所谓的第三国数据传输已成为越来越重要的数据保护课题。如果要将来自欧盟/欧洲经济区的个人数据传输到 GDPR 定义的第三国，则必须始终满足 GDPR 第 44-50 条的充分性要求。这是为了确保 GDPR 保障的自然人（数据主体）在欧盟/欧洲经济区以外保护水平不会受到损害（GDPR 第 44 条第二句）。

将个人数据传输到第三国是一项单独的处理活动。除了 GDPR 对数据处理的其他一般要求外，还必须检查和确保其充分性。实际上，在选择某些软件产品时，这种两阶段检查（基本数据处理合规性-数据跨境合规性）尤为重要：例如，在客户关系管理系统（CRM 系统）中对客户数据进行数据处理一般是允许的，但如果CRM 提供商的住所地位于欧盟/ EEA之外，则要在第二阶段（第三国数据传输）审慎评估其合规性。只有满足了 GDPR 第 44-50 条的高要求，才允许向提供商传输个人数据。否则，可能无法使用提供商的相关 CRM 系统。尤其是使用来自美国的云服务（例如 MS Office 365 或 Adobe）以及各种追踪和分析工具（例如Google Analytics ）或时事通讯工具（例如 Active Campaign）的情形。

自GDPR 生效以来，因数据控制者（涉嫌）向第三国非法传输数据，感到自己的公法权利受到侵犯的数据主体越来越频繁地提出了行政异议或不作为之诉（消除妨害）。因此，监管机关、法院的相关的（审查）程序对大量公司产生了影响。因此，本文向您概述了法院和监管机关就向第三国传输数据做出的重要的行政处分和判决。

在Google Analytics 决定做出后，奥地利数据保护机构 (DSB) 在 2023 年 3 月初的一项决定中宣布，使用 Facebook (Meta) 的追踪像素不符合 GDPR。调查的背景是数据保护组织 None of Your Business (NOYB) 提出的示范性集团行政异议，奥地利律师 Maximilian Schrems 负责实操。使用Facebook 的追踪像素（Tracking-Pixels）——以及基于它的工具，如 Facebook 登录和元像素（Meta Pixel）——是不符合数据保护法的，尤其GDPR第 44 条以下的向第三国数据传输的要求未得到满足。与谷歌一样，Meta 使用的标准合同条款没有为数据传输提供足够的保护，以防止美国情报部门根据《外国情报监视法》(FISA) 进行监视和访问。此处，DSB 也引用了欧洲法院关于欧盟-美国隐私盾的决定（“Schrems II 判决”）。

数据保护组织NYOB 已一再在全欧盟境内提出行政异议。因此，可以预见，各欧洲监管机构将发布进一步的行政处分。

欧洲法院(ECJ) 宣布欧盟-美国隐私盾无效 (Az.: C-311/18) 两年多后，欧盟委员会启动了一项程序，以通过一项新的所谓充分性决定。欧洲数据保护委员会 (EDPB)、成员国和欧盟议会都参与了这一过程。在此之前，美国总统乔·拜登 (Joe Biden) 于去年 10 月发布了一项行政命令，回应了欧洲法院的批评。一方面，该命令明显限制了美国安全当局对欧盟公民个人数据的调查权。另一方面，将建立一个独立公正的美国法院，权利受到侵犯的欧盟公民可以在那里提出行政异议。

充分性决定未来将提供一个向美国传输个人数据的新的法律依据。在此之前，总统行政命令和欧盟委员会的评估已经为欧盟和欧洲经济区的数据处理机构提供了便利。在诉讼程序或数据传输安全影响评估 (TIA) 的准备过程中，可以做以下抗辩：总统行政命令已经改善了权利受影响的数据主体的法律状况， ECJ 判决提到的批评点不再（完全）适当。尽管数据保护组织——包括奥地利 Max Schrems 的“None of Your Business (NOYB) ”——已经宣布，他们将针对该决定采取行动。如果再次进入诉讼程序，接下来欧洲法院判决要等好几年才能出来。

