1. ÜBER DEN EDSB

Der Europäische Datenschutzbeauftragte (EDSB) gewährleistet, dass die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union die Grundrechte auf Schutz der Privatsphäre und Datenschutz respektieren, unabhängig davon, ob sie personenbezogene Daten verarbeiten oder an der Entwicklung neuer Richtlinien beteiligt sind, die möglicherweise mit der Verarbeitung personenbezogener Daten verbunden sind. Der EDSB hat vier Hauptarbeitsbereiche:

• Aufsicht: Wir beaufsichtigen die Verarbeitung personenbezogener Daten durch die EU-Verwaltung und stellen sicher, dass diese den Datenschutzbestimmungen entsprechen. Unsere Aufgaben umfassen die Durchführung von Untersuchungen, die Bearbeitung von Beschwerden sowie vorhergehende Beratungen zu neuen Verarbeitungsprozessen.
• Beratung: Wir beraten die Europäische Kommission, das Europäische Parlament und den Rat zu Vorschlägen für neue Rechtsvorschriften und anderen Initiativen im Zusammenhang mit dem Datenschutz.
• Verfolgung technologischer Entwicklungen: Wir beobachten und bewerten schon in einer frühen Phase technologische Entwicklungen, die sich auf den Schutz personenbezogener Daten auswirken können, und konzentrieren uns dabei besonders auf die Entwicklung von Informations- und Kommunikationstechnologien.
• Zusammenarbeit: Unter anderem arbeiten wir mit den nationalen Daatenschutzbehörden zusammen, um einen kohärenten Datenschutz in der gesamten EU zu fördern. Unsere wichtigste Plattform für die Zusammenarbeit mit den Datenschutzbehörden ist der Europäische Datenschutzausschuss (EDSA), für den wir auch als Geschäftsstelle fungieren.

Bis 11. Dezember 2018 mussten die EU-Organe die Datenschutzbestimmungen der Verordnung Nr. 45/2001 einhalten. Am 11. Dezember 2018 wurde die Verordnung Nr. 45/2001 durch die Verordnung (EU) 2018/1725 ersetzt. Der EDSB hat die Aufgabe, diese Regeln durchzusetzen.

Die Verordnung 2018/1725 ist in Bezug auf die EU-Organe das Äquivalent zur Datenschutz-Grundverordnung (DSGVO). Die DSGVO gilt seit 25. Mai 2018 uneingeschränkt in der gesamten EU und legt die Datenschutzbestimmungen fest, die alle privaten und ein Großteil der in der EU tätigen öffentlichen Organisationen einhalten müssen. Im Rahmen der Verordnung wurde der EDSB auch mit der Bereitstellung der Geschäftsstelle für den EDSA beauftragt.

Für die Strafverfolgungsbehörden der Mitgliedstaaten gilt die Richtlinie 2016/680 über den Datenschutz für Polizei und Strafjustiz. Artikel 3 und Kapitel IX der Verordnung 2018/1725 gelten für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union, die an der polizeilichen und justiziellen Zusammenarbeit beteiligt sind, wobei sich diese Bestimmungen eng an den Bestimmungen der Richtlinie 2016/680 orientieren.

Darüber hinaus bestehen gesonderte Vorschriften für die Verarbeitung personenbezogener Daten für operative Tätigkeiten, die von Europol, der Strafverfolgungsbehörde der EU, durchgeführt werden. Diese Aktivitäten umfassen die Bekämpfung von Fällen schwerer Kriminalität und Terrorismus, bei denen mehr als ein Mitgliedstaat betroffen ist. Die einschlägige Gesetzgebung ist in diesem Fall die Verordnung 2016/794, die auch die Überwachung dieser Datenverarbeitungstätigkeiten durch den EDSB vorsieht. Wie bei den anderen Organen und Einrichtungen der EU ist der EDSB gemäß der Verordnung 2018/1725 auch für die Aufsicht über die Verarbeitung personenbezogener Daten im Zusammenhang mit den Verwaltungstätigkeiten von Europol, einschließlich personenbezogener Daten des Personals von Europol, verantwortlich. Für die Europäische Staatsanwaltschaft und Eurojust bestehen ähnliche spezifische Datenschutzregelungen.

2. STRATEGIE DES EDSB FÜR DIE JAHRE 2015-2019

In der EDSB-Strategie 2015-2019 wurden unsere Prioritäten für das Mandat festgelegt und ein Rahmen für die Förderung einer neuen Datenschutzkultur bei den Organen und Einrichtungen der EU geschaffen. Sie fasste die folgenden Punkte zusammen:

• die wichtigsten im Laufe des Mandats zu erwartenden Herausforderungen im Bereich des Datenschutzes und des Schutzes der Privatsphäre;
• drei strategische Ziele und zehn Begleitmaßnahmen, um diesen Herausforderungen zu begegnen;
• Umsetzung der Strategie durch effizientes Ressourcenmanagement, klare Kommunikation und Bewertung unserer Leistungen.

Zur Verwirklichung unserer Vision von einer EU, die im globalen Dialog über Datenschutz und den Schutz der Privatsphäre im digitalen Zeitalter mit gutem Beispiel vorangeht, haben wir drei strategische Ziele und zehn Aktionsschwerpunkte festgelegt:

1 Der Datenschutz wird digital

1. Förderung von Technologien zur Stärkung von Privatsphäre und Datenschutz;
2. Ermittlung interdisziplinärer politischer Lösungen;
3. Stärkung von Transparenz, Nutzerkontrolle und Rechenschaftspflicht bei der Verarbeitung von „Big Data“.

2 Aufbau globaler Partnerschaften

1. Entwicklung einer ethischen Dimension für den Datenschutz;
2. die EU auf internationaler Ebene mit einer Stimme sprechen lassen;
3. durchgängige Einbeziehung des Datenschutzes in internationale Politikbereiche.

3 Ein neues Kapitel für den Datenschutz in der EU

1. Annahme und Umsetzung aktueller Datenschutzbestimmungen;
2. Verstärkung der Rechenschaftspflicht der Organe der EU bei der Erhebung, Verwendung und Speicherung personenbezogener Daten;
3. Förderung einer verantwortungsvollen und fundierten politischen Entscheidungsfindung;
4. Förderung vernünftiger Gespräche über Sicherheit und Privatsphäre.

3. 2015-2019 VERWIRKLICHUNG UNSERER VISION

Der Datenschutz betrifft nahezu jeden Politikbereich der EU. Er spielt auch eine Schlüsselrolle bei der Legitimierung und Stärkung des Vertrauens in die EU-Politik. Europa ist der weltweit führende Verfechter des Schutzes der Grundrechte und der Menschenwürde. Daher ist es von entscheidender Bedeutung, dass die EU eine führende Rolle bei der Ausarbeitung eines auf diese Werte konzentrierten globalen Standards für Datenschutz und den Schutz der Privatsphäre spielt.

Giovanni Buttarelli wurde am 4. Dezember 2014 durch einen gemeinsamen Beschluss des Europäischen Parlaments und des Rates zum Europäischen Datenschutzbeauftragten ernannt. Am selben Tag wurde Wojciech Wiewiórowski zum Stellvertretenden Datenschutzbeauftragten ernannt. Mit einer auf fünf Jahre festgelegten Amtszeit standen sie vor der anspruchsvollen Aufgabe, der EU den Übergang zu einer neuen Ära der Datenschutzpraxis zu erleichtern.

Vor diesem Hintergrund bestand ihre erste Maßnahme als EDSB und Stellvertretender Datenschutzbeauftragter darin, eine Strategie für das Fünfjahresmandat zu entwickeln (siehe Kapitel 2). Am 2. März 2015 veröffentlichten sie die EDSB-Strategie 2015-2019 und präsentierten sie auf einer Veranstaltung, an der EU-Kommissare und andere einflussreiche Akteure teilnahmen. Dann begann die harte Arbeit, die Strategie in die Praxis umzusetzen.

3.1 Einleitung einer neuen Ära der EU-Datenschutzpolitik . . .

Zu Beginn des Mandats waren die Gespräche über einen neuen Rahmen für den EU-Datenschutz ins Stocken geraten. Eine unserer ersten Prioritäten war es daher, die Europäische Kommission, das Parlament und den Rat bei der Beilegung ihrer Differenzen und der Erzielung einer Einigung zu unterstützen (siehe Abschnitt 6.1).

Als Berater des EU-Gesetzgebers haben wir nicht nur auf jeden einzelnen Artikel bezogene Empfehlungen zu den vorgeschlagenen Texten der Datenschutz-Grundverordnung (DSGVO) veröffentlicht, sondern diese Empfehlungen auch in Form einer mobilen App bereitgestellt. Die App wurde von den Verhandlungsführern zur Konsultation verwendet und trug auch zu einer höheren legislativen Transparenz bei.

Eine Einigung über den Text der DSGVO und der Datenschutzrichtlinie für Polizei und Justiz wurde im Dezember 2015 erzielt, und die endgültigen Texte wurden im Mai 2016 veröffentlicht. Im Jahr 2016 begannen somit die Vorbereitungen, damit die EU die neuen, im Mai 2018 vollständig anzuwendenden Vorschriften auch umsetzen konnte. Dazu gehörte sowohl die Ausarbeitung von Leitlinien zu den neuen Vorschriften als auch die Einrichtung des neuen Europäischen Datenschutzausschusses (EDSA), für den der EDSB die Geschäftsstelle bereitstellen würde.

In enger Zusammenarbeit mit unseren Kollegen in der Artikel-29-Datenschutzgruppe konnten wir sicherstellen, dass der EDSA pünktlich zur Einführung der DSGVO am 25. Mai 2018 seine Arbeit aufnahm (siehe Abschnitt 6.1.3). Der EDSA übernahm nicht nur mehrere neue Aufgaben, um die einheitliche Anwendung der DSGVO in der gesamten EU sicherzustellen, sondern ersetzte auch die Artikel-29-Datenschutzgruppe als Hauptforum für die Zusammenarbeit zwischen den nationalen Datenschutzbehörden der EU und dem EDSB.

Die DSGVO gilt für Organisationen und Unternehmen, die in den EU-Mitgliedstaaten tätig sind. Sie gilt jedoch nicht für die EU-Organe selbst, die anderen Vorschriften unterliegen. Im Jahr 2017 haben wir im Zuge der laufenden Vorbereitungen für die DSGVO unsere Bemühungen verstärkt, den EU-Gesetzgeber bei der Überarbeitung der für die EU-Organe geltenden Vorschriften zu unterstützen, um sie mit der DSGVO in Einklang zu bringen.

Die Gesetzgeber konnten sich jedoch erst im Mai 2018 auf die künftige Verordnung 2018/1725 einigen. Die neuen Vorschriften für die EU-Organe traten daher erst am 11. Dezember 2018 in Kraft, etwas mehr als sechs Monate nach dem Inkrafttreten der DSGVO (siehe Abschnitt 6.1.4).

Die DSGVO, die Datenschutzrichtlinie für Polizei und Strafjustiz sowie die Verordnung 2018/1725 folgen denselben Grundsätzen. Der EDSB als Aufsichtsbehörde für die EU-Organe konnte daher eine fundierte Aussage darüber machen, womit diese Organe durch die überarbeiteten Vorschriften konfrontiert wären, und frühzeitig damit beginnen, die EU-Organe auf ihre neuen Aufgaben vorzubereiten.

Die Vorbereitungen umfassten Schulungen, Besuche und Orientierungshilfen zu den neuen Regeln. Unser Hauptaugenmerk lag auf dem Grundsatz der Rechenschaftspflicht, der beinhaltet, dass die EU-Organe die neuen Vorschriften nicht nur einhalten, sondern die Einhaltung auch nachweisen können müssen (siehe Abschnitt 6.2). Wir wollten sicherstellen, dass die EU-Organe bereit waren, bei der Anwendung der Datenschutzbestimmungen mit gutem Beispiel voranzugehen und für andere in der EU einen Maßstab zu setzen.

Die Bemühungen um eine Einigung über eine Verordnung zum Datenschutz in der elektronischen Kommunikation (E-Privacy) waren jedoch weniger erfolgreich. Obwohl der EDSB große Anstrengungen unternommen hat, die Mitgesetzgeber zu ermutigen, in dieser Sache voranzukommen, erwies sich eine endgültige Einigung über den Text vor den Wahlen zum Europäischen Parlament im Mai 2019 letztendlich als unmöglich.

Ein Bereich, den die Verordnung 2018/1725 nicht abdeckt, ist die Verarbeitung operativer personenbezogener Daten bei Europol, der Strafverfolgungsbehörde der EU. Der EDSB hat am 1. Mai 2017 im Rahmen der Europol-Verordnung die Verantwortung für die Aufsicht über die Verarbeitung dieser Art von personenbezogenen Daten übernommen. In den letzten zweieinhalb Jahren konnte der EDSB eine konstruktive Beziehung zu Europol aufbauen, die es dieser Behörde ermöglichte, ihre gesetzlichen Aufgaben zu erfüllen, ohne dabei die Grundrechte auf Datenschutz und Schutz der Privatsphäre zu beeinträchtigen (siehe Abschnitt 6.4.3).

3.2 Ein internationaler Ansatz für den Datenschutz . . .

In der digitalen Welt reicht jedoch Gesetzgebung allein nicht mehr aus. Die traditionellen Regelwerke zur Gewährleistung der Achtung der Grundrechte sind wahrscheinlich nicht robust genug, um den Herausforderungen der digitalen Revolution standzuhalten. In der EDSB-Strategie haben wir uns daher zur Einleitung einer globalen Debatte verpflichtet, bei der es darum geht, wie der Schutz der Grundrechte und -werte im digitalen Zeitalter durch die Entwicklung einer ethischen Dimension für den Datenschutz gewährleistet werden kann.

Dazu wurde die EDSB-Ethikinitiative ins Leben gerufen (siehe Abschnitt 5.1). In einer am 11. September 2015 veröffentlichten Stellungnahme riefen wir dazu auf, eine neue digitalen Ethik zu entwickeln, in der die Menschenwürde in den Mittelpunkt der personenbezogenen, datengetriebenen technologischen Entwicklung gestellt wird. In der Stellungnahme bekundeten wir auch unsere Absicht, einen Europäischen Ethikbeirat einzusetzen: eine Gruppe von Experten aus verschiedenen Umfeldern, die die Beziehung zwischen Menschenrechten, Technologien und Märkten untersuchen und Gefahren für die Rechte auf Datenschutz und Schutz der Privatsphäre im digitalen Zeitalter ermitteln sollten.

Der Ethikbeirat wurde Anfang 2016 gegründet. Zu Beginn des Jahres 2018 veröffentlichte er seinen Abschlussbericht, in dem er sich mit den Kernpunkten befasste. Darauf folgte eine öffentliche Konsultation zum Thema „digitale Ethik“, die darauf ausgerichtet war, die Debatte für alle Bevölkerungsschichten weltweit zu öffnen.

Als Mitveranstalter der Internationalen Konferenz der Beauftragten für den Datenschutz und die Privatsphäre 2018 beschlossen wir, den öffentlichen Teil der Konferenz dem Thema „digitale Ethik“ zu widmen. Unser Ziel war es, auf der Arbeit der Ethikinitiative aufzubauen und eine globale Debatte über die Herausforderungen des digitalen Zeitalters anzuregen.

Um den Erfolg der Konferenz weiter zu nutzen, haben wir im Jahr 2019 einen Podcast gestartet. Bei jedem #DebatingEthics-Gespräch wurde ein bestimmter Problembereich erforscht, der auf der Konferenz ermittelt wurde. Die Ergebnisse führten Ende 2019 zur Veröffentlichung einer zweiten Stellungnahme zum Thema „digitale Ethik“. Da das Thema nun fest auf der internationalen Datenschutzagenda verankert ist, freuen wir uns auf weitere Entwicklungen in diesem Bereich in naher Zukunft.

Aber nicht nur im Bereich der digitalen Ethik haben sich unsere Bemühungen um die Zusammenarbeit mit internationalen Partnern intensiviert. Bessere Beziehungen zur Europäischen Kommission, zum Europäischen Parlament und zum Rat bedeuten, dass wir jetzt viel häufiger zur vorgeschlagenen EU-Politik konsultiert werden, einschließlich internationaler Politik, und dass wir nicht zögern, uns im Fall von berechtigten Bedenken, die nicht berücksichtigt wurden, Gehör zu verschaffen.

Seit der EDSA seine Arbeit aufgenommen hat, kann die EU auch ihre Bemühungen besser koordinieren und ihre Botschaften zum Datenschutz synchronisieren, was uns auf internationaler Bühne mehr Gehör verschafft.

3.3 Eine gemeinsame Antwort auf die digitale Herausforderung . . .

Unsere technologischen Fähigkeiten entwickeln sich immer rasanter. Die Fortschritte, die in den fünf Jahren seit dem Beginn des EDSB-Mandats erzielt wurden, sind an sich schon erstaunlich. Neue Technologien haben unser Leben grundlegend verändert, es ist jedoch keine leichte Aufgabe zu bestimmen, wie sich die Entwicklung dieser Technologien am besten regulieren lässt.

Über das Internet Privacy Engineering Network (IPEN, Schutz der Privatsphäre im Internet Engineering Netzwerk), das Experten aus verschiedenen Bereichen zusammenbringt, hat sich der EDSB darum bemüht, Technologien zu fördern, die den Schutz der Privatsphäre und den Datenschutz verbessern. Durch die Erleichterung der Umsetzung der Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, die in der DSGVO, in der Datenschutzrichtlinie für Polizei und Justiz und in der Verordnung 2018/1725 festgeschrieben sind, möchte das Netzwerk dafür sorgen, dass der Datenschutz in die Gestaltung und Entwicklung aller neuen Technologien einbezogen wird (siehe Abschnitt 4.1.1).

Der EDSB ist auch bestrebt, technologisches Fachwissen im Bereich des Datenschutzes zu entwickeln und zu verbreiten, sei es durch Stellungnahmen, Kommentare, Informationspapiere oder den TechDispatch-Newsletter (siehe Abschnitt 4.1.2).

Das Digital Clearinghouse ist eine weitere unserer gemeinsamen Initiativen. Das vom EDSB im Jahr 2016 eingerichtete und im darauffolgenden Jahr offiziell gestartete Clearinghouse trifft sich zweimal im Jahr und fungiert als Forum für die Zusammenarbeit zwischen Behörden in den Bereichen Wettbewerb und Verbraucherschutz und den Datenschutzbehörden. Durch die Zusammenarbeit sollen die Regulierungsstellen in diesen Bereichen die Herausforderungen der digitalen Wirtschaft hoffentlich besser bewältigen und die EU-Vorschriften zu den Grundrechten in der digitalen Welt durchgängig durchsetzen können (siehe Abschnitt 4.2.1).

Es sind jedoch die EU-Organe, die mit gutem Beispiel vorangehen müssen. Als Aufsichtsbehörde der EU-Organe können wir dafür sorgen, dass sie einen Maßstab für andere setzen, indem wir ihnen helfen, die Rechenschaftspflicht und Transparenz ihrer Arbeit zu verbessern. Durch die Bereitstellung von Schulungen und Orientierungshilfen sowie durch die enge Zusammenarbeit mit den behördlichen Datenschutzbeauftragten (DSB) der EU-Organe möchten wir ihnen die entsprechenden Instrumente zur Verfügung stellen. Wir überwachen auch sehr genau die Aktivitäten der Organe und Einrichtungen der EU und haben 2019 zwei anspruchsvolle Untersuchungen eingeleitet. Diese sollten sicherstellen, dass die EU-Organe die höchsten Datenschutzstandards einhalten und somit den höchstmöglichen Grad an Schutz für alle in der EU lebenden Personen gewährleisten (siehe Abschnitt 4.3.1).

Wir hoffen, durch unsere Arbeit mit den EU-Organen nicht nur die Datenschutzpraktiken der EU-Organe zu verbessern, sondern auch zu Bemühungen um eine Verbesserung des Datenschutzes in der EU und weltweit beizutragen, indem wir das Bewusstsein für Datenschutzgrundsätze und für mögliche Probleme und Bedenken so gut wie möglich schärfen.

3.4 Umsetzung der Strategie . . .

Ein sorgfältiges Ressourcenmanagement und eine wirksame Kommunikation waren unabdingbar, um die in der EDSB-Strategie festgelegten Ziele zu erreichen. Auf diese Weise konnten wir sicherstellen, dass wir über ausreichende Ressourcen für die Wahrnehmung der damit verbundenen Aufgaben verfügten und dass unsere Botschaften das vorgesehene Publikum erreichten.

Gleich zu Beginn des Mandats haben wir ein Re-Branding-Projekt durchgeführt (siehe Abschnitt 7.1.1). Wir wollten eine neue visuelle Identität für unsere Einrichtung entwickeln, die unseren Status als führende globale Stimme im Bereich Datenschutz und Schutz der Privatsphäre widerspiegelt. Die erste Phase des Projekts wurde 2015 mit der Entwicklung eines neuen Logos abgeschlossen. Im März 2017 haben wir eine neue Website mit einem neuen, benutzerfreundlichen Layout gestartet und daraufhin im Juni 2017 einen neuen Ansatz für unseren Newsletter eingeführt. Neue Initiativen wie ein Blog und die EDSB-App trugen ebenfalls zu mehr Transparenz über die Arbeit des EDSB und die EU-Politik im Allgemeinen bei.

Um neue Aufgaben übernehmen und diese auf hohem Niveau erfüllen zu können, musste der EDSB weitere Datenschutzexperten einstellen (siehe Abschnitt 7.2.1). Durch die Organisation von zwei Auswahlverfahren für Datenschutzexperten durch das Europäische Amt für Personalauswahl (EPSO) konnten wir sicherstellen, dass wir über eine Liste kompetenter Datenschutzexperten für die Besetzung freier Stellen verfügten. Das war insbesondere bei der Einrichtung der EDSA-Geschäftsstelle hilfreich. Darüber hinaus haben wir Zeit und Mühe in die Entwicklung der Kompetenzen und Kenntnisse unserer vorhandenen Mitarbeiter investiert, um bei der Datenschutz-Rechenschaftspflicht führend zu sein.

Als EU-Einrichtung ist der EDSB auch selbst an die neuen Datenschutzbestimmungen für die EU-Organe gebunden. Unsere Glaubwürdigkeit und Autorität als EU-Datenschutzbehörde hängt davon ab, dass wir diese Regeln nach den höchsten Standards umsetzen. Daher war eine institutsweite Zusammenarbeit erforderlich, um sicherzustellen, dass wir in Bezug auf die verantwortungsbewusste Einhaltung der Datenschutzbestimmungen richtungsweisend sind.

3.5 Zentrale Leistungsindikatoren (KPIs) . . .

Nachdem unsere Strategie für den Zeitraum 2015-2019 im März 2015 verabschiedet wurde, haben wir unsere vorhandenen zentralen Leistungsindikatoren (KPI – key performance indicators) überarbeitet und neue KPI festgelegt, die unsere neuen Ziele und Prioritäten widerspiegeln. Diese sollten uns helfen, die Wirkung unserer Arbeit und die Effizienz unserer Ressourcennutzung zu überwachen und bei Bedarf Anpassungen vorzunehmen.

Während des gesamten Mandats haben wir jährlich in unserem Jahresbericht über unsere KPI berichtet. Einige KPI wurden angepasst, um Änderungen oder maßgeblichen Entwicklungen, die sich auf die Leistung einiger Aktivitäten auswirkten, Rechnung zu tragen.

Der Schwerpunkt der KPI, die sich auf das erste strategische Ziel (Der Datenschutz wird digital) beziehen, lag auf Initiativen zur Förderung von Technologien zur Stärkung des Schutzes der Privatsphäre und des Datenschutzes sowie auf interdisziplinären Politiklösungen. Sie haben sich während des gesamten Mandats nicht geändert und ihre festgesetzten Ziele regelmäßig erfüllt (siehe Abbildung 1).

Für KPI, die sich auf das zweite strategische Ziel (Aufbau globaler Partnerschaften) beziehen, haben wir beschlossen, die Kontrolle unserer Arbeit auf internationaler Ebene zu straffen, und haben im Jahr 2017 von zwei KPI auf einen umgestellt. Dies bedeutete, dass Beiträge zu internationalen Übereinkommen zusammen mit anderen Beiträgen auf internationaler Ebene überwacht wurden. In jedem dieser Fälle haben wir Ergebnisse über bzw. deutlich über dem festgelegten Ziel erreicht (siehe Abbildung 2).

Die KPI, die sich auf das dritte strategische Ziel (Ein neues Kapitel für den Datenschutz in der EU) beziehen, umfassten sowohl Aufsichts- als auch Beratungsaufgaben.

Für die Aufsichtsaufgaben haben wir über das gesamte Mandat hinweg denselben KPI in Bezug auf den Grad der Zufriedenheit der DSB, der Datenschutzkoordinatoren und der Verantwortlichen mit der Zusammenarbeit mit dem EDSB und den Leitlinien beibehalten. Die Ergebnisse haben die gesetzten Ziele durchgängig übertroffen und die Zufriedenheit unserer Zielgruppe deutlich gemacht.

Für Beratungsaufgaben wurde an den maßgeblichen KPI im Laufe des Mandats eine Reihe von Änderungen vorgenommen. Erstens hing der ursprüngliche KPI über die Auswirkungen der EDSB-Stellungnahmen von den Entwicklungen im Gesetzgebungsverfahren ab, was es schwierig machte, den für die Kontrolle unserer KPI festgelegten Zeitrahmen einzuhalten. Zweitens wurde der KPI, der sich auf die Bestandsaufnahme des EDSB zu den einschlägigen Legislativvorschlägen (auf der Grundlage des öffentlichen Arbeitsprogramms der Europäischen Kommission) bezieht, durch externe und interne Veränderungen beeinflusst. Die Art und Weise, wie wir unsere Politikberatungstätigkeiten durchführen und überwachen konnten, wirkte sich auch auf unsere Fähigkeit, diesen KPI zu verfolgen, aus. Sofern Ergebnisse gemessen werden konnten, haben diese jedoch die Zielvorgaben erreicht oder übertroffen (siehe Abbildung 3).

Einige Änderungen gab es auch in Bezug auf die KPI für die strategischen Voraussetzungen (Kommunikation und Ressourcenverwaltung).

Im Rahmen der Kommunikationsaktivitäten haben wir in den Jahren 2017 und 2018 eine neue Website gestartet und anschließend Änderungen in der Cookie- und Tracking-Politik vorgenommen, um die Transparenz für die Benutzer zu verbessern und den Datenschutz zu verbessern. Dies wirkte sich auf die Art und Weise aus, wie wir den KPI hinsichtlich der Besuche auf unserer Website verfolgt haben. Nach einer Analyse unserer Kommunikationsaktivitäten konnten die Ergebnisse in Bezug auf unsere Social-Media-Aktivitäten als KPI mit höherer Aussagekraft identifiziert werden, sodass wir dies in unseren KPI-Ergebnissen für 2019 erfassen werden.

Hinsichtlich unserer KPI zum Ressourcenmanagement wurde die Kennzahl über die Mitarbeiterzufriedenheit alle zwei Jahre auf der Grundlage der Ergebnisse unserer Mitarbeiterbefragung verfolgt. Der zweite KPI zum Haushaltsvollzug wurde unter Anerkennung der Bedeutung dieser Aktivität 2018 eingeführt. In beiden Fällen haben die Ergebnisse die festgelegten Ziele erreicht oder übertroffen (siehe Abbildung 4).

4. DER DATENSCHUTZ WIRD DIGITAL

Die Welt, in der wir heute leben, ist ohne Zweifel eine digitale Welt. Die technologische Entwicklung schreitet immer rascher voran und verändert unseren Lebensstil auf unvorhersehbare Weise. Doch auch wenn die technologische Entwicklung durchaus ihre Vorteile hat, ist sie dennoch nicht ohne Risiko.

Viele neue Technologien sind auf die Sammlung umfassender Daten und die Nutzung großer Mengen personenbezogener Daten angewiesen. Während die technologische Innovation rasant voranschreitet, ist die Reaktion der Institutionen langsam, und es wird immer schwieriger, die Kontrolle über unsere eigenen personenbezogenen Daten zu behalten.

In den letzten fünf Jahren haben wir erhebliche Anstrengungen unternommen, um den Menschen dabei zu helfen, die Kontrolle zurückzuerlangen. In der EDSB-Strategie 2015-2019 haben wir festgestellt, dass ein dringender Bedarf daran besteht, die Auswirkungen der technologischen Revolution auf die Rechte auf Schutz der Privatsphäre und Datenschutz zu prüfen und uns damit auseinanderzusetzen. Wir haben Regulierungsstellen rund um den Erdball aufgefordert, eine führende Rolle bei der Koordination innovativer und rascher Gegenmaßnahmen zum Schutz der Grundrechte und zur Änderung dieser Schieflage zu übernehmen. Wir sollten alle in der Lage sein, Nutzen aus den neuen Technologien zu ziehen, ohne dass dadurch unsere Grundrechte beeinträchtigt werden. Datenschutz – so unser Argument – muss digital werden.

In der Strategie werden drei Aktionsschwerpunkte zur Entwicklung eines wirksamen Regelungskonzepts für das digitale Zeitalter dargelegt. Dabei stehen die Entwicklung datenschutzfreundlicher Technologien, die Zusammenarbeit mit anderen Regulierungsstellen und die Förderung eines transparenten und verantwortungsvollen Ansatzes bei der Verarbeitung von „Big Data“ im Vordergrund. Wir glauben, dass wir in allen drei Bereichen erhebliche Fortschritte erzielt und die Grundlage für Datenschutzbenörden und andere Regulierungsstellen geschaffen haben, auf der in den nächsten Jahren aufgebaut werden kann.

4.1 Förderung von Technologien zur Stärkung des Schutzes der Privatsphäre und des Datenschutzes . . .

Die Zahl der Stellen, die in allen Bereichen des Wirtschafts- und Privatlebens Technologien nutzen, bei denen personenbezogene Daten in der einen oder anderen Form verarbeitet werden, wächst unablässig. In vielen Fällen gehen die Organisationen, die diese Daten verarbeiten, so vor, um Vorteile der einen oder anderen Art – seien sie wirtschaftlicher oder sonstiger Natur – zu erzielen. Die Herausforderung, vor der die Regulierungsstellen stehen, besteht darin, dass sie sicherstellen müssen, dass natürliche Personen vor den Risiken, die mit diesen ständig zunehmenden Datenverarbeitungsvorgängen einhergehen, geschützt werden.

Die Bewältigung dieser Herausforderung bedeutet, dass sichergestellt werden muss, dass den Maßnahmen zum Datenschutz und zum Schutz der Privatsphäre bei bestehenden und neuen technologische Entwicklungen gebührend Rechnung getragen wird. Die Beobachtung von und die Reaktion auf technologische Herausforderungen, die Förderung von Technologien zum Schutz der Privatsphäre (Privacy Engineering) und die Zusammenarbeit mit anderen mit dem Ziel, zu einem gemeinsamen Verständnis dessen zu gelangen, was als letzter Stand der Technik in Bezug auf das Konzept des „data protection by design“ (Datenschutz durch Technikgestaltung) gelten sollte, sind alles Möglichkeiten, mit denen der EDSB in diesem Bereich einen Beitrag geleistet hat.

4.1.1 Technologien zum Schutz der Privatsphäre (Privacy Engineering)

Privacy Engineering ist eine neue Disziplin. Dabei steht die Förderung der Entwicklung technologischer Lösungen im Mittelpunkt, mit denen Daten und Privatsphäre online verstärkt geschützt werden. In den letzten fünf Jahren war der EDSB an mehreren Initiativen im Bereich des Privacy Engineering beteiligt, die gemeinsam das Ziel verfolgten, Grundsätze des Datenschutzes und des Schutzes der Privatsphäre in die technologische Entwicklung zu integrieren.

Das Internet Privacy Engineering Network

Dem neuen Datenschutzrecht der EU zufolge sind die Verantwortlichen verpflichtet, die Grundsätze des Datenschutzes durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) zu achten. Für Technologieentwickler und -hersteller bedeutet dies, dass sie den Schutz der Privatsphäre und den Datenschutz in die Konzeption und Entwicklung technologischer Lösungen aufnehmen müssen. Um sie bei der Vorbereitung auf diese neuen Erfordernisse zu unterstützen, hat der EDSB das Schutz der Privatsphäre im Internet Engineering Network (IPEN) aufgebaut.

Das 2014 gestartete IPEN bringt Fachleute aus unterschiedlichen Bereichen zusammen, um die Entwicklung von technologischen Lösungen für Probleme in Verbindung mit dem Schutz der Privatsphäre zu fördern. Durch die Förderung von Projekten, bei denen die Privatsphäre in neue und bereits bestehende digitale Instrumente eingebaut wird, versucht das Netzwerk, die modernsten Praktiken im Bereich der Technologien zum Schutz der Privatsphäre zu fördern und voranzubringen.

Seit dem ersten Workshop im Jahre 2014 ist das IPEN gewachsen und hat sich weiterentwickelt. Ursprünglich standen die Untersuchung von Konzepten, die für Technologien zum Schutz der Privatsphäre von Belang sein könnten, die Klärung ihrer Auslegung und die Bereitstellung einer Plattform zur Förderung von bereits vorhandenen datenschutzfreundlichen Lösungen im Vordergrund. Jährlich stattfindende Workshops zusammen mit anderen Sitzungen, Veranstaltungen und Podiumsdiskussionen (siehe Abbildung 5) haben alle zusammen auf dem Workshop 2019 in Rom die Grundlage für einen Übergang zu einem zielgerichteteren Konzept gelegt.

Da die neuen EU-Vorschriften zum Datenschutz mittlerweile vollumfänglich Anwendung finden, stand beim Workshop 2019 das Ziel im Vordergrund, zu einem konkreteren und praktischen Verständnis einer datenschutzfreundlichen technologischen Entwicklung zu gelangen. Dabei ging es darum, das gemeinsame Verständnis von Verantwortlichen und Entwicklern, Regulierungsstellen und Rechtsexperten in der Frage zu vertiefen, was genau unter dem Begriff „neueste Stand der Technik im Datenschutz durch Technikgestaltung“ zu verstehen ist. Und genau dieses gemeinsame Verständnis wird allen Beteiligten dabei helfen, neue, intelligente Gestaltungsprozesse, Technologien und Geschäftsmodelle zu schaffen, die für einen wirksameren Schutz von natürlichen Personen und ihrer Würde sorgen werden.

Partner bei Technologien zum Schutz der Privatsphäre (Privacy Engineering)

Neben der weiteren Gestaltung der IPEN-Initiative haben wir auch mit anderen Organisationen, die an der Förderung der Entwicklung von Technologien zum Schutz der Privatsphäre und von datenschutzfreundlichen Technologien beteiligt sind, zusammengearbeitet. Ein wichtiger Partner hierbei ist das National Institute of Standards and Technology (US-NIST), eine Behörde des US-Handelsministeriums, die ihr eigenes Privacy Engineering Programm aufgelegt hat.

Wir haben die Arbeit des NIST seit dem Start ihres Privacy Engineering Programms verfolgt und mit ihnen bei einer Reihe von Projekten zusammengearbeitet. Neben der Teilnahme an einem ihrer Workshops im Jahr 2018 haben wir in den letzten drei Jahren auch zusammen mit NIST an mehreren Veranstaltungen zum Thema Technologien zum Schutz der Privatsphäre mitgewirkt. Der EDSB und NIST sind in völlig unterschiedlichen rechtlichen und institutionellen Umfeldern tätig. Unsere Ansätze in Bezug auf Methoden und Ziele von Technologien zum Schutz der Privatsphäre weisen allerdings viele Gemeinsamkeiten auf, die für die künftige Entwicklung des Privacy Engineering nur positiv sein können.

Die von NIST geleistete Arbeit gilt rein rechtlich nur für den öffentlichen Sektor der USA, doch datenintensive Branchen interessieren sich offenbar zunehmend auch für Technologien zum Schutz der Privatsphäre. Die Einrichtung von Abteilungen bei den einschlägigen Branchenverbänden, die sich speziell mit Technologien zum Schutz der Privatsphäre befassen, ist hierfür ein gutes Beispiel. Für den weiteren Ausbau dieser Initiativen hat das IPEN zu mehreren einschlägigen Veranstaltungen beigetragen, darunter den vom International Association of Privacy Professionals (IAPP) 2017, 2018 und 2019 ausgerichteten Konferenzen und den Ausgaben der Jahre 2015 bis 2018 der Konferenz zu Computern, Privatsphäre und Datenschutz („Computers, privacy and data protection“, CPDP).

4.1.2 Die Beobachtung von und die Reaktion auf technologische Entwicklungen

Der EDSB hat nicht nur im Rahmen von Initiativen zu Technologien zum Schutz der Privatsphäre zur Förderung und Sensibilisierung für die Notwendigkeit, datenschutzfreundliche Technologien zu entwickeln, beigetragen. Wir wollen auch technologische Entwicklungen, Ereignisse und Vorfälle beobachten und darauf reagieren und deren Auswirkungen auf den Datenschutz einschätzen. Diese Arbeit hat zu einer Reihe von Strategiepapieren, Stellungnahmen und Berichten geführt, die im Rahmen des derzeitigen Mandats veröffentlicht wurden.

Entwicklung und Austausch von technologischem Know-how

Es ist gegenwärtig unmöglich, einen wirksamen Datenschutz ohne technologisches Know-how zu bewerkstelligen. Die digitale Revolution hat die Datenschutzbehörden und andere Regulierungsstellen dazu gezwungen, Fähigkeiten und Fertigkeiten in diesem Bereich zu entwickeln. Der EDSB verfolgt konsequent das Ziel, sich durch die Weitergabe hilfreicher Analysen neuer technologischer Entwicklungen an die Spitze dieses Trends zu setzen.

Ein Beispiel hierfür ist unser Technology Monitoring Brief on smart glasses (Kurzbericht zur Überwachung von Technologien im Bereich Datenbrillen und Datenschutz), der im Januar 2019 veröffentlicht wurde. Auch wenn Datenbrillen einem Science-Fiction-Film zu entstammen scheinen, stehen sie doch in zunehmendem Maße zur Verfügung und werden immer häufiger auch genutzt, sei es von öffentlichen Behörden, Unternehmen oder auch von Einzelpersonen. Das Interesse von Strafverfolgungsbehörden rund um den Globus macht deutlich, dass diese Technologie ein gewisses Potenzial besitzt. Doch während Datenbrillen in unterschiedlichen Zusammenhängen, darunter für die technische Wartung, Bildung und Baubranche, nützlich sein können, können sie gravierende Folgen für die Privatsphäre haben, insbesondere dann, wenn bei dem bei ihrer Entwicklung zugrunde gelegten Konzept dem eingebauten Datenschutz nicht Rechnung getragen wurde.

In unserem Bericht zu Datenbrillen untersuchen wir diese Auswirkungen näher. Dabei wurde auch eine Übersicht über aktuelle Anwendungsfälle vorgelegt, und die beteiligten Hersteller, sowie eine Bewertung möglicher künftiger Entwicklungen.

Unser TechDispatch-Newsletter ist eine weitere Möglichkeit, mit der wir hoffen, einen Beitrag leisten zu können. Mit jeder Ausgabe unseres im Juli 2019 gestartete TechDispatch soll eine andere neu entstehende Technologie erläutert werden. Der Newsletter enthält Informationen über die Technologie selbst, eine vorläufige Bewertung der möglichen Auswirkungen auf den Schutz personenbezogener Daten und der Privatsphäre sowie Links zu weiterführenden Informationen zum Thema.

Eine weitere Initiative zur Förderung des technologischen Know-hows ist die Software des EDPS für Inspektionen auf Websites. Der EDSB hat 2019 erstmals ein Softwaretool zur Unterstützung der Arbeit von Datenschützern wie Verantwortlichen, behördlichen Datenschutzbeauftragten (DSB), Datenschutzbehörden und Forschern veröffentlicht.

Unser Website Evidence Collector wurde ursprünglich entwickelt, um unsere Inspektionen auf EU-Websites durchzuführen (siehe Abschnitt 6.2.3), und ist für Linux, MacOS X und Windows verfügbar. Nach der Einrichtung können technische Laien nach einer kurzen Einführung damit automatisch Nachweise der Verarbeitung personenbezogener Daten zusammentragen, wie Cookies oder Anfragen an Dritte. Die zusammengetragenen Nachweise werden in einem Format dokumentiert, das sowohl von Menschen als auch Maschinen gelesen werden kann. Wir haben das Tool als freie Software im Rahmen der öffentlichen EU-Lizenz auf der EDSB-Website sowie auf der Plattform für die Zusammenarbeit bei der Software-Entwicklung, „GitHub“, veröffentlicht.

