Der Europäische Datenschutzausschuss hat eine Stellungnahme zu den Verpflichtungen angenommen, die sich aus Artikel 28 der Datenschutzverordnung für den Einsatz von (Unter-)Datenverarbeitern durch den Datenverantwortlichen ergeben, einschließlich der Dokumentationspflicht des Datenverantwortlichen beim Einsatz von (Unter-)Datenverarbeitern.
Auf der Plenarsitzung am 7. und 8. Oktober 2024 verabschiedete der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme gemäß Artikel 64 Absatz 1 der Datenschutzverordnung. 2 über die Pflichten der Verantwortlichen beim Einsatz von Auftragsverarbeitern. Die dänische Datenschutzbehörde hat sich aktiv an der Arbeit an der Erklärung beteiligt, insbesondere weil es für die Behörde wichtig war, ein klares gemeinsames Verständnis der Regeln für den Einsatz von Datenverarbeitern durch den Datenverantwortlichen bei komplexen Dienstleistungen zu formulieren – und ebenso wichtig, dass dies der Fall ist Das Verständnis wird bei allen nationalen Aufsichtsbehörden gleichermaßen durchgesetzt.
Der Antrag auf Stellungnahme wurde von der dänischen Datenschutzbehörde vor dem Hintergrund gestellt, dass viele Datenverantwortliche – sowohl in Dänemark als auch im übrigen Europa – in großem Umfang auf Datenverarbeiter zurückgreifen, insbesondere im Zusammenhang mit der Nutzung von Cloud-Diensten. Dabei nutzt der Cloud-Anbieter für die Bereitstellung seiner Dienste häufig eine Reihe von Subunternehmern. Einer der Bereiche, mit denen viele Datenverantwortliche immer wieder vor Herausforderungen stehen, ist die Frage der Dokumentation, die die Datenverantwortlichen bereitstellen müssen, um letztendlich die Einhaltung der DSGVO sicherzustellen.
Daher ist es positiv, dass es in diesem Bereich mittlerweile eine gesamteuropäische Meinung gibt.
Stellungnahme des EDSA
In der Stellungnahme geht der EDSA u.a. auf Folgendes ein: die Frage, inwieweit der Datenverantwortliche in der Lage sein muss, alle seine Datenverarbeiter zu identifizieren, und inwieweit der Datenverantwortliche überprüfen und dokumentieren muss, dass Unterauftragsverarbeiter tatsächlich denselben Datenschutzpflichten unterliegen wie die ersten Daten Prozessor.
Die Erklärung befasst sich auch mit der Frage der Dokumentationspflicht des Datenverantwortlichen für den Fall, dass ein Datenverarbeiter innerhalb der EU/des EWR personenbezogene Daten an einen (Unter-)Datenverarbeiter in einem Drittland übermittelt.