EUROPÄISCHE KOMMISSION
Brüssel, den 14.10.2022
COM(2022) 530 final
MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT
Erster Bericht über die Anwendung der Datenschutz-Grundverordnung durch die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union (Verordnung (EU) 2018/1725)
Inhalt
1 Einführung
2 Gesonderte Datenschutzvorschriften für die Organe, Einrichtungen und sonstigen Stellen der EU im Einklang mit dem EU-Datenschutzrecht
3 Umsetzung der EU-DSVO in den EU-Institutionen
3.1 Die Rolle der EU-Institutionen als Verantwortliche
3.2 Ausübung der Rechte betroffener Personen
3.3 Beschränkung der Rechte betroffener Personen durch interne Vorschriften
3.4 Datenschutzbeauftragte
3.5 Datenschutz-Folgenabschätzungen
3.6 Internationale Datenübermittlung
4 EDSB-Tätigkeiten
4.1 Der EDSB als Datenschutzaufsichtsbehörde für die EU-Institutionen
4.2 Der EDSB als Berater des EU-Gesetzgebers
4.3 Zusammenarbeit zwischen dem EDSB und den nationalen Datenschutzbehörden
4.4 Ressourcen des EDSB
5 Ausübung der Befugnisse zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten durch die Kommission
6 Datenschutzvorschriften für Einrichtungen und sonstige Stellen, die im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen tätig sind
6.1 Ausweitung der Anwendung des Kapitels über Strafverfolgung der EU-DSVO
6.2 Klärung der Anwendbarkeit einiger Bestimmungen der EU-DSVO auf die Verarbeitung operativer Daten
6.3 Kontrollbefugnisse des EDSB bezüglich der Einrichtungen und sonstigen Stellen der EU
7 Weiteres Vorgehen
ANHANG
1Einführung
Die Datenschutzverordnung für die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union 1 (im Folgenden „EU-DSVO“) ist der wichtigste 2 Datenschutzrahmen für die Organe, Einrichtungen und sonstigen Stellen der EU (im Folgenden „EU-Institutionen“), wenn diese personenbezogene Daten als Verantwortliche oder Auftragsverarbeiter verarbeiten. Die Verordnung bildet eine Säule der guten Regierungsführung und der guten Verwaltungspraxis auf EU-Ebene. Sie trat am 11. Dezember 2018 in Kraft 3 , als ihre Vorläuferverordnung, die Verordnung (EG) Nr. 45/2001 4 , durch sie aufgehoben und ersetzt wurde.
Die vorliegende Mitteilung enthält den ersten Bericht über die Anwendung der EU-DSVO gemäß Artikel 97 der Verordnung. Ferner geht es gemäß Artikel 98 der EU-DSVO um die Überprüfung der auf der Grundlage der Verträge erlassenen Rechtsakte, die die Verarbeitung operativer personenbezogener Daten 5 durch Einrichtungen und sonstige Stellen der EU bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen 6 fallen, regeln.
Die Kommission hat Informationen über die Anwendung der EU-DSVO gesammelt, indem die EU-Institutionen im Rahmen einer im Oktober 2021 durchgeführten Erhebung aufgefordert wurden, über ihre Erfahrungen in diesem Zusammenhang zu berichten. Insgesamt 56 7 EU-Institutionen übermittelten ihre Antworten, auf denen die entsprechenden Statistiken im vorliegenden Bericht beruhen 8 . Der Europäische Datenschutzbeauftragte (EDSB) wurde in seiner Funktion als Aufsichtsbehörde gesondert um seinen Beitrag ersucht. 9 Zuletzt nahm die Kommission auch eine Sondierung 10 vor, durch die es der Öffentlichkeit ermöglicht wurde, ebenfalls Stellungnahmen abzugeben. Die Probleme, die in den wenigen Rückmeldungen im Rahmen der Sondierung angesprochen wurden, werden im vorliegenden Bericht behandelt.
Der vorliegende Bericht verortet die EU-DSVO im Rahmen des EU-Datenschutzrechts, stellt ihre Anwendung durch die EU-Institutionen sowie die Tätigkeiten des EDSB dar und dient der Analyse der Anwendung des Kapitels über die Einrichtungen und sonstigen Stellen der EU, die Tätigkeiten ausüben, die in den Anwendungsbereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen fallen. Abschließend wird im vorliegenden Bericht das weitere Vorgehen dargelegt.
2Gesonderte Datenschutzvorschriften für die Organe, Einrichtungen und sonstigen Stellen der EU im Einklang mit dem EU-Datenschutzrecht
Die wichtigsten Datenschutzinstrumente in der EU sind die Datenschutz-Grundverordnung (im Folgenden „DSGVO“) 11 , die Richtlinie zum Datenschutz bei der Strafverfolgung 12 und die Datenschutzrichtlinie für elektronische Kommunikation 13 . Sie gelten jedoch nicht für die Verarbeitung personenbezogener Daten durch die EU-Institutionen. 14 Aus diesem Grund sind gesonderte, aber angeglichene Datenschutzvorschriften für die EU-Institutionen erforderlich. Diese Vorschriften sind in der EU-DSVO enthalten.
Um eine einheitliche Herangehensweise hinsichtlich des Schutzes personenbezogener Daten und des freien Verkehrs dieser Daten in der EU sicherzustellen, ist die EU-DSVO so weit wie möglich an die für den öffentlichen Dienst erlassenen Datenschutzbestimmungen angeglichen, die in der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vorgesehen sind. Soweit die EU-DSVO auf denselben Grundsätzen beruht wie die DSGVO, sollte sie einheitlich ausgelegt werden, da sie als der DSGVO gleichwertig verstanden werden sollte. 15 Das Gleiche gilt für die Bestimmungen, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen sind.
Die EU-DSVO ist wie im Folgenden beschrieben an den spezifischen Kontext der EU-Institutionen angepasst.
·Da ausschließlich die EU-Institutionen als öffentliche Einrichtungen in den Anwendungsbereich der EU-DSVO fallen, wurden mehrere Bestimmungen der DSGVO weggelassen, die nur für den privaten Sektor relevant sind. Beispielsweise ist die Möglichkeit, sich bei der Verarbeitung auf die Rechtsgrundlage der „berechtigten Interessen“ des Verantwortlichen zu stützen, in der EU-DSVO nicht vorgesehen. 16
·Mehrere Befugnisse für die Kommission zum Erlass von Durchführungsrechtsakten oder delegierten Rechtsakten werden als solche nicht erneut wiedergegeben, da die EU-DSVO stattdessen auf die DSGVO oder die Richtlinie zum Datenschutz bei der Strafverfolgung verweist. Beispielsweise enthält die EU-DSVO keinen Mechanismus zur Verabschiedung von Angemessenheitsbeschlüssen für internationale Datenübermittlungen, jedoch können sich die EU-Institutionen auch auf Angemessenheitsbeschlüsse stützen, die gemäß der DSGVO oder der Richtlinie zum Datenschutz bei der Strafverfolgung erlassen wurden.
·Ferner wird das Amt des EDSB direkt durch die EU-DSVO geschaffen, wobei seine Aufgaben, Befugnisse und Ernennungsverfahren dargelegt werden. Im Fall der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung werden die jeweiligen Aufsichtsbehörden im Einklang mit den Anforderungen dieser beiden Rechtsakte nach nationalem Recht eingerichtet.
·Das Kapitel der EU-DSVO, das für Einrichtungen und sonstige Stellen der EU auf dem Gebiet der Strafverfolgung gilt 17 , ist für diese der Richtlinie zum Datenschutz bei der Strafverfolgung funktional gleichwertig. Als unmittelbar anwendbare Verordnung ist die EU-DSVO jedoch anders formuliert. Das Kapitel enthält allgemeine Vorschriften, die erforderlichenfalls durch besondere Bestimmungen in den Rechtsakten zur Errichtung von in diesem Bereich tätigen Einrichtungen und sonstigen Stellen zu ergänzen sind. Es sieht unter Berücksichtigung der Besonderheiten dieses Sektors speziell zugeschnittene Regelungen für die Verarbeitung operativer personenbezogener Daten vor, beispielsweise die Vorschriften über die Unterrichtung betroffener Personen, die den Schutz von Ermittlungen sicherstellen.
3Umsetzung der EU-DSVO in den EU-Institutionen
3.1Die Rolle der EU-Institutionen als Verantwortliche
Die allgemeinen Rückmeldungen der EU-Institutionen zeigen, dass die EU-DSVO in den ersten Anwendungsjahren erfolgreich zur Stärkung der allgemeinen Datenschutzkultur in den EU-Institutionen beigetragen hat. Diesbezüglich gaben 94 % der EU-Institutionen an, dass das Inkrafttreten der EU-DSVO ihre Organisation teilweise oder in hohem Maße für die Datenschutzvorschriften sensibilisiert hat. Im Allgemeinen berichteten die EU-Institutionen, dass die EU-DSVO sich positiv auf ihre Datenschutzpolitik ausgewirkt hat und dass ihr Personal mittlerweile stärker für die Rechenschaftspflicht ihrer Organisation als Verantwortliche und die Anforderungen an die Verarbeitung personenbezogener Daten sensibilisiert ist.
Die EU-Institutionen erwähnten die Durchführung von Datenschutz-Folgenabschätzungen, die Erkennung von Datenschutzverletzungen und den Umgang mit diesen sowie die Berücksichtigung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als wichtigste Auswirkungen der EU-DSVO im Vergleich zur aufgehobenen Verordnung (EG) Nr. 45/2001. Die EU-DSVO sorgt wie auch die DSGVO für eine stärkere Transparenz, in den Fällen, wenn mehrere Organisationen als gemeinsam Verantwortliche zusammen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Der EDSB hat zu diesem Thema Leitlinien 18 vorgelegt, und die Kommission hat interne Vorlagen für Vereinbarungen über die gemeinsame Verantwortung entwickelt.
