Die Datenschutzbehörde hat kürzlich eine neue Entscheidung erlassen und gegen Amazon Türkei eine Geldbuße in Höhe von 1.100.000 TRY wegen Verstößen gegen Datenschutz- und E-Commerce-Vorschriften sowie wegen rechtswidriger grenzüberschreitender Datenübermittlungen, insbesondere an ausländische verbundene Unternehmen, verhängt. Diese Entscheidung wird künftig erhebliche Auswirkungen auf Datenübermittlungen in der Türkei haben. Um diese Folgen besser zu verstehen, ist zunächst der Hintergrund zu betrachten, der zu dieser Entscheidung geführt hat.
Schutz personenbezogener Daten in der Türkei
In einer globalisierten Wirtschaft, in der Technologieunternehmen einen großen Teil des Content-Marketings dominieren und kontrollieren und Daten als das neue Gold gelten, wird die Beschränkung und Überwachung grenzüberschreitender Datenübermittlungen immer wichtiger. Genau dies hebt auch die Amazon-Türkei-Entscheidung der Datenschutzbehörde (DPB) hervor. In dieser Hinsicht nimmt die Türkei beim Datenschutz eine ähnliche Position wie Europa ein, indem sie das Gesetz Nr. 6698 zum Schutz personenbezogener Daten (LPPD) umgesetzt hat, das im Wesentlichen die türkische Entsprechung der Datenschutz-Grundverordnung (DSGVO) darstellt.
Übermittlung personenbezogener Daten an Dritte
Übermittlungen personenbezogener Daten an Dritte sind nach dem LPPD (ähnlich wie nach der DSGVO) recht restriktiv geregelt. Artikel 5 des LPPD stellt klar, dass Verantwortliche personenbezogene Daten ohne ausdrückliche Einwilligung der betroffenen Person nicht an Dritte übermitteln dürfen, außer in den in Artikel 5/2 und 6/3 genannten Fällen. Artikel 9 bestimmt ferner, dass grenzüberschreitende Datenübermittlungen verboten sind, sofern die betroffene Person einer solchen grenzüberschreitenden Datenübermittlung nicht ausdrücklich zugestimmt hat. Artikel 9/2 sieht eine Ausnahme von dieser Regel vor und erlaubt grenzüberschreitende Datenübermittlungen ohne ausdrückliche Einwilligung der betroffenen Person, wenn die in Artikel 5/2 und 6/3 genannten Umstände vorliegen und (i) „in dem ausländischen Staat, in den die Daten übermittelt werden sollen, ein ausreichender Schutz gewährleistet ist“ oder (ii) „die Verantwortlichen in der Türkei und in dem betreffenden ausländischen Staat einen ausreichenden Schutz schriftlich garantieren und die Behörde diese Übermittlung genehmigt hat, sofern kein ausreichender Schutz besteht“.
Datenübermittlungen und Ausnahmen von der ausdrücklichen Einwilligung
Wie oben ausgeführt, besteht die allgemeine Regel für Datenübermittlungen, ob im Inland oder grenzüberschreitend, darin, zuvor die ausdrückliche Einwilligung der betroffenen Person einzuholen. Das LPPD sieht jedoch sowohl für personenbezogene Daten als auch für besondere Kategorien personenbezogener Daten bestimmte Ausnahmen von diesem Erfordernis vor, die in Artikel 5/2 beziehungsweise 6/3 geregelt sind. Nach Artikel 5/2 dürfen personenbezogene Daten ohne ausdrückliche Einwilligung der betroffenen Person verarbeitet und an Dritte übermittelt werden, wenn:
- dies gesetzlich vorgesehen oder erforderlich ist,
- dies zum Schutz des Lebens oder der körperlichen Unversehrtheit einer Person erforderlich ist, die körperlich nicht in der Lage ist, eine Einwilligung zu erteilen,
- dies für den Abschluss, die Erfüllung oder die Beschaffung der in einem Vertrag vorgesehenen Leistungen erforderlich ist,
- dies erforderlich ist, damit der Verantwortliche seine gesetzlichen Pflichten erfüllen kann,
- die Daten von der betroffenen Person selbst öffentlich gemacht wurden,
- die Daten für die Begründung, Ausübung oder den Schutz eines Rechts zwingend erforderlich sind, oder
- dies für die berechtigten Interessen des Verantwortlichen zwingend erforderlich ist, sofern dadurch die Grundrechte und Grundfreiheiten der betroffenen Person nicht verletzt werden.
Artikel 6/3 bestimmt ferner, dass besondere Kategorien personenbezogener Daten, ausgenommen Daten über Gesundheit und Sexualleben, ohne ausdrückliche Einwilligung der betroffenen Person verarbeitet und an Dritte übermittelt werden dürfen, wenn dies gesetzlich vorgesehen ist.
