European Data Protection Supervisor
Der Europäische Datenschutzbeauftragte

A

A

ACTA

Das Abkommen zur Bekämpfung von Produkt- und Markenpiraterie (ACTA) ist ein multilaterales Handelsabkommen für die Einführung internationaler Standards im Bereich der Durchsetzung des geistigen Eigentumsrechts in den teilnehmenden Ländern. Seine Befürworter beschreiben es als Antwort "auf die Zunahme des weltweiten Handels mit gefälschten Waren und Raubkopien urheberrechtlich geschützter Werke." Der Umfang des ACTA-Abkommens ist breit, einschließlich gefälschter Waren, Generika und "Piraterie über das Internet".

Im Februar 2010 veröffentlichte der Europäische Datenschutzbeauftragte eine Stellungnahme zu den Verhandlungen bei der Verabschiedung des neuen Abkommens, in dem er gegen seine potenzielle Unvereinbarkeit mit dem EU-Datenschutzrecht warnte.

Angemessenheitsbeschluss

Ein „Angemessenheitsbeschluss“ ist ein Beschluss, der von der Europäischen Kommission gemäß Artikel 45 DSGVO angenommen wird und durch den festgelegt wird, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Im Rahmen dieses Beschlusses werden die innerstaatlichen Rechtsvorschriften des Landes, seine Aufsichtsbehörden und die von ihm eingegangenen internationalen Verpflichtungen berücksichtigt.

Ein solcher Beschluss bedeutet, dass personenbezogene Daten von den EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können. Die Europäische Kommission veröffentlicht eine Liste ihrer Angemessenheitsbeschlüsse auf ihrer Website.

Die Kommission hat bislang sieben Angemessenheitsentscheidungen getroffen, in denen bestätigt wird, dass die Schweiz, Kanada, Argentinien, Guernsey, die Isle of Man, die Grundsätze des „sicheren Hafens“ des Handelsministeriums der Vereinigten Staaten sowie die Übermittlung von Fluggastdatensätzen an das United States Bureau of Customs and Border Protection (Zoll- und Grenzschutzbehörde der Vereinigten Staaten) einen angemessenen Schutz bieten.

Angemessenheitsentscheidungen werden mittels des so genannten „Ausschussverfahrens“ getroffen, das die folgenden Schritte umfasst:

  • einen Vorschlag der Kommission;
  • eine Stellungnahme der Artikel-29-Datenschutzgruppe;
  • eine Stellungnahme des Ausschusses nach Artikel 31, die von einer qualifizierten Mehrheit der Mitgliedstaaten abgegeben wird;
  • das europäische Parlament und der Rat können jederzeit die Kommission dazu auffordern aufgrund mangelnder Befugnisse im Rahmen der Verordnung, die Angemessenheitsfeststellung beizubehalten, abzuändern oder zurückzuziehen;
  • und die Annahme der Entscheidung durch das Kollegium der Kommissionsmitglieder.

Angemessenheitsentscheidung der Kommission

Artikel-29-Datenschutzgruppe (Vorgänger des EDSA)

„Artikel-29-Datenschutzgruppe" ist die Kurzbezeichnung für die Datenschutzarbeitsgruppe, die gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde. Sie war eine unabhängige Beratungsinstanz für die Europäische Kommission in Datenschutzangelegenheiten und unterstützte die Entwicklung einer harmonisierten Umsetzung von Datenschutzvorschriften in den EU-Mitgliedstaaten.

Am 25. Mai 2018 wurde die Artikel-29-Datenschutzgruppe aufgelöst und durch den Europäischen Datenschutzausschuss (EDSA) ersetzt. Die Website des EDSA kann konsultiert werden unter: https://edpb.europa.eu/

Artikel 93 Ausschussverfahren

Gemäß Artikel 93 DSGVO wird die Kommission beim Erlass von Durchführungsmaßnahmen von einem Ausschuss unterstützt. 

Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011. Der Ausschuss setzt sich aus Vertretern der Mitgliedstaaten zusammen, die Kommission führt den Vorsitz. Beispielsweise kooperiert der Ausschuss im Rahmen des Verfahrens für die Annahme von Angemessenheitsbeschlüssen.

Auftragsverarbeiter

Nach Artikel 3 (12) der Verordnung (EU) 2018/1725ist ein Auftragsverarbeiter "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet".

Der wichtigste Punkt hier ist, dass der Auftragsverarbeiter nur "im Auftrag" der verantwortlichen Stelle tätig wird und folglich nur nach den Anweisungen der verantwortlichen Stelle handelt.

Zum Beispiel verarbeitet ein Sicherheitsdienstleister, der die Zugangskontrolle für ein Gebäude eines EU-Organs regelt, personenbezogene Daten von Personen, die das Gebäude betreten, nicht für seine eigenen Zwecke, sondern im Auftrag des EU-Organs.

In einigen Fällen verarbeiten Auftragsverarbeiter die Daten nicht selbst, sondern binden eventuell Unterauftragsnehmer ein. Dies hängt vom Verarbeitungsvertrag mit der verantwortlichen Stelle ab.

Auftragsverarbeiter-Vereinbarung

Übermittlungen personenbezogener Daten von einem Verantwortlichen an einen Auftragsverarbeiter müssen durch eine Vereinbarung über die Datenverarbeitung abgesichert sein. Diese muss bestimmte Mindestanforderungen erfüllen, wie in Artikel 28 der Datenschutz-Grundverordnung und Artikel 29 der Verordnung (EU) 2018/1725 niedergelegt.

Der Vertrag muss vorsehen, dass der Auftragsverarbeiter nur auf Weisung des Verantwortlichen handelt. Der Auftragsverarbeiter muss hinreichende Garantien im Hinblick auf die technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen bieten, auf deren Grundlage die durchzuführende Verarbeitung erfolgt. Zudem hat er die Einhaltung solcher Maßnahmen zu gewährleisten.

Auskunftsrecht

Das Auskunftsrecht ist das Recht der betroffenen Person, vom verantwortlichen des Bearbeitungsvorgangs eine Bestätigung darüber zu erhalten, dass die personenbezogenen Daten verarbeitet werden, die Verarbeitungszwecke, sowie die involvierte Logik einer automatisierten Entscheidungsfindung für die betroffene Person.

Dieses Recht ermöglicht auch, dass die betroffene Person eine Kommunikation von dem Datenbearbeitungsvorgang und den Informationen über die Verarbeitung in einer verständlichen Form erhält.

Dieses Recht kann jederzeit innerhalb eines Monates nach dem Erhalt des Antrages ohne Einschränkung kostenfrei ausgeübt werden. (Artikel 14 der Verordnung (EU) 2018/1725)

Automatisierte Einzelentscheidung

Eine „automatisierte Einzelentscheidung“ ist eine Entscheidung, die eine Person erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung dieser Person ergeht. Eine solche Bewertung kann sich auf verschiedene Aspekte ihrer Person beziehen, wie z. B. ihre berufliche Leistungsfähigkeit, ihre Kreditwürdigkeit, ihre Zuverlässigkeit oder ihr Verhalten.

In Artikel 22 deVerordnung (EU) 2016/679 und in Artikel 24 der Verordnung (EU) 2018/1725 ist das Recht natürlicher Personen festgelegt, Widerspruch gegen Entscheidungen einzulegen, die sie betreffen und ausschließlich aufgrund eines automatisierten Verfahrens ergehen, sofern nicht bestimmte Bedingungen erfüllt sind oder angemessene Schutzmaßnahmen bestehen.