Datenschutz News

Brasilien: ANPD bittet um Kommentare zur Regulierung des internationalen Datentransfers

Die brasilianische Datenschutzbehörde (“ANPD”) gab am 18. Mai 2022 bekannt, dass sie ab diesem Datum Kommentare und Eingaben für die Ausarbeitung von Vorschriften zum internationalen Datentransfer annimmt. Die ANPD wies insbesondere darauf hin, dass die Regulierung des internationalen Datentransfers die Wettbewerbsfähigkeit auf dem brasilianischen Markt ermöglichen und den wirksamen Schutz der betroffenen Personen und ihrer personenbezogenen Daten gewährleisten wird. Die ANPD fügte hinzu, dass die Verordnungen zu diesem Thema schrittweise entsprechend den Beiträgen veröffentlicht werden, wobei sich die erste Phase auf die vertraglichen Instrumente für internationale Datentransfers konzentriert, nämlich Standardvertragsklauseln (SCC), spezifische Vertragsklauseln und verbindliche Unternehmensregeln (BCR).

Im Einzelnen erklärte die ANPD, dass sie um Kommentare zu bestimmten Fragen bittet, darunter u.a:

– die derzeitigen Hindernisse für Unternehmen bei der Datenübermittlung;

– wie die Konvergenz und Interoperabilität zwischen vertraglichen Instrumenten für internationale Datenübermittlungen und Instrumenten aus anderen Rechtsordnungen am besten gefördert werden kann;

– die wirksamsten und am häufigsten genutzten Instrumente zur Ermöglichung internationaler Datenübermittlungen durch verschiedene Arten von Organisationen;

– die wichtigsten Vorteile und Auswirkungen internationaler Datenübermittlungen und die besten Alternativen, um diese in vertraglichen Instrumenten zu berücksichtigen;

– die Kriterien und/oder Anforderungen, die bei der Regulierung von SCC, spezifischen Vertragsklauseln und BCR berücksichtigt werden sollten, und warum;

– ob SCCs starr und mit vordefiniertem Inhalt sein oder eine gewisse Flexibilität zulassen sollten; und

– welches Format für die ANPD am besten geeignet ist, um Muster für SCCs zur Verfügung zu stellen.

Die Kommentare müssen bis zum 17. Juni 2022 ausschließlich über das Portal Participa Mais Brazil eingereicht werden.

ANPD, 19.05.2022

Spanien: AEPD verhängt Geldstrafe von 10 Mio. Euro gegen Google wegen unrechtmäßiger Übermittlung personenbezogener Daten und mangelnder Erleichterung des Rechts auf Löschung

Die spanische Datenschutzbehörde (AEPD) hat am 18. Mai 2022 ihre Entscheidung in dem Verfahren PS-00140-2020 veröffentlicht, in der sie gegen Google LLC eine Geldbuße in Höhe von 10 Millionen Euro wegen Verstoßes gegen die Artikel 6 und 17 der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) (GDPR) verhängt hat, nachdem die AEPD zwei Beschwerden und eine anschließende Untersuchung durchgeführt hatte.

Hintergrund der Entscheidung

Die AEPD stellte insbesondere fest, dass die Beschwerden die Übermittlung von Anträgen auf Entfernung von Inhalten aus verschiedenen Google-Produkten und -Plattformen, wie der Google-Suchmaschine und YouTube, an einen Dritten, das “Lumen-Projekt”, betrafen. Konkret erklärte die AEPD, dass Google, um die Entfernung von Inhalten zu ermöglichen, von den Nutzern, die die entsprechenden Formulare verwendeten, verlangte, der Übertragung von Kopien der Anträge auf Entfernung von Inhalten an “lumendatabase.org” zuzustimmen, wo sie anschließend veröffentlicht würden.

In Bezug auf das Lumen-Projekt erläuterte die AEPD, dass es als unabhängiges Forschungsprojekt unter anderem dazu dient, die bei Internetverlagen, Suchmaschinen und Diensteanbietern eingereichten Anträge auf Rücknahme oder Entfernung von Online-Inhalten zu untersuchen, die Untersuchung der verschiedenen Arten von Anträgen zu erleichtern und die Öffentlichkeit aufzuklären. Darüber hinaus wies die AEPD darauf hin, dass die einzige Information, die Google den Nutzern über die Übermittlung personenbezogener Daten an das Lumen-Projekt gibt, ein Hinweis in den Google-Formularen selbst ist, die für die Einreichung des Antrags verwendet werden, demzufolge Google keine Informationen in den bei ihm eingehenden Anträgen unterdrückt und stattdessen das Lumen-Projekt die Kontaktdaten der Nutzer anonymisiert.