Über die Veröffentlichung von Informationen wie beispielsweise dieser möchten wir zu einem gemeinsamen Wissenspool beitragen, der für alle Datenschutzbehörden und andere interessierte Kreise von Nutzen sein kann.

Eingebauter Datenschutz („Privacy by Design“)

In den letzten Jahren machten mehrere Skandale Schlagzeilen, bei denen personenbezogene Daten für den Zweck der Nachverfolgung und des Profiling missbraucht wurden. Bei den darauffolgenden Debatten wurde eine Reihe von Fragen zu der Rolle aufgeworfen, die die Technologie in der Gesellschaft spielen sollte. Eine dieser Fragen lautete, ob Unternehmen in der Lage sein sollten, Technologie ausschließlich zur Steigerung ihrer Profite einzusetzen.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind zwei Grundsätze, die dazu beitragen könnten, die Technologie so zu gestalten, dass sie dem Menschen und der Gesellschaft zugutekommt und nicht den Profiten von Unternehmen und damit zu einer der Haupttriebfedern für die technologische Entwicklung wird. Aufgrund dieser im Rahmen der neuen EU-Datenschutzvorschriften eingeführten gesetzlichen Verpflichtungen sind die für die Erhebung und Verarbeitung von personenbezogenen Daten Verantwortlichen verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und nachzuweisen, dass sie die Datenschutzanforderungen erfüllen. Im Fall des Datenschutzes durch Technikgestaltung setzt dies voraus, dass geplant wird, wie der Schutz personenbezogener Daten über den gesamten Projektlebenszyklus hinweg in neue technologische Systeme und Prozesse eingebaut werden kann, während beim Datenschutz durch datenschutzfreundliche Voreinstellungen der Schutz der Privatsphäre als Standardeinstellung in alle technologischen Dienste und Produkte integriert wird.

Am 31. Mai 2018, wenige Tage nach dem vollständigen Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), haben wir eine Vorläufige Stellungnahme zum Schutz der Privatsphäre durch Technikgestaltung veröffentlicht. Die Stellungnahme stützt sich auf die Arbeit des IPEN und auf die Ethikinitiative des EDPS (siehe Abschnitt 5.1). Sie hält politische Entscheidungsträger, Regulierungsstellen, die Industrie, Wissenschaftler und die Zivilgesellschaft dazu an, bei der Entwicklung eines gemeinsamen Konzepts für die technologische Entwicklung, bei dem die Würde des Menschen oberste Priorität hat, zusammenzuarbeiten.

Die Arbeiten zur Entwicklung dieses gemeinsamen Konzepts im Rahmen verschiedener kollaborativer Plattformen sind inzwischen im Gange. Hierzu gehören das IPEN, der Europäische Datenschutzausschuss (EDSA) und die Internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation (IWGDPT), auch als Berliner Gruppe bekannt).

Künstliche Intelligenz

In den letzten Jahren war in den Bereichen künstliche Intelligenz (KI) und Robotik eine Reihe wichtiger Entwicklungen zu verzeichnen. Zwar bieten neue Technologien im Bereich der künstlichen Intelligenz zweifellos spannende Möglichkeiten für die Zukunft, doch stellen sie den Datenschutz auch vor erhebliche Herausforderungen.

KI ist für Entscheidungen auf Algorithmen und nicht auf den menschlichen Verstand angewiesen. Dies macht es für uns praktisch unmöglich, an Informationen darüber zu gelangen, wie KI-Technologien unsere personenbezogenen Daten verarbeiten, da kein vorhersehbares oder menschliches Entscheidungssystem im Spiel ist. Es ist daher häufig nicht möglich, unser Einverständnis zur Verarbeitung unserer personenbezogenen Daten durch diese Technologien zu geben, wenn dieses aussagekräftig sein soll.

2016 wurden KI und Robotik auf der Internationalen Konferenz der Beauftragten für den Datenschutz und die Privatsphäre (ICDPPC) als einer der Themenschwerpunkte auf der nichtöffentlichen Sitzung ausgewählt, an der akkreditierte Mitglieder und Beobachter der ICDPPC teilnahmen. Sie wollten eine gemeinsame Position zu diesen neuen Technologien erarbeiten. Als Diskussionsbeitrag hat der EDSB ein Hintergrundpapier erstellt, das sich mit der Frage befasst, wofür KI und Robotik derzeit genutzt werden, und in dem Gedankenanstöße vorgeschlagen wurden.

Wir haben das Thema auf der Internationalen Konferenz 2018 wieder aufgegriffen. Bei dieser Veranstaltung führten die Gespräche auf der nichtöffentlichen Sitzung zu einer ICDPPC-Erklärung zu Ethik und Datenschutz im Bereich der künstlichen Intelligenz. In der Erklärung werden sechs Grundsätze für die künftige Entwicklung von KI festgelegt und konzertierte internationale Bemühungen zu ihrer Umsetzung gefordert. Im Rahmen der ICDPPC wurde eine neue ständige Arbeitsgruppe zu Ethik und Datenschutz im Zusammenhang mit KI eingerichtet, die hierzu beitragen soll. Der EDSB fungiert als einer der Ko-Vorsitzenden dieser Gruppe und stellt ihre Geschäftsstelle.

4.2 Ermittlung von interdisziplinären politischen Lösungen . . .

Die technologische Entwicklung bringt vielfältige Herausforderungen mit sich, die von den Datenschutzbehörden alleine nicht bewältigt werden können. Regulierungsstellen, Behörden und andere Experten müssen zusammenarbeiten, wenn wir Lösungen finden und umsetzen sollen.

In der digitalen Welt können wir Datenschutz nicht als gesonderten Fachbereich behandeln. Wir müssen bei der Behandlung von politischen Themen, bei denen auch Aspekte des Schutzes der Privatsphäre und des Datenschutzes eine Rolle spielen, über fachliche Grenzen hinweg zusammenarbeiten und gemeinsame, koordinierte Ansätze zur Bewältigung der Herausforderungen, vor denen wir stehen, entwickeln.

In den letzten fünf Jahren haben wir eine Reihe von Initiativen zum Ausbau der Zusammenarbeit und zur Entwicklung von Lösungen zusammen mit einer Reihe von Partnern gestartet und ausgearbeitet. IPEN ist ein gutes Beispiel dafür (siehe Abschnitt 4.1.1), doch haben wir auch mit der Zivilgesellschaft, Verbraucherschutz- und Wettbewerbsbehörden und anderen Regulierungsstellen bei der Verwirklichung gemeinsamer Ziele zusammengearbeitet.

4.2.1 Das Digital Clearinghouse

Zwischen Datenschutz, Verbraucherschutz und Wettbewerbspolitik bestehen natürliche Synergien. Die für diese Bereiche zuständigen Behörden haben allerdings lange im Alleingang gearbeitet. Wenn wir das Verständnis von Marktdynamik verbessern und einheitliche, schlüssige Antworten auf die Herausforderungen finden wollen, die mit der digitalen Wirtschaft einhergehen, müssen diese Behörden verstärkt zusammenarbeiten.

Im September 2016 kündigte der EDSB Giovanni Buttarelli seine Absicht an, ein Digital Clearinghouse einzurichten. Dabei ging es um die einheitliche Durchsetzung der EU-Regelungen zum Schutz der Grundrechte. Das Clearinghouse, das auf einem freiwilligen Netzwerk von Regelungsinstanzen beruht, wurde als Netzwerk konzipiert, über das Regulierungsstellen aus den Bereichen Wettbewerb, Verbraucherschutz und Datenschutz Informationen weitergeben und darüber diskutieren konnten, wie Regelungen im Interesse der Einzelnen bestmöglich durchgesetzt werden können. Mit der Unterstützung sowohl des Europäischen Parlaments als auch der ICDPPC laufen unsere Bemühungen, verschiedene Arbeitsfelder zusammenzubringen, bereits erfolgreich.

Das Digital Clearinghouse trat erstmals am 29. Mai 2017 mit allen Regulierungsstellen im digitalen Bereich aus der EU oder von andernorts zusammen, die eingeladen worden waren, um sich an der Diskussion zu beteiligen. Das Treffen war der Höhepunkt einer jahrelangen wichtigen Diskussion über die Frage, wie auf die digitale Herausforderung reagiert werden sollte; dabei ging es hauptsächlich darum, gemeinsame Anliegen und Regelungslücken aufzuzeigen, auf die bei künftigen Treffen näher eingegangen werden sollte.

Der Schwerpunkt dieser zweimal im Jahr stattfindenden Treffen hat sich allmählich verlagert, und die Zahl der Teilnehmer ist gestiegen (siehe Abbildung 6). Beim dritten Treffen wurden erstmals auch Behörden von außerhalb der EU begrüßt, während beim vierten Treffen auch Wahlaufsichtsbehörden teilnehmen konnten, um neben anderen Themen auch über die Auswirkungen von Online-Manipulation auf eine freie und faire politische Betätigung zu sprechen. Nachdem das Clearinghouse inzwischen gut etabliert ist, liegt der Schwerpunkt jetzt darauf, Bereiche für die praktische Zusammenarbeit zu aktuellen Fällen zu ermitteln, um sicherzustellen, dass die Interessen des Einzelnen bei allen neuen technologischen Entwicklungen stets im Mittelpunkt stehen.

4.2.2 Zusammentreffen mit der Zivilgesellschaft

Der EDSB ist wie andere Bürgerrechtsgruppen auch zutiefst davon überzeugt, dass die Rechte des Einzelnen im Mittelpunkt jeder EU-Politik stehen sollten. Von Anbeginn des derzeitigen Mandats an hat der EDSB Giovanni Buttarelli dem offenen Dialog mit Bürgerrechtsgruppen den Vorrang eingeräumt, da er eine Möglichkeit darstellt, um die Anliegen der Bürgerinnen und Bürger besser zu verstehen und sicherzustellen, dass sie auf EU-Ebene vertreten werden.

Seit Mai 2015 finden regelmäßig Zusammenkünfte zwischen zivilgesellschaftlichen Gruppen und dem EDSB zum Stand des Datenschutzes und des Schutzes der Privatsphäre in der EU statt. Der besondere Schwerpunkt unserer Begegnungen mit der Zivilgesellschaft hat sich jedes Jahr geändert, je nach politischer Gesamtwetterlage.

Die erste Zusammenkunft fand am 27. Mai 2015 statt. Dies war angesichts der noch in Diskussion stehenden neuen Datenschutzregelungen eine gute Gelegenheit für uns, den Anliegen und Meinungen der Zivilgesellschaft Gehör zu verschaffen und dafür zu sorgen, dass der EU-Gesetzgeber ihnen Rechnung trägt. Die folgenden Begegnungen befassten sich schwerpunktmäßig mit unterschiedlichen gesetzgeberischen Fragen, darunter die Anwendung der DSGVO, die Reform des digitalen Datenschutzes, des Datenschutzschilds und die Überwachung illegaler und schädlicher Online-Inhalte.

Als Gastgeber der Internationalen Konferenz der Beauftragten für den Datenschutz und die Privatsphäre 2018 (siehe Abschnitt 5.2.1) haben wir uns bewusst dafür eingesetzt, dass zivilgesellschaftliche Organisationen in die öffentliche Sitzung der Konferenz sowohl als Teilnehmer als auch als Podiumsredner eingebunden wurden.

Am 19. Dezember 2017 haben wir als Reaktion auf eine gemeinsame Erklärung des globalen zivilgesellschaftlichen Bündnisses einen offenen Brief an die Zivilgesellschaft abgefasst. In diesem Brief wurde erneut bekräftigt, wie wichtig neben nationalen Regulierungsstellen, Wissenschaftlern und Regierungs- und Branchenvertretern die aktive Teilhabe von regierungsunabhängigen Vertretern der Zivilgesellschaft an der öffentlichen Sitzung der Konferenz für eine sinnvolle Debatte ist. Wir wollten ein Umfeld für einen offenen Austausch vielfältiger Sichtweisen und den Aufbau neuer Partnerschaften schaffen.

Neben unseren eigenen Initiativen, mit der Zivilgesellschaft in Kontakt zu kommen, haben der EDSB und der Stellvertretende Datenschutzbeauftragte an den von zivilgesellschaftlichen Gruppen organisierten Veranstaltungen teilgenommen. Dazu gehören die Teilnahme am RightsCon Gipfeltreffen sowie die Grundsatzreden des Stellvertretenden Datenschutzbeauftragten Wojciech Wiewiórowski anlässlich der Veranstaltung Freedom not Fear und den Jubiläumsfeierlichkeiten von EDRi.

4.3 Stärkung von Transparenz, Nutzerkontrolle und Rechenschaftspflicht bei der Verarbeitung von „Big Data“ . . .

Kontrolle über unsere personenbezogenen Daten zu haben bedeutet, dass wir bestimmen können, welche Daten zu welchem Zweck und durch wen verwendet werden. Es bedeutet aber auch, dass wir unsere Datenschutzrechte in vollem Umfang ausüben können. Dies mag in der Theorie einfach klingen, doch gestaltet sich dieser Prozess aufgrund der automatischen und komplexen Verarbeitung personenbezogener Daten, der Verwendung von Algorithmen für Entscheidungen und allein schon der Menge an personenbezogenen Daten, die von zahlreichen Akteuren der modernen Wirtschaft erhoben, ergänzt und uneingeschränkt gemeinsam genutzt werden, insbesondere online, erheblich schwieriger.

Transparenz und Rechenschaftspflicht bei der Verarbeitung personenbezogener Daten sind heute wichtiger als je zuvor. Die EU-Organe müssen gewährleisten, dass sie Vorbildwirkung für andere Unternehmen und Organisationen in der EU haben, und es ist Aufgabe des EDSB als ihre Datenschutzaufsichtsbehörde sicherzustellen, dass sie diesem Beispiel folgen. Das Angebot von Schulungen und Beratung ist dabei eine Möglichkeit (siehe Abschnitt 6.2.2), ferner die Durchführung von Untersuchungen der Tätigkeiten der EU-Organe und die Suche nach Lösungen, die eine verantwortungsvolle und transparente Datenverarbeitung einfacher machen.

4.3.1 Untersuchungen des EDSB

Als Aufsichtsbehörde für alle EU-Organe ist der EDSB für die Durchsetzung und Überwachung der Einhaltung der Datenschutzvorschriften durch die EU-Organe zuständig. Darüber hinaus gehört es auch zu unserem Zuständigkeitsbereich, dafür zu sorgen, dass die Öffentlichkeit die möglichen Risiken für die Rechte und Freiheiten des Einzelnen und der Gesellschaft im Zusammenhang mit der Verarbeitung personenbezogener Daten kennt. In dieser Eigenschaft haben wir 2019 zwei Untersuchungen der Einhaltung der Datenschutzvorschriften durch die EU-Organe durchgeführt, die von großem öffentlichen Interesse waren.

Kommunikationsaktivitäten für die EU-Parlamentswahlen

Das Europäische Parlament hat mehrere Kommunikationsinitiativen für die Wahlen zum EU-Parlament 2019 in die Wege geleitet. Eine dieser Initiativen war die Förderung des Engagements über eine Website mit der Bezeichnung thistimeimvoting.eu, bei der personenbezogene Daten von Menschen erhoben wurden, die sich für den Wahlkampf interessierten.

Wir haben herausgefunden, dass das Europäische Parlament mit NationBuilder, einem Unternehmen in den USA, das politische Kampagnen organisiert, zusammenarbeitete, das Dienstleistungen rund um die Website erbrachte. Dazu gehörte auch die Verarbeitung personenbezogener Daten im Auftrag des Parlaments. Angesichts der Kontroverse um dieses Unternehmen in früheren Jahren haben wir im Februar 2019 eine Untersuchung eingeleitet, um die Hinzuziehung von NationBuilder durch das Parlament zu prüfen und um sicherzustellen, dass die Nutzung der Website und die damit verbundene Verarbeitung personenbezogener Daten durch das Parlament rechtmäßig waren und mit den für EU-Organe geltenden Vorschriften im Sinne der Verordnung 2018/1725 in Einklang standen.

Die EU-Parlamentswahlen fanden nach einer ganzen Reihe von Auseinandersetzungen rund um die Wahlen sowohl innerhalb der EU-Mitgliedstaaten als auch im Ausland statt. Es war daher von allergrößter Bedeutung, dass sich der EDSB einschaltete, um zu gewährleisten, dass die Erhebung und Verwendung personenbezogener Daten durch das Parlament transparent und rechtmäßig erfolgte. In diesem Sinne haben wir zum allerersten Mal einen Verweis an ein EU-Organ erteilt: eine Verletzung von Artikel 29 der Verordnung 2018/1725 durch das Parlament, bei der es um die Auswahl und Zulassung der von NationBuilder eingesetzten Unterauftragsverarbeiter ging.

Außerdem haben wir angeordnet, dass das Parlament gesetzeskonforme Datenschutzgrundsätze veröffentlichen muss. Nachdem dies nicht fristgerecht erfolgte, haben wir einen weiteren Verweis erteilt.

Es ist geplant, die Datenschutzvorgänge des Parlaments Ende 2019 zu überprüfen, sobald das Parlament die Unterrichtung von natürlichen Personen über seine geänderte Absicht, die über die Website erhobenen personenbezogenen Daten bis 2024 zu speichern, abgeschlossen hat. Danach ergeben sich möglicherweise neue Erkenntnisse.

Die Untersuchung diente dazu, unsere Aufsichtsfunktion im Rahmen der neuen Verordnung zu testen. Im Zuge der Untersuchung haben sich die vom Europäischen Parlament und vom EDSB gesammelten Erfahrungswerte zu einem besseren Verständnis und einer wirksameren Zusammenarbeit weiterentwickelt, was für die Wahrung und den Schutz der Interessen der Unionsbürgerinnen und -bürger von maßgeblicher Bedeutung ist.

Vertragliche Vereinbarungen mit externen Dienstleistern

Im April 2019 leiteten wir eine Untersuchung ein, bei der wir die Rechtmäßigkeit vertraglicher und praktischer Vereinbarungen zwischen den EU-Organen und Microsoft über die Verwendung von Produkten und Dienstleistungen von Microsoft prüften.

Wenn EU-Organe für die Erbringung von Dienstleistungen auf Dritte zurückgreifen, sind sie für die in ihrem Auftrag vorgenommene Datenverarbeitung weiterhin rechenschaftspflichtig. Sie sind ferner verpflichtet, dafür Sorge zu tragen, dass vertragliche Vereinbarungen in Einklang mit dem neuen Datenschutzrecht stehen, und Maßnahmen zur Verringerung und Minderung von Risiken festzulegen und zu ergreifen. Dies bedeutet, dass vertragliche Bedingungen konkrete organisatorische und technische Maßnahmen zum Schutz der Rechte von natürlichen Personen auf den Schutz der Privatsphäre und auf Datenschutzrecht umfassen sollten und sichergestellt wird, dass die Verarbeitung ihrer personenbezogenen Daten in der Praxis in Einklang mit den Vorschriften erfolgt.

Die EU-Organe greifen zur Durchführung ihrer täglichen Aktivitäten auf die Dienstleistungen und Produkte von Microsoft zurück, was auch die Verarbeitung großer Mengen personenbezogener Daten einschließt. Art, Umfang, Kontext und Zwecke dieser Datenverarbeitung bedeuten, dass es von entscheidender Bedeutung ist sicherzustellen, dass entsprechende vertragliche Absicherungen und risikomindernde Maßnahmen vorgesehen sind. Daher stand bei unserer Untersuchung die Frage im Mittelpunkt, welche Produkte und Dienstleistungen von Microsoft von den EU-Organen genutzt werden, und die Prüfung, ob die zwischen Microsoft und den EU-Organen geschlossenen vertraglichen Vereinbarungen vollumfänglich mit den Datenschutzvorschriften in Einklang stehen. Darüber hinaus haben wir geprüft, ob die mit Microsoft vereinbarten sowie die von den EU-Organen umgesetzten Maßnahmen geeignet sind, die Risiken für natürliche Personen und für die Verarbeitung ihrer personenbezogenen Daten durch die Produkte und Dienstleistungen von Microsoft zu verringern und zu mindern.

Bei unserer Untersuchung haben wir unterschiedliche Herangehensweisen gewählt; dabei haben wir u. a. auch Ad-hoc- und Vor-Ort-Maßnahmen zur Überprüfung von Fakten und Verfahren und zur Kontrolle der von den EU-Organen umgesetzten Maßnahmen ergriffen. Wir warten auf die Ergebnisse dieser Untersuchung, damit die Einhaltung der Datenschutzbestimmungen durch alle EU-Organe verbessert werden kann; zugleich sind wir aber auch bestrebt, als leuchtendes Beispiel für einen positiven Wandel außerhalb der EU-Organe voranzugehen, um möglichst vielen Menschen bestmöglichen Nutzen zu bringen. Durch die Zusammenarbeit mit anderen erhoffen wir uns, dass etwaige notwendige Änderungen an den Produkten und zusätzliche vertragliche und technische Sicherheitsvorkehrungen von allen im Europäischen Wirtschaftsraum (EWR) tätigen Behörden genutzt werden können.

4.3.2 Systeme für das Personal Information Management

Zurzeit ist unser Leben online dadurch geprägt, dass es anbieterorientiert ist; dabei dienen Datenschutzgrundsätze eher den Interessen des Providers oder eines Dritten und nicht so sehr denjenigen des Einzelnen. Durch die Nutzung der von ihm erhobenen Daten sind Werbenetzwerke, Betreiber sozialer Netzwerke und andere privatwirtschaftliche Akteure in der Lage, individuelle Profile zu erstellen, die immer umfassender werden, was es für den Einzelnen schwierig macht, seine Rechte auszuüben oder seine personenbezogenen Daten online zu verwalten.

Zwar ermöglichen die DSGVO und die Verordnung 2018/1725 dem Einzelnen eine bessere Kontrolle darüber, wie seine personenbezogenen Daten erhoben und online genutzt werden, doch kann und sollte noch mehr getan werden, damit der Einzelne in die Lage versetzt wird, die Kontrolle über seine Online-Identität zurückzuerlangen. Die DSGVO und die Verordnung 2018/1725 sollten als Ausgangspunkt für die Entwicklung eines stärker auf den Menschen ausgerichteten Ansatzes auf der Basis von Transparenz und Nutzerkontrolle gesehen werden.

In unserer Stellungnahme zur kohärenten Durchsetzung von Grundrechten im Zeitalter von „Big Data“ vom September 2016 wurden die Schwierigkeiten bei der Ausübung von Datenschutzrechten im derzeitigen digitalen Umfeld hervorgehoben. Unsere Stellungnahme zu Systemen für das Personal Information Management (PIMS) vom Oktober 2016 gab allerdings Anlass zu Optimismus. Dabei wurden Bemühungen zur Entwicklung einer Vision von einer neuen Realität untersucht, in der Einzelne und nicht Online-Dienstleister in der Lage sind, ihre Online-Identität zu verwalten und zu kontrollieren.

Dank der Entwicklung von PIMS könnten natürliche Personen ihre personenbezogenen Daten in sicheren Online-Speichersystemen speichern und entscheiden, wann und an wen sie diese Informationen weitergeben möchten. Für diese neue Technologie gibt es vielfältige Gestaltungsformen und Geschäftsmodelle, doch beruhen alle auf derselben Vorstellung: Stärkung der Grundrechte in der digitalen Welt und zugleich Schaffung neuer Geschäftsmöglichkeiten für Anbieter von PIMS.

In unserer Stellungnahme haben wir die Europäische Kommission dringend aufgefordert, die Entwicklung innovativer digitaler Instrumente wie PIMS zu fördern und politische Initiativen auf den Weg zu bringen, die der Entwicklung von wirtschaftlich tragbaren Geschäftsmodellen, mit denen ihre Nutzung vereinfacht werden soll, neue Impulse verleihen. Wir müssen die Entwicklung technologischer, geschäftlicher und rechtlicher Initiativen fördern, damit die Datenschutzvorschriften wirksam umgesetzt werden können und wir wieder die Kontrolle über unsere Online-Identität zurückerlangen.

Der EDSB beobachtet die Entwicklung von PIMS und anderen Initiativen zur Verbesserung der Transparenz und der Nutzerkontrolle auch weiterhin sehr genau. IPEN (siehe Abschnitt 4.1.1) beispielsweise ist ein nützliches Forum zur Beobachtung dieser Entwicklungen.

4.3.3 Online-Manipulation

Am 20. März 2018 haben wir eine Stellungnahme zu Online-Manipulation und Datenschutz veröffentlicht. Da Fake News und Online-Manipulation beides Themen sind, die die Öffentlichkeit in den Monaten vor der Anwendung der DSGVO in zunehmendem Maße beschäftigten, haben wir argumentiert, dass das Kernproblem, vor dem wir stehen, nicht Fake News an sich sind, sondern der Missbrauch von personenbezogenen Daten und der Meinungsfreiheit im großen Maßstab.

Dieser Missbrauch durchdringt das gesamte digitale Informationsökosystem. In den letzten zwei Jahrzehnten hat sich dieses Ökosystem zu einer äußerst komplexen Struktur entwickelt, die von ganz wenigen sehr mächtigen Technologieunternehmen kontrolliert wird, der es jedoch an Rechenschaftspflicht mangelt. Sie hängt von einem Zyklus ständiger Nachverfolgung, Profilerstellung und Zielgruppenansprache („Tracking, Profiling, Targeting“) von Personen ab, bei dem mithilfe der erhobenen Informationen festgestellt werden soll, welche Informationen welchen Personen online angeboten werden.

Zielgruppenspezifische Werbung ist ein Beispiel, das zeigt, wie dieser Prozess funktioniert. 2018 wurde klar, dass dieses Ökosystem nicht nur für geschäftliche Zwecke, sondern auch aus politischen Gründen mit dem Ziel genutzt wird, den demokratischen Prozess zu stören und den sozialen Zusammenhalt zu untergraben.

Undurchsichtige algorithmische Entscheidungsprozesse werden verwendet, um die Inhalte festzulegen, die wir online sehen. Dabei werden Inhalte belohnt, die Empörung verursachen, da dabei das Engagement geweckt wird und damit Einkünfte für die betreffenden Technologieunternehmen generiert werden. Ein solcher Prozess stellt ganz offensichtlich eine Gefahr für den Schutz der Grundwerte und der Demokratie dar.

In unserer Stellungnahme haben wir unterstrichen, dass die Zusammenarbeit zwischen Regulierungsstellen intensiviert werden muss, damit wir die wirtschaftlichen und politischen Akteure dafür zur Verantwortung ziehen können, wie sie personenbezogene Daten verarbeiten. Dies bedeutet eine verstärkte Zusammenarbeit zwischen den Datenschutzbehörden selbst, aber auch eine verstärkte Zusammenarbeit über fachliche Grenzen hinweg, wobei Wettbewerbsbehörden, Regulierungsbehörden für audiovisuelle Dienste und Wahlaufsichtsbehörden eine Rolle zu spielen haben.

Angesichts der Befürchtung, dass politische Kampagnen den digitalen Raum und großflächig verfügbare Daten nutzen könnten, um bestehende Gesetze zu umgehen, haben wir uns einem ganz praktischen Fall zugewendet: den Wahlen zum Europäischen Parlament, die im Mai 2019 stattgefunden haben.

Im Februar 2019 haben wir einen Workshop zu der Frage organisiert, wie Online-Manipulation entlarvt und bekämpft werden kann, und zwar nicht nur während der EU-Wahlen, sondern auch während verschiedener nationaler Wahlen, die 2019 stattfinden sollten. Die Idee bestand darin, ein Gespräch zwischen Datenschutzbehörden, Wahlaufsichtsbehörden, Regulierungsbehörden für audiovisuelle Medien, den Medien und Online-Plattformen zu ermöglichen und die Bekämpfung von Online-Manipulation bei Wahlen zu koordinieren. Der Workshop hat das Problembewusstsein dafür geschärft, wie Fake News erzeugt und verbreitet werden, und bei den Diskussionsrunden wurden die Herausforderungen für die Demokratie, Datenschwachstellen und die Frage behandelt, wie Aufsichtsbehörden in unterschiedlichen Sektoren bei der Bekämpfung von Online-Manipulation und der Bewahrung der Integrität der Demokratie zusammenarbeiten können.

Am 13. März 2019 hat der Europäische Datenschutzausschuss (EDSA) eine Erklärung zur Verwendung personenbezogener Daten im Rahmen politischer Kampagnen angenommen, an der der EDSB aktiv mitgewirkt hat. Darüber hinaus haben wir im Rahmen unserer Aufsichtsfunktion erhebliche Anstrengungen in die Überwachung der Verwendung personenbezogener Daten während des Wahlkampfs bei den EU-Organen investiert und sind bei Bedarf tätig geworden (siehe Abschnitt 4.3.1).

Wir wollen erreichen, dass die Zusammenarbeit mit allen einschlägigen Parteien weitergeht, und zwar sowohl über das Digital Clearinghouse (siehe Abschnitt 4.2.1) als auch über andere Foren, denn wir sind bestrebt, die Demokratie und den sozialen Zusammenhalt weltweit zu schützen.

5. AUFBAU GLOBALER PARTNERSCHAFTEN

Datenschutzgesetze werden auf nationaler oder regionaler Ebene verabschiedet. Personenbezogene Daten allerdings überqueren Grenzen. Der Aufbau globaler Partnerschaften ist daher von entscheidender Bedeutung, wenn wir den wirksamen Schutz individueller Rechte innerhalb der EU und darüber hinaus gewährleisten wollen.

Die Frage, wie Datenschützer auf der Grundlage unseres Datenschutzkonzeptes besser eine größere globale Konvergenz erreichen können, war lange Zeit über ein Diskussionsthema. 2015 beschloss der EDSB, dass es an der Zeit sei, den Worten Taten folgen zu lassen. Wir wollten einen globalen digitalen Standard für den Schutz der Privatsphäre und den Datenschutz konzipieren, der auf natürliche Personen, ihre Rechte und Freiheiten und den Schutz ihrer persönlichen Identität und Sicherheit abzielt. Die Arbeiten dazu sollten von Europa in seiner Rolle als leuchtendes Beispiel für die Wahrung der Grundrechte vorangetrieben werden.

In unserer Strategie 2015-2019 werden drei Aktionsschwerpunkte zur Erreichung dieses Ziels dargelegt. Hierzu musste ein ethisches Datenschutzkonzept entwickelt werden, mit dem gewährleistet wird, dass Datenschutzgrundsätze in allen von der EU ausgehandelten internationalen Übereinkommen integriert werden, und welches die Zusammenarbeit mit unseren EU-Bündnispartnern verbessert mit dem Ziel, ein stimmiges und einheitliches EU-Datenschutzkonzept auf der internationalen Bühne zu fördern.

Die Rechenschaftspflicht im Umgang mit personenbezogenen Daten zu gewährleisten ist eine globale Herausforderung, doch da immer mehr Länder Datenschutzgesetze verabschieden und sich viele dabei an der Datenschutz-Grundverordnung (DSGVO) der EU orientieren, können wir zuversichtlich sein, dass wir in unserem Bestreben auf dem richtigen Weg sind.

5.1 Entwicklung einer ethischen Dimension für den Datenschutz . . .

In den letzten Jahren sind soziale Medien ein leistungsstarkes Werkzeug für die politische und geschäftliche Manipulation geworden (siehe Abschnitt 4.3.3). Chatbots und automatisierte Verwaltung treten langsam aber sicher an die Stelle der menschlichen Interaktion, öffentliche Überwachungsmaßnahmen nehmen zu, ebenso die Investitionen des öffentlichen und privaten Sektors in die Entwicklung digitaler Kriegstechnologie, und auch die Auswirkungen datenintensiver Technologien auf unser natürliches Ökosystem werden zum Problem.

Die digitale Revolution stellt die traditionellen Rahmenwerke, die für die Achtung unserer Rechte auf Datenschutz und auf Schutz der Privatsphäre genutzt wurden, in Frage. Man muss die Art und Weise, in der wir neue Technologien nutzen, ernsthaft hinterfragen, ihre Auswirkungen auf unsere Rechte und Werte einschätzen und festlegen, wie damit umzugehen ist.

Eine Möglichkeit, wie wir dies bewerkstelligen könnten, besteht darin, dass wir eine ständige Debatte zu der Frage anregen, was im digitalen Umfeld ethisch ist. Der EDSB hat im Laufe seiner Amtszeit diesbezüglich erhebliche Anstrengungen unternommen. Unser Anliegen war es, eine globale Debatte zu der Frage anzustoßen, wie wir den Schutz der Menschenrechte und Grundwerte im digitalen Zeitalter sicherstellen können.

5.1.1 Die Ethikinitiative

2015 hat der EDSB die Ethikinitiative ins Leben gerufen. Ziel dieses Fünfjahresprogramms, das sich über die gesamte Amtszeit des EDSB erstreckt, war es, neben den herkömmlichen auch neue Belange des Datenschutzes zu beleuchten und uns mit den Folgen der derzeitigen und neuen digitalen Technologien sowohl für den Einzelnen als auch die Gesellschaft als Ganze zu befassen.

Dabei ging es für uns darum, für die Risiken, denen wir als Bevölkerung derzeit gegenüberstehen, zu sensibilisieren und für ein besseres Verständnis dafür zu sorgen. Wir wollten die Zusammenhänge zwischen Datenschutz und Privatsphäre und der Wahrung der Menschenwürde in der digitalisierten Welt erkennen und die Bedeutung und den Stellenwert dieser Zusammenhänge ergründen, wobei wir technologische Entwicklungen wie z. B. umfassende Praktiken zur Nachverfolgung und Profilerstellung, das Internet der Dinge, große Datenmengen („Big Data“), künstliche Intelligenz (KI) und autonome Systeme, Robotik und Biometrie berücksichtigt haben.

Bei Ethik geht es darum festzulegen, was unter bestimmten Umständen in der Theorie wie auch in der Praxis richtig und was falsch ist. Ethik ist keine Alternative zum Recht, sondern fließt in Gesetze ein, wenn diese ausgearbeitet, ausgelegt und überarbeitet werden. Ethik kann auch als Orientierungshilfe für Menschen und Organisationen bei der Entscheidung dienen, ob sie in einem Bereich, in dem das Gesetz keine Regelungen enthält oder unklar ist, handeln sollen oder nicht. Über die Ethikinitiative haben wir versucht, Kontakte über die unmittelbaren Kreise von EU-Beamten, Rechtsanwälten und IT-Fachleuten hinaus zu knüpfen und einen globalen Meinungsaustausch zu diesem Thema anzustoßen.

5.1.2 Der Ethik-Beirat

Im September 2015 haben wir mit der Vorlage einer Stellungnahme mit dem Titel Der Weg zu einem neuen digitalen Ethos: Daten, Würde und Technologie die Ethikinitiative ins Leben gerufen. In der Stellungnahme wurden Technologietrends aufgezeigt, die neue ethische Fragen aufwerfen, und die EU und andere internationale Gremien dringend aufgefordert, einen ethischen Ansatz für die Entwicklung und Nutzung neuer Technologien zu fördern. Darüber hinaus haben wir mithilfe der Stellungnahme unsere Absicht erklärt, einen unabhängigen Ethik-Beirat einzusetzen.

Wir haben die Mitglieder des Ethik-Beirats im Januar 2016 auf der jährlichen Konferenz zu Computern, Privatsphäre und Datenschutz („Computers, Privacy and Data Protection“, CPDP) bekannt gegeben. Der aus sechs Fachleuten mit unterschiedlichem Hintergrund bestehende Ethik-Beirat wurde damit beauftragt, die Beziehungen zwischen Menschenrechten, Technologie und Märkten zu untersuchen und Gefährdungen der Rechte auf Datenschutz und auf den Schutz der Privatsphäre im digitalen Zeitalter aufzuzeigen.

Die Gruppe hat zwei Jahre lang zusammengearbeitet und dabei digitale Ethik aus völlig unterschiedlichen wissenschaftlichen und fachlichen Perspektiven heraus beleuchtet. Bei diesen Gesprächen ging es darum, einen Beitrag zu einer breiter angelegten Debatte über das digitale Umfeld und seine ethischen Auswirkungen zu leisten. Während dieser Zeit hat die Geschäftsstelle des Ethik-Beirats, die vom EDSB gestellt wird, zwei Arbeitskreise zum Thema digitale Ethik organisiert. Beim ersten Arbeitskreis im Juli 2016 wurde das Verhältnis zwischen Ethik und Datenschutz näher beleuchtet, während sich der zweite Arbeitskreis, der im Juli 2017 stattfand, mit dem breiter gefassten Thema datengesteuertes Leben befasste.

Der Ethik-Beirat schloss seine Arbeit 2018 mit der Vorlage seines Abschlussberichts auf der CPDP-Konferenz 2018 ab. Ziel des Berichts war es nicht, endgültige Antworten zu erarbeiten oder neue Standards zu formulieren, sondern vielmehr, zu proaktiven Überlegungen zu der Frage anzuregen, was auf dem Spiel steht. Im Mittelpunkt standen dabei die Folgen der digitalen Revolution und die Auswirkungen, die diese Folgen auf die Werte hatten, die wir als Einzelpersonen und als Gesellschaft hochhalten.

Der Ethik-Beirat hat die wichtigsten soziokulturellen Veränderungen aufgezeigt, die durch den aktuellen technologischen Wandel ausgelöst wurden, und von einem instrumentellen Ethik-Ansatz mit ethischen Checklisten abgeraten mit dem Argument, ein solcher Ansatz würde ethischen Überlegungen Schranken setzen. Er hat hervorgehoben, wie neue digitale Technologien die menschliche Autonomie und Selbstbestimmung gefährden, und argumentiert, dass die Achtung der Mitmenschlichkeit und Würde des Einzelnen in Fällen, in denen Einzelpersonen als vorübergehende Datenaggregate behandelt werden, die in industriellem Maßstab verarbeitet werden, um über algorithmische Profilerstellung jede Art von Interaktion mit ihnen zu verbessern, nicht gewahrt werden kann.

5.1.3 Die „Ethik-Debatte“

Nachdem der Ethik-Beirat seine Arbeit abgeschlossen hatte, wandten wir uns der Aufgabe zu, eine Debatte zum Thema digitale Ethik rund um die Welt anzustoßen. Auf der Grundlage der Ergebnisse des Berichts des Ethik-Beirats haben wir am 15. Juni 2018 eine globale öffentliche Konsultation zu digitaler Ethik eingeleitet und die Debatte für Beiträge von Einzelpersonen und Organisationen aus allen gesellschaftlichen Gruppen geöffnet.

Bei der Konsultation sind 76 Antworten aus den unterschiedlichsten Quellen von überall auf der Welt bei uns eingegangen. Dazu gehörten Gesundheitseinrichtungen, Kindergärten, Universitäten, Regierungen, NRO, Kanzleien und Softwareentwickler. Die Ergebnisse der Konsultation wiesen darauf hin, dass eine deutliche Mehrheit der Teilnehmer einen ethisch orientierten Datenschutzansatz befürwortet, um die Einhaltung von Rechtsvorschriften zu verbessern und proaktiv neue Herausforderungen aufzuzeigen.

Die 40. Internationale Konferenz der Beauftragten für den Datenschutz und die Privatsphäre (siehe Abschnitt 5.2.1) erwies sich als Wendepunkt für die Debatte über digitale Ethik. Wir haben den öffentlichen Teil der vom EDSB im Oktober 2018 ausgerichteten Konferenz dem Thema Debatte über Ethik: Würde und Respekt im datengetriebenen Leben gewidmet. Wir wollten auf der im Rahmen der Ethikinitiative des EDSB geleisteten Arbeit aufbauen und eine weltumspannende Reaktion auf die Herausforderungen des digitalen Zeitalters hervorrufen.

Unter den Referenten befanden sich Aktivisten, Wissenschaftler, Vertreter des nicht-öffentlichen Sektors, Gerichtspräsidenten, Datenshutzbehöden und viele andere aus der ganzen Welt. Auch die Konferenzteilnehmer hatten einen völlig unterschiedlichen Hintergrund. Wir waren bestrebt, Debatten über die Herausforderungen, mit denen wir bei der Wahrung der Menschenwürde und der Achtung des Menschen in unseren datengetriebenen Gesellschaften von heute konfrontiert sind, aber auch darüber, wie wir diese bewältigen können, anzuregen. In unserem ausführlichen Konferenzbericht sind die Kernaussagen der einzelnen Hauptreferenten und der Podiumsdiskussion zusammengefasst.

