EDPB: Leit­li­ni­en für Aus­nah­men im Umset­zungs­recht nach DSGVO 23

Die DSGVO ent­hält selbst kaum Aus­nah­men von den Betrof­fe­nen­rech­ten wie z.B. dem Infor­ma­ti­ons­recht, dem Aus­kunfts­recht oder dem Recht, über Daten­si­cher­heits­ver­let­zun­gen infor­miert zu wer­den, abge­se­hen von Art. 12 Abs. 5 DSGVO (offen­kun­dig unbe­grün­de­te oder exzes­si­ve Anträ­ge). Die Mit­glied­staa­ten kön­nen aber gestützt auf Art. 23 DSGVO Aus­nah­men und Ein­schrän­kun­gen vor­se­hen, sofern ihr Recht den Vor­ga­ben von Art. 23 ent­spricht. Deutsch­land z.B. hat davon in §§ 32 ff. BDSG Gebrauch gemacht und für pri­va­te Ver­ant­wort­li­che bspw. eine Aus­nah­me der Infor­ma­ti­ons- und Aus­kunfts­pflicht etwa dann vor­ge­se­hen, wenn die Erfül­lung die­ser Pflich­ten die Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung recht­li­cher Ansprü­che beein­träch­ti­gen wür­de und die Inter­es­sen des Ver­ant­wort­li­chen jene Inter­es­sen der betrof­fe­nen Per­son überwiegen.

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat nun den Ent­wurf von Leit­li­ni­en zu Art. 23 DSGVO ver­öf­fent­licht (Gui­de­li­nes 10/2020 on restric­tions under Arti­cle 23 GDPR, Ver­si­on 1.0, 15. Dezem­ber 2020). Stel­lung­nah­men wer­den bis zum 12. Febru­ar 2021 ent­ge­gen­ge­nom­men. Die Leit­li­ni­en äussern sich in erster Linie zu den Anfor­de­run­gen an das ent­spre­chen­de mit­glied­staat­li­che Recht aus Art. 23 DSGVO.

Prak­tisch wich­tig sind fol­gen­de Hin­weis des EDSA:

Ver­ant­wort­li­che müs­sen doku­men­tie­ren, wenn sie sich auf eine Aus­nah­me beru­fen (Accoun­ta­bi­li­ty-Grund­satz, Art. 5 Abs. 2 DSGVO):

66. In light of the accoun­ta­bi­li­ty princip­le (Arti­cle 5(2) GDPR), the con­trol­ler should docu­ment the app­li­ca­ti­on of restric­tions on con­cre­te cases by kee­ping a record of their app­li­ca­ti­on. This record should inclu­de the app­li­ca­ble rea­sons for the restric­tions, which grounds among tho­se listed in Arti­cle 23(1) GDPR app­ly (whe­re the legis­la­ti­ve mea­su­re allo­ws for restric­tions on dif­fe­rent grounds), its timing and the out­co­me of the neces­si­ty and pro­por­tio­na­li­ty test. The records should be made avail­ab­le on requ­est to the data pro­tec­tion super­vi­so­ry aut­ho­ri­ty (SA).

67. In case the con­trol­ler has a data pro­tec­tion offi­cer (DPO), the DPO should be infor­med without undue delay whenever data sub­ject rights are restric­ted in accordance with the legis­la­ti­ve mea­su­re. The DPO should be given access to the asso­cia­ted records and any docu­ments con­cer­ning the fac­tu­al or legal con­text in which the restric­tion takes place. The invol­ve­ment of the DPO in the app­li­ca­ti­on of restric­tions should also be documented.

Zudem sol­len die Ver­ant­wort­li­chen die Erfül­lung der Betrof­fe­nen­rech­te nach­ho­len, wenn der Aus­nah­me­grund nicht län­ger erfüllt ist:

During the app­li­ca­ti­on of a restric­tion, data sub­jects may be allo­wed to exer­cise cer­tain rights, if not all their rights need to be restric­ted. In order to assess when the restric­tion can be par­ti­al­ly or inte­gral­ly lifted, a neces­si­ty and pro­por­tio­na­li­ty test may be per­for­med several times during the app­li­ca­ti­on of a restriction.
75. When the restric­tion is lifted – which should be docu­men­ted in the record men­tio­ned in point 5 –, data sub­jects can exer­cise all their rights.
76. If the con­trol­ler does not allow data sub­jects to exer­cise their rights after the restric­tion has been lifted, the data sub­ject can sub­mit a com­p­laint to the SA against the con­trol­ler, in accordance with Arti­cle 57(1)(f) GDPR.