EDSA-Leitlinien

EDSA-Leitlinien
EDSA-Leitlinien und Stellungsnahmen
Primary Item (H2)Sub Item 1 (H3)

EDSA-Leitlinie zum berechtigten Interesse

Im Oktober 2024 wurde die EDSA-Leitlinie zum berechtigten Interesse veröffentlicht

Leitlinien für die Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses

„Um sich auf ein berechtigtes Interesse berufen zu können, muss der für die Verarbeitung Verantwortliche drei kumulative Voraussetzungen erfüllen:

1.die Verfolgung eines berechtigten Interesses durch den Verantwortlichen oder einen Dritten;

2.die Notwendigkeit, personenbezogene Daten zum Zwecke der Verfolgung des berechtigten Interesses zu verarbeiten;

3.Die Interessen oder Grundfreiheiten und Rechte natürlicher Personen haben keinen Vorrang vor den berechtigten Interessen des Verantwortlichen oder eines Dritten (Ausgleichsübung).“

Für die rechtmäßige Verarbeitung personenbezogener Daten benötigen Verantwortliche eine Rechtsgrundlage, wozu auch das berechtigte Interesse zählt. Die Leitlinien analysieren die Kriterien gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO, die erfüllt sein müssen, damit ein berechtigtes Interesse als Grundlage dienen kann. Dabei berücksichtigt sie das aktuelle EuGH-Urteil (C-621/22).

Um sich auf ein berechtigtes Interesse zu stützen, müssen drei Voraussetzungen erfüllt sein:

1.Der Verantwortliche oder ein Dritter verfolgt ein berechtigtes Interesse.

2.Die Verarbeitung ist notwendig, um dieses Interesse zu verfolgen.

3.Die Interessen oder Rechte der betroffenen Person dürfen dem berechtigten Interesse nicht überwiegen (Abwägung).

Legitime Interessen müssen rechtmäßig, klar formuliert, real und aktuell sein. Wenn weniger einschneidende Alternativen bestehen, ist die Verarbeitung nicht notwendig und muss zudem dem Prinzip der Datenminimierung entsprechen.

Bei der Abwägung sind die Interessen und Erwartungen der betroffenen Person, die Auswirkungen der Verarbeitung und zusätzliche Schutzmaßnahmen zu berücksichtigen. Die Leitlinien beschreiben die Umsetzung dieser Bewertung in der Praxis und in spezifischen Kontexten wie Betrugsprävention und Direktmarketing. Zudem wird das Verhältnis zwischen dieser Rechtsgrundlage und den Betroffenenrechten erläutert.

Zusammenfassende Infos

EDSA-Stellungnahme zu bestimmten Verpflichtungen, die sich aus der Inanspruchnahme von Auftragsverarbeitern und Unterauftragsverarbeitern ergeben

Stellungnahme zur Auslegung bestimmter Verpflichtungen von Verantwortlichen im Zusammenhang mit Auftragsverarbeitern und Unterauftragsverarbeitern, basierend auf Artikel 64 Absatz 2 DSGVO

  • Verantwortliche müssen jederzeit Informationen zur Identität aller eingesetzten Auftragsverarbeiter und Unterauftragsverarbeiter verfügbar haben, um ihren Verpflichtungen nach Artikel 28 DSGVO gerecht zu werden.
  • Die Pflicht zur Überprüfung, ob Auftragsverarbeiter ausreichende Garantien bieten, gilt unabhängig vom Risiko für betroffene Personen, wobei der Prüfungsumfang je nach Risiko angepasst werden kann.
  • Die endgültige Entscheidung und Verantwortung zur Auswahl von Unterauftragsverarbeitern liegt beim Verantwortlichen, auch wenn der Hauptauftragsverarbeiter geeignete Kandidaten vorschlagen kann.

Bei Datenübertragungen außerhalb des EWR muss der Verantwortliche die relevanten Dokumentationen zur Risikobewertung und Schutzmaßnahmen prüfen und der Datenschutzbehörde vorlegen können, um das Schutzniveau gemäß DSGVO zu gewährleisten.

 

Die dänische Datenschutzbehörde bat den EDSA um eine Stellungnahme zur allgemeinen Auslegung von Artikel 28 DSGVO, insbesondere zur Rolle von Verantwortlichen und Auftragsverarbeitern bei der Datenverarbeitung innerhalb des EWR und bei Übertragungen in Drittländer.

Der EDSA betont, dass Verantwortliche stets Informationen über die Identität ihrer Auftragsverarbeiter und Unterauftragsverarbeiter (inklusive Name, Adresse und Kontaktperson) verfügbar haben sollten, um ihre Verpflichtungen gemäß Artikel 28 DSGVO zu erfüllen. Die Auftragsverarbeiter sind dafür verantwortlich, diese Informationen aktuell zu halten und bereitzustellen.

Artikel 28(1) DSGVO verpflichtet Verantwortliche, nur solche Auftragsverarbeiter einzusetzen, die ausreichende Garantien bieten, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen. Diese Prüfungspflicht des Verantwortlichen gilt unabhängig vom Risiko der Verarbeitung, wobei der Umfang der Prüfung je nach Schutzmaßnahme variieren kann.

