Brüssel, 5. Dezember – Am 4. und 5. Dezember sind Vertreter der europäischen Datenschutzbehörden zur fünften Plenartagung des Europäischen Datenschutzausschusses zusammengekommen. Erörtert wurde ein breites Themenspektrum.
Entwurf des Angemessenheitsbeschlusses EU-Japan
Die Ausschussmitglieder nahmen eine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses EU-Japan an, der dem Ausschuss im September 2018 von der Europäischen Kommission vorgelegt worden war. Der Europäische Datenschutzausschuss nahm seine Bewertung auf der Grundlage der von der Europäischen Kommission zur Verfügung gestellten Dokumentation vor. Zentrales Ziel des Ausschusses war es zu prüfen, ob die Kommission dafür gesorgt hat, dass im japanischen Rahmen ausreichende Garantien für ein angemessenes Datenschutzniveau für Einzelpersonen vorhanden sind. Es ist darauf hinzuweisen, dass der Ausschuss nicht erwartet, dass der japanische Rechtsrahmen das europäische Datenschutzrecht nachbildet. Der Ausschuss begrüßt die Bemühungen der Europäischen Kommission und der japanischen PPC um eine stärkere Annäherung zwischen dem japanischen und dem europäischen Rechtsrahmen. Die mit den Ergänzenden Vorschriften bewirkten Verbesserungen zur Überbrückung einiger der Unterschiede zwischen den beiden Rahmen sind sehr wichtig und werden positiv aufgenommen. Nach sorgfältiger Analyse des Entwurfs des Angemessenheitsbeschlusses der Kommission sowie des japanischen Datenschutzrahmens stellt der Ausschuss jedoch fest, dass eine Reihe von Bedenken fortbesteht, zum Beispiel hinsichtlich des Schutzes von aus der EU nach Japan übermittelten personenbezogenen Daten während ihres gesamten Lebenszyklus. Der Ausschuss empfiehlt der Europäischen Kommission, auch den Bitten des Ausschusses um Präzisierung nachzukommen, weitere Belege und Erläuterungen zu den angesprochenen Fragen vorzulegen und die Anwendung in der Praxis genau zu überwachen.
Der Ausschuss ist der Auffassung, dass dem Angemessenheitsbeschluss EU-Japan größte Bedeutung zukommt. Als erster Angemessenheitsbeschluss seit Geltung der Datenschutz-Grundverordnung (DSGVO) stellt er einen Präzedenzfall dar.
Listen für die Datenschutz-Folgenabschätzung
Der Europäische Datenschutzausschuss verabschiedete Stellungnahmen zu den Listen für die Datenschutz-Folgenabschätzung, die ihm von Dänemark, Kroatien, Luxemburg und Slowenien vorgelegt wurden. Diese Listen stellen ein wichtiges Instrument für die EWR-weit einheitliche Anwendung der DSGVO dar. Datenschutz-Folgenabschätzungen sollen dazu beitragen, Datenschutzrisiken, die die persönlichen Rechte und Freiheiten beeinträchtigen könnten, zu erkennen und zu mindern. Da der Verantwortliche im Allgemeinen vor Beginn der Verarbeitung zu prüfen hat, ob eine Datenschutz-Folgenabschätzung erforderlich ist, müssen die nationalen Aufsichtsbehörden eine Liste der Art der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, erstellen und veröffentlichen. Diese vier Stellungnahmen, folgen den 22 Stellungnahmen, die auf der Plenartagung im September verabschiedet wurden, und werden weiter dazu beitragen, gemeinsame Kriterien für Listen für die Datenschutz-Folgenabschätzung im gesamten EWR festzulegen. Die Ausschussvorsitzende, Andrea Jelinek, erklärte hierzu: „Dieser Prozess stellt für den Ausschuss eine hervorragende Gelegenheit dar, die Möglichkeiten und Herausforderungen der Kohärenz in der Praxis zu testen. Die DSGVO verlangt weder eine vollständige Harmonisierung noch eine „EU-Liste“, dafür aber größere Kohärenz, die wir in all diesen Stellungnahmen durch unsere Einigung auf einen gemeinsamen Standpunkt erreicht haben.“
Leitlinien für die Akkreditierung
Der Europäische Datenschutzausschuss hat eine überarbeitete Fassung der Leitlinien der Artikel-29-Datenschutzgruppe für die Akkreditierung angenommen, die auch einen neuen Anhang enthält. Der Entwurf der Leitlinien war ursprünglich von der Artikel-29-Datenschutzgruppe verabschiedet und zur öffentlichen Konsultation vorgelegt worden. Der Ausschuss hat seine Analyse abgeschlossen und hat eine Einigung betreffend die endgültigen Fassung erreicht. Ziel der Leitlinien ist es, Orientierungshilfe bei der Auslegung und Anwendung des Artikels 43 DSGVO zu bieten. Insbesondere sollen sie den Mitgliedstaaten, Aufsichtsbehörden und nationalen Akkreditierungsstellen dabei helfen, kohärente und harmonisierte Grundanforderungen an die Akkreditierung von Zertifizierungsstellen festzulegen, die Zertifizierungen nach der DSGVO erteilen. Die Leitlinien sind nun durch einen Anhang ergänzt worden, der Orientierungshilfe für die zusätzlichen Anforderungen an die Akkreditierung von Zertifizierungsstellen enthält, die von den Aufsichtsbehörden festzulegen sind. Zu diesem Anhang wird eine öffentliche Konsultation durchgeführt.