Die zusätzlichen Erfordernisse der Rechenschaftspflicht für die EU-Institutionen, die zum Nachweis der Einhaltung der Bestimmungen der EU-DSVO notwendig sind, wurden grundsätzlich begrüßt, jedoch stellten einige EU-Institutionen fest, dass die Vorschriften der EU-DSVO zu einer größeren Arbeitsbelastung geführt haben. Sie wiesen außerdem darauf hin, dass in der EU-DSVO relativ komplexe Vorschriften dargelegt werden, was bedeutet, dass mehr Fachwissen in den EU-Institutionen erforderlich ist, einschließlich seitens ihrer Datenschutzbeauftragten (DSB) sowie der Netze der Datenschutzkoordinatoren (DSK) in den EU-Institutionen, die über solche Netze verfügen.
Alle bis auf zwei EU-Institutionen führen ihre Verzeichnisse der Verarbeitungen in einem zentralen Register. Dies ist zwar keine spezifische Anforderung im Rahmen der EU-DSVO, jedoch ein bewährtes Verfahren, das auch vom EDSB empfohlen wird. 19 Ferner haben 72 % der EU-Institutionen alle ihre Meldungen beim behördlichen DSB gemäß der vorherigen Verordnung 20 in ein Verzeichnis aufgenommen. Diejenigen, die dies noch nicht getan haben, sollten die Dokumentation ihrer Verarbeitungen überprüfen und aktualisieren, um sicherzustellen, dass sie vollständig und auf dem neuesten Stand ist.
3.2Ausübung der Rechte betroffener Personen
Die EU-DSVO stattet betroffene Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten mit einem breiten Spektrum an Rechten aus, die mit der DSGVO im Einklang stehen. Die EU-Institutionen als Verantwortliche haben eine spezifische Verpflichtung, die Ausübung dieser Rechte zu erleichtern. 21 Entsprechend gaben 96 % der EU-Institutionen an, dass sie Sensibilisierungsmaßnahmen durchgeführt haben, etwa durch die Aktualisierung von öffentlich zugänglichen Informationen über ihre Verarbeitungsvorgänge, Informationsmeldungen oder Leitfäden für betroffene Personen.
Mehrere EU-Institutionen, etwa die Kommission, die Europäische Zentralbank und der Europäische Auswärtige Dienst, meldeten einen klaren Anstieg der Anträge von Einzelpersonen zwischen 2018 und 2021. 22 Bei anderen, etwa dem Gerichtshof der Europäischen Union, dem Europäischen Wirtschafts- und Sozialausschuss und der Asylagentur der Europäischen Union, waren die Zahlen jedoch stabil oder schwankten ohne einen eindeutigen Trend. Es ist noch nicht möglich, nach dem Inkrafttreten der EU-DSVO einen eindeutigen Trend bei der Zahl der Anträge betroffener Personen zu erkennen, da die Art und Weise, wie die verschiedenen Arten von Anträgen erfasst werden, je nach EU-Institution unterschiedlich ist.
3.3Beschränkung der Rechte betroffener Personen durch interne Vorschriften
Ähnlich wie in der DSGVO ist auch in der EU-DSVO 23 vorgesehen, dass bestimmte Rechte betroffener Personen beschränkt werden können. Dies kann durch Gesetzgebungsakte und interne Vorschriften erfolgen. 24 Für solche internen Vorschriften gelten strenge Kriterien. Sie müssen klar und präzise und ihre Anwendung muss für die ihnen unterliegenden Personen vorhersehbar sein. Die Vorschriften müssen im Amtsblatt veröffentlicht werden und mit der Charta der Grundrechte und mit der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten im Einklang stehen. 25
Die auf internen Vorschriften beruhenden Beschränkungen können nur die Tätigkeit der EU-Institutionen betreffen. Sie müssen die Grundrechte achten, in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahmen darstellen und darauf abzielen, eines der Ziele sicherzustellen, die in der EU-DSVO konkret aufgeführt sind. 26 Betroffene Personen, deren Rechte beschränkt wurden, haben ein Beschwerderecht beim EDSB. 27
Eine große Mehrheit (84 %) der EU-Institutionen hat interne Vorschriften erlassen. Beispielsweise wurden solche Vorschriften eingeführt, um es zu ermöglichen, die Unterrichtung einer Person zurückzustellen, bezüglich derer eine interne Verwaltungsuntersuchung eingeleitet wurde. 28 In anderen Fällen bestand das Ziel solcher Vorschriften darin, sicherzustellen, dass in den Bereichen, in denen sich die Tätigkeiten der EU-Institutionen auf Informationen der zuständigen Behörden der Mitgliedstaaten stützen, eine wirksame Zusammenarbeit mit den Mitgliedstaaten fortgeführt wird. Beispielsweise sehen die von der Kommission erlassenen internen Vorschriften über die Verarbeitung personenbezogener Daten im Rahmen ihrer Tätigkeiten im Bereich des Wettbewerbs und der Betrugsbekämpfung und ihrer internen Audittätigkeiten die Möglichkeit vor, Beschränkungen der Rechte betroffener Personen einzuführen, wenn personenbezogene Daten von den zuständigen Behörden der Mitgliedstaaten erlangt werden. 29 Nach diesen Vorschriften ist es möglich, ähnliche Beschränkungen zu verhängen, wenn nationale Behörden Beschränkungen auf der Grundlage einer Gesetzgebungsmaßnahme verhängt haben, die gemäß der DSGVO 30 oder der Richtlinie zum Datenschutz bei der Strafverfolgung 31 möglich ist.
Von den EU-Institutionen erlassene interne Vorschriften, die die Beschränkung der Rechte betroffener Personen ermöglichen, werden für gewöhnlich auf Einzelfallbasis angewandt, wie dies in den jeweiligen internen Vorschriften vorgesehen ist. 69 % der EU-Institutionen, die über Vorschriften nach Artikel 25 verfügen, berichten jedoch, dass sie noch keinen Gebrauch von diesen gemacht haben. Mit Ausnahme des Europäischen Parlaments und der Kommission haben diejenigen EU-Institutionen, die die Vorschriften angewandt haben, nach eigenen Angaben in weniger als zehn Fällen Beschränkungen verhängt. Bei den Tätigkeiten des OLAF sind Beschränkungen häufiger notwendig gewesen, insbesondere, um die Unterrichtung betroffener Personen über die Verarbeitung ihrer personenbezogenen Daten zu einem noch frühen Zeitpunkt einer Ermittlung zurückzustellen, damit die Erhebung von Beweismitteln nicht beeinträchtigt wird. Das OLAF wandte auch einige Beschränkungen in Bezug auf Anträge betroffener Personen auf Auskunft über ihre eigenen personenbezogenen Daten an, wobei diese Anträge nur abgelehnt wurden, um die Rechte und Freiheiten anderer Personen zu schützen 32 , z. B., wenn die Offenlegung der Daten Repressalien für einen Hinweisgeber hätte nach sich ziehen können.
Die EU-Institutionen sind in der Regel gemäß ihren internen Vorschriften verpflichtet, ihren DSB alle angewandten Beschränkungen mitzuteilen und ihnen Zugang zu allen Aufzeichnungen und Dokumenten zu gewähren, die diese Beschränkungen betreffen. 33
3.4Datenschutzbeauftragte
Die Verpflichtung, dass jede EU-Institution über einen DSB verfügen muss, wurde bereits in der vorherigen Verordnung (EG) Nr. 45/2001 festgelegt. Im Rahmen der EU-DSVO wurde diese Funktion deutlicher herausgestellt, indem der Grundsatz der Rechenschaftspflicht eingeführt wurde. Das bedeutet, dass der Verantwortliche für die Einhaltung der Datenschutzvorschriften verantwortlich ist und deren Einhaltung nachweisen können muss.
In 46 % der EU-Institutionen werden die DSB durch Netze von DSK oder ähnliche Strukturen unterstützt. 34 Größere EU-Institutionen verfügen häufiger über solche Netze (z. B. das Europäische Parlament, das Generalsekretariat des Rates, die Kommission und der Europäische Auswärtige Dienst [EAD]). Der EAD organisiert und unterhält zudem ein Netz von Datenschutzkorrespondenten in den EU-Delegationen.
Mehrere EU-Institutionen stellten eine Zunahme der Aufgaben und der Arbeitsbelastung ihrer DSB (und demzufolge auch ihrer DSK) fest. Sie gaben an, dass den DSB (und DSK) mehr Ressourcen zur Verfügung gestellt werden müssen, um sicherzustellen, dass sie die Datenschutzvorkehrungen ihrer jeweiligen EU-Institution wirksam umsetzen können. Ferner wurde darauf hingewiesen, dass die Unabhängigkeit der DSB gewährleistet werden muss.
In diesem Kontext spielen zwei Trends eine Rolle. Zum einen legt die EU-DSVO den Schwerpunkt stärker auf die Rechenschaftspflicht des Verantwortlichen, z. B. durch die Streichung des Verfahrens der Vorabkontrolle, das im Rahmen der vorherigen Verordnung (EG) Nr. 45/2001 bestand, wodurch der Verwaltungsaufwand verringert wird. Zum anderen bitten die Verantwortlichen die DSB/DSK häufiger um Beratung, wie die EU-DSVO am besten eingehalten werden kann. Diesbezüglich wurde darauf hingewiesen, dass das Netz der DSB der EU-Institutionen als wichtiges Forum zur Erörterung und Klarstellung bestimmter rechtlicher und technischer Aspekte fungiert, die spezifisch für die Datenverarbeitung durch die EU-Institutionen sind. Dieses Netz bietet eine Plattform für den Austausch zwischen den DSB und dem EDSB sowie zwischen den DSB untereinander. Es arbeitet kontinuierlich zusammen und trifft sich in der Regel zweimal im Jahr.
Mehr als die Hälfte (54 %) der EU-Institutionen hat weitere Ressourcen für ihre DSB und allgemein für Datenschutzfunktionen bereitgestellt. Die meisten EU-Institutionen (84 %) haben ihre internen Verfahren angepasst, um sicherzustellen, dass ihr Personal die DSB über neue Verarbeitungsvorgänge personenbezogener Daten unterrichtet und sie dazu konsultiert. Dies erfolgt in der Regel dadurch, dass DSB beispielsweise in Änderungsmanagementprozesse oder Projektlenkungsausschüsse einbezogen werden.
3.5Datenschutz-Folgenabschätzungen
Die meisten Datenschutz-Folgenabschätzungen (DSFA) wurden von der Europäischen Zentralbank, der Europäischen Investitionsbank und der Kommission vorgenommen. Im Vergleich zum vorherigen System der „Vorabkontrolle“ 35 nach der Verordnung (EG) Nr. 45/2001 wurden dem EDSB deutlich weniger Fälle übermittelt. Damit war infolge dieser Änderung und der selteneren Konsultationen des EDSB zu administrativen Verarbeitungsvorgängen, etwa im Rahmen der Mitarbeiterbeurteilung, zu rechnen.
Tabelle 1 im Anhang bietet einen Überblick über die DSFA, die von den EU-Institutionen zwischen 2019 und 2021 durchgeführt wurden.
Fast alle EU-Institutionen (94 %) waren sich darin einig, dass die Kriterien der EU-DSVO 36 in Bezug darauf, wann DSFA durchgeführt werden müssen, Verarbeitungsvorgänge mit hohem Risiko angemessen abdecken. Diejenigen, die eine andere Auffassung vertraten, betonten, dass der EDSB bei der Auslegung dieser Kriterien die technologische Entwicklung berücksichtigen müsse. Beispielsweise sei das Cloud-Computing keine „neue“ Technologie mehr, was bei der Beurteilung, ob DSFA durchgeführt werden müssen, beachtet werden sollte. Die meisten EU-Institutionen, die diesen Punkt erwähnten, sind der Ansicht, dass der Rechtstext selbst ausreichend klar sei und dass es hierbei um die Auslegung des EDSB gehe.
Die EU-DSVO enthält keine spezifische Verpflichtung, die Ergebnisse von DSFA zu veröffentlichen. Eine große Mehrheit (84 %) der EU-Institutionen veröffentlicht die durchgeführten DSFA nicht, während 14 % die DSFA teilweise oder als Zusammenfassung veröffentlichen und dabei Informationen entfernen, die geltende Sicherheitsvorkehrungen beeinträchtigen könnten. Nur eine EU-Institution gab an, dass sie ihre DSFA vollständig veröffentlicht. Die Veröffentlichung von DSFA, wobei erforderlichenfalls Informationen gestrichen werden, die die Sicherheit der Verarbeitungsvorgänge gefährden würden, verbessert die Transparenz hinsichtlich der Einhaltung der Vorschriften der EU-DSVO durch die EU-Institutionen und stellt ein bewährtes Verfahren dar, das vom EDSB empfohlen wird 37 .
3.6Internationale Datenübermittlung
Fast alle EU-Institutionen (91 %) berichteten, dass im Rahmen ihrer Tätigkeiten personenbezogene Daten international übermittelt werden. Dies umfasst die Datenübermittlung an Nicht-EU- und Nicht-EWR-Länder sowie internationale Organisationen. Mehrere EU-Institutionen wiesen jedoch darauf hin, dass diese Übermittlungen selten sind oder nur eine begrenzte Menge personenbezogener Daten betreffen. Was die Übermittlungsinstrumente angeht, so verwiesen die EU-Institutionen zumeist auf Angemessenheitsbeschlüsse (die gemäß der DSGVO 38 oder der Richtlinie zum Datenschutz bei der Strafverfolgung 39 verabschiedet wurden) und vertragliche Instrumente, beispielsweise für die Datenübermittlung an private Unternehmen. Bei der Datenübermittlung an öffentliche Stellen spielen auch andere Instrumente eine Rolle, etwa rechtsverbindliche Übereinkünfte und Verwaltungsvereinbarungen. Darüber hinaus erwähnten 51 % der EU-Institutionen, dass sie, beispielsweise zur Organisation von Schulungen, begrenzte, gelegentliche Übermittlungen durchführen, die auf den gesetzlichen Gründen für die Datenübermittlung (den „Ausnahmen“) 40 beruhen.
In der Praxis erfolgt die Datenübermittlung für gewöhnlich nicht direkt durch die EU-Institutionen, sondern durch die in ihrem Namen handelnden Auftragsverarbeiter (die keine EU-Institutionen sind). Die Kommission ist daher in den im Juni 2021 gemäß der DSGVO erlassenen Standardvertragsklauseln 41 speziell auf dieses Szenario eingegangen, um die Verantwortlichen und Auftragsverarbeitern bei der Erfüllung der Anforderungen sowohl der DSGVO als auch der EU-DSVO zu unterstützen. Insbesondere haben Auftragsverarbeiter im Europäischen Wirtschaftsraum (EWR) die Möglichkeit, diese Standardvertragsklauseln für die internationale Datenübermittlung in die Verträge mit ihren Unterauftragsverarbeitern in Drittländern aufzunehmen. 42 Dies gewährleistet die Einhaltung der Vorschriften der EU-DSVO 43 in Bezug auf die Inanspruchnahme der Dienste von Unterauftragsverarbeitern im Auftrag der EU-Institutionen, sofern die Datenschutzpflichten in den Verträgen zwischen i) der EU-Institution und dem Auftragsverarbeiter sowie ii) dem Auftragsverarbeiter und seinem Unterauftragsverarbeiter angeglichen sind. 44 Die EU-Institutionen können eine solche Angleichung insbesondere sicherstellen, indem sie die Standardvertragsklauseln verwenden, die von der Kommission für die Beziehung zwischen Verantwortlichen und Auftragsverarbeitern erlassen wurden 45 .
Um zusätzliche Instrumente zu bieten, mit denen geeignete Garantien für direkte Datenübermittlungen der EU-Institutionen an Drittländer (d. h. ohne die Beteiligung eines EU-/EWR-Auftragsverarbeiters) sichergestellt werden, entwickelt die Kommission derzeit Standardvertragsklauseln gemäß Artikel 48 Absatz 2 Buchstabe b der EU-DSVO. Diese Klauseln werden so weit wie möglich an die bestehenden Klauseln angeglichen werden, die gemäß der DSGVO erlassen wurden.
Schließlich arbeitet die Kommission angesichts der spezifischen Fragen, die sich im Zusammenhang mit der Übermittlung personenbezogener Daten an internationale Organisationen stellen (etwa aufgrund ihres Status und der geltenden Vorrechte und Befreiungen), mit den DSB der EU-Institutionen zusammen, um spezielle Instrumente (z. B. Verwaltungsvereinbarungen) zu entwickeln, die an solche Übermittlungen angepasst sind.
4EDSB-Tätigkeiten
4.1Der EDSB als Datenschutzaufsichtsbehörde für die EU-Institutionen
Der EDSB ist die unabhängige Datenschutzaufsichtsbehörde der EU-Institutionen 46 und hinsichtlich seiner Funktion mit den nationalen Datenschutzaufsichtsbehörden vergleichbar, die gemäß der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung in den Mitgliedstaaten eingerichtet wurden.
Tabelle 2 im Anhang bietet einen Überblick über die Aufsichtstätigkeiten des EDSB zwischen 2018 und 2021. Da die EU-DSVO am 11. Dezember 2018 in Kraft trat 47 , bieten die Zahlen für 2018 eine Grundlage für den Vergleich mit der Situation im Rahmen der vorherigen Verordnung (EG) Nr. 45/2001.
Der EDSB stellte bei den Themen der Konsultationsersuchen seitens der EU-Institutionen seit dem Inkrafttreten der EU-DSVO eine Verlagerung hin zu den Kerntätigkeiten der EU-Institutionen fest. Konkret war eine Verlagerung von „administrativen“ Themen wie der Personalverwaltung hin zu Fragen über die Verarbeitung personenbezogener Daten für die Erfüllung von den EU-Institutionen übertragenen Aufgaben im öffentlichen Interesse zu beobachten.
Die Zahl der unzulässigen Beschwerden, die beim EDSB eingingen, ist zwischen 2019 und 2021 gestiegen. 48 Die meisten Beschwerden, die für unzulässig befunden wurden, richteten sich gegen Verantwortliche in den Mitgliedstaaten, die nicht durch den EDSB beaufsichtigt werden, sondern durch ihre nationalen Datenschutzbehörden. Die Zahlen für 2018 waren vermutlich aufgrund des Inkrafttretens der DSGVO höher. Dies führte zu einem stärkeren Bewusstsein für die Datenschutzvorschriften in der Bevölkerung, aber auch zu einer Zunahme der unzulässigen Beschwerden. Der EDSB kann ferner zulässige Beschwerden schließen, wenn eine einvernehmliche Lösung gefunden wurde.
In Bezug auf Kontrollen und Prüfungen wurde 2019 ein Anstieg im Vergleich zum Ausgangswert von 2018 verzeichnet, gefolgt von einem Rückgang in den Jahren 2020 und 2021. Dies kann dadurch erklärt werden, dass Vor-Ort-Kontrollen durch die COVID-19-Pandemie erschwert wurden und dass stattdessen Fernprüfungen vorgenommen wurden. Der EDSB bewertet Risiken, um zu entscheiden, welche EU-Institutionen kontrolliert werden sollen. Hierbei wird beispielsweise die Anzahl der Konsultationen berücksichtigt, vor allem, wenn besondere Kategorien von Daten im Rahmen der Kerntätigkeit einer EU-Institution verarbeitet werden. Der EDSB kann außerdem beschließen, von sich aus Untersuchungen durchzuführen, z. B. zur Nutzung von Cloud-Diensteanbietern durch eine EU-Institution.
Bei Datenschutzverletzungen war dem EDSB zufolge in den meisten Fällen menschliches Fehlverhalten die zugrunde liegende Ursache, gefolgt von technischen Fehlern und Angriffen von außen. 49
Der EDSB hat von den meisten seiner Befugnisse gemäß der EU-DSVO Gebrauch gemacht, einschließlich der Verhängung vorübergehender Verbote von Verarbeitungsvorgängen 50 . Seine neue Befugnis zur Verhängung von Geldbußen hat er bisher nicht ausgeübt, wobei diese Maßnahme in der EU-DSVO als letztes Mittel vorgesehen ist 51 .
Der EDSB wies in seinem Beitrag zum vorliegenden Bericht ferner darauf hin, dass er in Sensibilisierungsmaßnahmen investiert hat, etwa in Schulungen, wobei 2019 nach dem Inkrafttreten der EU-DSVO ein Höchstwert von geschätzt mehr als 4600 Teilnehmern verzeichnet wurde. Die Teilnehmerzahlen gingen zwar seitdem in den Jahren 2020 und 2021 zurück, jedoch sind sie noch immer deutlich höher als der Ausgangswert von geschätzten 1000 Teilnehmern im Jahr 2018.
Die EU-Institutionen gaben größtenteils positive Rückmeldungen über die Interaktion mit dem EDSB und die von ihm erhaltenen Weisungen, wobei 86 % angaben, dass die Antworten immer oder meistens leicht verständlich waren. Die EU-Institutionen begrüßten auch die verstärkten Kontakte des EDSB mit dem DSB-Netz.
Einige EU-Institutionen waren jedoch der Ansicht, dass die Empfehlungen des EDSB teilweise zu spät eingingen. 52 Sie betonten, wie wichtig die weitere Unterstützung und Beratung durch den EDSB sei, und forderten rechtzeitige und praktische Weisungen für bestimmte Datenschutzbelange. Zu diesen Belangen gehören unter anderem die Umsetzung des risikobasierten Ansatzes für die Verantwortlichen, die internationale Datenübermittlung und die Beziehung zwischen Verantwortlichen (auch gemeinsam Verantwortlichen) und ihren Auftragsverarbeitern.
4.2Der EDSB als Berater des EU-Gesetzgebers
Die Kommission konsultiert den EDSB formell 53 , insbesondere in Bezug auf Gesetzgebungsvorschläge mit Auswirkungen auf die Verarbeitung personenbezogener Daten nach ihrer Annahme durch das Kollegium 54 . Der EDSB antwortet mit Stellungnahmen oder Bemerkungen 55 auf diese Konsultationen. Er gibt außerdem Initiativstellungnahmen ab, etwa seine vorläufige Stellungnahme zum Europäischen Raum für Gesundheitsdaten 56 . Ist ein Vorschlag für den Datenschutz von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss (EDSA) konsultieren. In diesem Fall sollten der EDSB und der EDSA eine gemeinsame Stellungnahme abgeben 57 , damit der EU-Gesetzgeber kohärente Empfehlungen erhält.
Die Kommission konsultiert den EDSB auch informell, bevor Rechtsakte, die den Konsultationspflichten unterliegen, vom Kollegium angenommen werden. Der EDSB antwortet auf solche Konsultationen, indem er der Kommission informelle Bemerkungen übermittelt. Diese Möglichkeit trägt dazu bei, dass die Rechtsakte der Kommission vor ihrer Annahme vollständig mit den Datenschutzvorschriften im Einklang stehen. Informelle Konsultationen werden insbesondere bei Rechtsakten genutzt, die sensibel sind oder erheblichere Auswirkungen auf den Datenschutz haben.
Die Tätigkeit des EDSB als Berater des EU-Gesetzgebers hängt von der Anzahl der neuen Vorschläge ab, die von der Kommission vorbereitet werden. Nach geringeren Zahlen im letzten Jahr der scheidenden Kommission ist der beträchtliche Anstieg der formellen Bemerkungen im Jahr 2021 darauf zurückzuführen, dass die Zahl der Gesetzgebungsvorschläge zugenommen hat und die Kommission bestrebt war, für eine konsequente Umsetzung der Verpflichtung zur Konsultation des EDSB zu sorgen 58 . Dies betrifft auch Durchführungsrechtsakte und delegierte Rechtsakte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Nach dem Inkrafttreten der EU-DSVO erarbeitete das Generalsekretariat der Kommission Verfahrensweisen für die Konsultation des EDSB und sensibilisierte die Dienststellen für die diesbezügliche Verpflichtung. Dies führte dazu, dass Konsultationen systematischer durchgeführt wurden, auch für Durchführungsrechtsakte und delegierte Rechtsakte. Für Planungszwecke halten der EDSB und die Kommissionsdienststellen jährliche Treffen zum kommenden Arbeitsprogramm und zu den Vorschlägen ab, die eine Konsultation erfordern werden.
4.3Zusammenarbeit zwischen dem EDSB und den nationalen Datenschutzbehörden
Der EDSB ist ein Mitglied des EDSA und stellt ein Sekretariat für diesen bereit. Er arbeitet auch auf andere Weise mit den nationalen Aufsichtsbehörden zusammen, wenn es um die Wahrnehmung ihrer jeweiligen Aufgaben geht. 59 Beispiele dieser Zusammenarbeit betreffen die Weiterleitung von Beschwerden an die zuständige Datenschutzaufsichtsbehörde oder Fälle im Zusammenhang mit externen Dienstleistern, deren Dienste sowohl von EU-Institutionen als auch von Verantwortlichen, die der DSGVO unterliegen, in Anspruch genommen werden. Der EDSB trägt ferner aktiv zur Arbeit des EDSA bei, indem er bestimmte Funktionen übernimmt, beispielsweise als Haupt- oder Mitberichterstatter für Leitlinien, oder auf sonstige Weise einen Beitrag leistet.
Bei einigen IT-Großsystemen und nach dem EU-Recht eingerichteten Agenturen ist es erforderlich, dass der EDSB und die nationalen Aufsichtsbehörden im Rahmen ihrer jeweiligen Zuständigkeiten aktiv zusammenarbeiten, um eine koordinierte Aufsicht zu gewährleisten. 60 In der Vergangenheit enthielten die Gründungsrechtsakte der einzelnen Systeme oder Agenturen spezifische Bestimmungen zu diesem Zweck. Die EU-DSVO 61 schafft ein harmonisiertes System für diese Koordinierung der Aufsicht, auf das in anderen Rechtsakten verwiesen werden kann. Diese Verweise finden sich in Bezug auf das Binnenmarktinformationssystem 62 , das ECRIS-TCN 63 , Eurojust 64 und seit Kurzem auch Europol 65 . In den Rechtsakten zur Einrichtung anderer Systeme finden sich noch immer Koordinierungsgruppen für die Aufsicht mit detaillierten Vorschriften oder detaillierte Verweise auf Sitzungen im Rahmen des EDSA 66 .
Der EDSB trägt auch zum Schengen-Evaluierungsmechanismus bei, der mit der Verordnung (EU) Nr. 1053/2013 des Rates 67 eingeführt wurde. Gemäß dieser Verordnung kann die Kommission den EDSB auffordern, einen Beobachter für eine Ortsbesichtigung zu benennen, die einen in sein Mandat fallenden Bereich betrifft, z. B. Datenschutzevaluierungen. 68 Somit haben Frontex und Europol die Möglichkeit, Beobachter für Evaluierungen der Grenzverwaltung bzw. der polizeilichen Zusammenarbeit zu benennen. Nach Ansicht der Kommission ist das Fachwissen der Beobachter des EDSB bei Datenschutzevaluierungen von großem Nutzen.
4.4Ressourcen des EDSB
Die Anzahl der Mitarbeiter des EDSB (einschließlich des EDSA-Sekretariats 69 ) ist im Berichtszeitraum stetig gestiegen 70 , was den allgemeinen Trend in den nationalen Datenschutzaufsichtsbehörden widerspiegelt. Die Tätigkeiten des EDSA-Sekretariats haben im Laufe der Zeit zugenommen, wobei immer mehr Leitlinien, Empfehlungen, Stellungnahmen und andere Dokumente des EDSA veröffentlicht wurden, zu denen das Sekretariat beiträgt. Die Bereitstellung ausreichender Ressourcen für das EDSA-Sekretariat ist von wesentlicher Bedeutung, da es vermutlich eine stärkere Rolle bei der wirksamen Durchsetzung der DSGVO einnehmen wird. Dies betrifft insbesondere das Ziel des EDSA, eine engere Zusammenarbeit bei der strategischen Arbeit zu entwickeln und neue Instrumente zu nutzen, mit denen die Zusammenarbeit zwischen den Datenschutzbehörden gefördert wird. 71 Vor allem ist ein starkes und gut ausgestattetes Sekretariat zur Unterstützung der Arbeit des EDSA von entscheidender Bedeutung, um sicherzustellen, dass der EDSA seine Arbeit wie vorgesehen durchführen kann, besonders im Kontext des Kohärenzverfahrens 72 , dessen Nutzung weiter zunehmen dürfte.
In seinem Beitrag zum vorliegenden Bericht wies der EDSB insbesondere darauf hin, dass, sollte er mit zusätzlichen Aufgaben betraut werden, z. B. als Marktüberwachungsbehörde gemäß dem Vorschlag für das Gesetz über künstliche Intelligenz 73 , er entsprechende zusätzliche Ressourcen erhalten sollte.
5Ausübung der Befugnisse zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten durch die Kommission
Die EU-DSVO enthält mehrere Befugnisse zum Erlass von Durchführungsrechtsakten und zur Festlegung von Standardvertragsklauseln für die Kommission sowie Verweise auf Befugnisse gemäß der DSGVO 74 .
