Kernpunkte:
- Themen der Key Provisions Expert Subgroup
- Leitlinien zum Auskunftsrecht
- Leitlinien zu Verantwortlichen und Auftragsverarbeitern
11 Europa und Internationales
11.1 Themen der Key Provisions Expert Subgroup
Das ULD ist als Vertreter der Aufsichtsbehörden der Länder Mitglied in der Key Provisions Expert Subgroup (KEYP) des Europäischen Datenschutzausschusses (EDSA). Die Arbeitsgruppe befasst sich mit allen Grundsatzfragen und wesentlichen Begrifflichkeiten der DSGVO. Die KEYP hat auch im Berichtszeitraum coronabedingt aus der Ferne – remote – zusammengearbeitet. Das ULD hat dabei die Funktion, die Themen und Diskussionspunkte unter den Ländern und mit dem BfDI abzustimmen und in der Expertenarbeitsgruppe zu vertreten. Eine intensive Betreuung von Leitlinien in der Rolle eines Berichterstatters (sogenannter Rapporteur) war aufgrund der knappen Personalressourcen nicht möglich.
Im Berichtszeitraum hat sich die Arbeitsgruppe mit einer Vielzahl von Themen beschäftigt. Abgeschlossen wurden die Arbeiten an den Leitlinien zum Auskunftsrecht (Tz. 11.2), die damit einen weiteren Baustein der Leitlinien zu den Betroffenenrechten zur Verfügung stellt. Hervorzuheben ist des Weiteren die Bearbeitung von Fragen zu den Leitlinien zur federführenden Behörde, die erstmals im Mai 2018 als WP 244 rev.01 und dann im Oktober 2022 als Leitlinien 8/2022 vom EDSA verabschiedet wurde. Die erarbeiteten Änderungen sind derzeit noch Gegenstand einer öffentlichen Konsultation und betreffen u. a. die Frage, wie die federführende Behörde in Fällen einer gemeinsamen Verantwortlichkeit zu bestimmen ist. Es wurde nochmals klargestellt, dass die Verantwortlichen bestimmen, wer welche Aufgaben im Rahmen einer gemeinsamen Verarbeitung übernimmt. Allerdings sind die Aufsichtsbehörden bei ihrer Aufsichtstätigkeit nicht an Vereinbarungen zwischen den Verantwortlichen bei der Bestimmung ihrer Zuständigkeit gebunden. Insbesondere hat auch die Festlegung einer Hauptniederlassung der gemeinsam Verantwortlichen für die gemeinsam zu verantwortenden Verarbeitungen nicht notwendig Auswirkungen auf die Zuständigkeit der Aufsicht.
Art. 6
Abs. 1 Buchst. f DSGVO
[…] die Verarbeitung ist zur
Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten
der betroffenen Person, die den Schutz personenbezogener Daten erfordern,
überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein
Kind handelt.
Ein weiterer wesentlicher Schwerpunkt der Arbeit bestand in der Ausarbeitung der Leitlinien zum berechtigten Interesse nach Art. 6 Abs. 1 Buchst. f DSGVO. Die Rechtsgrundlage ermöglicht Verantwortlichen die Verarbeitung in einer Vielzahl von Fällen zur Wahrung ihrer berechtigten Interessen. Maßgeblich ist, dass dabei nicht die entgegenstehenden Interessen der betroffenen Person überwiegen. Die Rechtsgrundlage ermöglicht somit Verarbeitungen von Organisationen, die nicht in unmittelbarem Zusammenhang mit einer Vertragsabwicklung stehen oder mit einer gesetzlichen Aufgabenerfüllung einhergehen. Die Abwägung der Interessen der Organisation und der betroffenen Personen stellt hier einen wesentlichen Schwerpunkt dar. Die Finalisierung der Leitlinien wird für 2023 erwartet.
11.2 Leitlinien zum Auskunftsrecht
Die Leitlinien 01/2022 des EDSA zum Auskunftsrecht (englisch: Right of Access) behandeln ein wichtiges Recht der Menschen zur Gewährleistung des Grundrechts auf Datenschutz aus Artikel 8 Charta der Grundrechte der Europäischen Union (GRCh). Erst das Wissen über eine Verarbeitung ermöglicht es, die Richtigkeit personenbezogener Daten und die Berechtigung zur Verarbeitung selbst zu prüfen oder überprüfen zu lassen. Das Auskunftsrecht nach Artikel 15 DSGVO ermöglicht damit Transparenz über die Arten und Kategorien personenbezogener Daten bei einer Organisation. Zwar kann durch das Auskunftsrecht die Rechtmäßigkeit der Verarbeitung in Gänze nicht umfassend geprüft werden, doch ermöglicht es der von einer Verarbeitung betroffenen Person einen Überblick über den Umfang und die Zwecke der Verarbeitung.
Artikel
8 GRCh:
Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf
Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu
und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person
oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet
werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen
Daten zu erhalten und die Berichtigung der Daten zu erwirken.
Die Leitlinien zum Auskunftsrecht beleuchten die Grundlagen des Rechts auf Auskunft nach Maßgabe des Artikels 15 DSGVO und stellen – auch anhand von Beispielen – dar, welche Rechte betroffene Personen und welche Pflichten verantwortliche Organisationen bei der Beauskunftung haben. Dabei werden die Form und die Modalitäten der Auskunft dargestellt.
Grundsätzlich muss eine Auskunft erfragende Person keine Gründe angeben, warum sie die Auskunft verlangt. Unternehmen, öffentliche Stellen und andere Organisationen sind verpflichtet zu bestätigen, ob bei ihr personenbezogene Daten der anfragenden Person verarbeitet – d. h. beispielsweise aufbewahrt, weitergegeben oder genutzt – werden. Die betroffene Person muss Zugang zu diesen Daten erhalten. Dies geschieht in der Regel durch die Übersendung einer elektronischen oder analogen Kopie oder auch durch die Gewährung eines Online-Zugangs. Weitere Informationen, die bereitzustellen sind, umfassen die Zwecke der Verarbeitung, die Kategorien von Daten und Empfängern, die Dauer der Verarbeitung, die Betroffenenrechte sowie die Sicherheiten bei Übermittlungen der Daten in Drittländer außerhalb der EU, bei denen kein angemessenes Datenschutzniveau bestätigt wurde.
Die allgemeinen Prinzipien des Rechts auf Auskunft umfassen:
- Vollständigkeit der Information,
- Richtigkeit der Information,
- Eingang des Antrags als Referenzzeitpunkt für die Auskunft,
- Sicherheit der Übermittlung der Information.
Das Recht auf Auskunft ist vom Recht auf Zugang zu öffentlichen Informationen zu unterscheiden. Letzteres zielt darauf ab, die Transparenz von Entscheidungen und der Praxis der öffentlichen Verwaltung zu ermöglichen.
Die Leitlinien in englischer Sprache sind unter dem folgenden
Link abrufbar:
https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf
Kurzlink: https://uldsh.de/tb41-11-2a
Zu den Leitlinien zum Auskunftsrecht wurde eine öffentliche Konsultation durchgeführt. Eine abschließende Fassung ist noch in Bearbeitung. Die Anmerkungen aus der öffentlichen Konsultation können unter dem folgenden Link eingesehen werden:
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en
Kurzlink: https://uldsh.de/tb41-11-2b
Was ist zu tun?
Die EDSA-Leitlinien zum
Auskunftsrecht sollen Verantwortlichen, Bürgerinnen und Bürgern sowie der
Datenschutzaufsicht eine Hilfestellung bei der einheitlichen Auslegung und
Anwendung des Artikels 15 DSGVO zur Gewährleistung des Grundrechts auf
Datenschutz geben.
11.3 Leitlinien zu Verantwortlichen und Auftragsverarbeitern – nun in Deutsch
Die deutsche Übersetzung der im Juli 2021 vom EDSA angenommenen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO wurde im Berichtszeitraum abgeschlossen und steht nunmehr in deutscher Sprache zur Verfügung.
Die Leitlinien beschreiben die Komponenten der gesetzlichen Begriffsdefinitionen sowie die rechtlichen und praktischen Folgen der Zuweisung: die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter und dessen Auswahl sowie bei einer gemeinsamen Verantwortlichkeit.
Ein klares Verständnis der Begriffe „Verantwortlicher“, „gemeinsam Verantwortliche“ und „Auftragsverarbeiter“ ermöglicht eine passgenaue Zuordnung der bei der Verarbeitung personenbezogener Daten beteiligten Stellen. Sie bestimmt, wer für die Einhaltung der Datenschutzvorschriften verantwortlich ist und gegenüber welcher Organisation die betroffene Person ihre Rechte durchsetzen kann. Es handelt sich dabei um funktionelle Konzepte, d. h., es kommt nicht darauf an, wie sich die Organisation selbst bezeichnet, sondern darauf, welche Aufgaben und Rollen tatsächlich ausgeführt werden.
Die Leitlinien führen aus, wie Verantwortlichkeit nach der gesetzlichen Definition bestimmt werden kann. Danach legt ein Verantwortlicher die Zwecke und Mittel der Verarbeitung fest, d. h. das Warum und das Wie der Verarbeitung, und entscheidet über die dafür verwendeten wesentlichen Mittel. Eine gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Stellen an der Festlegung der Zwecke und Mittel eines Verarbeitungsvorgangs beteiligt sind. Die Beteiligung muss relevante Auswirkungen auf die Bestimmung der Zwecke und Mittel der Verarbeitung haben, sodass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre und ihre Beiträge notwendig miteinander verbunden sind. Ein Auftragsverarbeiter agiert demgegenüber als eine eigenständige Einheit, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.
Die Leitlinien haben eine hohe praktische Bedeutung, insbesondere bei komplexen Verarbeitungssituationen, an denen unterschiedliche „Dienstleister“ beteiligt sind. Nur bei einer exakten Bestimmung der Rollen können die Rechte und Pflichten der DSGVO wahrgenommen und es kann dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO Genüge getan werden.
Die Stellungnahme ist unter dem folgenden Link abrufbar:
https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_de.pdf
Kurzlink: https://uldsh.de/tb41-11-3
11.4 Akkreditierung und Zertifizierung in der europäischen Expert Subgroup
Die u. a. für Fragen der Akkreditierung und Zertifizierung auf europäischer Ebene zuständige Compliance, eGovernment und Health Expert Subgroup (CEH Expert Subgroup) hat sich im Berichtszeitraum wieder mit einer Vielzahl von Fragen rund um diese Themen beschäftigt, wobei wir unsere Erfahrungen auch dieses Mal an vielen unterschiedlichen Stellen einbringen konnten.
So wurden, ebenso wie das Papier zu den Anforderungen an datenschutzrechtliche Zertifizierungsprogramme in Deutschland (Tz. 9.2), die „Guidance – Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation) Certification criteria assessment” überarbeitet, um sie an neue Entwicklungen anzupassen.
Diese Überarbeitung war und ist eng verknüpft mit der Beratung und Klärung von Grundsatzfragen im Themenbereich der Zertifizierung, aber auch der Akkreditierung. Diese sich verändernden Anforderungen und zu klärenden Fragestellungen sind das Ergebnis der zunehmenden Einreichung vielfältiger nationaler datenschutzrechtlicher Zertifizierungsprogramme, die jeweils durch die zuständigen Datenschutzaufsichtsbehörden genehmigt werden müssen und für die der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme abgeben muss – was bei den ersten Verfahren auch geschah. Hinzu kam ein erstes europäisches Verfahren, das durch den EDSA genehmigt werden musste und zu zahlreichen Diskussionen innerhalb der Subgroup führte.
Auch war es beispielsweise im Rahmen von Fragen zur Datenübermittlung in Drittstaaten gemäß Artikel 46 DSGVO notwendig, die Auffassungen der International Transfer Subgroup (ITS) zu beachten und diese bei der Klärung spezieller Aspekte in diesem Themenfeld einzubinden.
Darüber hinaus konnten wir uns auch im zurückliegenden Berichtszeitraum in die Bewertung von Zertifizierungskriterien aus Deutschland sowie aus anderen Mitgliedstaaten und in die Erstellung von Stellungnahmen zu diesen einbringen und so wichtige Erkenntnisse für die Verfahren deutscher Antragsteller gewinnen. Zudem haben wir uns wieder an der Erstellung von Stellungnahmen ergänzender Akkreditierungskriterien zur ISO 17065 anderer EU-Mitgliedstaaten beteiligt.
Die Leitlinien 1/2018
für die Zertifizierung und Ermittlung von Zertifizierungskriterien nach den
Artikeln 42 und 43 der Verordnung (EU) 2016/679 können über folgenden Link
abgerufen werden:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying_de
Kurzlink: https://uldsh.de/tb41-11-4
Was
ist zu tun?
Das Engagement in Europa für den
Austausch zu Akkreditierungs- und Zertifizierungsvorgaben und kritische Stellungnahmen
ist fortzusetzen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |