2
Schwerpunktthemen – europäisch
und international
2.1 Der Europäische Datenschutz‑
ausschuss
Mit der Datenschutz-Grundverordnung wurde ein Euro
päischer Datenschutzausschuss geschaffen, der die bis
herige sog. Artikel‑29‑Gruppe ersetzt. Sein Ziel ist es,
die einheitliche Anwendung der Datenschutz-Grundverordnung und der Richtlinie für den Datenschutz im
Polizei- und Justizbereich (JI-Richtlinie) sicherzustellen. Dazu hat er bereits mehrere Leitlinien beschlossen
sowie einheitliche Stellungnahmen abgegeben.
Eine der wesentlichen institutionellen Neuerungen
der seit 25. Mai 2018 geltenden Datenschutz-Grundver‑
ordnung besteht in der Einführung des sogenannten
Europäischen Datenschutzausschusses (EDSA). Der
EDSA ist eine unabhängige europäische Einrichtung, die
zur einheitlichen Anwendung der Datenschutzvorschrif‑
ten in der gesamten Europäischen Union beiträgt und
die Zusammenarbeit zwischen den EU-Datenschutzbe‑
hörden fördert. Der Ausschuss nimmt seine Aufgaben
und Befugnisse unabhängig wahr und unterliegt keinen
Weisungen. Wie bereits der Vorgänger des EDSA, die
sogenannte Artikel‑29‑Gruppe, setzt sich das Gremium
aus den Leiterinnen und Leitern der Datenschutz
aufsichtsbehörden der EU-Mitgliedstaaten und dem
Europäischen Datenschutzbeauftragten zusammen. Die
Aufsichtsbehörden der EWR-Staaten sind im Hinblick
auf Angelegenheiten mit Bezug zur DSGVO ebenfalls
Mitglied, allerdings ohne Stimmrecht und ohne das
Recht, zum Vorsitzenden oder zu stellvertretenden Vor‑
sitzenden gewählt werden zu können. Die Europäische
Kommission ist berechtigt, an den Ausschusssitzungen
ohne Stimmrecht teilzunehmen. Der Ausschuss wird von
einem für die Dauer von fünf Jahren gewählten Vorsitz
vertreten. Zur ersten Vorsitzenden des Ausschusses
wurde am 25. Mai 2018 die Leiterin der österreichischen
Datenschutzbehörde, Dr. Andrea Jelinek, gewählt. Sitz
des Ausschusses ist Brüssel.
EU-Mitgliedstaaten wie Deutschland, die über mehrere
nationale Aufsichtsbehörden verfügen, müssen einen
„Gemeinsamen Vertreter“ für den EDSA benennen.
Die Funktion des Gemeinsamen Vertreters wird vom
Bundesdatenschutzgesetz (BDSG) dem Bundesbeauf‑
tragten für Datenschutz und Informationsfreiheit (BfDI)
übertragen. Zugleich fungiert er als „Zentrale Anlaufstel‑
le“, die es den Aufsichtsbehörden der anderen Mitglied‑
staaten, dem EDSA und der EU-Kommission ermöglicht,
ohne Kenntnis der innerstaatlichen Zuständigkeitsver‑
teilung effektiv mit den deutschen Aufsichtsbehörden
zu kommunizieren. Als Stellvertreter des gemeinsamen
Vertreters wählt der Bundesrat einen Leiter der Daten‑
schutzaufsichtsbehörde eines Landes.
Der EDSA soll die einheitliche Anwendung der DSGVO
und der JI‑Richtlinie innerhalb der EU sicherstellen.
Hierzu weisen ihm DSGVO und JI‑Richtlinie ein umfang‑
reiches Aufgabenspektrum zu. Beraten soll der EDSA zu
datenschutzpolitischen und datenschutzrechtlichen Fra‑
gestellungen auf EU-Ebene, insbesondere zu Legislativ‑
vorschlägen der Europäischen Kommission. Ferner kann
der Ausschuss Leitlinien, Empfehlungen und bewährte
Verfahren zu datenschutzspezifischen Fragestellungen
erarbeiten, beispielsweise zu Datenverarbeitungen im
Zusammenhang mit Profiling, zu Zertifizierungsverfah‑
ren und Datenschutzsiegeln oder zu Datenübermittlun‑
gen in Drittstaaten. Eine besondere Aufgabe kommt dem
EDSA im Rahmen des sogenannten Kohärenzverfahrens
(Art. 63ff. DSGVO) zu. Dieses Verfahren soll die Rechts‑
anwendung und Aufsichtspraxis der Datenschutzbe‑
hörden der Mitgliedstaaten vereinheitlichen. Innerhalb
dieses Verfahrens kann der Ausschuss beispielsweise
Stellung nehmen, wenn eine nationale Behörde verbind‑
liche Datenschutzvorschriften für internationale Daten‑
übermittlungen innerhalb einer Unternehmensgruppe
genehmigen will (sog. Binding Corporate Rules, vgl. u.
Nr. 17.8.1). Zudem fasst er rechtsverbindliche Beschlüs‑
se zur Frage, ob ein Verstoß gegen die DSGVO vorliegt,
wenn sich die betroffenen Datenschutzbehörden der
Mitgliedstaaten nicht auf eine einheitliche Linie einigen
können. Zu einem derartigen Streitbeilegungsverfahren
ist es innerhalb des Berichtszeitraums indes noch nicht
gekommen.
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
41