无论充分性决定如何，从数据保护的角度来看，Microsoft 365的使用仍然受到质疑，因为MS使用的委托处理合同不符合 GDPR 第 28 条的要求。数据保护会议 (DSK) 在 2022 年 11 月 24 日的声明中表示，目前使用 MS365 产品实际上目前是不符合数据保护法的。该结果基于一个专门工作组的评估，该工作组分析了“Microsoft 产品和服务的数据保护附录”(DPA)。鉴于，MS 自身的数据处理缺乏透明度、集团数据交互情况不明，以及对数据安全保障措施 (TOM) 不明，MS365 的使用备受批评。这总体上导致GDPR 适用的主体不能尽到合规义务。而充分性决定仅仅使向美国传输个人数据的合法性基础不再收到进一步批评。

许多美国的集团公司在欧洲设有子公司，为欧洲客户提供坐落在美国之外的服务器。在欧盟-美国隐私盾被废除之后，在欧盟内服务器上存储个人数据变得越来越重要。巴符州公共采购庭 (VK) 2022 年 7 月做出的判决引发了广泛讨论，因为投标人被排除在招采程序之外（VK Baden-Württemberg，2022 年 7 月 13 日的决定，Az.：1 VK 23/22）。巴符州公共采购庭 (VK)认为 ，如果欧洲外母公司理论上可以访问存储在欧洲子公司服务器上的数据，则足以构成 GDPR 意义上的“对外提供”。根据欧洲法院的 Schrems II 判决，向第三国的数据传输并不仅因标准合同条款的订立而合法。

卡尔斯鲁厄高等地区法院推翻了巴符州公共采购庭的判决（OLG Karlsruhe，2022 年 9 月 7 日的判决，Az.：15 Verg 8/22）。判决认为，投标人能够依赖供应商有拘束力的承诺，即：个人数据只会由供应商在德国处理，而不会传输到美国。此外值得注意的是，基于子公司使用的加密技术，个人数据应无法被传输至美国。

一家网站运营商在他的网站上使用Google fonts。此服务提供多种可免费使用的字体。字体可以静态或动态集成。运营商可以下载所需的字体，将其上传到自己的网站空间，并在本地静态集成到自己的网站中。在这种情况下，当您访问该网站时，不会连接到 Google 服务器。通过动态集成，代码片段被集成到网站的 HTML 代码中。调用网站时，会建立与 Google 服务器的连接并加载所需的字体。通过建立与谷歌服务器的连接，相关网站访问者的 IP 地址会被传输给谷歌。然而，在本案中，网站运营商没有 设置cookie 同意弹窗或类似内容，因此无法获得任何访问者的同意。为此，原告提起诉讼，要求消除妨害、损害赔偿。

慕尼黑地方法院判决，原告有权就其向谷歌披露其 IP 地址，主张消除妨害。根据 GDPR 第 6 (1) (a) 条，网站运营商未获得任何网站访问者的同意，而将动态 IP 地址传输给谷歌。根据 GDPR 第 6 (1) (f) 条，网站运营商不能基于企业合法利益（合法性基础）使用该程序（处理个人数据），因为静态集成仍是可能的。此外，法院还判给原告100欧元的损害赔偿金。网站经营者非法向 Google 传输数据行为如此失控，原告感到如此不爽，原告主张损害赔偿是合理的。本判决中同样考虑了， IP 地址必然被传输到美国的谷歌服务器，而美国不能保障的充分的数据保护水平。

奥地利数据保护机构：使用Google Analytics 不符合数据保护规定

My Privacy is None of Your Business (NOYB) 组织由出生于奥地利的律师 Maximilian Schrems 创立，已向欧洲各地的数据保护监管机构提交了大约 100 份针对网站运营商使用 Google Analytics 的示范性集团异议。个人用户数据，例如唯一用户识别号、IP 地址和浏览器数据，将通过分析工具传输到美国的提供商 Google。在最近发布的部分行政决定中，奥地利监管机构认定，使用网站分析工具不符合 GDPR，特别是不满足 GDPR 第 44 条以下向第三国数据传输的要求。谷歌使用的标准合同条款（跨境传输合法性机制），即使同时实施了技术和组织措施，也不能为跨境数据传输提供足够的保障。正如欧洲法院在其 Schrems II 判决中所裁定的那样，它们不足以阻止美国情报部门根据《外国情报监视法》(FISA) 进行监视和访问。

最新进展：法国的态度

在2022 年 2 月 10 日的一项决定中，法国数据保护机构 CNIL 确认了奥地利对 Google Analytics 的判决。CNIL 在“本院认为”中明确，该决定是在与其他欧盟数据保护官员协商后做出的。