Grenzüberschreitende Datenübermittlungen und das Problem des ausreichenden Schutzes
Die Vorschriften, die Ausnahmen von der ausdrücklichen Einwilligung bei grenzüberschreitenden Datenübermittlungen vorsehen, sind an sich recht klar: Artikel 9/2 bestimmt, dass grenzüberschreitende Datenübermittlungen ohne ausdrückliche Einwilligung der betroffenen Person erfolgen dürfen, wenn in dem ausländischen Staat, in den die Daten übermittelt werden sollen, ein ausreichender Schutz gewährleistet ist. Da das LPPD nahezu eine direkte Übersetzung der DSGVO ist, liegt die Annahme nahe, dass sämtliche grenzüberschreitenden Datenübermittlungen in einen oder mehrere Staaten, in denen die DSGVO gilt, von dieser Vorschrift erfasst und daher vom Erfordernis der ausdrücklichen Einwilligung ausgenommen wären.
Leider ist dies nicht der Fall. Das Problem ergibt sich aus Absatz 3 desselben Artikels 9, wonach die DPB die Staaten bestimmt und bekannt gibt, in denen ein ausreichendes Schutzniveau gewährleistet ist. Die DPB hat eine solche Liste bislang nicht veröffentlicht. Das bedeutet, dass die Ausnahme nach Artikel 9/2/a derzeit auf keine grenzüberschreitende Datenübermittlung anwendbar ist, auch nicht auf Übermittlungen in Länder, in denen die DSGVO gilt.
Zusammenfassung der Amazon-Türkei-Entscheidung zu grenzüberschreitenden Datenübermittlungen
Beschwerden gegen Amazon Türkei
Wie zu Beginn dieses Artikels erwähnt, verhängte die Datenschutzbehörde nach einer Beschwerde eines Nutzers von Amazon Türkei wegen rechtswidriger Datenverarbeitung und -übermittlung gegen Amazon Türkei eine Geldbuße in Höhe von 1.100.000 TRY wegen rechtswidriger grenzüberschreitender Datenübermittlungen an ausländische verbundene Unternehmen sowie wegen Verstößen gegen Datenschutz- und E-Commerce-Recht. Einer der wesentlichen Vorwürfe in dieser Beschwerde betraf die Tatsache, dass Amazon Türkei die Formulierung „Wir können Ihre personenbezogenen Daten an die Europäische Union und die Vereinigten Staaten übermitteln, um Ihre personenbezogenen Informationen im Rahmen der in diesem Datenschutzhinweis genannten Zwecke zu speichern und zu verarbeiten“ verwendete. Nach Auffassung des Beschwerdeführers verstieß dies gegen die Pflichten nach dem LPPD, weil Amazon Türkei für solche internationalen Übermittlungen keine ausdrückliche Einwilligung der betroffenen Person eingeholt, sondern lediglich mitgeteilt hatte, dass Daten ins Ausland übermittelt werden können.
Die Amazon-Türkei-Entscheidung der DPB zu grenzüberschreitenden Datenübermittlungen
Nach Eingang der Beschwerde leitete die DPB eine Untersuchung gegen Amazon Türkei ein und stellte fest, dass Amazon Türkei tatsächlich keine ausdrückliche Einwilligung der betroffenen Personen für grenzüberschreitende Datenübermittlungen eingeholt hatte. Stattdessen wurde den betroffenen Personen die Möglichkeit eingeräumt, dem Teilen ihrer Daten mit Dritten zu widersprechen beziehungsweise dies abzulehnen. Dieser Opt-out-Mechanismus wurde als Verstoß gegen das LPPD bewertet, da das Gesetz für grenzüberschreitende Datenübermittlungen ausdrücklich eine Einwilligung der betroffenen Personen verlangt und daher erfordert, dass die betroffenen Personen solchen Übermittlungen ausdrücklich „opt-in“ zustimmen, anstatt ihre Zustimmung standardmäßig anzunehmen und lediglich eine Opt-out-Möglichkeit anzubieten.
Da Amazon Türkei keine vorherige ausdrückliche Einwilligung der betroffenen Personen eingeholt hatte, bestand die einzige Möglichkeit für Amazon Türkei, grenzüberschreitende Datenübermittlungen in der Türkei rechtmäßig vorzunehmen, darin, geltend zu machen, dass diese Übermittlungen unter die in Artikel 9/2 LPPD vorgesehenen Ausnahmen fallen.