Der EDSA stellt klar, dass die Entscheidung über die Beauftragung eines Unterauftragsverarbeiters beim Verantwortlichen liegt und dass dieser auch die ausreichenden Garantien prüfen muss. Bei hohem Risiko für die Rechte und Freiheiten der betroffenen Personen sollte der Verantwortliche die bereitgestellten Informationen besonders gründlich prüfen.

Bei Datenübertragungen in Drittländer ist der Verantwortliche weiterhin verpflichtet, den Schutz der Daten gemäß DSGVO sicherzustellen. Hierfür kann er auf Dokumentationen des Auftragsverarbeiters zurückgreifen, jedoch muss der Verantwortliche den Dokumentationsumfang je nach Art der Übertragung anpassen.

Zu den Verträgen zwischen Verantwortlichen und Auftragsverarbeitern stellt der EDSA fest, dass der Zusatz „es sei denn, es ist gesetzlich vorgeschrieben“ in den vertraglichen Anweisungen sinnvoll ist, aber nicht zwingend erforderlich. Allerdings entbindet dieser Zusatz den Auftragsverarbeiter nicht von seinen DSGVO-Pflichten. Bei Übertragungen außerhalb des EWR empfiehlt der EDSA, zwischen drittländischen Gesetzen zu unterscheiden, die den DSGVO-Schutz gefährden, und solchen, die das nicht tun.

Der EDSA unterstreicht, dass die Formulierung „es sei denn, es ist gesetzlich vorgeschrieben“ nicht als dokumentierte Anweisung des Verantwortlichen ausgelegt werden kann.

Mehr Infos

EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO

In seinen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO äußert der EDSA auf S. 43 (Rn. 126) unter dem Punkt „1.3.3 Der Auftragsverarbeiter muss alle nach Artikel 32 erforderlichen Maßnahmen ergreifen (Artikel 28 Absatz 3 Buchstabe c DSGVO).“ folgende Auffassung:

„Der Vertrag (Anm.: Gemeint ist der AV-Vertrag) muss Informationen zu folgenden Punkten enthalten oder auf solche Informationen verweisen(Herv. der Autorin): die zu ergreifenden Sicherheitsmaßnahmen, eine Verpflichtung des Auftragsverarbeiters, die Zustimmung des Verantwortlichen einzuholen, bevor er Änderungen vornimmt, und eine regelmäßige Überprüfung der Sicherheitsmaßnahmen, um deren Angemessenheit im Hinblick auf Risiken, die sich im Laufe der Zeit entwickeln können, zu gewährleisten.“ 

Erst einmal ist festzuhalten, dass der EDSA davon ausgeht, dass Verweise im AV möglich sind. D.h. einem Verweis auf externe Dokumente dürften die Leitlinien nicht entgegenstehen. Außerdem sehen die Leitlinien in der zitierten Passage vor, dass der AV eine Verpflichtung enthalten muss, dass der Auftragsverarbeiter die Zustimmung des Verantwortlichen einholt, bevor er Änderungen (an den Sicherheitsmaßnahmen) vornimmt.

Mit „Änderungen“ sind dabei wohl nur wesentliche Änderungen gemeint. Denn die Pflicht zur Einholung bezüglich jeder kleinen Änderung, z.B. Einstellung eines neuen Mitarbeiters, kleine Änderung in Keycard-System o.ä., wäre realitätsfern und unwirtschaftlich. Dass dies wohl auch im Sinne des EDSA ist, lässt sich aus dem letzten Satz in Abschnitt 1.3.3 auf S. 44 (Rn. 127) folgern, in dem der EDSA ausführt:
„Der Verantwortliche übt seine Entscheidungsbefugnis über die wesentlichen Merkmale (Herv. der Autorin) der Sicherheitsmaßnahmen aus, sei es durch eine explizite Auflistung der Maßnahmen oder durch Genehmigung der vom Auftragsverarbeiter vorgeschlagenen Maßnahmen.“

Was bedeutet dies nun für Auftragsverarbeiter und Verantwortlichen?

Hier muss zuerst klargestellt werden, dass der EDSA davon spricht, dass der AV-Vertrag eine „Zustimmungseinholungspflicht“ bei Änderungen vorsehen muss, nicht dass eine Änderung durch den Auftragsverarbeiter gesetzlich durch die DSGVO untersagt ist. Sieht der AV-Vertrag keine solche Zustimmungseinholungspflicht vor, hält den Auftragsverarbeiter unserer Ansicht nach erst einmal rechtlich nichts davon ab, die TOMs selbstständig – ohne Genehmigung durch den Verantwortlichen – zu ändern. Denn eine Pflicht bei Änderungen der TOMs die Zustimmung des Verantwortlichen einzuholen, sieht die DSGVO – anders als in Art. 28 Abs. 2 DSGVO für die Einschaltung eines Unterauftragsverarbeiters – gerade nicht vor.

Dies folgt unseres Erachtens auch aus Art. 28 Abs. 1, Abs. 3 lit. c und f DSGVO. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden.

