Compliance - 6-Schritte-Methode der CNIL

Die französische Datenschutzbehörde (CNIL) hat am 15.3.2017 die "methodologie en 6 etapes" (6-Schritte-Methode, 6 steps methodology) veröffentlicht.


Die französische Datenschutzbehörde CNIL hat am 15.3.2017 eine 6-Schritte-Methode zur Vorbereitung auf die DSGVO veröffentlicht. Diese soll es Unternehmen ermöglichen, sich rechtzeitig auf die Verpflichtungen und Vorgaben der DSGVO vorzubereiten, und die Vorgaben korrekt umzusetzen.

Dieser „Fahrplan“ stellt eine (inoffizielle) Übersetzung und Zusammenfassung der Veröffentlichung der CNIL dar; die Übersetzung wurde mit Links zu www.dataprotect.at versehen.

Die „methodologie en 6 etapes“ („6-Schritte-Methode“) umfasst:

 

Datenschutzbeauftragen bestellen („Désigner un pilote“)        
Datenstruktur erheben („Cartographer“)          
Maßnahmen priorisieren („Prioriser“)
Risiko managen („Gerer le risques“)
      
Organisieren („Organiser“)       

Dokumentieren („Documenter“)

Schritt 1: Datenschutzbeauftragen bestellen („Désigner un pilote“)

 

Es wird empfohlen eine verantwortliche Person (als DSB) zu benennen, die Informations-, Beratungs- und Kontrollaufgaben wahrnimmt.

 

Die verantwortliche Person soll die Compliance mit der DSGVO sicherstellen.

 

Auch wenn das Unternehmen nicht verpflichtet sein sollte (nach Art. 37 DSGVO) einen DSB zu bestellen, sei es sinnvoll, jemanden zu benennen, der als verantwortliche Person tätig ist.

 

Die verantwortliche Person soll als „Pilot“ die Umsetzung der Verpflichtungen der DSGVO auf Basis einer Verpflichtungserklärung ermöglichen, und das Unternehmen hat ihm/ihr die notwendigen Ressourcen zur Verfügung zu stellen.

 

 

Anmerkung:

Auch wenn ein DSB nicht verpflichtend zu bestellen ist, sollte sich die Organisation damit auseinandersetzen und dokumentieren, aus welchen Überlegungen kein DSB (verpflichtend) Bestellt werden muss.

 

Der "Pilot" sollte mE nicht "Datenschutzbeauftragter" genannt werden.

Schritt 2: Datenstruktur erheben („Cartographer“)

 

In diesem Schritt soll die Organisation die Daten im Detail identifizieren, und zwar in der Form, dass ein Verzeichnis von Verarbeitungstätigkeiten iSd Art 30 DSGVO erstellt wird.

 

Es ist eine umfassende Dokumentation der Datenverarbeitungen notwendig, die in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wird. Die CNIL hat eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten entwickelt.

 

Zum nächsten Schritt können Organisationen übergehen, wenn

 

sie die Stellen und/oder Einheiten (in der Organisation) kontaktiert hat, die (personenbezogene) Daten innerhalb der Datenstruktur erheben und verarbeiten
sie ein Verzeichnis der Verarbeitungstätigkeiten mit den (Haupt-)Zwecken der Verarbeitungen und den Kategorien von personenbezogenen Daten erstellt haben
sie die Lieferanten/
Auftragsdatenverarbeiter, die in die Verarbeitungsaktivitäten involviert sind, identifiziert habenund wissen, dass ihre (personenbezogenen) Daten übermittelt werden und an wen, und wo und wie lange die Daten gespeichert werden.

 

Schritt 3: Maßnahmen priorisieren („Prioriser“)

Nach Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist es notwendig, die Maßnahmen zu definieren, die erforderlich sind, um die Compliance mit der geltenden Rechtslage und der DSGVO herzustellen. Diese Maßnahmenfestlegung erfolgt unter Berücksichtigung der Risken in Bezug auf die Rechte und Freiheiten der betroffenen Personen.

 

Folgende Maßnahmen sind durchzuführen bzw. Prinzipien einzuhalten:

 

Datenminimierung, sohin Sicherstellung, dass nur die personenbezogenen Daten erhoben und in der Folge verarbeitet werden, die zur Erfüllung des Zweckes der Datenverarbeitung notwendig sind.Festlegung der Rechtsgrundlage der Verarbeitung der personenbezogenen DatenReview der bestehenden Datenschutzerklärungen, um sicherzustellen, dass diese den Anforderungen der DSGVO entsprechenPrüfung, ob alle Lieferanten / Auftragsdatenverarbeiter mit den neuen Aufgaben und Verpflichtungen der DSGVO vertraut sind und dass angemessene Datenschutzklauseln in den Vereinbarungen enthalten sindFestlegung von Prozessabläufen bei Ausübung der Rechte einer betroffenen PersonPrüfung, ob Datensicherheitsmaßnahmen implementiert sind


Schritt 4: Risiko managen („Gerer le risques“)

 

Wenn sich während der bisherigen Schritte herausgestellt hat, dass eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann, dann ist eine Datenschutz-Folgenabschätzung

iSd Art. 35 DSGVO durchzuführen.

