Brüssel, 3. Juni – Auf seiner 30. Plenartagung verabschiedete der EDSA eine Erklärung zu den Rechten betroffener Personen im Zusammenhang mit dem Ausnahmezustand in den Mitgliedstaaten. Der Ausschuss nahm ferner ein Schreiben an, mit dem er auf ein Schreiben der Organisationen “Civil Liberties Union for Europe“, „Access Now“ und der „Hungarian Civil Liberties Union (HCLU)“ in Bezug auf das Dekret 179/2020 der ungarischen Regierung vom 4. Mai reagierte.
Der Europäische Datenschutzausschuss weist darauf hin, dass selbst in der aktuellen Ausnahmesituation der Schutz personenbezogener Daten bei allen Notfallmaßnahmen gewahrt werden muss, um so zur Wahrung der übergeordneten Werte, Demokratie, Rechtsstaatlichkeit und Grundrechte beizutragen, auf die sich die Union gründet.
Sowohl in seiner Erklärung als auch in seinem Schreiben bekräftigt der EDSA, dass die DSGVO weiterhin Gültigkeit hat, eine effiziente Reaktion auf die Pandemie ermöglicht und gleichzeitig die Grundrechte und -freiheiten schützt. Das Datenschutzrecht ermöglicht bereits jetzt Datenverarbeitungsvorgänge, die notwendig sind, um zur Bekämpfung der COVID-19-Pandemie beizutragen.
In der Erklärung wird auf die wichtigsten Grundsätze im Zusammenhang mit den Einschränkungen der Rechte betroffener Personen während des Ausnahmezustands in den Mitgliedstaaten verwiesen:
- Allgemeine, weitreichende oder einschneidende Beschränkungen, die ein Grundrecht seines wesentlichen Inhalts berauben, sind nicht zu rechtfertigen.
- Unter bestimmten Bedingungen gestattet Artikel 23 DSGVO nationalen Gesetzgebern, im Wege von Gesetzgebungsmaßnahmen den Umfang der Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter sowie die Rechte betroffener Personen zu beschränken, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die die Wahrung wichtiger Ziele von allgemeinem öffentlichen Interesse der Union oder eines Mitgliedstaats, insbesondere der öffentlichen Gesundheit, sicherstellt.
- Die Rechte betroffener Personen bilden den Kern des Grundrechts auf Datenschutz. Artikel 23 der DSGVO sollte in einer Art und Weise ausgelegt und gelesen werden, dass seine Anwendung die allgemeine Regel sein sollte. Da Beschränkungen Ausnahmen von der allgemeinen Regel darstellen, sollten sie nur unter ganz bestimmten Umständen angewandt werden.
- Beschränkungen müssen „gesetzlich“ vorgeschrieben werden, und das jeweilige Gesetz, das diese Beschränkungen festlegt, sollte so klar formuliert sein, dass die Bürgerinnen und Bürger bzw. Normadressaten die Bedingungen verstehen können, unter denen die Verantwortlichen befugt sind, auf diese zurückzugreifen. Darüber hinaus müssen Beschränkungen für Personen, die ihnen unterliegen, vorhersehbar sein. Beschränkungen, die für einen nicht klar abgegrenzten Zeitraum verhängt wurden, rückwirkend gelten oder unbestimmten Bedingungen unterliegen, erfüllen nicht das Kriterium der Vorhersehbarkeit.
- Das bloße Vorliegen einer Pandemie oder einer anderen Notsituation ist für sich genommen kein hinreichender Grund, die Rechte betroffener Personen in irgendeiner Weise einzuschränken; vielmehr muss jedwede Beschränkung eindeutig zur Wahrung eines wichtigen Ziels von allgemeinem öffentlichen Interesse der EU oder eines Mitgliedstaats beitragen.
- Der im Falle einer Pandemie verhängte Ausnahmezustand ist eine rechtliche Voraussetzung, unter der Beschränkungen der Rechte betroffener Personen legitimiert werden können, sofern diese Beschränkungen nur insoweit gelten, als sie zur Wahrung des Ziels der öffentlichen Gesundheit unbedingt erforderlich und verhältnismäßig sind. Daher müssen Beschränkungen in Umfang und Dauer streng begrenzt sein, da die Rechte betroffener Personen zwar beschränkt, jedoch nicht aufgehoben werden können. Außerdem müssen die Garantien nach Artikel 23 Absatz 2 DSGVO in vollem Umfang gelten.
- Beschränkungen, die im Rahmen eines Ausnahmezustands erlassen werden, mit denen die Wahrnehmung der Rechte betroffener Personen und der Pflichten der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter ohne klare zeitliche Begrenzung ausgesetzt oder aufgeschoben werden, würden de facto einer pauschalen Aufhebung dieser Rechte gleichkommen und wären nicht mit dem Wesensgehalt der Grundrechte und Grundfreiheiten vereinbar.
Darüber hinaus kündigte der EDSA an, in den kommenden Monaten Leitlinien für die Umsetzung von Artikel 23 der DSGVO herauszugeben.
Die Agenda der 30. Plenartagung des EDSA finden sie hier (in Englisch).
Hinweise für die Redaktion:
Wir weisen darauf hin, dass alle im Rahmen der EDSA-Plenartagung angenommenen Dokumente den erforderlichen rechtlichen, sprachlichen und Formatierungsprüfungen unterliegen und nach deren Abschluss auf der EDSA-Website zur Verfügung gestellt werden.