EUROPÄISCHE KOMMISSION
Brüssel, den 14.10.2022
COM(2022) 530 final
MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT
Erster Bericht über die Anwendung der Datenschutz-Grundverordnung durch die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union (Verordnung (EU) 2018/1725)
Inhalt
1
Einführung
2
Gesonderte Datenschutzvorschriften für die Organe, Einrichtungen und sonstigen Stellen der EU im Einklang mit dem EU-Datenschutzrecht
3
Umsetzung der EU-DSVO in den EU-Institutionen
3.1
Die Rolle der EU-Institutionen als Verantwortliche
3.2
Ausübung der Rechte betroffener Personen
3.3
Beschränkung der Rechte betroffener Personen durch interne Vorschriften
3.4
Datenschutzbeauftragte
3.5
Datenschutz-Folgenabschätzungen
3.6
Internationale Datenübermittlung
4
EDSB-Tätigkeiten
4.1
Der EDSB als Datenschutzaufsichtsbehörde für die EU-Institutionen
4.2
Der EDSB als Berater des EU-Gesetzgebers
4.3
Zusammenarbeit zwischen dem EDSB und den nationalen Datenschutzbehörden
4.4
Ressourcen des EDSB
5
Ausübung der Befugnisse zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten durch die Kommission
6
Datenschutzvorschriften für Einrichtungen und sonstige Stellen, die im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen tätig sind
6.1
Ausweitung der Anwendung des Kapitels über Strafverfolgung der EU-DSVO
6.2
Klärung der Anwendbarkeit einiger Bestimmungen der EU-DSVO auf die Verarbeitung operativer Daten
6.3
Kontrollbefugnisse des EDSB bezüglich der Einrichtungen und sonstigen Stellen der EU
7
Weiteres Vorgehen
ANHANG
1Einführung
Die Datenschutzverordnung für die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union (im Folgenden „EU-DSVO“) ist der wichtigste Datenschutzrahmen für die Organe, Einrichtungen und sonstigen Stellen der EU (im Folgenden „EU-Institutionen“), wenn diese personenbezogene Daten als Verantwortliche oder Auftragsverarbeiter verarbeiten. Die Verordnung bildet eine Säule der guten Regierungsführung und der guten Verwaltungspraxis auf EU-Ebene. Sie trat am 11. Dezember 2018 in Kraft, als ihre Vorläuferverordnung, die Verordnung (EG) Nr. 45/2001, durch sie aufgehoben und ersetzt wurde.
Die vorliegende Mitteilung enthält den ersten Bericht über die Anwendung der EU-DSVO gemäß Artikel 97 der Verordnung. Ferner geht es gemäß Artikel 98 der EU-DSVO um die Überprüfung der auf der Grundlage der Verträge erlassenen Rechtsakte, die die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der EU bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen fallen, regeln.
Die Kommission hat Informationen über die Anwendung der EU-DSVO gesammelt, indem die EU-Institutionen im Rahmen einer im Oktober 2021 durchgeführten Erhebung aufgefordert wurden, über ihre Erfahrungen in diesem Zusammenhang zu berichten. Insgesamt 56 EU-Institutionen übermittelten ihre Antworten, auf denen die entsprechenden Statistiken im vorliegenden Bericht beruhen. Der Europäische Datenschutzbeauftragte (EDSB) wurde in seiner Funktion als Aufsichtsbehörde gesondert um seinen Beitrag ersucht. Zuletzt nahm die Kommission auch eine Sondierung vor, durch die es der Öffentlichkeit ermöglicht wurde, ebenfalls Stellungnahmen abzugeben. Die Probleme, die in den wenigen Rückmeldungen im Rahmen der Sondierung angesprochen wurden, werden im vorliegenden Bericht behandelt.
Der vorliegende Bericht verortet die EU-DSVO im Rahmen des EU-Datenschutzrechts, stellt ihre Anwendung durch die EU-Institutionen sowie die Tätigkeiten des EDSB dar und dient der Analyse der Anwendung des Kapitels über die Einrichtungen und sonstigen Stellen der EU, die Tätigkeiten ausüben, die in den Anwendungsbereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen fallen. Abschließend wird im vorliegenden Bericht das weitere Vorgehen dargelegt.
2Gesonderte Datenschutzvorschriften für die Organe, Einrichtungen und sonstigen Stellen der EU im Einklang mit dem EU-Datenschutzrecht
Die wichtigsten Datenschutzinstrumente in der EU sind die Datenschutz-Grundverordnung (im Folgenden „DSGVO“), die Richtlinie zum Datenschutz bei der Strafverfolgung und die Datenschutzrichtlinie für elektronische Kommunikation. Sie gelten jedoch nicht für die Verarbeitung personenbezogener Daten durch die EU-Institutionen. Aus diesem Grund sind gesonderte, aber angeglichene Datenschutzvorschriften für die EU-Institutionen erforderlich. Diese Vorschriften sind in der EU-DSVO enthalten.
Um eine einheitliche Herangehensweise hinsichtlich des Schutzes personenbezogener Daten und des freien Verkehrs dieser Daten in der EU sicherzustellen, ist die EU-DSVO so weit wie möglich an die für den öffentlichen Dienst erlassenen Datenschutzbestimmungen angeglichen, die in der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vorgesehen sind. Soweit die EU-DSVO auf denselben Grundsätzen beruht wie die DSGVO, sollte sie einheitlich ausgelegt werden, da sie als der DSGVO gleichwertig verstanden werden sollte. Das Gleiche gilt für die Bestimmungen, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen sind.
Die EU-DSVO ist wie im Folgenden beschrieben an den spezifischen Kontext der EU-Institutionen angepasst.
·Da ausschließlich die EU-Institutionen als öffentliche Einrichtungen in den Anwendungsbereich der EU-DSVO fallen, wurden mehrere Bestimmungen der DSGVO weggelassen, die nur für den privaten Sektor relevant sind. Beispielsweise ist die Möglichkeit, sich bei der Verarbeitung auf die Rechtsgrundlage der „berechtigten Interessen“ des Verantwortlichen zu stützen, in der EU-DSVO nicht vorgesehen.
·Mehrere Befugnisse für die Kommission zum Erlass von Durchführungsrechtsakten oder delegierten Rechtsakten werden als solche nicht erneut wiedergegeben, da die EU-DSVO stattdessen auf die DSGVO oder die Richtlinie zum Datenschutz bei der Strafverfolgung verweist. Beispielsweise enthält die EU-DSVO keinen Mechanismus zur Verabschiedung von Angemessenheitsbeschlüssen für internationale Datenübermittlungen, jedoch können sich die EU-Institutionen auch auf Angemessenheitsbeschlüsse stützen, die gemäß der DSGVO oder der Richtlinie zum Datenschutz bei der Strafverfolgung erlassen wurden.
·Ferner wird das Amt des EDSB direkt durch die EU-DSVO geschaffen, wobei seine Aufgaben, Befugnisse und Ernennungsverfahren dargelegt werden. Im Fall der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung werden die jeweiligen Aufsichtsbehörden im Einklang mit den Anforderungen dieser beiden Rechtsakte nach nationalem Recht eingerichtet.
