Der Europäische Datenschutzausschuss (EDSA/EDPB) veröffentlichte am 18. Mai 2020 seinen Jahresbericht 2019 sowie ein dazugehöriges Executive Summary. Darin fasst er seine Tätigkeit für das vergangene Jahr zusammen und gibt einen Überblick über seine Aufgaben, Stellungnahmen, Konsultationen, formelle Kommentare sowie Verfahren. Zusätzlich werden die Hauptziele für das Jahr 2020 dargelegt.
In seinem Jahresbericht geht der EDSA u.a. auf die Verabschiedung von Guidelines sowie Empfehlungen zu folgenden Themenbereichen ein: Datenschutz-Folgenabschätzungen (DSFA), Privacy by Design & Default, Recht auf Vergessenwerden, Online-Services, Zusammenspiel zwischen der EU DSGVO und der ePrivacy Richtlinie sowie Bindung Corporate Rules.
Hinsichtlich seiner Tätigkeit als Berater der EU Kommission für Datenschutzfragen hebt der EDSA u.a. folgende Gesetzgebungsprojekte hervor: EU-U.S. Privacy Shield, statement on the future ePrivacy regulation, additional protocol to the Budapest Convention on Cybercrime sowie EDPB-EDPS Joint Opinion on the eHealth Digital Service Infrastructure.
Ferner geht der EDSA auf ausgewählte datenschutzrechtliche Fälle der Aufsichtsbehörden der EU-Mitgliedsstaaten ein und hält zusammenfassend folgendes fest:
„The violations [of the GDPR] included failure to implement provisions such as privacy by default and design, right to access or right to erasure. Many cases highlighted a lack of proper technical and organisational measures for ensuring data protection, which led to data breaches. Several significant incidents involved the processing of special categories of data, such as political opinions, credit information or biometric data. The entities fined were from both the private and the public sector“.
Schliesslich legt der EDSA im Zusammenhang mit seinen Hauptzielen für 2020 folgende Schwerpunkte dar:
(i) Guidance: „In 2020, the EDPB will aim to provide guidance on data controllers and processors, data subject rights and the concept of legitimate interest. It will also intensify its work in the context of advanced technologies, such as connected vehicles, blockchain, artificial intelligence, and digital assistants. In addition (…) the EDPB is to provide guidance on the implications for data protection in the context of the fight against COVID-19 (…)“.
(ii) Advisory role to the European Commission: „The EDPB will continue to advise the European Commission on issues such as cross-border e-Evidence data access requests, the revision or adoption of adequacy decisions for data transfers to third countries and any possible revision of the EU-Canada Passenger Name Record (PNR) agreement“.
(iii) Consistency findings: „In cross-border cases where consensus between the Lead SA and Concerned SAs (...) cannot be reached, the EDPB will act as a dispute resolution body and issue binding decisions (…). In addition, the EDPB will continue to deliver Consistency Opinions (…) include any relevant draft decision from competent SAs on issues such as cross-border data transfers, Binding Corporate Rules and standard or ad-hoc contractual clauses“.
Michal Cichocki
In seinem Jahresbericht geht der EDSA u.a. auf die Verabschiedung von Guidelines sowie Empfehlungen zu folgenden Themenbereichen ein: Datenschutz-Folgenabschätzungen (DSFA), Privacy by Design & Default, Recht auf Vergessenwerden, Online-Services, Zusammenspiel zwischen der EU DSGVO und der ePrivacy Richtlinie sowie Bindung Corporate Rules.
Hinsichtlich seiner Tätigkeit als Berater der EU Kommission für Datenschutzfragen hebt der EDSA u.a. folgende Gesetzgebungsprojekte hervor: EU-U.S. Privacy Shield, statement on the future ePrivacy regulation, additional protocol to the Budapest Convention on Cybercrime sowie EDPB-EDPS Joint Opinion on the eHealth Digital Service Infrastructure.
Ferner geht der EDSA auf ausgewählte datenschutzrechtliche Fälle der Aufsichtsbehörden der EU-Mitgliedsstaaten ein und hält zusammenfassend folgendes fest:
„The violations [of the GDPR] included failure to implement provisions such as privacy by default and design, right to access or right to erasure. Many cases highlighted a lack of proper technical and organisational measures for ensuring data protection, which led to data breaches. Several significant incidents involved the processing of special categories of data, such as political opinions, credit information or biometric data. The entities fined were from both the private and the public sector“.
Schliesslich legt der EDSA im Zusammenhang mit seinen Hauptzielen für 2020 folgende Schwerpunkte dar:
(i) Guidance: „In 2020, the EDPB will aim to provide guidance on data controllers and processors, data subject rights and the concept of legitimate interest. It will also intensify its work in the context of advanced technologies, such as connected vehicles, blockchain, artificial intelligence, and digital assistants. In addition (…) the EDPB is to provide guidance on the implications for data protection in the context of the fight against COVID-19 (…)“.
(ii) Advisory role to the European Commission: „The EDPB will continue to advise the European Commission on issues such as cross-border e-Evidence data access requests, the revision or adoption of adequacy decisions for data transfers to third countries and any possible revision of the EU-Canada Passenger Name Record (PNR) agreement“.
(iii) Consistency findings: „In cross-border cases where consensus between the Lead SA and Concerned SAs (...) cannot be reached, the EDPB will act as a dispute resolution body and issue binding decisions (…). In addition, the EDPB will continue to deliver Consistency Opinions (…) include any relevant draft decision from competent SAs on issues such as cross-border data transfers, Binding Corporate Rules and standard or ad-hoc contractual clauses“.
Michal Cichocki