12.07.2021 Newsletter
Datentransfers in Drittländer – neue „Reisebestimmungen“
Reisen sind schon lange nicht mehr Personen, Waren und Rohstoffen vorbehalten. Auch Daten werden auf die „Reise“ von A nach B geschickt. Pandemiebedingt unterliegt der Personen-Reiseverkehr zahlreichen neuen Bestimmungen. Durch neue EU-Standardvertragsklauseln kommen nun auch Neurungen auf die „Reise“ von Daten in Drittländer zu. Wir stellen Ihnen die wichtigsten Neuerungen vor und liefern gleich das passende Tool, mit dem Sie die passenden Klauseln einfach zusammensetzen können.
Die EU-Kommission hat neue verbindliche EU-Standardvertragsklauseln für Unternehmen erlassen. Diese ermöglichen eine weitergehende Anwendung als die alten Dokumente und decken eine höhere Zahl an Anwendungsfällen ab. Darüber hinaus hat der Europäische Datenschutzausschuss, das zentrale Gremium der Aufsichtsbehörden der EU-Mitgliedstaaten (EDSA), sein Empfehlungspapier zur Umsetzung der Schrems II-Entscheidung des EuGH überarbeitet und finalisiert. Anders als für Personen wird die Reise für Daten nach Großbritannien leichter: Die EU-Kommission hat Großbritannien – befristet auf vier Jahre – als sicheres Drittland anerkannt. Für Datentransfers nach Großbritannien sind weder Standardvertragsklauseln noch die zusätzlichen Prüfungsschritte des EDSA erforderlich.
Zusammenfassung der Neuerungen
Die neuen EU-Standardvertragsklauseln enthalten im Wesentlichen folgende Neuerungen:
- Die Neufassung sieht nunmehr eine modulare Funktionsweise vor. Hier weiterlesen...
- Weiterhin sieht die Neufassung eine deutliche Ausweitung der Anwendungsfälle vor. Hier weiterlesen...
- Neben Klauseln, die sich an der alten Fassung orientieren, sind auch neue Klauseln vorgesehen. Hier weiterlesen...
- Der Vorschlag enthält mehrere Klauseln, die explizit der Umsetzung der Schrems-II-Entscheidung dienen. Insbesondere sind Prüfungs- und Dokumentierungspflichten zur Rechtslage und Zugriffsbefugnisse von Behörden im Drittland vorgesehen. Hier weiterlesen...
- Die neuen Standardvertragsklauseln können ab sofort eingesetzt werden. Ende 2022 verlieren die bisherigen Standardvertragsklauseln ihre Gültigkeit. Hier weiterlesen...
- Bei der Anwendung hilft Ihnen der Oppenhoff SCC-Generator. Hier weiterlesen...
Die endgültige Version des EDPB-Empfehlungspapiers sieht die folgenden Neuerungen vor:
- Das neue Empfehlungspapier des EDSA dient der Konkretisierung der Anforderungen, die der EuGH in seiner Schrems II-Entscheidung formuliert hat. Hier weiterlesen...
- Zur Überprüfung der Zulässigkeit von Datentransfers in Drittländer empfiehlt der EDSA – wie schon in der Entwurfsversion des Papiers – eine umfassende Prüfung von Übermittlungen in Drittstaaten und konkretisiert in einigen Use Cases die „zusätzlichen Schutzmaßnahmen“, die der EuGH in seiner Schrems II-Entscheidung für bestimmte Fälle gefordert hatte. Hier weiterlesen...
- Neu und äußerst praxisrelevant ist im Vergleich zur vorher veröffentlichten Entwurfsversion der Guidelines, dass der sog. risikobasierte Ansatz eine stärkere Gewichtung erfährt. In Einzelfällen soll sogar der Datentransfer in „problematische Drittländer“ wie die USA ohne zusätzliche Schutzmaßnahmen möglich sein. Hier weiterlesen...
Der Angemessenheitsbeschluss für das Vereinigte Königreich wird die Datenübermittlung in das Vereinigte Königreich erleichtern:
- Kurz vor Ablauf des Übergangszeitraums nach dem Brexit-Abkommen hat die EU-Kommission am 28. Juni 2021 einen Angemessenheitsbeschluss erlassen, wodurch Großbritannien als sicheres Drittland gilt. Hier weiterlesen...