Die Herausforderungen der digitalen Revolution erfordern eine globale Antwort. Durch die Konferenz waren wir in der Lage, die Art von vielschichtiger, globaler und interdisziplinärer Debatte anzustoßen, die uns beflügeln kann, diese Herausforderungen zu bewältigen. Dank unserer Kommunikationsbemühungen während der Konferenz waren wir imstande, eine Vielzahl von Personen zu mobilisieren, und zwar nicht nur innerhalb von Datenschützerkreisen und innerhalb von Europa, sondern über ein breites Spektrum von Disziplinen hinweg weltweit, und kamen dem gemeinsamen Ziel der Ausarbeitung eines ethischen Datenschutzkonzepts einen großen Schritt näher.

5.1.4 Über die internationale Konferenz hinaus

Es war wichtig, dafür zu sorgen, dass wir uns die bei der Konferenz erzielten Fortschritte zu Nutze machten und bei der Debatte über digitale Ethik voranschreiten konnten. Wir setzten bei den auf der Konferenz angesprochenen Themen an und ermittelten mehrere konkrete Problemfelder, mit denen sich eine Reihe offener Webinare näher befassen sollten, die wir #DebatingEthics Conversations nannten.

Diese Gespräche ermöglichten es uns, jedes der ausgewählten Themen im Rahmen der Zusammenarbeit mit geladenen Experten ausführlicher zu erkunden. Sie erstreckten sich auf Themen wie die Überwachung des Arbeitsplatzes und die Auswirkungen digitaler Technologien auf die Umwelt. Alle Folgen sind auch als Podcasts auf der EDSB-Website abrufbar.

Nach Abschluss der #DebatingEthics Conversations haben wir Ende 2019 eine zweite Stellungnahme zu digitaler Ethik herausgegeben, in der die wichtigsten Anliegen, die während der Ethikinitiative aufgezeigt wurden, und die weitere Vorgehensweise dargestellt wurden.

Die internationale Konferenz bleibt ebenfalls ein wichtiges Diskussionsforum, um die Debatte voranzubringen. Mit der Einrichtung der ICDPPC-Arbeitsgruppe zu künstlicher Intelligenz (KI), Ethik und Datenschutz im Jahr 2018 (siehe Abschnitt 4.1.2 und 5.2.4) ist gewährleistet, dass die Diskussion über digitale Ethik international weiterhin höchste Priorität genießt.

Ergänzend dazu haben wir anlässlich der diesjährigen Konferenz 2019 eine Nebenveranstaltung organisiert, die in Tirana (Albanien) stattfand. Bei der Veranstaltung ging es um die Auswirkungen von Faktoren wie z. B. globaler Erwärmung und die sich daraus ergebende Umsiedlung großer Bevölkerungsgruppen und den Trend, biometrische und Überwachungstechnologie im Grenzschutz einzusetzen, ferner um unsere Fähigkeit, uns nicht nur für das Recht auf Privatsphäre, sondern auch für die Menschenwürde und andere Grundrechte und Grundwerte einzusetzen.

Die Ethikinitiative des EDSB diente als Weckruf für Datenschützer. Es ist uns gelungen, eine bitter nötige Debatte über Werte und Rechte im digitalen Zeitalter anzustoßen, von der wir hoffen, dass sie dazu führt, dass Innovation verantwortungsbewusst erfolgt, zusammen mit Technologien, die so entwickelt werden, dass sie der Gesellschaft einen echten Nutzen bringen.

5.2 Durchgängige Einbeziehung des Datenschutzes in internationale Politikbereiche . . .

In den letzten fünf Jahren begann der Datenschutz ernstlich damit, Einzug in sämtliche Politikfelder zu halten. Im digitalen Zeitalter ist jeder und alles vernetzt, und diese Vernetzung erfolgt über das Medium Daten. Wurde Datenschutz früher als gesondertes politisches Thema betrachtet, ist er mittlerweile ein zentraler Politikschwerpunkt. Die Diskussionen rund um die EU-Handelspolitik zeigen dies sehr deutlich, wie der EDSB Giovanni Buttarelli in einem Blogeintrag Ende 2017 erläuterte.

Während des laufenden Mandats haben wir versucht, den EU-Gesetzgeber genau dazu zu beraten, wie die EU-Datenschutzgrundsätze bei Verhandlungen internationaler Übereinkommen, die mit grenzüberschreitenden Datenströmen verbunden sind, durchgängig und konsequent angewandt werden können. Außerdem haben wir die Umsetzung bestehender internationaler Übereinkommen aufmerksam verfolgt und zugleich unsere Zusammenarbeit mit internationalen Partnern im Sinne eines besser koordinierten internationalen Ansatzes in Bezug auf Datenschutz und Privatsphäre ausgebaut.

5.2.1 Die Internationale Konferenz der Beauftragten für den Datenschutz und die Privatsphäre 2018

Die internationale Konferenz der Beauftragten für den Datenschutz und die Privatsphäre (ICDPPC) findet jedes Jahr statt mit dem Ziel, bei Datenschutz und Privatsphäre eine globale Führungsrolle zu übernehmen, indem Datenschutzbehörden aus der ganzen Welt miteinander vernetzt werden. Der EDSB ist seit Langem aktiver Teilnehmer der Konferenz, und im Oktober 2018 hatten wir das Privileg, die internationale Konferenz in Brüssel zusammen mit unserer Mitveranstalterin, der bulgarischen Kommission für den Schutz personenbezogener Daten, ausrichten zu dürfen.

Die Konferenz begann mit einem zweitägigen nichtöffentlichen Konferenzteil, der nur den zur Konferenz akkreditierten Mitgliedern offenstand. Anschließend begrüßten wir zum öffentlichen Teil der Konferenz Teilnehmer, die aus der ganzen Welt angereist waren. Zu den Teilnehmern gehörten neben den Datenschutzbehörden Vertreter von Regierungen, der Zivilgesellschaft, Regulierungsstellen, Industrie, Wissenschaft und Medien. Es fanden vierzig Nebenveranstaltungen zu einer ganzen Reihe von Themen in Verbindung mit Privatsphäre statt, und von unserer Mitveranstalterin wurden in Sofia (Bulgarien) weitere Veranstaltungen zum Thema Privatsphäre organisiert.

Die nichtöffentliche Sitzung – Ethik und künstliche Intelligenz

Die Tagesordnung für die nichtöffentliche Sitzung der Konferenz wird vom ICDPPC-Exekutivausschuss erstellt. 2018 stand das zentrale Thema der nichtöffentlichen Sitzung allerdings erstmals direkt in Verbindung mit dem Thema der öffentlichen Sitzung.

Bei der nichtöffentlichen Sitzung der Konferenz 2018 kam eine Rekordzahl von Abgesandten – insgesamt 206 Teilnehmer aus 76 verschiedenen Ländern – zusammen. Zur Diskussion stand das Thema Ethik und künstliche Intelligenz.

Nur wenige Behörden verfolgen derzeit die Auswirkungen neuer Technologien auf die Grundrechte so genau und intensiv wie Datenschutzbehörden. Daher wurde bei der Konferenz 2018 versucht, die zwei Jahre zuvor in Marrakesch angestoßene Diskussion über KI fortzuführen (siehe Abschnitt 4.1.2).

Neben der Erstellung einer Erklärung zu Ethik und Datenschutz im Rahmen der KI (siehe Abschnitt 4.1.2) wurden bei der nichtöffentlichen Sitzung neben dem Fahrplan für die Zukunft der Internationalen Konferenz drei Entschließungen zu den Themen E-Learning-Plattformen, Konferenz-Zensus und Zusammenarbeit zwischen Datenschutzbehörden und Verbraucherschutzbehörden verabschiedet.

Wir hoffen, dass die während der nichtöffentlichen Sitzung getroffenen Entscheidungen dazu beitragen werden, dass sich die Konferenz so weiterentwickelt, dass die Zusammenarbeit auf globaler Ebene sowohl innerhalb als auch außerhalb von Datenschützerkreisen gestärkt wird.

Die öffentliche Sitzung – Debatte über Ethik

Da die Wahl des Themas für den öffentlichen Konferenzteil im Ermessen der Gastgeber liegt, haben wir uns für folgendes Thema entschieden: Debatte über Ethik: Würde und Respekt im datengetriebenen Leben. Wir wollten eine integrative, interdisziplinäre und interaktive Debatte über die digitale Revolution und ihre Auswirkungen auf uns als Einzelpersonen und als Gesellschaft anstoßen (siehe Abschnitt 5.1.3).

In der öffentlichen Sitzung kamen Teilnehmer unterschiedlicher Hintergründe und Nationalitäten zusammen. Dazu gehörten Vertreter des privaten und öffentlichen Sektors, der Wissenschaft, Zivilgesellschaft und der Medien sowie Gäste, Mitglieder und Beobachter der ICDPPC. Den Schwerpunkt der Diskussion bildeten die Auffassungen von Recht und Unrecht rund um die Welt und über unterschiedliche Disziplinen hinweg und die Frage, wie diese Auffassungen Recht, Technologie und die Verhaltensweisen von Menschen beeinflussen.

Das einzigartige Thema, das Programm, das Format und eine Reihe hervorragender Redner sorgten für eine Rekordteilnehmerzahl. Auch die Zahl der NRO-Delegierten stellte einen Rekord dar. Alles in allem waren 85 Länder vertreten, und damit verdiente die Konferenz wahrhaftig die Bezeichnung „international“.

Auch die Medienberichterstattung war weltumspannend. 81 Medienorganisationen aus 23 Ländern einschließlich Sendeanstalten, Nachrichtenagenturen und führende Zeitungen waren allesamt auf der Konferenz aktiv.

Ein ausführlicher Bericht über die Konferenz ist auf der EDSB-Website abrufbar.

Nebenveranstaltungen

Traditionell finden am Rande der internationalen Konferenz Nebenveranstaltungen statt, und auch die Konferenz 2018 bildete davon keine Ausnahme. Bei den Veranstaltungen ging es nicht nur um das Konferenzthema „digitale Ethik“, sondern auch um ein breites Spektrum anderer Themen in Verbindung mit der Datenschutzpraxis. Bei mehr als 40 Veranstaltungen, die zur Wahl standen, war für jeden etwas dabei.

Die von vielen unterschiedlichen Organisationen und Gruppen aus aller Welt organisierten Nebenveranstaltungen, die in der Woche der internationalen Konferenz stattfanden, boten den Teilnehmern eine einzigartige Gelegenheit, sich mit Kollegen aus unterschiedlichen Disziplinen und Regionen rund um die Welt auszutauschen und von deren unterschiedlichen Sichtweisen auf ein breites Spektrum von Themen in Bezug auf Datenschutzfragen zu lernen. Die Nebenveranstaltungen wurden von acht verschiedenen Datenschutzbehörden aus der ganzen Welt, 18 NRO und internationalen Organisationen, sechs Denkfabriken und Forschungsgruppen und acht Privatunternehmen und Anwaltskanzleien organisiert. Es traten mehr als 160 Referenten auf.

5.2.2 Datenschutz und Handel

Anfang 2018 hat die Europäische Kommission die Ergebnisse der Arbeit ihres Projektteams zu einem eigenständigen Kapitel zu grenzüberschreitenden Datenströmen und zum Schutz personenbezogener Daten dargelegt, das in künftige Handels- und Investitionsabkommen aufgenommen werden soll. Dem Vorschlag zufolge soll das Kapitel aus zwei Artikeln bestehen, die sich auf grenzüberschreitende Datenströme und den Schutz personenbezogener Daten beziehen sollen.

Der Schutz personenbezogener Daten und der Privatsphäre sind Grundrechte und daher nicht verhandelbar. Dies bedeutet, dass sie im Idealfall gar nicht erst in internationale Handels- oder Investitionsabkommen aufgenommen werden müssen. Dessen ungeachtet hat der EDSB den vorgeschlagenen Ansatz begrüßt, der zwischen der notwendigen Abschaffung von Hindernissen für internationale Datenströme einerseits und der notwendigen Bewahrung der Grundrechte der EU einschließlich des Rechts auf Datenschutz andererseits ein Gleichgewicht schafft. Wir haben außerdem die Bestätigung der Kommission begrüßt, wonach Angemessenheitsbeschlüsse (siehe Abschnitt 5.2.3) der bevorzugte Rechtsgrund für internationale Datenübermittlungen sein sollten, wobei über Datenschutzfragen gesondert verhandelt wird. Dies bedeutet, dass die Aufnahme horizontaler Bestimmungen in Handels- oder Investitionsabkommen nur dann in Erwägung gezogen werden sollte, wenn sich Angemessenheitsbeschlüsse realistischerweise nicht erreichen lassen.

Nach diesem neuen Ansatz wurde erstmals bei den Verhandlungen zum Wirtschaftspartnerschaftsabkommen zwischen der EU und Japan vorgegangen, das am 1. Februar 2019 in Kraft trat. Parallel zu diesen Gesprächen nahm die Kommission einen Angemessenheitsbeschluss für Japan an (siehe Abschnitt 5.2.3). Der EDSB war aktiv an den Gesprächen im Europäischer Datenschutzausschuss (EDSA) über den Beschlussentwurf beteiligt, damit im Rahmen des neuen Ansatzes in Bezug auf Datenschutz und Handelsabkommen ein erfolgreicher Abschluss gewährleistet werden konnte.

5.2.3 Bewertung von Angemessenheitsbeschlüssen

Die Europäische Kommission kann entscheiden, ob ein Drittland ein Datenschutzniveau gewährleistet, das im Wesentlichen dem innerhalb der Union gewährleisteten Schutzniveau gleichwertig ist, sodass personenbezogene Daten ungehindert zwischen der EU und dem betreffenden Drittland fließen können. Solche Entscheidungen sind unter der Bezeichnung Angemessenheitsbeschlüsse bekannt.

Vor der Annahme eines Angemessenheitsbeschlusses ist die Kommission aufgrund der DSGVO und der Datenschutzrichtlinie für Polizei und Justiz verpflichtet, den EDSA, dessen Mitglied der EDSB ist, um eine Stellungnahme zu ihrem Vorschlag zu ersuchen.

In den letzten fünf Jahren haben wir die Kommission in zwei Fällen beraten, in denen es um die Frage der Angemessenheit ging: Japan und die USA.

Der Angemessenheitsbeschluss EU-Japan

Im September 2018 legte die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten aus der EU nach Japan vor. Der EDSA hat seine aktualisierten Leitlinien zu Angemessenheitsbeschlüssen als Maßstab verwendet und am 5. Dezember 2018 eine Stellungnahme zum Entwurf des Abkommens angenommen.

Als erster Angemessenheitsbeschluss im Zeitalter der DSGVO galt dieser als extrem wichtig, damit sichergestellt werden konnte, dass dieses Abkommen zwischen der EU und Japan höchsten Maßstäben entsprach. Der EDSA wollte sicherstellen, dass damit sowohl für künftige Angemessenheitsabkommen als auch für eine bevorstehende Überprüfung der bereits vorliegenden Angemessenheitsbeschlüsse der Ton vorgegeben wurde. Der EDSA begrüßte zwar die Bemühungen der Europäischen Kommission und der japanischen unabhängigen Datenschutzbehörde PPC, die Konvergenz zwischen ihren jeweiligen rechtlichen Rahmen zu verbessern, wies aber auch auf eine Reihe von Anliegen hin, darunter die Frage, ob der Schutz der aus der EU nach Japan übermittelten personenbezogenen Daten über die gesamte Lebensdauer hinweg gewährleistet werden kann. Der EDSB legte darüber hinaus am 4. September 2018 vorläufige informelle Kommentare zu dem vorgeschlagenen Angemessenheitsbeschluss vor.

Als Mitglied des EDSA haben wir aktiv an den Diskussionen über die Stellungnahme des EDSA mitgewirkt und dabei besonders auf die Rolle des Ausschusses und die Rechenschaftspflicht der Kommission bei Verhandlungen über Angemessenheitsabkommen verwiesen. Besonders berücksichtigt haben wir dabei die Bedeutung der laufenden Verhandlungen zum Wirtschaftspartnerschaftsabkommen EU-Japan, die parallel dazu stattfanden, sowie die Notwendigkeit zu gewährleisten, dass das neue europäische Datenschutzkonzept für Handelsabkommen, die von der Kommission vereinbart werden, erfolgreich in der Praxis umgesetzt werden konnte (siehe Abschnitt 5.2.2).

Die Kommission hat den Beschlussentwurf nach Vorlage der Stellungnahme des EDSA geändert und den Angemessenheitsbeschluss EU-Japan am 23. Januar 2019 angenommen.

„Sicherer Hafen“ für ungültig erklärt

Am 24. März 2015 ersuchte der Gerichtshof der Europäischen Union (EuGH) den EDSB, sich in der Rechtssache C-362/14 Schrems gegen Data Protection Commissioner in seiner Eigenschaft als Berater der EU-Organe in Datenschutzfragen einzuschalten.

Die Rechtssache betraf die „Sicherer Hafen“-Entscheidung, die mit der US-Regierung ausgehandelt und von der Kommission mehr als 15 Jahre zuvor angenommen worden war, damit für die aus der EU in die USA übermittelten personenbezogenen Daten dasselbe Schutzniveau gewährt wird, wie es in der EU der Fall wäre. Auch wenn die „Sicherer Hafen“-Entscheidung nicht die einzige Möglichkeit für die Übermittlung von Daten zwischen den beiden war, wurde sie häufig in Anspruch genommen, insbesondere von vielen der großen amerikanischen Technologieunternehmen.

Die Rechtssache ging auf eine Beschwerde bezüglich der Übermittlung von Daten durch Facebook Ireland Ltd. zurück. Der Beschwerdeführer, Maximilian Schrems, ein Studierender aus Österreich, machte geltend, dass die im Rahmen des „Sicheren Hafens“ in die USA übermittelten personenbezogenen Daten nicht ausreichend geschützt waren, wobei er sich zur Untermauerung seines Arguments auf Enthüllungen über eine massenhafte Überwachung von Daten in den USA berief. Da sich der irische Data Protection Commissioner selbst nicht in der Lage sah, der „Sicheren Hafen“-Entscheidung Folge zu leisten, brachte Schrems den Fall vor dem irischen High Court, der den EuGH mit einer Reihe von Fragen befasste.

In den dem EuGH vom EDSB vorgelegten Erklärungen haben wir Folgendes festgestellt:

• Am „Sicheren Hafen“ bestanden lange Zeit hinweg Zweifel. Die Artikel-29-Datenschutzgruppe hatte bereits zuvor eine Reihe von Kritikpunkten angebracht, die jedoch nie abschließend geklärt wurden.
• Es bestand die Möglichkeit, dass Reichweite und Umfang der Überwachung so groß waren, dass der „Sicheren Hafen“ den Wesensgehalt der in der EU-Grundrechtecharta verankerten Grundrechte auf Schutz der Privatsphäre und auf Schutz personenbezogener Daten nicht achtete.
• Unabhängige Datenschutzbehörden sind befugt festzulegen, welche Maßnahmen für ein angemessenes Gleichgewicht zwischen dem Recht auf Privatsphäre und Schutz personenbezogener Daten sowie in diesem Fall einer Störung des Binnenmarktes erforderlich sind.

Wir gelangten zu dem Schluss, dass eine wirkungsvolle Lösung in dieser Rechtssache darin bestünde, ein internationales Übereinkommen auszuhandeln, das angemessenen Schutz vor undifferenzierter Überwachung bieten würde. Wir haben ausgeführt, dass dieses auch Verpflichtungen hinsichtlich Aufsicht, Transparenz, Rechtsbehelfe und Datenschutzrechte umfassen sollte.

Am 6. Oktober 2015 erklärte der EuGH die „Sichere Hafen“-Entscheidung für ungültig. Der Gerichtshof stellte klar, dass die Europäische Kommission bei der Verhandlung eines Angemessenheitsbeschlusses für die Übermittlung von Daten zwischen der EU und einem Drittland sowohl den Inhalt der Datenschutzvorschriften des betreffenden Landes als auch die Maßnahmen zur Durchsetzung der Einhaltung dieser Vorschriften prüfen muss. Diese Prüfung sollte regelmäßig stattfinden, um sicherzugehen, dass die Umstände unverändert sind.

Der Gerichtshof befand außerdem, dass nationale Datenschutzbehörden die Befugnis haben müssen, die Gültigkeit von Angemessenheitsbeschlüssen der Kommission im Namen von natürlichen Personen, die Bedenken aufwerfen, zu überprüfen und zu hinterfragen.

Ein abgestimmtes Vorgehen in Bezug auf den EU-US-Datenschutzschild

Anfang 2016 ist die Europäische Kommission mit den USA zu einer politischen Einigung über einen neuen Rahmen für Übermittlungen personenbezogener Daten gelangt. Gemäß dem Verfahren legte die Kommission die Vereinbarung, die auch unter der Bezeichnung „EU-US-Datenschutzschild“ bekannt ist, sowohl dem EDSB als auch der Artikel-29-Datenschutzgruppe zur Konsultation vor.

Zum Abschluss ihrer Plenarsitzung am 2. und 3. Februar 2016 veröffentlichte die Artikel-29-Datenschutzgruppe eine gemeinsame Erklärung zu dem Vorschlag. Ihre Stellungnahme folgte kurz darauf am 13. April 2016. Zwar begrüßte die Gruppe eine Reihe deutlicher Verbesserungen im Vergleich zur „Sicheren Hafen“-Entscheidung, äußerte jedoch auch einige schwerwiegende Bedenken bezüglich des vorgeschlagenen Übereinkommens und stellte fest, dass einige wichtige, im EU-Recht verankerte Datenschutzgrundsätze in dem Vorschlag fehlten.

Der EDSB veröffentlichte am 30. Mai 2016 seine eigene Stellungnahme auf der Grundlage der Empfehlungen in der Stellungnahme der Artikel-29-Datenschutzgruppe, die er weitgehend bekräftigte. Auch wenn wir die Bemühungen zur Ausarbeitung einer geeigneten Ersatzregelung für den „Sicheren Hafen“ begrüßten, gelangten wir doch zu dem Schluss, dass die vorgeschlagenen Verbesserungen in dem neuen Rahmen nicht ausreichten. Insbesondere empfahlen wir eine Stärkung der wichtigsten Grundsätze des neuen Selbstzertifizierungssystems einschließlich von Bestimmungen zu Datenspeicherung, Zweckbindung und den Rechten von Einzelpersonen und forderten strenge Vorschriften für den Zugriff von US-Behörden auf personenbezogene Daten.

Der Datenschutzschild trat am 1. August 2016 in Kraft, und seitdem fand jedes Jahr eine gemeinsame Überprüfung, die von der Artikel-29-Datenschutzgruppe und anschließend vom EDSA durchgeführt wurde, statt. Bei dieser Überprüfung geht es darum sicherzustellen, dass der Datenschutzschild so umgesetzt wird, dass ein angemessener Schutz personenbezogener Daten in Einklang mit den EU-Vorschriften gewährleistet wird. Der EDSB hat bislang an allen Überprüfungen teilgenommen.

Am 28. November 2017 hat die Artikel-29-Datenschutzgruppe ihren Bericht über die erste jährliche gemeinsame Überprüfung des EU-US-Datenschutzschildes vorgelegt, gefolgt von der Veröffentlichung des Berichts der Europäischen Kommission über die erste jährliche Überprüfung der Funktionsweise des EU-US-Datenschutzschilds.

Der Bericht befasste sich schwerpunktmäßig mit Bedenken, die in früheren Stellungnahmen der Artikel-29-Datenschutzgruppe in Bezug auf die geschäftlichen Aspekte des Datenschutzschildes und den Zugriff der Regierung auf Daten aus der EU für die Zwecke der Durchsetzung der Rechtsvorschriften und der nationalen Sicherheit geltend gemacht worden waren. Darin wurde empfohlen, dass die Europäische Kommission und die US-Behörden die Gespräche wieder aufnehmen sollten, und es wurde die Einsetzung einer Ombudsperson, die Klärung von Verfahrensregeln und die Besetzung von freien Stellen bei der Stelle zur Überwachung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten (Privacy and Civil Liberties Oversight Board, PCLOB) vor dem 25. Mai 2018 gefordert. Eventuelle noch verbleibende Bedenken sollten bis zum Termin der zweiten gemeinsamen Überprüfung ausgeräumt werden. In dem Bericht hieß es, dass die Artikel-29-Datenschutzgruppe dann, wenn diese Bedenken nicht innerhalb der vorgegebenen Fristen ausgeräumt würden, bezüglich des Beschlusses über die Angemessenheit des Datenschutzschildes die einzelstaatlichen Gerichte anrufen könnte, die sie dann dem EuGH zur Vorabentscheidung vorlegen können.

In dem am 22. Januar 2019 vorgelegten Bericht des EDSA zur zweiten jährlichen Überprüfung wurden die Fortschritte bei der Umsetzung des Datenschutzschilds anerkannt. Hierzu wurden Bemühungen unternommen, das ursprüngliche Zertifizierungsverfahren anzupassen, mit einer Überwachung von Amts wegen sowie Durchsetzungsmaßnahmen zu beginnen und eine Reihe wichtiger Dokumente zu veröffentlichen. Die Ernennung eines neuen Vorsitzenden und von drei neuen Mitgliedern der PCLOB sowie die Ernennung einer ständigen Ombudsperson wurden ebenfalls als positive Schritte nach vorn gewertet.

Die Bedenken hinsichtlich der Umsetzung des Datenschutzschilds bestanden allerdings weiter, insbesondere in Bezug auf den Mangel an konkreten Zusicherungen in Verbindung mit der wahllosen Erhebung personenbezogener Daten und dem Zugriff auf personenbezogene Daten für Zwecke der nationalen Sicherheit. Anhand der damals vorgelegten Informationen konnte auch nicht nachgewiesen werden, dass die Ombudsperson mit ausreichenden Befugnissen ausgestattet war, um Unregelmäßigkeiten zu beheben. Einige der nach der ersten gemeinsamen Überprüfung aufgeworfenen Fragen waren ebenfalls noch immer offen.

Die dritte gemeinsame Überprüfung fand am 12. und 13. September 2019 statt. Ein Bericht folgt zu gegebener Zeit.

5.2.4 Fluggastdaten-Abkommen EU-Kanada kommt auf den Prüfstand

Am 25. November 2014 hat das Europäische Parlament den EuGH um ein Gutachten zur Vereinbarkeit des Entwurfs des Abkommens zwischen der EU und Kanada über die Übermittlung und Verarbeitung von Fluggastdatensätzen (PNR) mit den EU-Verträgen ersucht. Es wollte außerdem wissen, ob die für das Abkommen vorgeschlagene Rechtsgrundlage geeignet sei. Die Europäische Kommission hatte diesen Abkommensentwurf als Ersatz für die frühere Regelung ausgehandelt, die 2009 auslief.

2013 gab der EDSB eine Stellungnahme zum Entwurf des Abkommens ab, und im April 2016 ersuchte uns der EuGH, uns in die Verhandlung einzuschalten. In unserem Schriftsatz an den Gerichtshof haben wir Folgendes festgestellt:

• Der Entwurf des Abkommens würde als Maßstab für ähnliche bilaterale Abkommen mit Drittländern dienen, die im Namen der öffentlichen Sicherheit geschlossen werden und Übermittlungen personenbezogener Daten erleichtern sollen;
• die in Artikel 8 der EU-Grundrechtecharta verlangten Garantien müssen eingehalten werden, auch in Fällen, in denen in einem internationalen Abkommen Vorschriften für Datenübermittlungen vorgesehen sind;
• die gerichtliche Überprüfung von EU-Gesetzen zu Fluggastdatensätzen müsse umfassend sein, da die Verarbeitung von PNR-Daten systematisch erfolgt und in Persönlichkeitsrechte eingreift und den Behörden eine vorausschauende Polizeiarbeit ermöglichen würde.

Wir gelangten zu dem Schluss, dass der Entwurf des Abkommens das gemäß Artikel 8 der Charta verlangte Schutzniveau nicht gewährleistete.

In seinem am 26. Juli 2017 veröffentlichten Gutachten gelangte der Gerichtshof zu dem Schluss, dass das PNR-Abkommen zwischen der EU und Kanada nicht mit Artikel 7, 8, 21 sowie mit Artikel 52 Absatz 1 der EU-Grundrechtecharta vereinbar war, da es die Übermittlung sensibler Daten aus der Europäischen Union nach Kanada und die Verwendung und Speicherung solcher Daten nicht ausschloss. Es hätte auf Artikel 16 Absatz 2 in Verbindung mit Artikel 87 Absatz 2 Buchstabe a der Charta gestützt werden müssen, und es mussten im Hinblick auf die Vereinbarkeit mit der Charta noch mehrere weitere Aspekte geändert werden.

Klärungsbedarf bestand insbesondere in Bezug auf die Arten von PNR-Daten, die übermittelt werden könnten. Der Gerichtshof stellte fest, dass Fluggäste das Recht haben sollten, benachrichtigt zu werden, wenn ihre PNR-Daten während oder nach ihrem Aufenthalt in Kanada verarbeitet werden, und wies auf die Notwendigkeit einer unabhängigen Kontrollstelle hin, die die Nutzung von PNR-Daten in Kanada überwachen sollte.

Die Schlussfolgerungen des Gerichtshofs stellen einen wichtigen Meilenstein für die EU dar, denn sie setzen Maßstäbe für ähnliche künftige Abkommen zwischen der EU und Drittländern. Der EDSB beobachtet die Entwicklungen in Verbindung mit den laufenden Verhandlungen zwischen der Europäischen Kommission und Kanada sehr genau und wird nach Abschluss der Konsultation eine Stellungnahme abgeben.

5.2.5 Zusammenarbeit mit internationalen Organisationen

Internationale Organisationen unterliegen normalerweise nicht den europäischen Rechtsvorschriften und genießen Vorrechte und Befreiungen, die sich auf die Anwendbarkeit nationaler Gesetze einschließlich Datenschutzvorschriften auswirken. Sie sind jedoch einflussreiche Fürsprecher der Entwicklung einer Datenschutzkultur und haben häufig eigene interne Regelungen zum Schutz personenbezogener Daten eingeführt.

Um internationalen Organisationen dabei zu helfen, ihre eigenen Datenschutzrahmen zu erstellen und ihnen einen Raum zur Verfügung zu stellen, in dem sie Wissen und Erfahrungen miteinander austauschen können, hat der EDSB eine Reihe von Arbeitskreisen initiiert. Die Reihe begann ursprünglich 2005, und wir haben zu Beginn der Amtszeit neue Energie in diese Initiative gesteckt.

Der fünfte EDSB-Arbeitskreis für internationale Organisationen, der zusammen mit dem Internationalen Komitee vom Roten Kreuz organisiert wurde, fand nach vierjähriger Pause am 5. Februar 2016 statt. Der Arbeitskreis findet seither jedes Jahr statt, wobei jeder Arbeitskreis zusammen mit einer anderen internationalen Organisation ausgerichtet wird (siehe Abbildung 7).

Die Arbeitskreise erweisen sich als eine hervorragende Gelegenheit für internationale Organisationen, Erfahrungen und bewährte Vorgehensweisen in Bezug auf Datenschutz auszutauschen und die gemeinsamen Herausforderungen, vor denen sie stehen, zu analysieren. Sie sind auch eine gute Gelegenheit, den Stand in Bezug auf Datenschutz bei internationalen Organisationen zu bewerten.

Größe und Bedeutung der Veranstaltung haben seit 2005 ständig zugenommen. Dies bestätigt die Notwendigkeit einer solchen Plattform, zeigt aber zugleich auch das wachsende Bewusstsein bei internationalen Organisationen dafür, wie wichtig wirksame Schutzvorkehrungen für personenbezogene Daten sind. Bei internationalen Organisationen ist man gemeinsam entschlossen, Datenschutz zu einem Teil der Arbeitskultur zu machen und zu gewährleisten, dass sie zur Rechenschaft gezogen werden. Der EDSB wird diese Bemühungen auch weiterhin uneingeschränkt unterstützen.

5.3 Die EU auf internationaler Ebene mit einer Stimme sprechen lassen . . .

Mit einer einzigen Datenschutzregelung, die für alle EU-Länder gilt, sollte die EU In der Lage sein, auf der internationalen Bühne mit einer Stimme zu sprechen. Dies soll nicht bedeuten, dass nur eine Person oder eine Organisation im Namen der EU sprechen sollte, sondern vielmehr, dass alle EU-Datenschutzbehörden konsequent dasselbe Datenschutzkonzept befürworten und den Schutz der Grundrechte zur obersten Priorität machen.

Ein abgestimmtes EU-Konzept kann unsere Stimme nur stärken und der EU dabei helfen, als positive, führende Kraft an der Ausgestaltung eines globalen, digitalen Standards für den Schutz der Privatsphäre und den Datenschutz aufzutreten. Damit dies Wirklichkeit werden kann, sind eine wirksame Zusammenarbeit und Abstimmung zwischen dem EDSB und anderen Datenschutzbehörden in der EU von entscheidender Bedeutung. Seit dem 25. Mai 2018 ist der EDSA das wichtigste Forum für die Zusammenarbeit zwischen Datenschutzbehörden. Zuvor war dies die Artikel-29-Datenschutzgruppe, die Vorgängerin des EDSA, die den Grundstein für eine wirksame Zusammenarbeit gelegt hat.

5.3.1 Zusammenarbeit mit unseren Partnerdatenschutzbehörden

In jedem EU-Mitgliedstaat gibt es mindestens eine unabhängige Datenschutzbehörde. In einigen gibt es mehr als eine, je nach den verfassungsrechtlichen Anforderungen des betreffenden Mitgliedstaats. Datenschutzbehörden sind Behörden, die für die Durchsetzung und Überwachung der Einhaltung der Datenschutzvorschriften in ihren jeweiligen EU-Mitgliedstaaten zuständig sind. Die Rolle des EDSB entspricht insofern derjenigen der Datenschutzbehörden der Mitgliedstaaten, als wir für die Durchsetzung und Überwachung der Einhaltung der Datenschutzvorschriften bei den EU-Organen und -Einrichtungen zuständig sind.

Die Datenschutzbehörden der EU und der EDSB arbeiten auf verschiedene Art und Weise zusammen, um den widerspruchsfreien und einheitlichen Schutz personenbezogener Daten in der gesamten Europäischen Union zu erleichtern.

Der EDSB als aktives Mitglied der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe wurde im Rahmen der Vorgängerregelung der DSGVO, der Datenschutzrichtlinie 95/45, eingerichtet. Sie war zwischen 1996 und Anfang 2018 das wichtigste Forum für die Zusammenarbeit zwischen Datenschutzbehörden in der EU. Seit Beginn der Amtszeit 2015 bis zur Einrichtung des EDSA im Mai 2018 hat der EDSB weiterhin aktiv zu den Aktivitäten der Artikel-29-Datenschutzgruppe beigetragen, die Fachuntergruppe „Schlüsselvorschriften“ koordiniert, an den vielen anderen Fachuntergruppen der Artikel-29-Datenschutzgruppe mitgewirkt und seine Anstrengungen auf Bereiche ausgerichtet, in denen er den größten Mehrwert erzielen konnte. Dies umfasste auch Stellungnahmen der Artikel-29-Datenschutzgruppe zum EU-US „Rahmenabkommen“, dem EU-US Datenschutzschild und zu Interoperabilität.

Im Mittelpunkt der Arbeit der Artikel-29-Datenschutzgruppe zwischen 2015 und 2018 standen weitgehend die Vorbereitungen für die DSGVO und den EDSA, für den der EDSB die Geschäftsstelle stellen würde. Die Zusammenarbeit mit der Artikel-29-Datenschutzgruppe war entscheidend dafür, dass die EU in der Lage sein würde, die DSGVO ab 25. Mai 2018 durchzusetzen.

Ein Großteil dieser Vorbereitungen fand sowohl in der Fachuntergruppe „Schlüsselvorschriften“, für die der EDSB als Koordinator fungierte, als auch der Fachuntergruppe „Zukunft der Privatsphäre“ statt, in der der EDSB eine aktive Funktion innehatte. In seiner Rolle als Mitberichterstatter wirkte der EDSB an der Erstellung mehrerer Leitlinien der Artikel-29-Datenschutzgruppe mit, die in der EU tätigen Unternehmen und Organisationen dabei helfen sollten, die Anforderungen der DSGVO besser zu verstehen und umzusetzen.

Wir wirkten außerdem an den Bemühungen der Artikel-29-Datenschutzgruppe mit, für Klarheit in Bezug auf die Auswirkungen neu entstehender Technologien auf den Datenschutz zu sorgen. Insbesondere befasste sich die Gruppe damit, die technologieneutralen Datenschutzvorschriften der EU auszulegen und darauf aufzubauen, und befasste sich in diesem Zusammenhang mit Themen wie Anonymisierung, Cloud Computing und dem Internet der Dinge.

Die Artikel-29-Datenschutzgruppe musste gewährleisten, dass der EDSA und seine Geschäftsstelle vom ersten Tag der DSGVO an einsatzbereit waren. Die praktischen Vorbereitungen hierfür wurden 2017 intensiviert, wobei ein besonderes Schwergewicht darauf lag, eine Absichtserklärung zwischen dem EDSA und dem EDSB abzuschließen. In der Absichtserklärung ist die Zusammenarbeit zwischen dem EDSB und dem EDSA geregelt. Sie schafft die Grundlage für unsere Zusammenarbeit und sorgt für Vertrauen, Treu und Glauben und Kollegialität zwischen beiden Parteien. Der EDSB hat außerdem zur Erstellung der Geschäftsordnung des EDSA beigetragen und Unterstützung bei der Festlegung unterschiedlicher Verfahren in Bezug auf das Kohärenzverfahren geleistet, mit dem die einheitliche Anwendung der DSGVO in der gesamten EU gewährleistet werden soll.

Die Vorarbeiten zur DSGVO waren jedoch nicht der einzige Schwerpunkt der Arbeit der Artikel-29-Datenschutzgruppe in dieser Zeit. Im September 2017 beispielsweise reiste ein Vertreter des EDSB mit einer EU-Delegation, die die erste gemeinsame Überprüfung der Umsetzung des Datenschutzschildes durchführte, nach Washington, D.C. (siehe Abschnitt 5.2.3). Dieser Delegation gehörten Vertreter der Europäischen Kommission und mehrerer europäischer Datenschutzbehörden an. Die Feststellungen ihrer gemeinsamen Überprüfung wurden auf der Plenarsitzung der Artikel-29-Datenschutzgruppe am 28. November 2017 erörtert, und die Gruppe legte einen Bericht über den Datenschutzschild vor, in dem wir eine Reihe von Verbesserungen bei der Umsetzung dieses Übereinkommens forderten.

Der EDSA macht sich an die Arbeit

Der im Rahmen der DSGVO eingerichtete EDSA löste am 25. Mai 2018 die Artikel-29-Datenschutzgruppe als Forum für die Zusammenarbeit zwischen dem EDSB und den Datenschutzbehörden der EU-Mitgliedstaaten ab. Er übernahm aber auch viele neue Aufgaben, mit denen die einheitliche Anwendung der DSGVO und der Datenschutzrichtlinie für Polizei und Justiz in der EU gewährleistet werden sollte. Der EDSA ist ein EU-Gremium mit Rechtspersönlichkeit und kann in bestimmten Fällen rechtsverbindliche Entscheidungen treffen. Darüber hinaus kann der Ausschuss auch Leitlinien, Empfehlungen und Erklärungen zu einer Vielfalt von Themen abgeben.

Die Aufsichtsbehörden der EWR-/EFTA-Staaten (Island, Liechtenstein und Norwegen) sind ebenfalls Mitglied im EDSA bei Fragen rund um die DSGVO, haben jedoch kein Stimmrecht und können auch nicht zum Vorsitzenden oder stellvertretenden Vorsitzenden gewählt werden.

Der EDSB ist Mitglied des EDSA und stellt zugleich auch dessen Geschäftsstelle. 2017 haben wir einen Verbindungsmann eingesetzt, der die gesamte Arbeit des EDSB in Verbindung mit den Vorbereitungen für die EDSA-Geschäftsstelle koordinieren sollte. Dies umfasste auch die Zusammenarbeit mit der Artikel-29-Datenschutzgruppe zur Erstellung der Webseite und des Logos des EDSA (siehe Abschnitt 7.1.5), aber auch die Vorbereitung der Absichtserklärung zwischen dem EDSB und dem EDSA. Der EDSB Giovanni Buttarelli und die EDSA-Vorsitzende Andrea Jelinek unterzeichneten diese Absichtserklärung auf der ersten Plenarsitzung des EDSA am 25. Mai 2018.

