tiero - Fotolia
GDPR: Warum der Europäische Datenschutzausschuss wichtig ist
Die Vorgaben des Europäischen Datenschutzausschusses sollten sich Unternehmen genau ansehen, sie helfen bei der Anwendung der Datenschutz-Grundverordnung (DSGVO/GDPR).
Für einige klingt das Wort „Ausschuss“ nach Bürokratie, für andere nach viel Arbeit. Zweifellos wird im sogenannten Europäischen Datenschutzausschuss (EDSA) viel Arbeit für den Datenschutz geleistet werden müssen, denn die Datenschutz-Grundverordnung (DSGVO/GDPR) lässt viel Raum für die Ausformulierung konkreter Datenschutzvorgaben. Bei Gesetzen und Verordnungen ist es letztlich nicht anders möglich, als den Rahmen möglichst genau abzustecken, bei konkreten Vorgaben aber auf andere Dokumente und Richtlinien zu verweisen.
Für Unternehmen, die sich der Umsetzung und bald dauerhaften Anwendung der DSGVO gegenübersehen, ist es trotzdem unerfreulich, wenn bestimmte Regelungsbereiche nicht mit konkreten organisatorischen und technischen Vorgaben versehen sind.
Die nationale Ausgestaltung der sogenannten Öffnungsklauseln zum Beispiel im neuen Bundesdatenschutzgesetz (BDSG-neu) hilft in bestimmten Bereichen mit weiteren Vorgaben. Es ist allerdings rechtlich nicht möglich, einen Bereich, den die DSGVO nicht oder anders regelt, im BDSG-neu nach nationalen Wünschen und Vorstellungen auszugestalten.
Europäischer Datenschutzausschuss: Zentrale Institution der DSGVO
Für den Europäischen Datenschutzausschuss (EDSA) gilt dies natürlich genauso, dieser kann nur im Rahmen der DSGVO aktiv sein, es wird ihn nur durch die DSGVO geben. Unternehmen sollten sich aber nicht nur die DSGVO ansehen und in Deutschland im Fall von Öffnungsklauseln (und nur dann!) auch das BDSG-neu.
Wenn der EDSA in Zukunft etwas veröffentlicht, ist die genaue Lektüre ebenso mehr als zu empfehlen. Dies wird deutlich, wenn man sich die Aufgaben und Bedeutung des EDSA nach DSGVO ansieht:
- Das wichtigste Gremium zur Zusammenarbeit der Mitgliedstaaten der Europäischen Union (EU) auf dem Gebiet des Datenschutzes ist gegenwärtig die Arbeitsgruppe nach Artikel 29 der europäischen Datenschutzrichtlinie (Artikel 29-Gruppe).
- Die Artikel 29-Gruppe wird mit der DSGVO von dem Europäischen Datenschutzausschuss (EDSA) abgelöst.
- Der EDSA besteht aus dem Leiter oder der Leiterin einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.
- Der EDSA soll dafür sorgen, dass die Vorschriften EU-weit möglichst einheitlich umgesetzt werden. Können sich die betroffenen Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten nicht auf eine gemeinsame Linie bei Datenschutzverstößen einigen, kann der EDSA strittige Fragen rechtsverbindlich lösen.
Aufgaben des Europäischen Datenschutzausschusses
Der Artikel 70 der DSGVO enthält eine Vielzahl an weiteren Aufgaben für den Ausschuss, für Unternehmen besonders wichtig sind die folgenden Themenbereiche sowie die Spezifizierung, die der EDSA vornehmen soll. Hier sind also weitere Vorgaben zu erwarten:
- Datenlöschung: Verfahren für die Löschung von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten (Recht auf Vergessenwerden)
- Datenschutzzertifikate: Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung, Führung eines öffentlichen Registers der akkreditierten Einrichtungen und der in Drittländern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter
- Datenübermittlung: Kriterien und Anforderungen für die Übermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen
- Interne Datenschutzvorschriften: Format und Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften
- Meldepflichten: Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 DSGVO, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat
- Meldepflichten: Umstände, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 DSGVO zur Folge hat
- Profiling: Nähere Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 DSGVO
- Verhaltensregeln: Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -prüfzeichen
Ein weiterer, wichtiger Punkt: Ab dem 25. Mai 2018 kann der Europäische Datenschutzausschuss grenzübergreifende Verstöße gegen die Datenschutz-Grundverordnung ahnden. Es ist also mehr als lohnend, die Arbeit dieses Ausschusses genau im Blick zu behalten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!