- Der Angemessenheitsbeschluss gilt für vier Jahre und kann im Anschluss von der EU-Kommission verlängert werden. Die Kommission hat angekündigt, die Rechtslage in Großbritannien auch während dieser vier Jahre im Blick zu behalten. Hier weiterlesen...
- Für europäische Unternehmen bedeutet der Angemessenheitsbeschluss Erleichterungen für Datentransfers, da diese ohne die Vereinbarung von zusätzlichen Garantien, wie EU-Standardvertragsklauseln, möglich sind. Allerdings bleiben grundsätzliche Pflichten für die Unternehmen bestehen. Hier weiterlesen...
Neufassung der EU-Standardvertragsklauseln
Die EU-Standardvertragsklauseln für den Datenschutz der EU-Kommission sind ein Instrument nach Art. 46 Abs. 2 lit. c DSGVO, um zwischen dem Übermittler personenbezogener Daten und dem Empfänger in einem Drittland ein angemessenes Datenschutzniveau sicherzustellen. Insbesondere nach dem EuGH-Urteil (Schrems II), mit dem das EU-US Privacy Shield für ungültig erklärt wurde, ist die Bedeutung der Standardvertragsklauseln für die Praxis noch gewachsen.
Die EU-Kommission hat am 4. Juni 2021 die Neufassung der EU-Standardvertragsklauseln veröffentlicht. Diese besteht aus der Entscheidung selbst mit ihren Erwägungsgründen sowie den Musterklauseln im Anhang zu der Entscheidung. Diese sollen sowohl bereits lange bekannte Defizite beheben, als auch den neuen Anforderungen des EuGH Rechnung tragen.
Modulare Funktionsweise
Bisher gab es drei verschiedene Fassungen der Standardvertragsklauseln (zwei für Übermittlungen an Verantwortliche, eine für Übermittlungen an Auftragsverarbeiter). Nunmehr gib es ein einheitliches Vertragsset mit verschiedenen Modulen für verschiedene Übermittlungsvarianten. Die Funktionsweise und der Aufbau sind jedoch gleichgeblieben, d. h. es gibt feste Vertragsklauseln, die ohne Genehmigung der Aufsichtsbehörden nicht geändert, aber um nicht widersprechende Klauseln ergänzt werden dürfen. Variable Angaben sind in den Anlagen verpflichtend zu ergänzen.
(Neue) Anwendungsfälle
Die Anwendungsfälle für die Standardvertragsklauseln werden ausgeweitet. Es gibt jetzt vier unterschiedlich Module, von denen eines ausgewählt werden muss. Je nachdem, welches Modul ausgewählt wird, haben die Standardvertragsklauseln verschiedene Bestandteile.
- Modul 1: Wie bisher kann die Übermittlung eines Verantwortlichen in der EU an einen anderen Verantwortlichen außerhalb der EU erfolgen. Neu ist dabei eine Nutzung auch durch Verantwortliche im Drittland, die nach Art. 3 Abs. 2 DSGVO dem Anwendungsbereich der DSGVO unterfallen.
- Modul 2: Wie bisher kann die Übermittlung eines Verantwortlichen in der EU (oder im Drittland, der nach Art. 3 Abs. 2 DSGVO dem Anwendungsbereich der DSGVO unterfällt) an einen Auftragsverarbeiter außerhalb der EU erfolgen.
- Modul 3: Neu ist die Verwendung für eine Übermittlung von einem Auftragsverarbeiter in der EU an einen weiteren Auftragsverarbeiter im Drittland. Dies soll auch gelten, wenn der Auftragsverarbeiter im Drittland sitzt, aber nach Art. 3 Abs. 2 DSGVO dem Anwendungsbereich der DSGVO unterfällt (wobei dieser Fall in der Praxis nicht sehr relevant sein dürfte).
- Modul 4: Neu ist schließlich auch die Übermittlung von einem Auftragsverarbeiter in der EU an einen Verantwortlichen im Drittland.
Der Einsatz ist dabei jeweils für mehrere Parteien jeweils als Übermittler oder Empfänger möglich, auch ein späterer Beitritt.
