Datenschutz News 15.07.2022

 

EU: EDPB veröffentlicht Erklärung zur Übermittlung personenbezogener Daten nach Russland

Der Europäische Datenschutzausschuss („EDPB“) gab am 13. Juli 2022 bekannt, dass er eine Erklärung 02/2022 zur Übermittlung personenbezogener Daten in die Russische Föderation veröffentlicht hat, die am 12. Juli 2022 angenommen wurde. Der EDSB wies insbesondere darauf hin, dass für Russland keine Angemessenheitsfeststellung der Europäischen Kommission gemäß Artikel 45 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) („DSGVO“) vorliegt, weshalb die Übermittlung personenbezogener Daten nach Russland unter Verwendung eines der anderen in Kapitel V der DSGVO vorgesehenen Übermittlungsinstrumente erfolgen muss. Darüber hinaus stellte der EDSB fest, dass Datenexporteure im Rahmen der DSGVO die Rechtsgrundlage für die Übermittlung und das zu verwendende Instrument unter den in Kapitel V der DSGVO vorgesehenen Instrumenten, wie Standardvertragsklauseln (SCC) oder verbindliche unternehmensinterne Vorschriften (BCR), bewerten und festlegen sollten, um die Anwendung angemessener Garantien bei der Übermittlung personenbezogener Daten nach Russland zu gewährleisten.

Darüber hinaus betonte der EDSB, dass nach dem Urteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) („Schrems II“) und gemäß den Empfehlungen 01/2020 des EDSB zu Maßnahmen, die Übermittlungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten, Datenexporteure prüfen sollten, ob im Zusammenhang mit der fraglichen Übermittlung, die in Russland geltenden Gesetze und/oder Praktiken, insbesondere in Bezug auf den Zugang zu personenbezogenen Daten durch russische Behörden, vor allem zu Zwecken der Strafverfolgung und der nationalen Sicherheit, die Wirksamkeit der angemessenen Garantien, die durch die genannten Übermittlungsinstrumente geboten werden, beeinträchtigen könnten. Darüber hinaus erklärte der EDSB, dass die Datenexporteure in diesem Fall zusätzliche Maßnahmen ermitteln und ergreifen sollten, die erforderlich sind, um sicherzustellen, dass den betroffenen Personen ein Schutzniveau geboten wird, das im Wesentlichen dem in der EU/im EWR garantierten Schutzniveau entspricht. Der EDSB erinnerte jedoch daran, dass die Datenexporteure die Datenübermittlung aussetzen müssen, wenn eine solche Bewertung zu dem Ergebnis führt, dass die Einhaltung nicht oder nicht mehr gewährleistet ist und keine zusätzlichen Maßnahmen ermittelt werden können.

EDPB, 14. Juli 2022

 

Griechenland: HDPA verhängt Geldstrafe von 20 Millionen Euro gegen Clearview AI wegen Verstößen gegen Rechtmäßigkeit und Transparenz

Die griechische Datenschutzbehörde („HDPA“) hat am 14. Juli 2022 ihren Beschluss Nr. 35/2022 vom 13. Juli 2022 veröffentlicht, in dem sie gegen Clearview AI, Inc. eine Geldbuße in Höhe von 20 Millionen Euro wegen Verstößen gegen Artikel 5 Absatz 1 Buchstabe a, Artikel 6, Artikel 9, Artikel 12, Artikel 14, Artikel 15 und Artikel 27 der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) („DSGVO“) verhängt hat, nachdem Homo Digitalis im Namen der betroffenen Person eine Beschwerde eingereicht hatte.

Hintergrund der Entscheidung

Die HDPA erklärte insbesondere, dass der Beschwerdeführer, der seine Beschwerde gleichzeitig mit vier anderen Beschwerden bei den Aufsichtsbehörden Österreichs, Frankreichs, Italiens und des Vereinigten Königreichs eingereicht hatte, behauptete, dass Clearview AI sein Auskunftsrecht nach Artikel 15 der DSGVO verletzt habe. Darüber hinaus erinnerte die HDPA Clearview AI an die Bestimmungen von Artikel 3 Absatz 2 und Artikel 27 der Datenschutz-Grundverordnung in Bezug auf den territorialen Anwendungsbereich der Verordnung und die Verpflichtung des für die Verarbeitung Verantwortlichen, einen Vertreter zu benennen, wenn dieser nicht in der EU ansässig ist. Clearview AI widersprach dem und wies unter anderem darauf hin, dass es weder Produkte oder Dienstleistungen für betroffene Personen in der EU bereitstellt noch deren Verhalten überwacht und dass es seine Dienstleistungen nur für Strafverfolgungsbehörden außerhalb der EU erbringt.

Feststellungen der HDPA

Nach ihrer Bewertung stellte die HDPA fest, dass Clearview AI gegen Folgendes verstoßen hat

– seine Verpflichtung gemäß Artikel 27 der Datenschutz-Grundverordnung (DSGVO), weil es keinen Vertreter in der EU benannt hat, nachdem es festgestellt hat, dass Clearview AI in den Anwendungsbereich der DSGVO fällt, gemäß Artikel 3 Absatz 2 Buchstabe b der DSGVO;

– den Grundsatz der Rechtmäßigkeit gemäß Artikel 5 Absatz 1 Buchstabe a, Artikel 6 und Artikel 9, da die durchgeführte Verarbeitung auf keiner der in Artikel 6 der DSGVO vorgesehenen Rechtsgrundlagen beruht und keine Ausnahmen gemäß Artikel 9 der DSGVO in Bezug auf besondere Kategorien von Daten gelten;

– den Grundsatz der Transparenz gemäß Artikel 5 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung, wie er in der entsprechenden Informationspflicht gemäß Artikel 14 der Datenschutz-Grundverordnung gefordert wird, da Clearview AI die betroffenen Personen nicht angemessen über die Erhebung und Verwendung ihrer personenbezogenen Daten informiert hat; und

– das Recht des Beschwerdeführers auf Auskunft gemäß Artikel 12 und 15 der DSGVO.

Um zu dieser Entscheidung zu gelangen, berücksichtigte die HDPA erschwerende Faktoren, darunter den systematischen Charakter des Verstoßes gegen den Grundsatz der Rechtmäßigkeit, die Tatsache, dass die Verarbeitung besondere Datenkategorien, d. h. biometrische Daten, betraf, und die mangelnde Zusammenarbeit von Clearview AI mit der HDPA.

Ergebnisse

Infolgedessen hat die HDPA:

– Clearview AI mit einer Geldstrafe von 20 Millionen Euro belegt;

– Clearview AI wurde angewiesen, seiner Verpflichtung zur Ausübung des Auskunftsrechts des Beschwerdeführers nachzukommen;

– das Verbot der Erhebung und Verarbeitung personenbezogener Daten von in Griechenland ansässigen Personen auferlegt; und

– die Löschung der personenbezogenen Daten der in Griechenland ansässigen betroffenen Personen angeordnet.

HDPA, 14. Juli 2022