Diese Woche hat der EDSB seinen jüngsten Jahresbericht (PDF) veröffentlicht.
In dem Bericht (S. 75) informiert der EDSB über ein Beratungsersuchen einer europäischen Institution (EUI). Die EUI nutzte einen Newsletter-Dienst, bei dem interessierte Personen den Newsletter über die Website der EUI abonnieren konnten, „auf der Grundlage ihrer Zustimmung“ und „nachdem sie sehr klare Informationen (auch über die mit den Übermittlungen verbundenen Risiken) erhalten hatten“.
Der Dienstleister der EUI war in der EU ansässig, hatte aber Unterauftragsverarbeiter in den USA. Eine in der Praxis sehr oft anzutreffende Konstellation.
Nach Ansicht des EDSB ist die Inanspruchnahme eines solchen Dienstes nicht per se rechtswidrig. Auch die Datenübermittlung in die USA ist für sich kein Ausschlusskriterium. Jedoch nennt der EDSB einige Anforderungen, die es seiner Ansicht nach zu erfüllen gilt. Im konkreten Fall befasst sich die Aufsichtsbehörde mit der Ausnahmevorschrift des Art. 50 Abs. 1 lit. a der Verordnung (EU) 2018/1725. Diese gilt zwar nur für öffentliche Stellen der EU. Jedoch sind die Regelungen zum Teil deckungsgleich mit jenen der DSGVO. Daher sind die Hinweise des EDSB auch für eine Anwendung von Art. 49 Abs. 1 lit. a DSGVO relevant.
Der EDSB legt einige spezifische Anforderungen fest:
- Vor der Übermittlung – bevor die Abonnenten des Newsletters ihre personenbezogenen Daten bereitstellen, muss die EUI sicherstellen, dass die Abonnenten spezifische Informationen über die Übermittlung ihrer personenbezogenen Daten in das Drittland erhalten
- Die Informationen müssen die Risiken der Übermittlung an einen in den USA ansässigen Unterauftragsverarbeiter enthalten
- Die EUI muss sicherstellen, dass die Betroffenen der Übermittlung ihrer Daten an den in den USA ansässigen Unterauftragsverarbeiter ausdrücklich zustimmen (zusätzlich zu ihrer Zustimmung zu der Verarbeitung der Daten für den Versand des Newsletters im Allgemeinen)
Der EDSB verlangt also zwei, wohl separate Einwilligungen der Betroffenen. Eine für den Newsletter als solchen (Verarbeitung von Daten zu Marketing-/Informationszwecken) und eine zweite für die Übermittlung der Daten in die USA.