Änderungen der Klausel-Inhalte
Grundsätzlich ähneln die Klauseln den bisherigen Standardverträgen. Neu sind insbesondere:
- Sofern nicht ausdrücklich gesagt, entfalten alle Klauseln drittbegünstigende Wirkung für die betroffenen Personen (Umkehr des Regel-Ausnahmeverhältnisses), wobei die Liste der Ausnahmen seit dem Entwurf verlängert wurde.
- Im Falle der Übermittlung an Auftragsverarbeiter (Modul 2 und 3) gilt:
- Nach EG (9) der Kommissions-Entscheidung werden die Anforderungen des Art. 28 DSGVO durch die Standardvertragsklauseln erfüllt. Die Ansicht von deutschen Aufsichtsbehörden, dass man ggfs. zusätzliche Klauseln benötigt, sollte dann keinen weiteren Bestand haben.
- Insbesondere für das Cloud Computing ist relevant, dass ein persönliches Prüfungsrecht durch den Auftraggeber nicht vollständig ausgeschlossen werden kann.
- Die Klauseln für Modul 3 (Auftragsverarbeiter in der EU übermittelt an weitere Auftragsverarbeiter im Drittland) definieren nicht eindeutig, wer hier vorrangig den weiteren Auftragsverarbeiter steuert und instruiert.
- Für Modul 4 (Übermittlung eines Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland) ist vorgesehen, dass der Auftragsverarbeiter in der EU in bestimmten Fällen die Rechtmäßigkeit der Datenverarbeitung prüfen muss, was ihm ggfs. nicht ohne weiteres möglich ist.
- Insbesondere bei Modul 1 (Übermittlung von Verantwortlichen in der EU an einen Verantwortlichen im Drittland) muss der Datenimporteur im Wesentlichen die Betroffenenrechte nach Art. 12 bis Art. 22 DSGVO beachten.
- Zwingend ist nunmehr eine Klausel über die Haftung und Freistellung untereinander aufzunehmen (bisher optional). Dabei ist unklar, ob noch Haftungsbeschränkungen vereinbart werden können. Dies ist nicht vorgesehen und könnte andernfalls eine genehmigungspflichtige Änderung darstellen.
- Der Vertrag muss dem Recht eines EU - Staats unterliegen und dieses Recht muss die Durchsetzbarkeit der drittbegünstigenden Klauseln gewährleisten (ansonsten ist ein anderes EU-Recht zu wählen).
- Der Annex über technisch-organisatorische Maßnahmen enthält jetzt eine Checkliste der zu regelnden Punkte.
Umsetzung des EuGH-Urteils (Schrems II)
Die Klauseln 14 und 15 in Abschnitt III gelten für alle Module und dienen der Umsetzung der Vorgaben des EuGHs (Schrems II):
- Nach Klausel 14 ist eine Prüfung der Rechtslage und der entsprechenden Risiken, insbesondere durch Zugriffsbefugnisse von Behörden im Drittland, verpflichtend vorzunehmen, zu dokumentieren und ggfs. den Aufsichtsbehörden vorzulegen. Den Datenimporteur trifft eine fortwährende Überwachungs- und Informationspflicht. Bei entsprechenden Problemen und Verstößen hat der Datenexporteur das Recht (und die Pflicht), die Datenverarbeitung auszusetzen und ggfs. zu kündigen, wenn zusätzliche Schutzmaßnahmen nicht ausreichen. Verbunden ist dies wiederum mit einer Meldepflicht an die europäischen Aufsichtsbehörden.
- Klausel 15 enthält detaillierte Pflichten des Datenimporteurs, dem Datenexporteur Zugriffe seiner nationalen Behörden zu melden, deren Rechtmäßigkeit zu prüfen und ggfs. über mögliche Rechtsmittel abzuwenden.
- Schließlich muss sich der Datenimporteur nach Klausel 13 ohnehin den Entscheidungen der EU-Aufsichtsbehörden und EU-Gerichte unterwerfen. Dies wirft ggfs. Konflikte mit dem Territorialitätsgrundsatz im Empfängerstaat auf.
