文章分类
2022 年 7 月 13 日,德国巴登-符腾堡州公共采购商会(公共采购商会)发布了一项决定,确认在第三国注册成立的母实体的欧盟子公司处理的个人数据应被视为转移 欧盟以外(决定)。
它认为,欧盟以外的数据传输发生在有可能从欧盟以外访问个人数据的情况下,即使事实上从未从欧盟以外实际访问过数据。 2022 年 9 月 7 日,该决定被卡尔斯鲁厄高等地区法院 (OLG Karlsruhe) 推翻。
公共采购商会的决定
该决定是在 CJEU 的 Schrems II 判决的背景下作出的。德国的公共采购商会对公开招标程序和公共合同授予进行独立审查。在本案中,公开招标要求包括使用云和 EEA 中数据的物理位置。该合同授予了一家承包商,该承包商打算使用一家美国云提供商位于卢森堡的子公司,并同意将物理服务器位置设在德国。公共采购商会得出的结论是,在欧盟平台上处理个人数据而仅可能让美国母公司访问数据构成了 GDPR 第 44 条含义内的转移以及美国当局访问数据的潜在风险关于客户数据的保密性或挑战政府过度访问请求的义务的合同条款不能充分包含。因此,考虑到 Schrems II 之后对美国数据传输的监管审查加强,以及商会认为美国云提供商的欧洲子公司的基础设施服务不能用于公共采购,这一转移被认为违反了 GDPR有问题的程序。
DPA 批评该决定
2022 年 8 月 15 日,巴登-符腾堡州监管机构 (DPA) 发表声明指出,该决定可能具有超越原程序的深远意义。 DPA 发现将访问风险等同于实际传输(作为 GDPR 第 4(2) 条下“处理”定义的一部分)在法律上存在问题,并无视 GDPR 基于风险的方法。 DPA 还认为,该决定也没有考虑到各方实施技术和组织措施以减轻或最终排除任何风险的可能性,例如,通过使用加密技术。
DPA 进一步指出,公共采购商会专注于旧的标准合同条款 (SCC),并未考虑欧盟委员会于 2021 年 6 月通过的新的标准合同条款,这些条款考虑到了 Schrems II 的要求。 DPA 的结论是,它继续坚持其关于国际数据传输的指导,要求对数据出口商的预期传输进行逐案评估,而不是决定建议的全面禁止传输。
OLG Karlsruhe:不假设云提供商的欧盟子公司会违反具有约束力的合同承诺或欧盟法律
在上诉程序中,OLG Karlsruhe 推翻了公共采购分庭的决定。它认为没有理由怀疑投标人是否会履行其合同承诺。它的理由是,服务提供商就其与美国云提供商的卢森堡子公司的合同内容做出明确保证(即仅将数据传输到卢森堡实体并仅在德国处理)就足够了,订约当局应不假定欧洲子公司会按照美国母公司的非法指示将个人数据传输到美国,从而违反合同并违反欧盟法律。
OLG Karlsruhe 没有回应公共采购商会的论点,即仅可能由美国母公司从欧盟以外访问数据将构成 GDPR 第 44 条含义内的转移,但是,OLG Karlsruhe 指出,随着合同保证,与本案一样,不应假设将个人数据转移到美国。
OLG Karlsruhe 的决定是最终决定。
Read the Decision, the DPA statement, the decision of OLG Karlsruhe and their press release (all documents only in German).
本文:https://cioctocdo.com/germany-schrems-ii-german-court-overturns-presumption-international-data-transfer-eu-subsidiary-non
- 登录 发表评论