Die Artikel-29-Datenschutzgruppe veröffentlicht Leitlinien und FAQs zur Anwendung der neuen Datenschutzgrundverordnung.

Dass Unternehmen ab dem 25. Mai 2018 die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) beachten müssen, ist mittlerweile keine Neuigkeit mehr. Neu ist jedoch, dass die sog. Artikel-29-Datenschutzgruppe im Dezember 2016 nicht nur eine, sondern gleich drei Leitlinien mitsamt FAQ veröffentlicht hat. Sie sollen mehr Licht in das datenschutzrechtliche Dunkel der neuen DSGVO bringen.

Thematisch hat sich die Artikel-29-Datenschutzgruppe in den Leitlinien ausführlich mit der sog. Datenübertragbarkeit gemäß Art. 20 DSGVO, den Datenschutzbeauftragten gemäß Art. 37 DSGVO sowie den federführenden Aufsichtsbehörden nach Art. 56 DSGVO auseinander gesetzt. Die Ausführungen im Folgenden gehen auf die wichtigsten Aspekte ein.

Datenübertragbarkeit unter der Kontrolle des Betroffenen fördern

Von besonderer Bedeutung sind die Aussagen der Artikel-29-Datenschutzgruppe zu dem Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Der europäische Gesetzgeber hat hiermit ein neues Recht geschaffen, so dass es hierzu bislang noch keine einschlägigen Entscheidungen und keine Vorgaben aus der Rechtsprechungs- und Verwaltungspraxis oder vertiefte Auseinandersetzung in der juristischen Fachliteratur gibt. Art. 20 DSGVO besagt:

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln (…)

Die Artikel-29-Datenschutzgruppe führt zu dem neuen Recht auf Datenübertragbarkeit u.a. aus, dass es Betroffene stärken werde, über ihre eigenen personenbezogenen Daten zu verfügen. Der Betroffene soll persönliche Daten ohne Behinderung eines Diensteanbieters von einer IT-Umgebung in eine andere verschieben, kopieren oder an einen neuen Diensteanbieter übermitteln können. Da hierdurch der unmittelbare Datentransfer von einem Verantwortlichen zu einem anderen erleichtert wird, stelle das Recht auf Datenübertragbarkeit auch ein Werkzeug dar, das nicht nur den freien Datenverkehr innerhalb der EU stärke, sondern auch den Wettbewerb zwischen verschiedenen Anbietern fördere. Dies komme letztlich auch dem Entstehen neuer Angebote und Dienste im Zusammenhang mit dem digitalen Binnenmarkt zugute.

Die Artikel-29-Datenschutzgruppe schlägt den Verantwortlichen für die Praxis vor, verschiedene technische Möglichkeiten (wie z.B. die Bereitstellung einer technischen Schnittstelle) für die Datenübertragung anzubieten. Interessengruppen und Wirtschaftsverbände ruft die Artikel-29-Datenschutzgruppe dazu auf, ein gemeinsames Set interoperabler Standards und Formate für die Ermöglichung der Datenübertragung zu erarbeiten.

Anforderungen für Datenschutzbeauftragte

Darüber hinaus hat sich die Artikel-29-Datenschutzgruppe zu den in der DSGVO genannten Anforderungen an die Bestellung eines Datenschutzbeauftragten und dessen Aufgaben geäußert. Gleichzeitig werden diverse unbestimmte Tatbestandsmerkmale in Art. 37 ff. DSGVO konkretisiert.

Beispielsweise erfordert die Bestellung eines gruppenweiten Datenschutzbeauftragten gemäß Art. 37 Abs. 2 DSGVO, dass dieser von jeder Niederlassung aus „leicht erreicht“ werden kann. Die Artikel-29-Datenschutzgruppe ist der Ansicht, dies bedeute nicht nur, dass die Kontaktdaten des Datenschutzbeauftragten transparent bereitgestellt werden müssten, sondern auch, dass der Datenschutzbeauftragte in der Lage sein muss, sowohl mit den Betroffenen als auch mit der jeweiligen Aufsichtsbehörde in der/den von diesen gesprochenen Sprache/Sprachen zu kommunizieren. Leider führt die Artikel-29-Datenschutzgruppe dann nicht ausdrücklich weiter aus, ob sie hiermit die jeweilige Landessprache des Betroffenen bzw. der Aufsichtsbehörde meint oder ob nach ihrem Dafürhalten beispielsweise auch eine Kommunikation z.B. in englischer Sprache ausreichend wäre.