 

Mehr zur Datenschutz-Folgenabschätzung finden sie auf dataprotect.at.

 

Schritt 5: Organisieren („Organiser“)

 

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

 

Im Einzelnen erfordert dies:

  • Berücksichtigung von Datenschutzprinzipien bei der Einführung einer Verarbeitung oder Verarbeitungstätigkeit.

  • Erhöhung des Bewusstseins von Mitarbeitern und Sicherstellung, dass datenschutzrelevante Informationen zu den korrekten Ansprechpartnern kommen (Training, Kommunikations-leitlinien etc…)

  • Richtlinien zur Behandlung von Datenschutzanfragen

  • Antizipieren von Datenschutzverletzungen und Sicherstellung, dass Data Breach Notifications durchgeführt werden können, und auch die Zeitlimits (z.B. 72 Stunden) eingehalten werden können, wobei die CNIL angibt, dass es ein Online-Meldesystem geben wird

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

Schritt 6: Dokumentieren („Documenter“)

 

Für den letzten Schritt ist es notwendig, dass die Organisationen die datenschutzrechtliche Dokumentation zusammenstellen und aufbereiten.

Die Compliance-Aktivitäten und die Dokumente, die in jedem Schritt erstellt werden, müssen in periodischen Abständen geprüft und angepasst werden, um den kontinuierlichen Datenschutz zu gewährleisten.

Im Einzelnen enthält diese Dokumentation:

  1. Verzeichnis von Verarbeitungstätigkeiten iSd Art. 30 DSGVO
  2. Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohen Risken oder die Dokumentation, weshalb keine hohen Risken gegeben sind.
  3. Dokumentation zu den Mechanismen der Datenübermittlungen (z.B. Standardvertragsklauseln, Binding Corporate Rules, Zertifizierungen, sofern anwendbar)
  4. Datenschutzerklärungen
  5. Formulare für die Einwilligungserklärungen von betroffenen Personen, und auch Nachweise, dass die betroffenen Personen die Einwilligung gegeben haben, in den Fällen, in denen die Einwilligung die Rechtsgrundlage darstellt.
  6. Prozesse, die implementiert wurden, um sicherzustellen, dass betroffene Personen ihre Rechte ausüben können;
  7. Vereinbarungen mit Lieferanten und Auftragsdatenverarbeitern; und
  8. Interne Prozesse nach einer Datenschutzverletzung (inkl. Data Breach Notification)

Löschung in einem Online-Forum - Medienprivleg des § 9 DSG

 

Löschung von Daten:

DSB weist Beschwerde eines Users in einem Online-Forum wegen der Löschung von User-Kommentaren zurück  

(13.08.2018;  DSB-D123.077/0003-DSB/2018 (rk)

 

mehr lesen

erste Geldstrafe durch die DSB in Österreich

 

Die DSB hat die erste Geldstrafe verhängt.

EUR 4.800,-- für eine nicht korrekt gekennzeichnete Videoüberwachung, die den öffentlichen Raum mitüberwachte.

 

mehr lesen

Achtung im Marketing: BGH verhindert auch Werbung bei der Versendung von Rechnungen

Eine Kundenzufriedenheitsbefragung in einer E-Mail fällt auch dann unter den Begriff der (Direkt-)Werbung, wenn mit der E-Mail die Übersendung einer Rechnung für ein zuvor gekauftes Produkt erfolgt. (BGH VI ZR 225/17 10. Juli 2018)

 

Ohne Zustimmung des Empfänger ist eine derartige Zusendung rechtswidrigEs handelt sich um "unzumutbare Belästigung" und kein transaktionsbezogenes Email.

 

mehr lesen

Datenschutzkonferenz zu Facebook Fanpages und gemeinsamer Verantwortlichkeit

 

 

Der EuGH hat am 05.06.2018 eine Entscheidung zu Facebook Fanpages gefällt, die nun drei Monate danach zu einem Beschluss der deutschen Datenschutzkonferenz geführt hat. 

 

 

"Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig."