Umsetzungszeitraum
Die neuen Standardvertragsklauseln können ab sofort alternativ zu den bisherigen Standardvertragsklauseln eingesetzt werden. Ab dem 27. September 2021 entfallen die bisherigen Standardvertragsklauseln; dann können nur noch die neuen Vertragsklauseln eingesetzt werden. Sämtliche schon bisher oder bis zum 27. September 2021 noch vereinbarten bisherigen Standardvertragsklauseln verlieren am 27. Dezember 2022 ihre Gültigkeit und sind bis dahin durch die neuen Klauseln zu ersetzen.
Der Oppenhoff SCC-Generator
Um Ihnen den Einsatz der neuen Standardvertragsklauseln (=SCC) zu erleichtern, stellen wir Ihnen auf unserer Webseite einen SCC-Generator zur Verfügung. Durch einige Fragen und Auswahlmöglichkeiten wird für Sie das passende Modul mit den dafür erforderlichen Klauseln als Word-Dokument zur Verfügung gestellt. Sie finden den Oppenhoff SCC-Generator hier. Bitte beachten Sie, dass wir das Tool zunächst nur in englischer Sprache bereitstellen, Sie unabhängig von dem Modul noch die vorgesehenen Anhänge ausfüllen müssen und das Tool keine Rechtsberatung ersetzt.
Finalisierte Guidelines zu zusätzlichen Schutzmaßnahmen
Der EDSA hat am 18. Juni 2021 die finale Version des Empfehlungspapiers 1/2020 zu den Voraussetzungen für Datentransfers in Drittländer veröffentlicht („Guidelines“). Die bisher vorliegende Entwurfsversion sorgte zwar teilweise für ein höheres Maß an Rechtssicherheit, es blieben aber entscheidende Fragen offen. (Hier finden Sie unseren Newsletter zur Entwurfsversion der Guidelines.)
Gerade für praktisch relevante Datentransfers in die USA bietet die nun veröffentlichte finalisierte Version der Guidelines für den Fall, dass ein Zugriff der US-Geheimdienste auf die betreffenden personenbezogenen Daten praktisch sehr unwahrscheinlich ist, etwas mehr Spielraum.
Die Vorgaben des EuGH
Die Guidelines sind im unmittelbaren Zusammenhang mit der Schrems II-Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 zu lesen und stellen die Reaktion der EU-Kommission auf die Entscheidung dar. Der EuGH hatte zwar geurteilt, dass die EU-Standardvertragsklauseln weiter Bestand haben, sie müssten in bestimmten Fällen aber durch „zusätzliche Schutzmaßnahmen“ ergänzt werden, um personenbezogene Daten in ein Drittland ohne angemessenes Datenschutzniveau zu übermitteln. Welche konkreten Schutzmaßnahmen ausreichend sind, um einen konkreten Datentransfer zu rechtfertigen, ließ der EuGH weitgehend offen.
Inhalt der finalisierten Guidelines
Der EDSA hält im Vergleich zur Entwurfsversion der Guidelines am Grundgerüst der zu prüfenden Schritte fest. Er empfiehlt Verantwortlichen festzustellen, inwieweit Datentransfers in Drittländer stattfinden („Know your transfers“), die jeweils verwendeten Transferwerkzeuge (z. B. EU-Standardvertragsklauseln) zu identifizieren, die Wirksamkeit der Transferwerkzeuge im Einzelfall zu überprüfen, ggf. „zusätzliche Schutzmaßnahmen“ zu Identifizieren und zu implementieren sowie die Lage laufend zu evaluieren, um Änderungsbedarf zu erkennen.
In Annex 2 der Guidelines stellt der EDSA mehrere „Use Cases“ vor, für die er spezifische zusätzliche Schutzmaßnahmen vorstellt. Use Case 6 betrifft den besonderes praxisrelevanten Fall des Cloud Computing. Hier geht der EDSA nach wie vor davon aus, dass rein vertragliche zusätzliche Schutzmaßnahmen nicht ausreichen und eine Verschlüsselung nicht möglich ist, wenn der Anbieter die Daten für den Kunden verarbeiten muss. Die dann ggfs. noch mögliche Verschlüsselung durch den Anbieter hält der EDSA für nicht ausreichend, sodass in dieser Fallgruppe keine ausreichenden Schutzmaßnahmen ersichtlich sind. Zusätzlich enthält Annex 2 Musterklauseln, die als vertragliche zusätzliche Schutzmaßnahmen dienen können. Die in Annex 3 der Guidelines enthaltenen Hinweise zur Evaluierung der tatsächlichen und rechtlichen Situation in dem jeweiligen Drittland, die für die Frage der Wirksamkeit des verwendeten Transferwerkzeugs relevant ist, hat der EDSA im Vergleich zur Entwurfsversion der Guidelines deutlich erweitert.