Da der EDSB Mitglied im EDSA ist, nehmen EDSB-Vertreter sowohl an den Plenarsitzungen als auch den Sitzungen der Untergruppen teil und wirken aktiv daran mit. Wir haben unsere Funktion als Koordinator der Fachuntergruppe „Schlüsselvorschriften“ weiter wahrgenommen und fungieren außerdem als Koordinator in der Fachuntergruppe „IT Benutzer“. Durch unsere aktive Beteiligung an allen Fachuntergruppen haben wir zu einer Vielzahl von Stellungnahmen, Leitlinien und anderen Dokumenten des EDSA beigetragen, die 2018 und 2019 verabschiedet wurden. Dazu gehörten beispielsweise die Stellungnahme des EDSA 2018 zum Entwurf des Angemessenheitsbeschlusses für internationale Datenübermittlungen zwischen der EU und Japan (siehe Abschnitt 5.2.3) und die Stellungnahme des EDSA zu dem Entwurf einer Verwaltungsvereinbarung 2019 über die Übermittlung personenbezogener Daten zwischen Finanzaufsichtsbehörden im Europäischen Wirtschaftsraum (EWR) und Finanzaufsichtsbehörden in Ländern außerhalb des EWR, zu denen wir bedeutende Beiträge geleistet haben.

Mit der wachsenden Zahl der Plenar- und Untergruppensitzungen 2019 nahm auch unsere Arbeitsbelastung zu. Daher waren wir bestrebt, uns vor allem auf Vorgänge zu konzentrieren, bei denen unsere Beiträge den größten Nutzen bringen würden und die größte Notwendigkeit bestand, die Perspektive der EU zu präsentieren und zu vertreten (siehe Abbildung 8).

Gemäß Verordnung 2018/1725 kann die Kommission unter bestimmten Umständen eine gemeinsame Stellungnahme des EDSB und des EDSA verlangen. Im Juli 2019 wurde die erste Gemeinsame Stellungnahme dieser Art zur Verarbeitung von Patientendaten und zur Rolle der Europäischen Kommission in der digitalen eHealth-Diensteinfrastruktur (eHDSI) verabschiedet.

Gemeinsame Dokumente des EDSB und des EDSA sind jedoch nicht auf Konsultationen im Rahmen der Verordnung 2018/1725 beschränkt. Wir haben auch eine gemeinsame Antwort an den Ausschuss für bürgerliche Freiheiten des Europäischen Parlaments (LIBE) zu den Auswirkungen des US-amerikanischen „CLOUD Act“ auf den europäischen Rechtsrahmen für den Schutz personenbezogener Daten vorgelegt.

Koordinierte Aufsicht

Die EU betreibt mehrere IT-Großsysteme, mit denen die EU-Politik in den Bereichen Asyl, Grenzschutz, polizeiliche Zusammenarbeit und Zoll unterstützt werden soll. Dank der IT-Systeme sind nationale Behörden ebenso wie einige EU-Einrichtungen in der Lage, Informationen in diesen EU-Politikfeldern auszutauschen.

Der EDSB und die nationalen Datenschutzbehörden nehmen derzeit gemeinsam die Aufsicht über diese IT-Systeme wahr. Während der EDSB die Verarbeitung personenbezogener Daten in den zentralen Einheiten überwacht, sind die nationalen Datenschutzbehörden dafür zuständig zu überwachen, wie ihre jeweiligen nationalen Behörden die IT-Systeme nutzen, sowie für die nationalen Bestandteile der IT-Systeme.

Alle daran beteiligten Aufsichtsbehörden einschließlich des EDSB arbeiten über Koordinierungsgruppen für die Aufsicht (Supervision Coordination Groups, SCGs) zusammen. Jede dieser Gruppen ist für ein bestimmtes IT-System der EU zuständig und hat die Aufgabe sicherzustellen, dass die Überwachung auf beiden Ebenen einheitlich erfolgt.

Außerdem stellt der EDSB die Geschäftsstelle für jede der Gruppen, die ihren jeweiligen Vorsitzenden unterstellt sind. Die Gruppen für Eurodac, das Visa-Informationssystem (VIS), das Schengener Informationssystem (SIS) und das Zollinformationssystem (ZIS) treten im Durchschnitt zweimal pro Jahr zusammen. Wir veröffentlichen die Ergebnisse ihrer Sitzungen auf ihren jeweiligen Webseiten auf der Website des EDSB.

Außerdem führen wir bei unserer Arbeit mit Europol Tätigkeiten durch, die eine koordinierte Aufsicht bedingen. Während der EDSB für die Aufsicht über die Verarbeitung operativer personenbezogener Daten durch Europol zuständig ist, überwachen die einzelstaatlichen Datenschutzbehörden die Verarbeitung personenbezogener Daten durch ihre jeweiligen Strafverfolgungsbehörden nach nationalem Recht (siehe Abschnitt 6.4.3).

Da die meisten der von Europol verarbeiteten Daten von den nationalen Strafverfolgungsbehörden stammen, ist es entscheidend, dass wir in diesem Bereich effizient mit den nationalen Datenschutzbehörden zusammenarbeiten können. Diese Zusammenarbeit findet weitgehend beim Beirat für die Zusammenarbeit bei Europol statt, für den der EDSB die Geschäftsstelle übernimmt. Der Beirat hat eine beratende Funktion und stellt ein Forum für die Diskussion häufiger Themen und die Erstellung von Leitlinien und bewährten Vorgehensweisen zur Verfügung. Er kommt mindestens zwei Mal jährlich zusammen.

Die Zukunft der koordinierten Aufsicht

Die neuen Datenschutzvorschriften für die EU-Organe und -Einrichtungen im Sinne der Verordnung 2018/1725 sehen ein einheitliches Modell der koordinierten Aufsicht für IT-Großsysteme und Agenturen der EU im Rahmen des EDSA vor. Dieses wird das derzeitige System der einzelnen Koordinierungsgruppen für die Aufsicht ablösen.

Das neue Modell wird nicht auf der Stelle auf alle EU-Informationssysteme und -Agenturen Anwendung finden, sondern schrittweise, je nachdem, wann die überarbeitete Fassung des Rechtsakts zur Errichtung jedes einzelnen EU-Informationssystems und jeder EU-Agentur, in dem die Anwendung geregelt ist, in Kraft tritt.

Seit 2018 laufen die Vorbereitungen innerhalb des EDSA zur Ausgestaltung dieses Modells, das derzeit nur für das Binnenmarkt-Informationssystem (IMI) gilt. Dabei geht es darum, praktische Lösungen zur Umsetzung des vom Gesetzgeber geplanten einheitlichen Modells der koordinierten Aufsicht zu finden. Der EDSB spielt dabei weiterhin eine aktive Rolle.

Ergänzend zu den Gesprächen im EDSA haben wir im Januar 2019 anlässlich der jährlichen Konferenz zu Computern, Privatsphäre und Datenschutz (CPDP) eine Podiumsdiskussion mit dem Titel Checks and balances in the area of freedom security and justice: rethinking governance organisiert. Dabei haben wir diskutiert, wie wir eine enge Zusammenarbeit gewährleisten und zugleich die Unabhängigkeit und die Rolle jeder Kontrollstelle bewahren können, und uns mit der Frage befasst, wie die derzeitigen Aufsichtssysteme vereinfacht werden können.

5.3.2 Engere Zusammenarbeit mit der Agentur der Europäischen Union für Grundrechte

Der EDSB ist nicht die einzige EU-Einrichtung, bei deren Auftrag der Schutz der Grundrechte im Mittelpunkt steht. Die Agentur der Europäischen Union für Grundrechte (FRA) ist dafür zuständig, unabhängige Beratung zu den in der Grundrechtscharta verankerten Rechten bereitzustellen, was auch Datenschutz einschließt.

Datenschutz, Privatsphäre und die anderen in der Charta verankerten Grundrechte und -freiheiten hängen zusammen. Am 30. März 2017 haben der EDSB Giovanni Buttarelli und der Direktor der FRA, Michael O’Flaherty, eine Absichtserklärung über den Ausbau der Zusammenarbeit zwischen den beiden Organisationen unterzeichnet. Das Dokument trägt der engen und konstruktiven Beziehung zwischen dem EDSB und der FRA Rechnung, stellt aber auch eine Verpflichtung zur Zusammenarbeit dar mit dem Ziel, die Rechte und Interessen Einzelner in der EU wirksamer zu schützen.

Diese Verpflichtung wurde durch die Zusammenarbeit am überarbeiteten Handbuch zum europäischen Datenschutzrecht der FRA, das im Mai 2018 erschien, noch verstärkt. Neben dem Europarat haben wir die Erstellung dieses Handbuchs finanziell unterstützt und Ressourcen und Sachkenntnisse zum Recht und zur Rechtsprechung der EU im Bereich Datenschutz beigesteuert.

5.3.3 Zusammenarbeit mit anderen Organisationen

Neben der engen Zusammenarbeit mit unseren Partnern bei den Datenschutzbehörden im EWR arbeiten wir auch mit anderen international ausgerichteten Organisationen und Partnern zusammen. Diese Art der Zusammenarbeit stärkt die EU darin, international mit einer Stimme aufzutreten und damit zu zeigen, dass Datenschutz über die Arbeit der Datenschutzbehörden hinausreicht.

Der Europarat

Der Europarat hat am 28. Januar 1981 das Übereinkommen zum Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten angenommen. Das unter der Bezeichnung Konvention Nr. 108 bekannte Übereinkommen war der erste rechtsverbindliche internationale Vertrag im Bereich Datenschutz.

Dem Übereinkommen und seinem Zusatzprotokoll bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr, das von jedem Staat der Erde unterzeichnet werden kann, gehören mittlerweile 55 Vertragsstaaten an. Zusammen mit der Zahl der dem Ausschuss der Konvention Nr. 108 als Beobachter angehörenden Länder steigt diese Zahl auf 70.

Der EDSB nimmt an Expertengruppen des Europarats zum Datenschutz als Beobachter teil, etwa im Beratenden Ausschuss der Konvention Nr. 108. Mit dieser Funktion werden ein hohes Datenschutzniveau und die Einhaltung der EU-Datenschutzstandards gewährleistet. Der EDSB war auch in die Modernisierung der Konvention Nr. 108 eingebunden, ein Prozess, der am 18. Mai 2018 abgeschlossen wurde.

Seit März 2018 vertritt der EDSB auch die Internationale Konferenz der Beauftragten für den Datenschutz und die Privatsphäre im Beratenden Ausschuss der Konvention Nr. 108.

Die OECD

Der EDSB beobachtet die Tätigkeiten der Arbeitsgruppe der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zu Sicherheit und Privatsphäre in der digitalen Wirtschaft (SPDE). Die OECD nimmt außerdem aktiv an den Arbeitskreisen für internationale Organisationen teil, die jedes Jahr vom EDSB organisiert werden, und wirkt zusammen mit uns an der Ausrichtung der Ausgabe 2019 dieser Veranstaltung mit (siehe Abschnitt 5.2.5).

Am 1. Juli 2019 fiel die Entscheidung, die ehemalige SPDE durch zwei neue Expertengruppen zu ersetzen:

• Die Arbeitsgruppe Datenqualitätsmanagement und Privatsphäre in der digitalen Wirtschaft (The Working Party on Data Governance and Privacy in the Digital Economy, DGP)
• die Arbeitsgruppe Sicherheit in der digitalen Wirtschaft im Rahmen des digitalpolitischen Ausschusses der OECD (The Working Party on Security in the Digital Economy (SDE), under the Committee on Digital Economy Policy, CDEP).

Die Arbeitsgruppe Datenqualitätsmanagement und Privatsphäre in der digitalen Wirtschaft wird sich auch künftig mit Fragen des Datenschutzes und des Schutzes der Privatsphäre befassen, während sich die Arbeitsgruppe Sicherheit in der digitalen Wirtschaft eher den Themen Cybersicherheit und IT-Fragen wie z. B. Verschlüsselungstechniken widmen wird. Der EDSB wird die Tätigkeiten beider Gruppen beobachten.

Darüber hinaus haben wir auch an der Arbeit der OECD-Expertengruppe zu Datenschutzrichtlinien seit ihrer Gründung Anfang 2019 mitgewirkt. Wir haben an mehreren Telefonkonferenzen zur Vorbereitung sowie am ersten Arbeitskreis der Expertengruppe zum Thema Rechenschaftspflicht teilgenommen, der am 6. Mai 2019 in Paris stattgefunden hat. Wir werden die Gespräche und Entwicklungen in dieser Gruppe zusammen mit der Europäischen Kommission und anderen teilnehmenden Datenschutzbehörden in der EU weiter verfolgen.

Technologische Entwicklungen

Auch auf EU- und internationaler Ebene arbeitet der EDSB mit verschiedenen Gruppen zusammen, die sich mit den Auswirkungen der Technologie auf die Grundrechte befassen und den Einbau des Schutzes der Privatsphäre in technologische Entwicklungen einschließlich in die Entwicklung von Internet-Strukturen unterstützen.

Eine dieser Gruppen ist die Hochrangige Gruppe der EU zur Internet-Verwaltung (EU-HLIG), der Vertreter der EU-Organe und der Mitgliedstaaten angehören. Der EDSB nimmt als Beobachter teil. Über diese Gruppe ist die EU eher in der Lage, ihre Position zu bestimmten Themen abzustimmen und deshalb mit einer Stimme zu sprechen.

Ein gutes Beispiel hierfür ist der Fall der Zentralstelle für die Vergabe von Internet-Namen und -Adressen (ICANN). Vom 13. bis 15. März 2017 nahm der EDSB Giovanni Buttarelli zusammen mit Vertretern anderer internationaler Datenschutzorganisationen an einer Reihe hochrangiger Tagungen und Sitzungen im Rahmen der 58. Sitzung der ICANN in Kopenhagen teil. Bei dieser Tagung ging es um die ICANN-Regeln und Verfahren in Bezug auf das WHOIS-System, das die Abfrage von Angaben zu den Inhabern von Internet-Domänen und IP-Adressen ermöglicht. Die zu diesem Zeitpunkt bestehenden Regeln und Verfahren ermöglichten einen unkontrollierten Zugriff auf die personenbezogenen Daten von natürlichen Personen, die Ressourcen im Internet anboten, und zogen einige Anbieter in einen Konflikt mit den EU-Datenschutzvorschriften. Dadurch, dass wir mit einer Stimme für die EU sprachen, konnten wir die ICANN davon überzeugen, ein Verfahren einzuleiten, um ihre Regeln und Verfahren anzugleichen und mit der DSGVO in Einklang zu bringen.

Der EDSB ist außerdem Mitglied der Internationalen Arbeitsgruppe für den Datenschutz in der Telekommunikation (IWGDPT bzw. Berliner Gruppe). In diesem globalen Gremium kommen Experten von Datenschutzbehörden, aus der Wissenschaft, der Zivilgesellschaft und weltweiten Normungsgremien zusammen. Im Zuge der sich intensivierenden Debatte über die Rolle der Technologie und ihre Auswirkungen auf die Grundrechte in den letzten Jahren kommt der Arbeit der Gruppe ein immer größerer Stellenwert zu.

Die Berliner Gruppe erstellt Arbeitspapiere auf der Grundlage einer Analyse der technologischen Merkmale des zur Diskussion stehenden Themas. Darin werden Grundsätze und Empfehlungen zur Erreichung gemeinsamer Ziele festgelegt. In den letzten fünf Jahren hat die Berliner Gruppe Arbeitspapiere zu den Themen Privatsphäre und Sicherheit in der Internet-Telefonie, Biometrie bei der elektronischen Authentifizierung, E-Learning-Plattformen und internationale Grundsätze oder Verträge über die Informationsgewinnung und Datenverarbeitung und -erhebung in vernetzten Fahrzeugen erstellt, an denen der EDSB mitgewirkt hat.

Im Oktober 2019 richtete der EDSB die Sitzung der Berliner Gruppe in Brüssel aus. Bei den Aussprachen ging es um Themen wie beispielsweise das mit der DSGVO eingeführte neue Konzept der Datenübertragbarkeit und dessen mögliche weltweite Auswirkungen. Im Hinblick auf technologische Entwicklungen befasste sich die Gruppe mit Sprachassistenten wie z. B. den intelligenten Sprachassistenten, auf die wir in unserem ersten TechDispatch (siehe Abschnitt 4.1.2) eingegangen sind, das wachsende Ökosystem der Nachverfolgung und Profilerstellung und Entwicklungen in der Blockchain-Technologie.

Der EDSB fungiert seit 2019 als einer der Mitvorsitzenden der IDCPPC-Arbeitsgruppe „Künstliche Intelligenz“, deren Geschäftsstelle er stellt (siehe Abschnitt 4.1.2). Diese Arbeitsgruppe wurde nach der Annahme der Erklärung zu Ethik und Datenschutz im Bereich der künstlichen Intelligenz auf der 40. ICDPPC-Konferenz in Brüssel eingerichtet. Der EDSB war neben anderen Mitgliedern der ICDPPC einer der Verfasser des Entwurfs der Erklärung.

Außerdem nahm der EDSB an den Veranstaltungen des Europäischen Dialogs zur Internetverwaltung (EuroDIG) teil. Diese Initiative stellt eine Plattform für informelle Gespräche zur Politik im Bereich der Internetverwaltung zur Verfügung. Auf diesem Forum können Erfahrungen und bewährte Vorgehensweisen ausgetauscht und gemeinsame Standpunkte gefunden werden.

6. EIN NEUES KAPITEL FÜR DEN DATENSCHUTZ IN DER EU

Die EU weist die Richtung, wenn es um Standards im Datenschutz und beim Schutz der Privatsphäre geht. In unseren Vorschriften stellen wir den Einzelnen an die erste Stelle. Damit ist gewährleistet, dass jede Person in der Lage ist, die in der EU-Charta der Grundrechte verankerten Grundrechte auszuüben und in ihren Genuss zu kommen. Ob diese privilegierte Stellung gehalten werden kann, hängt allerdings davon ab, dass wir sicherstellen, dass unsere Vorschriften auch weiterhin natürlichen Personen im digitalen Zeitalter einen angemessenen Schutz gewähren.

Zu Beginn des Mandats war die EU noch im Rahmen der Datenschutzregelungen aus der Zeit vor dem digitalen Zeitalter tätig. Es war daher für den EDSB ein zentrales Anliegen zu gewährleisten, dass so bald wie möglich neue Vorschriften vereinbart und umgesetzt wurden. Wir mussten ein neues Kapitel für den Datenschutz in der EU aufschlagen. Wir mussten einen neuen, höheren Standard für den Datenschutz im digitalen Zeitalter entwickeln, der andere rund um die Welt inspirieren würde, es uns nachzutun.

In unserer Strategie 2015-2019 haben wir vier Aktionsschwerpunkte dargelegt, um dieses Thema anzugehen; der erste betrifft die Unterstützung der Europäischen Kommission, des Europäischen Parlaments und des Rates bei der Erzielung einer Einigung über den neuen EU-Datenschutzrahmen. Außerdem haben wir uns dazu verpflichtet, mit den von uns beaufsichtigten EU-Organen und Einrichtungen zusammenzuarbeiten, um zu gewährleisten, dass sie auf die neuen Vorschriften vorbereitet waren, beratend tätig zu werden, um eine verantwortungsvolle und fundierte politische Entscheidungsfindung der EU zu erleichtern, und die EU bei der Entwicklung politischer Konzepte zu unterstützen, die sowohl die Sicherheit in der EU verbessern als auch die Privatsphäre des Einzelnen schützen.

6.1 Annahme und Umsetzung aktueller Datenschutzbestimmungen . . .

Im Januar 2012 legte die Europäische Kommission Legislativvorschläge für neue EU-Vorschriften für den Datenschutz vor, die auf das digitale Zeitalter ausgelegt waren. Mit diesen Vorschriften sollte ein Rechtsreformpaket im Bereich Datenschutz in der EU einschließlich des Datenschutzes in den Bereichen Polizei und Strafjustiz geschnürt werden.

Diese Reform war Thema intensiver und langwieriger Debatten. Als Berater des EU-Gesetzgebers haben wir den gesamten Prozess beobachtet und wurden in verschiedenen Phasen beratend tätig. Da das Gesetzgebungsverfahren zu Beginn der Amtszeit noch blockiert war, haben wir es uns zur Aufgabe gemacht, das Europäische Parlament, den Rat und die Europäische Kommission bei der Beilegung ihrer Meinungsverschiedenheiten und der Erzielung einer Einigung zu einem neuen Regelwerk zu unterstützen. Diese Regelungen mussten flexibel genug sein, damit die technologische Innovation gefördert und grenzüberschreitende Datenströme nicht behindert würden, doch mussten sie vor allen Dingen den Einzelnen in die Lage versetzen, seine Rechte online wie offline wirksamer durchzusetzen und auszuüben.

6.1.1 Die Datenschutz-Grundverordnung

2018 begann für den Datenschutz in der EU ein neues Zeitalter. Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) für alle in der Europäischen Union tätigen Unternehmen, Organisationen und Einrichtungen vollständig in Kraft und trat an die Stelle der Datenschutzrichtlinie 95/46/EG.

Nach fast vierjährigen Verhandlungen erzielte der EU-Gesetzgeber im Dezember 2015 eine Einigung über den endgültigen Wortlaut der DSGVO. Der EDSB hat den gesamten Prozess beobachtet und den EU-Gesetzgeber in den verschiedenen Phasen beraten.

Am 27. Juli 2015 haben wir unsere Empfehlungen zur Gesetzesvorlage veröffentlicht und damit die EU-Mitgesetzgeber bei der Aushandlung des endgültigen Wortlauts unterstützt. Außerdem haben wir eine mobile App eingeführt, mit deren Hilfe die Nutzer neben den Empfehlungen des EDSB die von der Europäischen Kommission, dem Europäischen Parlament und dem Rat vorgeschlagenen Texte problemlos vergleichen konnten. Unser Anliegen war, die Transparenz im Verhandlungsverfahren zu verbessern.

Der endgültige Text der DSGVO wurde am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht, und damit begann der Countdown bis zum Zeitpunkt, an dem die DSGVO volle Geltung erlangen würde, dem 25. Mai 2018. In diesem Zusammenhang haben wir unsere mobile App durch Aufnahme des endgültigen Wortlauts der DSGVO aktualisiert.

Neben der Stärkung der Rechte des Einzelnen auf Datenschutz und Schutz der Privatsphäre wurden mit der DSGVO auch die Befugnisse der nationalen Datenschutzbehörden gestärkt und ihnen das Recht verliehen, nationale Parlamente, Regierungen und andere Organe und Einrichtungen zu den Rechts- und Verwaltungsmaßnahmen zum Schutz personenbezogener Daten zu beraten. Diese Befugnisse sind vergleichbar mit denjenigen des EDSB in Bezug auf EU-Organe. Über die Artikel-29-Datenschutzgruppe, der alle Datenschutzbehörden der EU und der EDSB angehörten, haben wir uns den Vorbereitungen der DSGVO gewidmet. Dies umfasste auch die Bereitstellung von Orientierungshilfe zur Umsetzung und Auslegung der neuen Vorschriften (siehe Abschnitt 5.3.1).

Seit dem 25. Mai 2018 haben wir uns als Mitglied des Europäischen Datenschutzausschusses (EDSA), der nach Maßgabe der DSGVO an die Stelle der Artikel-29-Datenschutzgruppe trat (siehe Abschnitt 5.3.1), weiterhin uneingeschränkt an den Bemühungen beteiligt, Beratung und Orientierungshilfe zur DSGVO zur Verfügung zu stellen.

6.1.2 Richtlinie zum Datenschutz bei der Strafverfolgung

Neben der DSGVO hat sich der EU-Gesetzgeber auch auf neue Vorschriften für den Datenschutz in den Bereichen Polizei und Strafjustiz geeinigt. Mit der Richtlinie zum Datenschutz bei der Strafverfolgung wird gewährleistet, dass die personenbezogenen Daten natürlicher Personen, die als Zeugen, Opfer oder Verdächtige in Strafverfahren verwickelt sind, angemessen geschützt werden. Die Richtlinie soll aber auch einen reibungsloseren Informationsaustausch zwischen den Polizei- und Justizbehörden in den Mitgliedstaaten erleichtern und die Zusammenarbeit bei der Bekämpfung von Terrorismus und anderen schwerwiegenden Formen der Kriminalität in Europa verbessern.

Mit der Richtlinie wird ein umfassender Rahmen geschaffen, der ein hohes Datenschutzniveau gewährleistet und zugleich den Besonderheiten des Bereichs Polizei und Strafjustiz Rechnung trägt. Sie ersetzt den Rahmenbeschluss 2008/977/JI, in dem früher die Datenverarbeitung durch Polizei- und Justizbehörden geregelt war, und erstreckt sich sowohl auf die grenzüberschreitende als auch die inländische Verarbeitung personenbezogener Daten. Nicht in den Geltungsbereich der Richtlinie fallen die Tätigkeiten der Organe, Einrichtungen und sonstigen Stellen der EU.

Nachdem eine allgemeine Einigung über die neue Richtlinie erzielt worden war, veröffentlichte der EDSB am 28. Oktober 2016 seine Empfehlungen. Wir haben außerdem eine Tabelle veröffentlicht, in der wir unsere Empfehlungen mit den vom Europäischen Parlament und vom Rat vorgelegten Verhandlungsvorschlägen verglichen haben, und diese, wie auch im Fall der DSGVO, in unsere mobile App aufgenommen (siehe Abschnitt 6.1.1).

Die Richtlinie trat am 5. Mai 2016 in Kraft, und die Mitgliedstaaten hatten bis zum 6. Mai 2018 Zeit, sie in einzelstaatliches Recht umzusetzen.

6.1.3 Einrichtung der EDSA-Geschäftsstelle

Mit der DSGVO wurde auch der EDSA eingerichtet, ein neues EU-Gremium, das mit der Aufgabe betraut ist, die Zusammenarbeit zwischen den nationalen Datenschutzbehörden in der EU zu erleichtern. Neben vielen neuen Aufgaben zur Gewährleistung der einheitlichen Anwendung der DSGVO in der EU (siehe Abschnitt 5.3.1) übernahm der Ausschuss am 25. Mai 2018 auch die Aufgaben der Artikel-29-Datenschutzgruppe.

Der EDSB, der damit beauftragt war, die EDSA-Geschäftsstelle zu stellen, ernannte Anfang 2017 eine Verbindungsperson, die die gesamte Arbeit des EDSB in Verbindung mit den Vorbereitungen für die EDSA-Geschäftsstelle koordinieren sollte. Unter Leitung dieser Koordinatorin haben wir in der zweiten Jahreshälfte 2017 einen EDSA-Bereich eingerichtet, der am 25. Mai 2018 zur EDSA-Geschäftsstelle wurde. Aufgabe der Geschäftsstelle ist es, den EDSA verwaltungstechnisch und logistisch zu unterstützen und einschlägige Forschungs- und Analyseaufgaben wahrzunehmen.

Das Referat Personal, Haushalt und Verwaltung des EDSB unterstützt die EDSA-Geschäftsstelle. Zu seinen Aufgaben gehörte es auch sicherzustellen, dass die erforderliche Personalinfrastruktur für den EDSA vor dem 25. Mai 2018 zur Verfügung stand (siehe Abschnitt 7.2.3).

Der EDSB war darüber hinaus auch für die Vorbereitung der IT-Infrastruktur des EDSA zuständig. Darunter fielen die Festlegung konkreter Anforderungen an das neue IT-System für den EDSA und die einzelnen Datenschutzbehörden sowie die anschließende Durchführung einer gründlichen Analyse der uns zur Verfügung stehenden technologischen Optionen. Nachdem wir die am besten geeignete Lösung gefunden hatten, konnten wir auch gewährleisten, dass das System im Mai 2018 betriebsbereit war.

6.1.4 Verordnung 2018/1725

Die DSGVO war aber nicht das einzige Ereignis im Datenschutz, das 2018 Zeichen gesetzt hat. Zwei Tage vor dem Stapellauf der DSGVO einigte sich der EU-Gesetzgeber auf entsprechende Vorschriften für die Organe, Einrichtungen und sonstigen Stellen der EU. Diese Rechtsvorschriften, in denen auch die Rolle und die Befugnisse des EDSB als Aufsichtsbehörde für die EU-Organe festgelegt sind, wurden am 11. Dezember 2018 in vollem Umfang wirksam und ersetzten die Verordnung 45/2001.

Die DSGVO regelt den Datenschutz für die in der EU tätigen Unternehmen und Organisationen, gilt jedoch nicht für die Einrichtungen und Organe der EU, für die eigene Vorschriften gelten, die jetzt in der Verordnung 2018/1725 festgelegt sind. Diese Vorschriften sind mit denen der DSGVO vergleichbar; damit wird sichergestellt, dass alle Beschäftigten der EU und Personen, die in der EU leben, die gleichen gestärkten Rechte im Umgang mit den EU-Organen genießen, wie es auch im Rahmen der DSGVO der Fall wäre.

Zwar hatte die Europäische Kommission ursprünglich beabsichtigt, dass die DSGVO und die Verordnung 2018/1725 vom gleichen Tag an gelten sollten, doch nahm die Überarbeitung der Bestimmungen der Verordnung 45/2001 und die Angleichung an die Bestimmungen der DSGVO letztlich mehr Zeit in Anspruch als geplant.

2015 setzte der EDSB eine informelle Arbeitsgruppe einschließlich einer Reihe von behördlichen Datenschutzbeauftragten (DSB) von den EU-Organen ein, die sich über die Überarbeitung der Verordnung austauschen sollten. Im April 2016 legte diese Arbeitsgruppe der Kommission einen Bericht vor. Dieser enthielt einen Vergleich der Bestimmungen der Verordnung 45/2001 mit denjenigen der DSGVO sowie mehrere Empfehlungen für die aktualisierte Verordnung.

Am 10. Januar 2017 nahm die Kommission einen Vorschlag für die aktualisierte Verordnung an, auf den wir am 15. März 2017 mit unserer Stellungnahme antworteten. Wir waren zwar der Auffassung, dass der Vorschlag die unterschiedlichen Interessen, die auf dem Spiel standen, sinnvoll miteinander vereinbart hat, haben jedoch auch auf eine Reihe von verbesserungsbedürftigen Bereichen hingewiesen, insbesondere in Bezug auf die Einschränkungen der Rechte des Einzelnen und die Notwendigkeit, den EU-Organen die Möglichkeit zu geben, unter bestimmten Umständen Zertifizierungsverfahren zu durchlaufen. Im Hinblick auf die Aufgaben und Befugnisse des EDSB stellten wir fest, dass der Vorschlag ein ausgewogenes Gleichgewicht zwischen den Interessen, die auf dem Spiel standen, herstellte und den normalen Funktionen einer unabhängigen Datenschutzbehörde Rechnung trug.

Die Diskussionen über die überarbeitete Verordnung traten im November 2017 in die Phase des Trilogs ein. Wir haben darauf mit einer Aufforderung an das Europäische Parlament, die Europäische Kommission und den Rat geantwortet, so schnell wie möglich eine Einigung über die neue Verordnung herbeizuführen, damit die EU-Organe bei der Anwendung der neuen Datenschutzvorschriften mit gutem Beispiel vorangehen könnten. Eine Verständigung auf den Wortlaut erfolgte jedoch erst am 23. Mai 2018. Die am 21. November 2018 im Amtsblatt der Europäischen Union veröffentlichte Verordnung 2018/1725 wurde am 11. Dezember 2018 in vollem Umfang wirksam und brachte die Bestimmungen für die EU-Organe mit der DSGVO in Einklang.

Die neue Verordnung enthält auch ein gesondertes Kapitel zur Verarbeitung von operativen personenbezogenen Daten durch EU-Agenturen, die im Bereich der Strafverfolgung und der justiziellen Zusammenarbeit in Strafsachen tätig sind, wie Eurojust, für welches ebenfalls eine eigene Verordnung 2018/1727 gilt. Diese Bestimmungen sind an diejenigen der Richtlinie zum Datenschutz bei der Strafverfolgung angelehnt, die ebenso wie die DSGVO im Mai 2018 zur Anwendung kam.

Im Moment fällt die Verarbeitung operativer personenbezogener Daten durch Europol und die Europäische Staatsanwaltschaft nicht in den Geltungsbereich dieser neuen Bestimmungen, und es ist vorgesehen, dass die Europäische Kommission die Situation bis 2022 überprüfen wird.

6.1.5 Datenschutz in der elektronischen Kommunikation („E-Privacy“)

Die seit 2018 geltenden neuen Vorschriften stärken die Position der EU als weltweiter Vorreiter in Fragen der Praxis des Datenschutzes und des Schutzes der Privatsphäre. In diesem Regelungspuzzle fehlt allerdings noch ein Teilchen. Da die Privatsphäre in der elektronischen Kommunikation in der DSGVO nicht geregelt ist, ist eine neue E-Privacy-Verordnung, die den Grundsätzen der DSGVO genau Rechnung trägt und diese unterstützt, von maßgeblicher Bedeutung, damit die Grundrechte des Einzelnen auf Datenschutz und Schutz der Privatsphäre umfassend geachtet werden.

Den aktuellen E-Privacy-Bestimmungen zufolge gelten für die traditionelle elektronische Kommunikation klare Beschränkungen bezüglich der Art, wie personenbezogene Daten genutzt werden dürfen. Unternehmen, die als Dienste der Informationsgesellschaft eingestuft werden, finden hier jedoch aufgrund ihrer Fähigkeit, Lücken im derzeitigen Rechtsrahmen auszunutzen, einen idealen Nährboden. Daher müssen diese Lücken klar und dringend geschlossen und der Schutz der Privatsphäre und der Sicherheit der Online-Kommunikation gestärkt werden.

Am 22. Juli 2016 haben wir auf Wunsch der Europäischen Kommission eine Stellungnahme zur Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation veröffentlicht, die in ihrer aktuellen Form seit 2009 gilt. In der Stellungnahme haben wir unseren Standpunkt zu den wichtigsten Fragen in Bezug auf die Überarbeitung dargelegt. Wir haben darauf hingewiesen, dass ein neuer, intelligenterer, klarerer und stärkerer Rechtsrahmen für den Datenschutz in der elektronischen Kommunikation erforderlich ist, und empfohlen, den Anwendungsbereich dieses Rechtsrahmens auszuweiten, um den technologischen und gesellschaftlichen Veränderungen Rechnung zu tragen und zugleich dafür zu sorgen, dass die Menschen für alle funktional gleichwertigen Dienste den gleichen Schutz erhalten. Außerdem haben wir hervorgehoben, dass die Vertraulichkeit der Kommunikation in allen öffentlich zugänglichen Netzen geschützt werden muss und sichergestellt ist, dass die Einwilligung der Nutzer, wenn sie eingefordert wird, echt ist, freiwillig und in informierter Weise erteilt wird.

Am 10. Januar 2017 legte die Kommission ihren Vorschlag für eine neue Verordnung über Privatsphäre und elektronische Kommunikation (E-Privacy-VO) vor, und am 24. April 2017 haben wir unsere Antwort herausgegeben. Wir haben den Vorschlag zwar begrüßt, haben jedoch auch einige unserer wichtigsten Bedenken dargelegt. Diese bezogen sich auf den Anwendungsbereich und auf Begriffsbestimmungen, die Notwendigkeit sicherzustellen, dass Einwilligungen freiwillig erfolgen, die erforderliche Klarheit bezüglich der Beziehung zwischen der E-Privacy-VO und der DSGVO und die Notwendigkeit datenschutzfreundlicher Voreinstellungen („privacy by default“).

Am 27. Oktober 2017 hat das Europäische Parlament als Reaktion darauf seinen Bericht über die neue E-Privacy-Verordnung gebilligt. Erfreulicherweise ist dieser Bericht vielen Empfehlungen in unseren Stellungnahmen gefolgt. Außerdem knüpft er an unsere Empfehlungen zu den Änderungsvorschlägen des Parlaments an, die wir am 5. Oktober 2017 veröffentlicht haben, sowie an die Empfehlungen der Artikel-29-Datenschutzgruppe, an denen wir aktiv als Mitberichterstatter mitgewirkt haben. Schwieriger war es allerdings, im Rat Fortschritte zu erzielen.

Zu vielen Punkten des Vorschlags ist der Verhandlungsspielraum beschränkt, da ansonsten Abstriche bei den wichtigsten Grundsätzen des Datenschutzes in der Kommunikation gemacht werden müssten. Angesichts der Bedeutung, die der Vertraulichkeit der Kommunikation zukommt, und der besonderen Sensibilität der davon betroffenen Metadaten benötigen wir dringend Rechtsvorschriften, die ein gleiches, wenn nicht sogar noch höheres Schutzniveau als die DSGVO gewähren.

Trotz unserer Bemühungen, die Mitgesetzgeber dazu anzuhalten, diese Angelegenheit voranzubringen, konnte die Überarbeitung der Rechtsvorschriften im Bereich der E-Privacy nicht vor den Wahlen zum Europäischen Parlament im Mai 2019 abgeschlossen werden. Nach Beginn der neuen Legislaturperiode wird die Zukunft der E-Privacy-VO immer ungewisser. Der EDSB wird jedoch weiterhin auf eine zufriedenstellende Lösung drängen, damit die EU ein Höchstmaß an Datenschutz und Schutz der Privatsphäre gewährleisten kann.

6.2 Verstärkung der Rechenschaftspflicht der EU-Organe bei der Erhebung, Verwendung und Speicherung personenbezogener Daten . . .

In unserer Funktion als Aufsichtsbehörde für den Datenschutz bei den Organen und Einrichtungen der EU ist es unsere Aufgabe sicherzustellen, dass die EU-Organe die einschlägigen Datenschutzvorschriften einhalten. Wir sind zutiefst davon überzeugt, dass die EU-Organe mit gutem Beispiel vorangehen müssen und Maßstäbe für andere Organisationen und Unternehmen in der EU setzen.

Der EDSB verfügt über mehrere Instrumente, um die Datenschutzvorschriften bei den EU-Organen zu überwachen und durchzusetzen. Hierzu gehören Inspektionen, Besuche sowie die Befugnis, Beschwerden zu bearbeiten. Wir versuchen allerdings auch, den Organen die Instrumente zur Verfügung zu stellen, die sie für eine wirksame Umsetzung der Datenschutzvorschriften benötigen, sei es über regelmäßige Sitzungen mit den behördlichen Datenschutzbeauftragten, Schulungen mit den für Verarbeitungsvorgänge Verantwortlichen der EU-Organe oder über die Veröffentlichung von Leitlinien. In dieser Amtszeit liegt unser Schwerpunkt auf der Förderung der Rechenschaftspflicht, indem wir sicherstellen, dass die EU-Organe die Datenschutzvorschriften nicht nur einhalten, sondern auch in der Lage sind, diese Einhaltung nachzuweisen.

6.2.1 Überwachung und Sicherstellung der Einhaltung der Verordnung 45/2001

Bis zum 11. Dezember 2018 waren die Vorschriften für die Verarbeitung personenbezogener Daten bei den Organen und Einrichtungen der EU in der Verordnung 45/2001 dargelegt. Außerdem waren darin die Rolle und die Befugnisse des EDSB als ihre Aufsichtsbehörde für den Datenschutz zur Überwachung und Durchsetzung der Einhaltung der Vorschriften beschrieben. Vorabkontrollen, Konsultationen, Inspektionen und Leitlinien sind nur einige der Wege, die wir hierzu beschritten haben.

Vorabkontrollen

Gemäß der Verordnung 45/2001 mussten alle bei den EU-Organen durchgeführten Verarbeitungen, die aufgrund ihres Charakters, ihrer Tragweite oder ihrer Zweckbestimmung besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten konnten, vom EDSB vorab kontrolliert werden. Dazu gehörte auch die Meldung des vorgeschlagenen Verarbeitungsvorgangs an den EDSB, damit wir diesen prüfen und Beratung in der Frage anbieten konnten, wie sichergestellt werden konnte, dass das Verfahren mit den Datenschutzvorschriften in Einklang stand.

Zwischen 2015 und 2018, als die Verordnung 45/2001 in Kraft war, erhielten wir 267 Mitteilungen und gaben 298 Stellungnahmen im Rahmen von Vorabkontrollen ab. Dabei ging es um eine Vielfalt von Themen, von den Kernaufgaben der EU-Organe bis hin zu Verarbeitungsvorgängen im Verwaltungsbereich, etwa Personalverwaltung (siehe Abbildung 11).

