Kategorie: EU-Datenschutzgrundverordnung

Niederländische Aufsichtsbehörde verhängt Bußgeld in Höhe von 525.000 €

22. März 2022

Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens (“AP”) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.

Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.

Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: “Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.”

Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.

Auch der Geschäftsführer ist neben der GmbH Verantwortlicher i.S.d. DSGVO

Neben der GmbH kommt auch der Geschäftsführer als Datenschutzverantwortlicher gem. Art. 4 Nr. 7 DSGVO in Betracht. Zu diesem Schluss kam das Oberlandesgericht Dresden (“OLG”) in seinem Urteil vom 30.11.2021 (Az. 4 U 1158/21).

Der Kläger strebte eine Mitgliedschaft in der Gesellschaft an. Vor diesem Hintergrund veranlasste der Geschäftsführer eine Überprüfung des Betroffenen hinsichtlich etwaiger Verbindungen zu relevanten Straftaten, ohne jedoch eine datenschutzrechtliche Einwilligung des Betroffenen einzuholen. Der dafür engagierte Detektiv hatte daraufhin in seiner Recherche eine Beteiligung des Anfragenden an relevanten Straftaten aufgedeckt. In diesem Zuge wurde ihm die Mitgliedschaft verweigert. Der Betroffene verklagte infolgedessen die GmbH und den Geschäftsführer auf immateriellen Schadensersatz aufgrund von Datenverstößen, insbesondere, weil sich die Recherche des Ermittlers auf keine gesetzliche Rechtsgrundlage stützte.

Das OLG Dresden stellte zugunsten des Klägers fest, dass jeweils ein selbständiger datenschutzrechtlicher Verstoß sowohl durch die GmbH als auch durch den Geschäftsführer festzustellen sei, da es bei der Datenverarbeitung an einer Rechtsgrundlage fehle. Außerdem handele es sich bei der Verarbeitung von strafrechtlich relevanten Daten ohne Rechtsgrundlage nicht lediglich um einen Bagatellverstoß. Aus diesen Gründen billigte das OLG dem Kläger einen Anspruch aus Art. 82 Abs. 1 DSGVO zu. Dieser richte sich sowohl gegen die GmbH als auch gegen den Geschäftsführer, da Anspruchsgegner der datenschutzrechtliche Verantwortliche und damit derjenige ist, der alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann. Dabei entfalle insbesondere der weisungsgebundene Angestellte oder sonstige Beschäftigte als Anspruchsgegner.

Ob andere Gerichte diese Entscheidung aufgreifen, ist noch unklar. Insbesondere fehlt es dem Urteil an dezidierten Voraussetzungen, an welche die Haftung des Geschäftsführers geknüpft ist und lässt außer Acht, dass auch der Geschäftsführer gegenüber der Gesellschafterversammlung weisungsgebunden sein kann.

Irische Datenschutzbehörde verhängt Bußgeld gegen Meta in Höhe von 17 Mio. EUR

16. März 2022

Die irische Datenschutzkommission (DPC) hat am 15.03.2022 eine Pressemitteilung veröffentlicht, in der sie mitteilte, dem Konzern Meta Platforms (ehem. Facebook) ein Bußgeld von 17 Mio. EUR auferlegt zu haben. Grund dafür seien insgesamt zwölf Datenschutzverstöße zwischen Juni und Dezember 2018. In diesen Fällen habe es keine angemessenen technischen und organisatorischen Maßnahmen gegeben, um Daten von EU-Nutzern zu schützen. Konkret habe Meta Platforms gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO verstoßen.

Da die Datenverarbeitung von Meta Platforms eine (EU-) grenzüberschreitende ist, waren die anderen europäischen Datenschutzbehörden ebenfalls in diese Entscheidung involviert. Meta Platforms hat seinen Hauptsitz in Dublin (Irland), deshalb ist die irische Datenschutzbehörde gem. Art. 56 DSGVO ‘federführend’. Dies bedeutet, dass sie hauptzuständiger, zentraler Ansprechpartner in dieser Angelegenheit ist und das Verfahren leitet.

