Der Europäische Datenschutzausschuss (EDSA) gibt jährlich «Guidelines», also Leitlinien zur Umsetzung und Handhabung der DSGVO heraus. Diese entfalten verbindliche Wirkung für alle Mitgliedsstaaten und dienen der einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union. Die Guidelines sind für nationale Aufsichtsbehörden in der Auslegung und Anwendung der DSGVO verbindlich.

Auch im Jahr 2021 hat die EDSA wieder mehrere Guidelines zu verschiedenen Themen veröffentlicht.

Guideline 01/2020 – Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen

Klicken Sie hier, um zur Guideline 01/2020 zu gelangen.

Die Guideline 01/2020 beschäftigt sich mit der fortschreitenden Digitalisierung von Fahrzeugen und richtet sich an Autohersteller & Unternehmen, die bei der Digitalisierung von Fahrzeugen mitwirken.

Zunehmend werden Sensoren und vernetzte Bordgeräte verbaut, die Fahrgewohnheiten, die besuchten Orte und möglicherweise sogar die Augenbewegungen des Fahrers, seinen Puls oder biometrische Daten erheben und erfassen können. Diese Daten sind zweifelsfrei geeignet eine natürliche Person eindeutig zu identifizieren. Die Verarbeitungsvorgänge bedürfen somit einer Rechtsgrundlage gem. Art. 6 DSGVO, um nicht rechtswidrig zu sein.

Die Erhebung von Daten durch Strafverfolgungsbehörden zur Feststellung von Verstössen gegen Geschwindigkeitsbegrenzungen oder anderen Verstößen richtet sich nach Art. 10 DSGVO. Die eingesetzten Technologien sind so zu konfigurieren, dass die Verpflichtung zur Vornahme datenschutzfreundlicher Voreinstellung gem. Art. 25 DSGVO eingehalten wird. Vor der Verarbeitung personenbezogener Daten ist die betroffene Person gemäß Art. 13 DSGVO auf transparente und verständliche Weise zu informieren.

Guideline 09/2020 – Der maßgebliche und begründete Einspruch im Sinne der Verordnung (EU) 2016/679

Klicken Sie hier, um zur Guideline 09/2020 zu gelangen.

Die Guideline 09/2020 setzt fest, was die Voraussetzungen für einen maßgeblichen und begründeten Einspruch im Sinne der EU-Verordnung (EU) 2016-679 sind, damit eine Aufsichtsbehörde gegen die federführende Aufsichtsbehörde bei Kooperationsverfahren Einspruch erheben kann. Art. 4 Nr. 24 DSGVO führte zu Unklarheit, was genau einen “maßgeblichen & begründeten” Einspruch darstellt. Eine Festlegung war erforderlich, um eine einheitliche Anwendung durch Aufsichtsbehörden zu garantieren.

“Maßgeblich” sei laut der EDSA ein Einspruch, wenn ein direkter Zusammenhang zwischen dem Einspruch und dem Inhalt des betreffenden Beschlussentwurfs besteht. Insbesondere muss sich der Einspruch entweder darauf beziehen, ob ein Verstoß gegen die DSGVO vorliegt oder aber darauf, ob die beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter der DSGVO entspricht.

Ein Einspruch sei “begründet”, wenn er Klarstellungen und Argumente enthält, warum eine Änderung des Beschlusses vorgeschlagen wird. Zudem muss dargelegt werden, inwiefern die Änderung zu einer anderen Schlussfolgerung darüber führen würde, ob ein Verstoß gegen die DSGVO vorliegt oder ob die beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit der DSGVO steht.

Guideline 08/2020 – Die gezielte Ansprache von Nutzer:innen sozialer Medien

Klicken Sie hier, um zur Guideline 08/2020 zu gelangen.

Die Guideline 08/2020 thematisiert die vom Plattformbetreiber zur Verfügung gestellten Dienste an Targeter zur gezielten Ansprache von Nutzern sozialer Medien und richtet sich an Plattformbetreiber & natürliche oder juristische Personen („Targeter“), die diese Targeting-Dienste zu Werbezwecken in Anspruch nehmen. Targeting-Dienste ermöglichen es natürlichen oder juristischen Personen, spezifische Botschaften an die Nutzer:innen sozialer Medien zu übermitteln, um kommerzielle, politische oder sonstige Interessen zu fördern.

Die Mechanismen, die für die gezielte Ansprache von Nutzer:innen sozialer Medien eingesetzt werden, sowie die zugrunde liegenden Verarbeitungstätigkeiten, die eine gezielte Ansprache ermöglichen, können erhebliche Risiken darstellen. Als Rechtsgrundlage spielen dabei sowohl die Einwilligung gem. Art. 6 I lit. a DSGVO oder das berechtigte Interesse gem. Art. 6 I lit. f DSGVO eine größere Rolle. Artikel 6 I 1 lit. b DSGVO kann nicht bloß deshalb als Rechtsgrundlage für Online-Werbung herangezogen werden, weil mit dieser Werbung indirekt die Bereitstellung ihrer Dienste finanziert wird.

