Europäischer Datenschutzausschuss

Europäischer Datenschutzausschuss – 15. Plenartagung

Thursday, 14 November, 2019
EDPB

Brüssel, 14. November – Am 12./13. November kamen die Datenschutzbehörden des EWR und der Europäische Datenschutzbeauftragte im Rahmen des Europäischen Datenschutzausschusses (EDSA) zu ihrer 15. Plenartagung zusammen. Auf der Tagung wurde eine breite Themenpalette erörtert.
 
Dritte jährliche Überprüfung des EU‑US‑Datenschutzschilds
Der EDSA nahm seinen Bericht über die dritte jährliche Überprüfung des EU‑US‑Datenschutzschilds an. In dem Bericht begrüßt der EDSA die Bemühungen der US-Behörden zur Umsetzung des Datenschutzschilds, insbesondere in Bezug auf die von Amts wegen durchgeführten Aufsichts- und Durchsetzungsmaßnahmen zu kommerziellen Aspekten, sowie die Ernennungen der letzten fehlenden Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) und einer ständigen Ombudsperson.

Dennoch müssen noch einige Bedenken angesprochen werden. Der Ausschuss betont, dass wesentliche Konformitätsprüfungen im Hinblick auf die Substanz der Grundsätze des Datenschutzschilds weiterhin Anlass zu Besorgnis geben. Andere Bereiche, die weitere Aufmerksamkeit erfordern, sind die Anwendung der Anforderungen des Datenschutzschilds im Hinblick auf die Weitergabe von Daten, Personaldaten und Auftragsverarbeiter sowie die erneute Zertifizierung. Ganz allgemein würden die Mitglieder des Überprüfungsteams von einem breiteren Zugang zu nicht öffentlichen Informationen über kommerzielle Aspekte und laufende Untersuchungen profitieren.

Was die Erhebung von Daten durch Behörden anbelangt, ermuntert der EDSA das PCLOB dazu, weitere Berichte herauszugeben und zu veröffentlichen, unter anderem um eine unabhängige Bewertung der außerhalb des Hoheitsgebiets der USA durchgeführten Überwachungsprogramme vorzunehmen, während gleichzeitig Daten von der EU an die USA weitergegeben werden. Der Ausschuss bekräftigt, dass seine sicherheitsüberprüften Experten bereit sind, weitere Dokumente zu prüfen und weitere Verschlusssachen zu erörtern.

Der EDSA begrüßt zwar die neuen Angaben, die während der diesjährigen Überprüfung vorgelegt wurden, er kann jedoch noch immer nicht feststellen, dass die Ombudsperson über ausreichende Befugnisse verfügt, um Zugang zu Informationen zu erhalten und Verstöße zu beheben.

Leitlinien zum räumlichen Anwendungsbereich
Der EDSA nahm nach einer öffentlichen Konsultation eine endgültige Fassung der Leitlinien zum räumlichen Anwendungsbereich an. Die Leitlinien sollen den Datenschutzbehörden des EWR eine gemeinsame Auslegung der DSGVO ermöglichen, wenn bewertet wird, ob eine bestimmte Verarbeitung durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter in den räumlichen Anwendungsbereich des Rechtsrahmens fällt (Artikel 3 DSGVO). Die Leitlinien enthalten weitere Erläuterungen zur Anwendung der DSGVO in verschiedenen Situationen, beispielsweise wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter außerhalb des EWR niedergelassen ist; dies gilt auch in Bezug auf die Benennung und die Funktion eines Vertreters gemäß Artikel 27 DSGVO.

Die endgültigen Leitlinien enthalten einen aktualisierten Wortlaut und weitere rechtliche Überlegungen, um die während der öffentlichen Konsultation eingegangenen Anmerkungen und Rückmeldungen zu berücksichtigen, während gleichzeitig die in der ersten Fassung der Leitlinien dargelegte allgemeine Auslegung und Methodik beibehalten wird.

