Europäischer Datenschutzausschuss

EDPB News

2021

03 February 2021

EDPB adopts Recommendations on Art. 36 LED – Adequacy referential, Opinion on the H3C/PCAOB Administrative Arrangement, Statement on new draft provisions on a protocol to Cybercrime Convention, Response to EC questionnaire on processing personal data for scientific research & discussion on Whatsapp privacy polic.

During its 45th plenary session, the EDPB adopted a wide range of documents. In addition, the Board discussed Whatsapp’s updated privacy policy. 

The EDPB adopted Recommendations on the adequacy referential under the Law Enforcement Directive (LED). The EDPB ensures the consistent application of EU data protection law in the EU, including of the Law Enforcement Directive (LED), which deals with the processing of personal data for law enforcement purposes. The aim of the Recommendations is to provide a list of elements to be examined when assessing the adequacy of a third country under the LED. The document recalls the concept and procedural aspects of adequacy according to the LED and the case law of the CJEU, and lays down the EU standards for data protection for police and judicial cooperation in criminal matters.

The EDPB adopted an opinion on the draft Administrative Arrangement (AA) for transfers of personal data between the Haut Conseil du Commissariat aux Comptes (H3C) and the Public Company Accounting Oversight Board (PCAOB). This AA will be submitted to the French SA for authorisation at national level. The French SA will monitor the application of the AA in practice and, if necessary, suspend any transfer performed by the H3C, if the AA ceases to provide data subjects with an essentially equivalent level of protection.

The EDPB adopted a Statement on the draft provisions on a protocol to the Cybercrime Convention. This statement complements the EDPB contribution to the draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention) and follows the publication of the new draft provisions. 
In this statement, the EDPB recalls that the provisions currently being discussed are likely to affect the conditions for access to personal data in the EU for law enforcement purposes and calls for a careful scrutiny of the ongoing negotiation by the relevant EU and national institutions. In addition, the EDPB stresses the need to guarantee full consistency with the EU acquis in the field of personal data protection. 

The EDPB adopted its response to the European Commission questionnaire on processing personal data for scientific research, focusing on health related research. The answers provided by the EDPB form a preliminary position on this topic and aim to provide clarity as to the application of the GDPR in the domain of scientific health research. The EDPB is currently developing guidelines on processing personal data for scientific research purposes that will elaborate on these issues. 

Finally, the Members of the Board had an exchange of views on WhatsApp's recent Privacy Policy update. The EDPB will continue to facilitate this exchange of information between authorities, in order to ensure a consistent application of data protection law across the EU in accordance with its mandate.

The agenda of the forty-fifth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_1

18 January 2021

The EDPB adopted guidelines on examples regarding data breach notification. These guidelines complement the WP 29 guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. The guidelines contain an inventory of data breach notification cases deemed most common by the national supervisory authorities (SAs), such as ransomware attacks; data exfiltration attacks; and lost or stolen devices and paper documents. Per case category, the guidelines present the most typical good or bad practices, advice on how risks should be identified and assessed, highlight the factors that should be given particular consideration, as well as inform in which cases the controller should notify the SA and/or notify the data subjects. The guidelines will be submitted for public consultation for a period of six weeks.

 

The guidelines and more information about the public consultation are available here

EDPB_Press Release_statement_2021_02

 

15 January 2021

Brüssel, 15. Januar - Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben gemeinsame Stellungnahmen zu zwei Sätzen neuer Standardvertragsklauseln (SVK) angenommen. Dabei handelt es sich um eine Stellungnahme zu den SVK für Verträge zwischen Verantwortlichen und Auftragsverarbeitern und um eine Stellungnahme zu den SVK für die Übermittlung personenbezogener Daten in Drittländer.

Die SVK für Verträge zwischen Verantwortlichen und Auftragsverarbeitern werden EU-weite Wirkung haben und darauf abzielen, in der gesamten EU eine vollständige Harmonisierung und Rechtssicherheit bei den Kontakten zwischen Verantwortlichen und ihren Auftragsverarbeitern sicherzustellen.

Andrea Jelinek, Vorsitzende des EDSA, sagte: „Der EDSA und der EDSB begrüßen die SVK für Verträge zwischen Verantwortlichen und Auftragsverarbeitern als einheitliches, starkes und EU-weites Instrument für die Rechenschaftspflicht, das die Einhaltung der Bestimmungen sowohl der DSGVO als auch der EU-Datenschutzverordnung vereinfacht. Der EDSA und der EDSB fordern, dass ausreichend Klarheit darüber geschaffen wird, in welchen Situationen die Parteien sich auf diese SVK stützen können, und sie betonen, dass dabei Situationen, die Datenübermittlungen in Länder außerhalb der EU mit sich bringen, nicht ausgeschlossen werden sollten.“

Um den Text zu präzisieren und seinen praktischen Nutzen für die tägliche Arbeit der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter sicherzustellen, sind mehrere einschlägige Änderungen angeregt worden. Dabei geht es auch um das Zusammenspiel der beiden Dokumente, um die sogenannte Koppelungsklausel, die zusätzlichen Stellen einen Rückgriff auf die SVK ermöglicht, sowie um sonstige Aspekte der den Auftragsverarbeitern obliegenden Pflichten. Außerdem schlagen der EDSA und der EDSB vor, dass in den Anhängen der SVK so weit wie möglich die zwischen den Parteien bestehende Aufgaben- und Rollenverteilung bei den einzelnen Verarbeitungstätigkeiten präzisiert wird, denn Uneindeutigkeiten jedweder Art würden es den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern erschweren, ihren Rechenschaftspflichten nachzukommen.