·Das Kapitel der EU-DSVO, das für Einrichtungen und sonstige Stellen der EU auf dem Gebiet der Strafverfolgung gilt, ist für diese der Richtlinie zum Datenschutz bei der Strafverfolgung funktional gleichwertig. Als unmittelbar anwendbare Verordnung ist die EU-DSVO jedoch anders formuliert. Das Kapitel enthält allgemeine Vorschriften, die erforderlichenfalls durch besondere Bestimmungen in den Rechtsakten zur Errichtung von in diesem Bereich tätigen Einrichtungen und sonstigen Stellen zu ergänzen sind. Es sieht unter Berücksichtigung der Besonderheiten dieses Sektors speziell zugeschnittene Regelungen für die Verarbeitung operativer personenbezogener Daten vor, beispielsweise die Vorschriften über die Unterrichtung betroffener Personen, die den Schutz von Ermittlungen sicherstellen.
3Umsetzung der EU-DSVO in den EU-Institutionen
3.1Die Rolle der EU-Institutionen als Verantwortliche
Die allgemeinen Rückmeldungen der EU-Institutionen zeigen, dass die EU-DSVO in den ersten Anwendungsjahren erfolgreich zur Stärkung der allgemeinen Datenschutzkultur in den EU-Institutionen beigetragen hat. Diesbezüglich gaben 94 % der EU-Institutionen an, dass das Inkrafttreten der EU-DSVO ihre Organisation teilweise oder in hohem Maße für die Datenschutzvorschriften sensibilisiert hat. Im Allgemeinen berichteten die EU-Institutionen, dass die EU-DSVO sich positiv auf ihre Datenschutzpolitik ausgewirkt hat und dass ihr Personal mittlerweile stärker für die Rechenschaftspflicht ihrer Organisation als Verantwortliche und die Anforderungen an die Verarbeitung personenbezogener Daten sensibilisiert ist.
Die EU-Institutionen erwähnten die Durchführung von Datenschutz-Folgenabschätzungen, die Erkennung von Datenschutzverletzungen und den Umgang mit diesen sowie die Berücksichtigung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen als wichtigste Auswirkungen der EU-DSVO im Vergleich zur aufgehobenen Verordnung (EG) Nr. 45/2001. Die EU-DSVO sorgt wie auch die DSGVO für eine stärkere Transparenz, in den Fällen, wenn mehrere Organisationen als gemeinsam Verantwortliche zusammen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Der EDSB hat zu diesem Thema Leitlinien vorgelegt, und die Kommission hat interne Vorlagen für Vereinbarungen über die gemeinsame Verantwortung entwickelt.
Die zusätzlichen Erfordernisse der Rechenschaftspflicht für die EU-Institutionen, die zum Nachweis der Einhaltung der Bestimmungen der EU-DSVO notwendig sind, wurden grundsätzlich begrüßt, jedoch stellten einige EU-Institutionen fest, dass die Vorschriften der EU-DSVO zu einer größeren Arbeitsbelastung geführt haben. Sie wiesen außerdem darauf hin, dass in der EU-DSVO relativ komplexe Vorschriften dargelegt werden, was bedeutet, dass mehr Fachwissen in den EU-Institutionen erforderlich ist, einschließlich seitens ihrer Datenschutzbeauftragten (DSB) sowie der Netze der Datenschutzkoordinatoren (DSK) in den EU-Institutionen, die über solche Netze verfügen.
Alle bis auf zwei EU-Institutionen führen ihre Verzeichnisse der Verarbeitungen in einem zentralen Register. Dies ist zwar keine spezifische Anforderung im Rahmen der EU-DSVO, jedoch ein bewährtes Verfahren, das auch vom EDSB empfohlen wird. Ferner haben 72 % der EU-Institutionen alle ihre Meldungen beim behördlichen DSB gemäß der vorherigen Verordnung in ein Verzeichnis aufgenommen. Diejenigen, die dies noch nicht getan haben, sollten die Dokumentation ihrer Verarbeitungen überprüfen und aktualisieren, um sicherzustellen, dass sie vollständig und auf dem neuesten Stand ist.
3.2Ausübung der Rechte betroffener Personen
Die EU-DSVO stattet betroffene Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten mit einem breiten Spektrum an Rechten aus, die mit der DSGVO im Einklang stehen. Die EU-Institutionen als Verantwortliche haben eine spezifische Verpflichtung, die Ausübung dieser Rechte zu erleichtern. Entsprechend gaben 96 % der EU-Institutionen an, dass sie Sensibilisierungsmaßnahmen durchgeführt haben, etwa durch die Aktualisierung von öffentlich zugänglichen Informationen über ihre Verarbeitungsvorgänge, Informationsmeldungen oder Leitfäden für betroffene Personen.
Mehrere EU-Institutionen, etwa die Kommission, die Europäische Zentralbank und der Europäische Auswärtige Dienst, meldeten einen klaren Anstieg der Anträge von Einzelpersonen zwischen 2018 und 2021. Bei anderen, etwa dem Gerichtshof der Europäischen Union, dem Europäischen Wirtschafts- und Sozialausschuss und der Asylagentur der Europäischen Union, waren die Zahlen jedoch stabil oder schwankten ohne einen eindeutigen Trend. Es ist noch nicht möglich, nach dem Inkrafttreten der EU-DSVO einen eindeutigen Trend bei der Zahl der Anträge betroffener Personen zu erkennen, da die Art und Weise, wie die verschiedenen Arten von Anträgen erfasst werden, je nach EU-Institution unterschiedlich ist.
3.3Beschränkung der Rechte betroffener Personen durch interne Vorschriften
Ähnlich wie in der DSGVO ist auch in der EU-DSVO vorgesehen, dass bestimmte Rechte betroffener Personen beschränkt werden können. Dies kann durch Gesetzgebungsakte und interne Vorschriften erfolgen. Für solche internen Vorschriften gelten strenge Kriterien. Sie müssen klar und präzise und ihre Anwendung muss für die ihnen unterliegenden Personen vorhersehbar sein. Die Vorschriften müssen im Amtsblatt veröffentlicht werden und mit der Charta der Grundrechte und mit der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten im Einklang stehen.
Die auf internen Vorschriften beruhenden Beschränkungen können nur die Tätigkeit der EU-Institutionen betreffen. Sie müssen die Grundrechte achten, in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahmen darstellen und darauf abzielen, eines der Ziele sicherzustellen, die in der EU-DSVO konkret aufgeführt sind. Betroffene Personen, deren Rechte beschränkt wurden, haben ein Beschwerderecht beim EDSB.
