Datenschutzwoche

#155

Neue Leitlinien des EDSA zur Interessensabwägung

Der Europäische Datenschutzausschuss (EDSA) hat am 8. Oktober neue Leitlinien angenommen. Darin werden die Kriterien für die nach Art. 6 Abs. 1 lit. f DSGVO vorzunehmende Interessensabwägung festlegt.

Folgende drei Kriterien müssen dafür kumulativ erfüllt sein:

Berechtigtes Interesse: Die Verarbeitung personenbezogener Daten muss dem berechtigten Interesse des Verantwortlichen oder eines Dritten dienen. Dieses Interesse muss legitim sein und genau formuliert werden
Notwendigkeit der Verarbeitung: Die Verarbeitung muss für die Zwecke des verfolgten berechtigten Interesses notwendig sein. Es soll geprüft werden, ob die verfolgten berechtigten Interessen nicht ebenso wirksam durch andere Mittel erreicht werden können.
Abwägung der Interessen: Die Interessen oder Grundfreiheiten der betroffenen Person dürfen keinen Vorrang vor den berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten haben. Dies setzt eine Abwägung voraus, die von den konkreten Umständen der jeweiligen Verarbeitung abhängt.

Die Leitlinien des EDSA geben eine detaillierte Anleitung, wie die Bewertung im Rahmen konkreter Beispiele wie der Betrugsbekämpfung, der Verarbeitung personenbezogener Daten von Kindern oder für die Zwecke des Direktmarketings durchgeführt werden kann. Außerdem werden die Rechte der betroffenen Person im Verhältnis zu Art. 6 Abs. 1 lit. f DSGVO beleuchtet.

EDSA-Stellungnahme: Verpflichtungen bei der Nutzung von Auftrags- und Unterauftragsverarbeitern

In einer aktuellen Stellungnahme hat sich der Europäische Datenschutzausschuss (EDSA) zu den Pflichten von Verantwortlichen bei der Beauftragung von Auftragsverarbeitern und Unterauftragsverarbeitern geäußert. Demnach müssen Verantwortliche jederzeit Informationen über die Identität aller Auftrags- und Unterauftragsverarbeiter bereithalten. Diese sollen von den Auftragsverarbeitern bereitgestellt und aktualisiert werden.

Zudem müssen Verantwortliche hinreichende Garantien bieten, dass sie geeignete Maßnahmen zum Schutz der betroffenen Personen ergreifen und die Verarbeitung im Einklang mit der DSGVO erfolgt.

Der EDSA behandelt auch Drittlandsübermittlungen, bei denen der Auftragsverarbeiter entsprechende Dokumentationen erstellen muss.

Internationale Nachrichten

Frankreich: Die französische Aufsichtsbehörde CNIL verhängte Bußgelder i.H.v. von 250.000 und 150.000 Euro gegen COSMOSPACE und TELEMAQUE wegen übermäßiger Speicherung personenbezogener Daten.
Vereinigtes Königreich: Die britische Aufsichtsbehörde ICO verhängte Bußgelder i.H.v. 120.000 Pfund gegen Unternehmen, die sich in aggressiven Marketingkampagnen an Betroffene von Demenz richteten.

Aktuelle Gerichtsentscheidungen

BAG, Urteil vom 20.06.2024, Az. 8 AZR 124/23 (Volltext), Schadenersatz nach Art. 82 DSGVO: Die Sorge vor einem Datenmissbrauch kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen. Die bloße Äußerung entsprechender Befürchtungen reicht jedoch als Darlegung eines Schadens nicht aus.

BAG, Urteil vom 20.06.2024, Az. 8 AZR 91/22 (Volltext), Nichterfüllung von Art. 15 DSGVO: Der Kläger hat geltend gemacht, durch die jahrelang verspätete Auskunft bleibe er weiterhin über wesentliche Faktoren der Datenverarbeitung im Dunkeln und ihm sei die Prüfung verwehrt, ob und wie die Beklagte seine personenbezogenen Daten verarbeite. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union hat der Kläger damit keinen immateriellen Schaden dargelegt.

LG München I, Entscheidung vom 05.09.2024, Az. 5 HK O 17452/21 (Volltext): Auskunftsanspruch von Aufsichtsräten gegenüber der Gesellschaft – Unterlagen, die die Organtätigkeit einer natürlichen Person betreffen, beziehen sich gerade auf ihr Tätigwerden für die Gesellschaft, der das Handeln der Organe zugerechnet wird. Es handelt sich deshalb nicht um „personenbezogenen Daten“.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Rheinland-Pfalz: „Runder Tisch der Rheinland-Pfälzischen Wirtschaft: Datenschutz als Erfolgsfaktor für Unternehmen“ – Pressemitteilung vom 07.10.2024
Datenschutzaufsicht Baden-Württemberg: „5. November: Diskussionsrunde zu Grundrechten und Entbürokratisierung“ – Pressemitteilung vom 07.10.2024
Datenschutzaufsicht Baden-Württemberg: „Datenschutz by Design im europäischen Datenraum“ – Pressemitteilung vom 7.10.2024
Datenschutzaufsicht Baden-Württemberg: „Datenlage – Frühausgabe: Diktat der Reichweite?“ – Pressemitteilung vom 09.10.2024
Datenschutzaufsicht Baden-Württemberg: „BvD Herbstkonferenz vom 16. bis 18. Oktober in Stuttgart“ – Pressemitteilung vom 10.10.2024
Datenschutzaufsicht Hamburg: „Warnung! Betrugsmasche im Namen unserer Behörde“ – Pressemitteilung vom 10.10.2024
Datenschutzaufsicht Sachsen-Anhalt: „Datenschutzbeauftragte will Vereinen und Schulen helfen“ – Süddeutsche Zeitung, 11.10.2024
BfDI: „BfDI bei G7 Roundtable in Rom“ – Pressemitteilung vom 11.10.2024
BfDI: „Datenschutzbeauftragte: Unabhängige Kontrolle über Geheimdienste ist gefährdet“ – Heise, 11.10.2024
BfDI: „BfDI begrüßt EDSA-Leitlinien zum berechtigten Interesse“ – Pressemitteilung vom 12.10.2024

Weitere Ausgaben