EDPB veröffentlicht Entwurf der lang erwarteten „Guidelines“ zum Thema „Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit“

Aufsichtsbehörden

Das European Data Protection Board (EDPB) – in Deutschland eher bekannt als der Europäische Datenschutzausschuss (EDSA) – hat vor einigen Tagen die „Guidelines 07/2020 on the concepts of controller and processor in the GDPR““ (PDF) veröffentlicht.

Das Dokument ist noch nicht die finale Version, sondern die „Public Consulation“-Fassung. Stellungnahmen zu dem Dokument sind also erwünscht. Tendenziell werden in die finale Fassung nur wenige Änderungen aufgenommen. Bei diesem wichtigen Dokument kann ich mir aber schon vorstellen, dass es ein paar Änderungen geben wird oder gar muss.

Um es vorwegzunehmen: Das Dokument ist m.E. eine Pflichtlektüre für alle Menschen, die sich mit Datenschutzrecht befassen. Schon das Vorgänger-Dokument, das WP169 der Art. 29 Gruppe, war ein „Meilenstein“ im Hinblick auf die Auslegung, wann eine eigene Verantwortlichkeit oder eine Auftragsverarbeitung vorliegt. Hinzu kommt jetzt dann ja noch die gemeinsame Verantwortlichkeit.

Die Ausführungen zu letztem Punkt sind m.E. auch der kleine Schwachpunkt des Dokuments. Ich meine, dass das EDPB hier die Rechtsprechung des EuGH etwas zu weit auslegt und somit zu einer weiteren Verwässerung des Begriffs der gemeinsamen Verantwortlichkeit beiträgt.

Mit dem Dokument habe ich mich übrigens auch näher im „Datenschutz-Update 2020-01“ befasst.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.