Nach Art. 28 Abs. 3 lit. c DSGVO muss der AV-Vertrag (nur) die Pflicht festlegen, dass der Auftragsverarbeiter alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift.

Art. 28 Abs. 3 lit. f DSGVO sieht die Verpflichtung des Auftragsverarbeiters vor, den Verantwortlichen bei der Einhaltung bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten zu unterstützen.

Aus diesen Regelungen lässt sich unseres Erachtens damit herleiten, dass es dem Auftragsverarbeiter obliegt, welche TOMs er ergreift, um seine Verpflichtung aus Artikel 32 zu erfüllen. Dies bedeutet aber nicht, dass dem Verantwortlichen dahingehend keinerlei Verpflichtungen mehr treffen. Dem Verantwortlichen trifft nach Art. 28 Abs. 1 DSGVO erst einmal die Pflicht einen geeigneten Auftragsverarbeiter auszuwählen. Gleichzeitig lässt sich aus Art. 24Art. 28 Abs. 1 und Artikel 32 auch eine gewisse Überwachungspflicht ableiten. Denn hiernach hat der Verantwortliche eine eigene Pflicht sicherzustellen, dass die Verarbeitung der DSGVO entspricht.

Was wenn der Vertrag keine Zustimmungsklausel vorsieht?

Auftragsverarbeiter:

Wie bereits gesagt, verstößt der Auftragsverarbeiter, wenn er die TOMs einseitig ändert, in diesem Moment weder gegen Vertrag noch gegen irgendwelche Verpflichtungen ggü. dem Verantwortlichen aus der DSGVO, soweit er ihm die notwendigen Informationen zu den TOMs bereitstellt (Art. 28 Abs. 3 lit. f DSGVO).

Ein Verstoß tritt dann ein, wenn die TOMs nicht den Anforderungen von Artikel 32 gerecht werden. In diesem Moment haftet er dem Verantwortlichen im Innenverhältnis, da er entsprechend Art. 28 Abs. 3 lit. c DSGVO die Verpflichtung eingegangen ist, alle erforderlichen Maßnahmen zu treffen, und entsprechend Art. 28 Abs. 3 lit. f DSGVO den Verantwortlichen bei Einhaltung von Artikel 32 zu unterstützen.

Verantwortlicher:

Interessant ist die Situation des Verantwortlichen. Art. 28 Abs. 3 DSGVO ist vor allem an den Verantwortlichen gerichtet. Der Gesetzgeber will damit erreichen, dass Verantwortliche mit ihren Auftragsverarbeitern AV-Verträge schließen, die geeignet sind, dem Datenschutz zu dienen, indem sie datenschutzrechtliche Mindestpflichten des Auftragsverarbeiters vorsehen. Enthält der AV-Vertrag nicht alle notwendigen Bestandteile liegt eine Verletzung der DSGVO durch den Verantwortlichen vor. 

Der EDSA scheint diesbezüglich der Auffassung zu sein, dass Art. 28 Abs. 3 DSGVO eine Plicht statuiert, eine Zustimmungsklausel im AVV-Vertrag vorzusehen.

In der Konsequenz würde der Verantwortliche die DSGVO verletzen und sich ggf. bußgeldpflichtig nach Art. 83 DSGVO machen, wenn seine AV-Verträge eine solche Klausel nicht vorsähen.

Unseres Erachtens ist die Gefahr eines Bußgeldes aber sehr gering. Insbesondere deshalb weil Art. 28 Abs. 3 DSGVO keine Pflicht zur Aufnahme einer Zustimmungsklausel in den AV-Vertrag explizit vorsieht (und daher auch die Rechtsauffassung des EDSA auf wackligen Beinen steht). Die (implizite) Pflicht eine Zustimmungsklausel in den AV-Vertrag aufzunehmen, leitet das EDSA nicht wirklich nachvollziehbar herbei. Dass dem Verantwortlichen ein Verschulden trifft, wenn ein Vertrag eine Zustimmungsklausel nicht vorsieht, ist damit (ebenfalls) zu bezweifeln.

Zusammenfassung

Die EDSA äußert hier eine Auslegungshilfe, sie ist aber nicht der Gesetzgeber und auch kein Gericht.

Unserer Ansicht nach verstößt ein Auftragsverarbeiter nicht gegen die DSGVO oder den AV-Vertrag, wenn er die TOMs einseitig ändert, solange er seine Informations- und Unterstützungsverpflichtung nach Art. 28 Abs. 3 lit. f DSGVO einhält, die geänderten TOMs Artikel 32 nicht widersprechen und der AV-Vertrag keine Zustimmungsklausel vorsieht.

Die EDSA meint, dass AV-Verträge (wohl) eine Zustimmungsklausel enthalten müssen, um Art. 28 Abs. 3 DSGVO gerecht zu werden (was jedoch stark zu bezweifeln ist). Enthält ein AV-Vertrag eine solche Klausel nicht, würde dies konsequent weitergedacht eine Verletzung der DSGVO darstellen. Dieser Auffassung folgen wir nicht.

Stand: 15.10.2024

Sie brauchen Unterstützung?
Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation