Ein V. Ali Yurtsever LLM
Datenschutzausschuss vor kurzem eine neue herausgegeben Entscheidung und bestraft Amazonas Türkei 1.100.000 TRL für Verstöße gegen Datenschutz- und E-Commerce-Gesetzgebung sowie für Rechtswidrigkeit grenzüberschreitende Datenübertragungen insbesondere für Datenübermittlungen an seine ausländischen Tochtergesellschaften. In Zukunft wird die Entscheidung schwerwiegende Auswirkungen auf die Datenübertragung in der Türkei haben, und um diese Folgen besser zu verstehen, müssen wir zunächst den Hintergrund verstehen, der zu einer solchen Entscheidung geführt hat.
Schutz personenbezogener Daten in der Türkei
In einer globalisierten Wirtschaft, in der Technologieunternehmen einen Großteil des Content-Marketings dominieren und kontrollieren und in der Daten als das neue Gold angesehen werden, beschränken und überwachen sie grenzüberschreitende Datenübertragungen wird immer wichtiger, was auch in der Amazon-Türkei-Entscheidung des Datenschutzausschusses (DPB) hervorgehoben wird. In dieser Hinsicht nimmt die Türkei eine ähnliche Haltung zum Datenschutz ein wie Europa, indem sie das Gesetz zum Schutz personenbezogener Daten Nr. 6698 (LPPD), die im Wesentlichen die türkische Version der Datenschutz-Grundverordnung (DSGVO).
Übermittlung personenbezogener Daten an Dritte
Übermittlung personenbezogener Daten an Dritte sind im LPPD recht restriktiv geregelt (ähnlich wie in der DSGVO). Artikel 5 des LPPD besagt eindeutig, dass Datenverantwortliche personenbezogene Daten nicht ohne die ausdrückliche Zustimmung des Dateneigentümers an Dritte weitergeben können, mit Ausnahme der in Artikel 5/2 und 6/3 genannten Umstände. Artikel 9 besagt weiter, dass grenzüberschreitende Datenübertragungen verboten sind, es sei denn, der Dateneigentümer stimmt einer solchen ausdrücklich zu grenzüberschreitende Datenübertragungen. Artikel 9 Absatz 2 sieht eine Ausnahme von dieser Regel vor und erlaubt grenzüberschreitende Datenübertragungen ohne ausdrückliche Zustimmung der Dateneigentümer in Fällen, in denen die in Artikel 5 Absatz 2 und Artikel 6 Absatz 3 genannten Umstände zutreffen und wenn (i) „ausreichender Schutz besteht im Ausland, in das die Daten übermittelt werden sollen“ oder (ii) „die für die Verarbeitung Verantwortlichen in der Türkei und im betreffenden Ausland einen ausreichenden Schutz schriftlich garantieren und der Vorstand eine solche Übermittlung genehmigt hat, wenn kein ausreichender Schutz gewährleistet ist“.
Datenübertragungen und Ausnahmen von der ausdrücklichen Zustimmung
Wie oben erwähnt, besteht die allgemeine Regel für Datenübermittlungen im Inland oder im Ausland darin, die vorherige ausdrückliche Zustimmung des Dateneigentümers einzuholen. Das LPPD sieht jedoch bestimmte Ausnahmen von dieser Anforderung sowohl für personenbezogene Daten als auch für personenbezogene Daten besonderer Art vor, die in Artikel 5/2 bzw. 6/3 aufgeführt sind. Gemäß Artikel 5 Absatz 2 können personenbezogene Daten ohne die ausdrückliche Zustimmung des Dateneigentümers verarbeitet und an Dritte übermittelt werden, wenn:
- Gesetzlich vorgesehen/erforderlich,
- Erforderlich zum Schutz des Lebens oder der körperlichen Unversehrtheit einer körperlich nicht einwilligungsfähigen Person,
- für den Abschluss, die Erfüllung oder die Beschaffung von vertragsgegenständlichen Leistungen erforderlich sind,
- Erforderlich für den Datenverantwortlichen zur Erfüllung seiner gesetzlichen Pflichten,
- Die Daten werden vom Dateneigentümer der Öffentlichkeit zugänglich gemacht,
- Die Daten gelten als zwingend erforderlich für die Begründung, Ausübung oder den Schutz eines Rechts, oder
- Obligatorisch für die berechtigten Interessen des Verantwortlichen, sofern die Grundrechte und Grundfreiheiten des Dateneigentümers nicht verletzt werden.
Artikel 6 Absatz 3 besagt ferner, dass personenbezogene Daten besonderer Art, mit Ausnahme von Gesundheits- und Sexuallebensdaten, ohne die ausdrückliche Zustimmung des Dateneigentümers verarbeitet und an Dritte weitergegeben werden können, wenn dies gesetzlich vorgesehen ist.