Eine große Mehrheit (84 %) der EU-Institutionen hat interne Vorschriften erlassen. Beispielsweise wurden solche Vorschriften eingeführt, um es zu ermöglichen, die Unterrichtung einer Person zurückzustellen, bezüglich derer eine interne Verwaltungsuntersuchung eingeleitet wurde. In anderen Fällen bestand das Ziel solcher Vorschriften darin, sicherzustellen, dass in den Bereichen, in denen sich die Tätigkeiten der EU-Institutionen auf Informationen der zuständigen Behörden der Mitgliedstaaten stützen, eine wirksame Zusammenarbeit mit den Mitgliedstaaten fortgeführt wird. Beispielsweise sehen die von der Kommission erlassenen internen Vorschriften über die Verarbeitung personenbezogener Daten im Rahmen ihrer Tätigkeiten im Bereich des Wettbewerbs und der Betrugsbekämpfung und ihrer internen Audittätigkeiten die Möglichkeit vor, Beschränkungen der Rechte betroffener Personen einzuführen, wenn personenbezogene Daten von den zuständigen Behörden der Mitgliedstaaten erlangt werden. Nach diesen Vorschriften ist es möglich, ähnliche Beschränkungen zu verhängen, wenn nationale Behörden Beschränkungen auf der Grundlage einer Gesetzgebungsmaßnahme verhängt haben, die gemäß der DSGVO oder der Richtlinie zum Datenschutz bei der Strafverfolgung möglich ist.
Von den EU-Institutionen erlassene interne Vorschriften, die die Beschränkung der Rechte betroffener Personen ermöglichen, werden für gewöhnlich auf Einzelfallbasis angewandt, wie dies in den jeweiligen internen Vorschriften vorgesehen ist. 69 % der EU-Institutionen, die über Vorschriften nach Artikel 25 verfügen, berichten jedoch, dass sie noch keinen Gebrauch von diesen gemacht haben. Mit Ausnahme des Europäischen Parlaments und der Kommission haben diejenigen EU-Institutionen, die die Vorschriften angewandt haben, nach eigenen Angaben in weniger als zehn Fällen Beschränkungen verhängt. Bei den Tätigkeiten des OLAF sind Beschränkungen häufiger notwendig gewesen, insbesondere, um die Unterrichtung betroffener Personen über die Verarbeitung ihrer personenbezogenen Daten zu einem noch frühen Zeitpunkt einer Ermittlung zurückzustellen, damit die Erhebung von Beweismitteln nicht beeinträchtigt wird. Das OLAF wandte auch einige Beschränkungen in Bezug auf Anträge betroffener Personen auf Auskunft über ihre eigenen personenbezogenen Daten an, wobei diese Anträge nur abgelehnt wurden, um die Rechte und Freiheiten anderer Personen zu schützen, z. B., wenn die Offenlegung der Daten Repressalien für einen Hinweisgeber hätte nach sich ziehen können.
Die EU-Institutionen sind in der Regel gemäß ihren internen Vorschriften verpflichtet, ihren DSB alle angewandten Beschränkungen mitzuteilen und ihnen Zugang zu allen Aufzeichnungen und Dokumenten zu gewähren, die diese Beschränkungen betreffen.
3.4Datenschutzbeauftragte
Die Verpflichtung, dass jede EU-Institution über einen DSB verfügen muss, wurde bereits in der vorherigen Verordnung (EG) Nr. 45/2001 festgelegt. Im Rahmen der EU-DSVO wurde diese Funktion deutlicher herausgestellt, indem der Grundsatz der Rechenschaftspflicht eingeführt wurde. Das bedeutet, dass der Verantwortliche für die Einhaltung der Datenschutzvorschriften verantwortlich ist und deren Einhaltung nachweisen können muss.
In 46 % der EU-Institutionen werden die DSB durch Netze von DSK oder ähnliche Strukturen unterstützt. Größere EU-Institutionen verfügen häufiger über solche Netze (z. B. das Europäische Parlament, das Generalsekretariat des Rates, die Kommission und der Europäische Auswärtige Dienst [EAD]). Der EAD organisiert und unterhält zudem ein Netz von Datenschutzkorrespondenten in den EU-Delegationen.
Mehrere EU-Institutionen stellten eine Zunahme der Aufgaben und der Arbeitsbelastung ihrer DSB (und demzufolge auch ihrer DSK) fest. Sie gaben an, dass den DSB (und DSK) mehr Ressourcen zur Verfügung gestellt werden müssen, um sicherzustellen, dass sie die Datenschutzvorkehrungen ihrer jeweiligen EU-Institution wirksam umsetzen können. Ferner wurde darauf hingewiesen, dass die Unabhängigkeit der DSB gewährleistet werden muss.
In diesem Kontext spielen zwei Trends eine Rolle. Zum einen legt die EU-DSVO den Schwerpunkt stärker auf die Rechenschaftspflicht des Verantwortlichen, z. B. durch die Streichung des Verfahrens der Vorabkontrolle, das im Rahmen der vorherigen Verordnung (EG) Nr. 45/2001 bestand, wodurch der Verwaltungsaufwand verringert wird. Zum anderen bitten die Verantwortlichen die DSB/DSK häufiger um Beratung, wie die EU-DSVO am besten eingehalten werden kann. Diesbezüglich wurde darauf hingewiesen, dass das Netz der DSB der EU-Institutionen als wichtiges Forum zur Erörterung und Klarstellung bestimmter rechtlicher und technischer Aspekte fungiert, die spezifisch für die Datenverarbeitung durch die EU-Institutionen sind. Dieses Netz bietet eine Plattform für den Austausch zwischen den DSB und dem EDSB sowie zwischen den DSB untereinander. Es arbeitet kontinuierlich zusammen und trifft sich in der Regel zweimal im Jahr.
Mehr als die Hälfte (54 %) der EU-Institutionen hat weitere Ressourcen für ihre DSB und allgemein für Datenschutzfunktionen bereitgestellt. Die meisten EU-Institutionen (84 %) haben ihre internen Verfahren angepasst, um sicherzustellen, dass ihr Personal die DSB über neue Verarbeitungsvorgänge personenbezogener Daten unterrichtet und sie dazu konsultiert. Dies erfolgt in der Regel dadurch, dass DSB beispielsweise in Änderungsmanagementprozesse oder Projektlenkungsausschüsse einbezogen werden.
3.5Datenschutz-Folgenabschätzungen
Die meisten Datenschutz-Folgenabschätzungen (DSFA) wurden von der Europäischen Zentralbank, der Europäischen Investitionsbank und der Kommission vorgenommen. Im Vergleich zum vorherigen System der „Vorabkontrolle“ nach der Verordnung (EG) Nr. 45/2001 wurden dem EDSB deutlich weniger Fälle übermittelt. Damit war infolge dieser Änderung und der selteneren Konsultationen des EDSB zu administrativen Verarbeitungsvorgängen, etwa im Rahmen der Mitarbeiterbeurteilung, zu rechnen.
Tabelle 1 im Anhang bietet einen Überblick über die DSFA, die von den EU-Institutionen zwischen 2019 und 2021 durchgeführt wurden.
