Category: Aufsichtsbehörden

EDSA Meinung zur einheitlichen Interpretation der Bestimmungen über Auftragsverarbeitung

Der EDSA hat aufgrund von Fragen der dänischen Aufsichtsbehörde eine Meinung zur einheitlichen Auslegung der Bestimmungen über Auftragsverarbeiter (Art. 28 DSGVO) veröffentlicht. Darin beschäftigt er sich mit den Auslegungsfragen ob ein Verantwortlicher alle Unterauftragsverarbeiter in einer Auftragsverarbeiterkette identifizieren muss und kommt zu dem Schluss das dies gegeben sein muss. Es reicht nicht nur die erste Ebene von Auftragsverarbeitern zu kennen. Weitere Themen sind, inwieweit der Verantwortliche innerhalb der Auftragsverarbeiterkette die technischen und organisatorischen Maßnahmen, die vertraglichen Bindungen und das Erfüllen der Anforderungen des Verantwortlichen überprüfen und dokumentieren muss. Weitere Themen sind der Drittstaatstransfer im Wege einer Auftragsverarbeitung, bestimmte vertragliche Bestimmungen (zB das  Abstellen auf gesetzliche Bestimmungen denen der Auftragsverarbeiter unterliegt) und inwieweit das Risiko der Verarbeitung einen Einuss auf all diese Pfichten hat.

EDSA Richtlinie zum berechtigten Interesse

Der EDSA hat eine Richtlinie zum überwiegenden Interesse gemäß Art. 6(1)(f) DSGVO zur öffentlichen Konsultation herausgegeben. Darin wird festgestellt, das die Kriterienˆ

  • des Verfolgen eines überwiegenden Interesses des Verantwortlichen oder eines Dritten,ˆ
  • der Notwendigkeit personenbezogene Daten dafür verarbeiten zu müssen
  • undˆ dass diesem Interesse keine schutzwürdigen Interessen der Betroffenen entgegenstehen

auch tatsächlich einer Einschätzung unterzogen werden müssen. Eine pauschale Annahme reicht nicht aus. Daraus kann gefolgert werden, dass dies auch zu dokumentieren ist. Aufgrund der Informationspfichten der Art. 12, 13 und 14 sieht die Richtlinie auch vor, das die Abwägung der Interessen den Betroenen zur Kenntnis gebracht werden kann. Zumindest die Information, dass die Betroenen dies verlangen können, hat der Verantwortliche zu erbringen.

Abo Modelle am Prüfstand?

Immer mehr Anbieter führen sogenannte Abo- Modelle ein, bei denen gegen Bezahlung einer Gebühr keine Werbung geschaltet wird, beziehungsweise die Einwilligung zur Verarbeitung  der personenbezogenen Daten nur durch ein Abomodell umgangen werden kann. Die Datenschutzbehörde von Hamburg, den Niederlanden und Norwegen hat nun den europäischen Datenschutzausschuss ersucht eine einheitliche Haltung zur Zulässigkeit solcher Modelle zu formulieren.

Gegen solche Modelle wie sie auch von Meta angewendet werden gibt es auch anhängige Beschwerden bei der österreichischen Datenscutzbehörde. Im Februar haben sich 28 NGOs in einem gemeinsamen Brief an den EDSA gewandt.   

Diskussionspapier zu den Rechtsgrundlagen beim KI Einsatz

Die Aufsichtsbehörde für Baden Württemberg hat ein Diskussionspapier zu Rechtsgrundlagen im Datenschutz beim Einsatz von KI  veröffentlicht. Das Papier betrachtet dabei die verschieden Phasen, von der Erehbung bis zur Verwendung. Der in Verhandlung stehende AI  Act wird nicht berücksichtigt, das Papier bezieht sich ausschließlich auf bestehende Gesetze, vorrangig auf die DSGVO.

Datenschutzbehörde zu Meta-Tracking-Tools

Die österreichische Datenschutzbehörde hat entschieden, dass die Verwendung von Meta Pixel und Meta Facebook Login gegen die DSGVO vertößt und nicht im Einklang mit den Anforderungen des EuGH (Schrems II) steht. Damit wurde nach Google Analytics auch diese Datenübermittlung in die USA ohne ausreichende Massnahmen durch den Verantwortlichen und Meta untersagt.

Der Bescheid wurde vom Beschwerdeführer hier veröffentlicht.