Grenzüberschreitende Datenübertragungen und das Problem des ausreichenden Schutzes
Diese Bestimmungen, die Ausnahmen von der Regel der ausdrücklichen Zustimmung für grenzüberschreitende Datenübermittlungen vorsehen, sind ziemlich klar, da Artikel 9 Absatz 2 besagt, dass grenzüberschreitende Datenübermittlungen ohne die ausdrückliche Zustimmung des Dateneigentümers durchgeführt werden können, wenn ein ausreichender Schutz gewährleistet ist das Ausland, in das die Daten übermittelt werden sollen. In Anbetracht der Tatsache, dass diese LPPD fast eine direkte Übersetzung der DSGVO ist, kann vernünftigerweise davon ausgegangen werden, dass alle grenzüberschreitenden Datenübermittlungen in eines oder mehrere der Länder, in denen die DSGVO gilt, von dieser Bestimmung erfasst und daher ausgenommen sind von der ausdrücklichen Einwilligungspflicht.
Leider ist dies nicht der Fall. Das Problem ergibt sich hier aus Unterabsatz 3 desselben Artikels 9, der besagt, dass die DPB die Länder bestimmen und bekannt geben soll, in denen ein ausreichendes Schutzniveau gewährleistet ist. Der DPB muss eine solche Liste noch bekannt geben, was bedeutet, dass die in Artikel 9/2/a vorgesehene Ausnahme noch nicht für grenzüberschreitende Datenübermittlungen gilt, einschließlich in Länder, in denen die DSGVO anwendbar ist.
Zusammenfassung der Entscheidung von Amazon Turkey zu grenzüberschreitenden Datenübertragungen
Beschwerden gegen Amazon Türkei
Wie am Anfang dieses Artikels erwähnt, verhängte die Datenschutzbehörde nach einer Beschwerde eines Benutzers von Amazon Türkei wegen unrechtmäßiger Datenverarbeitung und -übertragung eine Geldstrafe von 1.100.000 TRL gegen Amazon Türkei wegen unrechtmäßiger grenzüberschreitender Datenübertragung an seine ausländischen Tochtergesellschaften und für nicht- Einhaltung der Datenschutz- und E-Commerce-Gesetze. Einer der Hauptbehauptungen in dieser Konformitätserklärung war die Tatsache, dass Amazon Türkei den Satz „Wir können Ihre personenbezogenen Daten in die Europäische Union und in die Vereinigten Staaten übermitteln, um Ihre personenbezogenen Daten im Rahmen der in dieser Datenschutzerklärung dargelegten Zwecke zu speichern und zu verarbeiten“, die der Beschwerde zufolge gegen die im LPPD festgelegten Verpflichtungen verstoßen hat, weil Amazon Turkey für solche internationalen Übertragungen nicht die ausdrückliche Zustimmung des Dateneigentümers eingeholt, sondern nur mitgeteilt hat, dass es die Daten ins Ausland übertragen kann.
Entscheidung von DPB zu Amazon Turkey bezüglich grenzüberschreitender Datenübertragungen
Im Anschluss an die Beschwerde leitete die DPB eine Untersuchung gegen Amazon Turkey ein und stellte fest, dass sie tatsächlich keine ausdrückliche Zustimmung der Dateneigentümer für grenzüberschreitende Datenübertragungen eingeholt, sondern den Dateneigentümern die Möglichkeit gegeben hatte, sich abzumelden oder zu wählen ihre Daten nicht an Dritte weiterzugeben. Es wurde festgestellt, dass dieser Opt-out-Mechanismus gegen das LPPD verstößt, da das Gesetz eindeutig eine ausdrückliche Zustimmung der Dateneigentümer für grenzüberschreitende Datenübertragungen verlangt und daher verlangt, dass die Dateneigentümer solchen Übertragungen ausdrücklich „zustimmen“. als davon auszugehen, dass sich die Dateneigentümer standardmäßig dafür entschieden haben, und ihnen dann eine Opt-out-Option anzubieten.
Da Amazon Türkei keine vorherige ausdrückliche Zustimmung der Dateneigentümer eingeholt hatte, bestand die einzige Möglichkeit für Amazon Türkei, rechtmäßig grenzüberschreitende Datenübertragungen in der Türkei durchzuführen, darin, geltend zu machen, dass solche Übertragungen in den Anwendungsbereich der in Artikel 9 Absatz 2 vorgesehenen Ausnahmen fielen LPPD.
