Europäischer Datenschutzausschuss: Aufgaben & Organisation

Fachbeitrag

Mit Inkrafttreten der DSGVO löste der Europäische Datenschutzausschuss (EDSA) die ehemalige Artikel-29-Datenschutzgruppe ab. Seither soll das europäische Gremium die einheitliche Anwendung der DSGVO sicherstellen. Ein Überblick über die Aufgaben, Befugnisse, Organisation und konkreten Tätigkeiten des EDSA haben wir in diesem Beitrag kompakt zusammengefasst.

Abschied von der Artikel-29-Datenschutzgruppe

Die Richtlinie 95/46/EG sah in Art. 29 Abs. 1 die Schaffung einer unabhängigen Gruppe zum Schutz von Personen bei der Verarbeitung personenbezogener Daten vor. Diese Arbeitsgruppe war bekannt als Artikel-29-Datenschutzgruppe. Sie nahm eine beratende, unabhängige Position gegenüber der Kommission ein und gab Stellungnahmen und Empfehlungen zu allen Fragen ab, die den Schutz der Privatsphäre und der personenbezogenen Daten betrafen. Die Artikel-29-Datenschutzgruppe hatte durch ihre Beschlüsse, Guidelines und Workingpapers ihren Teil zur Vereinheitlichung des europäischen Datenschutzes beigetragen und war von 1996 bis zum 25. Mai 2018 (der Anwendbarkeit der DSGVO) tätig. Abgelöst wurde die Arbeitsgruppe schließlich durch den europäischen Datenschutzausschuss, der sogleich in seiner ersten Plenarsitzung wichtige Guidelines der Artikel-29-Datenschutzgruppe übernahm.

Der neue Europäische Datenschutzausschuss

Die Vorschriften über den Europäischen Datenschutzausschuss (EDSA) finden sich in den Art. 68 ff. DSGVO. Hervorzuheben ist, dass das europäische Gremium nach Art. 68 Abs. 1 DSGVO eine eigene Rechtspersönlichkeit besitzt, durch die es zum Träger von Rechten und Pflichten wird. Der Umstand, dass dem Ausschuss eine eigene Rechtspersönlichkeit zugesprochen wird, ist notwendig, damit er seine Aufgaben insbesondere im Kohärenzverfahren (Art. 63 DSGVO) zwischen den Aufsichtsbehörden der Mitgliedsstaaten ausüben kann. Des Weiteren arbeitet der Ausschuss bei der Erfüllung seiner Aufgaben oder Ausübung seiner Befugnisse unabhängig und weisungsfrei (Art. 69 DSGVO).

Organisation des EDSA

  • Der Ausschuss wird von seinem Vorsitz vertreten, Art. 68 Abs. 2 DSGVO.
  • Der Ausschuss besteht aus den Leitern der mitgliedstaatlichen Aufsichtsbehörden und ihren Vertretern, Art. 68 Abs. 3 DSGVO.
  • Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen teilzunehmen, Art. 68 Abs. 5 DSGVO.
  • Der Ausschuss fasst seine Beschlüsse mit einfacher Mehrheit, Art. 72 Abs. 1 DSGVO.
  • Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest, Art. 72 Abs. 2 DSGVO.
  • Der Ausschuss wählt mit einfacher Mehrheit einen Vorsitzenden und zwei Stellvertreter, Art. 73 Abs. 1 DSGVO.
  • Die Amtszeit des Vorsitzenden und seiner Stellvertreter beträgt fünf Jahre. Eine einmalige Wiederwahl ist möglich.
  • Die Aufgaben des Vorsitzes finden sich in Art. 74 Abs. 1 lit. a) – c) DSGVO.

