EDSA: Leit­li­ni­en für Beschrän­kun­gen i.S.v. Art. 23 DSGVO

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat die fina­le Fas­sung der Leit­li­ni­en zu Beschrän­kun­gen nach Art. 23 DSGVO ver­öf­fent­licht (Gui­de­li­nes 10/2020 on restric­tions under Arti­cle 23 GDPR, Ver­si­on 2.0, Adop­ted on 13 Octo­ber 2021).

Nach Art. 23 DSGVO kön­nen Mit­glied­staa­ten des EWR im natio­na­len Recht “Beschrän­kun­gen” von der Infor­ma­ti­ons­pflicht nach Art. 12 ff. und den Rech­ten auf Aus­kunft, Berich­ti­gung, Löschung und Ein­schrän­kung der Ver­ar­bei­tung, auf Wider­spruch gegen die Ver­ar­bei­tung und auf Eska­la­ti­on bei auto­ma­ti­sier­ten Ein­zel­ent­schei­dun­gen und der Pflicht, an ande­re Emp­fän­ger über Berich­ti­gun­gen, Löschun­gen und Ein­schrän­kung v0n Ver­ar­bei­tun­gen vor­se­hen. Beschrän­kun­gen müs­sen aber den Zie­len von Art. 23 lit. a‑j die­nen und die Anfor­de­run­gen von Art. 23 Abs. 1 und 2 DSGVO einhalten.

Ein Gross­teil der Leit­li­ni­en rich­tet sich an den Gesetz­ge­ber der Mit­glied­staa­ten. Die­se Hin­wei­se kön­nen im Sin­ne einer euro­pa­rechts­kon­for­men Aus­le­gung als Aus­le­gungs­mit­tel des natio­na­len Rechts die­nen. Dane­ben fin­den sich aber auch Aus­sa­gen, die die Rechts­an­wen­dung direk­ter betreffen:

  • Der EDSA betont den Aus­nah­me­cha­rak­ter von Beschrän­kun­gen, die ent­spre­chend eng aus­zu­le­gen sind.
  • Gemein­sam Ver­ant­wort­li­che soll­ten in ihrer Ver­ein­ba­rung auch ggf. anwend­ba­re Beschrän­kun­gen abbilden.
  • Ver­ant­wort­li­che sol­len die Grün­de für eine Beschrän­kung im kon­kre­ten Fall als “good prac­ti­ce” doku­men­tie­ren (ggf. auch die Anwen­dungs­kri­te­ri­en und die Dau­er der Beschränkung).
  • Sofern ein DPO bestellt ist, soll er über jede Beschrän­kung infor­miert wer­den, und auch dies soll doku­men­tiert werden.
  • Wenn der Grund für eine Beschrän­kung weg­fällt, soll das Betrof­fe­nen­recht nach­ge­holt werden.