Der European Data Protection Supervisor (EDPS) verweist in seinem Jahresbericht 2021 auf eine Möglichkeit, personenbezogene Daten auf Basis der Zustimmung in Drittländer zu übermitteln.
Ein Lichtblick für "Newsletterversand"?
Hier ein übersetzter Auszug aus dem Jahresbericht 2021 (Hervorhebungen durch den Verfasser):
"A. Zustimmung der Abonnenten zur Übermittlung personenbezogener Daten
Wir wurden im November 2020 von einem EUI zur Übermittlung von personenbezogenen Daten Daten in ein Nicht-EU/EWR-Land, die aus der Nutzung eines Newsletter-Dienstes Dienstes dieser EUI. Interessierte Personen konnten sich für den Newsletter anmelden über die Website dieses EUI "auf der Grundlage einer Einwilligung" und "nach Bereitstellung von sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken)". Der Dienstleister war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA.
In unserer Stellungnahme vom Juli 2021 wiesen wir darauf hin, dass das EUI die Rechtmäßigkeit der Verarbeitung gemäß Artikel 5 Absatz 1 der Verordnung (EU) 2018/1725 sicherstellen muss. Genauer gesagt, für Standard Outreach-Aktivitäten, wie die Veröffentlichung von Newslettern, musste das EUI sicherstellen, dass die Personen ihre gültige Einwilligung geben. Eine solche Einwilligung muss aus freien Stücken durch eine klare bestätigende Handlung gegeben werden und sie muss spezifisch, in Kenntnis der Sachlage und unzweideutig sein, wie in Artikel 3 Absatz 15 der Verordnung (EU) 2018/1725.
Daher ist es wichtig, dass die EUI in erster Linie zusammen mit dem Datenverarbeiter in erster Linie die Verfügbarkeit von Lösungen für den Newsletter-Versand die keine Übermittlung personenbezogener Daten in die USA beinhalten. Das EUI muss nur einen Auftragsverarbeiter einsetzen, der den Einsatz geeigneter technischer und organisatorischen Maßnahmen gewährleistet, um der Verordnung (EU) 2018/1725.
Wenn die Datenverarbeitung die Übermittlung personenbezogener Daten beinhaltet, haben wir betont, dass das EUI die zusätzlichen Anforderungen gemäß Kapitel V der Verordnung (EU) 2018/1725 erfüllen muss (inkl.Kapitel V der Verordnung (EU) 2018/1725 (einschließlich Artikel 50 Absatz 1 Buchstabe a) wo relevant).
Aus praktischer Sicht bedeutet dies, dass vor der Übermittlung - bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen - das EUI sicherstellen muss, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten, einschließlich der damit verbundenen Risiken, an einen in den USA ansässigen Unterauftragsverarbeiter im Hinblick auf das Abonnement des Newsletters.
Darüber hinaus muss die EUI sicherstellen, dass die Teilnehmer ausdrücklich ihre Zustimmung zur der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter zustimmen, um Newsletter des EUI zu abonnieren, zusätzlich zu ihrer Einwilligung in die Verarbeitungsverfahren im Allgemeinen."
Schlussfolgerungen für Verantwortliche, die in den Anwendungsbereich der DSGVO fallen:
-
Art 50 VO 2018/1975 entspricht Art 49 DSGVO, und darin ist in
Abs. (1) lit a die Möglichkeit des Datentransfers in ein unsicheres Drittland auf Basis einer "Zustimmung mit Risikohinweis" erwähnt.
- Der European Data Protection Superweiser scheint davon auszugehen, dass Übermittlungen von personenbezogenen Daten in ein unsicheres Drittland auf Basis dieser Rechtsgrundlage möglich sind.
Kommentar schreiben
Stefan Meyer (Freitag, 22 April 2022 17:19)
Ich hatte verstanden, dass sich die deutschen Aufsichtsbehörden an der "Regelmäßigkeit" von Consent-Bannern zur Einwilligung in US-Datentransfers stoßen. Zitat aus DSK Orientierungshilfe "Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO"
Wie ist das jetzt einzuordnen? Ist eine Newsletteranmeldung eine "Ausnahme" und gilt ein Banner als "regelmäßig"?