Kernpunkte:
- Neues vom Europäischen Datenschutzausschuss
- Akkreditierung und Zertifizierung
- Ad-Hoc Working Group „Data Protection Engineering” der ENISA
11 Europa und Internationales
Die Arbeit in den deutschen Datenschutzaufsichtsbehörden hat ebenso wie in den Behörden der anderen Mitgliedstaaten der EU mittlerweile viel mit Europa zu tun. Mit der Datenschutz-Grundverordnung besteht ein Regelwerk, das im Prinzip in allen Mitgliedstaaten gleich ist und auch gleich interpretiert und angewendet werden soll. Einige der Aktivitäten mit Bezug zu Europa und darüber hinaus werden in diesem Kapitel dargestellt.
11.1 Neues vom Europäischen Datenschutzausschuss
Der Europäische Datenschutzausschuss (EDSA) ist ein unabhängiges europäisches Gremium. Es ist die Dachorganisation, die die nationalen Datenschutzbehörden der Länder des Europäischen Wirtschaftsraums sowie den Europäischen Datenschutzbeauftragten (EDSB) zusammenbringt.
Als am 25.05.2018 die Datenschutz-Grundverordnung Geltung erlangte, war noch nicht klar, ob die Mechanismen zur Zusammenarbeit in Europa funktionieren würden. Heute weiß man, dass es im Grundsatz ganz gut klappt. Insbesondere erfüllt der Europäische Datenschutzausschuss (EDSA) die wichtige Aufgabe sicherzustellen, dass die Datenschutz-Grundverordnung und die Datenschutzrichtlinie für Justiz und Inneres (JI-Richtlinie 2016/680) einheitlich angewandt werden und die Zusammenarbeit – auch bei der Durchsetzung des Datenschutzes durch die Aufsichtsbehörden – gewährleistet wird.
Die Ergebnisse des EDSA – teilweise mit unserer Zuarbeit – im Berichtsjahr sind vielfältig. Für die Anwender sind Leitlinien (Guidelines) zur Interpretation des Datenschutzrechts besonders wichtig, die häufig zuerst in einer ersten Version einer öffentlichen Konsultation unterzogen und dann zu einer Version 2.0 weiterentwickelt werden.
Die angenommenen Leitlinien und erarbeiteten Stellungnahmen aus dem Jahr 2023 werden im Folgenden aufgelistet:
- Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them, Version 2.0, nach öffentlicher Konsultation angenommen am 14.02.2023
https://www.edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf
Kurzlink: https://uldsh.de/tb42-11-1a - Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Artikels 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DSGVO, Version 2.0, nach öffentlicher Konsultation angenommen am 14.02.2023
https://www.edpb.europa.eu/system/files/2023-09/edpb_guidelines_05-2021_interplay_between_the_application_de.pdf
Kurzlink: https://uldsh.de/tb42-11-1b - Leitlinien 7/2022 über die Zertifizierung als Instrument für Übermittlungen, Version 2.0, nach öffentlicher Konsultation angenommen am 14.02.2023
https://www.edpb.europa.eu/system/files/2023-05/edpb_guidelines_07-2022_on_certification_as_a_tool_for_transfers_v2_de_0.pdf
Kurzlink: https://uldsh.de/tb42-11-1c - Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0, nach öffentlicher Konsultation angenommen am 28.03.2023
https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_ personal_data_breach_notification_v2.0_en.pdf
Kurzlink: https://uldsh.de/tb42-11-1d - Guidelines 01/2022 on data subject rights – Right of access, Version 2.0, nach öffentlicher Konsultation angenommen am 28.03.2023
https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf
Kurzlink: https://uldsh.de/tb42-11-1e - Leitlinien 8/2022 für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters, Version 2.0, nach öffentlicher Konsultation angenommen am 28.03.2023
https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202208_identifying_lsa_targeted_update_de.pdf
