Brüssel, 20. Juli – Im Rahmen seiner 34. Plenartagung nahm der Europäische Datenschutzausschuss eine Stellungnahme zum Urteil des EuGH in der Rechtssache Facebook Ireland gegen Schrems an. Angenommen wurden außerdem Leitlinien zum Wechselspiel zwischen der zweiten Zahlungsdiensterichtlinie (PSD2) und der Datenschutz-Grundverordnung sowie ein Antwortschreiben an MdEP Ďuriš Nicholsonová zu den Themen Ermittlung von Kontaktpersonen, Interoperabilität von Apps und Datenschutz-Folgenabschätzungen.
Der Europäische Datenschutzausschuss nahm eine Stellungnahme zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 – Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems an, durch den der Durchführungsbeschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt wird, während der Beschluss 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern in seiner Gültigkeit unberührt bleibt.
In Bezug auf den Datenschutzschild (EU- US Privacy Shield) weist der Ausschuss darauf hin, dass die EU und die USA einen vollständigen und wirksamen Rahmen schaffen sollten, der gewährleistet, dass das Schutzniveau für personenbezogene Daten in den USA im Einklang mit dem Urteil dem in der EU garantierten Niveau der Sache nach gleichwertig ist. Der Ausschuss beabsichtigt, weiterhin konstruktiv darauf hinzuwirken, dass die transatlantische Übermittlung personenbezogener Daten zum Nutzen der Bürger und Organisationen des EWR erfolgt, und erklärt sich bereit, der Europäischen Kommission jederzeit unterstützend und beratend zur Seite zu stehen, um gemeinsam mit den USA einen neuen Rahmen zu schaffen, der vollständig dem EU-Datenschutzrecht entspricht.
In Bezug auf Standardvertragsklauseln nimmt der Ausschuss zur Kenntnis, dass in erster Linie Datenexporteur und -importeur im Rahmen der Erwägung von Standardvertragsklauseln dafür Sorge tragen müssen, dass das dadurch gebotene Schutzniveau dem durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei solchen Vorabbeurteilungen berücksichtigt der Datenexporteur (erforderlichenfalls mit Unterstützung des Datenimporteurs) den Inhalt der Standardvertragsklauseln, die jeweiligen Umstände der Datenübermittlung sowie die im Land des Datenimporteurs geltenden Rechtsvorschriften. Der Gerichtshof betont, dass der Datenexporteur möglicherweise die Einführung zusätzlicher Maßnahmen in Betracht ziehen muss, die über die in den Standardvertragsklauseln enthaltenen Maßnahmen hinausgehen. Der Europäische Datenschutzausschuss wird sich eingehender damit befassen, worin diese zusätzlichen Maßnahmen bestehen könnten.
Darüber hinaus nimmt der Ausschuss zur Kenntnis, dass die zuständigen Aufsichtsbehörden verpflichtet sind, eine auf Standardvertragsklauseln gestützte Datenübermittlung in ein Drittland auszusetzen oder zu verbieten, wenn nach Ansicht der zuständigen Aufsichtsbehörde und unter Berücksichtigung aller Umstände dieser Übermittlung die Vertragsklauseln in diesem Drittland nicht eingehalten werden oder eingehalten werden können und der Schutz der übermittelten Daten nicht auf andere Weise gewährleistet werden kann, insbesondere, wenn der Verantwortliche oder Auftragsverarbeiter nicht bereits die Übermittlung ausgesetzt oder beendet hat.
Der Ausschuss erinnert daran, dass er Leitlinien zu Artikel 49 DSGVO herausgegeben hat und dass die dort vorgesehenen Ausnahmen von Fall zu Fall anzuwenden sind.
Der Ausschuss wird das Urteil eingehender prüfen und den Interessensträgern weitere Klarstellungen und Orientierungshilfen für den Einsatz von Instrumenten für die Übermittlung personenbezogener Daten in Drittländer in Einklang mit dem Urteil geben. Der Ausschuss und seine europäischen Aufsichtsbehörden sind, wie vom EuGH festgestellt wurde, bereit, für Kohärenz im gesamten EWR zu sorgen.
Die vollständige Stellungnahme in englischer Sprache ist hier abrufbar: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en
Der Europäische Datenschutzausschuss hat Leitlinien zur zweiten Zahlungsdiensterichtlinie (PSD2) angenommen. Mit der PSD2 wird der Rechtsrahmen für den Markt für Zahlungsdienste modernisiert. Besonders hervorzuheben ist die Einführung eines rechtlichen Rahmens für neue Zahlungsauslösedienste (PISP) und Kontoinformationsdienste (AISP). Die Nutzer können verlangen, dass diesen neuen Zahlungsdienstleistern Zugang zu ihren Zahlungskonten gewährt wird. Im Anschluss an einen Workshop der Interessensträger im Februar 2019 entwickelte der Ausschuss Leitlinien für die Anwendung der Datenschutz-Grundverordnung für diese neuen Zahlungsdienste.
In den Leitlinien wird darauf hingewiesen, dass in diesem Zusammenhang die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlichuntersagt ist (in Übereinstimmung mit Artikel 9 Absatz 1 DSGVO), es sei denn, die betroffene Person erteilt ihre ausdrückliche Einwilligung (Artikel 9 Absatz 2 Buchstabe a DSGVO) oder die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich (Artikel 9 Absatz 2 Buchstabe g DSGVO).
Die Leitlinien befassen sich auch mit den Bedingungen, unter denen kontoführende Zahlungsdienstleister Zahlungsauslösediensten und Kontoinformationsdiensten Zugang zu Zahlungskontoinformationen gewähren, vor allem den granularen Zugang zu Zahlungskonten.
In den Leitlinien wird klargestellt, dass weder Artikel 66 Absatz 3 Buchstabe g noch Artikel 67 Absatz 2 Buchstabe f der PSD2 eine Weiterverarbeitung zulassen, es sei denn, die betroffene Person hat ihre Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a der DSGVO erteilt oder die Verarbeitung ist im Unionsrecht oder im Recht der Mitgliedstaaten geregelt. Die Leitlinien werden zur öffentlichen Konsultation vorgelegt.
Schließlich nahm der Ausschuss ein Schreiben an, in dem er auf die Fragen von MdEP Ďuriš Nicholsonová zum Datenschutz im Zusammenhang mit der Bekämpfung von COVID-19 antwortet. Im Rahmen des Schreibens werden Fragen zur Harmonisierung und Interoperabilität von Anwendungen zur Ermittlung von Kontaktpersonen, zur Anforderung einer Datenschutz-Folgenabschätzung für die diesbezügliche Datenverarbeitung und zur möglichen Dauer der Verarbeitung behandelt.
EDPB_Press Release_2020_12