Fast alle EU-Institutionen (94 %) waren sich darin einig, dass die Kriterien der EU-DSVO in Bezug darauf, wann DSFA durchgeführt werden müssen, Verarbeitungsvorgänge mit hohem Risiko angemessen abdecken. Diejenigen, die eine andere Auffassung vertraten, betonten, dass der EDSB bei der Auslegung dieser Kriterien die technologische Entwicklung berücksichtigen müsse. Beispielsweise sei das Cloud-Computing keine „neue“ Technologie mehr, was bei der Beurteilung, ob DSFA durchgeführt werden müssen, beachtet werden sollte. Die meisten EU-Institutionen, die diesen Punkt erwähnten, sind der Ansicht, dass der Rechtstext selbst ausreichend klar sei und dass es hierbei um die Auslegung des EDSB gehe.
Die EU-DSVO enthält keine spezifische Verpflichtung, die Ergebnisse von DSFA zu veröffentlichen. Eine große Mehrheit (84 %) der EU-Institutionen veröffentlicht die durchgeführten DSFA nicht, während 14 % die DSFA teilweise oder als Zusammenfassung veröffentlichen und dabei Informationen entfernen, die geltende Sicherheitsvorkehrungen beeinträchtigen könnten. Nur eine EU-Institution gab an, dass sie ihre DSFA vollständig veröffentlicht. Die Veröffentlichung von DSFA, wobei erforderlichenfalls Informationen gestrichen werden, die die Sicherheit der Verarbeitungsvorgänge gefährden würden, verbessert die Transparenz hinsichtlich der Einhaltung der Vorschriften der EU-DSVO durch die EU-Institutionen und stellt ein bewährtes Verfahren dar, das vom EDSB empfohlen wird.
3.6Internationale Datenübermittlung
Fast alle EU-Institutionen (91 %) berichteten, dass im Rahmen ihrer Tätigkeiten personenbezogene Daten international übermittelt werden. Dies umfasst die Datenübermittlung an Nicht-EU- und Nicht-EWR-Länder sowie internationale Organisationen. Mehrere EU-Institutionen wiesen jedoch darauf hin, dass diese Übermittlungen selten sind oder nur eine begrenzte Menge personenbezogener Daten betreffen. Was die Übermittlungsinstrumente angeht, so verwiesen die EU-Institutionen zumeist auf Angemessenheitsbeschlüsse (die gemäß der DSGVO oder der Richtlinie zum Datenschutz bei der Strafverfolgung verabschiedet wurden) und vertragliche Instrumente, beispielsweise für die Datenübermittlung an private Unternehmen. Bei der Datenübermittlung an öffentliche Stellen spielen auch andere Instrumente eine Rolle, etwa rechtsverbindliche Übereinkünfte und Verwaltungsvereinbarungen. Darüber hinaus erwähnten 51 % der EU-Institutionen, dass sie, beispielsweise zur Organisation von Schulungen, begrenzte, gelegentliche Übermittlungen durchführen, die auf den gesetzlichen Gründen für die Datenübermittlung (den „Ausnahmen“) beruhen.
In der Praxis erfolgt die Datenübermittlung für gewöhnlich nicht direkt durch die EU-Institutionen, sondern durch die in ihrem Namen handelnden Auftragsverarbeiter (die keine EU-Institutionen sind). Die Kommission ist daher in den im Juni 2021 gemäß der DSGVO erlassenen Standardvertragsklauseln speziell auf dieses Szenario eingegangen, um die Verantwortlichen und Auftragsverarbeitern bei der Erfüllung der Anforderungen sowohl der DSGVO als auch der EU-DSVO zu unterstützen. Insbesondere haben Auftragsverarbeiter im Europäischen Wirtschaftsraum (EWR) die Möglichkeit, diese Standardvertragsklauseln für die internationale Datenübermittlung in die Verträge mit ihren Unterauftragsverarbeitern in Drittländern aufzunehmen. Dies gewährleistet die Einhaltung der Vorschriften der EU-DSVO in Bezug auf die Inanspruchnahme der Dienste von Unterauftragsverarbeitern im Auftrag der EU-Institutionen, sofern die Datenschutzpflichten in den Verträgen zwischen i) der EU-Institution und dem Auftragsverarbeiter sowie ii) dem Auftragsverarbeiter und seinem Unterauftragsverarbeiter angeglichen sind. Die EU-Institutionen können eine solche Angleichung insbesondere sicherstellen, indem sie die Standardvertragsklauseln verwenden, die von der Kommission für die Beziehung zwischen Verantwortlichen und Auftragsverarbeitern erlassen wurden.
Um zusätzliche Instrumente zu bieten, mit denen geeignete Garantien für direkte Datenübermittlungen der EU-Institutionen an Drittländer (d. h. ohne die Beteiligung eines EU-/EWR-Auftragsverarbeiters) sichergestellt werden, entwickelt die Kommission derzeit Standardvertragsklauseln gemäß Artikel 48 Absatz 2 Buchstabe b der EU-DSVO. Diese Klauseln werden so weit wie möglich an die bestehenden Klauseln angeglichen werden, die gemäß der DSGVO erlassen wurden.
Schließlich arbeitet die Kommission angesichts der spezifischen Fragen, die sich im Zusammenhang mit der Übermittlung personenbezogener Daten an internationale Organisationen stellen (etwa aufgrund ihres Status und der geltenden Vorrechte und Befreiungen), mit den DSB der EU-Institutionen zusammen, um spezielle Instrumente (z. B. Verwaltungsvereinbarungen) zu entwickeln, die an solche Übermittlungen angepasst sind.
4EDSB-Tätigkeiten
4.1Der EDSB als Datenschutzaufsichtsbehörde für die EU-Institutionen
Der EDSB ist die unabhängige Datenschutzaufsichtsbehörde der EU-Institutionen und hinsichtlich seiner Funktion mit den nationalen Datenschutzaufsichtsbehörden vergleichbar, die gemäß der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung in den Mitgliedstaaten eingerichtet wurden.
Tabelle 2 im Anhang bietet einen Überblick über die Aufsichtstätigkeiten des EDSB zwischen 2018 und 2021. Da die EU-DSVO am 11. Dezember 2018 in Kraft trat, bieten die Zahlen für 2018 eine Grundlage für den Vergleich mit der Situation im Rahmen der vorherigen Verordnung (EG) Nr. 45/2001.
Der EDSB stellte bei den Themen der Konsultationsersuchen seitens der EU-Institutionen seit dem Inkrafttreten der EU-DSVO eine Verlagerung hin zu den Kerntätigkeiten der EU-Institutionen fest. Konkret war eine Verlagerung von „administrativen“ Themen wie der Personalverwaltung hin zu Fragen über die Verarbeitung personenbezogener Daten für die Erfüllung von den EU-Institutionen übertragenen Aufgaben im öffentlichen Interesse zu beobachten.
Die Zahl der unzulässigen Beschwerden, die beim EDSB eingingen, ist zwischen 2019 und 2021 gestiegen. Die meisten Beschwerden, die für unzulässig befunden wurden, richteten sich gegen Verantwortliche in den Mitgliedstaaten, die nicht durch den EDSB beaufsichtigt werden, sondern durch ihre nationalen Datenschutzbehörden. Die Zahlen für 2018 waren vermutlich aufgrund des Inkrafttretens der DSGVO höher. Dies führte zu einem stärkeren Bewusstsein für die Datenschutzvorschriften in der Bevölkerung, aber auch zu einer Zunahme der unzulässigen Beschwerden. Der EDSB kann ferner zulässige Beschwerden schließen, wenn eine einvernehmliche Lösung gefunden wurde.
