Europäischer Datenschutzausschuss
Zusätzlich zu den nationalen Aufsichtsbehörden für den Datenschutz und zur Datenschutz-Konferenz (DSK), bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, gibt es auf EU-Ebene den Europäischen Datenschutzausschuss. Seine Veröffentlichungen und Dokumente sind für Datenschutzbeauftragte, Unternehmen und Behörden besonders wichtig.
Im Europäischen Datenschutzausschuss stimmen sich die Datenschutz-Aufsichtsbehörden der Mitgliedstaaten der EU untereinander über Datenschutzfragen ab. Die englische Bezeichnung für den Ausschuss lautet „European Data Protection Board (EDPB)“, in Deutschland wird er abgekürzt mit „EDSA“.
Wichtigste Aufgabe des Ausschusses ist es, die einheitliche Anwendung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen.
➜ Welche Rolle spielt der Ausschuss für Datenschutzbeauftragte?
Was sagt die DSGVO über den Datenschutzausschuss?
Wie wichtig der Europäische Datenschutzausschuss im Hinblick auf die DSGVO ist, zeigt bereits die Zahl der Artikel, die sich mit dem EDPB befassen.
Insgesamt acht Artikel der Grundverordnung (Artikel 68 bis 75) klären die Zusammensetzung des EDSA, seine Unabhängigkeit, die Aufgaben, die Berichterstattung, die Verfahrensweise, den Vorsitz, die Aufgaben des Vorsitzes und die Aufgaben des Sekretariats im EDPB.
Zentrale Aussagen der DSGVO zu diesem Gremium sind insbesondere:
- Der Europäische Datenschutzausschuss ist eine Einrichtung der Union mit eigener Rechtspersönlichkeit.
- Der Ausschuss wird von seinem Vorsitz vertreten.
- Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.
- Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der DSGVO, so wird ein gemeinsamer Vertreter benannt. Dies ist in Deutschland der Fall. Für Deutschland gilt nach § 17 Bundesdatenschutzgesetz (BDSG): Gemeinsamer Vertreter und zentrale Anlaufstelle ist die oder der Bundesbeauftragte (gemeinsamer Vertreter). Als Stellvertreterin oder Stellvertreter des gemeinsamen Vertreters wählt der Bundesrat eine Leiterin oder einen Leiter der Datenschutzbehörde eines Landes (Stellvertreter).
- Der EDSA handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse unabhängig.
- In der Regel fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder.
Welche Aufgaben hat der Europäische Datenschutzausschuss?
Die Aufgaben des Ausschusses regelt Artikel 70 DSGVO.
Ohne in die Details der einzelnen Aufgaben zu gehen, lassen sich die Aufgaben des EDPB so beschreiben:
- Der Europäische Datenschutzausschuss soll die einheitliche Anwendung der DSGVO (und der EU-Richtlinie 2016/680 für den Datenschutz bei Polizei und Justiz) sicherstellen.
- Er kann allgemeine Anleitungen zu europäischen Datenschutz-Bestimmungen etwa in Form von Stellungnahmen und Leitlinien geben und Beschlüsse fassen, die auf eine einheitliche Auslegung der Rechte und Pflichten jedes Einzelnen abzielen.
- Nach Maßgabe der DSGVO hat er zudem die Befugnis, verbindliche Beschlüsse zu fassen und an nationale Aufsichtsbehörden zu richten, um eine einheitliche Anwendung der Datenschutz-Grundverordnung sicherzustellen.
Entsprechend findet man bei den Orientierungshilfen und Kurzpapieren der deutschen Datenschutz-Konferenz in der Regel auch diese Einschränkung:
„Die Orientierungshilfe oder das Kurzpapier steht unter dem ausdrücklichen Vorbehalt eines zukünftigen – möglicherweise abweichenden -Verständnisses der maßgeblichen Vorschriften durch den Europäischen Datenschutzausschuss.“
Das EDPB hat eine eigene Website unter https://edpb.europa.eu/. Es tritt regelmäßig zusammen und veröffentlicht in kurzer Folge Leitlinien, Positionen und Entscheidungen.
Beispiel für einen verbindlichen Beschluss des EDSA
Erstmals hat sich der EDSA in einer Entscheidung im Dringlichkeitsverfahren nach Art. 66 DSGVO geäußert. Mit verbindlichem Beschluss vom 15. Juli 2021 ordnete der Europäische Datenschutzausschuss gegenüber der Irischen Aufsichtsbehörde an, die Ermittlung eines Sachverhaltes als vorrangige Angelegenheit zu behandeln.
Hintergrund war ein Antrag der Hamburger Datenschutzaufsicht an den EDSA im Dringlichkeitsverfahren nach Art. 66 DSGVO. Die Hamburger Datenschutzaufsicht hatte gegen Facebook Ireland Ltd. einstweilige Maßnahmen erlassen (Art. 66 Abs. 1 DSGVO).
Dabei ordnete die Hamburger Datenschutzaufsicht ein Verbot der Verarbeitung von WhatsApp-Nutzerdaten für eigene Zwecke durch Facebook Ireland Ltd. an, nachdem eine Änderung von Nutzungsbedingungen und Datenschutzbestimmungen für europäische WhatsApp-Nutzer von WhatsApp Ireland Ltd. durchgeführt worden war.
Der EDSA ordnete nur die vorrangige Bearbeitung gegenüber der Irischen Datenschutzaufsicht an. Er hat keine Voraussetzungen für das Vorliegen eines Datenschutzverstoßes und auch keine besondere Dringlichkeit im vorliegenden Fall gesehen.
Weitere Befugnisse des Ausschusses
Das EDPB kann zudem
- allgemeine Orientierungshilfen (wie Leitlinien, Stellungnahmen, Empfehlungen und bewährte Verfahrensweisen) zu Datenschutz-Bestimmungen geben,
- die Europäische Kommission in allen Fragen beraten, die in Zusammenhang mit dem Schutz personenbezogener Daten und mit neuen vorgeschlagenen Rechtsvorschriften in der Europäischen Union stehen,
- in grenzüberschreitenden Datenschutzfällen zur Wahrung einer einheitlichen Anwendung der DSGVO Beschlüsse und Stellungnahmen fassen sowie
- die Zusammenarbeit und den wirksamen Austausch von Informationen und bewährten Verfahrensweisen zwischen nationalen Datenschutzbehörden fördern.
Empfehlung für Datenschutzbeauftragte
Datenschutzbeauftragte sollten die Veröffentlichungen des Datenschutzausschusses genau verfolgen. Denn sie sind von zentraler Bedeutung für die Anwendung und Auslegung der DSGVO.
Oliver Schonschek, Andrea Gailus