Datenrecht.at

Yesterday, the EDBP has issued its Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), which has been adopted on 7 October 2024. The opinion is based on certain questions from the Danish SA which seem to be - at least partly - based on the findings of the first coordinated enforcement action within the Coordinated Enforcement Framework (CEF) regarding use of cloud services in the public sector. Therefore, the opinion is of relevance to all controllers whose processing activities are fully or parlty “outsourced” to cloud service providers (processors and their sub-processors).

Some quick excerpts (highlighting is mine):

• Margin no 25: In cases where the controller decides to accept certain sub-processors at the time of the signature of the contract, a list of approved sub-processors should be included in the contract or an annex thereto. The list should then be kept up to date, in accordance with the general or specific authorisation given by the controller. […]
• No.28: This means that the information relating to the identification of all of the processor’s sub-processors should be easily accessible to the controller. […]
• No. 31: While this is not explicit in these provisions, the Board considers that for the purpose of Article 28(1) and 28(2) GDPR, controllers should have the information on the identity of all processors, sub-processors etc. readily available at all times27 so that they can best fulfil their obligations under the provisions mentioned above. […]
•  No. 32: To this end, the processor should proactively provide to the controller all information on the identity of all processors, sub-processors etc. processing on behalf of the controller, and should keep this information regarding all engaged sub-processors up to date at all times.
• No 88: As a first step, where personal data will be transferred to third countries in connection with the use of (sub-)processors, the controller should assess and be able to show documentation relating to the transfer mapping. The controller should ensure that a transfer mapping is carried out by the exporter (which processes personal data on its behalf), setting out which personal data are transferred (including remote access), where, and for which purposes. […]

Diese Dokumente (auszugsweise wiedergegeben), die (dazu eher spärlich vorhandene) Kommentarliteratur und natürlich der Wortlaut der DSGVO haben mich bei der Beantwortung einer diesbezüglichen Anfrage unterstützt - mehr dazu vielleicht als Publikation:

• EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf
• EDPB, Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, https://www.edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_de.pdf
• Hamburger LfDI, Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO, https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Vermerk_Data_Breach_2023.pdf
• ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches, https://op.europa.eu/en/publication-detail/-/publication/dd745e70-efb8-4329-9b78-79020ec69da5
• BayLDA, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen (2019), https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf

Der EDPB trifft zumindest zur Downtime wegen einer geplanten Maintenance eine klare Aussage:

Wenn personenbezogene Daten aufgrund einer geplanten Systemwartung nicht verfügbar sind, ist dies keine „Sicherheitsverletzung“ im Sinne von Artikel 4 Absatz 12 der Datenschutz-Grundverordnung.

Und was in der Praxis manchmal übersehen wird - zur Dokumentation eines Vorfalls, auch wenn keine Meldung erforderlich ist führt der EDPB in Rz 22 seiner Guidelines 9/2022 aus:

Wie bei einem dauerhaften Verlust oder einer Zerstörung personenbezogener Daten (oder auch bei jeder anderen Art von Datenschutzverletzung) sollte eine Datenschutzverletzung, die mit einem vorübergehenden Verlust der Verfügbarkeit einhergeht, gemäß Artikel 33 Absatz 5 DSGVO dokumentiert werden. Dies hilft dem für die Verarbeitung Verantwortlichen, gegenüber der Aufsichtsbehörde, die möglicherweise Einsicht in diese Aufzeichnungen verlangt, seine Verantwortlichkeit nachzuweisen.

Die Europäische Kommission hat am 25.7.2024 ihren Zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO), COM(2024) 357 final, veröffentlicht (hier findet man die zuvor ergangenen Rückmeldungen aus der Zivilgesellschaft zur Sondierung). Der vorliegende Bericht ist der zweite Bericht der Kommission über die Anwendung der Datenschutz-Grundverordnung (DSGVO), der gemäß Artikel 97 DSGVO angenommen wurde; den ersten Bericht findet man hier: COM/2024/357 final.

Laut Kommission muss der Fokus auf folgende Elemente gerichtet werden, damit die Ziele der DSGVO erreicht werden:

• solide Durchsetzung der DSGVO, beginnend mit der raschen Annahme des Vorschlags der Kommission über Verfahrensregeln, um in Fällen, die Einzelpersonen in der gesamten EU betreffen, schnelle Rechtsbehelfe und Rechtssicherheit zu schaffen;
• aktive Unterstützung von Interessenträgern, insbesondere KMU und kleinen Marktteilnehmern, durch die Datenschutzbehörden bei ihren Bemühungen um Einhaltung der Vorschriften;
• einheitliche Auslegung und Anwendung der DSGVO in der gesamten EU;
• wirksame Zusammenarbeit zwischen den Regulierungsbehörden sowohl auf nationaler als auch auf EU-Ebene, um die einheitliche und kohärente Anwendung des wachsenden Regelwerks der EU im digitalen Bereich sicherzustellen;
• weitere Förderung der internationalen Datenschutzstrategie der Kommission.

