EDPB: Version 2.0 der „Guidelines“ zum Thema „Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit“
Im September 2020 schon hatte das European Data Protection Board (EDPB) – in Deutschland auch Europäische Datenschutzausschuss (EDSA) genannt – die lang erwarteten Guidelines zum Thema „Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit“ veröffentlicht (dazu mein Beitrag hier).
Das war damals die Version, die als „Public Consultation“-Version veröffentlicht wurde. Das EDPB hat nun die finale Version veröffentlicht:
- EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR – Version 2.0 (PDF)
Es hat einige spannende Änderungen gegeben. So z.B. die Klarstellung, dass Anbieter von Telekommunikationsdienstleistungen für die Öffentlichkeit in der Regel wohl keine Auftragsverarbeiter sind. Zumindest könnte man das so herauslesen.
Das kann nachhaltige Konsequenzen für die juristische Praxis haben. Ggf. werden wir für die Dienste wie Zoom, Teams etc. keine Auftragsverarbeitungsverträge benötigen. Denn diese sind nach den neueren europäischen Regelungen als sog. OTT-Anbieter auch Anbieter von Telekommunikationsdienstleistungen für die Öffentlichkeit.
Die juristische Diskussion ist hier aber sicher noch nicht am Ende.
Und: Aufsichtsbehörden sind keine Gerichte, die Guidelines stellen also nur sog. Rechtsmeinungen dar, die für Gerichte nicht verbindlich sind.
Außerdem ist mit den Guidelines des EDPB nun klargestellt, dass die Aufsichtsbehörden die Ansicht vertreten, dass ein Auftragsverarbeiter grundsätzlich eine Kostenerstattung für die Durchführung von Audits durch den Auftraggeber verlangen kann, solange hierdurch Kontrollrechte nicht beschnitten werden.
Auch das ist allerdings juristisch – gerade in Deutschland – umstritten. Ich vertrete allerdings schon seit jeher die Auffassung, dass bei nicht anlassbezogenen Kontrollen eine Kostenerstattung zwischen den Parteien vertraglich geregelt werden kann.