Allerdings gelten solche Ausnahmen, wie oben gesehen, für grenzüberschreitende Datenübermittlungen nur dann, wenn in dem Ausland, in das die Daten übermittelt werden sollen, ein ausreichender Schutz gewährleistet ist und die DPB befugt ist, die Länder mit einem ausreichenden Schutzniveau gemäß Artikel 9 zu bestimmen /3. Das Problem hier ist, wie oben erwähnt, dass das DPB noch eine solche Liste ausgenommener Länder veröffentlichen muss, und da diese Liste noch nicht verfügbar ist, gilt diese Ausnahmeregelung für Länder mit ausreichendem Schutz noch nicht für alle Länder, einschließlich der EU Länder, in denen die DSGVO gilt.
Da Amazon Türkei nicht von dieser Ausnahme „ausreichender Schutz“ profitieren kann, bleibt die letzte Ausnahme gemäß Artikel 9/3, wo grenzüberschreitende Datenübertragungen ohne vorherige ausdrückliche Zustimmung in Länder ohne ausreichenden Schutz durchgeführt werden können, wenn die ausländischen Datenverantwortlichen in Die Türkei und das zugehörige Ausland geben der DPB schriftliche Garantieerklärungen und der Vorstand genehmigt diese Übertragung. An dieser Stelle sei darauf hingewiesen, dass Amazon dem Vorstand tatsächlich eine Garantie vorgelegt hat, um von einer solchen Befreiung zu profitieren.
Zum Zeitpunkt dieser Beschwerde und der Entscheidung waren der Garantiebrief und der Freistellungsantrag von Amazon jedoch noch vor dem DPB anhängig und warteten auf die endgültige Entscheidung und Genehmigung des Board. Artikel 9 Absatz 3 besagt eindeutig, dass diese Befreiung nur dann gilt, wenn eine Garantieerklärung vorgelegt wird UND der DPB genehmigt Übertragungen, und da DPB den Befreiungsantrag von Amazon Türkei nie genehmigt hat, entschied der DPB, dass solche grenzüberschreitenden Datenübertragungen, die von Amazon Türkei durchgeführt werden, gegen die Bestimmungen des LPPD verstoßen.
Ausblick: Auswirkungen der Amazon Turkey-Entscheidung auf grenzüberschreitende Datenübertragungen
Die Entscheidung, Amazon Türkei mit einer Geldstrafe zu belegen, war eine höchst umstrittene Entscheidung des DPB. Es war umstritten, weil Amazon Türkei personenbezogene Daten in EU-Länder übermittelte, die als Länder mit ausreichendem Schutz hätten gelten müssen, da diese Länder auch unter die Regulierung der DSGVO fallen, und weil Amazon Türkei dem Vorstand bereits die erforderlichen Garantieschreiben vorgelegt hatte in den Genuss der zweiten Befreiung gemäß Artikel 9/3 kommen.
Obwohl wir verstehen, woher die Argumente gegen diese Entscheidung kommen, glauben wir auch, dass das Gesetz recht klar und transparent in Bezug auf Ausnahmen ist. Die LPPD-Bestimmungen besagen eindeutig, dass Ausnahmen für grenzüberschreitende Datenübertragungen nur gelten, wenn das Land, in das die Daten übertragen werden, über ein ausreichendes Schutzniveau verfügt (vom Vorstand festzulegen) oder, wenn kein ausreichender Schutz verfügbar ist, ein Garantieschreiben vorliegt und die Übertragung vom Vorstand genehmigt wird.
Da die Liste der ausgenommenen Länder noch nicht vom Board veröffentlicht wurde, besteht die einzige Möglichkeit, von den Ausnahmen für grenzüberschreitende Datenübertragungen zu profitieren, darin, dem Board ein Garantieschreiben vorzulegen und auf die Genehmigung des Boards für die Übertragungen zu warten. Obwohl Amazon ein Garantieschreiben vorlegte, warteten sie nicht auf die Bearbeitung des Antrags und die Genehmigung des Vorstands und setzten die grenzüberschreitende Datenübertragung fort, ohne die ausdrückliche Zustimmung der Dateneigentümer einzuholen.
In dieser Hinsicht hat der DPB seine Position deutlich gemacht; Wenn Datenverantwortliche grenzüberschreitende Datenübermittlungen durchführen möchten, ohne ausdrückliche Zustimmungen einzuholen, sollten sie entweder warten, bis die Liste der ausgenommenen Länder veröffentlicht wird, oder eine Garantieerklärung einreichen und auf die Genehmigung des Vorstands warten. Andernfalls sind alle Datenverantwortlichen vom LPPD verpflichtet, die ausdrückliche Zustimmung der Dateneigentümer einzuholen, bevor sie grenzüberschreitende Datenübertragungen durchführen.