In Bezug auf Kontrollen und Prüfungen wurde 2019 ein Anstieg im Vergleich zum Ausgangswert von 2018 verzeichnet, gefolgt von einem Rückgang in den Jahren 2020 und 2021. Dies kann dadurch erklärt werden, dass Vor-Ort-Kontrollen durch die COVID-19-Pandemie erschwert wurden und dass stattdessen Fernprüfungen vorgenommen wurden. Der EDSB bewertet Risiken, um zu entscheiden, welche EU-Institutionen kontrolliert werden sollen. Hierbei wird beispielsweise die Anzahl der Konsultationen berücksichtigt, vor allem, wenn besondere Kategorien von Daten im Rahmen der Kerntätigkeit einer EU-Institution verarbeitet werden. Der EDSB kann außerdem beschließen, von sich aus Untersuchungen durchzuführen, z. B. zur Nutzung von Cloud-Diensteanbietern durch eine EU-Institution.
Bei Datenschutzverletzungen war dem EDSB zufolge in den meisten Fällen menschliches Fehlverhalten die zugrunde liegende Ursache, gefolgt von technischen Fehlern und Angriffen von außen.
Der EDSB hat von den meisten seiner Befugnisse gemäß der EU-DSVO Gebrauch gemacht, einschließlich der Verhängung vorübergehender Verbote von Verarbeitungsvorgängen. Seine neue Befugnis zur Verhängung von Geldbußen hat er bisher nicht ausgeübt, wobei diese Maßnahme in der EU-DSVO als letztes Mittel vorgesehen ist.
Der EDSB wies in seinem Beitrag zum vorliegenden Bericht ferner darauf hin, dass er in Sensibilisierungsmaßnahmen investiert hat, etwa in Schulungen, wobei 2019 nach dem Inkrafttreten der EU-DSVO ein Höchstwert von geschätzt mehr als 4600 Teilnehmern verzeichnet wurde. Die Teilnehmerzahlen gingen zwar seitdem in den Jahren 2020 und 2021 zurück, jedoch sind sie noch immer deutlich höher als der Ausgangswert von geschätzten 1000 Teilnehmern im Jahr 2018.
Die EU-Institutionen gaben größtenteils positive Rückmeldungen über die Interaktion mit dem EDSB und die von ihm erhaltenen Weisungen, wobei 86 % angaben, dass die Antworten immer oder meistens leicht verständlich waren. Die EU-Institutionen begrüßten auch die verstärkten Kontakte des EDSB mit dem DSB-Netz.
Einige EU-Institutionen waren jedoch der Ansicht, dass die Empfehlungen des EDSB teilweise zu spät eingingen. Sie betonten, wie wichtig die weitere Unterstützung und Beratung durch den EDSB sei, und forderten rechtzeitige und praktische Weisungen für bestimmte Datenschutzbelange. Zu diesen Belangen gehören unter anderem die Umsetzung des risikobasierten Ansatzes für die Verantwortlichen, die internationale Datenübermittlung und die Beziehung zwischen Verantwortlichen (auch gemeinsam Verantwortlichen) und ihren Auftragsverarbeitern.
4.2Der EDSB als Berater des EU-Gesetzgebers
Die Kommission konsultiert den EDSB formell, insbesondere in Bezug auf Gesetzgebungsvorschläge mit Auswirkungen auf die Verarbeitung personenbezogener Daten nach ihrer Annahme durch das Kollegium. Der EDSB antwortet mit Stellungnahmen oder Bemerkungen auf diese Konsultationen. Er gibt außerdem Initiativstellungnahmen ab, etwa seine vorläufige Stellungnahme zum Europäischen Raum für Gesundheitsdaten. Ist ein Vorschlag für den Datenschutz von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss (EDSA) konsultieren. In diesem Fall sollten der EDSB und der EDSA eine gemeinsame Stellungnahme abgeben, damit der EU-Gesetzgeber kohärente Empfehlungen erhält.
Die Kommission konsultiert den EDSB auch informell, bevor Rechtsakte, die den Konsultationspflichten unterliegen, vom Kollegium angenommen werden. Der EDSB antwortet auf solche Konsultationen, indem er der Kommission informelle Bemerkungen übermittelt. Diese Möglichkeit trägt dazu bei, dass die Rechtsakte der Kommission vor ihrer Annahme vollständig mit den Datenschutzvorschriften im Einklang stehen. Informelle Konsultationen werden insbesondere bei Rechtsakten genutzt, die sensibel sind oder erheblichere Auswirkungen auf den Datenschutz haben.
Die Tätigkeit des EDSB als Berater des EU-Gesetzgebers hängt von der Anzahl der neuen Vorschläge ab, die von der Kommission vorbereitet werden. Nach geringeren Zahlen im letzten Jahr der scheidenden Kommission ist der beträchtliche Anstieg der formellen Bemerkungen im Jahr 2021 darauf zurückzuführen, dass die Zahl der Gesetzgebungsvorschläge zugenommen hat und die Kommission bestrebt war, für eine konsequente Umsetzung der Verpflichtung zur Konsultation des EDSB zu sorgen. Dies betrifft auch Durchführungsrechtsakte und delegierte Rechtsakte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Nach dem Inkrafttreten der EU-DSVO erarbeitete das Generalsekretariat der Kommission Verfahrensweisen für die Konsultation des EDSB und sensibilisierte die Dienststellen für die diesbezügliche Verpflichtung. Dies führte dazu, dass Konsultationen systematischer durchgeführt wurden, auch für Durchführungsrechtsakte und delegierte Rechtsakte. Für Planungszwecke halten der EDSB und die Kommissionsdienststellen jährliche Treffen zum kommenden Arbeitsprogramm und zu den Vorschlägen ab, die eine Konsultation erfordern werden.
4.3Zusammenarbeit zwischen dem EDSB und den nationalen Datenschutzbehörden
Der EDSB ist ein Mitglied des EDSA und stellt ein Sekretariat für diesen bereit. Er arbeitet auch auf andere Weise mit den nationalen Aufsichtsbehörden zusammen, wenn es um die Wahrnehmung ihrer jeweiligen Aufgaben geht. Beispiele dieser Zusammenarbeit betreffen die Weiterleitung von Beschwerden an die zuständige Datenschutzaufsichtsbehörde oder Fälle im Zusammenhang mit externen Dienstleistern, deren Dienste sowohl von EU-Institutionen als auch von Verantwortlichen, die der DSGVO unterliegen, in Anspruch genommen werden. Der EDSB trägt ferner aktiv zur Arbeit des EDSA bei, indem er bestimmte Funktionen übernimmt, beispielsweise als Haupt- oder Mitberichterstatter für Leitlinien, oder auf sonstige Weise einen Beitrag leistet.