Konsultationen

Gemäß der Verordnung 45/2001 mussten die EU-Organe in bestimmten Fällen eine Konsultation beim EDSB beantragen. Die EU-Organe konnten den EDSB außerdem im Fall von Zweifeln, wie die Verordnung anzuwenden war, auf freiwilliger Basis konsultieren. Diese Konsultationen konnten je nach Sachlage formell oder informell sein. Konsultationen waren in folgenden Fällen obligatorisch:

• wenn ein EU-Organ unsicher war, ob eine Meldepflicht an den EDSB zur Abgabe einer Stellungnahme im Rahmen einer Vorabkontrolle bestand, konnte es den Fall an seinen Datenschutzbeauftragten verweisen, der sich dann an den EDSB wenden und um Rat ersuchen konnte;
• bei der Erarbeitung von verwaltungsrechtlichen Maßnahmen in Bezug auf die Verarbeitung personenbezogener Daten, an der ein EU-Organ beteiligt war.

EU-Organe konnten den EDSB aber auch in anderen Fragen zur Verarbeitung personenbezogener Daten hinzuziehen. Wir erhielten zwischen 2015 und dem 10. Dezember 2018 162 solcher Konsultationen und gaben 160 Antworten ab.

Im gleichen Zeitraum erhielten wir 29 Konsultationen zur Notwendigkeit einer Vorabkontrolle und gaben 30 Stellungnahmen ab, während wir zu verwaltungsrechtlichen Maßnahmen gemäß der Verordnung 45/2001 20 Konsultationen erhielten und 21 Stellungnahmen abgaben.

Einige dieser Konsultationen gingen zwar vor dem 10. Dezember 2018 ein, konnten jedoch erst danach beantwortet werden. Dies ist der Grund für etwaige Abweichungen zwischen der Zahl der eingegangenen Konsultationen und der Zahl der abgegebenen Antworten.

Beschwerden

Eine der Hauptaufgaben des EDSB ist die Entgegennahme und Prüfung von Beschwerden und die Durchführung von Untersuchungen. Diese Aufgabe bleibt sowohl gemäß Verordnung 45/2001 als auch der neuen Verordnung 2018/1725 gleich. Wer glaubt, dass ein EU-Organ seine Datenschutzrechte nicht geachtet hat, kann beim EDSB Beschwerde einreichen.

Zwischen 2015 und 2018 sind bei uns 748 Beschwerden zu einer Vielzahl unterschiedlicher Datenschutzfragen eingegangen. Davon wurden 573 als unzulässig abgewiesen. In den meisten Fällen geschah dies aus dem Grund, dass sie sich auf die Verarbeitung von Daten auf nationaler Ebene und nicht auf eine Verarbeitung durch ein Organ oder eine Einrichtung der EU bezogen.

Daher haben wir in diesem Zeitraum 175 zulässige Beschwerden entgegengenommen und 134 Beschwerdeentscheidungen getroffen. Dabei wurden jedes Jahr unterschiedliche Sachverhalte beanstandet, und es ging um Themen wie z. B. die Einschränkung der Rechte des Einzelnen, die Vertraulichkeit und Sicherheit der Verarbeitung, das Recht auf Zugang zu personenbezogenen Daten, Personaleinstellung und Datenübermittlungen (siehe Abbildung 12).

Inspektionen und Besuche

Inspektionen und Besuche sind zwei Instrumente, die dem EDSB zur Verfügung stehen und ihm dabei helfen, die EU-Organe zu überwachen und sicherzustellen, dass sie die Datenschutzvorschriften einhalten. Besuche können ebenfalls nützlich sein, um das Problembewusstsein für Datenschutz bei den EU-Organen zu schärfen.

Wir haben zwischen 2015 und Juni 2019 29 Inspektionen und 22 Besuche zur Überprüfung der Einhaltung der Vorgaben und der Rechenschaftspflicht bei einer Vielzahl unterschiedlicher EU-Organe und -Einrichtungen durchgeführt. Anhand der Inspektionen konnten wir sowohl die Einhaltung der Verordnung 45/2001 als auch im Rahmen der Vorbereitung auf die neuen Datenschutzvorschriften gewährleisten, dass die EU-Organe über die richtigen Werkzeuge verfügten, um ein auf Rechenschaftspflicht basierendes Datenschutzkonzept umzusetzen. Die Ergebnisse unserer Inspektionen teilen wir den betreffenden Organen mit und verfolgen sie zusammen mit ihnen zu gegebener Zeit weiter, damit sichergestellt ist, dass unsere Empfehlungen auch umgesetzt werden.

Bei Besuchen zur Überprüfung der Einhaltung der Vorgaben arbeiten wir mit dem betreffenden EU-Organ zusammen an der Erstellung eines Fahrplans für Compliance. Die Weiterverfolgung findet zu einem späteren Zeitpunkt statt, um zu gewährleisten, dass dieser Fahrplan erfolgreich umgesetzt wurde. Mit Besuchen zur Überprüfung der Einhaltung der Rechenschaftspflicht soll das entsprechende EU-Organ bzw. die entsprechende EU-Einrichtung auf den Übergang zur neuen Verordnung vorbereitet werden.

Zu unseren Aufsichtstätigkeiten gehört auch die Verpflichtung, die zentralen Datenbanken der IT-Großsysteme der EU regelmäßig zu überprüfen (siehe Abschnitt 5.3.1). Bei diesen Inspektionen stehen Sicherheit und Management der Systeme im Vordergrund, während die nationalen Behörden für die Richtigkeit der dort eingegebenen Informationen verantwortlich sind. Aufgrund der Durchführung der Inspektionen sind wir in der Lage, die Einhaltung der Datenschutzbestimmungen zu überwachen, aber auch, direkt mit der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) zusammenzuarbeiten, um zu bestätigen, dass sie ihrer Rechenschaftspflicht bei der Verwaltung dieser Datenbanken nachkommt.

Auch im Rahmen der Verordnung 2018/1725 gehen Inspektionen und Besuche weiter, wobei hier das Augenmerk stärker auf der Förderung und Gewährleistung eines Datenschutzkonzepts liegt, das auf einer umfassenderen Rechenschaftspflicht beruht. Dies bedeutet nicht nur die Einhaltung der Datenschutzvorschriften, sondern auch die Fähigkeit, diese Einhaltung nachzuweisen.

Frühjahrsumfrage

In den Jahren 2015 und 2017 haben wir unsere Frühjahrsumfrage durchgeführt. Dabei handelt es sich um eine regelmäßige Überprüfung der Fortschritte aller EU-Organe und -Einrichtungen bei der Umsetzung der EU-Datenschutzvorschriften. Wir können dadurch Probleme erkennen und Abhilfemaßnahmen ergreifen.

Für jede Umfrage haben wir außerdem konkrete Themen festgelegt, die untersucht werden sollten. Dabei handelt es sich um Themen, die für die Arbeit der EU-Organe zu dem jeweiligen Zeitpunkt als besonders wichtig gelten. 2015 haben wir uns besonders mit der internationalen Übermittlung personenbezogener Daten, Maßnahmen für die Sicherheit von Informationen, der wirksamen Löschung personenbezogener Daten und der Beziehung zwischen den Organen und ihren behördlichen Datenschutzbeauftragten befasst. 2017 haben wir das Thema der internationalen Datenübermittlung erneut beleuchtet, da es in diesem Bereich zu diesem Zeitpunkt aktuelle Entwicklungen gab (siehe Abschnitt 5.2.3), und wir haben sowohl die Erfassung von Ausweisdokumenten durch EU-Organe als auch den von den EU-Organen ermittelten speziellen Schulungsbedarf im Hinblick auf deren Vorbereitung auf die Verordnung 2018/1725 thematisiert.

Die Ergebnisse der beiden Umfragen machten deutlich, dass bei der Gewährleistung der Einhaltung der Vorgaben kontinuierliche und ständige Fortschritte erzielt worden waren. Dank der Umfragen hatten wir wertvolle Informationen an die Hand bekommen und konnten damit Trends erkennen und unsere Aufsichts- und Durchsetzungstätigkeit besser planen.

Zusammenarbeit mit behördlichen Datenschutzbeauftragten (DSB) im Rahmen der Verordnung 45/2001

Jedes EU-Organ muss einen unabhängigen behördlichen Datenschutzbeauftragten ernennen, der sicherzustellen hat, dass die Datenschutzvorschriften intern zur Anwendung gelangen. Diese Datenschutzbeauftragten treffen im Rahmen ihrer DSB-Netzwerktreffen zweimal pro Jahr mit dem EDSB zusammen (siehe Abbildung 13). Ziel der Sitzungen ist es, die Zusammenarbeit zwischen den Datenschutzbeauftragten zu intensivieren und sicherzustellen, dass die EU-Organe über die erforderlichen Instrumente verfügen, um bei der Anwendung des Datenschutzrechts mit gutem Beispiel voranzugehen.

Zwischen 2015 und dem 11. Dezember 2018, als die neuen Datenschutzvorschriften für die EU-Organe in Kraft traten, trafen die behördlichen Datenschutzbeauftragten sieben Mal mit dem EDSB zusammen, und jedes dieser Treffen wurde von einem anderen Organ, einer anderen Einrichtung bzw. sonstigen Stelle der EU ausgerichtet. Das erste Treffen dieser Art im Rahmen des neuen Mandats wurde vom Europäischen Investitionsfonds in Luxemburg ausgerichtet. In Anlehnung an die EDSB-Strategie ergriffen wir die Gelegenheit zur Einführung eines neuen und innovativen Konzepts für diese Sitzungen, die mithilfe praxisbezogener Fallstudien und interaktiver Workshops dynamischer, interaktiver und effizienter werden sollten.

Dank der Erkenntnis, dass Rechenschaftspflicht einer der Hauptbestandteile der neuen Datenschutzvorschriften für die EU-Organe sein würde, ging es uns in erster Linie darum, die EU-Organe beim Übergang von einem rein auf Compliance beruhenden Datenschutzkonzept zu einem Konzept zu unterstützen, das auf der Fähigkeit beruht, die Einhaltung der Vorgaben nachzuweisen. Wir haben unsere Sitzungen mit den behördlichen Datenschutzbeauftragten so organisiert, dass sie alle über das Wissen und die Instrumente verfügten, die für eine gute Vorbereitung notwendig waren, sobald weitere Einzelheiten der neuen Vorschriften absehbar waren. Soziale Medien und Micro-Targeting, Datenschutz-Folgenabschätzungen, IT-Governance, Rechte des Einzelnen, Meldepflicht bei Datenschutzverstößen und viele andere Themen wurden mithilfe von praktischen Übungen trainiert, die den behördlichen Datenschutzbeauftragten praktische Erfahrungen mit dem Umgang mit möglichen Herausforderungen vermitteln sollten.

Im Hinblick auf die weitere Unterstützung der behördlichen Datenschutzbeauftragten bei ihrer Vorbereitung auf die neuen Vorschriften haben wir am 30. September 2018 eine aktualisierte Fassung unseres Positionspapiers zur Rolle der behördlichen Datenschutzbeauftragten bei den EU-Organen aus dem Jahr 2005 veröffentlicht. Darin werden ihre Beziehung zum EDSB erläutert und Leitlinien zum Profil eines behördlichen Datenschutzbeauftragten sowie die erforderlichen Ressourcen zur Wahrnehmung ihrer Aufgabe beschrieben.

Thematische Leitlinien

Der EDSB veröffentlicht zu einer Vielzahl von Themen, die viele EU-Organe betreffen, Leitlinien, beispielsweise zu den Themen Personalauswahl, Personalbeurteilung, Nutzung von IT-Geräten am Arbeitsplatz und Disziplinarverfahren. Mit diesen Leitlinien werden die in unseren Stellungnahmen im Rahmen von Vorabkontrollen und vorherigen Konsultationen angebotenen Orientierungshilfen sowie die Vorgaben der Artikel-29-Datenschutzgruppe und in der Rechtsprechung der Europäischen Gerichte weiter vertieft. Viele unserer Leitlinien können auch als Impulsgeber für andere Organisationen als die EU-Organe oder ergänzend zu den Anleitungen der nationalen behördlichen Datenschutzbeauftragten genutzt werden.

Im Laufe des Mandats haben wir 17 Leitlinien herausgegeben (siehe Abbildung 14). Auch wenn die überwiegende Mehrheit dieser Leitlinien vor dem Inkrafttreten der Verordnung 2018/1725 veröffentlicht wurde, sind sie noch immer von Belang, da die wichtigsten Grundsätze unverändert geblieben sind. Die seit der Veröffentlichung des Vorschlags, der zur Verordnung 2018/1725 wurde, erlassenen Leitlinien wurden im Sinne der neuen Vorschriften erstellt.

Viele Leitlinien beziehen sich auf Entwicklungen im IT-Bereich. Dazu gehören unsere Leitlinien zu IT-Governance und IT-Management, zur Nutzung von Cloud-Computing durch die Organe und Einrichtungen der EU und zum Schutz personenbezogener Daten, die über Webdienste der EU-Organe verarbeitet werden (siehe Abschnitt 6.2.3). Weitere Beispiele sind Leitlinien zu Verfahren zur Meldung von Missständen, Verwaltungsuntersuchungen und Disziplinarverfahren und zur Dokumentation von Verarbeitungsvorgängen (siehe Abbildung 14).

6.2.2 Erleichterung des Übergangs zur Verordnung 2018/1725

Die Verordnung 2018/1725 löste am 11. Dezember 2018 die Verordnung 45/2001 ab. Wie in der Verordnung 45/2001 sind auch hier die Vorschriften für den Datenschutz bei EU-Organen sowie die Rolle und Befugnisse des EDSB dargelegt und werden mit den Bestimmungen in der DSGVO in Einklang gebracht.

Als Aufsichtsbehörde für den Datenschutz für die EU-Organe waren wir nicht nur dafür zuständig, die neuen Vorschriften nach ihrem Inkrafttreten durchzusetzen, sondern auch dafür, die EU-Organe bei der Vorbereitung darauf zu unterstützen.

Rechenschaftspflicht vor Ort

Sowohl in der DSGVO als auch der Verordnung 2018/1725 wird die Bedeutung der Rechenschaftspflicht hervorgehoben. Dabei geht es darum, dass der Verantwortliche, die für die Verarbeitung personenbezogener Daten zuständige Organisation, nicht nur die Datenschutzvorschriften einhalten, sondern diese Einhaltung auch nachweisen können muss.

Damit Rechenschaftspflicht Realität werden kann, müssen alle EU-Organe dafür Sorge tragen, dass sie ihre Datenverarbeitungsvorgänge entsprechend dokumentieren, genau wie andere in der EU tätige Organisationen auch. Als Hilfestellung haben wir ein Toolkit „Rechenschaftspflicht vor Ort“ (accountability on the ground toolkit) herausgegeben.

Eine vorläufige Version des Toolkits wurde im Februar 2018 veröffentlicht. Damit sollten die EU-Organe bei der Vorbereitung auf die neuen Vorschriften unterstützt werden. Wir haben das Toolkit aktualisiert, damit es die endgültige Fassung der Verordnung 2018/1725 genau widerspiegelt, und den Text seitdem mehrfach verbessert. Die aktuelle Fassung wurde am 16. Juli 2019 veröffentlicht. Sie bietet Orientierungshilfen dazu, wie Verarbeitungsvorgänge im Verzeichnis aller Verarbeitungstätigkeiten zu dokumentieren sin, und legt auch die Kriterien fest, anhand derer bestimmt wird, wann eine Datenschutz-Folgenabschätzung erforderlich ist.

Das Toolkit ergänzt unsere Arbeit im Bereich Rechenschaftspflicht mit den behördlichen Datenschutzbeauftragten sowie die Schulungen und die Besuche zur Überprüfung der Einhaltung der Rechenschaftspflicht, die im Laufe des Mandats stattfanden.

Einer der Bereiche, in denen mit der Verordnung 2018/1725 ebenso wie der DSGVO grundlegende Änderungen vorgenommen wurden, sind die Vorschriften für die Ausgliederung der Verarbeitung personenbezogener Daten. Den neuen Vorschriften zufolge haften Auftragnehmer jetzt unmittelbar dafür, die Einhaltung sicherzustellen.

Allerdings bleiben die EU-Organe genauso wie jeder andere Verantwortliche bei der Hinzuziehung Dritter für die Erbringung von Leistungen für jede in ihrem Auftrag erfolgte Datenverarbeitung verantwortlich. Es obliegt dem Verantwortlichen, nur solche Auftragnehmer einzusetzen, die die Anforderungen des geltenden Datenschutzrechts erfüllen.

Als Hilfestellung für die EU-Organe hat der EDSB im Dezember 2018 Standardvertragsklauseln für Auftragsverarbeiter erlassen. Darin sind die Mindestanforderungen für EU-Organe bei der Fremdvergabe der Verarbeitung personenbezogener Daten festgelegt.

Schulungen und Besuche zur Überprüfung der Einhaltung der Rechenschaftspflicht

Im Vorgriff auf die Verordnung 2018/1725 haben wir 2017 und 2018 eng mit behördlichen Datenschutzbeauftragten und anderen Vertretern aller Organe, Einrichtungen und sonstigen Stellen der EU zusammengearbeitet, um wirklich gut vorbereitet zu sein. Zu den Tätigkeiten gehörten interaktive Workshops im Rahmen unserer zweimal jährlich stattfindenden Treffen mit den behördlichen Datenschutzbeauftragten (siehe Abschnitte 6.2.1 und 6.2.2) sowie Besuche zur Überprüfung der Einhaltung der Rechenschaftspflicht, Schulungen und Konferenzen. Wir wollten sicherstellen, dass alle an der Verarbeitung personenbezogener Daten beteiligten EU-Bediensteten unabhängig von ihrer Stellung in der EU-Hierarchie mit den neuen Vorschriften und ihren Auswirkungen vertraut waren.

Unsere Sensibilisierungskampagne wurde 2018 noch weiter ausgebaut, damit die EU-Organe über die notwendigen Kenntnisse und Instrumente verfügen, um die neuen Vorschriften nach ihrem Inkrafttreten Ende dieses Jahres mühelos anzuwenden. Bei der Kampagne stand insbesondere die Bedeutung der Rechenschaftspflicht im Vordergrund, d. h. die Idee, dass die EU-Organe die neuen Vorschriften nicht nur einhalten, sondern die Einhaltung auch nachweisen können müssen.

Einer der zentralen Bestandteile unserer Sensibilisierungskampagne war unser Schulungs- und Besuchsprogramm. Diese Schulungen und Besuche sind dafür ausgelegt, unsere schriftlichen Anleitungen zu flankieren (siehe Abschnitt 6.2.1), und umfassten einen Besuch bei den EU-Organen und -Einrichtungen in Luxemburg durch den Stellvertretenden Datenschutzbeauftragten Wojciech Wiewiórowski, Schulungen für die EU-Organe in Luxemburg und für Mitarbeiter der EU-Agenturen in Athen, einen Austausch mit Kommunikationsbeauftragten der EU-Organe und eine Schulung für Mitarbeiter von EU-Agenturen in Italien sowie zahlreiche bilaterale und andere Sitzungen mit der obersten Leitung der EU-Organe.

Unser Besuchs- und Schulungsprogramm wurde auch 2019 fortgeführt. Nachdem die neuen Vorschriften in Kraft getreten sind, ist es wichtiger denn je, dafür zu sorgen, dass alle EU-Bediensteten, die für die Verarbeitung personenbezogener Daten verantwortlich sind, ihre neuen Pflichten kennen und wissen, wie sie sie umzusetzen haben. Eine gezielte Schulung zum Beschaffungswesen für Sachbearbeiter der Generaldirektion Finanzen des Europäischen Parlaments und die Gelegenheit, Kontakt mit der Generaldirektion Humanressourcen (GD HR) der Europäischen Kommission zu knüpfen, einer der Bereiche, der von den neuen Vorschriften am stärksten betroffen ist, sind gute Beispiele für unsere anhaltenden Bemühungen, die Umstellung auf die neuen Vorschriften zu erleichtern.

Zusammenarbeit mit behördlichen Datenschutzbeauftragten im Rahmen der Verordnung 2018/1725

Am 12. Dezember 2018, nur einen Tag nach dem Inkrafttreten der Verordnung 2018/1725, kamen die behördlichen Datenschutzbeauftragten zur 44. EDSB-DSB-Sitzung in Brüssel zusammen (siehe Abbildung 13). Dies war eine Gelegenheit für uns, uns Gedanken über die Herausforderungen zu machen, vor denen der EDSB und die behördlichen Datenschutzbeauftragten im Rahmen der neuen Rechtsvorschriften stehen.

Ausgangsbasis für die Aktivitäten dieses Tages war eine Reihe von Fallstudien, die den behördlichen Datenschutzbeauftragten praktische Erfahrung im Umgang mit einigen dieser Herausforderungen vermitteln sollten. Dazu gehörten die Beschränkung der Rechte des Einzelnen, Meldepflicht für Datenschutzverstöße und die Rolle gemeinsam Verantwortlicher. Wir hatten uns zum Ziel gesetzt, behördliche Datenschutzbeauftragte dazu anzuhalten, die Vorschriften als Referenzinstrument zu sehen, das zeigt, wie die Achtung der Rechte des Einzelnen gewährleistet werden kann, und nicht als eine Bürde.

Ein weiteres Treffen fand im Mai 2019 statt. Dieses bot die Gelegenheit, Bilanz über die Herausforderungen zu ziehen, mit denen behördliche Datenschutzbeauftragte bei der Anwendung der neuen Vorschriften konfrontiert waren, und zu klären, wie diese bewältigt werden können. Darüber hinaus konnten wir den behördlichen Datenschutzbeauftragten unsere Strategie für die Kontrolle der Anwendung der Verordnung 2018/1725 vorstellen.

Nachdem die neuen Vorschriften in Kraft getreten sind, ist die konstruktive Zusammenarbeit mit den behördlichen Datenschutzbeauftragten jetzt wichtiger denn je, wenn wir gewährleisten wollen, dass die EU-Organe wirklich in der Lage sind, hinsichtlich der Datenschutzpraxis mit gutem Beispiel voranzugehen.

Wissensmanagement

Der EDSB feierte 2019 sein fünfzehnjähriges Bestehen. Vieles hat sich seit der Gründung unserer kleinen Einrichtung 2004 geändert, und es wurde in den letzten Jahren immer offensichtlicher, dass wir unser Wissen und unsere Arbeit an einem einzigen, leicht zugänglichen Ort zusammenlegen mussten, um nicht allzu sehr auf das Fachwissen Einzelner angewiesen zu sein. Damit würden wir zugleich auch unsere Position als Anbieter von Expertenwissen im Bereich Datenschutz stärken, insbesondere dann, wenn es darum geht, das Bewusstsein bei den EU-Organen zu schärfen und sie zu Risiken, Rechten und Pflichten im Rahmen der Verordnung 2018/1725 zu beraten.

Hierfür haben wir 2018 mehrere Aktivitäten in Verbindung mit Wissensmanagement gestartet. Zu den wichtigsten gehörte die Erstellung eines internen Wikis zu der neuen Verordnung. Die Idee bestand darin, Kollegen dazu anzuhalten, ihr Wissen bei der Erstellung einer mit Anmerkungen versehenen Fassung der neuen Verordnung weiterzugeben, denn dies würde uns dabei helfen, für ein einheitliches Konzept bei der Kontrolle und Durchsetzung des Datenschutzes bei den EU-Organen zu sorgen.

Um auf diesem kooperativen Ansatz aufzubauen, haben wir interne Workshops für Kollegen organisiert, auf denen sie ihre spezifischen Fähigkeiten und Kenntnisse austauschen und über neue Konzepte und wichtige Präzedenzfälle diskutieren konnten. Dank dieser Workshops bleiben wir über neue Entwicklungen, die sich auf unsere Aufsichtstätigkeit auswirken könnten, auf dem Laufenden. Auch bei der Sensibilisierung der Öffentlichkeit und der Förderung des Verständnisses der Risiken, die mit bestimmten neuen Technologien für die Rechte und Freiheiten natürlicher Personen und der Gesellschaft einhergehen, sollten sie sich als nützlich erweisen. So befasste sich eine Workshop-Reihe beispielsweise gezielt mit digitaler Ethik. Dadurch konnten wir über den Horizont unseres unmittelbaren Tagesgeschäfts hinaussehen und die umfassenderen gesellschaftlichen Auswirkungen der Technologien besser verstehen.

6.2.3 Schutz personenbezogener Daten in einer digitalen Welt

Für die praktische Umsetzung der neuen Vorschriften ist es erforderlich, dass die oberste Leitungsebene jedes EU-Organs den Ton angibt, indem Datenschutz in Risikomanagementpläne integriert und sichergestellt wird, dass Datenschutz in der Kultur ihres Organs fest verankert ist. Dies wird im digitalen Zeitalter immer wichtiger.

Als Hilfestellung haben wir Anleitungen und Schulungen zu einer Vielzahl von Themen angeboten, etwa zu Rechenschaftspflicht (siehe Abschnitt 6.2.2), Risikobewertung und Datenschutz-Folgenabschätzungen und Meldepflicht für Datenschutzverstöße, allesamt neue und ungewohnte Themen für die EU-Organe. Darüber hinaus haben wir in die Entwicklung ausgeklügelterer Werkzeuge für die Kontrolle von IT-Systemen und Websites investiert, denn dies hilft uns dabei, die Anwendung der neuen Vorschriften auf digitale Technologien wirksamer zu überwachen.

Kontrolle von IT-Systemen und Websites

Eine unserer Aufgaben als Aufsichtsbehörde der EU-Organe ist die Durchführung von Kontrollen der IT-Großsysteme der EU neben den Tätigkeiten der EU-Organe selbst (siehe Abschnitt 6.2.1). Da die von den EU-Organen eingesetzten IT-Werkzeuge immer ausgeklügelter werden und die Zahl der IT-Systeme in der EU steigt, haben wir erkannt, dass unsere Methodik und unsere Kapazitäten für die Durchführung dieser Inspektionen verbessert werden müssen.

Da das neue IT-Politiklabor inzwischen seine Arbeit aufgenommen hat, haben wir im Juli 2018 ein Programm von Ferninspektionen der von den EU-Organen angebotenen Webdienste aufgelegt. Nach der Veröffentlichung von Leitlinien zum Schutz personenbezogener Daten, die über Webdienste der EU-Organe verarbeitet werden, im November 2016 sollten die Ferninspektionen zum Zweck der Weiterverfolgung durchgeführt werden.

Zur Durchführung der Inspektionen haben wir eine Reihe von speziellen Software-Tools entwickelt. Hierzu gehörte unser Website Evidence Collector, der automatisch Informationen über die von Websites verarbeiteten personenbezogenen Daten sammelt, etwa die Verwendung von Cookies, Web Beacons, von Dritten geladenen Seitenelementen und die Sicherheit verschlüsselter Verbindungen (HTTPS). Dieses Tool steht jetzt auf der EDSB-Website im Rahmen einer freien Softwarelizenz zur Verfügung, was bedeutet, dass jeder es herunterladen und nutzen kann (siehe Abschnitt 4.1.2).

Da die von den Organen gemeldete Zahl der Webdienste inzwischen bei über 700 lag, haben wir die Inspektionen in Wellen organisiert. Jede Welle deckt eine Reihe von Webdiensten ab, wobei die erste Welle diejenigen umfasste, die die größten Auswirkungen auf die Personen haben, die sie nutzen, und die zweite sich schwerpunktmäßig mit den am häufigsten besuchten Websites der EU-Organe und -Einrichtungen befasste.

Die Ergebnisse der ersten Inspektion machten deutlich, dass mehrere der kontrollierten Websites weder mit der Verordnung 2018/1725 noch mit der Datenschutzrichtlinie für elektronische Kommunikation in Einklang standen und auch unseren Leitlinien zu Webdiensten nicht entsprachen. Eines der Probleme, die wir feststellten, war das Drittanbieter-Tracking ohne vorherige Zustimmung. In Fällen, in denen das Geschäftsmodell des Drittanbieters auf Profilerstellung (Profiling) und verhaltensorientierter Werbung (Targeting) beruht, ist dies besonders problematisch. Andere Probleme waren beispielsweise die Verwendung von Trackern für die Webanalytik ohne vorherige Zustimmung der Besucher und das unverschlüsselte Senden personenbezogener Daten, die über Webformulare erhoben wurden.

Die kontrollierten Organe reagierten rasch mit der Behebung der von uns festgestellten Probleme. Alle betroffenen Organe stellen inzwischen sichere HTTPS-Verbindungen zur Verfügung und haben die Zahl der verwendeten Tracker von Drittanbietern erheblich reduziert. Wir planen, ihre Bemühungen weiterzuverfolgen und zugleich mit weiteren Inspektionswellen fortzufahren.

Wir werden auch weiterhin in das IT-Politiklabor des EDSB investieren. Derzeit läuft ein öffentliches Vergabeverfahren mit dem Ziel, die Kapazitäten des Labors aufzustocken. Damit werden wir auch Ferninspektionen mobiler Apps durchführen können.

Verletzungen des Schutzes personenbezogener Daten

Gemäß der Verordnung 2018/1725 sind alle EU-Organe und -Einrichtungen verpflichtet, bestimmte Arten von Verletzungen des Schutzes personenbezogener Daten dem EDSB zu melden. Jedes EU-Organ muss, sofern dies machbar ist, dies innerhalb von 72 Stunden melden, nachdem es von der Verletzung Kenntnis erlangt hat. Falls ein hohes Risiko besteht, dass die Rechte und Freiheiten natürlicher Personen aufgrund der Verletzung ernsthaft gefährdet werden könnten, muss das EU-Organ auch die betroffenen Personen ohne unnötige Verzögerung informieren.

Bis zum 30. September 2019 haben wir 65 Meldungen über die Verletzung des Schutzes personenbezogener Daten im Rahmen der Verordnung 2018/1725 entgegengenommen und geprüft.

Am 4. April 2019 haben wir zusammen mit der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) eine Konferenz organisiert. Bei dieser Veranstaltung wurde die Bewertung von Risiken in Verbindung mit Verletzungen des Schutzes personenbezogener Daten thematisiert. Uns ging es dabei vor allem um die Herausforderungen bei Risikobewertungen und die Prüfung der rechtlichen Verpflichtungen gemäß DSGVO und Verordnung 2018/1725.

Risikobewertung ist ein fester Bestandteil der Verhinderung und Reaktion auf Verletzungen des Schutzes personenbezogener Daten, die naturgemäß in erheblichem Maße für Unsicherheit sorgen. Im Gegensatz zu anderen herkömmlichen Methoden der Risikobewertung liegt der Schwerpunkt bei einer Verletzung des Schutzes personenbezogener Daten darauf, das Risiko für die Rechte und Freiheiten natürlicher Personen zu bewerten. Während verschiedene Akteure, Aufsichtsbehörden und private und öffentliche Organisationen dabei nach unterschiedlichen Methoden vorgehen, ist mit unseren Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten beabsichtigt, diese Aufgabe mittels praktischer Beispiel zu vereinfachen, um die EU-Organe bei ihren Bemühungen zu unterstützen.

Neben dieser Konferenz haben wir zusammen mit der Europäischen Kommission mehrere Workshops zum Thema Verletzungen des Schutzes personenbezogener Daten organisiert. Wir haben zusammen mit der Kommission spezifische Schulungsmaterialien entwickelt und Beratung zu den wichtigsten Fragen zu Verletzungen des Schutzes personenbezogener Daten angeboten. Es fanden zwei Workshops – am 14. und am 21. Juni – statt, an denen mehr als 100 Teilnehmer aus den unterschiedlichsten Generaldirektionen der Europäischen Kommission teilnahmen.

Cloud-Computing

Cloud Computing wird für viele EU-Organe als Instrument immer attraktiver, denn sie können damit Kosten senken und ihre Produktivität steigern. Dadurch werden aber viele komplexe Fragen für den Datenschutz aufgeworfen. Aus diesem Grund wurde das Thema auf unseren Sitzungen mit den behördlichen Datenschutzbeauftragten sowie in eigens hierzu erstellten EDSB-Leitlinien aufgegriffen.

2016 veröffentlichte die Europäische Kommission die erste interinstitutionelle Ausschreibung für die Bereitstellung cloud-basierter IT-Dienstleistungen (Cloud I). Im Rahmen ihrer Cloud-Strategie setzte die Generaldirektion Informatik der Kommission (GD DIGIT) eine Untergruppe innerhalb ihrer Cloud Virtual Task Force (CVTF) ein, die die Aufgabe hatte, die von potenziellen Auftragnehmern angebotenen Sicherheits- und Datenschutzkontrollen zu überwachen. Der EDSB hat sich an der Arbeit dieser Untergruppe beteiligt und bei Bedarf seine Erfahrung und Beratung angeboten.

Aufgrund der Ergebnisse und Erkenntnisse aus Cloud I hat die GD DIGIT eine zweite Ausschreibung für cloud-basierte Produkte und Dienstleistungen durchgeführt. Wir haben die Vorbereitungen für diese Ausschreibung genau verfolgt und die GD DIGIT beraten, um zu gewährleisten, dass die Verpflichtungen aus der DSGVO insbesondere für Auftragsverarbeiter auf vertraglicher und operativer Ebene berücksichtigt wurden. Es gibt jedoch noch immer viele Herausforderungen, die es zu bewältigen gilt. Wir werden daher weiterhin Anstrengungen in diese wichtige Thematik investieren, damit die personenbezogenen Daten aller Mitarbeiter der EU und aller Unionsbürger angemessen geschützt werden.

Weitere IT-Initiativen bei den EU-Organen

Der EDSB wirkt an mehreren Initiativen zur Förderung der Koordination und Zusammenarbeit zwischen den EU-Organen in Fragen rund um IT und IT-Sicherheit mit. Hierzu gehören der Interinstitutionelle Ausschuss für IT (CII) für IT-Verantwortliche der EU-Organe, des Information and Communication Technologies Advisory Committee of EU Agencies (ICTAC), die Untergruppe Sicherheit des CII und das IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU (CERT-EU).

Diese Zusammenarbeit ermöglicht den direkten Zugang des EDSB zu den IT-Fachkräften der EU-Verwaltung. Es bedeutet, dass wir über die einschlägigen Entwicklungen und Trends in Verbindung mit der von den EU-Organen genutzten IT-Infrastruktur informiert sind und zugleich IT-Verantwortliche und -Praktiker, die bei EU-Organen arbeiten, über die einschlägigen Entwicklungen im Datenschutz informieren können.

Mit Unterstützung von CII und ICTAC beispielsweise war der EDSB in der Lage, sich mit den mit IT befassten Kreisen bei den EU-Organen während der Vorbereitungen der Leitlinien zu IT-Fragen zu beraten, etwa in Bezug auf Webdienste, mobile Geräte, mobile Apps, Cloud-Computing und IT-Governance und IT-Management (siehe Abbildung 14).

6.3 Förderung einer verantwortungsvollen und fundierten politischen Entscheidungsfindung . . .

Fast alle politischen Vorschläge der EU sind inzwischen mit der einen oder anderen Form der Verarbeitung personenbezogener Daten verbunden. In einer Welt, in der politische Entscheidungsträger rasch auf drängende Herausforderungen für die öffentliche Sicherheit reagieren und mit den Entwicklungen der digitalen Wirtschaft oder des internationalen Handels Schritt halten müssen, war die Notwendigkeit, Hilfestellung zu leisten, um sicherzustellen, dass neue Vorschläge der EU grundrechtskonform sind, nie größer als heute.

Der EDSB hat unablässig versucht, den EU-Gesetzgeber zu unterstützen und zu beraten. Dies geschah normalerweise in Form von formellen Konsultationen zu Legislativvorschlägen gemäß Artikel 28 der Verordnung 45/2001 oder von informellen Konsultationen gemäß einem Verfahren, das bereits 2009 mit der Kommission vereinbart worden war. Seit Dezember 2018 sind Konsultationen in Artikel 42 der Verordnung 2018/1725 geregelt, und die Möglichkeit für den EDSB, andere EU-Organe und Einrichtungen auf Wunsch oder von sich aus zu beraten, ist in den Artikeln 56 und 57 der genannten Verordnung geregelt.

Angesichts der steigenden Zahl politischer Initiativen der EU, die mittlerweile mit der Verarbeitung personenbezogener Daten einhergehen, sind in unserer Strategie mehrere Schritte zur Verbesserung der Qualität und Effizienz unserer Beratungsleistungen für den Gesetzgeber dargelegt. Darunter fielen beispielsweise die Ermittlung von Bereichen, in denen Hilfestellung und Beratung am dringendsten benötigt wurden, und die Verbesserung unserer Zusammenarbeit mit der Europäischen Kommission, dem Parlament und dem Rat.

6.3.1 Cybersicherheit: datenschutzfreundlicher Schutz vor Cyberangriffen

Eine Eurobarometer-Umfrage vom September 2017 hat ergeben, dass 87 % der Befragten Cyberkriminalität für eine große Herausforderung für die innere Sicherheit der EU hielten. Die Umfrage hat außerdem gezeigt, dass die größten Befürchtungen der Internetnutzer den Missbrauch ihrer personenbezogenen Daten betrafen.

Am 13. September 2017 schlugen die Europäische Kommission und die Hohe Vertreterin der Union für Außen- und Sicherheitspolitik ein Maßnahmenbündel vor, damit sich die EU besser gegen Cyberangriffe wappnen konnte. In diesem Cybersicherheitspaket wird ganz konkret die Notwendigkeit angesprochen, ein System einzurichten, um für eine wirksame Abschreckung in der EU und entsprechende strafrechtliche Verfolgung zu sorgen, um natürliche Personen, Unternehmen sowie öffentliche Einrichtungen in Europa besser vor Cyberangriffen zu schützen. Die Kommission hat einige der angekündigten Initiativen in ihrem am 18. Oktober 2017 erschienenen Bericht über eine Sicherheitsunion näher erläutert. Wir haben darauf am 15. Dezember 2017 mit förmlichen Kommentaren zum vorgeschlagenen Cybersicherheitspaket reagiert, in dem wir unsere Bedenken und Empfehlungen näher ausgeführt haben.

Eine angemessene Cybersicherheit ist notwendig, um die Privatsphäre und personenbezogene Daten zu schützen. Prävention ist allerdings ebenso wichtig. Wir benötigen zwar eine wirksame Strafverfolgung, doch ist es noch besser, wenn vermieden werden kann, dass man erst gar nicht Opfer eines Cyberangriffs wird.

In diesem Sinne haben wir die Verpflichtung der Kommission, eine Schwächung bzw. Aushöhlung der Verschlüsselungsstärke zu vermeiden, begrüßt. Vertrauenswürdige Verschlüsselungsfunktionen sind für digitale Märkte und Gesellschaften unabdingbar. Damit werden Daten geschützt und Vertrauen in Online-Dienste und Werkzeuge der Cybersicherheit geschaffen.

In Fällen, in denen dieselben Werkzeuge zum Schutz personenbezogener Daten und für eine proaktive Cybersicherheit eingesetzt werden können, müssen Organisationen sowohl die Vorschriften für die Cybersicherheit als auch für den Datenschutz einhalten. Es ist unerlässlich, dass die Kommission im Zusammenhang mit Zertifizierung und Maßnahmen zum Management von IT-Sicherheitsvorfällen ausreichende Anleitungen zur Verfügung stellten, um Verwirrung oder Widersprüche zu vermeiden.

Wir haben hervorgehoben, dass weitere Maßnahmen zur Bekämpfung von Cyberkriminellen ausgearbeitet und unter vollständiger Wahrung der Datenschutzgrundsätze der Erforderlichkeit und Verhältnismäßigkeit angewandt werden müssen. Wir haben die Kommission außerdem darauf hingewiesen, dass gemäß der früheren Warnung des EDSB Werkzeuge, die wir eigentlich zur Bekämpfung von Cyberangriffen entwickelt haben, gegen uns eingesetzt werden könnten, falls sie in die falschen Hände geraten. Wir haben sie dringend gebeten, dies bei künftigen Arbeiten rund um das Cybersicherheitspaket zu berücksichtigen (siehe Abschnitt 6.4.4).

6.3.2 Das zentrale digitale Zugangstor: ein digitales Europa braucht Datenschutz

Am 1. August 2017 haben wir eine Stellungnahme zum Vorschlag der Kommission für eine Verordnung über die Einrichtung eines zentralen digitalen Zugangstors und den Grundsatz der „einmaligen Erfassung“ veröffentlicht. Der Vorschlag sah vor, dass der Austausch von Nachweisen für bestimmte grenzüberschreitende Verfahren, wie beispielsweise ein Antrag auf Anerkennung beruflicher Qualifikationen, über ein technisches System ablaufen soll. Mit diesem System wäre ein direkter Datenaustausch zwischen nationalen Behörden möglich, allerdings nur auf ausdrückliches Ersuchen der betreffenden Person.

