Brüssel, 16. Juni - Der EDSA hat Leitlinien für die Zertifizierung als Instrument für Datenübermittlungen angenommen. Nach Artikel 46 Absatz 2 Buchstabe f dürfen genehmigte Zertifizierungsmechanismen als neues Instrument für die Übermittlung von personenbezogenen Daten in Drittländer herangezogen werden, wenn kein einschlägiger Angemessenheitsbeschluss vorliegt. Die neuen Leitlinien sollen vor allem zur weiteren Präzisierung der praktischen Einsatzmöglichkeiten dieses Übermittlungsinstruments dienen.
Der stellvertretende Vorsitzende des EDSA, Ventsislav Karadjov, sagte hierzu: „Diese Leitlinien sind bahnbrechend, da sie die allererste praktische Anleitung für die Zertifizierung als Instrument für Datenübermittlungen bieten. Dieses neue Übermittlungsinstrument ist durch die DSGVO eingeführt worden. Die Leitlinien sind als Orientierungshilfen für die praktische Verwendung dieses Instruments und seine Nutzung für die Wahrung eines hohen Datenschutzniveaus bei der Übermittlung personenbezogener Daten aus dem EWR in Drittländer gedacht.“
Die Leitlinien bestehen aus vier Teilen, die sich jeweils auf bestimmte Aspekte der Zertifizierung als Instrument für Datenübermittlungen konzentrieren, namentlich auf den Zweck, den Umfang und die verschiedenen beteiligten Akteure, auf die Umsetzung der Leitlinien für die Akkreditierungsanforderungen an Zertifizierungsstellen, auf spezifische Zertifizierungskriterien für den Nachweis, dass im Rahmen der Übermittlung personenbezogener Daten geeignete Garantien geboten werden, und auf die umzusetzenden verbindlichen und durchsetzbaren Verpflichtungen. Sie ergänzen die Leitlinien 1/2018 für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den Artikeln 42 und 43 der Verordnung (EU) 2016/679, die allgemeine Hilfestellung bei Zertifizierungsaspekten geben. Zu diesen Leitlinien wird es eine öffentliche Konsultation bis Ende September geben.
Der EDSA hat zudem einen Streitbeilegungsbeschluss nach Artikel 65 DSGVO angenommen. Mit dem verbindlichen Beschluss soll dem fehlenden Konsens abgeholfen werden, der in Bezug auf bestimmte Aspekte eines Beschlussentwurfs besteht, den die französische Aufsichtsbehörde in ihrer Funktion als federführende Aufsichtsbehörde in Bezug auf Accor SA (ein auf das Gastgewerbe spezialisiertes Unternehmen mit Hauptsitz in Frankreich) vorgelegt hat, und den Einwänden, die daraufhin von einer der betroffenen Aufsichtsbehörden erhobenen wurden, Rechnung getragen werden.
Die federführende Aufsichtsbehörde nahm ihren Beschlussentwurf im Anschluss an eine Untersuchung über das Unternehmen Accor SA an. Diese war durch eine Beschwerde wegen der Verletzung des Rechts auf Widerspruch gegen die Übermittlung von Werbenachrichten per Post bzw. wegen Schwierigkeiten bei der Ausübung des Zugangsrechts ausgelöst worden. Am 30. April 2021 übermittelte die federführende Aufsichtsbehörde ihren Beschlussentwurf den betroffenen Aufsichtsbehörden in Übereinstimmung mit Artikel 60 Absatz 3 DSGVO. Eine dieser betroffenen Aufsichtsbehörden erhob Einspruch nach Artikel 60 Absatz 4, unter anderem wegen der Höhe der betreffenden Geldbuße.
Da es den Aufsichtsbehörden bei einem der erhobenen Einwände nicht gelang, Einigung zu erzielen, leitete die federführende Aufsichtsbehörde die Angelegenheit zur Beschlussfassung gemäß Artikel 65 Absatz 1 Buchstabe a DSGVO an den EDSA weiter, wodurch das Streitbeilegungsverfahren eingeleitet wurde.
Der EDSA hat in dieser Sache nunmehr einen verbindlichen Beschluss angenommen. Dieser trägt den im Rahmen des Einspruchs angeführten Argumenten Rechnung, die als „maßgeblich und begründet“ im Sinne von Artikel 4 Absatz 24 DSGVO befunden wurden.
Der Beschluss wird nun, wie in Artikel 11 Absatz 6 der Geschäftsordnung des EDSA vorgesehen, unverzüglich übersetzt. Danach werden die betroffenen Aufsichtsbehörden förmlich benachrichtigt werden. Die federführende Aufsichtsbehörde wird ihren endgültigen, an den Verantwortlichen gerichteten Beschluss auf der Grundlage des Beschlusses der EDSA unverzüglich und spätestens einen Monat, nachdem der EDSA seinen Beschluss mitgeteilt hat, erlassen. Sobald die federführende Aufsichtsbehörde ihren nationalen Beschluss dem Verantwortlichen mitgeteilt hat, wird der EDSA seinen Beschluss unverzüglich auf seiner Website veröffentlichen.
Hinweis für Redakteure
Die Leitlinien werden den notwendigen rechtlichen, sprachlichen und formatierungstechnischen Kontrollen unterzogen und anschließend auf der Website des EDSA veröffentlicht.
Der verbindliche Beschluss nach Artikel 65 DSGVO wird veröffentlicht, sobald die federführende Aufsichtsbehörde ihren endgültigen Beschluss dem Verantwortlichen mitgeteilt hat. Bezüglich weiterer Informationen über das Verfahren nach Artikel 65 DSGVO siehe die häufig gestellten Fragen (FAQ).
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.