Bei einigen IT-Großsystemen und nach dem EU-Recht eingerichteten Agenturen ist es erforderlich, dass der EDSB und die nationalen Aufsichtsbehörden im Rahmen ihrer jeweiligen Zuständigkeiten aktiv zusammenarbeiten, um eine koordinierte Aufsicht zu gewährleisten. In der Vergangenheit enthielten die Gründungsrechtsakte der einzelnen Systeme oder Agenturen spezifische Bestimmungen zu diesem Zweck. Die EU-DSVO schafft ein harmonisiertes System für diese Koordinierung der Aufsicht, auf das in anderen Rechtsakten verwiesen werden kann. Diese Verweise finden sich in Bezug auf das Binnenmarktinformationssystem, das ECRIS-TCN, Eurojust und seit Kurzem auch Europol. In den Rechtsakten zur Einrichtung anderer Systeme finden sich noch immer Koordinierungsgruppen für die Aufsicht mit detaillierten Vorschriften oder detaillierte Verweise auf Sitzungen im Rahmen des EDSA.
Der EDSB trägt auch zum Schengen-Evaluierungsmechanismus bei, der mit der Verordnung (EU) Nr. 1053/2013 des Rates eingeführt wurde. Gemäß dieser Verordnung kann die Kommission den EDSB auffordern, einen Beobachter für eine Ortsbesichtigung zu benennen, die einen in sein Mandat fallenden Bereich betrifft, z. B. Datenschutzevaluierungen. Somit haben Frontex und Europol die Möglichkeit, Beobachter für Evaluierungen der Grenzverwaltung bzw. der polizeilichen Zusammenarbeit zu benennen. Nach Ansicht der Kommission ist das Fachwissen der Beobachter des EDSB bei Datenschutzevaluierungen von großem Nutzen.
4.4Ressourcen des EDSB
Die Anzahl der Mitarbeiter des EDSB (einschließlich des EDSA-Sekretariats) ist im Berichtszeitraum stetig gestiegen, was den allgemeinen Trend in den nationalen Datenschutzaufsichtsbehörden widerspiegelt. Die Tätigkeiten des EDSA-Sekretariats haben im Laufe der Zeit zugenommen, wobei immer mehr Leitlinien, Empfehlungen, Stellungnahmen und andere Dokumente des EDSA veröffentlicht wurden, zu denen das Sekretariat beiträgt. Die Bereitstellung ausreichender Ressourcen für das EDSA-Sekretariat ist von wesentlicher Bedeutung, da es vermutlich eine stärkere Rolle bei der wirksamen Durchsetzung der DSGVO einnehmen wird. Dies betrifft insbesondere das Ziel des EDSA, eine engere Zusammenarbeit bei der strategischen Arbeit zu entwickeln und neue Instrumente zu nutzen, mit denen die Zusammenarbeit zwischen den Datenschutzbehörden gefördert wird. Vor allem ist ein starkes und gut ausgestattetes Sekretariat zur Unterstützung der Arbeit des EDSA von entscheidender Bedeutung, um sicherzustellen, dass der EDSA seine Arbeit wie vorgesehen durchführen kann, besonders im Kontext des Kohärenzverfahrens, dessen Nutzung weiter zunehmen dürfte.
In seinem Beitrag zum vorliegenden Bericht wies der EDSB insbesondere darauf hin, dass, sollte er mit zusätzlichen Aufgaben betraut werden, z. B. als Marktüberwachungsbehörde gemäß dem Vorschlag für das Gesetz über künstliche Intelligenz, er entsprechende zusätzliche Ressourcen erhalten sollte.
5Ausübung der Befugnisse zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten durch die Kommission
Die EU-DSVO enthält mehrere Befugnisse zum Erlass von Durchführungsrechtsakten und zur Festlegung von Standardvertragsklauseln für die Kommission sowie Verweise auf Befugnisse gemäß der DSGVO.
In der EU-DSVO finden sich Bestimmungen, mit denen der Kommission die Befugnis übertragen wird, Standardvertragsklauseln im Bereich des Datenschutzes für Verträge zwischen Verantwortlichen und Auftragsverarbeitern festzulegen, wobei eine entsprechende Befugnis auch in der DSGVO vorgesehen ist. Die Kommission machte von dieser Befugnis Gebrauch und erließ im Juni 2021 Standardvertragsklauseln zu den Beziehungen zwischen Verantwortlichen und Auftragsverarbeitern, die sowohl die DSGVO als auch die EU-DSVO abdeckten. Mit diesen Klauseln werden den Verantwortlichen einfache Instrumente an die Hand gegeben, um die Beziehungen zu ihren Auftragsverarbeitern wirksam zu gestalten.
Ferner ist die Kommission gemäß der EU-DSVO befugt, Standarddatenschutzklauseln für Verträge zu erlassen, um geeignete Garantien für die Übermittlung personenbezogener Daten an Länder außerhalb der EU bzw. des EWR vorzusehen. Diese Klauseln werden von der Kommission derzeit vorbereitet.
6Datenschutzvorschriften für Einrichtungen und sonstige Stellen, die im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen tätig sind
Kapitel IX der EU-DSVO (im Folgenden „Kapitel über Strafverfolgung“) enthält Vorschriften für die Verarbeitung operativer personenbezogener Daten durch EU-Institutionen bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen fallen. Es zielt auf eine Verringerung der Fragmentierung ab, und zwar
·zwischen den Datenschutzregelungen für die Verarbeitung operativer Daten durch die EU-Agenturen in diesem Bereich sowie
·im Hinblick auf die Datenschutzregelungen für einzelstaatliche Strafverfolgungstätigkeiten gemäß der Richtlinie zum Datenschutz bei der Strafverfolgung.
Zu diesem Zweck sieht das Kapitel über Strafverfolgung der EU-DSVO eine Reihe horizontaler Vorschriften vor, die auf der Richtlinie zum Datenschutz bei der Strafverfolgung beruhen. Diese Vorschriften können erforderlichenfalls durch besondere Vorschriften in den Gründungsrechtsakten der Agenturen ergänzt werden, abhängig von ihren jeweiligen Mandaten und vom spezifischen Charakter ihrer Aufgaben und Datenverarbeitungsvorgänge.
Gemäß der EU-DSVO ist es notwendig, einen einheitlichen und kohärenten Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sicherzustellen. Zu diesem Zweck wird in der EU-DSVO ausdrücklich auf das Ziel hingewiesen, die Anwendung ihres Kapitels über Strafverfolgung auf Agenturen auszuweiten, deren Gründungsrechtsakte zum Zeitpunkt der Annahme der EU-DSVO gesonderte Datenschutzrahmen umfassten, nämlich Europol und die Europäische Staatsanwaltschaft (EUStA). Ferner wird in der EU-DSVO auf die mögliche Änderung des Kapitels über Strafverfolgung verwiesen, sollte dies erforderlich sein.
