Skip to main content

Neue Entwicklungen im Datenschutzrecht – neue Leitlinien und Stellungnahmen des EDSA

Der Europäische Datenschutzausschuss (EDSA) hat sich jüngst zu verschiedenen brisanten Themenfeldern (neu) positioniert und drei neue Leitlinien bzw. Stellungnahmen veröffentlicht. Zwar sind diese nicht rechtsverbindlich, jedoch haben sie teilweise erheblichen Einfluss auf etwaige Verfahren vor den Aufsichtsbehörden und Gerichten.
 

1. EDSA überarbeitet Leitlinie zur Anwendung der ePrivacy-Richtlinie

Der EDSA hat (nach Abschluss der öffentlichen Konsultationen) am 16. Oktober 2024 die finalen Leitlinien 02/2023 (hier auf Englisch abrufbar) zur Anwendung von Art. 5 Abs. 3 der ePrivacy-Richtlinie 2002/58/EG (ePrivacy-RL) auf verschiedene technische Lösungen veröffentlicht.

Nach Art. 5 Abs. 3 ePrivacy-RL ist, von zwei eng auszulegenden Ausnahmen abgesehen, die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der Nutzer zuvor eine Einwilligung nach dem strengen DSGVO-Maßstab abgegeben hat. Die neuen EDSA-Leitlinien beschreiben die technischen Vorgänge, die aus Sicht der europäischen Datenschutzaufsichtsbehörden von Art. 5 Abs. 3 der ePrivacy-RL erfasst sind, und gehen dabei insbesondere auf neue Tracking-Methoden ein, die als Ersatz für bestehende Tools wie Cookies entwickelt wurden. Der EDSA hebt in diesem Zusammenhang die Bedeutung der Einwilligung hervor und legt Art. 5 Abs. 3 der ePrivacy-RL sehr weit aus. Die Leitlinien analysieren ferner die Schlüsselkriterien für die Einschlägigkeit der ePrivacy-RL, einschließlich der Begriffe Information, Endgerät und Zugang zu gespeicherten Informationen, und untersuchen verschiedene Anwendungsfälle wie z.B. das URL-Tracking oder das IP-Tracking.

Im Ergebnis wird hiermit der (ohnehin weite) Anwendungsbereich des Art. 5 Abs. 3 ePrivacy-RL noch einmal erweitert und beinahe jede Form von Nutzer-Tracking unter den Einwilligungsvorbehalt gestellt. Die praktische Umsetzung rechtskonformer Tracking-Methoden dürfte von Unternehmen somit künftig noch kritischer geprüft werden müssen.
 

2. EDSA positioniert sich zum Einsatz von Auftragsverarbeitern

Am 7. Oktober 2024 hat der EDSA seine Stellungnahme 22/2024 (hier auf Englisch abrufbar) veröffentlicht. Diese setzt sich mit dem Umfang der Verpflichtungen auseinander, die sich für Verantwortliche beim Einsatz
von Auftragsverarbeitern und Unterauftragsverarbeitern ergeben.

Die Stellungnahme konkretisiert die Vorgaben aus Art. 24 und 28 DSGVO und nimmt Verantwortliche verstärkt in die Pflicht, kontinuierlich für ein angemessenes Schutzniveau zu sorgen und dies durch periodische Überprüfungen auch sicherzustellen. Damit erteilt der EDSA eine klare Absage an die oft gelebte Praxis, einmalig eine Auftragsverarbeitungs-Vereinbarung abzuschließen und das Thema anschließend als erledigt zu betrachten.

Konkret hebt die Stellungnahme die Pflichten von Verantwortlichen hervor, unabhängig vom Verarbeitungsrisiko, stets über aktuelle Informationen zu (Unter-)Auftragsverarbeitern zu verfügen und sicherzustellen, dass diese ausreichende Garantien für die Rechte und Freiheiten der betroffenen Personen bieten. Der Umfang der erforderlichen Überprüfung der Maßnahmen von Auftragsverarbeitern soll dabei risikoabhängig variieren.