Meta Platforms bzw. Facebook stand in der Vergangenheit für seinen Umgang mit Daten wiederholt in der Kritik. Erst kürzlich hatte Facebook verkündet, die automatische Gesichtserkennung auf ihrer Plattform abzuschaffen. Die irische Datenschutzbehörde hatte zudem gegen die Facebook-Tochter WhatsApp erst im September 2021 ein Rekord-Bußgeld in Höhe von 225 Mio. EUR erlassen. Grund dafür war u.a. die Weitergabe von Nutzerdaten an andere Facebook-Unternehmen.

LG München: Einsatz von Google Fonts ohne Einwilligung rechtswidrig

4. März 2022

Das Landgericht München hat in einem Urteil vom 20.01.2022 entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Nunmehr ist stets eine Einwilligung des Nutzers erforderlich. Webseitenbetreiber können bei Verstoß auf Unterlassung und Schadensersatz verklagt werden.

Hintergrund

Google Fonts setzt zwar keine Cookies. Wenn aber eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Diesen Prozess beschreibt Google auch in den Google AGB zur Google Fonts API. Bei den so erhobenen dynamischen IP-Adressen handele es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil.

Vor dem Urteil des Landgerichts München konnte man – unter Inkaufnahme eines gewissen unternehmerischen Risikos – den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da kein berechtigtes Interesse des Webseitenbetreibers bestehe, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstattdessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.

Der Beklagte hatte außerdem zudem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab und bestätigte insoweit ein Urteil des Landgerichts Dresden aus dem Jahr 2019. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.

Konsequenz für Webseitenbetreiber

Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach dem Urteil des Landgerichts München nun die Einwilligung des Webseitenbesuchers.

Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Ein Eintrag in den Datenschutzbestimmungen kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner ausgespielt werden, vergleichbar dem Cookie Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.

Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.

Rechtsgrundlage für Datenschutz-Bußgelder

16. Februar 2022

Die Frage, ob Führungskräfte in Unternehmen schuldhaft handeln müssen oder ob ein objektiver Pflichtverstoß für die Verhängung eines Bußgeldes nach der DSGVO gegen das Unternehmen ausreicht, ist im Datenschutzrecht sehr umstritten. Das Kammergericht Berlin (Az. 3 Ws 250/21) hat dem EuGH hierzu Fragen zur Vorabentscheidung vorgelegt.

Rechtsträger- oder Funktionsträgerprinzip?

Stein des Anstoßes ist die Frage, ob §30 Ordnungswidrigkeitengesetz (OWiG) und damit das deutsche Haftungskonzept für Unternehmen (Rechtsträgerprinzip) anwendbar ist. Dem Unternehmen kann ein Bußgeld nur dann auferlegt werden, wenn eine Führungskraft eine (vorsätzliche oder fahrlässige) Tat begangen hat, die dem Unternehmen zurechenbar ist. Das LG Berlin vertritt diese Auffassung und hat ein Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt. Für die Verhängung eines Bußgeldes müsse ein der juristischen Person zurechenbarer Pflichtverstoß vorliegen, der durch die Datenschutz-Aufsichtsbehörde nachgewiesen werden muss. Eben dieser Nachweis sei nicht gelungen, der Bußgeld-Bescheid enthalte keine entsprechenden Angaben.

Das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hält §30 OWiG für nicht anwendbar (Funktionsträgerprinzip). Das hätte zur Folge, dass das sog. supranationale Kartellsanktionsrecht greift. Dann reicht ein objektiver (Datenschutz-)Verstoß eines Unternehmens aus, um es mit einem Bußgeld zu belegen. Eine Anweisung zu oder auch nur Kenntnis der Leitungsorgane des Unternehmens von Datenschutzverstößen sind dann nicht erforderlich. Das datenschutzrechtliche Bußgeld finde seine Rechtsgrundlage vielmehr unmittelbar in Art. 83 DSGVO, so das LG Bonn. Dafür sprechen der Anwendungsvorrang der DSGVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten europarechtlicher Vorschriften einschränken würden. Dann wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DSGVO zuwiderliefe.