6.1Ausweitung der Anwendung des Kapitels über Strafverfolgung der EU-DSVO
Zum Zeitpunkt der Erstellung des vorliegenden Berichts fand das Kapitel über Strafverfolgung der EU-DSVO Anwendung auf die Verarbeitung operativer personenbezogener Daten durch
·Eurojust, ergänzt durch besondere Vorschriften in der Eurojust-Verordnung,
·Europol, ergänzt durch besondere Vorschriften in der Europol-Verordnung, die seit dem Inkrafttreten der EU-DSVO geändert wurde, sowie
·Frontex in Bezug auf den geringen Teil ihrer Tätigkeiten, der in den Bereich der Strafverfolgung fällt.
Das Kapitel über Strafverfolgung der EU-DSVO findet jedoch noch keine Anwendung auf die EUStA, deren Gründungsverordnung vor der EU-DSVO angenommen wurde. Die EUStA-Verordnung sieht eigenständige Regelungen für die Verarbeitung operativer Daten vor. Dies hat zwei Konsequenzen: Erstens unterscheiden sich einige Bestimmungen in der EUStA-Verordnung grundsätzlich vom Kapitel über Strafverfolgung der EU-DSVO, etwa im Hinblick auf die „eingeschränkte“ Verarbeitung personenbezogener Daten. Zweitens sind manche Bestimmungen der EUStA-Verordnung zwar grundsätzlich ähnlich wie die Bestimmungen im Kapitel über Strafverfolgung der EU-DSVO, aber anders formuliert, was unterschiedliche Auslegungen zur Folge haben könnte.
Im Interesse der Einheitlichkeit und im Einklang mit dem allgemeinen Ziel, die Fragmentierung der Datenschutzvorschriften zu minimieren, sollte bezüglich der EUStA eine ähnliche Herangehensweise wie bei Eurojust und Europol verfolgt werden. Das Ziel besteht darin, für die unmittelbare Anwendbarkeit des Kapitels über Strafverfolgung der EU-DSVO auf die EUStA zu sorgen und dabei lediglich erforderliche Spezifikationen in der EUStA-Verordnung beizubehalten. Gleichzeitig ist es angesichts der Tatsache, dass die EUStA erst seit einem Jahr tätig ist, kurzfristig nach wie vor notwendig, weitere Erkenntnisse zur praktischen Anwendung der Datenschutzregelungen der EUStA-Verordnung zu sammeln. Dadurch können die erwähnten Spezifikationen unter Berücksichtigung des Charakters der EUStA als unabhängige Staatsanwaltschaft der EU genau ermittelt werden.
6.2Klärung der Anwendbarkeit einiger Bestimmungen der EU-DSVO auf die Verarbeitung operativer Daten
Die EU-DSVO sieht vor, dass „[n]ur Artikel 3 [(die Begriffsbestimmungen)] und Kapitel IX [(das Kapitel über Strafverfolgung)] dieser Verordnung … für die Verarbeitung operativer personenbezogener Daten [gelten]“.
Das Kapitel über Strafverfolgung enthält materielle Bestimmungen, die den meisten Bestimmungen der Kapitel II bis V der EU-DSVO (in Bezug auf allgemeine Grundsätze, Rechte betroffener Personen, bestimmte Pflichten von Verantwortlichen und Auftragsverarbeitern und die internationale Datenübermittlung) entsprechen, wobei es einige Unterschiede gibt, um den Besonderheiten der Strafverfolgung Rechnung zu tragen (z. B. in Bezug auf Vorschriften über die Unterrichtung betroffener Personen und ihr Recht auf Auskunft über ihre Daten).
Es ist wichtig, dass durch eine Änderung der EU-DSVO klargestellt wird, dass das Kapitel über Strafverfolgung nur für die entsprechenden Bestimmungen anderer Kapitel der EU-DSVO, die eine direkte Entsprechung im Kapitel über Strafverfolgung haben, besondere Vorschriften enthält. Wenn der Gesetzgeber also keine besonderen Vorschriften in einen Gründungsrechtsakt einer Agentur aufnimmt, gelten für die Verarbeitung operativer Daten die Bestimmungen aus anderen Kapiteln als dem Kapitel über Strafverfolgung, die keine direkte Entsprechung in Letzterem haben.
Diese Änderung würde die Rechtssicherheit verbessern und einen vollständigen Rahmen bieten (z. B. zur Rolle der DSB oder zur Zusammenarbeit mit den nationalen Datenschutzaufsichtsbehörden), auch für zukünftige Agenturen in diesem Bereich. Ein solcher vollständiger Rahmen würde zudem die Risiken einer Fragmentierung verringern.
6.3Kontrollbefugnisse des EDSB bezüglich der Einrichtungen und sonstigen Stellen der EU
Derzeit enthalten die Verordnungen zur Einrichtung der EUStA sowie von Eurojust und Europol besondere Bestimmungen zu den Befugnissen des EDSB.
Durch die aktualisierte Europol-Verordnung werden dem EDSB Befugnisse übertragen, die an die Befugnisse nach Artikel 58 der EU-DSVO angeglichen sind. Dies betrifft insbesondere die Befugnisse zur Verhängung von Geldbußen und zur Anweisung des Verantwortlichen oder des Auftragsverarbeiters, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen.
Im Falle der EUStA-Verordnung werden hinsichtlich der Befugnisse des EDSB jedoch andere Formulierungen als in der EU-DSVO verwendet. So sind die zwei erwähnten Befugnisse für den EDSB nicht vorgesehen.
In der Frontex-Verordnung finden sich für die wenigen Tätigkeiten von Frontex, die dem Kapitel über Strafverfolgung unterliegen, keine besonderen Vorschriften über die Befugnisse des EDSB, was zu diesbezüglichen Unsicherheiten führt.
Die Ausstattung des EDSB mit sämtlichen Befugnissen nach Artikel 58 der EU-DSVO könnte mit den beiden folgenden Schritten verwirklicht werden.
1.Es wird klargestellt, dass der EDSB standardmäßig durch die EU-DSVO mit der Aufsicht über das Kapitel über Strafverfolgung und mit den Befugnissen nach Artikel 58 jener Verordnung betraut wird. Hierzu muss die EU-DSVO wie im vorherigen Abschnitt vorgeschlagen geändert werden.
Dadurch würde auch die Lücke in der Frontex-Verordnung geschlossen.
2.Die Bestimmungen über die Befugnisse des EDSB werden aus den Gründungsrechtsakten der Einrichtungen und sonstigen Stellen entfernt, sodass sämtliche Befugnisse des EDSB gemäß der geänderten EU-DSVO unmittelbar für Eurojust und die EUStA gelten. Das Ziel besteht darin, die Befugnisse so weit wie möglich anzugleichen, um die Fragmentierung der Datenschutzvorschriften zu verringern.
