EDPB veröffentlicht Entwurf der lang erwarteten „Guidelines“ zum Thema „Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit“

Das European Data Protection Board (EDPB) – in Deutschland eher bekannt als der Europäische Datenschutzausschuss (EDSA) – hat vor einigen Tagen die „Guidelines 07/2020 on the concepts of controller and processor in the GDPR““ (PDF) veröffentlicht.

Das Dokument ist noch nicht die finale Version, sondern die „Public Consulation“-Fassung. Stellungnahmen zu dem Dokument sind also erwünscht. Tendenziell werden in die finale Fassung nur wenige Änderungen aufgenommen. Bei diesem wichtigen Dokument kann ich mir aber schon vorstellen, dass es ein paar Änderungen geben wird oder gar muss.

Um es vorwegzunehmen: Das Dokument ist m.E. eine Pflichtlektüre für alle Menschen, die sich mit Datenschutzrecht befassen. Schon das Vorgänger-Dokument, das WP169 der Art. 29 Gruppe, war ein „Meilenstein“ im Hinblick auf die Auslegung, wann eine eigene Verantwortlichkeit oder eine Auftragsverarbeitung vorliegt. Hinzu kommt jetzt dann ja noch die gemeinsame Verantwortlichkeit.

Die Ausführungen zu letztem Punkt sind m.E. auch der kleine Schwachpunkt des Dokuments. Ich meine, dass das EDPB hier die Rechtsprechung des EuGH etwas zu weit auslegt und somit zu einer weiteren Verwässerung des Begriffs der gemeinsamen Verantwortlichkeit beiträgt.

Mit dem Dokument habe ich mich übrigens auch näher im „Datenschutz-Update 2020-01“ befasst.

Ähnliche Beiträge