In der EU-DSVO 75 finden sich Bestimmungen, mit denen der Kommission die Befugnis übertragen wird, Standardvertragsklauseln im Bereich des Datenschutzes für Verträge zwischen Verantwortlichen und Auftragsverarbeitern festzulegen, wobei eine entsprechende Befugnis auch in der DSGVO 76 vorgesehen ist. Die Kommission machte von dieser Befugnis Gebrauch und erließ im Juni 2021 Standardvertragsklauseln zu den Beziehungen zwischen Verantwortlichen und Auftragsverarbeitern 77 , die sowohl die DSGVO als auch die EU-DSVO abdeckten. Mit diesen Klauseln werden den Verantwortlichen einfache Instrumente an die Hand gegeben, um die Beziehungen zu ihren Auftragsverarbeitern wirksam zu gestalten.
Ferner ist die Kommission gemäß der EU-DSVO 78 befugt, Standarddatenschutzklauseln für Verträge zu erlassen, um geeignete Garantien für die Übermittlung personenbezogener Daten an Länder außerhalb der EU bzw. des EWR vorzusehen. Diese Klauseln werden von der Kommission derzeit vorbereitet.
6Datenschutzvorschriften für Einrichtungen und sonstige Stellen, die im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen tätig sind
Kapitel IX der EU-DSVO (im Folgenden „Kapitel über Strafverfolgung“) enthält Vorschriften für die Verarbeitung operativer personenbezogener Daten durch EU-Institutionen bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen fallen. Es zielt auf eine Verringerung der Fragmentierung ab, und zwar
·zwischen den Datenschutzregelungen für die Verarbeitung operativer Daten durch die EU-Agenturen in diesem Bereich sowie
·im Hinblick auf die Datenschutzregelungen für einzelstaatliche Strafverfolgungstätigkeiten gemäß der Richtlinie zum Datenschutz bei der Strafverfolgung.
Zu diesem Zweck sieht das Kapitel über Strafverfolgung der EU-DSVO eine Reihe horizontaler Vorschriften vor, die auf der Richtlinie zum Datenschutz bei der Strafverfolgung beruhen. Diese Vorschriften können erforderlichenfalls durch besondere Vorschriften in den Gründungsrechtsakten der Agenturen ergänzt werden, abhängig von ihren jeweiligen Mandaten und vom spezifischen Charakter ihrer Aufgaben und Datenverarbeitungsvorgänge.
Gemäß der EU-DSVO ist es notwendig, einen einheitlichen und kohärenten Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sicherzustellen. 79 Zu diesem Zweck wird in der EU-DSVO ausdrücklich auf das Ziel hingewiesen, die Anwendung ihres Kapitels über Strafverfolgung auf Agenturen auszuweiten, deren Gründungsrechtsakte zum Zeitpunkt der Annahme der EU-DSVO gesonderte Datenschutzrahmen umfassten, nämlich Europol und die Europäische Staatsanwaltschaft (EUStA). Ferner wird in der EU-DSVO auf die mögliche Änderung des Kapitels über Strafverfolgung verwiesen, sollte dies erforderlich sein.
6.1Ausweitung der Anwendung des Kapitels über Strafverfolgung der EU-DSVO
Zum Zeitpunkt der Erstellung des vorliegenden Berichts fand das Kapitel über Strafverfolgung der EU-DSVO Anwendung auf die Verarbeitung operativer personenbezogener Daten durch
·Eurojust 80 , ergänzt durch besondere Vorschriften in der Eurojust-Verordnung,
·Europol 81 , ergänzt durch besondere Vorschriften in der Europol-Verordnung, die seit dem Inkrafttreten der EU-DSVO geändert wurde 82 , sowie
·Frontex in Bezug auf den geringen Teil ihrer Tätigkeiten, der in den Bereich der Strafverfolgung fällt 83 .
Das Kapitel über Strafverfolgung der EU-DSVO findet jedoch noch keine Anwendung auf die EUStA, deren Gründungsverordnung vor der EU-DSVO angenommen wurde. Die EUStA-Verordnung sieht eigenständige Regelungen für die Verarbeitung operativer Daten vor. Dies hat zwei Konsequenzen: Erstens unterscheiden sich einige Bestimmungen in der EUStA-Verordnung grundsätzlich vom Kapitel über Strafverfolgung der EU-DSVO, etwa im Hinblick auf die „eingeschränkte“ Verarbeitung personenbezogener Daten 84 . Zweitens sind manche Bestimmungen der EUStA-Verordnung zwar grundsätzlich ähnlich wie die Bestimmungen im Kapitel über Strafverfolgung der EU-DSVO, aber anders formuliert, was unterschiedliche Auslegungen zur Folge haben könnte.
Im Interesse der Einheitlichkeit und im Einklang mit dem allgemeinen Ziel, die Fragmentierung der Datenschutzvorschriften zu minimieren, sollte bezüglich der EUStA eine ähnliche Herangehensweise wie bei Eurojust und Europol verfolgt werden. Das Ziel besteht darin, für die unmittelbare Anwendbarkeit des Kapitels über Strafverfolgung der EU-DSVO auf die EUStA zu sorgen und dabei lediglich erforderliche Spezifikationen in der EUStA-Verordnung beizubehalten. Gleichzeitig ist es angesichts der Tatsache, dass die EUStA erst seit einem Jahr tätig ist, kurzfristig nach wie vor notwendig, weitere Erkenntnisse zur praktischen Anwendung der Datenschutzregelungen der EUStA-Verordnung zu sammeln. Dadurch können die erwähnten Spezifikationen unter Berücksichtigung des Charakters der EUStA als unabhängige Staatsanwaltschaft der EU 85 genau ermittelt werden.
6.2Klärung der Anwendbarkeit einiger Bestimmungen der EU-DSVO auf die Verarbeitung operativer Daten
Die EU-DSVO 86 sieht vor, dass „[n]ur Artikel 3 [(die Begriffsbestimmungen)] und Kapitel IX [(das Kapitel über Strafverfolgung)] dieser Verordnung … für die Verarbeitung operativer personenbezogener Daten [gelten]“.
Das Kapitel über Strafverfolgung enthält materielle Bestimmungen, die den meisten Bestimmungen der Kapitel II bis V der EU-DSVO (in Bezug auf allgemeine Grundsätze, Rechte betroffener Personen, bestimmte Pflichten von Verantwortlichen und Auftragsverarbeitern und die internationale Datenübermittlung) entsprechen, wobei es einige Unterschiede gibt, um den Besonderheiten der Strafverfolgung Rechnung zu tragen (z. B. in Bezug auf Vorschriften über die Unterrichtung betroffener Personen und ihr Recht auf Auskunft über ihre Daten).
Es ist wichtig, dass durch eine Änderung der EU-DSVO klargestellt wird, dass das Kapitel über Strafverfolgung nur für die entsprechenden Bestimmungen anderer Kapitel der EU-DSVO, die eine direkte Entsprechung im Kapitel über Strafverfolgung haben, besondere Vorschriften enthält. Wenn der Gesetzgeber also keine besonderen Vorschriften in einen Gründungsrechtsakt einer Agentur aufnimmt, gelten für die Verarbeitung operativer Daten die Bestimmungen aus anderen Kapiteln als dem Kapitel über Strafverfolgung, die keine direkte Entsprechung in Letzterem haben 87 .
Diese Änderung würde die Rechtssicherheit verbessern und einen vollständigen Rahmen bieten (z. B. zur Rolle der DSB oder zur Zusammenarbeit mit den nationalen Datenschutzaufsichtsbehörden), auch für zukünftige Agenturen in diesem Bereich 88 . Ein solcher vollständiger Rahmen würde zudem die Risiken einer Fragmentierung verringern.
6.3Kontrollbefugnisse des EDSB bezüglich der Einrichtungen und sonstigen Stellen der EU
Derzeit enthalten die Verordnungen zur Einrichtung der EUStA sowie von Eurojust und Europol besondere Bestimmungen zu den Befugnissen des EDSB. 89
Durch die aktualisierte Europol-Verordnung werden dem EDSB Befugnisse übertragen, die an die Befugnisse nach Artikel 58 der EU-DSVO angeglichen sind. 90 Dies betrifft insbesondere die Befugnisse zur Verhängung von Geldbußen und zur Anweisung des Verantwortlichen oder des Auftragsverarbeiters, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen.
Im Falle der EUStA-Verordnung werden hinsichtlich der Befugnisse des EDSB jedoch andere Formulierungen als in der EU-DSVO verwendet. So sind die zwei erwähnten Befugnisse für den EDSB nicht vorgesehen. 91
In der Frontex-Verordnung finden sich für die wenigen Tätigkeiten von Frontex, die dem Kapitel über Strafverfolgung unterliegen 92 , keine besonderen Vorschriften über die Befugnisse des EDSB, was zu diesbezüglichen Unsicherheiten führt.
Die Ausstattung des EDSB mit sämtlichen Befugnissen nach Artikel 58 der EU-DSVO könnte mit den beiden folgenden Schritten verwirklicht werden.
1.Es wird klargestellt, dass der EDSB standardmäßig durch die EU-DSVO mit der Aufsicht über das Kapitel über Strafverfolgung und mit den Befugnissen nach Artikel 58 jener Verordnung betraut wird. 93 Hierzu muss die EU-DSVO wie im vorherigen Abschnitt vorgeschlagen geändert werden.
Dadurch würde auch die Lücke in der Frontex-Verordnung geschlossen.
2.Die Bestimmungen über die Befugnisse des EDSB werden aus den Gründungsrechtsakten der Einrichtungen und sonstigen Stellen entfernt, sodass sämtliche Befugnisse des EDSB gemäß der geänderten EU-DSVO unmittelbar für Eurojust und die EUStA gelten. Das Ziel besteht darin, die Befugnisse so weit wie möglich anzugleichen, um die Fragmentierung der Datenschutzvorschriften zu verringern.
7Weiteres Vorgehen
Insgesamt lässt sich feststellen, dass die EU-DSVO gut funktioniert und ihren Zweck erfüllt. Zum gegenwärtigen Zeitpunkt wird die Kommission keine Änderungen der Teile vorschlagen, die mit Blick auf die entsprechenden Vorschriften in der DSGVO gleichwertig sind, um so die bestmögliche Übereinstimmung zwischen der EU-DSVO und der DSGVO beizubehalten. 94 Die denkbaren Änderungen, die im vorliegenden Bericht berücksichtigt wurden, betreffen andere Teile, insbesondere das Verhältnis des Kapitels über Strafverfolgung der EU-DSVO zu den sonstigen Bestimmungen dieser Verordnung.
Im Frühjahr 2022 schlug die Kommission Vorschriften zur Stärkung der Informationssicherheit in den EU-Institutionen vor 95 , die positive Auswirkungen in diesem Bereich haben werden, einschließlich auf den Schutz personenbezogener Daten. Dieser Vorschlag zielt darauf ab, die Resilienz der EU-Institutionen und ihre Fähigkeit zur Reaktion auf Sicherheitsvorfälle bei Cyberbedrohungen weiter zu verbessern.
Die Kommission wird ferner die im Folgenden dargelegten Schritte unternehmen:
-Sicherstellung im Rahmen der Aktualisierung der Rechtsakte zur Einrichtung von IT-Großsystemen, die noch immer detaillierte Vorschriften über ein Modell zur Koordinierung der Aufsicht enthalten, dass das entsprechende Modell der EU-DSVO 96 Anwendung findet, um die Verfahren zu straffen,
-Prüfung von Änderungen der EU-DSVO, um
odie Rechtssicherheit zu verbessern und den Rahmen für die Verarbeitung operativer Daten zu vervollständigen, indem in Artikel 2 Absatz 2 klargestellt wird, dass die allgemeinen Bestimmungen der EU-DSVO auch für die Verarbeitung operativer personenbezogener Daten gelten, sofern das Kapitel über Strafverfolgung keine besonderen Vorschriften enthält (etwa in Bezug auf das Auskunftsrecht), wodurch auch ein vorgefertigter Rahmen für zukünftige Agenturen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bestünde,
odie Beteiligung des EDSB als Beobachter bei allen Datenschutzevaluierungen gemäß dem Schengen-Evaluierungsmechanismus sicherzustellen,
-anschließend Prüfung von Änderungen der EUStA- und der Eurojust-Verordnung im Rahmen einer künftigen Überarbeitung, um die uneingeschränkte Anwendung der Vorschriften für die Verarbeitung operativer personenbezogener Daten in der geänderten EU-DSVO sicherzustellen, wobei die Besonderheiten dieser Einrichtungen berücksichtigt werden, was auch zu einer Harmonisierung der Befugnisse des EDSB in Bezug auf diese und andere EU-Institutionen führen wird,
-Vorschlag von Standardvertragsklauseln für die internationale Übermittlung personenbezogener Daten 97 durch die EU-Institutionen,
-Fortsetzung der engen Zusammenarbeit mit dem EDSB (und gegebenenfalls mit dem EDSA), um eine rechtzeitige und gezielte Konsultation zu neuen Vorschlägen 98 sicherzustellen, sowie auch Fortsetzung der informellen Konsultation des EDSB zu wichtigen Texten vor deren Annahme.
Der EDSB wird ersucht,
-den EU-Institutionen zusätzliche und rechtzeitige praktische Weisungen zu erteilen, auch zur internationalen Datenübermittlung,
-die Verantwortlichen und Auftragsverarbeiter weiterhin für ihre Pflichten gemäß der EU-DSVO zu sensibilisieren sowie die DSB zu beraten und
-seine Bemühungen um eine wirksame Durchsetzung der EU-DSVO zu intensivieren, um den uneingeschränkten Schutz der betroffenen Personen zu gewährleisten.
Die Organe, Einrichtungen und sonstigen Stellen der EU werden ersucht,
-ihre Sensibilisierungsmaßnahmen fortzusetzen und erforderlichenfalls zu verstärken, um für ein ausreichendes internes Fachwissen über die Vorschriften der EU-DSVO zu sorgen,
-die Veröffentlichung von DSFA in Erwägung zu ziehen, wobei erforderlichenfalls Informationen ausgeschlossen werden, die die geltenden Sicherheitsvorkehrungen beeinträchtigen könnten,
-dafür zu sorgen, dass die DSB (sowie die DSK) über ausreichende Ressourcen verfügen und eine Stellung innerhalb der EU-Institutionen einnehmen, die es ihnen ermöglicht, ihre Aufgaben effizient und unabhängig zu erfüllen, und
-die Aufnahme ihrer restlichen Meldungen gemäß der vorherigen Datenschutzverordnung in ein Datenschutzverzeichnis abzuschließen.
ANHANG
Tabelle 1 – Von den EU-Institutionen vorgenommene Datenschutz-Folgenabschätzungen und vorherige Konsultationen
|
2019 |
2020 |
2021 |
|
|
Restrisiko akzeptiert |
30 |
50 |
77 |
|
Vorherige Konsultation des EDSB |
3 |
3 |
5 |
|
Projekt aufgegeben |
2 |
2 |
0 |
Tabelle 2 – Aufsichtstätigkeiten des EDSB
|
2018 |
2019 |
2020 |
2021 |
|
|
Konsultationen |
50 99 |
75 |
59 |
52 |
|
Vorherige Konsultationen |
0 |
0 |
1 |
4 |
|
Genehmigungen zur Datenübermittlung |
0 |
1 |
0 |
4 |
|
Eingegangene zulässige Beschwerden |
58 |
59 |
43 |
44 100 |
|
Entscheidungen 101 über zulässige Beschwerden |
23 |
48 |
35 |
22 |
|
Eingegangene unzulässige Beschwerden |
240 |
151 |
203 |
269 |
|
Vorgenommene Kontrollen und Prüfungen |
5 |
9 |
4 |
4 |
|
Vorgenommene formelle Untersuchungen |
0 |
4 |
1 |
2 |
|
Eingegangene Meldungen von Datenschutzverletzungen |
7 |
95 |
121 |
82 102 |
Tabelle 3 – Beratungstätigkeiten des EDSB
|
2018 |
2019 |
2020 |
2021 |
|
|
Bemerkungen |
13 |
3 |
19 |
72 |
|
Stellungnahmen |
7 |
6 |
8 |
12 |
|
Initiativstellungnahmen |
1 |
1 |
2 |
0 |
|
Gemeinsame Stellungnahmen mit dem EDSA |
0 |
1 |
0 |
5 |
|
Informelle Bemerkungen |
33 103 |
16 |
13 |
25 |
Tabelle 4 – Ressourcen des EDSB
|
2018 |
2019 |
2020 |
2021 |
2022 (geschätzt) |
|
|
Gesamtzahl der Mitarbeiter des EDSB (einschließlich des EDSA-Sekretariats) |
98 |
100 |
118 |
126 |
139 |
|
Mitarbeiter des EDSB im EDSA-Sekretariat |
19 |
22 |
27 |
34 |
38 |
|
Mittelausstattung 104 |
13 539 302 EUR (ausgeführt) |
15 301 687 EUR (ausgeführt) |
14 211 719 EUR (ausgeführt) |
16 761 285 EUR (ausgeführt) |
20 202 000 EUR (Entwurf) |
Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (Text von Bedeutung für den EWR) (ABI. L 295 vom 21.11.2018, S. 39), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018R1725 .
Für einige Agenturen im Bereich Justiz und Inneres wurden in den jeweiligen Gründungsrechtsakten besondere Datenschutzvorschriften festgelegt, die die EU-DSVO ergänzen oder anstelle von ihr gelten, siehe Abschnitt 6.
Im Einklang mit Artikel 101 Absatz 2 der EU-DSVO findet die Verordnung erst seit dem 12. Dezember 2019 auf Eurojust Anwendung.
Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32001R0045 .
Artikel 3 Nummer 2 der EU-DSVO.
Dritter Teil Titel V Kapitel 4 oder Kapitel 5 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV).
Der Fragebogen wurde den EU-Institutionen zugesandt, die zu diesem Zeitpunkt existierten (Liste: http://publications.europa.eu/code/de/de-5000900.htm ).
Die im vorliegenden Bericht angegebenen Prozentzahlen beziehen sich stets auf diejenigen EU-Institutionen, die auf die jeweilige Frage im Fragebogen geantwortet haben.
Europäischer Datenschutzbeauftragter, Contribution by the European Data Protection Supervisor to the Report on the application of Regulation (EU) 2018/1725, the ‘EUDPR’ (Beitrag des Europäischen Datenschutzbeauftragten zum Bericht über die Anwendung der Verordnung (EU) 2018/1725, der „EU-DSVO“), 21. Dezember 2021, https://edps.europa.eu/system/files/2022-04/20-12-21-contribution_edps_report_eudpr_en_0.pdf.
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679 .
Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016L0680 .
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ABl. L 201 vom 31.7.2002, S. 37), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058 .
Artikel 2 Absatz 3 der DSGVO, Artikel 2 Absatz 3 Buchstabe b der Richtlinie zum Datenschutz bei der Strafverfolgung. Die Datenschutzrichtlinie für elektronische Kommunikation als solche findet keine Anwendung, allerdings sind die EU-Institutionen nach Artikel 37 der EU-DSVO dazu verpflichtet, die Informationen, die an Endeinrichtungen der Nutzer übertragen werden, dort gespeichert werden, sich darauf beziehen, dort verarbeitet werden oder daraus erhoben werden, beim Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen im Einklang mit Artikel 5 Absatz 3 der Richtlinie 2002/58/EG zu schützen.
Siehe Erwägungsgrund 5 der EU-DSVO.
