Brüssel, 9. Oktober – Auf seiner letzten Plenartagung verabschiedete der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme zu bestimmten Verpflichtungen, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern, Leitlinien zu berechtigten Interessen, einer Erklärung zur Festlegung zusätzlicher Verfahrensvorschriften für die Durchsetzung der DSGVO und dem Arbeitsprogramm des EDSA für 2024-2025 ergeben.
Erstens nahm der EDSA eine Stellungnahme zu bestimmten Verpflichtungen an, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern im Anschluss an einen Antrag der dänischen Datenschutzbehörde (DPA) nach Artikel 64 Absatz 2 DSGVO an den Ausschuss ergeben. Artikel 64 Absatz 2 DSGVO sieht vor, dass jede Datenschutzbehörde den Ausschuss um eine Stellungnahme zu Fragen von allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat ersuchen kann.
In der Stellungnahme geht es um Situationen, in denen Verantwortliche auf einen oder mehrere Auftragsverarbeiter und Unterauftragsverarbeiter angewiesen sind. Sie befasst sich insbesondere mit acht Fragen zur Auslegung bestimmter Pflichten von Verantwortlichen, die sich auf Auftragsverarbeiter und Unterauftragsverarbeiter stützen, sowie dem Wortlaut von Verträgen zwischen Verantwortlichen und Auftragsverarbeitern, die sich insbesondere aus Art. 28 DSGVO ergeben.
In der Stellungnahme wird erläutert, dass die für die Verarbeitung Verantwortlichen die Informationen über die Identität (d. h. Name, Anschrift, Kontaktperson) aller Auftragsverarbeiter, Unterauftragsverarbeiter usw. jederzeit leicht verfügbar haben sollten, damit sie ihren Verpflichtungen gemäß Artikel 28 DSGVO am besten nachkommen können. Außerdem sollte die Verpflichtung des für die Verarbeitung Verantwortlichen, zu überprüfen, ob die (Unter-)Auftragsverarbeiter „ausreichende Garantien“ bieten, unabhängig vom Risiko für die Rechte und Freiheiten der betroffenen Personen gelten, auch wenn der Umfang dieser Überprüfung variieren kann, insbesondere auf der Grundlage der mit der Verarbeitung verbundenen Risiken.
In der Stellungnahme heißt es auch, dass der ursprüngliche Auftragsverarbeiter zwar sicherstellen sollte, dass er Unterauftragsverarbeiter mit ausreichenden Garantien vorschlägt, die endgültige Entscheidung und Verantwortung für die Beauftragung eines bestimmten Unterauftragsverarbeiters jedoch beim für die Verarbeitung Verantwortlichen verbleibt.
Der EDSA ist der Auffassung, dass der für die Verarbeitung Verantwortliche nach der DSGVO nicht verpflichtet ist, die Unterverarbeitungsverträge systematisch aufzufordern, zu überprüfen, ob die Datenschutzpflichten in der Verarbeitungskette weitergegeben wurden. Der für die Verarbeitung Verantwortliche sollte prüfen, ob die Anforderung einer Kopie solcher Verträge oder deren Überprüfung erforderlich ist, um die Einhaltung der DSGVO nachweisen zu können.
Wenn die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums zwischen zwei (Unter-)Auftragsverarbeitern erfolgt, sollte der Auftragsverarbeiter als Datenexporteur außerdem die einschlägigen Unterlagen erstellen, z. B. in Bezug auf den verwendeten Übermittlungsgrund, die Folgenabschätzung für die Übermittlung und die möglichen zusätzlichen Maßnahmen. Da der für die Verarbeitung Verantwortliche jedoch weiterhin den Pflichten nach Artikel 28 Absatz 1 DSGVO in Bezug auf „ausreichende Garantien“ unterliegt, sollte er neben den Pflichten nach Artikel 44, um sicherzustellen, dass das Schutzniveau nicht durch die Übermittlung personenbezogener Daten untergraben wird, diese Unterlagen bewerten und der zuständigen Datenschutzbehörde vorlegen können.
Sodann nahm der Ausschuss Leitlinien für die Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses an.
Die für die Verarbeitung Verantwortlichen benötigen eine Rechtsgrundlage, um personenbezogene Daten rechtmäßig zu verarbeiten. Das berechtigte Interesse ist eine der sechs möglichen Rechtsgrundlagen.
In diesen Leitlinien werden die in Artikel 6 Absatz 1 Buchstabe f DSGVO festgelegten Kriterien analysiert, die für die Verarbeitung Verantwortliche erfüllen müssen, um personenbezogene Daten auf der Grundlage eines berechtigten Interesses rechtmäßig zu verarbeiten. Sie berücksichtigt auch das jüngste Urteil des EuGH in dieser Angelegenheit (C-621/22 vom 4. Oktober 2024).
Um sich auf ein berechtigtes Interesse berufen zu können, muss der für die Verarbeitung Verantwortliche drei kumulative Voraussetzungen erfüllen:
-
die Verfolgung eines berechtigten Interesses durch den Verantwortlichen oder einen Dritten;
-
die Notwendigkeit, personenbezogene Daten zum Zwecke der Verfolgung des berechtigten Interesses zu verarbeiten;
-
Die Interessen oder Grundfreiheiten und Rechte natürlicher Personen haben keinen Vorrang vor den berechtigten Interessen des Verantwortlichen oder eines Dritten (Ausgleichsübung).