Wie oben dargestellt, gelten diese Ausnahmen für grenzüberschreitende Datenübermittlungen jedoch nur, wenn in dem ausländischen Staat, in den die Daten übermittelt werden sollen, ein ausreichender Schutz gewährleistet ist und die DPB gemäß Artikel 9/3 befugt ist, die Länder mit ausreichendem Schutzniveau zu bestimmen. Das Problem besteht, wie ebenfalls erwähnt, darin, dass die DPB eine solche Liste ausgenommener Länder bislang nicht veröffentlicht hat. Solange diese Liste nicht vorliegt, gilt die Ausnahme für Länder mit ausreichendem Schutz für kein Land, einschließlich EU-Mitgliedstaaten, in denen die DSGVO Anwendung findet.
Da Amazon Türkei von dieser Ausnahme des „ausreichenden Schutzes“ nicht profitieren konnte, blieb nur die letzte in Artikel 9/3 vorgesehene Ausnahme: Grenzüberschreitende Datenübermittlungen in Länder ohne ausreichenden Schutz können ohne vorherige ausdrückliche Einwilligung vorgenommen werden, wenn die ausländischen Verantwortlichen in der Türkei und in dem betreffenden ausländischen Staat gegenüber der DPB schriftliche Garantien abgeben und die Behörde diese Übermittlung genehmigt. An dieser Stelle ist hervorzuheben, dass Amazon tatsächlich eine Garantie bei der Behörde eingereicht hatte, um diese Ausnahme in Anspruch nehmen zu können.
Zum Zeitpunkt der Beschwerde und der Entscheidung war das Garantieschreiben von Amazon und der Antrag auf Ausnahmegenehmigung jedoch noch bei der DPB anhängig und wartete auf die endgültige Entscheidung und Genehmigung der Behörde. Artikel 9/3 stellt klar, dass diese Ausnahme nur dann anwendbar ist, wenn ein Garantieschreiben vorgelegt wird UND die DPB die Übermittlungen genehmigt. Da die DPB den Antrag von Amazon Türkei auf Ausnahmegenehmigung nie genehmigt hatte, entschied die DPB, dass die von Amazon Türkei durchgeführten grenzüberschreitenden Datenübermittlungen gegen die Bestimmungen des LPPD verstießen.
Ausblick: Auswirkungen der Amazon-Türkei-Entscheidung auf grenzüberschreitende Datenübermittlungen
Die Entscheidung, gegen Amazon Türkei eine Geldbuße zu verhängen, war eine höchst umstrittene Entscheidung der DPB. Umstritten war sie, weil Amazon Türkei personenbezogene Daten in EU-Länder übermittelte, die als Länder mit ausreichendem Schutz hätten angesehen werden können, da sie ebenfalls der DSGVO unterliegen, und weil Amazon Türkei der Behörde bereits die erforderlichen Garantieschreiben vorgelegt hatte, um von der zweiten Ausnahme nach Artikel 9/3 zu profitieren.
Auch wenn wir die Argumente gegen diese Entscheidung nachvollziehen können, sind wir der Auffassung, dass das Gesetz hinsichtlich der Ausnahmen sehr klar und transparent ist. Die Bestimmungen des LPPD sehen ausdrücklich vor, dass Ausnahmen für grenzüberschreitende Datenübermittlungen nur dann anwendbar sind, wenn das Land, in das die Daten übermittelt werden, über ein ausreichendes Schutzniveau verfügt (das von der Behörde festzustellen ist) oder, falls kein ausreichender Schutz besteht, ein Garantieschreiben vorgelegt und die Übermittlung von der Behörde genehmigt wird.
Da die Liste ausgenommener Länder von der Behörde bislang nicht veröffentlicht wurde, besteht die einzige Möglichkeit, von Ausnahmen für grenzüberschreitende Datenübermittlungen zu profitieren, darin, der Behörde ein Garantieschreiben vorzulegen und die Genehmigung der Behörde für die Übermittlungen abzuwarten. Obwohl Amazon ein Garantieschreiben vorgelegt hatte, wartete das Unternehmen nicht auf die Bearbeitung des Antrags und die Genehmigung der Behörde, sondern setzte die grenzüberschreitenden Datenübermittlungen fort, ohne ausdrückliche Einwilligungen der betroffenen Personen einzuholen.
In dieser Hinsicht hat die DPB ihre Position unmissverständlich klargestellt: Wenn Verantwortliche grenzüberschreitende Datenübermittlungen ohne Einholung ausdrücklicher Einwilligungen durchführen möchten, müssen sie entweder die Veröffentlichung der Liste ausgenommener Länder abwarten oder ein Garantieschreiben einreichen und die Genehmigung der Behörde abwarten. Andernfalls sind alle Verantwortlichen nach dem LPPD verpflichtet, vor der Durchführung grenzüberschreitender Datenübermittlungen die ausdrückliche Einwilligung der betroffenen Personen einzuholen.
Diese Übersetzung dient ausschließlich Informationszwecken und kann vom Originaltext abweichen.