Darüber hinaus hat die Artikel-29-Datenschutzgruppe ihre Ansicht dazu geäußert, wann ein nach Art. 38 Abs. 6 DSGVO nicht zulässiger Interessenkonflikt in der Person des Datenschutzbeauftragten mit etwaigen sonstigen Pflichten oder Aufgaben, die er innerhalb des Unternehmens innehaben mag, besteht. Dies sei dann der Fall, wenn diese ihm erlaubten, die Zwecke der Verarbeitung personenbezogener Daten zu bestimmen. Auch wenn dies eine im Einzelfall abschließend zu klärende Frage sei, spreche vieles für einen Interessenkonflikt bei Personen mit einer leitenden Stellung im Unternehmen, z.B. in einer Position als CEO, CFO, Leitung der Marketing-, der HR- oder der IT-Abteilung.

Aus deutscher Sicht sind diese Grundsätze der Artikel-29-Datenschutzgruppe dankbar, decken sie sich doch mit der in Deutschland (hoffentlich) bereits gängigen Praxis.

Federführende Aufsichtsbehörde für grenzüberschreitende Datenverarbeitung

Als Drittes hat sich die Artikel-29-Datenschutzgruppe mit der Zuständigkeit der Aufsichtsbehörden bei grenzüberschreitender Datenverarbeitung befasst. Gemäß Art. 4 Abs. 23 DSGVO liegt eine grenzüberschreitende Verarbeitung vor, wenn

a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder

b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann (…)

[Hervorhebung durch Autor].

Unklar ist anhand des bloßen Wortlauts der Norm vor allem, wann „erhebliche Auswirkungen“ in diesem Sinne vorliegen. Nach Ansicht der Artikel-29-Datenschutzgruppe ist dies einzelfallabhängig zu entscheiden. Relevant für diese Entscheidung seien insbesondere die Umstände der Datenverarbeitung, die Arten der Daten, der Zweck der Verarbeitung und zusätzliche Faktoren betreffend die Auswirkungen der Verarbeitung. So beispielsweise der Umstand,

  • ob die Verarbeitung wahrscheinlich oder tatsächlich zu Schäden, Verlust oder sonstigen Beschränkungen führt,
  • wahrscheinlich oder tatsächlich die Gesundheit, das Wohl oder den Seelenfrieden einer Person beeinflusst, oder
  • wenn die Verarbeitung besondere Kategorien personenbezogener oder anderer besonders schützenswerter Daten betrifft, vor allem personenbezogene Daten von Kindern.

Die DSGVO sieht den sog. One-Stop-Shop-Grundsatz vor, wonach grundsätzlich für jeden Betroffenen im Falle grenzüberschreitender Datenverarbeitung nur eine Behörde federführend sein soll. Entscheidend für die Zuständigkeit der Aufsichtsbehörde ist grundsätzlich der Ort der Hauptniederlassung des Verantwortlichen oder des Auftragsverarbeiters (Art. 56, 4 Abs. 16 DSGVO). Die Artikel-29-Datenschutzgruppe fasst daher anschließend ausführlich die verschiedenen Möglichkeiten für die Identifizierung der federführenden Aufsichtsbehörde zusammen.

Verfügbarkeit und Bedeutung der Dokumente

Die Artikel-29-Datenschutzgruppe ist ein unabhängiges europäisches Gremium, das sich aus Vertretern der nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten sowie einem Vertreter der Europäischen Kommission zusammensetzt. Ihre Hauptaufgabe besteht darin, die Europäische Kommission zum Datenschutzrecht zu beraten sowie die einheitliche Anwendung der europäischen Datenschutzrichtlinien in allen Mitgliedstaaten der EU zu fördern (vgl. Art. 30 der Datenschutzrichtlinie 95/46/EG, Art. 15 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG).

Zu weiteren Einzelheiten können die neuen Leitlinien mitsamt den hierzu veröffentlichen FAQ der Artikel-29-Datenschutzgrupe hier heruntergeladen werden:

Die Artikel-29-Datenschutzgruppe nimmt noch bis Ende Januar 2017 ergänzende Hinweise zu diesen Dokumenten von Interessenverbänden entgegen.

Des Weiteren hat die Artikel-29-Datenschutzgruppe die zeitnahe Veröffentlichung weiterer Leitlinien zu verschiedenen Themenkomplexen der DSGVO angekündigt.

Obwohl weder die Leitlinien noch die FAQ der Artikel-29-Datenschutzgruppe bindend sind, sind sie als überaus wertvolle Auslegungs- und Orientierungshilfe in der Praxis anzusehen. Dies gilt für Aufsichtsbehörden und für Unternehmen gleichermaßen. Da die Artikel-29-Datenschutzgruppe nicht zuletzt aus Mitgliedern der nationalen Datenschutzbehörden besteht und ihre veröffentlichten Ansichten in der Regel auch von den deutschen Aufsichtsbehörden zur Kenntnis genommen und berücksichtigt werden, geben sie zudem einen potentiellen Einblick in die künftige Auslegungsweise der DSGVO durch die hiesigen Behörden.