Hallo zusammen,
ich weiß nicht, ob ich einen Denkfehler habe oder auf etwas gestoßen bin.
Mit dem TADPF besteht eine Garantie iSv Art. 46 DSGVO.
Google LLC ist unter dem TADPF zertifiziert. So weit so gut.
Unter das Zertifikat fallen ebenfalls:
“This certification applies to Google LLC and its wholly-owned U.S. subsidiaries, including X (a division of Google LLC) and Chronicle LLC, and any other wholly-owned U.S. subsidiary of Google LLC to the extent of any current separate self-certification by such entity.”
Deepl Übersetzung:
“Diese Bescheinigung gilt für Google LLC und seine hundertprozentigen US-Tochtergesellschaften, einschließlich X (eine Abteilung von Google LLC) und Chronicle LLC, sowie für alle anderen hundertprozentigen US-Tochtergesellschaften von Google LLC, soweit diese eine separate Selbstbescheinigung vorlegen.”
Google Ireland fällt nach meinem Verständnis nicht darunter, da es keine US-Tochtergesellschaft ist.
Google Ireland ist jedoch der Verantwortliche für alle im EWR Ansässigen: (https://policies.google.com/privacy#europeanrequirements)
Außerdem beschreibt Google an gleicher Stelle, dass Daten überall in der Welt verarbeitet werden.
Meine Schlussfolgerung:
Das TADPF gilt nicht für die Google Ireland Ltd. und somit sind die meisten Google Produkte weiterhin nicht datenschutzkonform nutzbar (vor allem im Hinblick auf Art. 45 ff. DSGVO)
Die Lösung wäre eigentlich, dass man die Verträge nur mit den zertifizierten Unternehmen schließen sollte.
Wie seht ihr das?