Der EuGH urteilte, dass eine Verarbeitung nur dann auf berechtigtes Interesse gestützt werden kann, wenn drei kumulative Voraussetzungen erfüllt sind:

  • berechtigtes Interesse, das von dem Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden
  • Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und
  • kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person.

Die Anzeige von Werbung für Online-Wetten auf sozialen Medien kann in den Anwendungsbereich von Artikel 22 DSGVO fallen, sodass eine ausdrückliche Einwilligung erforderlich wird.

Die personenbezogenen Daten müssen gem. Art. 5 I lit. b DSGVO für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Transparenzpflichten aus Art. 12 – 14 DSGVO und das Auskunftsrecht gem. Art. 15 DSGVO sind zu beachten.

Guideline 02/2021 – Virtual Voice Assistants

Klicken Sie hier, um zur Guideline 02/2021 zu gelangen.

In der Guideline 02/2021 nimmt die EDSA Bezug auf Virtual Voice Assistants (VVAs) und adressiert Unternehmen, die diese VVAs bereits in Produkten integriert haben oder integrieren wollen. Durch die weitreichende Integration virtueller Sprachassistenten haben diese Zugang zu intimen Informationen, die bei nicht ordnungsgemäßen Betrieb Rechte des Einzelnen auf Datenschutz & Privatsphäre beeinträchtigten könnten.

Für die Inbetriebnahme & folglich die rechtmäßige Verarbeitung personenbezogener Daten, ist eine Einwilligung gem. Art. 6 DSGVO nötig. Ferner sind die Transparenzanforderungen der DSGVO gem. Art. 5 Abs. 1 lit. a, Art. 12 & Art. 13 DSGVO einzuhalten & die Angabe eines eindeutigen Einsatzzwecks erforderlich, damit die Vorschrift des Art. 5 Abs. 1 DSGVO eingehalten wird.

Um Sprachdaten zur Identifizierung der Nutzer verwenden zu können, müssen biometrische Daten im Sinne von Artikel 4 Nummer 14 der DSGVO verarbeitet werden, für die nur eine ausdrückliche Einwilligung der betroffenen Person in Betracht kommt. Für die Verarbeitung personenbezogener Daten von Kindern muss Art. 8 Abs. 1 DSGVO beachtet werden, wenn Rechtsgrundlage für diese Vereinbarung eine Einwilligung ist.

VVA-Anbieter müssen ferner sicherstellen, dass alle Nutzerdaten, inklusive Daten, die auf der Grundlage berechtigter Interessen der VVA-Anbieter verarbeitet werden, auf Verlangen des Nutzers gemäß Art. 17 der DSGVO gelöscht werden können.

Guideline zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter” in der DSGVO

Klicken Sie hier, um zur Guideline zu gelangen.

In der Guideline befasst dich das EDSA mit den Begriffen „Verantwortlicher“, „gemeinsam Verantwortliche“ und „Auftragsverarbeiter“. Diese spielen bei der Anwendung der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) eine entscheidende Rolle, da sie bestimmen, wer für die Einhaltung der verschiedenen Datenschutzvorschriften verantwortlich ist und wie betroffene Personen ihre Rechte in der Praxis ausüben können.

Der Verantwortliche ist in Art. 4 Nr. 7 DSGVO definiert, der Auftragsverarbeiter in Art. 4 Nr. 8 DSGVO.

Entscheidungen über nicht wesentliche Mittel können dem Auftragsverarbeiter überlassen werden. Der Verantwortliche muss dennoch bestimmte Elemente in der Auftragsverarbeiter Vereinbarung festlegen, wie etwa in Bezug auf die Sicherheitsanforderungen. Bspw. eine Weisung, alle nach Artikel 32 DSGVO erforderlichen Maßnahmen zu ergreifen. Die Vorschriften des Art. 28 DSGVO sind zu beachten.

Guideline 10/2020 – Beschränkungen des Art. 23 DSGVO

Klicken Sie hier, um zur Guideline 02/2021 zu gelangen.

Die Guideline 10/2020 befasst sich mit Art. 23 DSGVO, der es Mitgliedsstaaten ermöglicht Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5 zu durch Gesetzgebung beschränken und richtet sich damit unmittelbar an die Mitgliedsstaaten der EU.

Der Schutz von natürlichen Personen vor der Verarbeitung personenbezogener Daten ist ein fundamentales Recht. Art. 16 Abs. 2 AEUV schreibt den EU-Mitgliedsstaaten vor, Vorschriften zum Schutz natürlicher Personen vor der Verarbeitung personenbezogener Daten zu erlassen. Vor diesem Hintergrund sei Art. 23 DSGVO auszulegen.