Aufgrund der Besonderheit, dass es in Deutschland nicht eine, sondern 18 Datenschutzaufsichtsbehörden gibt, findet sich in § 17 BDSG eine Sonderregelung zur Vertretung im EDSA. Demnach ist der deutsche Vertreter im Europäischen Datenschutzausschuss der amtierende Bundesdatenschutzbeauftragte (BfDI). Dem Bundesrat kommt gem. § 17 Abs. 1 S. 2 BDSG die Pflicht zu, dessen Stellvertreter im Ausschuss zu ernennen. Dies geschah, sehr zum Missfallen der Landesdatenschutzbeauftragten, lange Zeit jedoch nicht. Erst im Juni 2021 wurde Prof. Dr. Thomas Petri (BayLfD) zum offiziellen Stellvertreter des BfDI im Europäischen Datenschutzausschuss ernannt.

Aufgaben des EDSA

Die über alles stehende Hauptaufgabe des Ausschusses ergibt sich aus Art. 70 Abs. 1 S. 1 DSGVO: Er hat die einheitliche Anwendung der DSGVO in den Mitgliedsstaaten sicherzustellen. Wie er dieser Hauptaufgabe nachkommen soll, verrät der lange Katalog des Art. 70 Abs. 1 S. 1 lit. a) – y) DSGVO. Die dort aufgelisteten Tätigkeiten sind im Vergleich zu den Aufgaben der ehemaligen Art.-29-Datenschutzgruppe sehr umfangreich. Dies hat den Hintergrund, dass die Stellung des Ausschusses, bei der einheitlichen Umsetzung der DSGVO, gestärkt werden sollte.

Zusammengefasst beinhaltet der Katalog folgende Aufgaben:

  • Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der Verordnung,
  • Beratung der Kommission,
  • Bereitstellung von Leitlinien und Empfehlungen zu verschiedenen Verfahren,
  • Überprüfung der Datenschutzpraxis,
  • Förderung des europäischen Datenschutzes,
  • Aufgabe der Zertifizierung.

Über alle seine konkreten Tätigkeiten veröffentlicht der Europäische Datenschutzausschuss schließlich einmal im Jahr einen Tätigkeitsbericht. Überblickshalber lassen sich dort u.a. die verbindlichen Beschlüsse, sowie Leitlinien zur Auslegung und Anwendung der DSGVO nachlesen.

Sicherstellung einer einheitlichen Anwendung der DSGVO

Für Unternehmen ist eine der wichtigsten Aufgaben des EDSA die Sicherstellung der einheitlichen Auslegung und Anwendung der DSGVO in Europa. Dies versucht das Gremium durch verschiedene Tätigkeiten zu erreichen:

Verbindlicher Beschluss bei Streitigkeiten zwischen Aufsichtsbehörden

Um eine einheitliche Anwendung der DSGVO zu gewährleisten, kann der Europäische Datenschutzausschuss in den Fällen des Art. 65 Abs. 1 DSGVO einen verbindlichen Beschluss erlassen. Bei Streitigkeiten zwischen den betroffenen Aufsichtsbehörden und der nach Art. 56 DSGVO federführenden Aufsichtsbehörde über grenzüberschreitende Verarbeitungsvorgänge hat der EDSA diese Streitigkeit mit seiner Beschlussfassungskompetenz zu beenden. Die federführende Aufsichtsbehörde für internationale Unternehmen ist aufgrund des anglo-amerikanischer Rechtskreises und den steuerlichen Anreize in Irland sowie dem One-Stop-Shop in vielen Fällen die irische Data Protection Commission.

Erheben die jeweils betroffenen Aufsichtsbehörden der Mitgliedsstaaten Einwände gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde, hat der Europäische Datenschutzausschuss nach Art. 65 Abs. 1 lit. a DSGVO einen verbindlichen Entschluss er zu erlassen, wenn sich die Auffassung der federführenden Behörde nicht ändern lässt. Der wohl bekannteste Fall hierzu dürfte die Anhebung des Bußgeldes gegen WhatsApp durch den EDSA von den ursprünglichen 50 Mio. € auf satte 225 Mio. € sein.

Die zwei weiteren Fälle der Streitschlichtung per Beschluss durch den Europäischen Datenschutzausschuss umfassen nach Art. 65 Abs. 1 DSGVO die Zulässigkeitsstreitfrage nach dem One-Stop-Shop zwischen den betroffenen Behörden (lit. b), und die fehlende Einholung der nach Art. 64 DSGVO erforderlichen Stellungnahme des EDSA bzw. dem Zuwiderhandeln gegen die Stellungnahme. In einem Dringlichkeitsverfahren nach Art. 66 DSGVO hat die betroffene Aufsichtsbehörde außerdem nach Absatz 2 vor Erlass endgültiger Maßnahmen einen verbindlichen Beschluss der EDSA oder zumindest eine Stellungnahme des Gremiums zu ersuchen.

Die bereits erlassenen verbindlichen Beschlüsse des EDSA werden in einer Liste veröffentlicht.

Gemeinsame Methodik zur Berechnung von DSGVO-Bußgeldern

Eine weitere Bemühung zur einheitliche Anwendung der DSGVO ist die Veröffentlichung der Leitlinien 04/2022, mit welchen der EDSA anstrebt, die Berechnung der Bußgelder nach der DSGVO zu vereinheitlichen. Dafür sollen aber lediglich die Ausgangspunkte und die Methodik zur Berechnung eines Bußgeldes harmonisiert werden. Das Ergebnis, also die konkrete Höhe eines Bußgeldes, will der EDSA hingegen nicht vorgeben. Die Höhe des Bußgeldes solle noch immer von allen Umständen des Einzelfalles abhängen. Eine mathematisch universal anzuwendende Formel sei dafür nicht der richtige Weg.

Europäischer Datenschutzausschuss: Leitlinien und Empfehlungen

Neben den Beschlüssen und Stellungnahmen kommt den Leitlinien und Empfehlungen des Europäischen Datenschutzausschuss die wohl bedeutendste Rolle zu, wenn es um die angestrebte einheitliche Auslegung der DSGVO innerhalb der Mitgliedsstaaten geht. Mit Leitlinien und Empfehlungen gibt das Gremium abstrakt-generelle Interpretationshilfen oder praktische Empfehlungen für die einheitliche Anwendung der DSGVO vor. Im Gegensatz zu Beschlüssen beziehen sich diese Tätigkeiten also nicht auf eine konkrete Maßnahme. Sie bieten aufgrund ihres Praxisbezuges eine enorme Hilfestellung für Unternehmen, die praktische Empfehlungen zur Umsetzung der DSGVO benötigen. Im Gegensatz zu den verbindlichen Beschlüssen haben Leitlinien und Empfehlungen aber keine direkte rechtliche Bindungswirkung. Unternehmen und Gerichte sind also nicht verpflichtet, der in den Leitlinien geäußerten Rechtsauffassung der Aufsichtsbehörden zu folgen. (Sie sollten dafür dann aber eine gute Begründung parat haben.) In Anlehnung an die Arbeitspapiere der Art.-29-Datenschutzgruppe werden sie daher oftmals als „soft law“ bezeichnet. Alle bisher abgegebenen Guidelines und Recommendations lassen sich neben den sogenannten bewährten Verfahren hier nachlesen.

Sind die EDSA Leitlinien für Datenschutzaufsichtsbehörden verbindlich?

Die Antwort auf diese Frage ist für den einheitlichen Vollzug der DSGVO und die Effektivität einer unionsweiten Verbundaufsicht erheblich. Da sich die DSGVO zu der Verbindlichkeit der Leitlinien für die Aufsichtsbehörden nicht äußert und jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben nach Art. 52 Abs. 1 DSGVO völlig unabhängig handelt, kam es in der Vergangenheit bereits dazu, dass eine Behörde von der in den Leitlinien des EDSA geäußerten Auffassung abwich. Daher sah man sich gezwungen in einer Stellungnahme folgenden Appell zu äußern:

„The deliberations of the EDPB often involve complex issues of principle and law. In seeking to ensure the consistent application of the GDPR, the process leading to consensus or majority positions on matters before the EDPB involves accounting for sometimes divergent views and analysis, as well as national case law and procedures. […]