Zuallererst können nur die Interessen als legitim angesehen werden, die rechtmäßig, klar und präzise formuliert, real und gegenwärtig sind. Solche berechtigten Interessen könnten beispielsweise in einer Situation bestehen, in der die Person Kunde ist oder im Dienst des für die Verarbeitung Verantwortlichen steht.
Zweitens, wenn es vernünftige, ebenso wirksame, aber weniger einschneidende Alternativen zur Erreichung der verfolgten Interessen gibt, kann die Verarbeitung nicht als notwendig angesehen werden. Die Notwendigkeit einer Verarbeitung sollte auch nach dem Grundsatz der Datenminimierung geprüft werden.
Drittens muss der Verantwortliche sicherstellen, dass sein berechtigtes Interesse die Interessen des Einzelnen und die Grundrechte der Freiheiten nicht überwiegt. Bei dieser Abwägung muss der für die Verarbeitung Verantwortliche die Interessen des Einzelnen, die Auswirkungen der Verarbeitung und seine angemessenen Erwartungen sowie das Vorhandensein zusätzlicher Garantien, die die Auswirkungen auf den Einzelnen begrenzen könnten, berücksichtigen.
Darüber hinaus wird in diesen Leitlinien erläutert, wie diese Bewertung in der Praxis durchgeführt werden sollte, auch in einer Reihe spezifischer Kontexte wie Betrugsprävention, Direktmarketing und Informationssicherheit. Das Dokument erläutert auch das Verhältnis zwischen dieser Rechtsgrundlage und einer Reihe von Betroffenenrechten nach der DSGVO.
Die Leitlinien werden bis zum 20. November 2024 Gegenstand einer öffentlichen Konsultation sein.
Anschließend verabschiedete der Ausschuss eine Erklärung im Anschluss an die Änderungen, die das Europäische Parlament und der Rat am Vorschlag der Europäischen Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensvorschriften für die Durchsetzung der DSGVO vorgenommen hatten.
In der Erklärung werden generell die vom Europäischen Parlament und vom Rat vorgenommenen Änderungen begrüßt und empfohlen, weiter auf spezifische Elemente einzugehen, damit mit der neuen Verordnung die Ziele der Straffung der Zusammenarbeit zwischen den Behörden und der Verbesserung der Durchsetzung der DSGVO erreicht werden können.
Die Erklärung enthält praktische Empfehlungen, die im Rahmen der anstehenden Triloge verwendet werden können. Insbesondere bekräftigt der EDSA die Notwendigkeit einer Rechtsgrundlage und eines harmonisierten Verfahrens für gütliche Einigungen und gibt Empfehlungen ab, um sicherzustellen, dass ein Konsens über die Zusammenfassung der wichtigsten Fragen auf möglichst effiziente Weise erzielt wird. Der Ausschuss begrüßt auch die Aufnahme zusätzlicher Fristen, weist jedoch darauf hin, dass diese realistisch sein müssen, und fordert die gesetzgebenden Organe nachdrücklich auf, die Bestimmungen über die einschlägigen und begründeten Einwände und die „Begründung“ im Streitbeilegungsverfahren zu streichen.
In der Erklärung wird zwar das Ziel einer größeren Transparenz begrüßt, die Einführung einer gemeinsamen Fallakte, wie sie vom Europäischen Parlament vorgeschlagen wird, würde jedoch komplexe Änderungen der auf europäischer und nationaler Ebene verwendeten Dokumentenverwaltungs- und Kommunikationssysteme erfordern. Die technischen Lösungen für ihre Umsetzung sollten sorgfältig geprüft und die Modalitäten für die Gewährung des Zugangs zu ihr weiter präzisiert werden.
Der EDSA begrüßt die Änderung des Rates, die es der federführenden Datenschutzbehörde ermöglicht, sich in einfachen und einfachen Fällen von der sogenannten Verstärkten Zusammenarbeit abzumelden, betont jedoch, dass der Anwendungsbereich dieser Abmeldung weiter präzisiert werden muss.
Anu Talus, Vorsitzende des EDSA, erklärte: „Der Verordnungsentwurf hat das Potenzial, die Durchsetzung der DSGVO erheblich zu straffen, indem die Effizienz der Fallbearbeitung erhöht wird. Es bedarf einer stärkeren Harmonisierung auf EU-Ebene, um die volle Wirksamkeit der Mechanismen für die Zusammenarbeit und Kohärenz der DSGVO zu maximieren.“
Auf seiner letzten Plenartagung nahm der Ausschuss sein Arbeitsprogramm für 2024–2025 an. Dies ist das erste von zwei Arbeitsprogrammen, mit denen die im April 2024 angenommene Strategie des EDSA für 2024-2027 umgesetzt wird. Sie stützt sich auf die in der Strategie des EDSA festgelegten Prioritäten und berücksichtigt auch den für die Interessenträger als am wichtigsten ermittelten Bedarf.
Schließlich kamen die Mitglieder des EDSA überein, der kosovarischen Agentur für Information und Datenschutz (DPA Kosovan Information and Privacy Agency – Kosovan DPA) im Einklang mit Artikel 8 der Geschäftsordnung des EDSA den Beobachterstatus für die Tätigkeiten des EDSA zu gewähren.
Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt. Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.