Wojciech Wiewiórowski, EDSB, sagte: „Wir sind überzeugt, dass diese SVK den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern die Einhaltung der ihnen aus der DSGVO und aus dem einschlägigen Rechtsrahmen der Organe und Einrichtungen der EU erwachsenden Pflichten erleichtern. Zudem hoffen wird, dass diese SVK zu einer weiteren Harmonisierung und zu größerer Rechtssicherheit für Einzelpersonen und ihre personenbezogenen Daten beitragen. Angesichts dessen möchten wir diese Dokumente so zukunftssicher wie möglich machen.”

Der Entwurf von SVK für die Übermittlung personenbezogener Daten in Drittländer gemäß Artikel 46 Absatz 2 Buchstabe c DSGVO bezweckt die Ersetzung der bestehenden SVK für internationale Datenübermittlungen, die auf der Grundlage der Richtlinie 95/46/EG angenommen wurden und einer Aktualisierung zur Anpassung an die Anforderungen der DSGVO bedürfen. Er trägt ferner dem Urteil des EuGH in der Rechtssache „Schrems II“ Rechnung und soll sicherstellen, dass zudem der weitverbreiteten Nutzung neuer und komplexerer Verarbeitungsvorgänge, an denen oftmals zahlreiche Datenimporteure und ‑exporteure beteiligt sind, besser Rechnung getragen wird. Unter anderem enthalten die neuen SVK konkretere Garantien für den Fall, dass die Rechtsvorschriften des Bestimmungslandes die Einhaltung der Klauseln beeinträchtigen (insbesondere bei verbindlichen Ersuchen von Behörden um Offenlegung personenbezogener Daten).

Wojciech Wiewiórowski, EDSB, sagte: Wir haben uns bei unseren Anmerkungen auf unsere praktische Erfahrung gestützt. Ziel ist die Verbesserung der SVK, damit gänzlich sichergestellt ist, dass personenbezogene Daten von EU-Bürgern bei Übermittlungen in Drittländer im Wesentlichen gleichwertig geschützt werden. Wir sind sicher, dass diese Vorschläge und Änderungen wesentlich dazu beitragen können, dieses Ziel in der Praxis zu erreichen.”

Der EDSA und der EDSB sind zudem überzeugt, dass die vorgeschlagenen neuen SVK generell einen stärkeren Schutz der von den Datenverarbeitungen betroffenen Personen bewirken wirken. Sie begrüßen insbesondere die spezifischen Bestimmungen, mit denen einige der im Urteil in der Rechtssache „Schrems II“ kritisierten Punkte angegangen werden sollen. Der EDSA und der EDSB sind aber auch der Auffassung, dass bestimmte Bestimmungen verbessert oder präzisiert werden könnten, etwa über den Anwendungsbereich der Standardvertragsklauseln, über bestimmte Rechte von Drittbegünstigten, über bestimmte Pflichten im Zusammenhang mit der Datenweiterleitung, über bestimmte Aspekte der Prüfung von in Drittländern geltenden Rechtsvorschriften über den Zugang von Behörden zu öffentlichen Daten sowie über die Benachrichtigung der Aufsichtsbehörde.

Andrea Jelinek, Vorsitzende des EDSA, fügte diesbezüglich hinzu: „Die Bedingungen, unter denen SVK verwendet werden dürfen, müssen für alle Organisationen klar ersichtlich sein, und alle von Datenverarbeitungen betroffenen Personen sollten über wirksame Rechte und insbesondere das Recht auf einen wirksamen Rechtsbehelf verfügen. Auch sollten die SVK eine klare Verteilung der Rollen und der Haftungsregelung unter den Parteien vorsehen. Was die Notwendigkeit betrifft, in bestimmten Fällen ergänzende Ad-hoc-Maßnahmen zu ergreifen, um sicherzustellen, dass den betroffenen Personen ein Schutzniveau geboten wird, das im Wesentlichen dem in der EU gewährleisteten Schutzniveau entspricht, so sollten die neuen SVK im Verbund mit den Empfehlungen des EDSA für ergänzende Maßnahmen verwendet werden.”

Der EDSA und der EDSB ersuchen die Kommission, auf die endgültige Fassung der Empfehlungen des EDSA für ergänzende Maßnahmen zu verweisen, falls die endgültige Fassung der Empfehlungen vor dem Beschluss der Kommission über die SVK angenommen wird. Dieses Dokument wurde zur öffentlichen Konsultation bis zum 21. Dezember 2020 vorgelegt und unterliegt noch möglichen weiteren Änderungen auf der Grundlage der Ergebnisse der öffentlichen Konsultation.

 

Hinweis für Redakteure  
Alle auf den Plenartagungen des EDSA angenommenen Dokumente werden den notwendigen rechtlichen, sprachlichen und formatierungsspezifischen Kontrollen unterzogen und anschließend auf der Website des EDSA veröffentlicht.

 

EDPB_Press Release_statement_2021_01