Kurzlink: https://uldsh.de/tb42-11-1f - Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, Version 2.0, nach öffentlicher Konsultation angenommen am 26.04.2023
https://www.edpb.europa.eu/system/files/2023-05/edpb_guidelines_202304_frtlawenforcement_v2_en.pdf
Kurzlink: https://uldsh.de/tb42-11-1g - Guidelines 03/2021 on the application of Article 65(1)(a) GDPR, Version 2.0, nach öffentlicher Konsultation angenommen am 24.05.2023
https://www.edpb.europa.eu/system/files/2023-06/edpb_guidelines_202103_article65-1-a_v2_en.pdf
Kurzlink: https://uldsh.de/tb42-11-1h - Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, nach öffentlicher Konsultation angenommen am 24.05.2023
https://www.edpb.europa.eu/system/files/2024-01/edpb_guidelines_042022_calculationofadministrativefines_de_0.pdf
Kurzlink: https://uldsh.de/tb42-11-1i - Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Artikel 47 GDPR), Version 2.0, nach öffentlicher Konsultation angenommen am 20.06.2023
https://www.edpb.europa.eu/system/files/2023-06/edpb_recommendations_20221_bcr-c_v2_en.pdf
Kurzlink: https://uldsh.de/tb42-11-1j - EDSA-EDSB Gemeinsame Stellungnahme 01/2023 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679, angenommen am 19.09.2023
https://www.edpb.europa.eu/system/files/2023-12/edpb_edps_jointopinion_202301_proceduralrules_ec_execsummary_de.pdf
Kurzlink: https://uldsh.de/tb42-11-1k - EDPB-EDPS Joint Opinion 02/2023 on the Proposal for a Regulation of the European Parliament and of the Council on the establishment of the digital euro, angenommen am 17.10.2023
https://www.edpb.europa.eu/system/files/2023-10/edpb_edps_jointopinion_022023_digitaleuro_en.pdf
Kurzlink: https://uldsh.de/tb42-11-1l
Viele der Dokumente sind besonders relevant für die Praxis, damit Anwender als Verantwortliche oder Auftragsverarbeiter Orientierung bei der Auslegung der DSGVO erhalten. Die Stellungnahmen richten sich an die Gesetzgeber auf europäischer Ebene – genau genommen betreffen sie aber den gesamten politischen und datenschutzrechtlichen Diskurs zu den jeweiligen Themen. So passte es gut, dass die Stellungnahme zum digitalen Euro bereits veröffentlicht war, als das Thema mit landesspezifischer Ausrichtung in Ausschüssen des Schleswig-Holsteinischen Landtages behandelt wurde.
11.2 Akkreditierung und Zertifizierung in der europäischen Expert Subgroup
Auch im Berichtszeitraum haben wir unsere Erfahrungen wieder in der für Fragen der Akkreditierung und Zertifizierung zuständigen Compliance, e-Government und Health Expert Subgroup (CEH Expert Subgroup) eingebracht. Die auf europäischer Ebene zuständige Gruppe hat sich dabei insbesondere mit Fragen der innereuropäischen Zusammenarbeit der Aufsichtsbehörden, des Drittstaatentransfers personenbezogener Daten gemäß Artikel 46 DSGVO im Kontext datenschutzrechtlicher Zertifizierungen sowie mit Grundsatzfragen zum Themenkomplex der Akkreditierung und Zertifizierung beschäftigt.
Da einige der in diesem Rahmen aufgeworfenen Fragen auch die Zusammenarbeit mit anderen Expert Subgroups und deren Expertise betrafen, war u. a. die Einbindung der International Transfer Subgroup (ITS) sowie der Key Provision Subgroup (KEYP) notwendig.
Diese Fragestellungen wurden im Berichtszeitraum nicht nur online und im schriftlichen Verfahren erörtert, sondern waren auch Gegenstand zweier Workshops zu Beginn und am Ende des Jahres 2023. Während beim ersten Workshop ausschließlich Mitglieder der CEH Expert Subgroup teilnahmen, waren bei der zweiten Veranstaltung auch Mitglieder der ITS sowie Vertreterinnen und Vertreter von Zertifizierungsstellen vertreten. Dies ermöglichte einen intensiven und vor allem auch praxisbezogenen Austausch unter den Teilnehmenden.