Identisch war die Situation bei der Vorläuferverordnung der EU-DSVO, der Verordnung (EG) Nr. 45/2001, in der die Rechtsgrundlage bezüglich des „berechtigten Interesses“ ebenfalls nicht enthalten war. Gemäß dem Erwägungsgrund 22 Satz 2 der EU-DSVO schließt die „Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zur Wahrnehmung einer Aufgabe im öffentlichen Interesse … die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und die Arbeitsweise dieser Organe und Einrichtungen erforderlich ist“; dies bedeutet, dass solche Verarbeitungsvorgänge, z. B. für die Sicherstellung der Zugangskontrolle zu den Räumlichkeiten der EU-Institutionen, ebenfalls darunter fallen.
Kapitel IX über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen.
Leitlinien des EDSB zu den Begriffen „Verantwortlicher“, „Auftragsverarbeiter“ und „gemeinsam Verantwortliche“ nach der Verordnung (EU) 2018/1725, https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint_de .
Rechenschaftspflicht in der Praxis: Leitfaden für Organe, Einrichtungen und Agenturen – Teil I: Verzeichnisse, Register und Erfordernis einer Datenschutz-Folgenabschätzung, S. 9, https://edps.europa.eu/system/files/2021-07/19-07-17_accountability_on_the_ground_part_i_en_48_de.pdf .
Artikel 25 der Verordnung (EG) Nr. 45/2001.
Artikel 14 der EU-DSVO.
Dies umfasst allgemeine Anträge auf Unterrichtung und Anträge auf Wahrnehmung der Rechte betroffener Personen nach Kapitel II der EU-DSVO, etwa des Rechts auf Auskunft über ihre personenbezogenen Daten, die sich im Besitz einer EU-Institution befinden.
Artikel 25 der EU-DSVO.
Dies entspricht den in einigen Mitgliedstaaten auf nationaler Ebene bestehenden Möglichkeiten, die Rechte betroffener Personen zu beschränken, z. B. durch Ministerialerlasse.
Artikel 25 Absatz 5 und Erwägungsgrund 24 der EU-DSVO.
Artikel 25 Nummer 1 der EU-DSVO.
Artikel 25 Nummer 6 der EU-DSVO.
Siehe beispielsweise den Beschluss Nr. 59/2021 des Generalsekretärs des Rates der Europäischen Union zur Festlegung von Durchführungsvorschriften für die Anwendung der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates und die Beschränkung der Rechte betroffener Personen für die Zwecke von Verwaltungsuntersuchungen sowie Disziplinar- und Gerichtsverfahren 2022/C 25/02 (ABl. C 25 vom 18.1.2022, S. 2).
Beschluss (EU) 2018/1961 der Kommission (ABl. L 315 vom 12.12.2018, S. 35), Beschluss (EU) 2018/1962 der Kommission (ABl. L 315 vom 12.12.2018, S. 41), Beschluss (EU) 2018/1927 der Kommission (ABl. L 313 vom 10.12.2018, S. 39).
Artikel 23 der DSGVO.
Artikel 13 Absatz 3, Artikel 15 oder Artikel 16 der Richtlinie zum Datenschutz bei der Strafverfolgung.
Siehe Artikel 2 Absatz 2 des Beschlusses (EU) 2018/1962 der Kommission in Bezug auf den Schutz Dritter gemäß Artikel 25 Absatz 1 Buchstabe h der EU-DSVO.
Dies wird auch in den Leitlinien des EDSB zu Artikel 25 der EU-DSVO empfohlen, die unter folgendem Link abrufbar sind: https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_de .
Beispielsweise verfügt die Kommission über einen Datenschutzbeauftragten, der dem Generalsekretariat zugeordnet ist und von Datenschutzkoordinatoren in jeder Generaldirektion unterstützt wird.
Artikel 27 der Verordnung (EG) Nr. 45/2001. Gemäß diesem System mussten Verarbeitungen, z. B. Verarbeitungen personenbezogener Daten über Gesundheit und Verarbeitungen personenbezogener Daten, die Verdächtigungen, Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, oder Verarbeitungen, die dazu bestimmt sind, die Persönlichkeit der betroffenen Person zu bewerten, einschließlich ihrer Kompetenz, ihrer Leistung oder ihres Verhaltens, vom EDSB vorab kontrolliert werden. Dies hatte eine Vielzahl von Meldungen (und entsprechenden Stellungnahmen des EDSB) zu Verarbeitungen zur Folge, die sich sehr ähnlich waren, wobei z. B. die Mitarbeiterauswahl und -beurteilung unter diese Bestimmung fielen.
Artikel 39 der EU-DSVO.
Die Veröffentlichung von (zusammenfassenden) DSFA-Berichten ist zwar keine Pflicht gemäß der EU-DSVO, hat sich jedoch nach Ansicht des EDSB bewährt und wird von diesem empfohlen. Siehe Rechenschaftspflicht in der Praxis Teil II, S. 23, https://edps.europa.eu/node/4582_de .
Artikel 45 Absatz 3 der DSGVO.
Artikel 36 Absatz 3 der Richtlinie zum Datenschutz bei der Strafverfolgung.
Artikel 50 der EU-DSVO.
Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
Hierbei müssen sie „Modul drei“ der Standardvertragsklauseln anwenden.
Artikel 29 Nummer 4 der EU-DSVO.
Siehe Erwägungsgrund 8 des Durchführungsbeschlusses (EU) 2021/914 der Kommission und Fußnote 1 des Anhangs dieses Beschlusses.
Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates.
Mit Ausnahme des Gerichtshofs der Europäischen Union im Rahmen seiner justiziellen Tätigkeit, siehe Artikel 57 Absatz 1 Buchstabe a und Erwägungsgrund 74 der EU-DSVO. In diesen Fällen erfolgt die Aufsicht mithilfe spezieller Mechanismen, die durch den Beschluss des Gerichtshofs vom 1. Oktober 2019 zur Einführung eines internen Kontrollmechanismus in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der justiziellen Tätigkeit des Gerichtshofs (ABl. C 383 vom 11.11.2019, S. 2) und durch den Beschluss des Gerichts vom 16. Oktober 2019 zur Einführung eines internen Kontrollmechanismus in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der justiziellen Tätigkeit des Gerichts (ABl. C 383 vom 11.11.2019, S. 4) eingeführt wurden. Darüber hinaus existiert noch immer die gemeinsame Aufsichtsbehörde für das Zollinformationssystem, die gemäß dem Beschluss 2009/917/JI des Rates eingesetzt wurde.
Eine Ausnahme stellt in diesem Zusammenhang Eurojust dar, da die EU-DSVO für die Agentur seit dem 12. Dezember 2019 Anwendung findet, siehe Artikel 101 Absatz 2 der EU-DSVO.
Siehe Tabelle 2 im Anhang.
Im Jahr 2020 (dem letzten Jahr mit vollständigen Statistiken) wurden 52 % der Datenschutzverletzungen durch menschliches Fehlverhalten verursacht, 21 % durch technische Fehler und 17 % durch Angriffe von außen; die übrigen Verletzungen waren auf andere Gründe zurückzuführen, z. B. den Missbrauch privilegierter Konten.
Verboten wurden beispielsweise Verarbeitungsvorgänge für das Social-Media-Monitoring durch das damalige Europäische Unterstützungsbüro für Asylfragen (EASO): https://edps.europa.eu/sites/default/files/publication/19-11-12_reply_easo_ssm_final_reply_en.pdf . Infolgedessen stellte das EASO die strittigen Verarbeitungsvorgänge ein.
Gemäß der DSGVO können Geldbußen direkt für einen Verstoß verhängt werden, z. B., wenn ein Verantwortlicher betroffene Personen nicht ordnungsgemäß über die Verarbeitung ihrer personenbezogenen Daten unterrichtet (Artikel 12 bis 14 der DSGVO). Die EU-DSVO sieht vor, dass der EDSB nur Geldbußen verhängen kann, wenn einer Anordnung nicht nachgekommen wird, z. B. zur Behebung eines Versäumnisses, betroffene Personen ordnungsgemäß nach Artikel 14 bis 16 der EU-DSVO zu unterrichten.
67 % der EU-Institutionen gaben an, dass die Empfehlungen des EDSB rechtzeitig oder zumeist rechtzeitig eingingen, während sich 33 % neutral äußerten oder angaben, dass die Empfehlungen (meistens) zu spät eingingen.
Artikel 42 der EU-DSVO.
Bei Durchführungsrechtsakten und delegierten Rechtsakten kann die formelle Konsultation zeitgleich mit der Konsultation der Öffentlichkeit zu entsprechenden Entwürfen dieser Rechtsakte erfolgen.
Der EDSB bezeichnet Antworten auf Gesetzgebungsvorschläge und Empfehlungen nach Artikel 218 AEUV als „Stellungnahmen“. Antworten in Bezug auf Durchführungsrechtsakte oder delegierte Rechtsakte werden „Bemerkungen“ genannt, siehe auch die Entscheidung des Europäischen Datenschutzbeauftragten vom 15. Mai 2020 zur Annahme der Geschäftsordnung des EDSB (ABl. L 204 vom 26.6.2020, S. 49), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32020Q0626(01)&qid=1660925360506 .
EDSB, Vorläufige Stellungnahme 8/2020 zum Europäischen Gesundheitsdatenraum, https://edps.europa.eu/data-protection/our-work/publications/stellungnahmen-des-edsb/preliminary-opinion-82020-european_de .
Artikel 42 Nummer 2 der EU-DSVO.
Artikel 42 der EU-DSVO.
Im Einklang mit Artikel 61 der EU-DSVO arbeitet der EDSB ebenfalls mit der gemäß Artikel 25 des Beschlusses 2009/917/JI des Rates eingesetzten gemeinsamen Aufsichtsbehörde zusammen.