Der EuGH hat die Chance zur Klarstellung

Somit bestehen Zweifel über die Auslegung des Art. 83 DSGVO und die Zuständigkeit des EuGH ist im Vorabentscheidungsverfahren (Art. 267 AUEV) eröffnet. Das KG erwartet vom EuGH eine Klarstellung, ob die (strengeren) Vorgaben des deutschen Ordnungswidrigkeitenrechts gelten oder ob ein objektiver Pflichtverstoß eines Unternehmens ausreicht, um ein Bußgeld zu verhängen. Das KG selbst scheint übrigens von einer direkten Unternehmenshaftung ohne Anwendung des §30 OWiG auszugehen.

Französische Datenschutzbehörde CNIL hält Google Analytics für unvereinbar mit der DSGVO

14. Februar 2022

Die französische Datenschutzbehörde CNIL hat am 10.02.22 eine Stellungnahme veröffentlicht, dass Webseiten mit europäischen Besuchern auf den Einsatz von Google Analytics verzichten sollen. Dies sei nämlich nicht mit der DSGVO vereinbar. Zwar habe Google Schutzmaßnahmen getroffen, diese reichen aber nicht aus, um den Zugriff von US-Geheimdiensten auf Daten ganz auszuschließen. Die Daten von europäischen Webseiten-Besuchern seien dementsprechend nicht ausreichend geschützt. Im konkreten Fall hat der französische Webseiten-Betreiber einen Monat Zeit bekommen, um seine Webseite in Einklang mit der DSGVO zu bringen.

Der Einsatz von Google Analytics, ein weitvebreitetes Analysetool auf Webseiten, ist nach dem Schrems-II-Urteil schon länger umstritten. Die Entscheidung der CNIL kommt nur zwei Wochen nachdem die österreichische Datenschutzbehörde entschieden hatte, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt.

Auch die CNIL hatte zuvor Beschwerden von NOYB, der von Max Schrems gegeründeteten Organisation, zu dem Einsatz von Google Analytics erhalten. NOYB äußerte sich zu der Entscheidung der CNIL damit, dass sie weitere, ähnliche Entscheidungen von anderen Datenschutzbehörden erwarten. NOYB hatte bei Datenschutzbehörden in fast allen EU-Staaten Beschwerde eingelegt.

Google betont währenddessen ausdrücklich die Notwendigkeit eines Privacy-Shield-Nachfolgers. Nur so könnten die genutzten Google-Services weiterhin rechtskonform genutzt werden.

Französisches Gericht bestätigt Millionen-Strafe gegen Google

31. Januar 2022

Das oberste französische Verwaltungsgericht hat eine Strafe in Höhe von 100 Millionen Euro gegen Google bestätigt, indem es eine Beschwerde von Google gegen den Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL abgewiesen hat.

Im Dezember 2020 hat die CNIL einen Bußgeld-Bescheid in entsprechender Höhe wegen zweifelhafter Cookie-Einstellungen und dem Cookie-Einsatz ohne die notwendige Einwilligung der Nutzer gegen Google erlassen. Google setzte sieben Cookies automatisch, sobald ein Nutzer auf die Website gelangte. Vier davon dienten Tracking und Werbung. Der Conseil d’Etat hat diese Verstöße nun bestätigt.

Er hat sich auch zu weiteren Themen geäußert, auf die Google seine Beschwerde gestützt hat. So seien die verhängten Geldbußen in Anbetracht der hohen Gewinne, die Google mit personalisierter Online-Werbung erziele, und der Marktmacht in Frankreich von über 90 % Marktanteil nicht unverhältnismäßig.