Neu: Stärkere Betonung des risikobasierten Ansatzes
Ein entscheidender Unterschied zum Entwurf der Guidelines sind die nun ergänzten Ausführungen zur notwendigen Prüfung des Verantwortlichen, ob die verwendeten Transferwerkzeuge im Einzelfall wirksam sind und – je nach Ergebnis der Prüfung – zusätzliche Schutzmaßnahmen implementiert werden müssen (Rn. 28 ff. der Guidelines). Die Ergänzungen des EDSA ermöglichen erstmalig eine deutlich stärkere Gewichtung des konkreten Risikos eines Zugriffs staatlicher Stellen des Drittlandes auf die übermittelten personenbezogenen Daten. Der EDSA öffnet daher stärker als bisher die Möglichkeit von Datentransfers unter Berücksichtigung des sog. risikobasierten Ansatzes der DSGVO.
Die Ergänzungen sehen vor, dass Verantwortliche im Einzelfall ggf. keine zusätzlichen Schutzmaßnahmen ergreifen müssen, obwohl die Rechtslage in dem jeweiligen Drittland „problematisch“ ist und der Datenimporteur in den Anwendungsbereich der Gesetzgebung fällt, die einen Zugriff durch staatliche Stellen wie Geheimdienste erlaubt. Diese Ausnahme von der Implementierung zusätzlicher Schutzmaßnahmen soll greifen, wenn der Verantwortliche „keine Veranlassung zur Annahme hat, dass die anwendbaren problematischen Vorschriften des Drittlands in der Praxis auf die übermittelten Daten und/oder den Datenimporteur angewendet werden“ (Rn. 43.3 der Guidelines).
Wohl um eine ubiquitäre Übermittlung personenbezogener Daten in die USA ohne zusätzliche Schutzmaßnahmen in die USA zu verhindern, betont der EDSA, dass Verantwortliche, die nach der beschriebenen Ausnahme Daten in „problematische Drittländer“ übermitteln wollen, umfassend das Risiko eines behördlichen Zugriffs prüfen und dokumentieren müssen. Dabei sollen insbesondere die Erfahrungen des Datenimporteurs und anderer Akteure in dem betreffenden Sektor berücksichtigt werden.
Fazit
Die aktualisierten Empfehlungen des EDSA enthalten auf den ersten Blick inhaltlich nur wenige Änderungen zur vorherigen Entwurfsversion. Soweit zusätzliche Schutzmaßnahmen im Einzelfall erforderlich sind, bleibt es bei der Fokussierung auf technische Maßnahmen, die gerade für häufig genutzte Cloud-Lösungen von US-amerikanischen Anbietern praktisch oft nicht umsetzbar sind. Entscheidend ist jedoch die nun stärkere Betonung des sog. risikobasierten Ansatzes, der im Ergebnis eine Übermittlung auch an Cloud-Anbieter ohne zusätzliche Schutzmaßnahmen erlauben kann, wenn praktisch ein sehr geringes Risiko eines Datenzugriffs durch ausländische Behörden besteht. Wegen der strikten Dokumentationspflichten empfehlen wir jedoch, das jeweilige Risiko im Einzelfall sehr ausführlich zu prüfen und nur in Ausnahmefällen von der nun eröffneten Möglichkeit Gebrauch zu machen. Wir gehen davon aus, dass die deutschen Aufsichtsbehörden, die in Teilen bereits mit Untersuchungen der Praxis bei den Unternehmen begonnen haben, besonderen Wert auf eine umfangreiche und überzeugende Dokumentation legen werden.