Wir haben diese Initiative als notwendige Entwicklung im Rahmen der Modernisierung von Verwaltungsdienstleistungen in der EU begrüßt. Damit würden Verfügbarkeit, Qualität und Zugänglichkeit von Informationen überall in der EU durch Einrichtung eines Systems, bei dem Personen bestimmte Dokumente nur ein einziges Mal und auch nur in einem Mitgliedstaat einreichen müssten, verbessert.

Wir haben allerdings empfohlen, dass die Kommission bei der Entwicklung des Grundsatzes der einmaligen Erfassung einige wichtige Datenschutzaspekte berücksichtigt. Hierzu gehörte die Empfehlung, für mehr Klarheit in Bezug auf einige der wesentlichen Grundsätze des Datenschutzes zu sorgen, etwa die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, Zweckbindung und Datenminimierung.

6.3.3 Digitale Inhalte: Verbraucher- und Datenschutz müssen gestärkt werden

Mit dem Vorschlag der Europäischen Kommission für eine Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte sollte der Verbraucherschutz auf digitale Inhalte erweitert werden, unabhängig davon, ob diese von einem Verbraucher als Gegenleistung für Geld oder für Daten bereitgestellt werden. Zur Anerkennung unserer Bemühungen, die Zusammenarbeit zwischen dem EDSB und dem Rat zu verbessern, hat uns der Rat um eine Stellungnahme zu dem Vorschlag ersucht.

Am 14. März 2017 haben wir eine Stellungnahme veröffentlicht und darin unsere Unterstützung für das Ziel der Kommission zum Ausdruck gebracht, die Rechte der Verbraucher zu stärken. Wir haben allerdings auch auf die Gefahr der Verwirrung für Verbraucher und Unternehmen in Bezug auf neue Bestimmungen im EU-Recht verwiesen, die personenbezogene Daten anscheinend als Ware und nicht als ein Grundrecht behandeln. Dem EU-Recht zufolge haben Personen online dieselben Rechte wie offline. Dies umfasst auch den Konsum von Waren und Dienstleistungen, unabhängig davon, ob diese als Gegenleistung für Geld geliefert bzw. erbracht werden oder nicht.

Zugleich legt die DSGVO die Regeln für die Verwendung von Daten in der digitalen Wirtschaft vor, einschließlich der strengen Bedingungen, unter denen die Verarbeitung personenbezogener Daten in einem Vertragsverhältnis erfolgen kann. Wir haben daher die EU dringend aufgefordert, es zu vermeiden, durch unbeabsichtigte Eingriffe in die Bestimmungen der DSGVO und der zukünftigen E-Privacy-Verordnung (siehe Abschnitt 6.1.5) Rechtsunsicherheit herbeizuführen.

Auch wenn wir anerkennen, dass die Weiterentwicklung der datengestützten Wirtschaft für das Wachstum in der EU von maßgebender Bedeutung ist, hängt das Vertrauen in diese Wirtschaft dennoch vom Schutz der Grundrechte ab. Der Vorschlag zu digitalen Inhalten, so unser Argument, sollte als Chance genutzt werden, um dafür zu sorgen, dass alle zukunftsfähigen EU-Bestimmungen zu Datenschutz und Verbraucherschutz zusammenwirken – im Interesse des Einzelnen.

6.3.4 mHealth: Gesundheit in Bewegung

Mobile Technologien revolutionieren den Gesundheitsmarkt. Der Weltbevölkerung stehen heutzutage die unterschiedlichsten Möglichkeiten zur Verfügung, um einer breiten Palette von gesundheitlichen Bedürfnissen gerecht zu werden.

Die Konvergenz zwischen Technologie und Gesundheitsfürsorge sollte den Menschen den Zugang zu einer besseren Gesundheitsversorgung zu geringeren Kosten, eine bessere Kontrolle über ihre Gesundheitspflege und einen einfacheren und unmittelbareren Zugang zu medizinischer Versorgung und Informationen online ermöglichen. Sie könnte jedoch auch dazu führen, dass riesige Mengen personenbezogener Daten erfasst, eingekauft, verkauft und analysiert werden, ohne dass die betreffenden Personen darüber vollumfänglich informiert werden und ihre Einwilligung dazu erteilen.

Am 21. Mai 2015 haben wir eine Stellungnahme zu mobilen Gesundheitsdiensten (mHealth) abgegeben und darin die Industrie, die Regierungen und Verbraucher aufgefordert, sich mit dieser Thematik auseinanderzusetzen. Es bedarf im Hinblick auf die Art und Weise, in der personenbezogene Daten verarbeitet, weitergegeben und wiederverwendet werden, sowie bezüglich der Zwecke, die damit verfolgt werden, Transparenz. Wir haben davor gewarnt, dass dann, wenn keine Datenschutzgarantien geschaffen werden, ein hohes Risiko besteht, dass Personen ihr Vertrauen verlieren. Infolgedessen hätten Behörden und Unternehmen weniger Chancen, was die Entwicklung des Gesundheitsmarktes beeinträchtigen würde.

Da die DSGVO zum Zeitpunkt der Stellungnahme noch nicht im Detail ausgearbeitet war, haben wir darauf hingewiesen, dass die EU bei künftigen politischen Strategien Dienstleister und ihre Mitarbeiter dazu anhalten sollte, mehr Verantwortung für ihr Handeln zu übernehmen. Wir haben gefordert, der wahllosen Erhebung personenbezogener Daten und der möglichen diskriminierenden Profilerstellung ein Ende zu bereiten, und dazu angehalten, bei der Entwicklung von mHealth-Technologien eingebauten Datenschutz und automatische, datenschutzfreundliche Voreinstellungen sowie verbesserte Sicherheitsmaßnahmen umzusetzen. Im Mittelpunkt aller neuen Technologien sollte stets der Respekt vor den Entscheidungen des Einzelnen stehen.

Zwar sollten Personen in die Lage versetzt werden, bei der Überwachung ihrer Gesundheit proaktiv vorzugehen, doch kann dies nicht auf Kosten eines Verlustes der Kontrolle über ihr persönliches Leben im Allgemeinen gehen. Transparenz, Bewusstsein und wirksame Kontrolle über unsere personenbezogenen Daten sind entscheidend dafür, dass dies auch künftig der Fall ist.

6.3.5 Entwicklung intelligenter Maßnahmen für intelligente Technologien

Intelligente Technologien sind in unserer digitalen Gesellschaft mittlerweile allgegenwärtig. Intelligente Netze und intelligente Transportsysteme sind hierfür nur zwei Beispiele.

Intelligente Zähler messen den Energieverbrauch und übermitteln diese Angaben an eine ganze Kette von Akteuren, die mit der Erzeugung und Verteilung von Gas und Strom sowie der Erbringung damit verbundener Dienstleistungen über intelligente Netze betraut sind. Damit können Unternehmen eine effizientere Energieerzeugung und -verteilung anbieten, was mit Kosteneinsparungen für den Dienstleister ebenso wie für den Kunden verbunden ist.

In der Artikel-29-Datenschutzgruppe war der EDSB an einem von der Europäischen Kommission ins Leben gerufenen Projekt beteiligt, mit dem seit 2012 die Sicherheit und der Schutz personenbezogener Daten bei diesen Vorgängen gewährleistet werden sollten. Dies umfasste auch die Bereitstellung von Beratung zum Muster der Kommission für die Datenschutzfolgenabschätzung für intelligente Netze.

Im Januar 2016 stellten die größten europäischen Versorgungsunternehmen ihre Erfahrungen bei der Arbeit mit diesem Muster anlässlich eines Workshops vor, der in den Räumlichkeiten der Generaldirektion Energie (GD ENER) stattfand. Wie der Stellvertretende Datenschutzbeauftragte Wojciech Wiewiórowski bei diesem Workshop unterstrich, war dies eine höchst wertvolle Erfahrung im Vorfeld der DSGVO, nach den Datenschutzfolgenabschätzungen in Fällen, in denen die Verarbeitung personenbezogener Daten als ein hohes Risiko für natürliche Personen angesehen wird, zwingend vorgeschrieben sind. Die Europäische Kommission hat die endgültige Fassung des Musters im Oktober 2018 der Öffentlichkeit vorgestellt und dabei auch den endgültigen Bestimmungen der DSGVO sowie den Orientierungshilfen des EDSA Rechnung getragen.

Kooperative, intelligente Verkehrssysteme (C-ITS) sind eine Gruppe von Technologien und Anwendungen, die eine Vernetzung von Fahrzeugen untereinander sowie mit anderen Bestandteilen des Verkehrssystems ermöglichen, wie Verkehrssteuerungs- oder Mauterhebungssysteme. Sie zielen darauf ab, Zusammenstöße zu vermeiden, und tragen zur Verkehrssicherheit und zur Verbesserung des Verkehrsflusses bei.

Überlegungen zum Schutz der Privatsphäre sind beim Einsatz von C-ITS sehr wichtig, da diese Technologie gewaltige Datenmengen erheben kann, die für die Profilerstellung oder die Ortung von Personen verwendet werden könnten.

Im November 2014 richtete die Europäische Kommission ihre C-ITS-Plattform ein. Im Rahmen der Untergruppe Datenschutz, die sich mit dieser Initiative befasste, haben wir die Entwicklungen im Laufe des Mandats aufmerksam verfolgt. Dabei haben wir unser Augenmerk insbesondere auf mögliche Herausforderungen bei der Wahrung der Qualität und Sicherheit der Daten und die Förderung von Rechenschaftspflicht und Zweckbindung gelegt. Wir haben auch hervorgehoben, dass Transparenz und der Schutz personenbezogener Daten gewährleistet werden müssen, und empfohlen, dass der Förderung des eingebauten Datenschutzes, der Festlegung von Aufgaben und Zuständigkeiten, der Ermittlung von Sicherheitsproblemen und der Unterrichtung der Nutzer über die Erhebung, Speicherung und Verwendung ihrer personenbezogenen Daten besondere Aufmerksamkeit zuteil werden sollte.

6.4 Förderung vernünftiger Gespräche über Sicherheit und Privatsphäre . . .

Die öffentliche Sicherheit und die Bekämpfung von Straftaten und Terrorismus sind für die EU seit jeher wichtige politische Ziele. Im Laufe des Mandats ist der dringende Bedarf, sich mit diesen Problemen auseinanderzusetzen, nur noch weiter gestiegen, was weitgehend einer Reihe von aufsehenerregenden und tragischen Ereignissen geschuldet ist. Zwar sind die Bedrohungen für die Sicherheit des Einzelnen und der Gesellschaft höchst real, doch müssen wir dafür sorgen, dass unsere Antworten sowohl erforderlich als auch verhältnismäßig sind. Antworten, die unsere Grundrechte übermäßig beeinträchtigen, werden lediglich das Vertrauen der Öffentlichkeit in den Staat schmälern und alle Bemühungen, sich mit gemeinsamen Sicherheitsanliegen auseinanderzusetzen, untergraben.

Wir sind zutiefst davon überzeugt, dass mehr Sicherheit auch ohne eine übermäßige Beschneidung von Datenschutzrechten erreicht werden kann. Aus diesem Grunde haben wir uns dazu verpflichtet, vernünftige Gespräche über Sicherheit und Privatsphäre zu fördern. Bei diesen Gesprächen geht es darum, innovative rechtliche und technologische Lösungen zu finden, mit denen der Schutz der Grundrechte und die Notwendigkeit verstärkter Sicherheitsmaßnahmen in ein ausgewogenes Verhältnis gebracht werden. In diesem Zusammenhang ist hervorzuheben, dass mit Artikel 6 der Charta, in dem das Recht auf Freiheit und Sicherheit verankert ist, die Freiheit und Sicherheit des Einzelnen gegenüber dem Staat geschützt werden soll, und damit nicht beabsichtigt ist, diese durch den Staat zu garantieren.

Dies ist ein ständiges Diskussionsthema. Da die Bedrohungen für die Sicherheit der EU in absehbarer Zeit wohl nicht abnehmen, kommt es darauf an zu gewährleisten, dass diese Gespräche auf höchster Ebene fortgeführt werden. Der EDSB wird daher auch weiterhin direkt mit den auf diesem Gebiet tätigen EU-Organen und -Einrichtungen in Kontakt bleiben und politischen Entscheidungsträgern die Instrumente zur Verfügung stellen, die sie benötigen, um ihnen bei der Entwicklung geeigneter Lösungen zu helfen.

6.4.1 Datenschutzfreundliche Politikgestaltung wird erleichtert

Vom EU-Gesetzgeber vorgeschlagene Maßnahmen, die mit einer Einschränkung der Datenschutzrechte einhergehen, müssen, wenn sie mit den EU-Datenschutzvorschriften in Einklang stehen sollen, erforderlich und verhältnismäßig sein. Dies ist bei Maßnahmen in Bezug auf die Sicherheit der EU besonders problematisch. Allerdings ist die Bewertung der Erforderlichkeit und Verhältnismäßigkeit vorgeschlagener Maßnahmen insbesondere dann, wenn unter Zeitdruck gearbeitet werden muss, für politische Entscheidungsträger in der EU alles andere als einfach. Daher hat der EDSB ein Toolkit zur Erforderlichkeit und Leitlinien zur Verhältnismäßigkeit erstellt.

Politische Entscheidungsträger müssen anhand eines evidenzgestützten Ansatzes nachweisen können, dass eine geplante Einschränkung der Grundrechte auf Datenschutz und Schutz der Privatsphäre unbedingt erforderlich ist, um ein Ziel von allgemeinem Interesse zu erreichen oder die Rechte und Freiheiten anderer zu schützen. Dies gilt auch für die Einschränkung anderer Rechte, die durch die Verarbeitung personenbezogener Daten möglicherweise beeinträchtigt werden.

Um politische Entscheidungsträger hierbei zu unterstützen, haben wir am 11. April 2017 ein Toolkit zur Erforderlichkeit veröffentlicht. Dieses Toolkit gibt politischen Entscheidungsträgern eine praktische, in einzelne Schritte unterteilte Checkliste an die Hand, in der die Aspekte dargelegt sind, die bei der Prüfung der Erforderlichkeit neuer Rechtsvorschriften zu berücksichtigen sind, und die Beispiele enthält, die die einzelnen Schritte näher beleuchten. Ergänzt wird dies durch eine rechtliche Analyse der wichtigsten Konzepte, die damit einhergehen, etwa die Einschränkung des Rechts auf Schutz personenbezogener Daten, eine dem Gemeinwohl dienende Zielsetzung und die Erforderlichkeit und Verhältnismäßigkeit einer geplanten gesetzgeberischen Maßnahme.

So, wie politische Entscheidungsträger in der Lage sein sollten nachzuweisen, dass eine Maßnahme, die die Grundrechte einschränken würde, unbedingt erforderlich ist, müssen sie auch nachweisen können, dass die vorgeschlagenen Maßnahmen verhältnismäßig sind, und dabei den politischen Zielen und dem Zweck der vorgeschlagenen Datenverarbeitung Rechnung tragen. Als Hilfestellung haben wir Leitlinien für politische Entscheidungsträger zu der Frage erstellt, wie Verhältnismäßigkeit beurteilt werden kann. Hierzu wurde am 25. Februar 2019 eine offene Konsultation eingeleitet.

In den Leitlinien wird ein Test, bestehend aus vier Kriterien, vorgeschlagen, anhand derer politische Entscheidungsträger die Verhältnismäßigkeit neuer Maßnahmen bewerten und so ihren Vorschlag entsprechend anpassen können. Sie umfassen auch Beispiele, die zeigen sollen, wie sich eine ungerechtfertigte Einschränkung des Rechts auf Datenschutz negativ auf andere Grundrechte und -freiheiten auswirken kann. Dies macht deutlich, dass Maßnahmen, die die Privatsphäre und den Datenschutz beeinträchtigen, nicht nur Auswirkungen auf die unmittelbar Betroffenen, sondern auch auf die Gesellschaft als Ganze haben.

Wie im Toolkit zur Erforderlichkeit wird auch in den Leitlinien zur Verhältnismäßigkeit den bereits vorliegenden Anleitungen der Kommission und des Rates zur Prüfung der Vereinbarkeit neuer EU-Gesetze mit der EU-Charta Rechnung getragen. Beide verweisen auch auf die geltende Rechtsprechung und die legislativen Stellungnahmen und förmlichen Kommentare des EDSB der letzten Zeit.

Da fast alle Politikvorschläge der EU inzwischen mit der einen oder anderen Form der Verarbeitung personenbezogener Daten verbunden sind, ist es von allergrößter Bedeutung sicherzustellen, dass politische Entscheidungsträger gut ausgestattet sind, damit sie die Erforderlichkeit und Verhältnismäßigkeit einer vorgeschlagenen Maßnahme bewerten können. Die Leitlinien des EDSB zur Verhältnismäßigkeit und das Toolkit zur Erforderlichkeit halten politische Entscheidungsträger dazu an, diese Schlüsselaspekte bei einem Gesetzgebungsverfahren von Anfang an zu berücksichtigen; eine verantwortungsbewusste und fundierte Politikgestaltung in der EU wird somit erleichtert.

6.4.2 Debatte über die Zukunft des Informationsaustauschs in der EU: die Interoperabilität der IT-Großsysteme

Zur Bewältigung der Herausforderungen für Sicherheit und Grenzschutz muss die EU ein intelligenteres Konzept für den Informationsaustausch wählen. Ein Instrument, das sich diesbezüglich als nützlich erweisen könnte, ist die Interoperabilität. Interoperabilität hat jedoch auch tiefgreifende rechtliche und gesellschaftliche Folgen, die sorgsam bewertet und behandelt werden müssen, bevor Interoperabilität praktisch umgesetzt wird.

Wie bereits in unserem Reflexionspapier zu diesem Thema vom November 2017 ausgeführt, lässt sich die Interoperabilität von Informationssystemen, auch wenn sie häufig als ein rein technisches Konzept verstanden wird, nicht von der Frage trennen, ob sie erforderlich, politisch wünschenswert oder rechtlich möglich ist.

Am 16. April 2018 haben wir unser Reflexionspapier mit einer Stellungnahme zu den Vorschlägen für zwei Verordnungen über die Einrichtung eines Rahmens für die Interoperabilität von IT-Großsystemen der EU in den Bereichen Migration, Asyl, Grenzmanagement und polizeiliche und justizielle Zusammenarbeit fortgeführt. Interoperabilität würde die Kommunikation und den Informationsaustausch zwischen diesen EU-Großsystemen ermöglichen.

Die Vorschläge sehen die Möglichkeit einer umfassenderen Nutzung der Systeme über die spezifischen Ziele hinaus, für die sie ursprünglich eingerichtet wurden, vor. So würden insbesondere die in den verschiedenen Systemen gespeicherten Daten zusammengeführt werden, um gegen Identitätsbetrug vorzugehen, aber auch, um Identitätsprüfungen innerhalb des Hoheitsgebietes von Mitgliedstaaten zu erleichtern und zu ermöglichen. Sie würden auch den Zugang von Strafverfolgungsbehörden zu Datenbanken, die keine strafverfolgungsrelevanten Informationen enthalten, erleichtern.

Besonders besorgniserregend für den EDSB war die vorgeschlagene Schaffung einer zentralen Datenbank der EU, die Informationen über Millionen von Bürgern aus Nicht-EU-Ländern einschließlich biometrischer Daten enthält. Im Fall einer Datenschutzverletzung könnten der Umfang der Datenbank und die Art der dort zu speichernden Daten einer sehr großen Zahl von Menschen erheblichen Schaden zufügen. Um zu prüfen, ob eine solche Datenbank erforderlich ist, muss das Ausmaß des Problems von Identitätsbetrug unter Nicht-EU-Bürgern eindeutig nachgewiesen werden. Der Zweck von Identitätskontrollen auf dem Hoheitsgebiet der Mitgliedstaaten muss ebenfalls genau definiert werden, da die Feststellung der Identität einer Person kein Selbstzweck ist, sondern einem konkreten Ziel dienen muss.

Die Strafverfolgungsbehörden müssen zur Bekämpfung von Terrorismus und anderen schwerwiegenden Formen der Kriminalität auf die bestmöglichen Instrumente zugreifen können. Allerdings hat die Erleichterung des Zugriffs von Strafverfolgungsbehörden auf Daten, die ursprünglich nicht für Strafverfolgungszwecke erhoben wurden, erhebliche Auswirkungen auf den Schutz der Grundrechte. Daher müssen in alle EU-Datenbanken strenge und geeignete rechtliche, technische und organisatorische Garantien eingebaut werden, und ein besonderes Augenmerk muss der Festlegung des Zwecks eines solchen Zugriffs sowie den Bedingungen, unter denen die Daten verwendet werden dürfen, gelten.

Angesichts der Auswirkungen der Interoperabilität auf die Grundrechte haben wir eine umfassendere Debatte zur Zukunft des Informationsaustauschs in der EU, der Governance der EU-Informationssysteme und zu der Frage gefordert, wie die Grundrechte in diesem Zusammenhang geschützt werden können. Zur Vereinfachung dieser Debatte hat der EDSB 2019 anlässlich der Konferenz zu Computern, Privatsphäre und Datenschutz („Computers, privacy and data protection“, CPDP) eine Podiumsdiskussion zu diesem Thema organisiert. Dabei ging es darum zu diskutieren, wie die EU auf die Migrationskrise und die Herausforderungen für die Sicherheit reagieren sollte, was in hohem Maße von der Interoperabilität von IT-Großsystemen der EU abhängt. Darüber hinaus haben wir zusammen mit dem Department of Law and Migration Policy Centre (MPC) des Europäischen Hochschulinstituts (EHI) und dem Zentrum für Europäische Politische Studien (CEPS) einen Workshop zu interoperablen Informationssystemen im Raum der Freiheit, der Sicherheit und des Rechts der EU organisiert.

6.4.3 Aufsicht über Europol

Ein sicheres und offenes Europa setzt eine bessere operative Effizienz bei der Bekämpfung von schwerer Kriminalität und Terrorismus voraus, erfordert aber auch eine Verpflichtung zum Schutz der Grundrechte und Grundfreiheiten des Einzelnen.

Europol ist die EU-Einrichtung, die für die Unterstützung der Strafverfolgungsbehörden in den Mitgliedstaaten bei der Bekämpfung von schwerer internationaler Kriminalität und Terrorismus zuständig ist. Aufgabe des EDSB ist es sicherzustellen, dass dies in Einklang mit den Datenschutzvorschriften erfolgt (siehe Kapitel 1).

Der EDSB und Europol

Als eine der Aufsichtsbehörden von Europol ist der EDSB der Hüter der Grundrechte und Grundfreiheiten im Bereich der Strafverfolgung. Daher führen wir einen konstruktiven Dialog mit Europol, damit die Privatsphäre bei der Datenverarbeitung zum Zweck der Strafverfolgung geschützt wird.

Die Ergebnisse dieses Dialogs wirken sich häufig auf Strafverfolgungsorgane im umfassenderen Sinne aus. Da Europol eine Agentur ist, liegt es in der Natur der Sache, dass es bei der Wahrnehmung seiner Aufgaben in ständiger Wechselwirkung mit den zuständigen Behörden der Mitgliedstaaten sowie mit seinen Partnern rund um den Erdball steht. Dies bedeutet, dass jede beliebige, bei Europol implementierte Datenschutzregelung eine breitere Wirkung hat und über das, was am Sitz von Europol geschieht, weit hinausreicht. Damit sind die mit den Partnern von Europol ausgetauschten Daten nicht nur durch eine starke Datenschutzregelung angemessen geschützt, sondern der von Europol geschaffene Datenschutzrahmen regt seine Partner auch dazu an, ihre eigenen Standards zu bewerten und zu verbessern. Eine weitere Möglichkeit für Europol, sein Know-how im Datenschutz ständig zu exportieren, sind die zahlreichen, von Europol ausgerichteten Sitzungen und Konferenzen, an denen der EDSB im Rahmen des Möglichen teilnimmt.

Wir sind uns der größeren Zusammenhänge, in denen Europol tätig ist, sehr genau bewusst und versuchen, dies bei unserer Arbeit mit der Agentur zu berücksichtigen. Unsere Zusammenarbeit mit anderen Datenschutzbehörden über den Beirat für die Zusammenarbeit bei Europol trägt dazu bei, europaweit ein gemeinsames Datenschutzkonzept zu gewährleisten (siehe Abschnitt 5.3.1).

Die Aufsicht über Datenverarbeitungsvorgänge im Bereich der Strafverfolgung ist mit einer Reihe von Herausforderungen verbunden. Erstens ist dies ein Bereich, in dem die Rechte des Einzelnen eingeschränkt sind, was abweichende Systeme rechtfertigt. Hinzu kommt, dass sich diese Datenverarbeitungsvorgänge stark auf die Rechte und Freiheiten natürlicher Personen auswirken. Personenbezogene Daten werden erhoben und verarbeitet, damit staatliche Behörden Entscheidungen treffen können, die gravierende Auswirkungen auf die Rechte des Einzelnen haben können, und zwar umso mehr, als viele der Betroffenen schutzbedürftigen Personengruppen angehören. Und schließlich sind solche Datenverarbeitungsvorgänge für Menschen undurchsichtig. Für betroffene Personen ist es schwierig herauszufinden, wer ihre Daten verarbeitet, und zu welchem Zweck. Was Europol anbetrifft, wird die Aufsicht über diese Datenverarbeitungsvorgänge dadurch erschwert, dass die IT-Systeme von Europol komplex sind und dabei personenbezogene Daten in großem Umfang verarbeitet werden. Europol ist in vielen Kriminalitätsbereichen tätig, die alle unterschiedlichen Zwängen und Einschränkungen unterliegen.

Daher kommt dem EDSB eine besondere Rolle zu: er muss sicherstellen, dass die Rechte des Einzelnen wirksam geschützt werden, da natürliche Personen nicht über die Möglichkeit verfügen, diese Kontrolle im gleichen Maße wie in anderen Bereichen auszuüben.

Vorbereitung auf unsere neue Rolle

Im Laufe des Jahres 2015 haben wir die Gesetzgeber zu besonderen Fragen des Datenschutzes in Bezug auf die Europol-Verordnung beraten. Im Dezember 2015 haben sich die Gesetzgeber auf einen endgültigen Wortlaut verständigt. In der neuen Verordnung wurde der EDSB als Aufsichtsbehörde für die Verarbeitung personenbezogener Daten in Bezug auf die operativen Tätigkeiten von Europol benannt und übernimmt die meisten Aufgaben, die früher von der gemeinsamen Kontrollinstanz von Europol (GKI) wahrgenommen wurden. Die Verordnung wurde am 11. Mai 2016 angenommen und gilt seit 1. Mai 2017.

Zu den Vorbereitungen auf unsere neue Rolle gehörte auch die Einsetzung einer internen Taskforce speziell zu diesem Thema, an der alle Referate und Bereiche des EDSB beteiligt waren. Die Mitarbeiter des EDSB haben interne und externe Schulungen in Bezug auf die Aufsicht über Europol absolviert, und wir unterhalten regelmäßige Kontakte zum Funktionsteam Datenschutz (Data Protection Function team, DPF) bei Europol, um das gegenseitige Verständnis zu fördern und wirksame Kommunikationskanäle aufzubauen. 2016 fanden außerdem hochrangige Treffen zwischen dem EDSB Giovanni Buttarelli und dem damaligen Europol-Direktor Rob Wainwright statt.

Am 15. und 16. Mai 2017, kurz nach der Übernahme unserer neuen Aufgaben, haben wir einen Arbeitsbesuch bei Europol organisiert, bei dem wir uns mit den Praktiken und Verfahren von Europol vertraut machen konnten.

Um sicher zu sein, dass wir über die derzeit im Zusammenhang mit der Aufsicht über Europol anstehenden Fragen im Bilde waren und die Zusammenarbeit mit den Mitgliedstaaten vorbereiten konnten, haben wir außerdem um einen Überblick über die wichtigsten Empfehlungen der GKI an Europol im Anschluss an die jüngsten Inspektionen sowie um einen Bericht zum aktuellen Sachstand der Maßnahmen gebeten, die Europol zur Umsetzung dieser Empfehlungen ergriffen hat.

Seit der Übernahme unserer neuen Rolle bei Europol am 1. Mai 2017 haben wir ein strukturiertes Aufsichtssystem eingerichtet, das die Zusammenarbeit fördern und die Rechenschaftspflicht gewährleisten soll.

Zusammenarbeit mit Europol

Wir arbeiten eng mit dem DPF-Team von Europol und anderen operativen Mitarbeitern zusammen und beraten sie nach Bedarf informell, insbesondere im Rahmen von Sitzungen, die alle zwei Monate stattfinden. Auf diese Weise können wir Konsultationen und andere Themen der Datenverarbeitung frühzeitig erkennen und künftige Aktivitäten festlegen und planen, wie z. B. Inspektionen oder Untersuchungen.

Die Zusammenarbeit auf der Leitungsebene ist genauso wichtig, und es finden regelmäßig Sitzungen zwischen dem EDSB und der obersten Leitungsebene von Europol statt.

Zusammenarbeit mit anderen Aufsichtsbehörden

Da die meisten von Europol verarbeiteten Daten aus den Mitgliedstaaten stammen, erfordert die Aufsicht über Europol auch eine enge Zusammenarbeit mit den zuständigen Aufsichtsbehörden in den Mitgliedstaaten. Während wir für die Aufsicht über die Verarbeitung personenbezogener Daten durch Europol zuständig sind, überwacht jede nationale Datenschutzbehörde die Verarbeitung personenbezogener Daten durch ihre jeweiligen nationalen Strafverfolgungsbehörden. Für die Wahrnehmung unserer Aufsichtspflichten bei Europol ist es daher entscheidend, dass wir wirksam mit den nationalen Datenschutzbehörden zusammenarbeiten können.

Aus diesem Grund sieht die Europol-Verordnung die Einrichtung eines Beirats für die Zusammenarbeit vor, dem Vertreter der nationalen Datenschutzbehörden und der EDSB angehören. Der Beirat hat beratende Funktion in Fragen, die mit der Verarbeitung personenbezogener Daten aus den Mitgliedstaaten durch Europol einhergehen. Der EDSB stellt die Geschäftsstelle für diesen Beirat, der mindestens zweimal pro Jahr zusammentritt (siehe Abschnitt 5.3.1).

Die Zusammenarbeit erfolgt weitgehend über den Beirat für die Zusammenarbeit, wir arbeiten aber auch mit Vertretern der Datenschutzbehörden bei der Durchführung von Inspektionen zusammen.

Der EDSB erstattet dem Gemeinsamen parlamentarischen Kontrollausschuss, der Europol überwacht, mindestens einmal pro Jahr Bericht, um über die Einhaltung der Vorschriften und Grundsätze zum Schutz personenbezogener Daten durch Europol zu diskutieren.

Aufsichtstätigkeit

Im Hinblick auf eine wirksame Aufsicht überwacht der EDSB aktiv, ob die Datenschutzvorschriften wirklich eingehalten werden, und zwar entweder von sich aus oder nach einer Beschwerde.

Die Europol-Verordnung sieht die Möglichkeit einer Verarbeitung personenbezogener Daten für operative Analysen vor, um strafrechtliche Ermittlungen und Operationen der Strafverfolgungsbehörden in den Mitgliedstaaten im Hinblick auf strafrechtlich relevante Erkenntnisse zu unterstützen. Dies ist jedoch nur im Rahmen von operativen Analyseprojekten (OAP) möglich. Europol muss den EDSB über den Zweck, die Datenkategorien und die an jeder OAP beteiligten Personen sowie über die Teilnehmer, die Frist für die Aufbewahrung der Daten, die Bedingungen für den Zugriff und über eine etwaige vorgeschlagene Übermittlung oder Verwendung der betreffenden Daten informieren.

Wir beraten in allen Fragen rund um die Verarbeitung personenbezogener Daten bei Europol in Form von Stellungnahmen. Außerdem muss Europol immer dann, wenn es einen neuen Datenverarbeitungsvorgang plant, der mit der Verarbeitung sensibler Daten oder mit einem erheblichen Risiko für eine natürliche Person einhergehen könnte, dies dem EDSB melden und ihm eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Risiken für die Freiheiten von natürlichen Personen und die geplanten Maßnahmen zur Bewältigung dieser Risiken vorlegen. Wir prüfen ihre Vorschläge und geben Empfehlungen ab (siehe Abbildung 15). Bislang haben wir sechs vorherige Konsultationen erhalten und dieselbe Zahl von Stellungnahmen abgegeben.

Wir führen außerdem allgemeine und thematische Inspektionen bei Europol durch. Diese Inspektionen bilden den Eckpfeiler unserer Aufsichtstätigkeit, und wir haben seit Mai 2017 drei Inspektionen durchgeführt. Die erste fand im Dezember 2017 statt, gefolgt von weiteren Inspektionen im Mai 2018 und im Juni 2019. Bei jeder Inspektion haben wir ausgewählte rechtliche und technische Aspekte der Datenverarbeitung sorgfältig geprüft. Zu unseren Inspektionen gehört auch eine Prüfung der Einhaltung der Datensicherheit nach internationalen Standards. Bei diesen Inspektionen haben wir den wichtigsten Empfehlungen der letzten Inspektion der GKI Rechnung getragen, sofern diese noch nicht umgesetzt waren. Wir haben insbesondere die Verarbeitung personenbezogener Daten im Rahmen von OAP, das Verfahren bei Datenschutzverletzungen sowie das Europol-Informationssystem (EIS) geprüft.

Wir laden Sachverständige der nationalen Datenschutzbehörden ein, an unseren allgemeinen Inspektionen teilzunehmen. Die Mitgliedstaaten sind die wichtigsten Datenlieferanten von Europol, und daher ist die Teilnahme nationaler Sachverständiger bei Inspektionen hilfreich für die Schärfung des Bewusstseins für Probleme, die auf der Ebene von Europol auftreten könnten, jedoch möglicherweise ihre Ursache in der nationalen Ebene haben. Dies könnte Probleme mit der Datenqualität oder der unzureichenden Begründung der Verarbeitung sensibler Daten oder von Daten zu bestimmten Kategorien von Personen, wie z. B. Minderjährigen, umfassen. Nach ihrer Rückkehr in ihr Land können die nationalen Sachverständigen prüfen, wie sie diese Probleme im Rahmen ihrer eigenen Aufsichtstätigkeit lösen. Dadurch kann die Abstimmung zwischen der Aufsichtstätigkeit auf EU- und auf nationaler Ebene verbessert werden.

Am 5. und 6. Februar 2019 haben wir außerdem eine gezielte Inspektion zur Überprüfung der Rolle von Europol bei der Umsetzung des Abkommens über das Programm zur Fahndung nach Finanzquellen des Terrorismus zwischen der EU und den USA durchgeführt.

Im Anschluss an unsere Tätigkeiten vor Ort geben wir in einem Inspektionsbericht, der dem Exekutivdirektor von Europol übermittelt und dem Beirat für die Zusammenarbeit vorgelegt wird, eine Reihe von Empfehlungen zur Verbesserung ab. Diese überwachen wir sehr aufmerksam, um zu gewährleisten, dass Europol die Empfehlungen des EDSB auch umsetzt. Unsere Feststellungen sind eine Gelegenheit, Aktivitäten zur Verbesserung des Datenschutzniveaus und der Effizienz der operativen Tätigkeiten von Europol in die Wege zu leiten.

Neben Inspektionen führen wir auch Untersuchungen aus eigener Initiative zu Fragen durch, von denen wir während unserer sonstigen Aufsichtstätigkeit Kenntnis erlangt haben. Wir bearbeiten auch Beschwerden von Einzelpersonen über die Verarbeitung ihrer personenbezogenen Daten durch Europol.

Europol ist verpflichtet, uns unverzüglich über jede Datenschutzverletzung, die auftreten könnte, zu informieren. In diesen Fällen ist Europol außerdem verpflichtet, die negativen Auswirkungen einer Datenschutzverletzung auf die Rechte und Freiheiten der betroffenen Personen zu bewerten und diese zu informieren, falls die Auswirkungen erheblich sind. Von Beginn an haben wir das interne Verfahren von Europol für den Umgang mit solchen Fällen im Rahmen unserer alle zwei Monate stattfindenden Sitzungen überwacht und uns dazu geäußert.

Mitteilungen

Auf der Grundlage des bei der Aufsicht über Europol aufgebauten Fachwissens trägt der EDSB zur öffentlichen Debatte über Sicherheit und Privatsphäre bei Strafverfolgungsbehörden bei.

So hat beispielsweise am 22. November 2018 der Stellvertretende Datenschutzbeauftragte Wojciech Wiewiórowski den Eröffnungsvortrag anlässlich der Konferenz über Freiheit und Sicherheit gehalten, die gemeinsam vom Netzwerk der Datenschutzexperten von Europol (EDEN) und der Europäischen Rechtsakademie (ERA) ausgerichtet wurde. Mehrere Mitarbeiter des EDSB nehmen außerdem regelmäßig sowohl als Teilnehmer als auch als Referenten an Konferenzen und Veranstaltungen zum Thema Datenschutz und Polizeiarbeit teil.

Ausblick in die Zukunft

Nach unserer zweijährigen Aufsichtstätigkeit über Europol haben wir enge Kontakte mit Europol aufgebaut und gute Kenntnisse der Probleme erworben, denen Europol bei der Umsetzung des Datenschutzes in der Praxis gegenübersteht. Neue Herausforderungen müssen vom EDSB genau überprüft werden. Dies umfasst auch die Entstehung eines strukturellen Austauschs von Daten zwischen Agenturen für Justiz und Inneres bei den EU-Organen, zwischen nationalen Behörden und EU-Agenturen und den Einsatz neuer Technologien wie „Big Data“ oder künstliche Intelligenz.

6.4.4 In die Privatsphäre eingreifende Überwachungstechnologien

Am 15. Dezember 2015 haben wir eine Stellungnahme zu in die Privatsphäre eingreifenden Überwachungstechnologien abgegeben.

Im Juli 2015 gelangten interne E-Mails, Umsatzangaben und die technische Dokumentation eines Unternehmens, das Überwachungsinstrumente an Regierungskunden innerhalb und außerhalb der EU verkaufte, an die Öffentlichkeit. Diese Unterlagen enthielten auch eine ausführliche Beschreibung der Funktionen dieser Instrumente, die von Regierungen und Strafverfolgungsbehörden genutzt wurden, um das Leben von Personen auszuforschen.

Mit unserer Stellungnahme wollten wir auf die Risiken eines ungeregelten und wachsenden Marktes für den Verkauf, Vertrieb und Einsatz solcher Instrumente aufmerksam machen. Wir haben hervorgehoben, dass zur Überwachung des Marktes noch mehr getan werden müsste, und forderten die Gesetzgeber auf, Vorkehrungen vorzusehen, die den Datenschutz die Technologie einbetten („eingebauter Datenschutz“) und sicherzustellen, dass diese sicher ist.

Regierungen behaupten, dass es einen Bedarf an einem legitimen und geregelten Einsatz von Überwachungsinstrumenten durch Strafverfolgungsbehörden gibt. Allerdings muss eingeräumt werden, dass diese auch eingesetzt werden können, um Sicherheitsmaßnahmen in der elektronischen Kommunikation und Datenverarbeitung zu umgehen, und somit die Integrität von Datenbanken, Systemen und Netzwerken zu untergraben.

Da unser digitales Leben zunehmend vernetzt ist, können die Risiken nur zunehmen. Daher bedarf es eines koordinierten Ansatzes, um diesen Risiken entgegenzuwirken, einschließlich einer besseren Regulierung des Handels und der Verwendung von Überwachungssoftware, damit die Privatsphäre aller Menschen in der EU sowohl im eigenen Land als auch im Ausland angemessen geschützt werden kann. Die DSGVO hat diesem Vorhaben ein Stück weit den Weg bereitet, indem sie beispielsweise insbesondere den Grundsatz des Datenschutzes durch Technikgestaltung mit aufgenommen hat, was in diesem Fall bedeuten würde, dass gewährleistet wird, dass Instrumente, die für die Strafverfolgung eingesetzt werden, nicht über technische Funktionen über den gesetzlich zulässigen Rahmen hinaus verfügen dürfen. Auch hier muss jedoch noch mehr getan werden.

7. KOMMUNIKATION UND RESSOURCENMANAGEMENT

7.1 Information und Kommunikation . . .

Ein neues Mandat bedeutete auch ein neues Kommunikationskonzept für den EDSB. Dies war mit einem neuen Erscheinungsbild sowie neuen Kommunikationsinstrumenten und einer allgemeinen Überarbeitung unserer Kommunikationsstrategie verbunden. Der Ausbau unserer Position als weltweit führende Datenschutzinstanz bedeutet, dass die wichtige Arbeit des EDSB die gewünschte Zielgruppe erreicht.

