Datenrecht.at

Ein von Dr. TJ McIntyre im Auftrag des Europäischen Datenschutzausschusses (EDSA) ​verfasster Bericht (pdf) analysiert, wie Datenschutz-Aufsichtsbehörden die Rechtsgrundlage des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO in der Praxis auslegen. Die Fallstudie untersucht zahlreiche grenzüberschreitende Entscheidungen, die Themen wie Betrugsprävention, Direktmarketing und Bonitätsprüfungen abdecken. Ein zentraler Fokus liegt dabei auf dem Drei-Stufen-Test, mit dem die Zulässigkeit, Erforderlichkeit und Abwägung der auf berechtigte Interessen gestützte Datenverarbeitungen bewertet wird. Der Bericht verdeutlicht zudem häufige Fehler von Unternehmen, insbesondere mangelnde Transparenz oder unzureichende Dokumentation der Interessenabwägung. Abschließend werden Herausforderungen bei der grenzüberschreitenden Rechtsdurchsetzung sowie das komplexe Zusammenspiel mit der E-Privacy-Richtlinie erörtert.

Am 19.3.2026 hat der Europäische Datenschutzausschuss (EDPB) den Startschuss für seine diesjährige koordinierte Prüfmaßnahme (Coordinated Enforcement Framework - CEF) gegeben. Nachdem im vergangenen Jahr das Recht auf Löschung geprüft wurde, rückt 2026 ein neues, für uns alle hochrelevantes Thema in den Fokus: die Einhaltung der Transparenz- und Informationsverpflichtungen unter der DSGVO.

Was bedeutet das aus österreichischer Sicht?
Die österreichische Datenschutzbehörde (DSB) hat bereits bestätigt, dass sie sich auch im Jahr 2026 an dieser europaweit zwischen 25 Datenschutzbehörden koordinierten Maßnahme beteiligen wird. Für Verantwortliche heißt es daher aufpassen: Die Behörde wird demnächst gezielt Verantwortliche aus unterschiedlichen Sektoren kontaktieren - erfahrungsgemäß mit einem detaillierten Fragebogen. Nähere Details zum genauen Vorgehen in Österreich wird die DSB zu einem späteren Zeitpunkt noch bekannt geben.

Warum gerade Transparenz?
Die DSGVO stellt durch die Artikel 12, 13 und 14 sicher, dass betroffene Personen darüber informiert werden, wenn ihre Daten verarbeitet werden. Dieses Recht auf Information ist ein Kernelement der Transparenz und sorgt dafür, dass Betroffene mehr Kontrolle über ihre personenbezogenen Daten behalten. Art 12 Abs 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, soll laut EuGH gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (EuGH 4.5.2023, C‑487/21, Rn 38; 11.7.2024, C‑757/22, Rn 56 ff).

Wie geht es weiter?
In der zweiten Jahreshälfte 2026 werden die teilnehmenden Behörden ihre gesammelten nationalen Erkenntnisse austauschen und aggregieren. Ziel ist es, tiefere Einblicke in die praktische Umsetzung der Informationspflichten zu gewinnen und einen gemeinsamen Bericht zu erstellen. Dieser wird schließlich vom EDPB verabschiedet und soll gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.

Im soeben erschienenen Jahrbuch 25 Datenschutzrecht, herausgegeben von Bergauer/Gosch findet sich ein ausführlicher Beitrag, den ich als Erstautor (ua auch zur Digitalen Souveränität) mitverfassen durfte: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO, 29-57

On 9 October 2024, the European Commission has issued its Report on the first periodic review of the functioning of the adequacy decision on the EU-US Data Privacy Framework. In its press release, the EC writes that “[b]ased on the information gathered during the review, the Commission concludes that the US authorities have put in place all the constitutive elements of the framework. [...]”. According the EC, the review is based on a review meeting, an input from a wide range of actors including civil society organisations, trade associations, EU data protection authorities, US authorities involved in implementing the framework, as well as feedback from the general public via the ‘Have your Say' portal (some quite interesting feedback not fully in appraisal of the decision can be found there).

• Update 6.11.2024: During its latest plenary, the European Data Protection Board (EDPB) adopted a report on the first review of EU-U.S. Data Privacy Framework (DPF), as well as a statement on the recommendations of the high-level group (HLG) on access to data for effective law enforcement.