EDSA nimmt Stellungnahmen zu den ersten transnationalen Verhaltensregeln, eine Erklärung zum Daten-Governance-Gesetz und Empfehlungen zur Rechtsgrundlage für die Speicherung von Kreditkartendaten an

20 May 2021

Brüssel, 20. Mai - Der EDSA hat auf seiner Plenartagung zwei Stellungnahmen nach Artikel 64 DSGVO zu den ersten Entwürfen für Beschlüsse über transnationale Verhaltensregeln (Codes of Conduct, CoC)1 angenommen, die dem Ausschuss von der belgischen bzw. der französischen Aufsichtsbehörde vorgelegt wurden. Der Beschlussentwurf der belgischen Aufsichtsbehörde betrifft den EU Cloud Code of Conduct (an Cloud-Dienste gerichtete EU-Verhaltensregeln). Der Beschlussentwurf der französischen Aufsichtsbehörde betrifft den CISPE (Code of Conduct for Cloud Infrastructure Service Providers in Europe, an Anbieter von Cloud-Infrastrukturen in Europa gerichtete Verhaltensregeln). Diese Verhaltensregeln enthalten praktische Leitlinien und spezifische Anforderungen gemäß Artikel 28 DSGVO für in der EU ansässige Verarbeiter, die diesen Verhaltensregeln unterliegen. Sie dürfen nicht im Zusammenhang mit internationalen Übermittlungen personenbezogener Daten verwendet werden. Der EDSA ist der Auffassung, dass beide CoC im Einklang mit der DSGVO stehen und die Anforderungen der Artikel 40 und 41 der DSGVO erfüllen. Laut der DSGVO kann die Einhaltung genehmigter Verhaltensregeln als Faktor herangezogen werden, um die Erfüllung der rechtlichen Anforderungen nachzuweisen.

Dazu sagte die EDSA-Vorsitzende Andrea Jelinek: „Wir begrüßen die Bemühungen der Inhaber der Verhaltensregeln, Verhaltensregeln auszuarbeiten, die praktische, transparente und potenziell kosteneffiziente Instrumente zur Sicherstellung einer größeren Konsistenz innerhalb eines Sektors darstellen und die Einhaltung des Datenschutzes fördern.“

Der EDSA hat eine Erklärung zum Daten-Governance-Gesetz im Lichte des betreffenden Legislativverfahrens angenommen. Die Erklärung knüpft an die gemeinsame Stellungnahme des EDSA und des EDSB zum Daten-Governance-Gesetz an und verstärkt deren wichtigste Bemerkungen. So wiederholt der EDSA, dass ohne solide Datenschutzgarantien das Risiko besteht, dass das Vertrauen in die digitale Wirtschaft nicht von Dauer ist. In der Erklärung wird ferner betont, dass die Übereinstimmung des Daten-Governance-Gesetzes mit dem Besitzstand der EU im Bereich des Datenschutzes sichergestellt werden muss, dass sich die gesetzgebenden Organe dringend mit bestimmten Aspekten wie dem Zusammenspiel zwischen dem Daten-Governance-Gesetz und der DSGVO befassen sollten und dass es wichtig ist, dafür Sorge zu tragen, dass die neuen Begriffsbestimmungen und Konzepte nicht mit der DSGVO unvereinbar sind.

Außerdem hat der EDSA Empfehlungen zur Rechtsgrundlage für die Speicherung von Kreditkartendaten angenommen. Die Empfehlungen beziehen sich auf Situationen, in denen betroffene Personen auf einer Website oder über eine Anwendung ein Produkt kaufen oder eine Dienstleistung bezahlen und dabei ihre Kreditkartendaten eingeben, um die betreffende Transaktion abzuschließen. Es scheint, dass die betroffene Person in solchen Situationen normalerweise nicht erwartet, dass die Kreditkartendaten länger gespeichert werden, als für die Bezahlung der Waren oder Dienstleistungen erforderlich ist, und es ist auch nicht offensichtlich, dass die Speicherung der Kreditkartendaten zur Erleichterung künftiger Käufe erforderlich ist, um das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eines Dritten zu verfolgen. Die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO als solche sollte als die einzige geeignete Rechtsgrundlage für die Speicherung von Kreditkartendaten nach dem Kauf betrachtet werden.

1Diese bereits in den Leitlinien 01/2019 des EDSA verwendete Terminologie gilt für Verhaltensregeln, die sich auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten beziehen.

 

Hinweis für Redakteure
Alle auf den Plenartagungen des EDSA angenommenen Dokumente werden den notwendigen rechtlichen, sprachlichen und formatierungsspezifischen Kontrollen unterzogen und anschließend auf der Website des EDSA veröffentlicht.

EDPB_Press Release_2021_04