In this regard, although not binding in themselves, Guidelines and Recommendations of the EDPB reflect the common position and understanding which the authorities agree to apply in a consistent way. The EDPB Members, in their contributions to the work of the EDPB, act in compliance with the duty of sincere cooperation in the interest of the effective functioning of the EDPB.“

In der Literatur gehen einige Stimmen zum Teil noch weiter. Sie sind der Ansicht, dass wenn es zu dem Fall kommt, dass sich einzelne Aufsichtsbehörden nicht an die Leitlinien und Empfehlungen des EDSA halten, dies bereits nach Art. 64 Abs. 2 DSGVO eine „Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedsstaat“ darstellen könne, mit der Konsequenz, dass der EDSA mittels eines verbindlichen Beschlusses eine Rechtsverbindlichkeit für die Aufsichtsbehörde herstellen kann.

Strategie des EDSA zur effizienten Zusammenarbeit

Zur Unterstützung einer wirksamen Rechtsdurchsetzung und einer effizienten Zusammenarbeit zwischen den nationalen Aufsichtsbehörden, setzt der EDSA auf verschiedenste Prozesse, Projekte und Kriterien, die er in seiner Strategie für die Jahre 2021-2023 veröffentlichte. Dabei setzte er besonders auf sogenannte Schlüsselaktionen.

Koordinierter Rechtsdurchsetzungsrahmen (CEF)

Eine der Schlüsselaktionen zur Unterstützung einer wirksamen Rechtsdurchsetzung war die geplante Umsetzung eines koordinierten Rechtsdurchsetzungsrahmens (Coordinated Enforcement Framework, CEF). Dieser sollte – ganz allgemein – gemeinsame Maßnahmen erleichtern, die von einer einfachen Sensibilisierung bis hin zu Rechtsdurchsetzungsmaßnahmen und Ermittlungen in Kooperation reichen. Ende 2021 veröffentlichte der EDSA schließlich den Vorschlag für eine erste gemeinsame Maßnahme: Die Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor.

Die Aufsichtsbehörden, die sich freiwillig daran beteiligen, haben dieses Thema auf nationaler Ebene zu erarbeiten und die Ergebnisse nationaler Maßnahmen dem EDSA mitzuteilen. Dieser soll die Ergebnisse analysieren, um gezielte Folgemaßnahmen auf nationaler und europäischer Ebene zu ermöglichen, die das Datenschutzrecht harmonieren soll. Der Bericht über die Ergebnisse auf nationaler Ebene wird Ende 2022 angenommen.

Das nächste und damit zweite Thema für eine gemeinsame Maßnahme soll die Benennung und Stellung des Datenschutzbeauftragten betreffen.

Fälle von strategischer Bedeutung

In der im April 2022 veröffentlichten Wiener Erklärung des EDSA zur Zusammenarbeit bei der Durchsetzung der Datenschutzvorschriften kamen die Mitglieder des Ausschusses außerdem überein, die Zusammenarbeit in sog. „strategischen Fällen“ zu stärken.

Im Juli 2022 nahm der EDSA daraufhin diverse Kriterien an, die zur Beurteilung eines grenzüberschreitenden Falls als einen Fall von „strategischer Bedeutung“ dienen sollen. Das sind in erster Linie grenzüberschreitende Fälle, in denen die zentrale Anlaufstelle (One-Stop-Shop) beteiligt ist, da die Wahrscheinlichkeit eines hohen Risikos für die Rechte und Freiheiten von Betroffenen in mehreren Mitgliedsstaaten besteht.