Leitlinien zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Der EDSA hat die Leitlinien zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen angenommen. Der Schwerpunkt der Leitlinien liegt auf der Verpflichtung zum Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (DPbDD) gemäß Artikel 25 DSGVO. Die zentrale Verpflichtung ist hier die wirksame Umsetzung der Datenschutzgrundsätze sowie der Rechte und Freiheiten der betroffenen Personen durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Dies setzt voraus, dass die für die Verarbeitung Verantwortlichen geeignete technische und organisatorische Maßnahmen ergreifen sowie die notwendigen Garantien bieten, um die Datenschutzgrundsätze wirksam zu wahren sowie die Rechte und Freiheiten der betroffenen Personen zu schützen. Darüber hinaus müssen die für die Verarbeitung Verantwortlichen nachweisen können, dass die umgesetzten Maßnahmen wirksam sind. Die Leitlinien werden zur öffentlichen Konsultation vorgelegt.

Stellungnahme gemäß Artikel 64 zu den verbindlichen internen Datenschutzvorschriften von ExxonMobil
Der EDSA nahm seine Stellungnahme zum Entwurf eines Beschlusses hinsichtlich der verbindlichen internen Datenschutzvorschriften von ExxonMobil an, der dem Ausschuss von der belgischen Aufsichtsbehörde unterbreitet wurde. Der EDSA ist der Ansicht, dass der Entwurf der verbindlichen internen Datenschutzvorschriften ausreichende Garantien im Sinne von Artikel 46 Absatz 2 Buchstabe b bietet und Artikel 47 DSGVO entspricht.

Antwortschreiben an den LIBE-Ausschuss in Bezug auf EU-Informationssysteme
Der EDSA nahm seine Antwort auf den Antrag des Ausschusses für bürgerliche Freiheiten des Europäischen Parlaments an, in der dieser um eine rechtliche Bewertung der Vorschläge der Europäischen Kommission für die Verordnung zur Festlegung der Bedingungen für den Zugang zu den anderen EU-Informationssystemen und die Verordnung zur Festlegung der Bedingungen für den Zugang zu anderen EU-Informationssystemen für ETIAS-Zwecke ersucht hatte. In dem Schreiben argumentiert der EDSA, dass die Vorschläge als Teil eines größeren Ganzen betrachtet werden sollten, d. h. als Umsetzung von Teilen des Interoperabilitätsrahmens, und erinnert an die zuvor geäußerten Bedenken der Artikel-29-Datenschutzgruppe. Außerdem wird in dem Schreiben darauf hingewiesen, dass Bedenken hinsichtlich der Grundsätze des Datenschutzes, wie z. B. Transparenz, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen und Zweckbindung bestehen.

Zusatzprotokoll zum Budapester Übereinkommen über Computerkriminalität
Der EDSA hat einen Beitrag zum Entwurf des zweiten Zusatzprotokolls zum Übereinkommen des Europarats über Computerkriminalität (Budapester Übereinkommen) angenommen, der im Rahmen der Konsultationen des Europarat-Ausschusses für das Übereinkommen über Computerkriminalität zu prüfen ist. Der EDSA erinnert daran, dass der Schutz personenbezogener Daten und Rechtssicherheit gewährleistet sein müssen; daher muss dazu beigetragen werden, nachhaltige Regelungen für die Weitergabe personenbezogener Daten an Drittländer zu Strafverfolgungszwecken zu schaffen, die mit den EU-Verträgen und der Charta der Grundrechte uneingeschränkt vereinbar sind.

Hinweise für die Redaktion:
Wir weisen darauf hin, dass alle im Rahmen der EDSA-Plenartagung angenommenen Dokumente den erforderlichen rechtlichen, sprachlichen und Formatierungsprüfungen unterliegen und nach deren Abschluss auf der EDSA-Website zur Verfügung gestellt werden.