Angemessenheitsbeschluss für Großbritannien
Das Brexit-Abkommen enthielt keine Übereinkunft zur Frage des Datenschutzes. Mit Ablauf des Übergangszeitraums zum 30. Juni 2021 wäre das Vereinigte Königreich kein sicheres Drittland für Datenübermittlungen gewesen, was zu weiteren Maßnahmen für Datenexporteure geführt und Beschränkungen beim Datentransfer bedeutet hätte (siehe hierzu Ziffer 3).
Großbritannien als sicheres Drittland
Kurz vor Ablauf des Übergangszeitraums hat die EU-Kommission am 28. Juni 2021 einen Angemessenheitsbeschluss für Großbritannien erlassen und veröffentlicht. Dieser gilt ab sofort und für die nächsten vier Jahre.
Die EU-Kommission hat sich in den umfangreichen Erläuterungen mit den datenschutzrechtlichen Gegebenheiten in Großbritannien auseinandergesetzt, darunter insbesondere mit den zahlreich kritisierten Überwachungsinstrumenten der Behörden. Im Ergebnis hat die EU-Kommission entschieden, dass das Datenschutzsystem in Großbritannien dem Schutzniveau der DSGVO gleichwertig ist.
Die Kommission hat dabei auch die Möglichkeit der Datenerhebung durch die staatlichen Behörden (insbesondere aus Gründen der nationalen Sicherheit) berücksichtigt. Nachrichtendienste dürfen Daten nur bei berechtigten Interessen an der Rechtsdurchsetzung und Beweissicherung erheben. Im Gegensatz zu der Rechtslage in den USA können Betroffene, die sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sehen, Rechtsmittel beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Großbritannien unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Angemessenheitsbeschluss gilt nur für vier Jahre
Der Angemessenheitsbeschluss ist erstmal für vier Jahre gültig. Es ist das erste Mal, dass die EU-Kommission einen Angemessenheitsbeschluss zeitlich befristet. Nach Ablauf der vier Jahre könnte der Angemessenheitsbeschluss erneuert werden, falls Großbritannien weiterhin ein angemessenes Datenschutzniveau sicherstellt. Es ist zu erwarten, dass die EU-Kommission in den nächsten vier Jahren die Rechtslage in Großbritannien im Blick behält und regelmäßig prüft.
Von dem Angemessenheitsbeschluss ausgenommen sind Datenübermittlungen für die von Großbritannien praktizierte Einwanderungskontrolle. Hintergrund ist eine Entscheidung des Berufungsgerichts von England und Wales über Einschränkungen der Datenschutzrechte in diesem Bereich, wodurch bestimmte Auslegungsfragen noch nicht geklärt sind.
Was bedeutet das nun für europäische Unternehmen?
Großbritannien wird durch den Angemessenheitsbeschluss – wie bereits andere Länder, wie Japan oder Kanada – zum sicheren Drittland. Es ist dadurch nicht erforderlich, datenschutzrechtliche Garantien, wie den Abschluss von EU-Standardvertragsklauseln (siehe Ziffer 2), vorzusehen. Das führt zu erheblichen Erleichterungen bei Datentransfers nach Großbritannien.
Allerdings müssen europäische Unternehmen weiterhin:
- prüfen, ob personenbezogene Daten im Einzelfall an Unternehmen in Großbritannien übermitteln werden dürfen (bspw. zur Erfüllung eines Vertrags oder auf Basis einer Einwilligung);
- mit Auftragsverarbeitern aus Großbritannien Auftragsverarbeitungsvereinbarungen nach Art. 28 DSGVO abschließen bzw. bestehende aktualisieren und
- die notwendige Dokumentation, wie Verarbeitungsverzeichnis, Datenschutzhinweise gemäß Art. 13, 14 DSGVO und bestehende Datenschutz-Folgeabschätzungen anpassen und aktualisieren.
Aufgrund der zeitlichen Befristung des Angemessenheitsbeschlusses und der Ankündigung der EU-Kommission, die Rechtslage in Großbritannien weiterhin im Blick zu behalten, sollten Unternehmen die weitere Entwicklung des Datenschutzrechts in Großbritannien und des Angemessenheitsbeschlusses beobachten.
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994