In seinem neuesten Newsletter berichtet der EDPS über die Beratungsanfrage einer Bibliothek. Es ging dort unter anderem auch um die Frage, auf welcher Rechtsgrundlage die Daten von Abonnenten an Verlage in Drittländern außerhalb der EU übermittelt werden dürfen. Die Verlage hatten, für den Zugang zu ihren Werken, Verträge mit der Bibliothek abgeschlossen.
Bislang verlangte die Bibliothek für die Datenübermittlung an die Verlage in Drittländern eine Einwilligung der Betroffenen. Der EDPS vertrat jedoch eine andere Auffassung. Nach seiner Ansicht kann sich die Bibliothek, als Verantwortlicher, in diesem Fall auf die Ausnahmeregelung des Art. 50 Abs. 1 lit. c der Verordnung 2018/1725 berufen. Die Begründung des EDPS:
„…weil die Übermittlung von Abonnentendaten an Verlage außerhalb des EWR für den Zugang zu Veröffentlichungen mit Sitz außerhalb der EU/des EWR erforderlich ist.“
Zwar gilt die Verordnung 2018/1725 nur für die öffentliche Stellen der EU. Die entscheidende Vorschrift findet sich aber ebenso auch in der DSGVO, in Art. 49 Abs. 1 lit. c DSGVO: „die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich“.
Die Aufsichtsbehörde geht also davon aus, dass in diesem Fall die Datenübermittlung auf den Vertrag zwischen der Bibliothek und dem Verlag im Drittland gestützt werden darf. Dieser Fall ist eines der sehr seltenen Beispiele, wann eine Aufsichtsbehörde tatsächlich einmal diese Ausnahmevorschrift für anwendbar hält. Die Erwägungen der Behörde lassen sich sicher auch auf den Anwendungsbereich der DSGVO, also insbesondere privatwirtschaftliche Bibliotheken und Verlage übertragen.