Folgende Kriterien sollen für die Beurteilung eines strategischen Falles berücksichtigt werden:

  • Es handelt sich um ein strukturelles oder wiederkehrendes Problem in mehreren Mitgliedstaaten (insb. bei allgemeinen rechtlichen Fragen im Zusammenhang mit der Auslegung, Anwendung oder Durchsetzung der DSGVO)
  • Der Fall betrifft die Schnittstelle zwischen dem Datenschutz und anderen Rechtsbereichen
  • Eine große Zahl von Personen in mehreren Mitgliedstaaten ist betroffen
  • Es hat bereits eine große Anzahl von Beschwerden mehrerer Mitgliedsstaaten hierzu gegeben
  • Der Fall betrifft eine grundlegende Frage, die in den Anwendungsbereich der EDSA-Strategie fällt
  • Es ist nach der DSGVO von einem hohen Risiko auszugehen (bspw., weil es sich um besondere Kategorien personenbezogener Daten handelt, eine DSFA erforderlich ist oder Minderjährige betroffen sind)

Ist mindestens eines der dort genannten Kriterien erfüllt, kann die jeweilige Aufsichtsbehörde den Fall im EDSA als Fall von strategischer Bedeutung vorschlagen. Sie werden dann in Zusammenarbeit vorrangig behandelt und vom EDSA darin unterstützt. Eine Teilnahme an diesem Verfahren ist jeder Aufsichtsbehörde freiwillig überlassen.

Kritik am Europäischen Datenschutzausschuss

Die Zusammenarbeit der nationalen Aufsichtsbehörden ist erforderlich, um eine einheitliche Umsetzung der DSGVO zu gewährleisten. Die Fälle, die eine solche Zusammenarbeit erfordern, steigen kontinuierlich an. Zugleich stehen die europäischen Kooperationsverfahren aber auch in Kritik: Die Abstimmung der vielen europäischen Aufsichtsbehörden sei zeitaufwändig und komplex. Die dahinter stehenden Verfahren dauerten aufgrund des nicht harmonisierten europäischen Verwaltungsverfahrensrechts zu lange. Darüber hinaus sei das One-Stop-Shop Konzept nicht praxistauglich. Für untätig gebliebene federführende Aufsichtsbehörden gäbe es keine Korrekturmöglichkeit und unterschiedliche nationale Verwaltungsverfahren hinderten eine effektive Zusammenarbeit, weshalb die Abstimmungsverfahren vielfach ineffizient seien.

Der BfDI regte Anfang 2020 an, eine europäische „Datenschutzagentur oder -behörde“ einzurichten, die ausschließlich an europäisches Verwaltungsrecht gebunden sei und dem EDSA große und grenzüberschreitende Fälle übertragen könne.

Im ersten Evaluationsbericht der EU-Kommission vom 24.06.2020 wurde ebenfalls festgestellt, dass die grenzüberschreitenden Fälle effizienter und einheitlicher behandelt werden müssten, insbesondere was die Dauer von Beschwerdeverfahren angehe. Vorschläge, diese Defizite zu lösen, wurden im Evaluationsbericht jedoch nicht vorgelegt.

Der EDSA sandte im Oktober 2022 zur Prüfung eine Liste mit Verfahrensaspekten an die EU-Kommission, die weiter harmonisiert werden müssten. Ziel sei es, die positiven Auswirkungen der Zusammenarbeit der Aufsichtsbehörden zu maximieren und die Effizienz bei der Durchführung grenzüberschreitender Verfahren zu erhöhen, um der bereits bestehenden Kritik begegnen zu können.

Herausforderung für die Zukunft

Als Nachfolger der Artikel-29-Datenschutzgruppe ist der Europäische Datenschutzausschuss mit vielen weiteren Rechten ausgestattet. Seine Organisation und Aufgaben richten an die Sicherstellung einer einheitlichen, unionsweiten Anwendung der DSGVO aus. Hierzu stehen ihm der Erlass verbindlicher Beschlüsse, die Veröffentlichung von Leitlinien und Empfehlungen beiseite. Obwohl der EDSA bereits erste Schlüsselpunkte seiner Strategie ins Leben gerufen hat, steht seine Funktionsweise in der Kritik.

Es bleibt abzuwarten, wie der Kritik an den europäischen Kooperationsverfahren entgegengetreten wird und welche weiteren Maßnahmen folgen werden, um eine einheitliche Anwendung der DSGVO sicherzustellen. Aufgrund der bisherigen unterschiedlichen nationalen Regelungen stellt sie den EDSA jedoch vor Herausforderungen, die er zu überwinden hat.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.