Brüssel, 17. Juni – Auf seiner 32. Plenartagung nahm der EDSA eine Erklärung zur Interoperabilität der Kontaktnachverfolgungs-Apps sowie eine Erklärung zur Öffnung der Grenzen und zu den Datenschutzrechten an. Der Ausschuss nahm ferner zwei Schreiben an MdEP Körner – zur Verschlüsselung und zu Artikel 25 DSGVO – und ein Schreiben an den Ausschuss der Europäischen Aufsichtsstellen für Abschlussprüfer zu den Vereinbarungen mit dem US Public Company Accounting Oversight Board (PCAOB) an.
Der EDSA nahm eine Erklärung zur Interoperabilität von Kontaktnachverfolgungs-Apps an, deren Grundlage die Leitlinien des EDSA 04/2020 zur Nutzung von Standortdaten und Kontaktnachverfolgungs-Tools im Zusammenhang mit dem Ausbruch von COVID-19 sind. Die Erklärung enthält eine eingehendere Analyse der zentralen Aspekte wie Transparenz, Rechtsgrundlage, für die Verarbeitung Verantwortliche, Rechte betroffener Personen, Vorratsdatenspeicherung und -minimierung, Informationssicherheit und Datengenauigkeit im Zusammenhang mit der Schaffung eines interoperablen Netzes von Anwendungen, die zusätzlich zu den in den Leitlinien des EDSA 04/2020 hervorgehobenen Aspekten berücksichtigt werden müssen.
Der EDSA betont, dass der Austausch von Daten zu Einzelpersonen mit solchen interoperablen Anwendungen, die diagnostiziert oder positiv getestet wurden, nur durch freiwillige Maßnahmen des Nutzers ausgelöst werden sollte. Die Bereitstellung von Informationen und Kontrolle wird das Vertrauen der betroffenen Personen in die Lösungen und ihre potenzielle Annahme stärken. Das Ziel der Interoperabilität sollte nicht als Argument dafür dienen, die Erhebung personenbezogener Daten über das erforderliche Maß hinaus auszudehnen.
Darüber hinaus müssen Kontaktnachverfolgungs-Apps Teil einer umfassenden Strategie im Bereich der öffentlichen Gesundheit zur Bekämpfung der Pandemie sein, wie z. B. Tests und anschließende manuelle Kontaktnachverfolgung, damit die durchgeführten Maßnahmen besser greifen.
Die Gewährleistung der Interoperabilität ist nicht nur technisch schwierig und manchmal nur mit unverhältnismäßigen Kompromissen möglich, sondern führt auch zu einem potenziell höherem Datenschutzrisiko. Daher müssen die für die Verarbeitung Verantwortlichen sicherstellen, dass die Maßnahmen wirksam und verhältnismäßig sind, und prüfen, ob mit einer weniger eingreifenden Alternative dasselbe Ziel erreicht werden kann.
Der EDSA nahm eine Erklärung zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Wiedereröffnung der Schengen-Grenzen nach dem Ausbruch von COVID-19 an. Zu den derzeit von den Mitgliedstaaten vorgesehenen oder umgesetzten Maßnahmen, die eine sichere Wiedereröffnung der Grenzen ermöglichen, gehören Tests auf COVID-19, von Angehörigen der Gesundheitsberufe ausgestellte erforderliche Bescheinigungen sowie die Verwendung einer freiwilligen Kontaktnachverfolgungs-App. Die meisten Maßnahmen umfassen die Verarbeitung personenbezogener Daten.
Der EDSA erinnert daran, dass die Datenschutzvorschriften weiterhin angewendet werden müssen und eine wirksame Reaktion auf die Pandemie sowie gleichzeitig den Schutz von Grundrechten und -freiheiten ermöglichen. Der EDSA betont, dass die Verarbeitung personenbezogener Daten notwendig und verhältnismäßig sein muss und dass das Schutzniveau im gesamten EWR einheitlich sein sollte. In seiner Erklärung fordert der EDSA die Mitgliedstaaten nachdrücklich auf, bei der Entscheidung, welche Verarbeitung personenbezogener Daten in diesem Zusammenhang erforderlich ist, einen gemeinsamen europäischen Ansatz zu verfolgen.
