Der Europäische Datenschutzausschuss (EDSA/EDPB) veröffentlichte Ende Dezember 2020 sein Strategiepapier für den Zeitraum 2021 bis 2023. Darin fokussiert er auf seine Kernaufgaben, u.a. die (i) Sicherstellung der einheitlichen Anwendung der EU Datenschutz-Grundverordnung (DSGVO) sowie die (ii) effektive Zusammenarbeit der nationalen EU-Datenschutzaufsichtsbehörden und formuliert dazu vier strategische Ziele:
1) Einheitliche Praxis: Advancing Harmonization and Facilitating Compliance
Die DSGVO enthält zahlreiche unbestimmte Normen sowie Öffnungsklauseln, die von den einzelnen EU-Mitgliedsstaaten individuell konkretisiert, ergänzt oder modifiziert werden können. Infolgedessen gibt es eine uneinheitliche Praxis, was zu Rechtsunsicherheit führt.
Der EDSA hat sich vorgenommen, diese Rechtsunsicherheit zu verringern. Er wird die Erarbeitung von Guidelines zu Schlüsselthemen wie "concept of legitimate interest" und "scope of data subjects’ rights" weiter vorantreiben. Ferner will der EDSA vermehrt Kohärenzverfahren gemäss Art. 63 DSGVO durchführen, um ein einheitliches Verständnis der DSGVO bei den EU-Datenschutzaufsichtsbehörden sicherzustellen.
2) Bessere Zusammenarbeit: Supporting Effective Enforcement and Efficient Cooperation Between National Supervisory Authorities
Neben der uneinheitlichen Auslegung bzw. Praxis zur DSGVO sei auch die Zusammenarbeit zwischen den EU-Datenschutzaufsichtsbehörden verbesserungswürdig. Zu diesem Zweck will der EDSA folgende Neuerungen etablieren: das "Coordinated Enforcement Framework (CEF) to facilitate joint actions in a flexible but coordinated manner" sowie ein "Support Pool of Experts (SPE) on the basis of a pilot project, with a view of providing material support in the form of expertise that is useful for investigations and enforcement activities of significant common interest".
3) Bewertung datenschutzrechtlicher Aspekte neuer Technologien: A Fundamental Rights Approach to New Technologies
Der EDSA hat sich vorgenommen, die Entwicklung neuer Technologien proaktiv zu monitoren, zu bewerten und Guidelines mit seinen Ergebnissen zu veröffentlichen. Er will dabei auf Datenbearbeitungen fokussieren, die "the greatest risks to individuals’ rights and freedoms (e.g. to prevent discrimination)" darstellen. Der EDSA ist der Auffassung, dass diese Risiken insbesondere bei folgenden Technologien vorkommen: artificial intelligence (AI), biometrics, profiling, ad tech, cloud services und blockchain.
Anders als in der EU ist in der schweizerischen Rechtsordnung die unmittelbare Drittwirkung von Grundrechten in der Privatwirtschaft nicht vorgesehen. Diesem Umstand sollte bei der Analyse künftiger EDSA-Guidelines hinreichend Beachtung geschenkt werden.
Schliesslich betont der EDSA richtigerweise die Wichtigkeit des Grundsatzes von "Privacy by Design und Default" und stellt hier "clear guidance on how to implement data protection principles effectively" in Aussicht. Dabei werden rechtliche Vorgaben in nicht rechtliche Vorgaben für technische und/oder organisatorische Massnahmen (TOM) übersetzt und anschliessend implementiert.
4) Bekanntgabe von Personendaten ins Ausland: The Global Dimension
Im Lichte der aktuellen Diskussionen rund um das Urteil des EuGH i.S. "Schrems II" (C-311/18) will auch der EDSA "promote the use of transfer tools ensuring an essentially equivalent level ofprotection and increase awareness on their practical implementation".
Bei "Schrems II" geht es im Wesentlichen um die Definition, Vereinbarung und Kontrolle technischer und/oder organisatorischer Massnahmen (TOM), welche unzulässige ausländische Behördenzugriffe mit hoher Wahrscheinlichkeit verhindern sollen.
Michal Cichocki