 

 

mehr lesen

Auftragsverarbeitung - oder nicht

 

Auftragsverarbeiter und Verantwortlicher

 

Der Versuch einer Anleitung zur Abgrenzung in Vertragsverhältnissen

 

mehr lesen

IT-Sicherheit am Donaustrand - 27.09.2018, Linz, 15:00 Uhr, Sky-Loft im AEC

 

 

Im Rahmen der Veranstaltung "IT-Sicherheit am Donaustrand" des Bayer. IT-Sicherheitscluster e.V. haben Sie die Möglichkeit unterschiedliche Vorträge zu Datenschutz und IT-Sicherheit zu hören. 

 

 

Etwa 4 Monate nach Geltungsbeginn der DSGVO gibt es folgendes Programm:

mehr lesen

EuGH-Verhandlung zu Social Plugins

 

Am 6.9.2018 findet vor dem EuGH eine Verhandlung statt, die für Websitenbetreiber, die Social-Plugins einbinden, bedeutsam ist.

mehr lesen

Wiener Datenschutzgesetz

 

Das Wiener Datenschutz-Anpassungsgesetz (LGBl. 44/2018) - kurz WDSAG - trat am 25.05.2018 in Kraft, und es wurde das bisherige Wiener Datenschutzgesetz (Wr. DSG; LGBl 125/2001) aufgehoben. 

 

 

 

Seit diesem Zeitpunkt gilt das Gesetz über den Schutz personenbezogener Daten (Wiener Datenschutzgesetz – Wr. DSG)  neben der DSGVO und dem DSG und den Materiengesetzen, die datenschutzrechtliche Regelungen enthalten.

mehr lesen

Rechtfertigt eine Verjährungsfrist die Aufbewahrung von Daten?

 Kann eine beabsichtigte Dokumentation, um für den Fall eines Finanzverfahrens Daten zur Verfügung zu haben, eine Aufbewahrung von Daten rechtfertigen?

  

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.471/0001-DSB/2018)

 

Die BAO normiert in § 207 Abs 2 die Verjährungsfrist bei der Abgabenhinterziehung mit 10 Jahre. Aus der Entscheidung ist nicht ersichtlich, wie der Beschwerdegegner, der folgende Daten über einen Zeitraum von 10 Jahren nach Vertragsbeendigung aufbewahrte, argumentiert hat, wobei davon auszugehen ist, dass dies zu Dokumentations- und Nachweiszwecken im Rahmen von etwaigen finanzstrafrechtlichen Verfahren erfolgte, da auf die BAO und deren Verjährungsfrist hingewiesen wurde:

Vertragsname:

Alice A***

Anschrift:

***dorf *4, A-*45* ***Dorf

Anschrift:

***dorf *4, A-*45* O**markt-***wang

Geburtsdatum:

**.**.199*

Geburtsort:

H**stadt

Ausweistyp:

Reisepass

Ausweisnummer:

*2*4*56*0

Behörde:

BH R***

Nat.:

AT

IBAN:

AT8xxxxxxxxxxxxxx4*5

BIC:

R**4*5U

Bank:

RAIFFEISENBANK ***** EGEN

Kontoinhaber:

Peter Z***

Anmerkung:

Der IBAN wird aus Sicherheitsgründen nur verkürzt dargestellt.

Werbung:

Ja

 

Vertragsart:

 

mobil

Kundennummer:

*5*8**33*27

Rufnummer:

+43 6** 5*4*8*3**

SIM Tausch:

**.**.2013

SIM alt:

A*4*76**2*6****

SIM neu:

A74*77*1*6*8**5

Erste Aktivierung:

**,**,2009

Tarif:

*****

Status:

**.**.2015 gekündigt / Port Out

Hilfs-Rufnummer für Port-Out:

+43 6** *78*3**1 – geheim

SIM:

A74*77*1*6*8**5

Erste Aktivierung:

**.**.2015

Tarif:

*****

Status:

**.**.2015 gekündigt

 

Die DSB führt dazu aus:

Gemäß Art. 5 Abs. 1 lit. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer oder organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“) (Hervorhebungen durch die Datenschutzbehörde).

 

Die DSB wies darauf hin, dass § 207 Abs 2 BAO keine Verpflichtung zur Speicherung von Daten vorsehe, sondern nur eine Verjährungsfrist bei Finanzvergehen normiert.

Aus den Entscheidungsgründen:

"Auch der Verfassungsgerichtshof geht in einer Entscheidung davon aus, dass "nur ein konkret sich abzeichnendes Verfahren" eine Speicherung von personenbezogenen Daten rechtfertigen kann.

Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht nicht aus".
(Erkenntnis vom 12.12.2017, GZ E3249/2016)" 

0 Kommentare

Newsletter der DSB ist nun auch online

 

Die DSB versendet mehrmals im Jahr einen Newsletter, für den man sich registrieren kann. Bei einer Registrierung erhält man den Newsletter einige Tage vor dem Zeitpunkt, in dem dieser online gestellt wird … 

mehr lesen

Dürfen Arbeitgeber Strafregisterdaten von beschäftigten Personen verarbeiten?

Darf ein potenzieller Arbeitgeber eine Strafregisterbescheinigung im Rahmen eines Bewerbungsverfahren verlangen oder von MitarbeiterInnen speichern?

 

Eine kurze Übersicht nach den Bestimmungen der DSGVO

mehr lesen

Versicherungsvermittler: Vor-Ort-Kontrollen durch die Datenschutzbehörde?

 

Die IVVA (Interessensverband der Österreichischen Versicherungsagenten) und Fondsprofessionell berichteten übereinstimmend am 20.8.2018 auf der jeweiligen Website über Vor-Ort-Kontrollen der österreichischen Datenschutzbehörde.

 

 

Die IVVA meldete im Newsletter (NL 19/18): Behörde startet Kontrollen, bitte um Details.

 

Es seien Vor-Ort-Kontrollen durchgeführt worden, und die DSB habe sich

hauptsächlich um den Bereich der Versicherungsvermittlung interessiert. Es

wurde ersucht, Informationen an die IVVA zu senden, um diese zu sammeln, und mehr über den Ablauf/Inhalt der Kontrollen zu erfahren. 

 

 

Fondsprofessionell (Online) titelte am 20.8.2018: Datenschutz-Beamte

klopfen zuerst bei Versicherungsvermittlern an.

 

 

Wir haben keine persönlichen Informationen über eine Schwerpunkt-Prüfung der Datenschutzbehörde im Bereich der Finanzdienstleister, insbes. Versicherungsvermittler, -agenten oder -makler.

 

Es gab in den Jahren 2017/2018 eine Schwerpunktprüfung der DSB bei Versicherungen, die unseres Wissens nach bereits abgeschlossen ist.  Eine Empfehlung aus dieser Prüfung ist auch veröffentlicht, bei der es u.a. auch um eine unbefristete Speicherung von Protokolldaten geht, die nach Ansicht der DSB nicht zulässig ist.

 

 

Bitte teilen sie auch uns mit, wenn es Vor-Ort-Kontrollen der DSB oder Anfragen der DSB bei ihnen gibt oder ihnen derartige bekannt sind, insbes. wenn diese ohne Anlassfall (zB Beschwerde) von der Behörde durchgeführt werden.

 

Wir versuchen, weitere Infos zum Thema zu erhalten, und werden weitere berichten.

 

Gerne unterstützen wir bei etwaigen Anfragen oder Vor-Ort-Kontrollen der Datenschutzbehörde mit unserem Fachwissen.

Löschung von Daten

 

 

Was darf bei einer (berechtigten) Löschungsanfrage dokumentiert werden und nach Löschung noch aufbewahrt (gespeichert) werden?

 

 

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.580/0002-DSB/2018)

 

 

Eine natürliche Person wendete sich im November 2017 an die Datenschutzbehörde. Sie brachte vor, dass ein Gläubigerschutzverband deren personenbezogene Daten ohne Rechtsgrundlage und ohne Zustimmung gespeichert habe, und auch den Anträgen auf gänzliche Löschung nicht nachgekommen sei, obwohl diese mehrmals verlangt wurde.

 

Der Beschwerdegegner (ein Gläubigerschutzverband) teilte mit, dass bereit im Jahr 2012 die Löschung aus der Datenbank beantragt worden sei, und diese auch durchgeführt worden sei. Vorname, Zuname, Geburtsdatum und Adresse seien „aus sicher amtsbekannten Gründen“ in einem internen Arbeitsverzeichnis gem. § 8 Abs 3 Z 5 DSG (zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden). Die Speicherung der Daten sei aufgrund der häufigen Kommunikation mit dem Beschwerdeführer und zur Sicherstellung, dass es zu keiner Neuaufnahme in die Datenbank kommt notwendig.

 

Der Beschwerdeführer begehrte im Juli 2017 neuerlich die Löschung seiner Daten aus der Datenbank des Gläubigerschutzverbandes. Die Daten wurden aus der Datenbank gelöscht, aber Vorname, Name, Geburtsdatum und aktuelle Adresse zu Dokumentations- und Kommunikationszwecken weiter gespeichert.

