on online gambling in the Netherlands: licence holders will not be al-lowed to use their existing Dutch customer databases 
  Tessa Van Den Ende and Roelien van Neck, both Bird & Bird The Hague
  
  
• The Afghanistan Papers – Germany cannot prohibit the publication of military situation reports by invoking copyright law
  Roman Brtka, Bird & Bird Munich
  
  
• France passes a new legal framework for hosting providers
  Djazia Tiourtite and Myriam Douillet, both Bird & Bird Paris

 

Automotive Connect 2020 - Jetzt als Hybrid-Konferenz: analog und digital!

Aus gegebenem Anlass findet die Automotive Connect in diesem Jahr als Hybrid-Konferenz statt. Dies bedeutet: Neben dem persönlichen Austausch vor Ort haben Sie per Livestream die Möglichkeit, in Echtzeit das gesamte Konferenzprogramm zu verfolgen. Außerdem können Sie im virtuellen Plenum Fragen platzieren und damit sowohl mit den Referenten als auch den anderen Teilnehmern interagieren – ganz so, als wären Sie live dabei. 

Wann? 15. September 2020, 08:30 - 18:00 Uhr

Wo? Sofitel Frankfurt Opera, Opernplatz 16, 60313 Frankfurt sowie online über den Livestream

Alle weiteren Informationen und die Möglichkeit zur Anmeldung finden Sie hier >>