Datenschutz muss verständlich und zugänglich sein. Jeder muss in der Lage sein, seine Rechte und Pflichten zu verstehen, allerdings ist uns vollkommen bewusst, dass viele Menschen Datenschutz als technisch und undurchsichtig empfinden. Für uns stehen zu viele wichtige Fragen auf dem Spiel, als dass wir es riskieren könnten, dass unsere Botschaft nicht ankommt. Daher lag unser Hauptaugenmerk darauf, diese Botschaft klar, prägnant und transparent über sämtliche Kommunikationskanäle, die uns zur Verfügung stehen, zu vermitteln.

Die Schaffung einer neuen visuellen Identität, die Einleitung neuer Initiativen und die Verbesserung der Art und Weise, in der wir die vorhandenen Kommunikationskanäle nutzen, waren alle Teil des Vorhabens, den EDSB als weltweit führende Stimme zu Fragen des Datenschutzes und des Schutzes der Privatsphäre zu etablieren, unabhängig davon, ob wir mit Datenschutzexperten oder mit dem ganz normalen Unionsbürger sprechen.

7.1.1 Eine neue visuelle Identität

Im Mai 2015 brachten wir ein neues EDSB-Logo heraus. Dies war Teil der Entwicklung einer neuen visuellen Identität für die Einrichtung, in der ein neues Zeitalter in der Geschichte des EDSB als weltweit führende Organisation für Fragen des Datenschutzes und des Schutzes der Privatsphäre zum Ausdruck kommt. Dies war die erste Phase eines Projekts zur Imageänderung, das sich über die erste Hälfte der Amtszeit erstreckte.

Nach der endgültigen Festlegung des Logos stand die Umgestaltung („Re-Branding“) unserer Website im Vordergrund. Wir wollten sie nutzerfreundlicher und transparenter gestalten und für eine klare Nutzerführung sorgen.

Die erste Phase dieses Projekts, mit dem wir uns ein neues Markenimage verschaffen wollten, haben wir im November 2015 abgeschlossen, als unsere neu gestaltete Website mit vielen neuen Funktionalitäten zur Verbesserung der Barrierefreiheit und der Transparenz freigeschaltet wurde. Dazu zählten:

• eine Agenda;
• ein anpassungsfähiges Webdesign für Smartphones und Tablets;
• ein neues Layout für die Homepage.

Die Arbeiten an der Website dauerten das ganze Jahr 2016 über an; unser Ziel war das Go-Live Anfang 2017 mit einer ganz neuen EDSB-Website. Dies umfasste ein neues Layout für die Website, die Migration der Inhalte von der alten auf die neue Website und die Umstellung auf ein neues Inhaltsverwaltungssystem (Content Management System, CMS), EC Drupal.

Im März 2017 wurde die neue EDSB-Website freigeschaltet. Das neue, nach Themen gegliederte Layout bietet einfachen Zugang zur Arbeit des EDSB und zu sozialen Medien über eine Twitter-Wall. Wir haben der Homepage neue Inhalte hinzugefügt, etwa die Geschichte der DSGVO und unsere aktuellen Blogposts und Videos, und eine neue, leistungsstarke Suchmaschine eingebaut, die es für Nutzer einfacher macht, die Informationen zu finden, nach denen sie suchen.

Wir haben die Website seit 2017 in vielfacher Hinsicht verbessert und verändert, weil wir versuchen wollten, Fragen, die sowohl von den Mitarbeitern des EDSB als auch von externen Nutzern gestellt worden waren, zu beantworten. Dazu gehörte auch die Aufnahme eines Bereichs mit Quicklinks in die Homepage, auf der die Nutzer Verknüpfungen zu den am häufigsten besuchten Seiten auf unserer Website finden. Außerdem haben wir, soweit dies möglich war, von der Veröffentlichung von Dokumenten im pdf-Format auf die Erstellung in HTML umgestellt, um so das Benutzererlebnis auf Mobiltelefonen und Tablets zu verbessern.

Damit unsere Website so datenschutzfreundlich wie möglich bleibt, haben wir Anfang 2019 außerdem von einer Opt-out-Lösung für Tracking auf einen Opt-in-Prozess umgestellt. Dies bedeutet, dass wir die Identität der Besucher unserer Website nur dann rückverfolgen können, wenn sie uns dazu ihre ausdrückliche Zustimmung erteilt haben.

Als Nächstes stand die Umgestaltung des EDSB-Newsletters an. Angesichts der von Jahr zu Jahr steigenden Zahl von Abonnenten des Newsletters ist dieser ein wertvolles Instrument, mit dem wir unsere aktuellen und wichtigsten Aktivitäten kommunizieren. Durch die Umstellung auf ein neues, für mobile Geräte optimiertes Online-Format wollten wir den Newsletter barrierefreier und nutzerfreundlicher gestalten, unabhängig davon, welches Endgerät zum Lesen verwendet wird.

Wir versenden den Newsletter über unseren Newsletter-Verteiler und stellen ihn auf unsere Website ein. Auch wenn die Inhalte weitgehend dieselben geblieben sind, veröffentlichen wir den Newsletter jetzt häufiger, damit unsere Leser besser über unsere Tätigkeiten und sonstige Entwicklungen im Datenschutz im Bilde sind.

Die erste Ausgabe des Newsletters im neuen Design erschien im Juni 2017, wobei jetzt jedes Jahr zehn Ausgaben veröffentlicht werden. Eine bei Abonnenten des Newsletters im Mai 2019 durchgeführte Umfrage hat ergeben, dass unsere Leserschaft im Allgemeinen mit dem Newsletter in seiner derzeitigen Form zufrieden ist.

7.1.2 Neue Initiativen

Im Juli 2015 haben wir eine mobile App freigeschaltet. Damit können die Nutzer die Empfehlungen des EDSB zur DSGVO mit den von der Europäischen Kommission, dem Parlament und dem Rat erstellten Texten vergleichen. Die App wurde 2016 aktualisiert, damit die Nutzer den endgültigen Wortlaut der DSGVO zusammen mit dem ursprünglichen Legislativvorschlag der Kommission, den Empfehlungen des EDSB und den Bestimmungen der früheren Datenschutzrichtlinie 95/46/EG aufrufen können. Die App enthält auch eine Geschichte des Reformprozesses (siehe Abschnitt 6.1.1).

Mit der App konnte der EDSB den Gesetzgeber auf innovative Art und Weise dazu anhalten, pragmatische Lösungen umzusetzen, und ihn dabei zur Rechenschaft ziehen, sowie zur Transparenz und Rechenschaftspflicht des Gesetzgebungsverfahrens beitragen.

Eine weitere neue Initiative, die im April 2016 eingeleitet wurde, war der EDSB-Blog. Der Blog ermöglicht einen besseren Einblick in die Arbeit des EDSB und insbesondere der Datenschutzbeauftragten. Hier können die Datenschutzbeauftragten viel persönlicher über ihre Gedanken, Meinungen und Aktivitäten sowie die Arbeit der Einrichtung kommunizieren. Wir wollten unsere Arbeit und den Datenschutz generell zugänglicher und verständlicher machen und dadurch versuchen, neue Zielgruppen anzusprechen.

Der EDSB-Blog ist jetzt fester Bestandteil unserer Kommunikationstätigkeiten. Wir stellen regelmäßig neue Blogbeiträge zu einem breiten Themenspektrum einschließlich zu den aktuellen politischen Fragen und unabhängigen Initiativen des EDSB ein. Alle Blogposts werden über unsere Social-Media-Kanäle beworben, und einige unserer Blogposts werden an unser Journalisten-Netzwerk und andere interessierte Kreise verteilt. Alle Blogposts sind von der Homepage unserer Website aus einfach zu finden.

7.1.3 Soziale Medien

Soziale Medien sind als Kommunikationswerkzeug für den EDSB unverzichtbar geworden. Im Laufe der Amtszeit haben wir unsere Präsenz in drei einflussreichen Social-Media-Kanälen fest etabliert und sind damit in der Lage, schnell und einfach ein weltweites Publikum zu erreichen.

Während Twitter unser maßgebliches Social-Media-Tool bleibt, hat unser Auftritt bei LinkedIn in den letzten fünf Jahren den dramatischsten Anstieg überhaupt verzeichnet - von gerade einmal 877 Followern Ende 2015 auf 16 344 am 30. September 2019. Auch über unseren YouTube-Kanal haben wir uns verstärkt engagiert, was weitgehend auf unsere Kommunikationsbemühungen während der Internationalen Konferenz der Beauftragten für den Datenschutz und die Privatsphäre 2018 zurückzuführen ist.

Unsere Präsenz in den sozialen Medien, die kontinuierlich zugenommen hat, bezeugt sowohl unseren wachsenden weltweiten Einfluss als Organisation als auch unsere Bemühungen zur Umsetzung einer wirkungsvollen Social-Media-Strategie.

7.1.4 Die DSGVO für die EU-Organe: die Kommunikationskampagne

Die neuen Datenschutzbestimmungen für die EU-Organe gelten seit 11. Dezember 2018 uneingeschränkt. Ergänzend zu unseren Sensibilisierungsmaßnahmen (siehe Abschnitt 6.2.1) haben wir eine Kommunikationskampagne eingeleitet. Diese war zwar hauptsächlich für Bedienstete der EU-Organe gedacht, doch wollten wir auch außerhalb der EU-Organe Menschen dafür sensibilisieren, wie die neuen Vorschriften sie selbst und ihre Rechte beeinflussen könnten.

Wir haben ein Kommunikationskit mit einschlägigen und hilfreichen Informationen für alle EU-Bedienstete zusammengestellt. Dieses Kit wurde im Vorfeld des Stichtags 11. Dezember 2018 an die behördlichen Datenschutzbeauftragten aller EU-Organe verteilt und sollte ihnen dabei helfen, Mitarbeiter, die für ihre jeweiligen Organe und Einrichtungen tätig waren, anzusprechen.

Das Kit umfasste ein Video zum Thema Rechenschaftspflicht, ein Plakat, das Datenschutzbeauftragte ausdrucken und in ihrem Gebäude verteilen konnten, Bildmaterial, das sie im Intranet oder auf Social-Media-Kanälen nutzen konnten, sowie Abdeckungen für Webcams, die an EU-Bedienstete ausgeteilt werden konnten. Wir haben darüber hinaus auch drei neue Factsheets zu den Themen Datenschutzrechte nach den neuen Bestimmungen, Auswirkungen der neuen Bestimmungen auf EU-Bedienstete und Sicherstellung der Rechenschaftspflicht, die als Kopie im Kit und auf unserer Website verfügbar waren, erstellt.

Darüber hinaus wurden einzelne Kopien der neuen Verordnung erstellt und unter den behördlichen Datenschutzbeauftragten bei der Sitzung des EDSB und der DSB am 12. Dezember 2018 verteilt (siehe Abschnitt 6.2.2).

Ergänzend zu unserer Zusammenarbeit mit den behördlichen Datenschutzbeauftragten haben wir eine Presse- und Social-Media-Kampagne zur Sensibilisierung außerhalb der EU-Organe gestartet. Über Twitter und LinkedIn haben wir über die neuen Bestimmungen, ihre Auswirkungen sowie die Rolle und Tätigkeiten des EDSB informiert. Wir haben überdies eine Pressemitteilung veröffentlicht und mit einigen Medienbetreibern direkt Kontakt aufgenommen, um die Medienberichterstattung aufzubauen. In Politico erschien am 13. Dezember 2018 eine Anzeige mit einer ansprechenden Karikatur zur Unterstützung der Kampagne, und wir haben uns zugleich bemüht, unsere Website und unseren Eintrag in Wikipedia im Sinne der geänderten Rechtsvorschriften auf den neuesten Stand zu bringen.

7.1.5 Vorbereitungen für den EDSA – Mitteilung

Als neues EU-Gremium brauchte der Europäische Datenschutzausschuss (EDSA) eine eigene visuelle Identität (siehe Abschnitt 6.1.3). 2017 haben wir den Mitgliedern der Artikel-29-Datenschutzgruppe mehrere Entwürfe für ein EDSA-Logo vorgelegt, aus denen einer ausgewählt wurde. Anschließend haben wir rund um dieses Logo eine Corporate Identity entwickelt und deren Verwendung vorgegeben.

Das neue Gremium brauchte aber auch eine Website, und der Wechsel zu einer neuen EDSB-Website diente als Ausgangspunkt für ihre Erstellung. Die Umstellung der EDSB-Website auf ein neues CMS, EC Drupal (siehe Abschnitt 7.1.1), war ein strategischer Schachzug, der uns mehr Flexibilität im Hinblick auf die Art und Weise, wie wir unsere Arbeit auf unserer eigenen Website präsentieren, aber auch auf die Erstellung weiterer Websites einschließlich der Website des EDSA verschaffte. Wir begannen 2017 mit der Arbeit an der EDSA-Website, um sie rechtzeitig fertigzustellen und sie dann am 25. Mai 2018, dem Tag, an dem die DSGVO in vollem Umfang wirksam wurde, freischalten zu können.

Die EDSA-Geschäftsstelle verfügt zwar über ihr eigenes Team für Kommunikation, doch unterstützen wir es bei Bedarf auch weiterhin, sei es bei Veröffentlichungen, Videos oder der Organisation von Veranstaltungen. Wir arbeiten mit allen Mitarbeitern des EDSA über das EDSA-Kommunikationsnetzwerk eng zusammen, um die Kommunikationsmaßnahmen der Datenschutzbehörden in der EU besser zu koordinieren und uns gegenseitig bei unserer Arbeit zu unterstützen.

7.1.6 Die Internationale Konferenz 2018 - Kommunikation

Der Startschuss zu den Kommunikationsaktivitäten zur Internationalen Konferenz 2018, die gemeinsam mit dem EDSB in Brüssel ausgerichtet wurde (siehe Abschnitt 5.2.1), fiel anlässlich der Ausgabe 2017 der Konferenz, die in Hongkong stattfand. Wir hatten die Möglichkeit, die Konferenz 2018 über ein Video zu bewerben, in dem wir das Thema und die Fragen, mit denen wir uns befassen wollten, vorstellten. Außerdem haben wir eine Informationsbroschüre über die Konferenz verteilt.

Mitte 2017 haben wir in die Gestaltung eines Logos für die Konferenz investiert. Da wir das Bewusstsein für die Konferenz schärfen wollten, haben wir Designer aus der ganzen Welt angesprochen und gebeten, Vorschläge einzureichen. Das Logo wurde zusammen mit Ideen aus anderen Vorschlägen, die bei uns eingingen, in unsere Werbe- und Konferenzmaterialien eingearbeitet.

Die Arbeiten zur Konferenz-Website liefen ebenfalls 2017 an. Wie auch bei der EDSA-Website konnten wir die Umstellung auf EC Drupal bei der Erstellung der Konferenz-Website zu unserem Vorteil nutzen. Wir haben die Website am 19. März 2018 freigeschaltet. Dort waren alle einschlägigen Informationen über das Thema und das Programm der Konferenz, die Redner und Veranstaltungsorte zu finden, und sie fungierte auch als Portal für die Anmeldung zur Konferenz. Die Teilnehmer an der nichtöffentlichen Sitzung hatten außerdem über die Website mithilfe ihrer Anmeldedaten und ihres Passworts Zugang zu sämtlichen Sitzungsunterlagen. Wir haben die Website während der gesamten Konferenz auf dem neuesten Stand gehalten, indem wir Unterlagen, Videos und Nachrichten sofort, nachdem sie uns vorlagen, hochgeladen haben.

Um die Teilnehmer dazu anzuregen, sich an einer umfassenderen Online-Debatte zu beteiligen, haben wir 2017 einen Twitter-Account für die Veranstaltung eingerichtet. 2018 haben wir dann unsere Maßnahmen auf den sozialen Medien mit der Einführung eines Instagram-Accounts verstärkt. Wir waren während der gesamten Konferenz auf diesen beiden Kanälen aktiv und haben ständig aktualisierte Informationen, Unterlagen und Pressemitteilungen zur Konferenz eingestellt. Dabei kamen uns die Accounts des EDSB in den sozialen Medien zugute.

2017 haben wir außerdem mit den Arbeiten zur Erstellung einer mobilen App begonnen, mit der die Zielgruppen zur Teilnahme an der Konferenz angeregt werden sollten. Die App stand wenige Wochen vor der Konferenz zum Download bereit, und alle Delegierten wurden dazu angeregt, sie für die öffentliche Sitzung herunterzuladen. Sie war auf die Konferenz-Website abgestimmt und ergänzte diese. Die Teilnehmer konnten sie nutzen, um Notizen zu machen, an Abstimmungen teilzunehmen, sich auszutauschen und Fragen an den Konferenzmoderator zu schicken, die von den Referenten auf der Bühne beantwortet wurden.

All diese Bemühungen wurden von einer Medienkampagne begleitet, die sich an die internationalen Medien richtete. Dazu gehörten eine Pressekonferenz und eine Pressemitteilung am ersten Tag der öffentlichen Sitzung. Das überwältigende Medienecho, das wir aus aller Welt erhielten, war ein Zeichen für das weltweite Interesse sowohl am Diskussionsthema als auch an den Referenten, die bei der Konferenz auftraten.

7.2 Verwaltung, Haushaltsplan und Personal . . .

Das Referat Personal, Haushalt und Verwaltung des EDSB unterstützt den Verwaltungsrat und die operativen Teams des EDSB und sorgt dafür, dass sie über die erforderlichen Instrumente und Ressourcen zur Erreichung der Ziele gemäß der EDSB-Strategie 2015-2019 verfügen.

Diese Arbeit ist mit der Einstellung, Verwaltung, Entwicklung und Verstärkung unserer Belegschaft verbunden, um unser Fachwissen und unsere Fähigkeiten auszubauen und sicherzustellen, dass der EDSB eine Vorreiterrolle für Rechenschaftspflicht im Datenschutz einnimmt und mit gutem Beispiel vorangeht.

Hinzu kommt, dass wir im Laufe des Mandats an zwei wichtigen EDSB-Projekten mitgewirkt haben, und zwar an der Einrichtung der EDSA-Geschäftsstelle und an den Vorbereitungen der Internationalen Konferenz der Beauftragten für den Datenschutz und die Privatsphäre 2018.

7.2.1 Eine wachsende Organisation

Das Amt des EDSB ist zwischen 2015 und 2019 erheblich gewachsen. Einer der Hauptgründe dafür war die Notwendigkeit, mehr Datenschutzexperten einzustellen, damit wir mit Sicherheit davon ausgehen konnten, in der Lage zu sein, eine Reihe neuer Funktionen zu übernehmen und diese kompetent und effizient wahrzunehmen. Dies umfasste die Einrichtung der EDSA-Geschäftsstelle, die Übernahme von Verantwortung zur Aufsicht über Europol und Vorkehrungen, damit wir über das entsprechende Personal und das Know-how für die Wahrnehmung der uns im Rahmen der neuen Verordnung 2018/1725 übertragenen Aufgaben verfügten. Außerdem mussten wir in der Lage sein, die übliche Mitarbeiterfluktuation abzufedern.

Hinzu kommt, dass Datenschutzskandale, neue Technologien und der neue EU-Datenschutzrahmen zu einem größeren Bewusstsein in der Öffentlichkeit über Rechte und Pflichten im Zusammenhang mit dem Datenschutz geführt haben. Die Nachfrage nach den Dienstleistungen der Datenschutzbehörden einschließlich des EDSB ist heute größer denn je. Wir müssen sicherstellen, dass wir in der Lage sind, darauf zu reagieren, damit der Schutz der Rechte natürlicher Personen gewährleistet ist.

Um dem Bedarf an einer Verstärkung unserer Belegschaft gerecht zu werden, haben wir Ende 2014 das Europäische Amt für Personalauswahl (EPSO) gebeten, ein Auswahlverfahren für Datenschutzspezialisten durchzuführen. Es wurde eine Reserveliste erstellt, aus der wir ab 2015 neue Mitarbeiter rekrutieren konnten.

Nachdem diese Reserveliste 2018 ausgeschöpft war, starteten wir im Sommer 2018 ein weiteres offenes Auswahlverfahren für 30 AD-Bedienstete im Bereich Datenschutz. Diese Liste wurde Mitte 2019 fertiggestellt und verschaffte uns Zugang zu einem neuen Expertenpool, aus dem wir Mitarbeiter rekrutieren konnten. Damit können wir das Wachstum der EDSA-Geschäftsstelle bewältigen und neue Aufgaben, mit denen uns der Gesetzgeber betraut, wahrnehmen, etwa die Aufsicht über Eurojust und die Europäische Staatsanwaltschaft. Der EDSB bereitet sich seit Ende 2018 darauf vor, ab dem 12. Dezember 2019 die Aufsicht über Eurojust zu übernehmen, und steht hierzu regelmäßig in Kontakt mit seinen Amtskollegen von Eurojust, tauscht Wissen aus, schärft das Bewusstsein und legt Prioritäten für die ersten Monate dieser Aufsichtstätigkeit fest.

Neben der Durchführung dieser Auswahlverfahren verfolgen wir außerdem seit 2016 eine Politik zur Mitarbeiterbindung, die 2017 unter Berücksichtigung der Ergebnisse unserer Mitarbeiterbefragung des Jahres 2016 nochmals überarbeitet wurde. Bei dieser Politik steht die Prämisse im Vordergrund, dass wir in der Lage sein müssen, begabte, kompetente und kreative Mitarbeiter, die wir einstellen, auch zu halten, indem wir ihnen flexiblere Arbeitsbedingungen und bessere Chancen für ihre persönliche und berufliche Entwicklung anbieten und darüber hinaus die Vorgesetzten dazu anhalten und daran erinnern, dass sie dafür Sorge tragen, dass ihre Mitarbeiter durch Anerkennung und konstruktives Feedback motiviert bleiben.

Dank eines neuen Einstellungsplans haben wir die Herausforderung, die steigende Zahl unserer Mitarbeiter unterzubringen, bewältigt. Wir haben ein fortlaufendes Projekt ins Leben gerufen, bei dem es darum geht, die bereits vorhandenen Büroflächen maximal auszunutzen und zugleich neue Flächen zu erwerben. Zur Unterbringung der EDSA-Geschäftsstelle haben wir die erste Etage unseres Gebäudes, in dem wir derzeit untergebracht sind, übernommen und eine klare Trennung zwischen der Geschäftsstelle und dem EDSB vorgenommen. Darüber hinaus wurde ein Programm für die Neuorganisation und Sanierung der Büros aufgelegt, um die neuen EDSB-Bediensteten unterzubringen. Im Zuge unserer Bemühungen, eine Lösung zur Unterbringung unserer expandierenden Einrichtung zu finden, werden für die kommenden Monate weitere Fortschritte in diesem Bereich erwartet.

7.2.2 Aus- und Weiterbildung

Im Juli 2015 haben wir eine neue Strategie zur Aus- und Weiterbildung beim EDSB beschlossen, mit der die Personalentwicklung und die Erweiterung der Kompetenzen gefördert werden sollten. Der neuen Strategie zufolge erstellt jeder EDSB-Bedienstete jedes Jahr einen eigenen Aus- und Weiterbildungsplan, was uns eine längerfristige Perspektive über den Lern- und Entwicklungsbedarf unserer Mitarbeiter eröffnet.

Wir haben weiterhin ein maßgeschneidertes Schulungsprogramm aufgelegt, das intern durchgeführt wurde und auf die besonderen Bedürfnisse der EDSB-Bediensteten zugeschnitten war. Im Laufe des Mandats wurden bei diesen Schulungen u. a. Themen behandelt wie das Reden in der Öffentlichkeit und Medientraining, zentrale Leistungsindikatoren (KPIs) und Folgenabschätzung, Instrumente und Verfahren des EDSB und des EDSA, die neuen Datenschutzbestimmungen für die EU-Organe und die Datenschutz-Grundverordnung (DSGVO) sowie die Sensibilisierung für unbewusste Vorurteile, Burnout u.v.m.

Ergänzend dazu legten wir 2017 ein größeres Projekt auf, bei dem eine Laufbahnberatung für alle EDSB-Bediensteten angeboten wurde. Dadurch konnten wir Bedienstete ausfindig machen, die daran interessiert waren, für die EDSA-Geschäftsstelle zu arbeiten, es war aber auch eine Chance, den EDSB-Mitarbeitern dabei zu helfen, sich Gedanken über ihre berufliche Weiterentwicklung zu machen. Allen Mitarbeitern außer den Vorgesetzten wurde eine individuelle, vertrauliche Karriereberatung angeboten, die auf freiwilliger Basis stattfand. Die angebotenen Folgegespräche und Maßnahmen waren sehr nützlich.

2019 brachten wir die interne Coaching-Initiative auf den Weg. Ziel dabei ist es, die individuelle berufliche Leistung durch Leistungs- und Talentmanagement, Förderung der Belastbarkeit und persönlichen Entwicklung sowie Management der zwischenmenschlichen Beziehungen am Arbeitsplatz zu verbessern. Dabei stehen der weitere Ausbau von Stärken und die Umsetzung angestrebter Änderungen sowie die Suche nach spezifischen Lösungen für berufliche Herausforderungen im Vordergrund. Die Gespräche fanden mit unserem internen Coach statt.

7.2.3 Einrichtung der EDSA-Geschäftsstelle – administrative Vorbereitungen

Die Bereitstellung einer unabhängigen Geschäftsstelle für den EDSA (siehe Abschnitt 6.1.3) war eine logistische und organisatorische Herausforderung. Der Grund dafür war, dass wir die Vertraulichkeit und die Trennung von Funktionen gewährleisten und zugleich die Verwaltungszusammenarbeit sowie die Kosteneffektivität bewahren mussten.

Die Vorbereitungen für den künftigen EDSA seitens der Verwaltung liefen bereits 2013 zusammen mit unseren Kollegen der Artikel-29-Datenschutzgruppe an. Ende 2015, nachdem das Europäische Parlament und der Rat sich politisch auf den Wortlaut der DSGVO geeinigt hatten, haben wir unsere Anstrengungen intensiviert und eine kleine interne EDSB-Taskforce eingerichtet und an einer separaten Taskforce, die im Rahmen der Artikel-29-Datenschutzgruppe eingerichtet wurde, mitgewirkt. Unser Ziel in dieser Phase war es, die vor uns liegende Aufgabe zu bewerten und genau festzulegen, was erforderlich war, damit der Ausschuss vom ersten Tag an arbeitsfähig sein würde.

Als die für die Bereitstellung der EDSA-Geschäftsstelle zuständige Behörde war es unsere Aufgabe sicherzustellen, dass der EDSA von der Haushaltsbehörde mit angemessenen personellen und finanziellen Mitteln ausgestattet wurde und die notwendige administrative Struktur eingerichtet war. 2016 setzten wir daher einen ehrgeizigen Einstellungsplan einschließlich der erforderlichen Ressourcen für die personelle Ausstattung des künftigen EDSA um. Des Weiteren erstellten wir vier Informationsmerkblätter zur Einrichtung des EDSA, in denen wir unsere Vorstellungen darlegten. Diese erstreckten sich auf die Themen frühzeitige Vorbereitungen, Personal, Haushalts- und Finanzmittel und vom EDSB unterzeichnete Dienstgütevereinbarungen (SLA). Unser Ziel war es, den Mitgliedern der Artikel-29-Datenschutzgruppe ein besseres Verständnis unserer Vorstellungen und der Energie, die wir in die Einrichtung des EDSA investierten, zu vermitteln.

Im Zusammenhang mit den Vorbereitungen für den EDSA war der EDSB außerdem in die Entwicklung des AGM-Projekts der Europäischen Kommission zur Verbesserung der Organisation von Sitzungen und des Austauschs von Sitzungsunterlagen eingebunden. Im September 2016 wurden wir als eine der Pilotorganisationen für dieses Projekt benannt.

AGM ist eine IT-Anwendung, die die Verwaltung von Expertengruppen und -Ausschüssen unterstützen soll, und ist damit ein Werkzeug, das für den EDSB und die EDSA-Geschäftsstelle von erheblichem Nutzen ist, denn es ermöglicht uns die automatische Bearbeitung einer Reihe von zeitaufwändigen Aufgaben, die ansonsten mehrere Mitarbeiter gebunden hätten.

Wir nutzen das System seit Dezember 2016 für die Organisation der EDSB-Sitzungen, EDSA-Plenarsitzungen, Sitzungen der Untergruppen und andere Ad-hoc-Sitzungen. Es bietet uns einen elektronischen Workflow für die Abläufe im Zusammenhang mit den Einladungen und Kostenerstattungen an die Regierungssachverständigen. Die Statistiken zur Zahl der Rückerstattungsvorgänge pro Jahr bis 30. Juni 2019 sind Abbildung 17 zu entnehmen.

Im November 2017 haben wir einen Bereich eingerichtet, der sich mit EDSA-Angelegenheiten befasst. Mehrere EDSB-Mitarbeiter wurden in diesen neuen Bereich versetzt und mit der Durchführung von Aufgaben betraut, die notwendig waren, damit der EDSA seine Arbeit im Mai 2018 aufnehmen konnte. Im März 2018 zogen diese Mitarbeiter in die Büros in die erste Etage des EDSB-Gebäudes um.

Wir mussten dafür sorgen, dass alle vom EDSB zum EDSA versetzten Mitarbeiter sowie alle neuen EDSA-Mitarbeiter in den Genuss der gleichen Rechte kamen und denselben Vorschriften unterlagen wie die Mitarbeiter des EDSB. Daher haben wir alle bestehenden Entscheidungen, Leitlinien und Handbücher überprüft, und der EDSB-Direktor hat eine allgemeine Entscheidung unterzeichnet. Einige spezifische Entscheidungen mussten zwar nach dem 25. Mai 2018 noch auf den neuesten Stand gebracht werden, um den Besonderheiten der EDSA-Geschäftsstelle Rechnung zu tragen, doch wurde der Großteil der Arbeit rechtzeitig fertiggestellt.

Auch unsere Dienstgütevereinbarungen (SLA) mit externen Dienstleistern mussten aktualisiert werden. Während diejenigen, die sich auf EDSB-Mitarbeiter bezogen, automatisch auch für Mitarbeiter der EDSA-Geschäftsstelle galten, mussten die SLA, die sich auf die Erbringung von Dienstleistungen bezogen, aktualisiert werden, damit die EDSA-Mitarbeiter diese Dienstleistungen auch in Anspruch nehmen konnten. Anfang 2018 haben wir daher mehrere SLA so aktualisiert, dass auch der EDSA darin aufgenommen wurde. In anderen Fällen wurden neue Dienstgütevereinbarungen direkt zwischen der EDSA-Geschäftsstelle und dem Dienstleister abgeschlossen. Auf diese Weise waren wir in der Lage, für die Aufrechterhaltung des Betriebs und einen reibungslosen Start für die EDSA-Geschäftsstelle zu sorgen.

Nachdem der EDSA seine Arbeit aufgenommen hatte, legten wir 2019 ein Pilotprogramm über die Entsendung auf. Die DSGVO beauftragt den EDSA und andere mit der Förderung des Austauschs von Informationen, Praktiken und gemeinsamen Schulungen und erleichtert den Austausch von Personal zwischen Aufsichtsbehörden. Das Referat Personal, Haushalt und Verwaltung des EDSB verfügt über langjährige Erfahrung mit der Organisation solcher Austauschmaßnahmen, und daher haben wir vorgeschlagen, ein Verfahren zu fördern, bei dem Mitarbeiter zwischen Datenschutzbehörden oder mit der EDSA-Geschäftsstelle ausgetauscht werden. Der Entwurf des Programms wurde auf einer Sitzung zwischen Vertretern der Personalabteilungen und der für Aus- und Weiterbildungsfragen zuständigen Abteilungen der Datenschutzbehörden im September 2018 erörtert, und die erste Ausgabe des Programms soll 2020 stattfinden.

AGM-Vorgänge bis zum 30.06.2019
	2016	2017	2018	2019	Insgesamt
Anzahl der Vorgänge	16	83	733	776	1608

Abbildung 17: Anzahl der AGM-Vorgänge (bis 30. Juni 2019)

7.2.4 Die Internationale Konferenz 2018 – Finanzierung und Vergabeverfahren

Neben der Wahl eines unkonventionellen Themas für die Internationale Konferenz 2018 (siehe Abschnitt 5.2.1) griff der EDSB auf eine eher unkonventionelle Form der Finanzierung der Konferenz zurück. Als unabhängige Aufsichtsbehörde haben wir beschlossen, für die nichtöffenliche und die öffentliche Sitzung der Konferenz in Brüssel keine Fördergelder in Anspruch zu nehmen, sondern sie stattdessen aus den Teilnahmegebühren zu finanzieren.

Der EDSB ist eine Einrichtung der EU und muss daher die strikten Vergabeverfahren im Sinne der EU-Haushaltsordnung einhalten. Da die Organisation der Konferenz mit der zeitaufwändigen und komplexen Aufgabe verbunden ist, externe Anbieter ausfindig zu machen, auszuwählen und Verträge mit ihnen abzuschließen, haben wir beschlossen, die Dienste einer Eventagentur zur Unterstützung des EDSB-Finanzteams in Anspruch zu nehmen. Wir haben ein spezifisches Finanzierungsverfahren für die Konferenz ausgearbeitet, das alle Abläufe und Vorgänge zwischen dem EDSB, dem Veranstalter und den externen Anbietern erleichtert.

Zur Unterstützung der Mitarbeiter und der Datenschutzbeauftragten bei den Vorbereitungen der Konferenz haben wir 2018 außerdem eine Reihe von Kommunikationstrainings durchgeführt.

7.2.5 Vorbereitung des EDSB auf die neuen Datenschutzbestimmungen

Als EU-Einrichtung ist der EDSB nicht nur für die Überwachung und Durchsetzung der neuen Datenschutzvorschriften bei anderen EU-Organen und -Einrichtungen zuständig, sondern muss diese auch auf seine eigene Arbeit anwenden und gegenüber anderen Organen mit gutem Beispiel vorangehen.

Da sich die Verordnung 2018/1725 auf viele Personal- und Finanzierungsentscheidungen auswirkt, haben wir unsere Vorgänge zur Verarbeitung von Personaldaten einer vollständigen Überprüfung unterzogen. Von Beginn des Jahres 2017 an haben wir an der internen Taskforce des Projekts zum Übergang auf die neue Verordnung 45 teilgenommen und eng mit dem behördlichen Datenschutzbeauftragten des EDSB, dem Stellvertretenden Datenschutzbeauftragten und dem Referat Aufsicht und Durchsetzung an der Erstellung von Datenschutzaufzeichnungen gearbeitet. Des Weiteren haben wir unsere Datenschutzerklärungen überarbeitet. Dadurch waren wir bestens vorbereitet, als die neue Verordnung in Kraft trat.

Wir waren darüber hinaus eng in interne Diskussionen über die Erstellung eines EDSB-Instruments zur Einhaltung der Rechenschaftspflicht eingebunden. 2015 legte der EDSB ein Projekt zur Entwicklung eines Rahmens für mehr Rechenschaftspflicht bei der Datenverarbeitung auf, das wir im Laufe des Jahres 2016 versuchsweise auf den EDSB angewandt haben.

Das Instrument bestand aus einer Reihe von Fragen für den Datenschutzbeauftragten, den Direktor, den behördlichen Datenschutzbeauftragten und die für die Gestaltung von Verarbeitungsvorgängen zuständigen Mitarbeiter, mit dem Ziel zu gewährleisten, dass die Einrichtung personenbezogene Daten und deren rechtmäßige Verarbeitung kontrolliert. Das Referat Personal, Haushalt und Verwaltung hat dem behördlichen Datenschutzbeauftragten des EDSB Rückmeldung zu den Fragen gegeben, die unseren Tätigkeitsbereich betrafen. Nach der Fertigstellung des Instruments im Mai 2016 hat der für die Einhaltung der Rechenschaftspflicht zuständige Mitarbeiter des EDSB einen Fahrplan für die Beantwortung der Fragen, die Vorlage von Nachweisen und die Erstellung eines internen Aktionsplans für das Referat Personal, Haushalt und Verwaltung erstellt.

Wir haben das Instrument auch im Jahr 2017 weiter verwendet und den Fragebogen aktualisiert. Damit konnten wir die Rechenschaftspflicht des Referats nachweisen, insbesondere unsere Bereitschaft, für die Einhaltung der Datenschutzpflichten zu sorgen und eine Dokumentation zum Nachweis zu erstellen.

Anhang A - Rechtsrahmen

Das Amt des Europäischen Datenschutzbeauftragten wurde durch die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr geschaffen. Die Verordnung beruhte auf Artikel 286 des EG-Vertrags, der jetzt durch Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ersetzt wurde. In der Verordnung wurden auch entsprechende Regeln für die Organe und Einrichtungen in Einklang mit den zu diesem Zeitpunkt geltenden EU-Rechtsvorschriften zum Datenschutz festgelegt. Sie trat 2001 in Kraft. Eine überarbeitete Fassung der Verordnung, die Verordnung (EU) 2018/1725, trat am 11. Dezember 2018 in Kraft.

Seit dem Inkrafttreten des Vertrags von Lissabon am 1. Dezember 2009 bildet Artikel 16 AEUV die Rechtsgrundlage für den EDSB. In Artikel 16 wird die Bedeutung des Schutzes personenbezogener Daten auf allgemeinere Art und Weise hervorgehoben. Sowohl nach Artikel 16 AEUV als auch nach Artikel 8 der EU-Charta der Grundrechte sollte die Einhaltung der Datenschutzvorschriften von einer unabhängigen Stelle überwacht werden. Auf EU-Ebene ist dies der EDSB.

Zu den weiteren einschlägigen EU-Rechtsakten zum Datenschutz gehören:

• Richtlinie 95/46/EG, die durch die Verordnung 2016/679, die Datenschutz-Grundverordnung (DSGVO), am 25. Mai 2018 ersetzt wurde. Die DSGVO legt einen allgemeinen Rahmen für das Datenschutzrecht in den Mitgliedstaaten fest
• Richtlinie 2002/58/EG über den Schutz der Privatsphäre in der elektronischen Kommunikation (geändert durch Richtlinie 2009/136). Über eine neue Verordnung über Privatsphäre und elektronische Kommunikation (E-Privacy-VO) wird derzeit verhandelt
• Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

Hintergrund . . .

Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und der Grundfreiheiten sieht vor, dass jede Person das Recht auf Achtung ihres Privat- und Familienlebens hat, das nur unter bestimmten Bedingungen eingeschränkt werden darf. 1981 hielt man es allerdings für notwendig, eine gesonderte Konvention zum Datenschutz zu verabschieden, um ein positives und strukturiertes Konzept für den Schutz der Grundrechte und -freiheiten zu konzipieren, die durch die Verarbeitung personenbezogener Daten in einer modernen Gesellschaft beeinträchtigt werden könnten. Diese Konvention, auch als Konvention Nr. 108 bekannt, wurde von mehr als 40 Mitgliedstaaten des Europarates einschließlich sämtlicher EU-Mitgliedstaaten ratifiziert. Die Konvention Nr. 108 wird nach ihrem Inkrafttreten durch ihr Protokoll (SEV-NR. 223) geändert.

Die Richtlinie 95/46/EG, die Vorläuferin der DSGVO, beruhte auf den Grundsätzen der Konvention Nr. 108, hat diese jedoch in vielfacher Weise näher ausgeführt und ausgebaut. Sie stellte auf ein hohes Schutzniveau und den freien Verkehr personenbezogener Daten in der EU ab. Als die Kommission Anfang der 1990-er Jahre den Vorschlag für diese Richtlinie unterbreitete, erklärte sie, dass die Organe und Einrichtungen der Gemeinschaft durch ähnliche Rechtsgarantien geschützt werden sollten, und versetzte sie damit in die Lage, am freien Verkehr personenbezogener Daten, für den gleichwertige Schutzbestimmungen gelten sollten, teilzunehmen. Allerdings fehlte bis zur Annahme von Artikel 286 EGV eine Rechtsgrundlage für eine solche Regelung.

Am 6. April 2016 verständigte sich die EU auf eine umfassende Reform ihres Datenschutzrahmens und nahm die DSGVO an, die die alte Richtlinie ablösen sollte. Die DSGVO stellt einen wesentlichen Schritt zur Stärkung der Grundrechte der Bürgerinnen und Bürger im digitalen Zeitalter dar. Dabei stehen die Stärkung der Rechte des Einzelnen, die Stärkung des EU-Binnenmarktes, die Gewährleistung einer wirksameren Durchsetzung der Vorschriften, die Vereinfachung der internationalen Übermittlung personenbezogener Daten und die Festlegung globaler Datenschutzstandards im Vordergrund.