Feststellungen der AEPD

Im Anschluss an ihre Untersuchung lehnte die AEPD die von Google geltend gemachte Rechtsgrundlage der “berechtigten Interessen” ab, d. h. seinen Beitrag zum Lumen-Projekt zu Zwecken der Transparenz und Rechenschaftspflicht sowie zur Vermeidung von Missbrauch und Betrug, und stellte fest, dass die Nutzer nicht ordnungsgemäß über die Rechtsgrundlage informiert wurden, die die Übermittlung ihrer personenbezogenen Daten an das Lumen-Projekt rechtfertigen würde. In diesem Zusammenhang stellte die AEPD fest, dass der Datenschutzhinweis besagt, dass Google keine Informationen an Unternehmen außerhalb von Google weitergibt, es sei denn, der Betroffene gibt seine Zustimmung, was dem Argument von Google widerspricht. Daher stellte die AEPD einen Verstoß gegen Artikel 6 der Datenschutz-Grundverordnung fest. Schließlich stellte die AEPD fest, dass Google gegen Artikel 17 der Datenschutz-Grundverordnung verstoßen hat, da die verwendeten Google-Formulare das Recht auf Löschung der personenbezogenen Daten der Nutzer nicht erleichterten und keine Möglichkeit boten, einer solchen Übertragung zu widersprechen.

Bei dieser Entscheidung berücksichtigte die AEPD u. a:

– die Art und Schwere des Verstoßes, da die Datenübermittlung an eine dritte Stelle in einem Drittland erfolgte, ohne dass der Betroffene die Möglichkeit hatte, dagegen Einspruch zu erheben;

– die Dauer des Verstoßes;

– die Art, der Umfang oder der Zweck der fraglichen Verarbeitungstätigkeit;

– die große Zahl der betroffenen Parteien;

– die Nachlässigkeit von Google; und

– das Fehlen angemessener Verfahren zur Verarbeitung personenbezogener Daten im Zusammenhang mit Anträgen auf Entfernung von Online-Inhalten.

Ergebnisse

Folglich verhängte die AEPD Geldbußen in Höhe von:

– 5 Millionen Euro für den Verstoß gegen Artikel 6 der Datenschutz-Grundverordnung und

– 5 Millionen Euro für den Verstoß gegen Artikel 17 der Datenschutz-Grundverordnung.

Darüber hinaus wies die AEPD Google an, innerhalb von sechs Monaten nach Bekanntgabe der Entscheidung die erforderlichen Maßnahmen zu ergreifen, um seine Verarbeitungstätigkeiten an die Datenschutzbestimmungen anzupassen und alle personenbezogenen Daten zu löschen, die Gegenstand eines an das Lumen-Projekt gerichteten Antrags auf Löschung waren.

AEPD, 19.05.2022

USA: Gesetzentwurf für Digital Platform Commission Act of 2022 im Senat eingebracht

US-Senator Michael Bennet gab am 12. Mai 2022 bekannt, dass er die Senatsvorlage 4201 für den Digital Platform Commission Act of 2022 eingebracht hat. Der Gesetzentwurf sieht insbesondere die Einrichtung einer Bundeskommission für digitale Plattformen vor, die als sachverständiges Bundesgremium befugt sein wird, eine umfassende und sektorspezifische Regulierung digitaler Plattformen vorzunehmen. Der Gesetzentwurf sieht insbesondere vor, dass dieses Gremium unter anderem mit der Förderung des öffentlichen Interesses beauftragt wird und spezifische Richtlinien zum Schutz der Verbraucher, zur Förderung des Wettbewerbs und zur Gewährleistung der algorithmischen Fairness und Sicherheit auf digitalen Plattformen hat. Um dies zu erreichen, würde der Gesetzentwurf diese Stelle mit der Befugnis ausstatten, Regeln zu erlassen, zivilrechtliche Strafen zu verhängen, Anhörungen abzuhalten, Untersuchungen durchzuführen und Forschung zu unterstützen.

USA, 18.05.2022