Datenschutz­woche

#155

Neue Leitlinien des EDSA zur Interessensabwägung

Der Europäische Datenschutzausschuss (EDSA) hat am 8. Oktober neue Leitlinien angenommen. Darin werden die Kriterien für die nach Art. 6 Abs. 1 lit. f DSGVO vorzunehmende Interessensabwägung festlegt.

Folgende drei Kriterien müssen dafür kumulativ erfüllt sein:

  • Berechtigtes Interesse: Die Verarbeitung personenbezogener Daten muss dem berechtigten Interesse des Verantwortlichen oder eines Dritten dienen. Dieses Interesse muss legitim sein und genau formuliert werden
  • Notwendigkeit der Verarbeitung: Die Verarbeitung muss für die Zwecke des verfolgten berechtigten Interesses notwendig sein. Es soll geprüft werden, ob die verfolgten berechtigten Interessen nicht ebenso wirksam durch andere Mittel erreicht werden können.
  • Abwägung der Interessen: Die Interessen oder Grundfreiheiten der betroffenen Person dürfen keinen Vorrang vor den berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten haben. Dies setzt eine Abwägung voraus, die von den konkreten Umständen der jeweiligen Verarbeitung abhängt.

Die Leitlinien des EDSA geben eine detaillierte Anleitung, wie die Bewertung im Rahmen konkreter Beispiele wie der Betrugsbekämpfung, der Verarbeitung personenbezogener Daten von Kindern oder für die Zwecke des Direktmarketings durchgeführt werden kann. Außerdem werden die Rechte der betroffenen Person im Verhältnis zu Art. 6 Abs. 1 lit. f DSGVO beleuchtet.

EDSA-Stellungnahme: Verpflichtungen bei der Nutzung von Auftrags- und Unterauftragsverarbeitern

In einer aktuellen Stellungnahme hat sich der Europäische Datenschutzausschuss (EDSA) zu den Pflichten von Verantwortlichen bei der Beauftragung von Auftragsverarbeitern und Unterauftragsverarbeitern geäußert. Demnach müssen Verantwortliche jederzeit Informationen über die Identität aller Auftrags- und Unterauftragsverarbeiter bereithalten. Diese sollen von den Auftragsverarbeitern bereitgestellt und aktualisiert werden.

Zudem müssen Verantwortliche hinreichende Garantien bieten, dass sie geeignete Maßnahmen zum Schutz der betroffenen Personen ergreifen und die Verarbeitung im Einklang mit der DSGVO erfolgt.

Der EDSA behandelt auch Drittlandsübermittlungen, bei denen der Auftragsverarbeiter entsprechende Dokumentationen erstellen muss.

Internationale Nachrichten

  • Frankreich: Die französische Aufsichtsbehörde CNIL verhängte Bußgelder i.H.v. von 250.000 und 150.000 Euro gegen COSMOSPACE und TELEMAQUE wegen übermäßiger Speicherung personenbezogener Daten.  
  • Vereinigtes Königreich: Die britische Aufsichtsbehörde ICO verhängte Bußgelder i.H.v. 120.000 Pfund gegen Unternehmen, die sich in aggressiven Marketingkampagnen an Betroffene von Demenz richteten.

Aktuelle Gerichtsentscheidungen

  • BAG, Urteil vom 20.06.2024, Az. 8 AZR 124/23 (Volltext), Schadenersatz nach Art. 82 DSGVO: Die Sorge vor einem Datenmissbrauch kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen. Die bloße Äußerung entsprechender Befürchtungen reicht jedoch als Darlegung eines Schadens nicht aus.
  • BAG, Urteil vom 20.06.2024, Az. 8 AZR 91/22 (Volltext), Nichterfüllung von Art. 15 DSGVO: Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.
  • LG München I, Entscheidung vom 05.09.2024, Az. 5 HK O 17452/21 (Volltext): Auskunftsanspruch von Aufsichtsräten gegenüber der Gesellschaft – Unterlagen, die die Organtätigkeit einer natürlichen Person betreffen, beziehen sich gerade auf ihr Tätigwerden für die Gesellschaft, der das Handeln der Organe zugerechnet wird. Es handelt sich deshalb nicht um „personenbezogenen Daten“. 

Neuigkeiten aus den Aufsichtsbehörden