Evaluierung der DSGVO durch den Europäischen Datenschutzausschuss und die Datenschutzbehörde

Beitrag verfasst von Dr. Rainer Knyrim am 16.03.2020 – KTR-Newsletter März 2020

Der Europäischen Datenschutzausschusses (EDSA) hat seine Stellungnahme zur DSGVO-Evaluierung herausgegeben, in der er folgendes festhält:

  • Der EDSA stellte fest, dass die Datenschutzbehörden bei der Umsetzung des Kooperations- und Kohärenzmechanismus Herausforderungen identifiziert haben. Dies ist vor allem auf Unterschiede bei den Verfahren zur Bearbeitung von Beschwerden, der Stellung der Parteien im Verfahren, den Zulässigkeitskriterien, der Dauer der Verfahren, den Fristen usw. zurückzuführen. Der EDSA prüft mögliche Lösungen zur Bewältigung dieser Herausforderungen und zur Gewährleistung einer gemeinsamen Anwendung der DSGVO.
  • Der EDSA begrüßt das Interesse von Drittländern an einer Zusammenarbeit mit der EU im Rahmen der Angemessenheitsentscheidung. Der EDSA wird sich an der Bewertung der gegenwärtigen Angemessenheitsentscheidungen und der Annahme künftiger Entscheidungen beteiligen, wobei er betont, dass ihm alle relevanten Dokumente rechtzeitig vorliegen müssen, um eine gründliche Bewertung zu ermöglichen.
  • Der EDSA ist der Ansicht, dass es für die Europäische Kommission dringend erforderlich ist, die bestehenden Standardvertragsklauseln mit der DSGVO in Einklang zu bringen und zusätzliche Standardvertragsklauseln zu entwerfen.
  • Seit Inkrafttreten der DSGVO hat der EDSA drei positive Stellungnahmen zu nationalen Entscheidungen zur Genehmigung von Binding Corporate Rules (BCR) angenommen, während mehr als 40 BCR zur Genehmigung anstehen, von denen die Hälfte bis Ende 2020 genehmigt werden dürfte.
  • Was Verhaltensregeln und Zertifizierungen betrifft, so bereitet der EDSA derzeit Richtlinien für Interessensgruppen vor, die voraussichtlich bis Ende 2020 für eine erste Annahme vor ihrer Vorlage zur öffentlichen Konsultation fertig gestellt werden.
  • Was schließlich Verwaltungsvereinbarungen betrifft, so bereitet der EDSA auch Leitlinien für Behörden und Einrichtungen vor, die personenbezogene Daten an öffentliche Einrichtungen außerhalb des EWR übermitteln wollen. Diese Leitlinien wurden angenommen und werden vor ihrer endgültigen Verabschiedung zur öffentlichen Konsultation veröffentlicht.
  • Bisher konnte der EDSA alle Stellungnahmen innerhalb der gesetzlichen Frist abgeben. Die Praxis zeigt jedoch, dass die in der DSGVO vorgesehenen Fristen (8 + möglicherweise 6 Wochen) relativ kurz sein können, um eine Einigung zwischen allen Mitgliedern zu erzielen.

Zusammenfassend erklärt der EDSA, dass er insgesamt eine positive Haltung gegenüber der Umsetzung der DSGVO hat und eine Überarbeitung für verfrüht hält. Anstatt die DSGVO zu überarbeiten, sollten die Bemühungen um die Annahme der ePrivacy-VO intensiviert werden.

Die österreichische Datenschutzbehörde (DSB) hat in Zusammenhang mit der Evaluierung des EDSA in ihrer Stellungnahme folgendes festgehalten:

  • Bezüglich des Kooperationsmechanismus nach Art 60 DSGVO empfand die DSB die verschiedenen nationalen Verwaltungsverfahrensgesetze und die Dauer der Verfahren als problematisch. Es wird daher versucht auf informellen Weg mit den Ländern eine Lösung zu finden. Die DSB würde sich aber Unterstützung der EU – zB durch Kollisionsnormen –wünschen.
  • Die DSB klagt über zu wenig Ressourcen (aus personeller, finanzieller und technischer Sicht).
  • Im Zeitraum vom 25. Mai 2018 bis 30. November 2019 wurden 807 Beschwerden eingereicht und 1.142 Beschwerden sind über das IMI eingelangt (bloße Anfragen sind hier nicht enthalten).
  • Es wurden 38 Bußgelder verhängt (zwischen 200,- EUR und 18.000.000,- EUR). Die meisten Bußgelder wurden wegen unrechtmäßiger Videoüberwachung verhängt.
    • Als mildernde Umstände wurden Integrität, einmaliges Fehlverhalten, nachträgliche Beseitigung oder Wiederherstellung der rechtmäßigen Verhältnisse, Maßnahmen zur künftigen Vermeidung eines Verstoßes, Mitwirkung am Verfahren sowie Geständnisse berücksichtigt.
    • Als erschwerende Umstände wurden höchst unrechtmäßiges Verhalten, systematische Verletzung, hohe Anzahl betroffener Personen, lange Dauer der durchgeführten Verletzung, Kategorie der betroffenen Personen (Angestellte, nackte Frauen unter der Dusche), schwerwiegende Folgen der Verletzung (geistige Behinderung mit Krankheitswert), große Anzahl von Empfängern (Veröffentlichung in sozialen Netzwerken), nicht ergriffene Maßnahmen zur Schadensbegrenzung, einschlägige Strafregister, keine Mitarbeit im Verfahren, vorsätzliches Verhalten, Grad der Verantwortung sowie ein hoher wirtschaftlicher Nutzen aus der Verletzung berücksichtigt.

Artikel drucken

Beiträge

Newsletter März 2020

Datenschutzrechtliche Aspekte der Covid-19 Epidemie im Dienstverhältnis

Fragen zum Thema Reisen in Risikogebiete, Verarbeitung der Notfallkontakte und zur datenschutzrechtlicher Sicht bezüglich Home-Office.

Der Corona-Virus als Fortbildungs-Chance

Microsoft 365 Training Day: Meeting Organizational Compliance Requirements.

(Kein) Ideeller Schadenersatz für Datenschutzverstöße

Schadensersatzanspruch bei DSGVO-widriger Datenverarbeitung durch die Österreichische Post abgewiesen.

Topaktuelle Datenschutznews: Neues Datenschutz-Infoservice

Dieses exklusive Service richtet sich ausschließlich an Unternehmen und öffentliche Einrichtungen.

DSGVO-Strafen in Österreich und der EU

Kaum ein Tag vergeht ohne ein neues DSGVO-Bußgeld in Europa. Einen aktuellen Überblick finden Sie hier.

Gemeinsame Verantwortlichkeit bei Social Media

Baden-württembergische Landesdatenschutzbeauftragte stellt Twitter-Account ein.

IAPP-Ausbildung in Österreich

International Association of Privacy Professionals – die nächsten Kurstermine.

Neue Verbraucherschutz­vorschriften der Union

RL (EU) 2019/2161 „zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union“

Evaluierung der DSGVO durch den Europäischen Datenschutzausschuss und die Datenschutzbehörde

Stellungnahme es Europäischen Datenschutzausschusses (EDSA) zur DSGVO-Evaluierung.