该行政决定再次明确了，追踪工具是不符合 GDPR 管辖区数据保护法的。以符合 GDPR 的方式配置 Google Analytics ，在技术上是不可能的。在这种情况下需要注意的是，网站运营商始终应对Google Analytics 的使用行为负责。因此，所有运营商都应尽快寻找符合 GDPR 原则的追踪替代方案：即访问者的数据应匿名，服务器应位于欧洲。

德国监管机构此前仅发布了关于 Google Analytics 使用的通用建议。例如，巴伐利亚数据监管局 (LDA Bayern) 在其 FAQ中声明，网站经营者使用Google Analytics前必须要用户同意，并要求网站经营者参考联邦及州独立数据保护监管机构联席会议 (DSK) 的决定，以获取更多信息。但是，其中并没有进一步提及如何满足  GDPR第 44 条以下 的要求。相比之下，2021 年 12 月 20 日 DSK针对远程媒体提供商提供的指南更加明确：据此，网站运营商使用来自美国供应商商的第三方工具，除标准合同条款外，还应审查是否实施了额外的保护措施。如果没有实施额外的保护措施——监管机构对大多数供应商是这么假设的——相关工具就不被允许使用。在某些情况下，数据主体的同意也不能作为数据传输的合法性基础。

在一项简易程序中，威斯巴登行政法庭发布了一项临时禁令（行为保全裁定），禁止被告大学继续在其网站上使用第三方插件“ Cookiebot”（2021 年 12 月 1 日判决，Az：6 L 738/21.WI）。该决定的背景是，一名定期使用大学网站上在线图书馆的用户，要求学校停用在线目录服务，而大学拒绝了该要求。用户认为，插件提供者委托了美国的云服务商，而将相关数据传输到美国是违法的。

最新进展：Cookiebot 仍然可以使用

莱茵美茵应用技术大学（Hochschule Rhein-Main）可以继续使用 Cookiebot的 cookie 同意工具。这是卡塞尔行政法院 (VGH) 在2022 年 1 月 17 日在简易程序中裁定的 (Az. 10 B 2486/21)。威斯巴登行政法庭关于禁止该大学使用 Cookiebot 的临时禁令，目前因程序原因被卡塞尔行政法院搁置。

裁定基于以下理由：

根据现有事实，威斯巴登行政法庭的判决是不符合程序要件。大学网站的运营并不构成高权行为，因此没有所谓公法上的争议。行政法庭无管辖权。

如果原告认为，他有使用该网站的公法权利，因为网站使用Cookiebot，权利被限制了，那么，就可能涉及公法争议。非常有趣的是，原告是一位来自威斯巴登的律师，他经常利用大学在线图书馆目录研究专业文献。然而，卡塞尔行政法院的法官在他们的判决中认定，原告并不依赖大学网站的使用，因为他既不是那里的学生也不是那里的老师。

由于律师还可以在别处进行研究（不那么着急），因此这个简易程序裁定的理由并不令人信服。做出临时裁定的前提是，考虑到原告和公众的利益，等待正式判决主文不具期待可能性。

然而，卡塞尔行政法院认定，考虑到授权同意管理平台的使用是困难和复杂的问题，该问题应该在判决主文而非临时裁定中裁决。而威斯巴登行政法庭的主文判决程序自 2021 年12 月底以来也没有进展。在这种情况下，司法上就应该澄清，大学网站只是与境外网络互联，而没有把个人数据传输到第三国。如果确实传输了个人数据，能否基于标准合同条款实现合规。

无论如何，这个判决仍将令人兴奋。

奥地利人Maximilian Schrems 就 Facebook 子公司 Facebook Ireland Limited 涉嫌向其美国母公司违法传输用户数据提起诉讼后，欧洲法院 (ECJ) 在其 2020 年 7 月 16 日的判决中宣布（ “Schrems II”，Az .: C 311/18) 欧盟-美国隐私盾无效。卢森堡的法官认为，由于美国当局的可能访问传输的个人数据，欧盟数据保护的要求得不到保障，当事人在美国没有足够的法律救济手段行使权利。尽管欧盟委员会的标准合同条款仍可用作向美国传输数据的法律依据，但必须辅以适当补充保障措施，以确保充分的数据保护水平。