Die CNIL hat sich nicht auf die DSGVO gestützt, sondern das Bußgeld auf Grundlage des Art. 82 des französischen Gesetzes über Informatik und Freiheit gestützt, mit dem der nationale Gesetzgeber die e-Privacy-Richtlinie aus 2002 umgesetzt hat. Der Conseil d’Etat hat bestätigt, dass für Cookie-Einstellungen die nationalen Vorgaben und nicht die DSGVO primär anwendbar sei. Daher sah sich das Gericht nicht verpflichtet, eine Vorabentscheidung des EuGH einzuholen.

Klarnas neue “Super-App” in der Kritik

6. Januar 2022

Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner “Super-App” ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.

Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.

Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in “präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache” zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine “grandiose Nebelmaschine”.

Clearview darf Gesichtsbilder von französischen Staatsbürgern nicht mehr verarbeiten

23. Dezember 2021

Neue Entwicklung in Sachen des kontroversen Dienstes Clearview: Wie berichtet, hatte die Gesichtserkennungsfirma Clearview bereits erhebliche Kritik für ihre Unvereinbarkeit mit datenschutzrechtlichen Grundsätzen insbesondere der DSGVO geerntet. Bereits im letzten Jahr wurde beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper eine Beschwerde gegen Clearview eingereicht; das Erstellen von biometrischen Profilen von EU-Bürgern wure vorläufig als rechtswidrig eingestuft und Clearview AI angewiesen, das Profil des Beschwerdeführers zu löschen. Auch in Kanada, Australien und dem Vereinigten Königreich (das die europäische DSGVO vorerst im nationalen Recht beibehält) wurde gegen Clearview vorgegangen.

Nun wird mit der französischen Datenschutzbehörde CNIL die erste europäische Behörde tätig und verlangt von dem Unternehmen, “die Sammlung und Nutzung von Daten von Personen einzustellen, die sich auf französischem Hoheitsgebiet befinden”.

Das umstrittene US-amerikanische Unternehmen Clearview trägt Fotos aus aus einer Vielzahl von sozialen Netzwerken, Webseiten und Videos zusammen, um auf diese Weise eine Datenbank mit Gesichtern mit weltweit über zehn Milliarden Bilder aufzubauen. Die Datenbank ist vor allem für Strafverfolger interessant, da in der App eine Person mithilfe eines Fotos gesucht werden kann. Währenddessen ahnt keiner der Betroffenen davon, dass das Bild vom letzten Urlaub potenziell “für polizeiliche Zwecke genutzt werden kann”.

In der Mitteilung über die Feststellung des Verstoßes fordert die CNIL Clearview auf, die unrechtmäßige Verarbeitung einzustellen und die Nutzerdaten innerhalb von zwei Monaten zu löschen. Die französische CNIL stellte fest, dass Clearview zwei Verstöße gegen die Datenschutz-Grundverordnung begangen hat: Die französische Datenschutzbehörde sieht für die kontroverse Praxis des Fotoabgleichs keine Rechtsgrundlage, insbesondere werde keine Einwilligung der Betroffenen eingeholt. Darin liege ein Verstoß gegen Artikel 6 (Rechtmäßigkeit der Verarbeitung). Zudem verstoße Clearview gegen eine Reihe von Datenzugangsrechten gemäß Artikel 12, 15 und 17.

Das US-Unternehmen hat keinen Sitz in der EU, was bedeutet, dass seine Geschäfte in der gesamten EU von allen Datenschutzbehörden der EU überwacht werden können. Die Anordnung der CNIL gilt zunächst nur für Daten, die das Unternehmen über Personen aus dem französischen Hoheitsgebiet besitzt. Weitere derartige Anordnungen anderer EU-Behörden werden jedoch folgen und sind nur eine Frage der Zeit.

Es ist allerdings auch möglich, selbst tätig zu werden: Clearview hat hierzu auf seiner Website zwei Formulare für EU-Bürger eingerichtet. Mit der “Data Access Form” kann man feststellen, ob Clearview Daten über die eigene Person gespeichert hat. Mit dem “Data Processing Objection Form” kann man das Unternehmen daran hindern, Fotos der eigenen Person zu verarbeiten.