Darüber hinaus erweitert die DSGVO den räumlichen Geltungsbereich der EU-Datenschutzvorschriften, sieht die Verhängung von Geldbußen vor, stärkt die Bedingungen für die Erteilung der Einwilligung und verschafft Personen mehr Kontrolle über ihre personenbezogenen Daten, insbesondere dadurch, dass der Zugang dazu erleichtert wird.

Der Vertrag von Lissabon stärkt den Schutz der Grundrechte auf unterschiedliche Art und Weise. Die Achtung des Privat- und Familienlebens und der Schutz personenbezogener Daten werden in den Artikeln 7 und 8 der Charta als getrennte Grundrechte behandelt. Dies ist sowohl für die Organe und Einrichtungen als auch für die EU-Mitgliedstaaten bei der Anwendung des Unionsrechts rechtsverbindlich. Datenschutz wird in Artikel 16 AEUV aber auch als Querschnittsthema behandelt. Dies zeigt deutlich, dass Datenschutz als grundlegender Bestandteil von guter Governance gilt. Eine unabhängige Überwachung ist ein wesentlicher Bestandteil dieses Schutzes.

Verordnung (EG) Nr. 45/2001 . . .

Bei näherer Betrachtung der Verordnung 45/2001 ist zunächst festzustellen, dass sie gemäß Artikel 3 Absatz 1 auf die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft Anwendung [findet], soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Gemeinschaftsrechts fallen. Doch gilt die Verordnung seit dem Inkrafttreten des Vertrags von Lissabon und der Abschaffung der Säulenstruktur – die zur Folge hatte, dass Verweise auf Organe der Gemeinschaft und Gemeinschaftsrecht mittlerweile veraltet sind – grundsätzlich für alle Organe und Einrichtungen der EU, es sei denn, in anderen EU-Rechtsakten ist ausdrücklich etwas Anderes bestimmt.

Die Begriffsbestimmungen und der Inhalt der Verordnung sind eng an den Ansatz der Richtlinie 95/46/EG angelehnt. Man könnte sagen, dass die Verordnung (EG) Nr. 45/2001 die Umsetzung dieser Richtlinie auf Ebene der EU-Organe darstellt. Dies bedeutet, dass die Verordnung generelle Grundsätze behandelt wie die faire und rechtmäßige Verarbeitung, die Verhältnismäßigkeit und die Vereinbarkeit der Nutzung, besondere Kategorien sensibler Daten, die Informationspflicht gegenüber der betroffenen Person und die Rechte der betroffenen Person, die Pflichten der Verantwortlichen – wobei gegebenenfalls den besonderen Umständen auf EU-Ebene Rechnung getragen wird –, Aufsicht, Durchsetzung und Rechtsbehelfe. Der Schutz personenbezogener Daten und der Privatsphäre im Rahmen interner Telekommunikationsnetze wird in einem eigenen Kapitel behandelt. Mit diesem Kapitel wird die ehemalige Richtlinie 97/66/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation auf Ebene der EU-Organe umgesetzt.

Verordnung (EU) 2018/1725 . . .

Gemäß Artikel 2 Absatz 1 gilt diese Verordnung für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union ab dem 11. Dezember 2018. Für die Verarbeitung personenbezogener Daten durch Eurojust gilt sie allerdings erst ab dem 12. Dezember 2019, und sie gilt nicht für die Verarbeitung operativer personenbezogener Daten durch Europol und die Europäische Staatsanwaltschaft, ebenso wenig für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten gemäß Artikel 42 Absatz 1, Artikel 43 und 44 AEUV, etwa Tätigkeiten, die im Rahmen der gemeinsamen Sicherheits- und Verteidigungspolitik durchgeführt werden. Darüber hinaus gelten nur Artikel 3 und Kapitel IX der Verordnung für die Verarbeitung operativer personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, die Tätigkeiten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ausführen.

Die Begriffsbestimmungen und der Inhalt der Verordnung sind eng an den Ansatz der DSGVO angelehnt. Man könnte sagen, dass die Verordnung (EU) 2018/1725 die Umsetzung der DSGVO auf Ebene der EU-Organe darstellt. Die Struktur der Verordnung 2018/1725 sollte als gleichwertig mit der Struktur der DSGVO verstanden werden, und immer dann, wenn ihre Bestimmungen an die DSGVO angelehnt sind, sollte sie einheitlich ausgelegt werden. Dies bedeutet, dass die Verordnung generelle Grundsätze behandelt wie die faire und rechtmäßige Verarbeitung, die Verhältnismäßigkeit und die Vereinbarkeit der Nutzung, einschließlich besonderer Bedingungen für Kinder, besonderer Kategorien sensibler Daten sowie Transparenz, Information und Zugang zu personenbezogenen Daten und Rechte der betroffenen Person. Die Verordnung regelt die Pflichten der Verantwortlichen, gemeinsam Verantwortlichen und Auftragsverarbeiter, ferner Aufsicht, Durchsetzung, Rechtsbehelfe, Haftung und Sanktionen. Ein eigenes Kapitel betrifft den Schutz personenbezogener Daten und der Privatsphäre im Rahmen der elektronischen Kommunikation. Mit diesem Abschnitt wird die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation für Organe und Einrichtungen der EU umgesetzt.

Mit der Verordnung 45/2001 wurde die Verpflichtung für EU-Organe und -Einrichtungen eingeführt, mindestens eine Person zum behördlichen Datenschutzbeauftragten (DSB) zu bestellen, was in der Verordnung 2018/1725 nochmals bestätigt wird. Diese Beauftragten haben die Aufgabe sicherzustellen, dass die interne Anwendung der Bestimmungen der Verordnung einschließlich der ordnungsgemäßen Meldung von Verarbeitungsvorgängen unabhängig erfolgt. Alle Organe und die meisten Einrichtungen haben mittlerweile solche Beauftragte bestellt, in manchen Fällen auf viele Jahre. Diese Beauftragten sind häufig eher in der Lage, zu einem frühen Zeitpunkt zu beraten oder sich einzuschalten und die Entwicklung guter Praxis zu unterstützen. Da der behördliche Datenschutzbeauftragte formell zur Zusammenarbeit mit dem EDSB verpflichte ist, ist dies ein sehr wichtiges und äußerst geschätztes Netzwerk für die Zusammenarbeit, das weiterentwickelt werden sollte (siehe Abschnitt 6.2.1).

Aufgaben und Befugnisse des EDSB . . .

Die Aufgaben und Befugnisse des EDSB wurden in Kapitel V, insbesondere in den Artikeln 41, 46 und 47 der Verordnung 45/2001, genau beschrieben. Diese wurden durch Kapitel VI und die Artikel 52, 57 und 58 der Verordnung 2018/1725 (siehe Anhang B) sowohl im Allgemeinen als auch im Besonderen abgelöst. In Artikel 41 der Verordnung 45/2001 (Artikel 52 der Verordnung 2018/1725) ist der allgemeine Auftrag des Europäischen Datenschutzbeauftragten festgelegt, nämlich im Hinblick auf die Verarbeitung personenbezogener Daten sicherzustellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Datenschutz, von den EU-Organen und Einrichtungen geachtet werden. Darüber hinaus werden einige spezifische Aspekte seines Auftrags in den Grundzügen erläutert. Diese allgemeine Zuständigkeit wird in den Artikeln 46 und 47 der Verordnung 45/2001 und in den Artikeln 57 und 58 der Verordnung 2018/1725 durch eine detaillierte Auflistung der Pflichten und Befugnisse weiterentwickelt und näher ausgeführt.

Diese Zuständigkeiten, Pflichten und Befugnisse weisen ein ähnliches Muster auf wie diejenigen der einzelstaatlichen Kontrollstellen. Dazu gehören: Beschwerden entgegennehmen und prüfen, sonstige Untersuchungen durchführen, die Verantwortlichen und betroffene Personen unterrichten, Vorabkontrollen durchführen, wenn Verarbeitungen besondere Risiken aufweisen usw. Durch die Verordnung erhält der EDSB die Befugnis, Zugang zu einschlägigen Informationen und Räumlichkeiten zu erhalten, falls dies für seine Untersuchungen erforderlich ist. Er kann ferner Sanktionen verhängen, die inzwischen auch Geldbußen umfassen, und den Gerichtshof anrufen.

Der Europäische Datenschutzbeauftragte hat ferner einige besondere Aufgaben. Dazu gehört die Aufgabe, die Kommission und andere EU-Organe im Zusammenhang mit neuen Rechtsakten zu beraten (dies spiegelt sich in Artikel 28 Absatz 2 der Verordnung 45/2001 und in Artikel 42 der Verordnung 2018/1725 wider, in denen die Kommission formell dazu verpflichtet wird, den Europäischen Datenschutzbeauftragten zu konsultieren, wenn sie einen den Schutz personenbezogener Daten betreffenden Legislativvorschlag annimmt), sowie bei der Erstellung von Durchführungsrechtsakten oder delegierten Rechtsakten und sonstigen Maßnahmen in Verbindung mit internationalen Übereinkommen. Diese Aufgabe hat strategische Bedeutung; sie ermöglicht es dem EDSB, in einem frühen Stadium die Auswirkungen auf den Schutz der Privatsphäre zu prüfen und mögliche Alternativen zu erörtern. Darüber hinaus kann die Europäische Kommission gemäß Artikel 42 Absatz 2 der Verordnung 2018/1725 den Europäischen Datenschutzausschuss (EDSA) konsultieren, der zur Beratung der Europäischen Kommission und zur Entwicklung einer abgestimmten Politik im Rahmen der DSGVO zu Vorschlägen eingesetzt wurde, die für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung sind. In diesen Fällen sollte der EDSB seine Arbeit mit dem EDSA im Hinblick auf eine gemeinsame Stellungnahme koordinieren.

Eine weitere wichtige Aufgabe des EDSB besteht darin, beim Gerichtshof anhängigen direkten Verfahren beizutreten und den Ersuchen des Gerichtshofes nachzukommen, Fragen zu beantworten oder gemäß Artikel 24 der Satzung des Gerichtshofes in anderen Fällen Auskünfte zu erteilen. Mündliche Ausführungen des EDSB sind normalerweise auf unserer Website zu finden. Seit Dezember 2015 ist der EDSB mit einer Reihe von Rechtssachen von großem öffentlichen Interesse befasst, darunter:

• Rechtssache C-615/13P Client Earth und Pan Europe gegen EFSA
• Rechtssache C-362/14 Schrems gegen Data Protection Commissioner (siehe Abschnitt 5.2.3)
• Stellungnahme 1/15 PNR-Abkommen zwischen der EU und Kanada (Abschnitt 5.2.4)
• Gemeinsame mündliche Verhandlung in der Rechtssache C-623/17 (Privacy International) mit den verbundenen Rechtssachen C-511/18 und C-512/18 (La Quadrature du Net u. a.) und Rechtssache C-520/18 (Ordre des barreaux francophone et germanophone u. a.)

Die Verpflichtung zur Zusammenarbeit mit den einzelstaatlichen Aufsichtsbehörden sowie mit den Kontrollstellen im Rahmen der dritten Säule ist ebenfalls von strategischer Bedeutung. Durch die Zusammenarbeit mit den Kontrollstellen im Rahmen der ehemaligen dritten Säule kann der EDSB die Entwicklungen in diesem Zusammenhang beobachten und unabhängig von der Säule oder dem spezifischen Kontext zu einem einheitlicheren und stimmigeren Rahmen für den Schutz personenbezogener Daten beitragen. Dem früheren Rechtsrahmen zufolge gab es kein einheitliches, kohärentes Modell für eine koordinierte Aufsicht. Gemäß Artikel 62 der Verordnung 2018/1725 ist jetzt die Umsetzung eines einheitlichen, kohärenten Modells für eine koordinierte Aufsicht über IT-Großsysteme sowie die Organe, Einrichtungen und sonstigen Stellen der Union durch den EDSB und durch nationale Aufsichtsbehörden möglich.

Anhang B - Auszug aus der Verordnung (EU) 2018/1725

Artikel 41 - Unterrichtung und Konsultation . . .

1. Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Union allein oder gemeinsam mit anderen beteiligt ist.
2. Die Organe und Einrichtungen der Union konsultieren den Europäischen Datenschutzbeauftragten bei der Ausarbeitung der internen Vorschriften gemäß Artikel 25.

Artikel 42 - Legislative Konsultation . . .

1. Nach der Annahme von Vorschlägen für einen Gesetzgebungsakt, für Empfehlungen oder Vorschläge an den Rat nach Artikel 218 AEUV sowie bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten, die Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten haben, konsultiert die Kommission den Europäischen Datenschutzbeauftragten.
2. Ist ein Rechtsakt gemäß Absatz 1 für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss konsultieren. In diesen Fällen koordinieren der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss ihre Arbeit im Hinblick auf eine gemeinsame Stellungnahme.
3. Der nach den Absätzen 1 und 2 eingeholte Rat wird innerhalb eines Zeitraums von bis zu acht Wochen nach Eingang des Ersuchens um Konsultation nach den Absätzen 1 und 2 schriftlich erteilt. In dringenden Fällen oder wenn dies sonst geboten ist, kann die Kommission die Frist verkürzen.
4. Dieser Artikel gilt nicht, wenn die Kommission nach der Verordnung (EU) 2016/679 verpflichtet ist, den Europäischen Datenschutzausschuss zu konsultieren.

Artikel 52 - Europäischer Datenschutzbeauftragter . . .

1. Es wird das Amt des Europäischen Datenschutzbeauftragten geschaffen.
2. Im Hinblick auf die Verarbeitung personenbezogener Daten hat der Europäische Datenschutzbeauftragte sicherzustellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Datenschutz, von den Organen und Einrichtungen der Union geachtet werden.
3. Der Europäische Datenschutzbeauftragte ist zuständig für die Überwachung und Durchsetzung der Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Union zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Union sowie für die Beratung der Organe und Einrichtungen der Union und der betroffenen Personen in allen Fragen der Verarbeitung personenbezogener Daten. Zu diesem Zweck erfüllt der Europäische Datenschutzbeauftragte die Aufgaben nach Artikel 57 und übt die Befugnisse nach Artikel 58 aus.
4. Für Dokumente, die sich im Besitz des Europäischen Datenschutzbeauftragten befinden, gilt die Verordnung (EG) Nr. 1049/2001. Der Europäische Datenschutzbeauftragte erlässt detaillierte Vorschriften für die Anwendung der Verordnung (EG) Nr. 1049/2001 in Bezug auf diese Dokumente.

Artikel 57 - Aufgaben . . .

1. Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss der Europäische Datenschutzbeauftragte
   1. die Anwendung dieser Verordnung durch die Organe und Einrichtungen der Union überwachen und durchsetzen, mit Ausnahme der Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit,
   2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder,
   3. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren,
   4. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte nach dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den nationalen Aufsichtsbehörden zusammenarbeiten,
   5. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 67 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder eine Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,
   6. Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,
   7. von sich aus oder auf Anfrage alle Organe und Einrichtungen der Union bei legislativen und administrativen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beraten,
   8. maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie,
   9. Standardvertragsklauseln im Sinne des Artikels 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festlegen,
   10. eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 39 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist,
   11. an den Tätigkeiten des Europäischen Datenschutzausschusses teilnehmen,
   12. nach Artikel 75 der Verordnung (EU) 2016/679 die Geschäftsstelle für den Europäischen Datenschutzausschuss bereitstellen,
   13. Beratung in Bezug auf die in Artikel 40 Absatz 2 genannten Verarbeitungsvorgänge leisten,
   14. Vertragsklauseln und Bestimmungen im Sinne des Artikels 48 Absatz 3 genehmigen,
   15. interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen führen,
   16. jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen; und
   17. sich eine Geschäftsordnung geben.

1. Der Europäische Datenschutzbeauftragte erleichtert das Einreichen von in Absatz 1 Buchstabe e genannten Beschwerden mittels eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

1. Die Erfüllung der Aufgaben des Europäischen Datenschutzbeauftragten ist für die betroffene Person unentgeltlich.

1. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann sich der Europäische Datenschutzbeauftragte weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt der Europäische Datenschutzbeauftragte die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

Artikel 58 - Befugnisse . . .

1. Der Europäische Datenschutzbeauftragte verfügt über folgende Untersuchungsbefugnisse:
   1. den Verantwortlichen und den Auftragsverarbeiter anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung seiner Aufgaben erforderlich sind,
   2. Untersuchungen in Form von Datenschutzprüfungen durchzuführen,
   3. den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
   4. von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung seiner Aufgaben notwendig sind, zu erhalten,
   5. gemäß dem Unionsrecht Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
2. Der Europäische Datenschutzbeauftragte verfügt über folgende Abhilfebefugnisse:
   1. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass die beabsichtigten Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
   2. einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
   3. den betroffenen Verantwortlichen oder Auftragsverarbeiter und erforderlichenfalls das Europäische Parlament, den Rat und die Kommission mit der Angelegenheit zu befassen,
   4. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
   5. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
   6. den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
   7. eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
   8. die Berichtigung oder Löschung von personenbezogener (sic!) Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 18, 19 und 20 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 19 Absatz 2 und Artikel 21 offengelegt wurden, über solche Maßnahmen anzuordnen,
   9. bei Nichtbefolgung einer der unter den Buchstaben d bis h und j dieses Absatzes genannten Maßnahmen durch ein Organ oder eine Einrichtung der Union je nach den Umständen des Einzelfalls eine Geldbuße gemäß Artikel 66 zu verhängen,
   10. die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Mitgliedstaat, einem Drittland oder an eine internationale Organisation anzuordnen.
3. Der Europäische Datenschutzbeauftragte verfügt über folgende Genehmigungsbefugnisse und beratenden Befugnisse:
   1. betroffene Personen bei der Ausübung ihrer Rechte zu beraten,
   2. gemäß dem Verfahren der vorherigen Konsultation nach Artikel 40 und gemäß Artikel 41 Absatz 2 den Verantwortlichen zu beraten,
   3. zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an die Organe und Einrichtungen der Union sowie an die Öffentlichkeit zu richten,
   4. Standarddatenschutzklauseln nach Artikel 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festzulegen,
   5. Vertragsklauseln gemäß Artikel 48 Absatz 3 Buchstabe a zu genehmigen,
   6. Verwaltungsvereinbarungen gemäß Artikel 48 Absatz 3 Buchstabe b zu genehmigen,
   7. Verarbeitungsvorgänge auf der Grundlage von gemäß Artikel 40 Absatz 4 erlassenen Durchführungsrechtsakten zu genehmigen.
4. Der Europäische Datenschutzbeauftragte ist befugt, unter den in den Verträgen vorgesehenen Voraussetzungen den Gerichtshof anzurufen und beim Gerichtshof anhängigen Verfahren beizutreten.
5. Die Ausübung der dem Europäischen Datenschutzbeauftragten mit diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien nach Unionsrecht, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren.

Anhang C - Die Rolle Des EDSB

Aufsicht und Durchsetzung . . .

Der EDSB möchte sicherstellen, dass die EU-Organe ihre Datenschutzverpflichtungen nicht nur kennen, sondern für deren Einhaltung auch zur Rechenschaft gezogen werden können. Hierzu verfügen wir über mehrere Instrumente, die alle die Entwicklung einer Datenschutzkultur bei den EU-Organen fördern sollen:

• Vorabkontrollen/Vorherige Konsultationen: Gemäß Verordnung 45/2001 waren die EU-Organe und -Einrichtungen gehalten, den EDSB über Verfahren zu informieren, die sie durchzuführen gedachten und die ein Risiko für den Schutz personenbezogener Daten darstellen könnten. Wir haben die Vorschläge geprüft und Empfehlungen dazu abgegeben, wie diesen Risiken begegnet werden kann. Nach der neuen Verordnung gibt es Vorabkontrollen in dieser Form nicht mehr. In bestimmten Fällen müssen die EU-Organe und -Einrichtungen allerdings den EDSB nach der Durchführung einer Datenschutz-Folgenabschätzung für ein geplantes Verfahren, das Risiken beinhaltet, konsultieren.
• Beschwerden: Wir nehmen Beschwerden von natürlichen Personen über die Verarbeitung ihrer personenbezogenen Daten durch die EU-Organe entgegen. Wir prüfen diese Beschwerden und entscheiden, wie diese am besten bearbeitet werden können.
• Überwachung der Einhaltung der Vorschriften: Der EDSB muss sicherstellen, dass alle EU-Organe und -Einrichtungen die Datenschutzbestimmungen einhalten. Wir überwachen die Einhaltung auf unterschiedliche Art und Weise, u. a. im Rahmen von Besuchen und Inspektionen.
• Konsultationen zu verwaltungsrechtlichen Maßnahmen: Wir geben Stellungnahmen zu verwaltungsrechtlichen Maßnahmen in Bezug auf die Verarbeitung personenbezogener Daten ab, und zwar entweder als Antwort auf eine spezifische Anfrage eines EU-Organs oder auf eigene Initiative.
• Anleitung: Wir geben Leitlinien für die EU-Organe heraus, die ihnen dabei helfen sollen, die Grundsätze des Datenschutzes besser umzusetzen und die Datenschutzvorschriften einzuhalten.
• Zusammenarbeit mit behördlichen Datenschutzbeauftragten: Jedes Organ und jede Einrichtung der EU muss einen behördlichen Datenschutzbeauftragten (DSB) bestellen, der die Aufgabe hat sicherzustellen, dass das Organ bzw. die Einrichtung die Datenschutzvorschriften einhält. Wir arbeiten eng mit den behördlichen Datenschutzbeauftragten zusammen und stellen ihnen Schulungen und Unterstützung zur Verfügung, damit sie ihre Aufgabe effizient wahrnehmen können.
• Schulungen für die EU-Organe und -Einrichtungen: Wir bieten Schulungen für Führungskräfte und Mitarbeiter der EU-Organe und -Einrichtungen an. Auf diese Weise werden die Einhaltung der Datenschutzvorschriften und die Achtung der Rechte und Freiheiten natürlicher Personen gewährleistet und die Entwicklung einer Datenschutzkultur bei jedem Organ bzw. jeder Einrichtung gefördert. Bei diesen Schulungen geht es im Wesentlichen darum, die Organe dabei zu unterstützen, über die Einhaltung der Vorgaben hinauszugehen und ihre Rechenschaftspflicht nachzuweisen.

Politik und Beratung . . .

Der EDSB fungiert als Berater in Datenschutzfragen für den EU-Gesetzgeber. Wir wollen sicherstellen, dass Datenschutzerfordernissen in allen neuen Rechtsvorschriften, politischen Initiativen und internationalen Übereinkommen Rechnung getragen wird. Dies erfolgt durch Beratung der Europäischen Kommission als dem Organ mit dem Recht zur gesetzgeberischen Initiative und des Europäischen Parlaments sowie des Rates als Mitgesetzgeber zu den Gesetzesvorlagen. Hierzu verwenden wir mehrere Instrumente:

• Informelle Kommentare: Nach der gängigen Praxis wird die Kommission dazu angehalten, den EDSB vor der Annahme eines Vorschlags, der sich auf den Datenschutz auswirkt, informell zu konsultieren (Erwägungsgrund 60 der Verordnung 2018/1725). Dadurch können wir ihr bereits zu einem früheren Zeitpunkt des Gesetzgebungsverfahrens Informationen zur Verfügung stellen, meist in Form von informellen Kommentaren, die nicht veröffentlicht werden.
• Stellungnahmen: Unsere formalen Stellungnahmen sind auf unserer Website abrufbar, und im Amtsblatt der Europäischen Union werden Zusammenfassungen in allen Amtssprachen veröffentlicht. Damit weisen wir auf die wichtigsten Belange des Datenschutzes, auf unsere Empfehlungen zu Legislativvorschlägen und andere Maßnahmen hin. Sie werden von uns aus oder auf Anfrage an alle drei am Gesetzgebungsverfahren beteiligte EU-Organe abgegeben.
• Förmliche Kommentare: Ebenso wie in unseren Stellungnahmen gehen wir auch in unseren förmlichen Kommentaren auf die Auswirkungen von Legislativvorschlägen auf den Datenschutz ein. Die förmlichen Kommentare sind jedoch in der Regel kürzer und fachspezifischer oder beziehen sich nur auf bestimmte Aspekte eines Vorschlags. Wir veröffentlichen sie auf unserer Website.
• Rechtssachen: Wir können Verfahren beitreten, die an den EU-Gerichtshöfen anhängig sind, und unsere Erfahrung in Datenschutzfragen anbieten, und zwar entweder in Form eines Streitbeitritts zur Unterstützung einer der Parteien in einer Rechtssache oder auf Ersuchen der Gerichte (siehe Anhang A).
• Internationale Zusammenarbeit einschließlich mit nationalen Datenschutzbehörden: Mit nationalen Datenschutzbehörden arbeiten wir über den EDSA zusammen. Außerdem arbeiten wir mit nationalen Datenschutzbehörden zusammen, um ein einheitliches und abgestimmtes Konzept für die Überwachung einer Reihe von EU-Datenbanken zu gewährleisten. Wir arbeiten mit internationalen Organisationen zur Förderung einer Datenschutzkultur zusammen und verfolgen die einschlägigen Entwicklungen bei der OECD, dem Europarat und anderen Foren sehr genau. Der EDSB ist auch ein aktives Mitglied der ICDPCC.

Überwachung der technologischen Entwicklungen . . .

Der EDSB überwacht technologische Entwicklungen und ihre Auswirkungen auf den Datenschutz und den Schutz der Privatsphäre. Dank unserer Kenntnisse und Fachkompetenz in diesem Bereich können wir unsere Aufsichts- und Konsultationstätigkeit wirksam ausüben. Aufgrund der mit der DSGVO eingeführten Veränderungen, der Datenschutzrichtlinie für Polizei und Justiz, und der Verordnung 2018/1725 werden diese Fähigkeiten und Kompetenzen für die EU-Organe und -Einrichtungen nur noch an Bedeutung gewinnen. Zu unseren Tätigkeiten gehören unter anderem Folgende:

• Überwachung und Reaktion auf technologische Entwicklungen: Wir überwachen technologische Entwicklungen, Ereignisse und Zwischenfälle und bewerten ihre Auswirkungen auf den Datenschutz. Dadurch können wir in fachlichen Fragen beratend tätig werden, insbesondere in Bezug auf die Aufsichts- und Konsultationstätigkeit des EDSB.
• Förderung des Privacy Engineering: 2014 haben wir in Zusammenarbeit mit nationalen Datenschutzbehörden, Entwicklern und Forschern aus Industrie und Wissenschaft sowie Vertretern der Zivilgesellschaft das Schutz der Privatsphäre im Internet Engineering Netzwerk (Internet Privacy Engineering Network, IPEN) gegründet. Unser Ziel ist es, Entwicklungsverfahren zu konzipieren, die dem Datenschutz Rechnung tragen, und Ingenieure dazu zu veranlassen, Datenschutzmechanismen in Internetdienste, -standards, und Apps einzubauen.
• Etablierung des neuesten Stands der Technik in den Datenschutz durch Technikgestaltung: Da die DSGVO und die Verordnung 2018/1725 mittlerweile uneingeschränkt gelten, sind alle Verantwortlichen jetzt gesetzlich dazu verpflichtet, dem neuesten Stand der Technik bei datenschutzfreundlichen Technologien bei der Entwicklung, Wartung und dem Betrieb von IT-Systemen für die Verarbeitung personenbezogener Daten Rechnung zu tragen. Damit diese Vorgabe in der gesamten EU einheitlich umgesetzt werden kann, müssen die Datenschutzbehörden zusammenarbeiten, um ein gemeinsames Verständnis über den neuesten Stand der Technik und deren Entwicklung zu erzielen.

Anhang D - Verzeichnis der Stellungnahmen und förmlichen Kommentare zu Legislativvorschlägen

Nachstehend sind alle Stellungnahmen, förmlichen Kommentare und andere Dokumente, die vom EDSB zwischen dem 1. Januar 2015 und dem 30. September 2019 ab-bzw. herausgegeben wurden, aufgelistet. Für Übersetzungen und Zusammenfassungen wird auf die Website des EDSB verwiesen.

2019 . . .

Stellungnahmen

• Zustellung von Schriftstücken und die Beweisaufnahme in Zivil- und Handelssachen 2018 (13. September 2019)
• Gemeinsame Stellungnahme des EDSA und des EDSB zur Verarbeitung von Patientendaten und zur Rolle der Europäischen Kommission in der digitalen eHealth-Diensteinfrastruktur (eHDSI) (9. Juli 2019)
• Abkommen zwischen der EU und den USA über den grenzüberschreitenden Zugang zu elektronischen Beweismitteln (2. April 2019)
• Budapester Übereinkommen über Computerkriminalität (2. April 2019)
• Bekämpfung des Mehrwertsteuerbetrugs (14. März 2019)

Förmliche Kommentare

• Vorschläge für Verordnungen zur Festlegung der Bedingungen für den Zugang zu anderen EU-Informationssystemen für ETIAS-Zwecke (15. März 2019)
• Vorschlag der Kommission zur Verhinderung der Verbreitung terroristischer Online-Inhalte (13. Februar 2019)
• Kreditdienstleister, Kreditkäufer und die Verwertung von Sicherheiten (25. Januar 2019)
• Vorschlag für eine Neufassung der Rückführungsrichtlinie (10. Januar 2019)

2018 . . .

Stellungnahmen

• Paket der Kommission zu freien und fairen Wahlen zum Europäischen Parlament (18. Dezember 2018)
• Aktualisierung des Visa-Informationssystems (13. Dezember 2018)
• Neugestaltung der Rahmenbedingungen für die Verbraucher (5. Oktober 2018)
• Sicherheit der Personalausweise von Unionsbürgern und ihren Familienangehörigen und anderer Dokumente (10. August 2018)
• Einsatz digitaler Werkzeuge und Verfahren im Gesellschaftsrecht (26. Juli 2018)
• Richtlinie über die Weiterverwendung von Informationen des öffentlichen Sektors (PSI) (10. Juli 18)
• Schutz der Privatsphäre durch Technikgestaltung (31. Mai 2018)
• Interoperabilität von IT-Großsystemen der EU (16. April 2018)
• Online-Manipulation und personenbezogene Daten (19. März 2018)
• Datenaustausch zwischen Europol und Drittländern (14. März 18)
• Vorschlag für eine Verordnung des Rates über die Zuständigkeit für Entscheidungen in Ehesachen und in Verfahren betreffend die elterliche Verantwortung und über internationale Kindesentführungen (Neufassung der Brüssel-IIa- Verordnung) (15. Februar 2018)

Förmliche Kommentare

• Europäische Agentur für die Grenz- und Küstenwache (3. Dezember 2018)
• Emission gedeckter Schuldverschreibungen und die öffentliche Aufsicht über gedeckte Schuldverschreibungen (12. Oktober 2018)
• Erleichterung der Nutzung von Finanz- und sonstigen Informationen für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung bestimmter Straftaten (10. September 2018)
• Kraftfahrzeug-Haftpflichtversicherung und die Kontrolle der entsprechenden Versicherungspflicht (26. Juli 2018)
• Überarbeitung der OLAF-Verordnung (24. Juli 2018)
• Wanderung und internationaler Schutz (18. Juli 2018)
• Fischereiaufsicht (18. Juli 2018)
• Urheberrecht im Digitalen Binnenmarkt (3. Juli 2018)
• Freier Verkehr nicht personenbezogener Daten in der Europäischen Union (8. Juni 2018)
• Europäische Arbeitsbehörde (ELA) (30. Mai 2018)
• Überprüfung ausländischer Direktinvestitionen in der Europäischen Union (12. April 2018)
• Mehrwertsteuerbetrug und Zusammenarbeit der Verwaltungsbehörden (8. März 2018)
• Visa-Informationssystem (VIS) zur Aufnahme von Daten aus Visa für den längerfristigen Aufenthalt und Aufenthaltstiteln (9. Februar 2018)

2017 . . .

Stellungnahmen

• Stellungnahme zu ECRIS-TCN (12. Dezember 2017)
• Vorschlag für eine Verordnung über integrierte Statistiken zu landwirtschaftlichen Betrieben (20. November 2017)
• Vorschlag für eine Verordnung über die eu-LISA (9. Oktober 2017)
• Empfehlungen des EDSB zum derzeitigen Stand des Gesetzgebungsverfahrens zur E-Privacy-Verordnung (5. Oktober 2017)
• Vorschlag der Kommission für eine Verordnung des Europäischen Parlaments und des Rates über die Einrichtung eines zentralen digitalen Zugangstors (1. August 2017)
• Legislativpaket zur Aufhebung der derzeitigen Rechtsgrundlage des Schengener Informationssystems (SIS) (3. März 2017)
• Vorschlag für eine Verordnung über Privatsphäre und elektronische Kommunikation (24. April 2017)
• Verordnung 45/2001 (15. März 2017)
• Digitale Inhalte (15. März 2017)
• ETIAS (6. März 2017)
• Vorschlag für einen gemeinsamen Rahmen für europäische Statistiken über Personen und Haushalte (1. März 2017).
• Vorschlag zur Änderung der Richtlinie (EU) 2015/849 und der. Richtlinie 2009/101/EG Zugang zu Informationen über den wirtschaftlichen Eigentümer und Implikationen für den Datenschutz (Bekämpfung von Geldwäsche) (2. Februar 2017)

Förmliche Kommentare

• Vorschlag für eine Verordnung über die Europäische Bürgerinitiative (19. Dezember 2017)
• Cybersicherheitspaket (15. Dezember 2017)
• Öffentliche Konsultation zur Herabsetzung des Alters für die Abnahme von Fingerabdrücken bei Kindern im Visumverfahren (19. November 2017)
• Delegierte Verordnung der Kommission zur Ergänzung der Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates hinsichtlich der „Bereitstellung EU-weiter multimodaler Reiseinformationsdienste“ (22. August 2017)
• Der in diesen Kommentaren erörterte Vorschlag zur Änderung der Verordnung (EG) Nr. 883/2004 des Europäischen Parlaments und des Rates vom 29. April 2004 zur Koordinierung der Systeme der sozialen Sicherheit („Grundverordnung“) und ihrer Durchführungsverordnung, Verordnung (EG) Nr. 987/2009 („Durchführungsverordnung“) (8. Mai 2017)
• Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Überwachung von Barmitteln, die in die Gemeinschaft oder aus der Gemeinschaft verbracht werden, und zur Aufhebung der Verordnung (EG) Nr. 1889/2005 (21. Februar 2017)

Sonstige Dokumente

• Reflexionspapier zur Interoperabilität von Informationssystemen im Raum der Freiheit, der Sicherheit und des Rechts (17. November 2017)
• Beurteilung der Erforderlichkeit von Maßnahmen, die das Grundrecht auf Schutz personenbezogener Daten einschränken: Ein Toolkit (11. April 2017)

2016 . . .

Stellungnahmen

• Systeme für das Personal Information Management (20. Oktober 2016)
• Kohärente Durchsetzung von Grundrechten im Zeitalter von Big Data (23. September 2016)
• Erstes Reformpaket zur Überarbeitung des Gemeinsamen Europäischen Asylsystems (Eurodac-Verordnung, Verordnung zur Einrichtung eines Europäischen Unterstützungsbüros für Asylfragen und Dublin-Verordnung) (21. September 2016)
• Das zweite Paket „Intelligente Grenzen“ der EU (21. September 2016)
• Datenschutzrichtlinie für elektronische Kommunikation (22. Juli 2016)
• EU-US-Datenschutzschild Entwurf einer Angemessenheitsentscheidung (30. Mai 2016)
• Austausch von Informationen über Drittstaatsangehörige mit Hilfe des Europäischen Strafregisterinformationssystems (ECRIS) (13. April 2016)
• Verordnung über die Europäische Grenz- und Küstenwache (18. März 2016)
• Rahmen-Abkommen zwischen EU und USA (12. Februar 2016)

Förmliche Kommentare

• Durchführungsverordnung der Kommission zur Festlegung detaillierter Vorschriften über die Anwendung der Regelung der angemessenen Nutzung und über die Methode zur Prüfung der Tragfähigkeit der Abschaffung der Endkunden-Roamingaufschläge sowie über den von Roaming-Anbietern für diese Prüfung zu stellenden Antrag (14. Dezember 2016)
• Vorschlag zur Änderung der Richtlinie 98/41 über die Registrierung der Fahrgäste an Bord von Fahrgastschiffen (9. Dezember 2016)

2015 . . .

Stellungnahmen

• Verbreitung und Verwendung von in die Privatsphäre eingreifenden Überwachungstechnologien (15. Dezember 2015)
• Bewältigung der Herausforderungen in Verbindung mit Big Data (19. November 2015)
• Empfehlungen zur Datenschutzrichtlinie für Polizei und Justiz (28. Oktober 2015)
• Aktualisierte Vergleichstabelle (7. Dezember 2015)
• Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (24. September 2015)
• Hin zu einer neuen digitalen Ethik: Daten, Würde und Technologie (11. September 2015)
• Empfehlungen zu den Optionen der EU für die Datenschutzreform (27. Juli 2015)
• Abkommen zwischen der EU und der Schweiz über den automatischen Austausch von steuerlichen Informationen (8. Juli 2015)
• Mobile-Health-Dienste: Wie lassen sich technologische Innovation und Datenschutz miteinander vereinbaren? (21. Mai 2015)

Förmliche Kommentare

• Öffentliche Konsultation der Europäischen Kommission zu Online-Plattformen (16. Dezember 2015)
• Öffentliche Konsultation der Europäischen Kommission zum Thema „Intelligente Grenzen“ (3. November 2015)
• Strategie 2020 des Netzwerks der Arzneimittelagenturen der EU – Zusammenarbeiten für bessere Gesundheit (25. März 2015)
• Austausch von Informationen im Bereich der Besteuerung (17. Juni 2015)
• Bereitstellung EU-weiter Echtzeit-Verkehrsinformationsdienste (21. Januar 2015 und 17. Juni 2015)

Die EU kontaktieren

Besuch
In der Europäischen Union gibt es Hunderte von „Europe-Direct“-Informationsbüros. Über diesen Link finden Sie ein Informationsbüro in Ihrer Nähe: https://europa.eu/european-union/contact_de

Telefon oder E-Mail
Der Europe-Direct-Dienst beantwortet Ihre Fragen zur Europäischen Union. Kontaktieren Sie Europe Direct

• über die gebührenfreie Rufnummer: 00 800 6 7 8 9 10 11 (manche Telefondienstanbieter berechnen allerdings Gebühren),
• über die Standardrufnummer: +32 22999696 oder
• per E-Mail über: https://europa.eu/european-union/contact_de

Informationen über die EU

Im Internet
Auf dem Europa-Portal finden Sie Informationen über die Europäische Union in allen Amtssprachen: https://europa.eu/european-union/index_de

EU-Veröffentlichungen
Sie können – zum Teil kostenlos – EU-Veröffentlichungen herunterladen oder bestellen unter https://op.europa.eu/de/publications. Wünschen Sie mehrere Exemplare einer kostenlosen Veröffentlichung, wenden Sie sich an Europe Direct oder das Informationsbüro in Ihrer Nähe (siehe https://europa.eu/european-union/contact_de).

Informationen zum EU-Recht
Informationen zum EU-Recht, darunter alle EU-Rechtsvorschriften seit 1952 in sämtlichen Amtssprachen, finden Sie in EUR-Lex: http://eur-lex.europa.eu

Offene Daten der EU
Über ihr Offenes Datenportal (http://data.europa.eu/euodp/de) stellt die EU Datensätze zur Verfügung. Die Daten können zu gewerblichen und nichtgewerblichen Zwecken kostenfrei heruntergeladen werden.

Kontakt

Es liegt außerdem eine Zusammenfassung dieses Berichts mit einem Überblick über die wichtigsten Entwicklungen der Tätigkeiten des EDSB während der Amtszeit 2015-2019 vor.

Weitere Details zum EDSB finden Sie auf unserer Website unter http://www.edps.europa.eu.

Auf der Website erfahren Sie auch, wie Sie den EDSB-Newsletter abonnieren können.

 

www.edps.europa.eu
EU_EDPS
EDPS
European Data Protection Supervisor

Print:	ISBN 978-92-9242-447-3	doi:10.2804/58782	QT-04-19-470-DE-C
PDF:	ISBN 978-92-9242-448-0	doi:10.2804/95779	QT-04-19-470-DE-N
HTML:	ISBN 978-92-9242-444-2	doi:10.2804/508310	QT-04-19-470-DE-Q