Foxlaw - Datenschutz: europäischer Datenschutzausschuss (EDPB) veröffentlicht Entwurf für Guidelines zu Art. 25 DSGVO

Datenschutz: europäischer Datenschutzausschuss (EDPB) veröffentlicht Entwurf für Guidelines zu Art. 25 DSGVO

Details: Erstellt: Sonntag, 24. November 2019 09:07

Am 20.11.2019 hat der Europäische Datenschutzausschuss (European Data Protection Board - „ EDPB“) seinen Entwurf für die „Guidelines 4/2019 on Article 25 Data Protection by Design and by Default“ veröffentlicht, die Vorgaben und allgemeine Hinweise zu den in Art. 25 DSGVO vorgesehenen datenschutzrechtlichen Verpflichtungen „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) und „Privacy by Design“ (Datenschutz durch Technikgestaltung) enthalten.

Kern der Verpflichtungen des für die Verarbeitung der Daten Verantwortlichen ist es, einerseits geeignete technische und organisatorische Maßnahmen und notwendige Sicherheitsvorkehrungen zu treffen, um die Daten zu schützen, andererseits die Verpflichtung, bereits bei der Planung eines Datenverarbeitungsvorgangs die (strengen) Vorgaben der DSGVO anzuwenden.

In seinen Guidelines geht der Europäische Datenschutzausschuss insbesondere näher auf die Standardeinstellungen unter Berücksichtigung des Datenschutzes ein und formuliert Hinweise, Beispiele und Empfehlungen zur effektiven Umsetzung. Dies umfasst auch ein Beispiel einer „idealen“ Datenschutzerklärung.

Den vorgestellten Guidelines ist daher gut zu entnehmen, wie sich der Europäische Datenschutzausschuss die Umsetzung der datenschutzrechtlichen Prinzipien der DSGVO konkret vorstellt. Die Latte hängt dabei gleichsam sehr hoch.

Nichtsdestotrotz sollte sich jede verantwortliche Stelle, die personenbezogene Daten des betroffenen verarbeitet, daran orientieren, denn der EDPB verweist in den Guidelines explizit darauf, dass die Aufsichtsbehörden die Einhaltung von Art. 25 DSGVO gem. Art. 58 DSGVO prüfen und entsprechende Abhilfemaßnahmen wie etwa Verwarnungen, Weisungen, Beschränkungen, Verbote der Verarbeitung bis hin zur Verhängung von Bußgeldern ergreifen können.

Sofortiges Handeln erforderlich?

Ja - und nein.

Die jüngst veröffentlichten Guidelines stellen einen Entwurf dar, der nun Grundlage für eine öffentliche Konsultation bis zum 16.01.2020 sein soll, bis dahin sind Stellungnahmen möglich. Es bleibt abzuwarten, wer und in welcher Form und Qualität dazu Stellung nehmen und wie die finale Fassung dann aussehen wird. Diese ist nicht vor Mitte des Jahres 2020 zu erwarten. Daher stellen diese Guidelines derzeit noch keinen einheitlichen Prüfungsmaßstab für aufsichtsbehördliche Prüfungen dar. Dennoch: bereits jetzt sind die Aufsichtsbehörden zur Ahndung von Verstößen und zur Verhängung von Bußgeldern berechtigt.

Datenverarbeitende Stellen sollten daher bereits jetzt - und dann in regelmäßigen Abständen - überprüfen, ob ein Mindestmaß an Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gewährleistet wird

Die Guidelines können Sie hier herunterladen.