In der Erklärung wird auch auf die Grundsätze der Datenschutz-Grundverordnung eingegangen, welche die Mitgliedstaaten bei der Verarbeitung personenbezogener Daten im Zusammenhang mit der Wiedereröffnung der Grenze insbesondere berücksichtigen müssen. Dazu gehören Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Datensicherheit sowie eingebauter Datenschutz und datenschutzfreundliche Voreinstellungen. Darüber hinaus sollte die Entscheidung, die Einreise in ein Land zu gestatten, nicht nur auf den Technologien für automatisierte Einzelentscheidung beruhen. In jedem Fall sollte eine solche Entscheidung mit angemessenen Schutzmaßnahmen verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Automatisierte Einzelentscheidungen sollten nicht für Kinder gelten.
Schließlich betont der EDSA, wie wichtig eine vorherige Konsultation der zuständigen nationalen Aufsichtsbehörden ist, wenn die Mitgliedstaaten vorsehen, personenbezogene Daten in diesem Zusammenhang zu verarbeiten.
Der EDSA nahm eine Antwort auf ein Schreiben von MdEP Moritz Körner an, in dem es um die Relevanz von Verschlüsselungsverboten in Drittländern für die Bewertung des Datenschutzniveaus geht, wenn personenbezogene Daten in Länder übermittelt werden, in denen solche Verbote bestehen. Nach Ansicht des EDSA würde ein Verbot der Verschlüsselung bzw. Bestimmungen zur Schwächung der Verschlüsselung die Einhaltung der für die für die Verarbeitung Verantwortlichen und Auftragsverarbeiter geltenden Sicherheitsverpflichtungen in einem Drittland oder im EWR ernsthaft beeinträchtigen. Eines der Elemente, die die Europäische Kommission bei der Bewertung der Angemessenheit des Schutzniveaus in einem Drittland berücksichtigen muss, sind Sicherheitsmaßnahmen.
In einem zweiten Schreiben an MdEP Körner geht es um das Thema der Abdeckungen von Laptop-Kameras. MdEP Körner wies darauf hin, dass diese Technologie zur Einhaltung der Datenschutz-Grundverordnung beitragen könne, und schlug vor, neue Laptops damit auszurüsten. In seiner Antwort stellt der Ausschuss klar, dass Laptophersteller zwar dazu angehalten werden sollten, das Recht auf Datenschutz bei der Entwicklung und Gestaltung solcher Produkte zu berücksichtigen, dass sie jedoch nicht für die auf diesen Produkten ausgeführten Vorgänge verantwortlich sind und dass die Datenschutz-Grundverordnung keine rechtlichen Verpflichtungen für die Hersteller umfasst, es sei denn, sie handeln ebenfalls als für die Verarbeitung Verantwortliche oder Auftragsverarbeiter. Die für die Verarbeitung Verantwortlichen müssen die Risiken jeder Datenverarbeitung bewerten und geeignete Garantien zur Einhaltung der Datenschutz-Grundverordnung wählen, einschließlich des in Artikel 25 der Datenschutz-Grundverordnung verankerten eingebauten Datenschutzes und der datenschutzfreundlichen Grundeinstellungen.
Schließlich nahm der EDSA ein Schreiben an den Ausschuss der Europäischen Aufsichtsstellen für Abschlussprüfer (CEAOB) an. Der EDSA erhielt einen Vorschlag des CEAOB, der vorsieht, dass die nationalen Aufsichtsstellen für Abschlussprüfer auf EU-Ebene zusammengeführt werden, um bei den Verhandlungen über die Entwürfe von Verwaltungsvereinbarungen für die Übertragung von Daten an das US Public Company Accounting Oversight Board (PCAOB) zu kooperieren und Feedback auszutauschen. Der EDSA begrüßt diesen Vorschlag und erklärt seine Bereitschaft für einen Austausch mit dem CEAOB, um auf der Grundlage der Leitlinien des EDSA 2/2020 zu Artikel 46 Absatz 2 Buchstabe a und Artikel 46 Absatz 3 Buchstabe b DSGVO für die Übermittlung personenbezogener Daten zwischen Behörden des EWR und Behörden außerhalb des EWR etwaige Fragen zu Datenschutzanforderungen im Zusammenhang mit solchen Vereinbarungen zu klären. Das PCAOB könnte ebenfalls an dem Austausch beteiligt werden, wenn der CEAOB und seine Mitglieder dies für die Erarbeitung dieser Vereinbarungen als vorteilhaft erachten.
Hinweise für die Redaktion:
Wir weisen darauf hin, dass alle im Rahmen der EDSA-Plenartagung angenommenen Dokumente den erforderlichen rechtlichen, sprachlichen und Formatierungsprüfungen unterliegen und nach deren Abschluss auf der EDSA-Website zur Verfügung gestellt werden.
EDPB_Press Release_2020_11