Darüber hinaus haben wir uns auch dieses Mal wieder aktiv an der Bewertung und Prüfung auf europäischer Ebene eingereichter Zertifizierungsprogramme aus Deutschland und Europa und der Erstellung von darauf bezogenen Stellungnahmen beteiligt.
Was ist zu tun?
Die Zusammenarbeit in Europa zur weiteren Ausgestaltung von Akkreditierungs- und Zertifizierungsvorgaben ist fortzusetzen und nach Möglichkeit zu intensivieren.
11.3 ENISA-Arbeitsgruppe zum „Data Protection Engineering”
Wie bereits im Vorjahr berichtet (41. TB, Tz. 2.3), wirkt die Landesbeauftragte für Datenschutz in der „Ad-Hoc Working Group (AHWG) on Data Protection Engineering“ der Agentur der Europäischen Union für Cybersicherheit (ENISA) mit.
ENISA
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat die Aufgabe, zu einem hohen gemeinsamen Maß an Cybersicherheit in ganz Europa beizutragen.
Solche von der ENISA eingesetzten Ad-hoc-Arbeitsgruppen bestehen aus Sachverständigen, die sich mit spezifischen technischen und wissenschaftlichen Fragen befassen. In diesem Fall beschäftigt sich die AHWG zu Data Protection Engineering mit der Analyse verfügbarer oder entstehender Technologien und Verfahren zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, wie dies in Artikel 25 DSGVO gefordert wird.
Die teilnehmenden Sachverständigen kommen aus Wissenschaft, Wirtschaft, Verwaltung sowie den Datenschutzaufsichtsbehörden aus Griechenland, Italien, Spanien und Schleswig-Holstein. Zusätzliche Beobachter (sogenannte „Observer“) der Arbeiten, die stets mit zu Treffen eingeladen werden, kommen aus dem EDSA-Sekretariat und vom Europäischen Datenschutzbeauftragten. Die Gruppe soll drei Jahre aktiv sein und jährlich Ergebnisse vorlegen.
Die Website zur Ad-hoc-Arbeitsgruppe ist unter dem folgenden Link erreichbar:
https://www.enisa.europa.eu/topics/cybersecurity-policy/data-protection/ad-hoc-working-group-on-data-protection-engineering
Kurzlink: https://uldsh.de/tb42-11-3a
Bisher hat die Gruppe die folgenden Berichte erarbeitet:
Bericht „Engineering Personal Data Sharing – Emerging Use Cases and Technologies“ (2023):
https://www.enisa.europa.eu/publications/engineering-personal-data-sharing
Kurzlink: https://uldsh.de/tb42-11-3b
Bericht „Engineering Personal Data Protection in EU Data Spaces“ (2024)
https://www.enisa.europa.eu/publications/engineering-personal-data-protection-in-eu-data-spaces
Kurzlink: https://uldsh.de/tb42-11-3c
Die Themenkomplexe Datenteilen (Data Sharing) und Datenräume (Data Spaces) wurden aufgrund der Europäischen Datenstrategie (41. TB, Tz. 2.3) gewählt.
Was ist zu tun?
Es gibt bisher keine Garantie, dass bei der Umsetzung der Europäischen Datenstrategie in die Praxis die Anforderungen des Artikels 25 DSGVO berücksichtigt werden. Daher verdienen die Ausarbeitungen der Ad-Hoc Working Group on Data Protection Engineering der ENISA frühzeitig Aufmerksamkeit. Zudem wäre von Vorteil, wenn das Know-how der Sachverständigen auch bei konkreten Gestaltungsfragen der europäischen Entwicklungen in der Umsetzung über die nächsten Jahre einfließen könnte oder die Sachverständigen jedenfalls fallweise hinzugezogen würden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |