Europäischer Datenschutzausschuss

Europäischer Datenschutzausschuss – 37. Plenartagung: Leitlinien zu den Begriffen„ Verantwortlicher“ und „Auftragsverarbeiter“, Leitlinien für die gezielte Ansprache von Nutzern sozialer Medien, Taskforce zu Beschwerden, die im Anschluss an das EuGH-Urtei

Friday, 4 September, 2020

Brüssel, 3. September - Der Ausschuss verabschiedete Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der Datenschutz-Grundverordnung sowie Leitlinien für die gezielte Ansprache von Nutzern sozialer Medien. Darüber hinaus schuf der Europäische Datenschutzausschuss eine Taskforce für Beschwerden im Anschluss an das EuGH-Urteil in der Rechtssache Schrems II sowie eine Taskforce, die sich mit den ergänzenden Maßnahmen befasst, die Datenexporteure und -importeure angesichts des EuGH-Urteils in der Rechtssache Schrems II zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung von Daten möglicherweise ergreifen müssen.

Der Ausschuss nahm Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der Datenschutz-Grundverordnung an. Seit Beginn der Anwendung der Datenschutz-Grundverordnung sind Fragen aufgeworfen worden, inwieweit die Datenschutz-Grundverordnung Änderungen dieser Begriffe mit sich brachte, insbesondere hinsichtlich des Begriffs „gemeinsam Verantwortliche“ (wie in Artikel 26 der Datenschutz-Grundverordnung und infolge mehrerer Urteile des EuGH festgelegt) sowie der Pflichten der Auftragsverarbeiter (insbesondere Artikel 28 DSGVO), die in Kapitel IV der DSGVO festgelegt sind.

Im März 2019 organisierte der EDSA zusammen mit seinem Sekretariat eine Veranstaltung für Interessenträger, auf der deutlich wurde, dass ein Bedarf an mehr praktischer Orientierung bestand, und die es dem Ausschuss ermöglichte, die in dieser Frage bestehenden Belange und Anliegen besser zu verstehen. Die neuen Leitlinien bestehen aus zwei Hauptteilen: einem Teil, in dem die verschiedenen Begriffe erläutert werden, und einem Teil mit ausführlichen Leitlinien zu den wichtigsten Folgen, die sich aus diesen Begriffen für die Verantwortlichen, die Auftragsverarbeiter und die gemeinsam Verantwortlichen ergeben. Die Leitlinien enthalten ein Flussdiagramm, in dem weitere praktische Hinweise gegeben werden. Für die Leitlinien wird eine öffentliche Konsultation durchgeführt.

Der Europäische Datenschutzausschuss nahm Leitlinien für die gezielte Ansprache von Nutzern sozialer Medien an. Die Leitlinien zielen darauf ab, den Interessenträgern eine praktische Orientierung zu geben, und enthalten verschiedene Beispiele für unterschiedliche Situationen, sodass die Interessenträger schnell das „Szenario“ ermitteln können, das den von ihnen geplanten gezielten Ansprachetechniken am nächsten kommt. Das Hauptziel der Leitlinien besteht darin, die Rollen und Verantwortlichkeiten des Anbieters sozialer Medien und der Personen, an die sie gerichtet sind, zu klären. Zu diesem Zweck dienen die Leitlinien unter anderem der Ermittlung der potenziellen Risiken für die Freiheiten des Einzelnen, der Hauptakteure und ihrer Rollen, der Anwendung der wichtigsten Datenschutzanforderungen wie Rechtmäßigkeit, Transparenz und Datenschutz-Folgenabschätzung sowie der Schlüsselelemente von Vereinbarungen zwischen Anbietern sozialer Medien und den Personen, an die sie gerichtet sind. Darüber hinaus liegt ein Schwerpunkt der Leitlinien auf den verschiedenen Ansprachetechniken, der Verarbeitung spezieller Datenkategorien und der Verpflichtung der gemeinsamen Verantwortlichen, eine angemessene Regelung gemäß Artikel 26 DSGVO zu gewährleisten. Das Plenum wird die Leitlinien zur öffentlichen Konsultation vorlegen.

Der Europäische Datenschutzausschuss schuf eine Taskforce zu Beschwerden im Anschluss an das EuGH-Urteil in der Rechtssache Schrems II. Insgesamt wurden 101 identische Beschwerden bei den Datenschutzbehörden des EWR gegen mehrere Verantwortliche in den EWR-Mitgliedstaaten eingereicht, die sich auf ihre Nutzung von Google-/Facebook-Diensten beziehen, bei denen personenbezogene Daten übertragen werden. Konkret machen die Beschwerdeführer, vertreten durch die NRO NOYB, geltend, dass Google/Facebook personenbezogene Daten unter Berufung auf das EU-US-Datenschutzschild oder Standardvertragsklauseln in die USA übermittelt und dass der Verantwortliche laut dem jüngsten EuGH-Urteil in der Rechtssache C-311/18 nicht in der Lage ist, ein angemessenes Schutzniveau der personenbezogenen Daten der Beschwerdeführer zu gewährleisten. Die Taskforce wird den Sachverhalt untersuchen und eine enge Zusammenarbeit zwischen den Mitgliedern des Ausschusses gewährleisten.

Als Folgemaßnahme im Anschluss an das EuGH-Urteil in der Rechtssache Schrems II und zusätzlich zu dem am 23. Juli angenommenen Dokument „Häufig gestellte Fragen“ hat der Ausschuss eine Taskforce eingerichtet. Diese Taskforce wird Empfehlungen ausarbeiten, um die Verantwortlichen und Auftragsverarbeiter bei ihrer Aufgabe zu unterstützen, geeignete zusätzliche Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung von Daten in Drittländer zu ermitteln und umzusetzen.

Andrea Jelinek, Vorsitzende des Europäischen Datenschutzausschusses: „Der Europäischen Datenschutzausschuss ist sich sehr wohl bewusst, dass das Schrems-II-Urteil den Verantwortlichen eine wichtige Verantwortung überträgt. Zusätzlich zu der Erklärung und dem Dokument „Häufig gestellte Fragen“, das wir kurz nach dem Urteil herausgegeben haben, werden wir Empfehlungen ausarbeiten, um die Verantwortlichen und die Auftragsverarbeiter hinsichtlich ihrer Pflicht zu unterstützen, geeignete ergänzende Maßnahmen rechtlicher, fachlicher und organisatorischer Art zu ermitteln und umzusetzen, um den der Sache nach gleichwertigen Standard bei der Übermittlung personenbezogener Daten in Drittländer zu erfüllen. Die Auswirkungen des Urteils sind jedoch weitreichend, und die Kontexte der Datenübermittlung an Drittländer sind sehr unterschiedlich. Deshalb kann es keine Pauschallösung geben, die allen gerecht wird. Jede Organisation wird ihre eigenen Datenverarbeitungsvorgänge und -übertragungen bewerten und geeignete Maßnahmen ergreifen müssen".

Hinweise für die Redaktion:
Wir weisen darauf hin, dass alle im Rahmen der EDSA-Plenartagung angenommenen Dokumente den erforderlichen rechtlichen, sprachlichen und Formatierungsprüfungen unterliegen und nach deren Abschluss auf der EDSA-Website zur Verfügung gestellt werden.

EDPB_Press Release_2020_14