Auch die Artikel-29-Gruppe befasste sich im Berichtszeitraum wiederholt mit dem Thema „One-Stop-Shop“.
Auf meine Initiative verfasste sie auf der Basis der Entschließung der Datenschutzkonferenz einen gemeinsa men Standpunkt, der vom Vorsitz der Artikel-29-Gruppe im April 2014 an die griechische Ratspräsidentschaft
übersandt wurde. Darin spricht sie sich ebenfalls für eine stärkere Rolle des Europäischen Datenschutzausschusses aus, der „verbindliche Leitlinien oder sonstige Maßnahmen“ annehmen können soll. Wie bereits die deut schen Aufsichtsbehörden lehnte auch die Artikel-29-Gruppe EU-weite Compliance-Verfahren ab.
Das Thema „One-Stop-Shop“ hat auf EU-Ebene innerhalb der vergangenen zwei Jahre eine insgesamt positive
Entwicklung genommen. Wesentlich bleibt aus meiner Sicht, dass die nationalen Datenschutzbehörden aus dem
Gesetzgebungsprozess gestärkt hervorgehen und über neue Kooperations- und Entscheidungsverfahren verfügen, die ein einheitliches und effektives Handeln in grenzüberschreitenden und EU-weiten Fällen ermöglichen.
Dabei müssen das Kooperationsverfahren und die Zusammenarbeit innerhalb des Europäischen Datenschutzausschusses praktikabel bleiben. Es dürfen keine unverhältnismäßigen bürokratischen Belastungen für Betroffene
und Unternehmen, aber auch nicht für die Datenschutzbehörden selbst entstehen.
Für Deutschland ist die Umsetzung der mit dem Prinzip des „One-Stop-Shops“ verbundenen Kooperationsmechanismen aufgrund der föderalen Kompetenzverteilung eine besondere Herausforderung. Die bestehenden
Strukturen mit insgesamt 18 deutschen Datenschutzbehörden mit je eigenen Zuständigkeitsbereichen müssen
spätestens mit Verabschiedung der DSGVO im Sinne einer effizienten, gleichwohl bürgernahen Datenschutzaufsicht überprüft werden. Dabei werden auf mich und meine Dienststelle im Zusammenhang mit der im Ver gleich zur Artikel-29-Gruppe wesentlich bedeutenderen Rolle des Europäischen Datenschutzausschusses umfangreiche neue Aufgaben zukommen.
1.2.6 Drittstaatenübermittlungen, Safe-Harbor, Auswirkungen der Snowden-Affäre
Grenzüberschreitende Daten- und Informationsflüsse sind alltäglich geworden in der globalisierten und vernetzten Welt. Die hierzu in der Datenschutz-Grundverordnung vorgesehenen Regelungen bauen auf dem System und den Grundsätzen der Europäischen Datenschutzrichtlinie von 1995 auf.
Die DSGVO erlaubt Datenübermittlungen aus der EU in Drittstaaten, wenn sie entweder auf Beschlüssen der
Europäischen Kommission zur Angemessenheit des Datenschutzniveaus im Empfängerstaat, auf rechtsverbindlichen Garantien zum Schutz personenbezogener Daten wie verbindlichen unternehmensinternen Vorschriften
(BCR) oder Standardvertragsklauseln basiert. Sofern derartige Garantien fehlen, sollen Übermittlungen nur im
Ausnahmefall für bestimmte, in der Verordnung festgelegte Situationen erlaubt sein. So können Übermittlungen
in Drittstaaten dann zulässig sein, wenn der Betroffenen hierin ausdrücklich eingewilligt hat, vertragliche Ver einbarungen mit dem Betroffenen oder seine lebenswichtigen Interessen diese erfordern. Die DSGVO enthält
aber auch eher vage Ausnahmetatbestände wie „wichtige Gründe des öffentlichen Interesses“ oder die berech tigten Interessen des Verantwortlichen (vgl. unten).
Diese Regelungen für Datenübermittlungen aus der EU in Drittstaaten sind von der Europäischen Kommission
im Entwurf der DSGVO beibehalten und sowohl vom Europäischen Parlament in seinem Beschluss vom
März 2014 als auch vom Rat im Juni 2014 gebilligt worden. Damit kam es im Rat nach mehr als zweijähriger
Verhandlungsdauer - zusammen mit der grundsätzlichen Befürwortung des sog. Marktortprinzips (vgl.
Nr. 1.2.7) - erstmals zu einer politischen Einigung über einen Teil des Verordnungsentwurfs.
Änderungsbedarf sehen das Europäische Parlament und der Rat unter anderem noch bei der Rolle des Europäi schen Datenschutzausschusses, der eine Stellungnahme zum Datenschutzniveau eines Drittstaats abgeben soll,
bevor die Kommission einen Beschluss über die Angemessenheit des Datenschutzniveaus trifft. Ferner soll nach
Auffassung des Parlaments die Gültigkeitsdauer von Angemessenheitsbeschlüssen, die bereits auf Basis der Europäischen Datenschutzrichtlinie von 1995 erlassen wurden, beschränkt sein auf einen Zeitraum von fünf Jahren
nach Inkrafttreten der DSGVO. Darunter würde auch die „Safe-Harbor“-Entscheidung 2000/520/EG (vgl. auch
BfDI 25. Tätigkeitsbericht 2013-2014
– 31 –