Immer noch ein wenig im Schatten steht die Vorgabe des „Privacy-by-Default“ des Art. 25 II DSGVO. Nun hat der EUGH die Bedeutung dieses Prinzips hervorgehoben, indem klargestellt wurde, dass die Rechenschaftspflicht nach Art. 5 II DSGVO sich eben hierauf bezieht:
In diesem Zusammenhang ist darauf hinzuweisen, dass der für die Verarbeitung Verantwortliche nach dem in Art. 5 Abs. 2 der Verordnung 2016/679 verankerten Grundsatz der Rechenschaftspflicht nachweisen können muss, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält. Folglich obliegt es der lettischen Steuerverwaltung, nachzuweisen, dass sie gemäß Art. 25 Abs. 2 dieser Verordnung versucht hat, die Menge der zu erhebenden personenbezogenen Daten so gering wie möglich zu halten.
EUGH, C‑175/20
Die Regel des Art.5 II DSGVO ist im Allgemeinen als Beweislast mit teils erheblichen Dokumentationspflichten zu verstehen für denjenigen, der sich auf die Rechtmäßigkeit einer Datenverarbeitung beruft (dazu nur Gola/Heckmann/Pötters DS-GVO Art. 5 Rn. 31-35). Bisher stand bei Art. 25 DSGVO vor allem die Bußgeldbewährung im Vordergrund – man wird nun umdenken müssen und beachten, dass Art. 25 II DSGVO auch bei dem Nachweis ordnungsgemäßer Datenverarbeitung eine tragende Rolle spielt. Selbiges wird für Art. 25 I DSGVO gelten.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024