Leitlinien der EDSA: das Zusammenspiel zwischen der Anwendung von Art. 3 DSGVO und den Bestimmungen über die internationale Datenübermittlungen

9. Dezember 2021

Am 19.11.‌2021 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zum Zusammenspiel zwischen der Anwendung von Art. 3 DSGVO und den Bestimmungen über internationale Datenübermittlungen im Kapitel V (Art. 44 – 50 DSGVO) veröffentlicht. Die Leitlinien sollen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in der EU in Zukunft dabei helfen, festzustellen, ob eine Verarbeitung einen internationalen Datentransfer darstellt und somit besondere Pflichten auslöst. Vor allem seit dem Urteil des EuGH vom 16.7.‌2020 zum EU-US-Privacy-Shield in der Rechtssache Schrems II ist das Schaffen von Rechtsklarheit in diesem Bereich besonders bedeutsam.

Allgemeine Grundsätze der Datenübermittlung gemäß Art. 44 ff. DSGVO

Nach Art. 44 DSGVO ist eine Übermittlung personenbezogener Daten für deren Verarbeitung nur zulässig, wenn Verantwortliche und Auftragsverarbeiter die Bedingungen aus Art. 44 bis 50 DSGVO einhalten. Datentransfers in Länder, für die kein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, können dazu führen, dass Verantwortliche oder Auftragsverarbeiter zusätzliche Schutzmaßnahmen ergreifen müssen. Fraglich ist, wann von einer Übermittlung personenbezogener Daten auszugehen ist, denn hierzu enthält die DSGVO keine Konkretisierungen. Vor diesem Hintergrund widmen sich die Leitlinien dem Zusammenspiel von Art. 3 DSGVO und Kapitel V der DSGVO.
Die Leitlinien stellen für die Ermittlung, ob ein solcher Transfer personenbezogener Daten an ein Drittland oder eine internationale Organisation vorliegt, drei Kriterien auf:

1. Der Datenexporteur unterliegt den Vorschriften der DSGVO. Dies ergibt sich aus Art. 3 DSGVO. Der EDSA verweist hierbei konkretisierend auf die Leitlinien 3/2018 zum territorialen Anwendungsbereich der DSGVO hin.

2. Der Datenexporteur übermittelt die personenbezogenen Daten an den Datenimporteur oder stellt sie ihm zur Verfügung. Relevant ist dabei, dass der EDSA bei diesem Kriterium betont, dass, wenn die Erhebung von Daten direkt bei betroffenen Personen in der EU auf deren eigene Initiative hin erfolgt, nicht von einem Datentransfer im Sinne der Art. 44 bis 50 DSGVO auszugehen ist. Denn hierbei gebe es keinen veranlassenden „Exporteur“.

3. Der Datenimporteur befindet sich (geografisch) in einem Drittland oder ist eine internationale Organisation.

Der EDSA macht deutlich, dass der Exporteur nicht in der EU oder dem EWR ansässig sein muss. Wichtig ist lediglich, dass der Empfänger der Daten (der Importeur) zwingend in einem Drittland ansässig sein muss. Für eine Anwendung der Vorschriften in Kapitel V der Datenschutz Grundverordnung ist es gerade keine Voraussetzung, dass der Exporteur unbedingt in der EU ansässig sein muss.

Liegen die Kriterien sodann gemeinsam vor, haben sich Verantwortliche und Auftragsverarbeiter an die besonderen Pflichten für Datentransfers in Art. 44 bis 50 DSGVO zu halten. Ferner nennt der EDSA bespielhaft weitere Sicherungsinstrumente wie den Rückgriff auf Standardvertragsklauseln und Zertifizierungsmechanismen. Die Leitlinien sollen insbesondere mehr Normenklarheit für Anwender und mehr Kohärenz innerhalb der Auslegung durch die verschiedenen nationalen Datenschutzbehörden in der EU schaffen. Die öffentliche Konsultation läuft bis Ende Januar 2022.

1 6 7 8 9 10 35