7Weiteres Vorgehen
Insgesamt lässt sich feststellen, dass die EU-DSVO gut funktioniert und ihren Zweck erfüllt. Zum gegenwärtigen Zeitpunkt wird die Kommission keine Änderungen der Teile vorschlagen, die mit Blick auf die entsprechenden Vorschriften in der DSGVO gleichwertig sind, um so die bestmögliche Übereinstimmung zwischen der EU-DSVO und der DSGVO beizubehalten. Die denkbaren Änderungen, die im vorliegenden Bericht berücksichtigt wurden, betreffen andere Teile, insbesondere das Verhältnis des Kapitels über Strafverfolgung der EU-DSVO zu den sonstigen Bestimmungen dieser Verordnung.
Im Frühjahr 2022 schlug die Kommission Vorschriften zur Stärkung der Informationssicherheit in den EU-Institutionen vor, die positive Auswirkungen in diesem Bereich haben werden, einschließlich auf den Schutz personenbezogener Daten. Dieser Vorschlag zielt darauf ab, die Resilienz der EU-Institutionen und ihre Fähigkeit zur Reaktion auf Sicherheitsvorfälle bei Cyberbedrohungen weiter zu verbessern.
Die Kommission wird ferner die im Folgenden dargelegten Schritte unternehmen:
-Sicherstellung im Rahmen der Aktualisierung der Rechtsakte zur Einrichtung von IT-Großsystemen, die noch immer detaillierte Vorschriften über ein Modell zur Koordinierung der Aufsicht enthalten, dass das entsprechende Modell der EU-DSVO Anwendung findet, um die Verfahren zu straffen,
-Prüfung von Änderungen der EU-DSVO, um
odie Rechtssicherheit zu verbessern und den Rahmen für die Verarbeitung operativer Daten zu vervollständigen, indem in Artikel 2 Absatz 2 klargestellt wird, dass die allgemeinen Bestimmungen der EU-DSVO auch für die Verarbeitung operativer personenbezogener Daten gelten, sofern das Kapitel über Strafverfolgung keine besonderen Vorschriften enthält (etwa in Bezug auf das Auskunftsrecht), wodurch auch ein vorgefertigter Rahmen für zukünftige Agenturen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bestünde,
odie Beteiligung des EDSB als Beobachter bei allen Datenschutzevaluierungen gemäß dem Schengen-Evaluierungsmechanismus sicherzustellen,
-anschließend Prüfung von Änderungen der EUStA- und der Eurojust-Verordnung im Rahmen einer künftigen Überarbeitung, um die uneingeschränkte Anwendung der Vorschriften für die Verarbeitung operativer personenbezogener Daten in der geänderten EU-DSVO sicherzustellen, wobei die Besonderheiten dieser Einrichtungen berücksichtigt werden, was auch zu einer Harmonisierung der Befugnisse des EDSB in Bezug auf diese und andere EU-Institutionen führen wird,
-Vorschlag von Standardvertragsklauseln für die internationale Übermittlung personenbezogener Daten durch die EU-Institutionen,
-Fortsetzung der engen Zusammenarbeit mit dem EDSB (und gegebenenfalls mit dem EDSA), um eine rechtzeitige und gezielte Konsultation zu neuen Vorschlägen sicherzustellen, sowie auch Fortsetzung der informellen Konsultation des EDSB zu wichtigen Texten vor deren Annahme.
Der EDSB wird ersucht,
-den EU-Institutionen zusätzliche und rechtzeitige praktische Weisungen zu erteilen, auch zur internationalen Datenübermittlung,
-die Verantwortlichen und Auftragsverarbeiter weiterhin für ihre Pflichten gemäß der EU-DSVO zu sensibilisieren sowie die DSB zu beraten und
-seine Bemühungen um eine wirksame Durchsetzung der EU-DSVO zu intensivieren, um den uneingeschränkten Schutz der betroffenen Personen zu gewährleisten.
Die Organe, Einrichtungen und sonstigen Stellen der EU werden ersucht,
-ihre Sensibilisierungsmaßnahmen fortzusetzen und erforderlichenfalls zu verstärken, um für ein ausreichendes internes Fachwissen über die Vorschriften der EU-DSVO zu sorgen,
-die Veröffentlichung von DSFA in Erwägung zu ziehen, wobei erforderlichenfalls Informationen ausgeschlossen werden, die die geltenden Sicherheitsvorkehrungen beeinträchtigen könnten,
-dafür zu sorgen, dass die DSB (sowie die DSK) über ausreichende Ressourcen verfügen und eine Stellung innerhalb der EU-Institutionen einnehmen, die es ihnen ermöglicht, ihre Aufgaben effizient und unabhängig zu erfüllen, und
-die Aufnahme ihrer restlichen Meldungen gemäß der vorherigen Datenschutzverordnung in ein Datenschutzverzeichnis abzuschließen.
ANHANG
Tabelle 1 – Von den EU-Institutionen vorgenommene Datenschutz-Folgenabschätzungen und vorherige Konsultationen
|
2019
|
2020
|
2021
|
Restrisiko akzeptiert
|
30
|
50
|
77
|
Vorherige Konsultation des EDSB
|
3
|
3
|
5
|
Projekt aufgegeben
|
2
|
2
|
0
|
Tabelle 2 – Aufsichtstätigkeiten des EDSB
|
2018
|
2019
|
2020
|
2021
|
Konsultationen
|
50
|
75
|
59
|
52
|
Vorherige Konsultationen
|
0
|
0
|
1
|
4
|
Genehmigungen zur Datenübermittlung
|
0
|
1
|
0
|
4
|
Eingegangene zulässige Beschwerden
|
58
|
59
|
43
|
44
|
Entscheidungen über zulässige Beschwerden
|
23
|
48
|
35
|
22
|
Eingegangene unzulässige Beschwerden
|
240
|
151
|
203
|
269
|
Vorgenommene Kontrollen und Prüfungen
|
5
|
9
|
4
|
4
|
Vorgenommene formelle Untersuchungen
|
0
|
4
|
1
|
2
|
Eingegangene Meldungen von Datenschutzverletzungen
|
7
|
95
|
121
|
82
|
Tabelle 3 – Beratungstätigkeiten des EDSB
|
2018
|
2019
|
2020
|
2021
|
Bemerkungen
|
13
|
3
|
19
|
72
|
Stellungnahmen
|
7
|
6
|
8
|
12
|
Initiativstellungnahmen
|
1
|
1
|
2
|
0
|
Gemeinsame Stellungnahmen mit dem EDSA
|
0
|
1
|
0
|
5
|
Informelle Bemerkungen
|
33
|
16
|
13
|
25
|
Tabelle 4 – Ressourcen des EDSB
|
2018
|
2019
|
2020
|
2021
|
2022 (geschätzt)
|
Gesamtzahl der Mitarbeiter des EDSB (einschließlich des EDSA-Sekretariats)
|
98
|
100
|
118
|
126
|
139
|
Mitarbeiter des EDSB im EDSA-Sekretariat
|
19
|
22
|
27
|
34
|
38
|
Mittelausstattung
|
13 539 302 EUR (ausgeführt)
|
15 301 687 EUR (ausgeführt)
|
14 211 719 EUR (ausgeführt)
|
16 761 285 EUR (ausgeführt)
|
20 202 000 EUR (Entwurf)
|