1. Aktuelle Seite:  
  2. Prinz-Blog
  3. Newsletter-Einwilligung: Vorsicht bei Diensten mit Drittlandübermittlung!

Newsletter-Einwilligung: Vorsicht bei Diensten mit Drittlandübermittlung!

Für den Erhalt eines Newsletters muss man nicht nur seine E-Mail-Adresse angeben, sondern auch eine aktive und informierte Einwilligung zur Datenverarbeitung abgeben. Steckt hinter einem solchen Newsletter nun ein Dienst, der zum Beispiel Unterauftragsverarbeiter in den USA hat, so ist nach der aktuellen Einschätzung des Europäischen Datenschutzbeauftragten nicht mehr nur eine Einwilligung notwendig, sondern zwei.

Der EDSB (Europäischer Datenschutzbeauftragter; die für die EU-Behörden zuständige Datenschutzaufsicht) hat seinen Jahresbericht für 2021 veröffentlicht. Darin beschrieben ist ein Fall, der aus dem Kontext von EU-Behörden sehr gut auf die breitere Öffentlichkeit übertragbar ist:

Ein Newsletter-Dienstleister aus der EU mit Unterauftragsverarbeitern in den USA.

Vor dem Hintergrund des Schrems-II-Urteils ist eine Datenübertragung in die USA aufgrund der Zugriffsbefugnisse der US-Geheimdienste nicht mehr datenschutzkonform möglich und benötigt besondere Sicherheitsmaßnahmen. Die Feststellungen des EDSB sind daher im Hinblick auf die Vorgaben aus Art. 49 Abs. 1 lit. a DSGVO zu interpretieren.

Vor der im erwähnten Fall vorhandenen Einwilligungsabfrage für die Datenverarbeitung im Rahmen des Newsletter-Erhalts, wurde zwar über die mit der Datenübermittlung verbundenen Risiken informiert, beinhalten müssen diese Informationen im Falle der Übertragung in ein Drittland aber auch Angaben über diese Datenübermittlung und auch über die Risiken der Datenübermittlung an die im Drittland ansässigen Unterauftragsverarbeiter.

Ebenfalls muss laut EDSB auch sichergestellt werden, dass die Nutzer einer Datenübermittlung in die USA ausdrücklich zustimmen (Übertrag von den Vorgaben für die durch den EDSB beaufsichtigten EU-Behörden auf die allgemeine Vorgabe aus Art. 49 Abs. 1 lit. a DSGVO - Ausnahmen für Drittlandübermittlung für bestimmte Fälle).

Es werden in diesem Fall also zwei Einwilligungen erforderlich, eine für die Verarbeitung der personenbezogenen Daten im Newsletter und eine für den Datentransfer in das Drittland.

Nun gilt es im Rahmen eines Newsletter-Angebots zu untersuchen, ob der verwendete Dienstleister und gegebenenfalls auch dessen Unterauftragsverarbeiter in Drittländern ansässig sind. In einem weiteren Schritt kann dann entschieden werden, ob zum Einen die angegebenen Informationen zur Datenübermittlung genügen und ob zum Anderen eine extra Einwilligung für eine Datenübertragung in die USA als sichere Variante mit eingefügt werden soll.

Eure Alena vom Datenschutz-Prinz Team

Quellen:

https://edps.europa.eu/system/files/2022-04/2022-04-20-edps_annual_report_2021_en.pdf 

Keine Rechtsgrundlage für Facebook-Fanpages
Datenschutzinformation zur einrichtungsbezogenen I...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.