sche Daten, die eine dauerhafte Identifizierung von
Personen ermöglichen, zu den besonders schützenswerten Daten zählen und daher nur unter strengen
Voraussetzungen verarbeitet werden dürfen. Das
Tracking von Personen mittels dauerhafter biometrischer Identifizierung, beispielsweise um das Bewegungs- und Kaufverhalten einer Person in einem
Kaufhaus nachzuverfolgen, ist nach den Leitlinien
grundsätzlich nur mit ausdrücklicher Einwilligung
der Betroffenen zulässig.
→
Leitlinien 4/2019 zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („Data Protection by Design and by
Default“)
Die Leitlinien enthalten Hinweise dazu, wie Verantwortliche die Vorgaben des Art. 25 DSGVO durch
geeignete technische und organisatorische Maßnahmen und notwendige Sicherheitsvorkehrungen
umsetzen können, um die Rechte und Freiheiten
betroffener Personen wirksam zu schützen.
→
Schließlich hat der EDSA die bereits im Jahre 2018
angenommenen Leitlinien 1/2018 zu Zertifizierungen, 3/2018 zum räumlichen Anwendungsbereich der
DSGVO und 4/2018 zur Akkreditierung von Zertifizierungsstellen nach öffentlicher Konsultation überarbeitet und final verabschiedet (vgl. 8.10).
Stellungnahmen im Kohärenzverfahren
Die vom EDSA im Berichtszeitraum angenommenen
Stellungnahmen im Kohärenzverfahren nach Art. 64
DSGVO betrafen Listen von Datenverarbeitungen, für die
gemäß Art. 35 Abs. 4 DSGVO Datenschutzfolgenabschätzungen erforderlich beziehungsweise gemäß Art. 35 Abs.
5 DSGVO nicht erforderlich sind. Solche Listen werden
durch die nationalen Aufsichtsbehörden vorgelegt und
von der Technology-Expertenuntergruppe analysiert,
um unterschiedliche Anforderungen für Datenschutzfolgeabschätzungen in den Mitgliedstaaten zu vermeiden. Durch die Stellungnahmen des EDSA zu einzelnen
Listen wurden den betreffenden Aufsichtsbehörden
Vorschläge für Änderungen empfohlen. Auf diese Weise
trägt der Kohärenzmechanismus zur einheitlichen Anwendung der DSGVO bei.
Ebenfalls im Verfahren nach Art. 64 DSGVO hat der
EDSA Stellungnahmen abgegeben zur Genehmigung
der verbindlichen internen Datenschutzvorschriften
(Binding Corporate Rules – BCR) des britischen Unternehmens Equinix Inc. und zur Genehmigung von
Standardvertragsklauseln für Auftragsdatenverarbeitungen gemäß Art. 28 Abs. 8 DSGVO, die von der dänischen
Aufsichtsbehörde vorgelegt wurden.
22
Tätigkeitsbericht zum Datenschutz für 2019
Weitere Stellungnahmen im Kohärenzverfahren nach
Art. 64 DSGVO betrafen das Verhältnis der DSGVO zur
E-Privacy-Richtlinie und eine Verwaltungsvereinbarung
zur Ermöglichung von Datenübermittlungen zwischen
den Finanzbehörden des Europäischen Wirtschaftsraums (EWR) und Finanzbehörden aus Drittstaaten.
Sonstige Arbeiten des EDSA
Neben den allgemeinen Leitlinien und Stellungnahmen
im Kohärenzverfahren hat sich der EDSA mit unterschiedlichen datenschutzpolitischen Themen befasst
und hierzu Stellungnahmen und Berichte angenommen.
Unter anderem betrifft dies das Gesetzgebungsverfahren
zur E-Privacy-Verordnung und die Folgen des Brexit für
Datentransfers von der EU in das Vereinigte Königreich
im Falle des „No-Deal-Brexit“; hierzu wurden Informationen für Unternehmen veröffentlicht (vgl. 8.1.1).
Ein weiterer Schwerpunkt der Arbeiten des EDSA
betrifft den Datenschutz im Sicherheitsbereich. Hier
hat der Ausschuss zusammen mit dem Europäischen
Datenschutzbeauftragten (EDPS) eine Stellungnahme
zum U.S. Cloud Act erarbeitet (vgl. 6.1.1) und sich mit
der Überprüfung des sogenannten Privacy Shields
befasst (vgl. 8.1.3).
Der Ausschuss hat sich auch zum Thema „Future of Supervision“ beraten. Hierbei geht es um die koordinierte
Datenschutzaufsicht über europäische IT-Großsysteme
und Agenturen wie Eurojust, das Schengener Informationssystem (SIS), das Visa-Informationssystem (VIS) und
das Einreise-Ausreise-Register („EES“) durch den EDPS
und die nationalen Aufsichtsbehörden. Zu diesem Zweck
wurde im Rahmen des EDSA das „Coordinated Supervision Committee“ (CSC) eingerichtet.
Darüber hinaus wurde das Thema Interoperabilität
erörtert und in einem Schreiben an den LIBE-Ausschuss
des Europäischen Parlaments Kritik an der Schaffung
des sogenannten Interoperabilitäts-Rechtsrahmens
für die technische Verknüpfung einer Vielzahl von
EU-Datenbanken im Bereich Justiz und Inneres geäußert. Die Arbeiten des EDSA im Sicherheitsbereich
werden auf Fachebene von der Expertenuntergruppe
„Borders, Travel, Law Enforcement – BTLE“ geleistet, in
der ich als Koordinator, Mitberichterstatter und Mitglied
des Privacy Shield-Überwachungsteams fungiere.
Ein weiterer wichtiger Aspekt der Arbeit des EDSA
besteht in der Zusammenarbeit der Aufsichtsbehörden
in grenzüberschreitenden Datenschutzfällen. Hierzu
tauschen die Behörden im Rahmen des sog. Kooperationsverfahrens nach Artikel 60 DSGVO sachdienliche
Informationen aus und führen gemeinsame Bewertungen durch. Aus meiner Sicht ist eine gemeinsame