Auch soll aus Sicht des EDSA die finale Entscheidung über den Einsatz eines
Unterauftragsverarbeiters beim Verantwortlichen verbleiben, wobei dieser auch prüfen und belegen können soll, dass die Datenschutzmaßnahmen des Unterauftragsverarbeiters hinreichend sind. Auch hier soll die Kontrolldichte aber risikoabhängig variieren. Dies soll nicht zuletzt auch bei Datenübermittlungen zwischen (Unter-)Auftragsverarbeitern außerhalb des Europäischen Wirtschaftsraums gelten. Hier sollen die Verantwortlichen sicherstellen, dass alle Datentransfers DSGVO-konform ablaufen und – im Zweifelsfall gemeinsam mit den Auftragsverarbeitern – hierfür haften: Der EDSA betont, dass der Verantwortliche zwar die letztendliche Verantwortung für die Verpflichtungen eines Unterauftragsverarbeiters trägt, der Auftragsverarbeiter jedoch gegenüber dem Verantwortlichen dafür haftet, dass die Datenschutzverpflichtungen in den Unterauftragsverarbeitungsverträgen ordnungsgemäß weitergegeben werden. Daher kann der Verantwortliche ggf. vertragliche Ansprüche gegen den Auftragsverarbeiter geltend machen.

Verträge mit Auftragsverarbeitern sollen in diesem Kontext klare Anweisungen enthalten und differenzieren, wie mit für die Verarbeitung relevanten Gesetzen von Drittländern umgegangen wird, um DSGVO-Konformität zu gewährleisten. Insbesondere legt der EDSA nahe, in Auftragsverarbeitungsverträgen eine an Art. 28 Abs. 3 lit. a) DSGVO angelehnte Formulierung aufzunehmen, wonach zwingendes nationales Recht im Konfliktfall Vorrang hat.

Für verantwortliche Unternehmen ergibt sich hieraus ein erhöhter Prüf- und Dokumentationsaufwand — sowohl bei der Auswahl, als auch bei der anschließenden Zusammenarbeit mit Auftragsverarbeitern. Auftragsverarbeiter hingegen sollten an ihrer internen Dokumentation arbeiten, um Verantwortlichen entsprechend Rede und Antwort stehen zu können.


3. Neue Leitlinien des EDSA zur Ermittlung "berechtigter Interessen"

In den Leitlinien 1/2024 (hier auf Englisch abrufbar) für die Verarbeitung personenbezogener Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) stellt der EDSA seine Ansichten zu diesem besonders praxisrelevanten Erlaubnistatbestand dar. Es handelt sich aktuell noch um eine vorläufige Fassung, die bis zum 20. November 2024 zur öffentlichen Konsultation steht.

Zunächst werden in den Leitlinien die bekannten drei Kriterien des Art. 6 Abs. 1 lit. f DSGVO zusammengefasst: Erstens muss der Verantwortliche oder ein Dritter ein berechtigtes Interesse an der geplanten Verarbeitung haben, das rechtmäßig, spezifisch formuliert, real und gegenwärtig ist. Zweitens muss die Verarbeitung notwendig sein, um das berechtigte Interesse zu erreichen, d. h. es dürfen keine weniger invasiven Alternativen zur Verfügung stehen. Drittens muss der Verantwortliche prüfen, ob das berechtigte Interesse die Interessen, Rechte und Freiheiten des Einzelnen überwiegt, und dabei die Auswirkungen der Verarbeitung, die Erwartungen der Betroffenen und mögliche Schutzmaßnahmen berücksichtigen.

Der EDSA betont in den Leitlinien, dass für jeden Verarbeitungsvorgang eine entsprechende Abwägung vorgenommen werden soll. Bevor eine Verarbeitung beginnt, soll der Verantwortliche prüfen und dokumentieren, ob die nötigen Bedingungen erfüllt sind. Betont wird außerdem, dass Verantwortliche verpflichtet sind, die betroffenen Personen über die berechtigten Interessen zu informieren, die sie bei der Anwendung dieser Rechtsgrundlage verfolgen.

Die Leitlinien erinnern außerdem daran, dass sich öffentliche Stellen grundsätzlich nicht auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen können, wenn sie in Erfüllung ihrer hoheitlichen Aufgaben handeln (vgl. ErwG 47 DSGVO). Dies wird vielfach als genereller Ausschluss des berechtigten Interesses für öffentliche Stellen interpretiert, da Behörden keine andere Tätigkeit als die Erfüllung ihrer Aufgaben vornehmen dürfen. Allerdings lässt der EDSA in seinen Leitlinien Ausnahmen zu und verweist darauf, dass in begrenzten und besonderen Fällen das berechtigte Interesse auch von öffentlichen Stellen herangezogen werden kann.

In der Praxis könnte dies etwa bei der Leistungsverwaltung oder der Durchführung interner Veranstaltungen relevant werden. Hier bleibt die weitere Entwicklung in der Konsultationsphase abzuwarten, um ein präziseres Verständnis dieser Ausnahmeregelungen zu gewinnen.