EDSA-Leitlinien zum berechtigten Interesse
Verpflichtungen
Zunächst hat der EDSA eine Stellungnahme zu bestimmten Verpflichtungen an, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern im Anschluss an einen Antrag der dänischen Datenschutzbehörde (DPA) nach Art. 64 Absatz 2 DSGVO an den Ausschuss ergeben. Die Vorschrift sieht vor, dass jede Datenschutzbehörde den Ausschuss um eine Stellungnahme zu Fragen von allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat ersuchen kann. Die Stellungnahme befasst sich insbesondere mit acht Fragen zur Auslegung bestimmter Pflichten von Verantwortlichen, die sich auf Auftragsverarbeiter und Unterauftragsverarbeiter stützen, sowie dem Wortlaut von Verträgen zwischen Verantwortlichen und Auftragsverarbeitern, die sich insbesondere aus Art. 28 DSGVO ergeben.
Der EDSA ist der Auffassung, dass der für die Verarbeitung Verantwortliche nach der DSGVO nicht verpflichtet ist, die Unterverarbeitungsverträge systematisch aufzufordern, zu überprüfen, ob die Datenschutzpflichten in der Verarbeitungskette weitergegeben wurden. Der für die Verarbeitung Verantwortliche sollte prüfen, ob die Anforderung einer Kopie solcher Verträge oder deren Überprüfung erforderlich ist, um die Einhaltung der DSGVO nachweisen zu können.
Wenn die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums zwischen zwei (Unter-)Auftragsverarbeitern erfolgt, sollte der Auftragsverarbeiter als Datenexporteur außerdem die einschlägigen Unterlagen erstellen, z. B. in Bezug auf den verwendeten Übermittlungsgrund, die Folgenabschätzung für die Übermittlung und die möglichen zusätzlichen Maßnahmen. Da der für die Verarbeitung Verantwortliche jedoch weiterhin den Pflichten nach Art. 28 Absatz 1 DSGVO in Bezug auf "ausreichende Garantien" unterliegt, sollte er neben den Pflichten nach Artikel 44, um sicherzustellen, dass das Schutzniveau nicht durch die Übermittlung personenbezogener Daten untergraben wird, diese Unterlagen bewerten und der zuständigen Datenschutzbehörde vorlegen können.
Leitlinien
Außerdem nahm der Ausschuss Leitlinien für die Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses an. Die für die Verarbeitung Verantwortlichen benötigen nämlich eine Rechtsgrundlage, um personenbezogene Daten rechtmäßig zu verarbeiten. Das berechtigte Interesse ist eine der sechs möglichen Rechtsgrundlagen.
In diesen Leitlinien werden die in Art. 6 Absatz 1 Buchstabe f DSGVO festgelegten Kriterien analysiert, die für die Verarbeitung Verantwortliche erfüllen müssen, um personenbezogene Daten auf der Grundlage eines berechtigten Interesses rechtmäßig zu verarbeiten. Sie berücksichtigt auch das jüngste EuGH-Urteil vom 4.10.2024 - C-621/22. Um sich auf ein berechtigtes Interesse berufen zu können, muss der für die Verarbeitung Verantwortliche drei kumulative Voraussetzungen erfüllen:
die Verfolgung eines berechtigten Interesses durch den Verantwortlichen oder einen Dritten;
die Notwendigkeit, personenbezogene Daten zum Zwecke der Verfolgung des berechtigten Interesses zu verarbeiten;
Die Interessen oder Grundfreiheiten und Rechte natürlicher Personen haben keinen Vorrang vor den berechtigten Interessen des Verantwortlichen oder eines Dritten (Ausgleichsübung).
Die Leitlinien werden bis zum 20.11.2024 Gegenstand einer öffentlichen Konsultation sein. Anschließend verabschiedete der Ausschuss eine Erklärung im Anschluss an die Änderungen, die das Europäische Parlament und der Rat am Vorschlag der Europäischen Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensvorschriften für die Durchsetzung der DSGVO vorgenommen hatten.
Die Erklärung enthält praktische Empfehlungen, die im Rahmen der anstehenden Triloge verwendet werden können. Insbesondere bekräftigt der EDSA die Notwendigkeit einer Rechtsgrundlage und eines harmonisierten Verfahrens für gütliche Einigungen und gibt Empfehlungen ab, um sicherzustellen, dass ein Konsens über die Zusammenfassung der wichtigsten Fragen auf möglichst effiziente Weise erzielt wird. Der Ausschuss begrüßt auch die Aufnahme zusätzlicher Fristen, weist jedoch darauf hin, dass diese realistisch sein müssen, und fordert die gesetzgebenden Organe nachdrücklich auf, die Bestimmungen über die einschlägigen und begründeten Einwände und die "Begründung" im Streitbeilegungsverfahren zu streichen.