 

Der Beschwerdeführer verlangte darauhin auch die Löschung dieser Daten, da es keine Rechtsgrundlage für diese Speicherung zu Dokumentations- und Kommunikationszwecken gäbe.

Diesem weiteren Antrag auf Löschung entsprach der Gläubigerschutzverband nicht.

 

 

Die betroffene Person hat iSd Art 17 Abs 1 DSGVO die Löschung der Daten (Vorname, Name, Geburtsdatum und Adresse) verlangt.

Im vorliegenden Fall hat der Beschwerdeführer entsprechend Art. 17 Abs. 1 DSGVO verlangt, die ihn betreffenden personenbezogenen Daten unverzüglich zu löschen.

Der Gläubigerschutzverband stützt sich auf Art 17 Abs 3 lit e DSGVO (Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich).

 

 

Aus der Entscheidung der DSB:

 

Der kurze Verweis des Beschwerdegegners auf „sicher amtsbekannte Gründe“ stellt jedoch keinesfalls einen ausreichenden Beweis dar, um die Erforderlichkeit der Verarbeitung gemäß Art. 17 Abs. 3 DSGVO zu belegen.

 

Insbesondere die Speicherung der Daten im Hinblick auf eine eventuell zukünftige Kontaktaufnahme mit dem Beschwerdeführer, wenn dieser die Löschung seiner gesamten Daten verlangt und daraus zu schließen ist, dass eine derartige Kommunikation nicht mehr erfolgen wird, ist gemäß Art. 17 Abs. 1 lit. a DSGVO nicht notwendig.

 

Die zeitlich unbegrenzte Speicherung von personenbezogenen Daten für eine eventuell zukünftige Kontaktaufnahme stellt außerdem eine Verletzung des Grundsatzes der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO dar.

 

Andere, eine fortgesetzte Datenspeicherung rechtfertigende Gründe, wurden vom Beschwerdegegner nicht vorgebracht.

 

Aus Sicht der Datenschutzbehörde liegt im Ergebnis daher keine erforderliche Datenverarbeitung des Beschwerdegegners nach Art. 17 Abs. 3 DSGVO vor und erweist sich der Antrag des Beschwerdeführers auf Löschung seiner personenbezogenen Daten aus den oben erörterten Gründen als berechtigt.

 

 

 

Schlussfolgerungen aus dem Verfahren:

1. Konkretes Vorbringen und konkrete Nachweise:       

Ein Verweis auf “sicher amtsbekannte Gründe” ist kein ausreichender Nachweis/Beweis im Verfahren vor der DSB, dass der Ausnahmetatbestand des Art 17 Abs 3 DSGVO erfüllt ist. Im Verfahren sind ist der Zweck ausreichend konkret zu behaupten und auch zu begründen und sind Nachweise für die Zweckerreichung notwendig; pauschale Aussagen führen dazu, dass der Nachweis/Beweis nicht erbracht wird, da die Behörde diese nicht prüfen kann.       

 

2. Zweck: „zukünftige Kommunikation“:  
Eine Aufbewahrung/Speicherung von personenbezogenen Daten (Vorname, Name, Geburtsdatum und Adresse zur zukünftigen Kommunikation ist nicht „erforderlich“ iSd Art 17 Abs 3 lit e DSGVO, wenn die Löschung begehrt wurde, und daraus ersichtlich ist, dass eine Kommunikation nicht mehr erfolgen wird.       

 

3. Löschfrist: 
Eine zeitliche unbegrenzte Speicherung von Kontaktdaten zur zukünftigen Kommunikation widerspricht dem Grundsatz der zeitlichen Speicherbegrenzung (§ 5 Abs 1 lit e DSGVO)

mehr lesen

Newsletter der DSB

Die Datenschutzbehörde hat ihren aktuellen Newsletter versendet.

 

 

 

 

 

 

Inhalt:

  • INFORMATION zur DSGVO:
    DATENSCHUTZGRUNDVERORDNUNG KAPITEL IX
    („Vorschriften für besondere Verarbeitungssituationen“)
  • aktuelle Entscheidungen der DSB:
  • Keine Datenspeicherung zum Zweck einer eventuell zukünftigen Kontaktaufnahme
  • Gesetzlich zulässiger Speicherzeitraum von Stammdaten und Verkehrsdaten
  • Löschung Verkehrsdaten
mehr lesen

Spielzeug im Fokus der französichen Aufsichtsbehörde

The Chair of the French data protection authority (CNIL) publicly issued a formal notice to the company GENESIS INDUSTRIES LIMITED on 20 November 2017 regarding the security of the connected toys « My Friend Cayla » and « I-QUE ». In view of the given responses, the Chair has decided to close the formal notice procedure.

 

mehr lesen