27
Mai
2018
Europa
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

DSGVO – Europäischer Datenschutzausschuss bestätigt Positionen der Art. 29 Gruppe

Datenschutzbehörden machen Vorgaben zur Anwendung des neuen EU-Datenschutzes in der Praxis

Der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) ist das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden. Der EDPB gibt Auslegungshilfen zur Anwendung der EU-Datenschutz-Grundverordnung (DSGVO). Damit tritt der EDPB mit der Geltung der DSGVO an Stelle der nach dem bislang geltenden Datenschutzrecht eingerichteten Art. 29 Datenschutzgruppe (Art. 29 Gruppe). Weitere Informationen über den EDPB können sie hier auf dessen Website abrufen.

Bestätigung der bisherigen Arbeitspapiere und Positionen der Art. 29 Gruppe

Die Art. 29 Gruppe hatte bereits vor der Geltung der DSGVO eine ganze Reihe von Arbeitspapieren mit Anwendungshilfen und Auslegungshinweisen zur DSGVO veröffentlicht. Manche der Stellungnahmen der Art. 29 Gruppe wurden als wenig praxisgerecht und für die Wirtschaft kaum umsetzbar kritisiert. Der EDPB hat nun in seiner ersten konstituierenden Sitzung am 25. Mai 2018 viele bisherige Positionen der Art. 29 Gruppe bestätigt. Die entsprechende Übersicht der vom EDPB übernommenen Positionspapiere finden Sie hier.

Welche Folgen hat die Positionierung des EDPB für die Praxis?

Mache der zunächst von der Art. 29 Gruppe und nun vom EDPB vertretenen Auslegungen der DSGVO sind für die Wirtschaft schwer umsetzbar und erscheinen vielen Datenschutzpraktikern als übermäßig streng. Die Positionen des EDPB sind Empfehlungen für die Praxis und haben für Gerichte keine verbindliche Wirkung. Letztlich geht es hier um zwischen EU-Behörden abgestimmte Ansichten – also um Positionen der Exekutive, die die Legislative bzw. den Gesetzgeber nicht ersetzen können. Und die Gerichte, also die Judikative, sind an diese Ansichten der Verwaltung nicht gebunden.

Allerdings steht zu erwarten, dass Gerichte bei der Anwendung und Auslegung der DSGVO die Vorgaben des EDPB sehr wohl berücksichtigen werden. Daher sollten Unternehmen bei der Umsetzung des neuen EU-Datenschutzes gut mit den Positionspapieren der Art. 29 ruppe und des EDPB vertraut sein und sich im Einzelfall gut überlegen, mit welchen rechtlichen Risiken es verbunden ist, wenn sie von den Vorgaben der Behörden abweichen. Dies wird nicht nur in Bezug auf mögliche Bußgelder nach Art. 83 DSGVO, sondern vor allem auch bei Schadensersatzansprüchen nach Art. 82 DSGVO wichtig sein. Derzeit vermuten viele Praktiker, dass sogenannte Abmahnanwälte künftig massenhaft Unterlassungsansprüche und Schadensersatz nach der DSGVO geltend machen könnten. Einen Überblick über die praxisrelevanten Aspekte solcher Schadensersatzansprüchen können Sie hier abrufen.

Checklisten, Arbeitshilfen und eine Materialsammlung zur DSGVO für die Praxis finden Sie hier.