Pressemitteilung der EDSA vom 9.10.2024
Zunächst hat der EDSA eine Stellungnahme zu bestimmten Verpflichtungen an, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern im Anschluss an einen Antrag der dänischen Datenschutzbehörde (DPA) nach Art. 64 Absatz 2 DSGVO an den Ausschuss ergeben. Die Vorschrift sieht vor, dass jede Datenschutzbehörde den Ausschuss um eine Stellungnahme zu Fragen von allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat ersuchen kann. Die Stellungnahme befasst sich insbesondere mit acht Fragen zur Auslegung bestimmter Pflichten von Verantwortlichen, die sich auf Auftragsverarbeiter und Unterauftragsverarbeiter stützen, sowie dem Wortlaut von Verträgen zwischen Verantwortlichen und Auftragsverarbeitern, die sich insbesondere aus Art. 28 DSGVO ergeben.
Der EDSA ist der Auffassung, dass der für die Verarbeitung Verantwortliche nach der DSGVO nicht verpflichtet ist, die Unterverarbeitungsverträge systematisch aufzufordern, zu überprüfen, ob die Datenschutzpflichten in der Verarbeitungskette weitergegeben wurden. Der für die Verarbeitung Verantwortliche sollte prüfen, ob die Anforderung einer Kopie solcher Verträge oder deren Überprüfung erforderlich ist, um die Einhaltung der DSGVO nachweisen zu können.
Wenn die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums zwischen zwei (Unter-)Auftragsverarbeitern erfolgt, sollte der Auftragsverarbeiter als Datenexporteur außerdem die einschlägigen Unterlagen erstellen, z. B. in Bezug auf den verwendeten Übermittlungsgrund, die Folgenabschätzung für die Übermittlung und die möglichen zusätzlichen Maßnahmen. Da der für die Verarbeitung Verantwortliche jedoch weiterhin den Pflichten nach Art. 28 Absatz 1 DSGVO in Bezug auf "ausreichende Garantien" unterliegt, sollte er neben den Pflichten nach Artikel 44, um sicherzustellen, dass das Schutzniveau nicht durch die Übermittlung personenbezogener Daten untergraben wird, diese Unterlagen bewerten und der zuständigen Datenschutzbehörde vorlegen können.
Leitlinien
Außerdem nahm der Ausschuss Leitlinien für die Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses an. Die für die Verarbeitung Verantwortlichen benötigen nämlich eine Rechtsgrundlage, um personenbezogene Daten rechtmäßig zu verarbeiten. Das berechtigte Interesse ist eine der sechs möglichen Rechtsgrundlagen.
In diesen Leitlinien werden die in Art. 6 Absatz 1 Buchstabe f DSGVO festgelegten Kriterien analysiert, die für die Verarbeitung Verantwortliche erfüllen müssen, um personenbezogene Daten auf der Grundlage eines berechtigten Interesses rechtmäßig zu verarbeiten. Sie berücksichtigt auch das jüngste EuGH-Urteil vom 4.10.2024 - C-621/22. Um sich auf ein berechtigtes Interesse berufen zu können, muss der für die Verarbeitung Verantwortliche drei kumulative Voraussetzungen erfüllen:
die Verfolgung eines berechtigten Interesses durch den Verantwortlichen oder einen Dritten;
die Notwendigkeit, personenbezogene Daten zum Zwecke der Verfolgung des berechtigten Interesses zu verarbeiten;
Die Interessen oder Grundfreiheiten und Rechte natürlicher Personen haben keinen Vorrang vor den berechtigten Interessen des Verantwortlichen oder eines Dritten (Ausgleichsübung).
Die Leitlinien werden bis zum 20.11.2024 Gegenstand einer öffentlichen Konsultation sein. Anschließend verabschiedete der Ausschuss eine Erklärung im Anschluss an die Änderungen, die das Europäische Parlament und der Rat am Vorschlag der Europäischen Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensvorschriften für die Durchsetzung der DSGVO vorgenommen hatten.
Die Erklärung enthält praktische Empfehlungen, die im Rahmen der anstehenden Triloge verwendet werden können. Insbesondere bekräftigt der EDSA die Notwendigkeit einer Rechtsgrundlage und eines harmonisierten Verfahrens für gütliche Einigungen und gibt Empfehlungen ab, um sicherzustellen, dass ein Konsens über die Zusammenfassung der wichtigsten Fragen auf möglichst effiziente Weise erzielt wird. Der Ausschuss begrüßt auch die Aufnahme zusätzlicher Fristen, weist jedoch darauf hin, dass diese realistisch sein müssen, und fordert die gesetzgebenden Organe nachdrücklich auf, die Bestimmungen über die einschlägigen und begründeten Einwände und die "Begründung" im Streitbeilegungsverfahren zu streichen.