Diesbezügliche Beispiele sind das Schengener Informationssystem, das Visa-Informationssystem und Eurodac. Siehe Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission (ABl. L 312 vom 7.12.2018, S. 56), Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (ABl. L 218 vom 13.8.2008, S. 60) und Verordnung (EU) Nr. 603/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über die Einrichtung von Eurodac für den Abgleich von Fingerabdruckdaten zum Zwecke der effektiven Anwendung der Verordnung (EU) Nr. 604/2013 zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zuständig ist und über der Gefahrenabwehr und Strafverfolgung dienende Anträge der Gefahrenabwehr- und Strafverfolgungsbehörden der Mitgliedstaaten und Europols auf den Abgleich mit Eurodac-Daten sowie zur Änderung der Verordnung (EU) Nr. 1077/2011 zur Errichtung einer Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (ABl. L 180 vom 29.6.2013, S. 1).
Artikel 62 der EU-DSVO.
Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates vom 2. Oktober 2018 über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012 (ABl. L 295 vom 21.11.2018, S. 1).
Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726 (ABl. L 135 vom 22.5.2019, S. 1).
Artikel 42 Absatz 2 der Verordnung (EU) 2018/1727 des Europäischen Parlaments und des Rates vom 14. November 2018 betreffend die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) und zur Ersetzung und Aufhebung des Beschlusses 2002/187/JI des Rates (ABl. L 295 vom 21.11.2018, S. 138).
Siehe die Änderungen von Artikel 44 Absatz 2 der Europol-Verordnung durch die Verordnung (EU) 2022/991 des Europäischen Parlaments und des Rates vom 8. Juni 2022 zur Änderung der Verordnung (EU) 2016/794 in Bezug auf die Zusammenarbeit von Europol mit privaten Parteien, die Verarbeitung personenbezogener Daten durch Europol zur Unterstützung strafrechtlicher Ermittlungen und die Rolle von Europol in Forschung und Innovation (ABl. L 169 vom 27.6.2022, S. 1).
Artikel 57 der Verordnung (EU) 2018/1861 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der Grenzkontrollen, zur Änderung des Übereinkommens zur Durchführung des Übereinkommens von Schengen und zur Änderung und Aufhebung der Verordnung (EG) Nr. 1987/2006 (ABl. L 312 vom 7.12.2018, S. 14) und Artikel 71 der Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission (ABl. L 312 vom 7.12.2018, S. 56).
Verordnung (EU) Nr. 1053/2013 des Rates vom 7. Oktober 2013 zur Einführung eines Evaluierungs- und Überwachungsmechanismus für die Überprüfung der Anwendung des Schengen-Besitzstands und zur Aufhebung des Beschlusses des Exekutivausschusses vom 16. September 1998 bezüglich der Errichtung des Ständigen Ausschusses Schengener Durchführungsübereinkommen (ABl. L 295 vom 6.11.2013, S. 27).
Artikel 10 Absatz 5 der Verordnung (EU) Nr. 1053/2013 des Rates vom 7. Oktober 2013.
Artikel 57 Absatz 1 Buchstabe l der EU-DSVO.
Siehe Tabelle 4 im Anhang.
Erklärung des EDSA über eine engere Zusammenarbeit bei strategischen Dossiers, 29. April 2022: Datenschutzbehörden entscheiden über eine engere Zusammenarbeit bei strategischen Dossiers | Europäischer Datenschutzausschuss (europa.eu) .
Kapitel VII der DSGVO.
COM(2021) 206 final.
Siehe Artikel 47 der EU-DSVO, der es den EU-Institutionen ermöglicht, sich auf Angemessenheitsbeschlüsse zu stützen, die gemäß der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung angenommen wurden, sowie Artikel 14 Absatz 8 der EU-DSVO über delegierte Rechtsakte zu Bildsymbolen nach Artikel 12 Absatz 8 der DSGVO.
Artikel 29 Nummer 7 der EU-DSVO.
Artikel 28 Absatz 7 der DSGVO.
Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (Text von Bedeutung für den EWR) (ABl. L 199 vom 7.6.2021, S. 18), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0915 .
Artikel 48 Absatz 2 Buchstabe b der EU-DSVO.
Artikel 98 Nummer 2 der EU-DSVO.
Artikel 26 der Verordnung (EU) 2018/1727 des Europäischen Parlaments und des Rates vom 14. November 2018 betreffend die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) und zur Ersetzung und Aufhebung des Beschlusses 2002/187/JI des Rates (ABl. L 295 vom 21.11.2018, S. 138).
Artikel 28 der geänderten Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates.
Verordnung (EU) 2022/991 des Europäischen Parlaments und des Rates vom 8. Juni 2022 zur Änderung der Verordnung (EU) 2016/794 in Bezug auf die Zusammenarbeit von Europol mit privaten Parteien, die Verarbeitung personenbezogener Daten durch Europol zur Unterstützung strafrechtlicher Ermittlungen und die Rolle von Europol in Forschung und Innovation (ABl. L 169 vom 27.6.2022, S. 1).
Siehe Artikel 10 Absatz 1 Buchstabe q und Artikel 90 der Verordnung (EU) 2019/1896 des Europäischen Parlaments und des Rates vom 13. November 2019 über die Europäische Grenz- und Küstenwache und zur Aufhebung der Verordnungen (EU) Nr. 1052/2013 und (EU) 2016/1624 (ABl. L 295 vom 14.11.2019, S. 1), https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019R1896 .
Gemäß Artikel 61 Absatz 4 der EUStA-Verordnung dürfen bei einer eingeschränkten Verarbeitung „Daten – von ihrer Speicherung abgesehen – nur zum Schutz der Rechte der betroffenen Person oder einer anderen natürlichen oder juristischen Person, die an einem Verfahren der EUStA beteiligt ist, oder [für Beweiszwecke] verarbeitet werden“. Im entsprechenden Artikel 82 Absatz 3 der EU-DSVO heißt es, dass „[i]n ihrer Verarbeitung eingeschränkte Daten … nur zu dem Zweck verarbeitet werden [dürfen], der ihrer Löschung entgegenstand“, was die Aufbewahrung von Daten für Beweiszwecke einschließt, aber keinen Bezug auf den Schutz der Rechte der betroffenen oder einer anderen Person hat.
Die Erfahrungen in Bezug auf Eurojust und Europol sind nicht direkt auf die EUStA übertragbar, da das Mandat Letzterer nicht darin besteht, die Zusammenarbeit zwischen den nationalen Behörden zu fördern und zu verbessern, sondern darin, Verbrechen zu untersuchen und zu verfolgen, die die finanziellen Interessen der EU betreffen.
Artikel 2 Nummer 2 der EU-DSVO.
Dies betrifft z. B. die Pflicht zur Zusammenarbeit für die Verantwortlichen gemäß Artikel 32 der EU-DSVO, die Vorschriften über Datenschutzbeauftragte in den Artikeln 43 bis 45 der EU-DSVO, Artikel 31 der EU-DSVO über die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten sowie die Zusammenarbeit mit anderen Aufsichtsbehörden gemäß Artikel 61 der EU-DSVO.
Der spezifische Rechtsrahmen dieser Agenturen müsste weiterhin im Einklang mit den Anforderungen der EU-DSVO, z. B. Artikel 72 in Bezug auf die Bestimmung von Speicherfristen, festgelegt werden. Es wäre jedoch nicht erforderlich, die Rechte betroffener Personen oder die Befugnisse des EDSB zu regeln, es sei denn, der Gesetzgeber beschließt konkret, vom Ansatz der EU-DSVO abzuweichen.
Artikel 85 der EUStA-Verordnung, Artikel 40 der Eurojust-Verordnung und Artikel 43 der Europol-Verordnung.
Bestimmte Aufgaben des EDSB, die für Europol nicht relevant sind, z. B. die Festlegung von Standardvertragsklauseln, werden nicht aufgeführt.
Gemäß Artikel 85 Absatz 3 Buchstabe b der EUStA-Verordnung und Artikel 40 Absatz 3 Buchstabe b der Eurojust-Verordnung kann der EDSB bei einem behaupteten Verstoß gegen die Bestimmungen für die Verarbeitung operativer personenbezogener Daten nur die EUStA bzw. Eurojust mit der Angelegenheit befassen und gegebenenfalls Vorschläge zur Behebung dieses Verstoßes und zur Verbesserung des Schutzes der betroffenen Personen machen.
Siehe Artikel 10 Absatz 1 Buchstabe q und Artikel 90 der Frontex-Verordnung.
Gemäß Artikel 1 Absatz 3 der EU-DSVO hat der EDSB die Aufgabe, „die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Union [zu überwachen]“. Diese Bestimmung kann so ausgelegt werden, dass sie auch auf die Tätigkeiten Anwendung findet, die unter das Kapitel über Strafverfolgung fallen, jedoch wäre es zweckmäßig, dies deutlich zu machen, um für Rechtssicherheit zu sorgen.
Sollte die DSGVO zu einem späteren Zeitpunkt geändert werden, wird die Kommission die notwendigen Änderungen der EU-DSVO in Erwägung ziehen, damit beide Texte aufeinander abgestimmt bleiben.
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung von Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in den Organen, Einrichtungen und sonstigen Stellen der Union (COM(2022) 122 final).
Artikel 62 der EU-DSVO.
Gemäß Artikel 48 Absatz 2 Buchstabe b der EU-DSVO.
Nach Maßgabe von Artikel 42 der EU-DSVO.
Zwei davon erfolgten nach dem Inkrafttreten der EU-DSVO.
Stand 15. November 2021.
Dies umfasst auch Fälle, die durch eine gütliche Beilegung, eine Verweisung an einen DSB und sonstige Mittel geschlossen wurden.
Stand Mitte November 2021.
Im Rahmen der vorherigen Verordnung (EG) Nr. 45/2001 zählte der EDSB Konsultationen zu delegierten Rechtsakten und Durchführungsrechtsakten als informelle Bemerkungen. Ein gewisser Anteil der Bemerkungen, die 2018 unter informellen Bemerkungen aufgeführt wurden, hätte in den folgenden Jahren zu den formellen Bemerkungen gezählt.
Diese Zahlen wurden im Vergleich zu den Angaben im Beitrag des EDSB zum vorliegenden Bericht aktualisiert.