Brüssel, 19. Januar – Auf seiner letzten Plenartagung nahm der EDSA einen Bericht an, um die Bewertung der Richtlinie über die Strafverfolgung durch die Europäische Kommission zu unterstützen.
Die Kommission muss dem Europäischen Parlament und dem Rat bis zum 6. Mai 2026 ihren öffentlichen Bericht* über die Bewertung und Überprüfung dieser Richtlinie vorlegen. Im Vorfeld holte die Kommission die Standpunkte der Europäischen Datenschutzbehörden (DPA) zur Anwendung und Funktionsweise der Richtlinie zum Datenschutz bei der Strafverfolgung im Zeitraum von Januar 2022 bis zum 31. August 2025 ein.**
„Wir begrüßen die regelmäßigen Bewertungen der Anwendung der Richtlinie zum Datenschutz bei der Strafverfolgung durch die Europäische Kommission und sind entschlossen, unser Fachwissen für diese Bewertungen zur Verfügung zu stellen, um sicherzustellen, dass die Richtlinie zum Datenschutz bei der Strafverfolgung weiterhin hohe Datenschutzstandards einhält.“
EDSA-Vorsitzender, Anu Talus
Der EDSA erleichtert die Zusammenarbeit und Koordinierung zwischen den Datenschutzbehörden bei der Überwachung der Strafverfolgungsverarbeitung. Das Sekretariat des EDSA stellt auch das Sekretariat des Koordinierten Überwachungsausschusses (CSC), der für eine koordinierte Überwachung von IT-Großsystemen und EU-Einrichtungen und -Agenturen in den Bereichen Strafverfolgung und Strafjustiz sorgt.
In seinem Bericht hebt der EDSA die Schlüsselrolle der Richtlinie zum Datenschutz bei der Strafverfolgung beim Schutz personenbezogener Daten hervor. Die Datenschutzbehörden haben die zuständigen nationalen Behörden zunehmend bei der Eindämmung von Datenschutzverletzungen beraten, während viele Datenschutzbehörden auch Sensibilisierungsmaßnahmen durchgeführt und Leitlinien herausgegeben haben.
Der EDSA nimmt den Antrag der Datenschutzbehörden zur Kenntnis, mehr Klarheit über den Anwendungsbereich der Richtlinie zum Datenschutz bei der Strafverfolgung, insbesondere ihre Grenze zur DSGVO, zu erlangen und die Herausforderungen, die sich aus dem zunehmenden Einsatz neuer Technologien wie KI im Strafverfolgungskontext ergeben, gründlicher anzugehen. Der EDSA betont, dass die Strafverfolgungsbehörden diese Instrumente unter strikter Einhaltung der Richtlinie zum Datenschutz bei der Strafverfolgung nutzen müssen, um sicherzustellen, dass ihre Verwendung notwendig und verhältnismäßig ist und angemessenen Garantien unterliegt.
Nach Ansicht des EDSA ist es im Zusammenhang mit der Rechtsprechung, die sich seit der letzten Bewertung der Richtlinie entwickelt hat, von entscheidender Bedeutung, die nationale Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung in der gesamten Europäischen Union weiter zu stärken. Darüber hinaus sollte die Rolle der Datenschutzbeauftragten gestärkt werden, um die wirksame und kohärente Anwendung der Datenschutzvorschriften bei Strafverfolgungsmaßnahmen sicherzustellen.
In dem Bericht wird auch auf die Notwendigkeit einer verbesserten Zusammenarbeit sowohl zwischen den für die Richtlinie zum Datenschutz bei der Strafverfolgung zuständigen Behörden als auch zwischen den Strafverfolgungsbehörden im weiteren Sinne hingewiesen.
Schließlich betont der EDSA, dass sowohl die Datenschutzbehörden als auch der EDSA zusätzliche finanzielle und personelle Ressourcen benötigen, um neue Aufgaben wahrnehmen zu können, die sich aus den jüngsten Rechtsakten ergeben, einschließlich der Zuständigkeiten im Zusammenhang mit dem CSC, dessen Tätigkeiten nun auch die Überwachung von Systemen wie dem Visa-Informationssystem (VIS), Prüm II und dem Einreise-/Ausreisesystem (EES) umfassen.
Anschließend nahm der EDSA Empfehlungen zum Antrag auf Genehmigung und zu den Elementen und Grundsätzen an, die in den verbindlichen unternehmensinternen Vorschriften für Auftragsverarbeiter (BCR-P) enthalten sind.
Diese Empfehlungen stellen eine Aktualisierung des bestehenden BCR-P-Referenzdokuments dar, das die Kriterien für die BCR-P-Genehmigung enthält, und führen es mit dem Standardantragsformular für BCR-P zusammen.
BCR-Ps sind ein Übertragungsinstrument, das von einer Gruppe von Unternehmen oder Unternehmen verwendet werden kann, um personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums an Auftragsverarbeiter innerhalb derselben Gruppe zu übermitteln. Mit den BCR werden durchsetzbare Rechte geschaffen und Verpflichtungen zur Festlegung eines Datenschutzniveaus festgelegt, das dem der DSGVO im Wesentlichen gleichwertig ist.
Die neuen Empfehlungen bauen auf den Vereinbarungen und den Erfahrungen auf, die die Datenschutzbehörden im Zuge der Genehmigungsverfahren für konkrete BCR-P-Anwendungen seit Inkrafttreten der DSGVO erzielt haben, sowie auf den Arbeiten, die im Zusammenhang mit den aktualisierten Empfehlungen zu verbindlichen unternehmensinternen Vorschriften für Verantwortliche (BCR-C) durchgeführt wurden.
Die Empfehlungen enthalten klare Kriterien und Erläuterungen, um sicherzustellen, dass die von Unternehmensgruppen oder Unternehmen entwickelten BCR-P der DSGVO entsprechen. In den Empfehlungen wird klargestellt, wann BCR-P verwendet werden kann, d. h. nur für gruppeninterne Übertragungen zwischen Auftragsverarbeitern, wenn der für die Verarbeitung Verantwortliche nicht Teil der Gruppe ist.
Darüber hinaus wird in den Empfehlungen klargestellt, dass die BCR-P so konzipiert ist, dass sie die Anforderungen von Artikel 28 Absatz 4 DSGVO erfüllt. Dies bedeutet, dass jeder Auftragsverarbeiter innerhalb der Gruppe, der BCR-P verwendet, keine separate Unterverarbeitungsvereinbarung mit jedem Unterauftragsverarbeiter der Gruppe unterzeichnen muss.
Die Empfehlungen können bis zum 2. März 2026 öffentlich konsultiert werden.
Die Mitglieder des EDSA führten ferner eine Aussprache über die bevorstehende gemeinsame Stellungnahme zum digitalen Omnibus, die auf der Februar-Plenartagung verabschiedet werden soll.
Hinweis für Redakteure
*Die Rechtsgrundlage für die Maßnahmen der Kommission ist Artikel 62 der Richtlinie (EU) 2016/680 (Durchsetzungsrichtlinie), wonach die Kommission die Anwendung der Richtlinie bewerten und darüber Bericht erstatten muss.
**Siehe auch den Bericht der Europäischen Kommission über die Anwendung der Strafverfolgungsrichtlinie (COM(2022) 364 final), zu dem der EDSA beigetragen hat.
Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt. Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.