Wie schon die Artikel‑29‑Gruppe verfügt auch der EDSA
über Expertengruppen, die themenbezogen die Stellung‑
nahmen und Entscheidungen des Ausschusses vorbe
reiten.
Die Arbeiten des Ausschusses werden in administrativer
Sicht von einem Sekretariat unterstützt, dessen Personal
vom Europäischen Datenschutzbeauftragten (EDPS) und
Experten der nationalen Aufsichtsbehörden gestellt wird.
Das Personal des Sekretariats unterliegt ausschließlich
den Weisungen des Vorsitzes des EDSA und ist insoweit
organisatorisch vom EDPS getrennt. Neben der admi‑
nistrativen Unterstützung des Ausschusses erstellt das
Sekretariat nach den Weisungen des Vorsitzes auch Ent‑
würfe von Stellungnahmen und sonstigen Dokumenten
des EDSA, einschließlich der Entwürfe für verbindliche
Beschlüsse innerhalb des Kohärenzverfahrens.
Innerhalb des Berichtszeitraums seit Inkrafttreten
der DSGVO hat der EDSA Leitlinien zum räumlichen
Anwendungsbereich der DSGVO (Art. 3 DSGVO), zur Zer‑
tifizierung (Art. 42 DSGVO) und Akkreditierung (Art. 43
DSGVO) sowie zu Ausnahmen für Datenübermittlungen
in Drittstaaten (Art. 49 DSGVO) angenommen. Zudem
hat er im Verfahren nach Artikel 64 DSGVO einheitliche
Stellungnahmen abgegeben zu Listen von Datenverar‑
beitungen, für welche gemäß Artikel 35 DSGVO Daten‑
schutzfolgeabschätzungen vorzunehmen sind. Ferner
hat er verschiedene Leitlinien mit Bezug zur DSGVO
bestätigt, die noch von dem Vorgängergremium, der Ar‑
tikel-29‑Gruppe, erarbeitet wurden, unter anderem zur
federführenden Aufsichtsbehörde, zur Einwilligung (Art.
6 DSGVO), zum Recht auf Datenübertragbarkeit (Art. 20
DSGVO), zum Datenschutzbeauftragten (Art. 37 DSGVO),
zu Datenschutzfolgeabschätzungen (Art. 35 DSGVO)
sowie zum Profiling (Art. 22 DSGVO). Schließlich hat der
EDSA eine Stellungnahme zum Entwurf eines Angemes‑
senheitsbeschlusses der Europäischen Kommission zu
Japan angenommen (vgl. Nr. 2.1.1).
Die vom EDSA angenommenen Leitlinien und sonstigen
Dokumente sind abrufbar unter www.datenschutz.bund.de.
2.1.1 Internationaler Datenverkehr
Die Diskussionen zum internationalen Datenverkehr
waren auch im Berichtszeitraum von Angemessenheitsbeschlüssen geprägt, die die Europäische Kommission
erlassen hat.
Angemessenheitsbeschluss zu Japan
Wie bereits unter der europäische Datenschutzrichtlinie
95/46/EG kann die Europäische Kommission nach Art. 45
DSGVO beschließen, dass ein Land, das nicht an die
in der EU geltenden datenschutzrechtlichen Vorgaben
gebunden ist, ein angemessenes Schutzniveau bietet.
42
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
Personenbezogene Daten aus der EU dürfen dann ohne
weitere Schutzmaßnahmen in dieses Land übermittelt
werden. Im September 2018 hat die Europäische Kom‑
mission den Entwurf eines solchen Angemessenheitsbe‑
schlusses zu Japan vorgelegt und ihn am 23. Januar 2019
endgültig beschlossen. Der EDSA hat am 5. Dezember
2018 seine Stellungnahme nach Art. 70 Absatz 1 Buch‑
stabe s DSGVO zu diesem Entwurf abgegeben, an deren
Erarbeitung ich maßgeblich mitgewirkt habe. Der EDSA
sieht nach der Reform des japanischen Datenschutz‑
rechts in Schlüsselbereichen große Ähnlichkeiten mit
dem europäischen Datenschutzregime und erkennt an,
dass die für aus der EU übermittelte Daten erlassenen
ergänzenden Regelungen erheblich zum Schutz der
Betroffenen beitragen. Die Europäische Kommission
hat ihren Entwurf des Angemessenheitsbeschlusses im
Hinblick auf die Anregungen des EDSA zwar angepasst
und verbessert, dennoch fordert der EDSA, bestimmte
Bereiche in der Praxis verstärkt zu überwachen. Im
Fokus stehen dabei insbesondere Fragen zur Informiert‑
heit der Einwilligung, die im japanischen Recht eine
zentrale Rechtsgrundlage der Datenverarbeitung ist, zur
Weiterübermittlung europäischer Daten in Drittländer
und zum Zugriff der Sicherheitsbehörden auf die auf der
Grundlage des Angemessenheitsbeschlusses aus der EU
nach Japan übermittelten Daten. Auch die bestehenden
Möglichkeiten für EU-Bürger, bei Datenschutzverstößen
japanischer Verantwortlicher Abhilfe zu erlangen, soll‑
ten aus Sicht des EDSA weiter verbessert werden.
EU-US Privacy Shield
Wie in meinem 26. Tätigkeitsbericht (Nr. 2.1) dargestellt,
steht seit dem 12. Juli 2016 mit dem „EU-US Privacy
Shield“ (Privacy Shield) eine Rechtsgrundlage für Daten‑
übermittlungen in die USA in Form eines Angemessen‑
heitsbeschlusses zur Verfügung, der allerdings weiterhin
auf Bedenken der europäischen Datenschutzbehörden
trifft. Das Privacy Shield wurde im Berichtszeitraum
zwei gemeinsamen Überprüfungen unterzogen, an
denen ich intensiv mitgewirkt habe. Die deutliche Kritik
der Artikel‑29‑Gruppe im Vorfeld und auch nach der
ersten gemeinsamen Überprüfung, die der EDSA im
Juli 2018 bestätigte, hat zu Verbesserungen des Privacy
Shields geführt. Als im Oktober 2018 die zweite gemein‑
same Überprüfung stattfand, konnte festgestellt werden,
dass das Zertifizierungsverfahren und die Verfahren
zur Durchsetzung des Privacy Shields verstärkt wurden:
Die fehlenden Mitglieder des Privacy and Civil Liberties
Oversight Board (PCLOB), das die US-Sicherheitsbehör‑
den überwacht, wurden ernannt und ein zuvor klassifi‑
zierter Bericht dieses Gremiums wurde veröffentlicht.
Dennoch hat der EDSA weiterhin Bedenken, insbesonde‑
re im Hinblick auf die Ombudsperson. Dieser Posten ist
seit Beginn der Trump-Administration noch nicht dau‑