Update: Hier der Beitrag der GDPR Multistakeholder Expert Group.

Der ständig zunehmende Trend zur Auslagerung “in die Cloud” führt da und dort zu Reaktionen von Behörden. So führte eine Informationsfreiheitsanfrage in Deutschland vor Kurzem zur Veröffentlichung der sogenannten “roten Linien” des BSI aus dem Jahr 2022, in denen festgelegt ist, welche Anforderungen Cloud-Angebote für eine souveräne Verwaltungscloud (”Requirements for Cloud Platforms in the Federal Administration“, pdf) erfüllen müssen. In bestimmten Sektoren existieren zudem  (”unverbindliche”) Empfehlungen, die teilweise strengere Anforderungen enthalten, so z.B. die Aufsichtsmitteilung der deutschen BaFin zu Auslagerungen an Cloud-Anbieter, die als Aufsatzthema einiges an Stoff bietet (Thalhofer/Monschke, CR 2024, 366-373).

DIe CNIL übt Kritik an dem European certification scheme for cloud services (EUCS draft), da dieses (dereit) nicht mehr die Möglichkeit enthält, bei “sehr sensiblen” Verarbeitungen sicherzustellen, dass der Cloud-Anbieter nicht unter außereuropäische Rechtsvorschriften fällt. Ein höheres Schutzniveau sei für bestimmte “kritische” Datenverarbeitungen erforderlich (z.B. große Gesundheitsdatenbanken, strafrechtliche Daten oder Daten über Minderjährige), bei denen die in der Europäischen Union gehosteten Daten nicht dem Risiko eines unbefugten Zugriffs durch Behörden in Drittländern ausgesetzt werden sollten: In diesen Fällen empfiehlt die CNIL, dass der Dienstleister ausschließlich europäischem Recht unterliegen (on-shoring) und ein angemessenes Schutzniveau bieten soll. In Frankreich beinhalte die Zertifizierung SecNumCloud der Agence nationale de la sécurité des systèmes d'information (ANSSI) für Cloud-Dienste dieses Kriterium und schützt die Daten vor dem Zugriff ausländischer Behörden, so die CNIL.

Damit den Datenschutz- und IT-Recht-affinen Jurist:innen nicht langweilig wird, sorgt die EU u.a. mit Cloud Switching in Art 1 Abs. 1 lit d und Abs 3 lit f Data Act - es bleibt viel zu lesen und zu tun, IT-Compliance wird nicht leichter. Froh muss derjenige sein, der einen leistungsfähigen Anbieter findet, welcher all diese Anforderungen erfüllen kann und will …

Bislang war die Datenschutzbehörde (DSB) die einzige Aufsichtsbehörde für den Datenschutz in Österreich. Als Reaktion auf das Urteil des EuGH vom 16.1.2024 (Rs C‑33/22), womit im Wesentlichen die Zuständigkeit der DSB auch für den Gesetzgebungsbereich bejaht wurde (Gewaltenteilung!), wird nunmehr ein Parlamentarisches Datenschutzkomitee als “sektorale” Aufsichtsbehörde eingerichtet, das per Landesverfassungsgesetz auch für Landtage, Landesrechnungshöfe und Landesvolksanwälte zuständig gemacht werden kann. Die im Nationalrat vertretenen Parteien haben sich auf ein Gesetzespaket geeinigt, mit dem u.a. das Geschäftsordnungsgesetz, das Informationsordnungsgesetz, das Datenschutzgesetz, das Rechnungshof-, das Volksanwaltschaftsgesetz und das B-VG entsprechend geändert werden:

• 2594 d.B. - Informationsordnungsgesetz, Datenschutzgesetz, Beamten-Dienstrechtsgesetz 1979 und Verwaltungsgerichtshofgesetz 1985
• 2595 d.B. - Rechnungshofgesetz 1948 und Volksanwaltschaftsgesetz 1982
• 3848/A - Bundes-Verfassungsgesetz
• 3847/A - Geschäftsordnungsgesetz 1975
• Änderung der Geschäftsordnung des Bundesrates
• Pressemeldung NR vom 13.6.2024

Das deutsche Bundeskartellamt hat am 19.6.2024 den Abschlussbericht zu seiner verbraucherrechtlichen Sektoruntersuchung „Scoring beim Online-Shopping“ veröffentlicht. Das Bundeskartellamt kommt zu dem Ergebnis, dass Online-Händler, Zahlungsdienstleister und Auskunfteien die geltenden Vorgaben des Verbraucherrechts nicht immer einhalten - dabei geht das Kartellamt auch auf damit verbundene (datenschutz-)rechtliche Themen (DSGVO, BDSG, UWG, Digital Markets Act, AI Act und EU‐Verbraucherkreditrichtlinie) sowie Online-Bonitätsprüfungen ein.

Der vollständige Bericht zur Sektoruntersuchung „Scoring beim Online-Shopping“ ist auf der Internetseite des Bundeskartellamtes abrufbar.