EDSA-Jahresbericht 2021

von Anastasia Sitte

Der Europäische Datenschutzausschuss (EDSA) hat im Mai 2022 seinen Tätigkeitsbericht für das Jahr 2021 veröffentlicht. Der EDSA-Jahresbericht 2021 bietet einen detaillierten Überblick über die im Berichtszeitraum vom EDSA sowie von nationalen Aufsichtsbehörden geleistete Arbeit und gibt einen Ausblick für die kommenden Entwicklungen.

Die Höhepunkte werden in Kapitel 3 des Berichts dargestellt. Die zahlreichen verabschiedeten Leitlinien und Empfehlungen von EDSA werden in Kapitel 5 genauer erläutert. Die Tätigkeiten der nationalen Aufsichtsbehörde fasst der EDSA in Kapitel 6 zusammen.

Tätigkeiten des EDSA und seine Highlights im Jahr 2021

Wie bereits im EDSA-Arbeitsprogramm 2021-2022 und in der Strategie 2021-2023 angekündigt, stellt der Bericht die datenschutzrechtlichen „Highlights“ 2021 in vier tragenden Säulen – mit  je 2-4 entsprechenden Schlüsselaktionen – dar.

Der EDSA hat im Berichtsjahr 124 neue Dokumente, unter anderem 59 Leitlinien, mit denen entsprechende Bestimmungen der DSGVO präzisiert werden sollen, (mit-)ausgearbeitet. Die verabschiedeten Leitlinien betrafen die oben genannten tragenden Säulen. Die für unsere Arbeit und Kunden relevantesten Themen und Dokumente werden unten genauer erläutert.

Corona

Der EDSA betont, dass auch für ihn das vergangene Jahr von der COVID-19-Pandemie geprägt war. Die Corona-relevanten Fragen, die der EDSA letztes Jahr behandelt hat, wurden nicht wiederholt thematisiert. Speziell führt der Datenschutzausschuss die Stellungnahme zum sog. grünen Pass aus: Ausschließlich der Erleichterung des freien Verkehrs zwischen den EU-Mitgliedstaaten sollte diese dienen.

Internationaler Transfer: Weiterentwicklung nach Schrems II

Weiterhin große Aufmerksamkeit widmete der EDSA der internationalen Übermittlung personenbezogener Daten. Durch seine entsprechenden Kohärenzstellungnahmen soll die einheitliche DSGVO-Anwendung in Fällen mit grenzüberschreitenden Auswirkungen sichergestellt werden.

Neue EU-Standardvertragsklauseln

Unter anderem geht der EDSA auf die endgültige Fassung seiner Empfehlung 01/2020, die einen Fahrplan und eine Liste möglicher Informationsquellen für die Bewertungsphase sowie Beispiele für ergänzende Maßnahmen enthält, ein: Diese soll Datenexporteuren bei der Bewertung von Drittländern und der Ermittlung geeigneter Maßnahmen unterstützen.

Angemessenheit des Datenschutzes im Vereinigten Königreich

Außerdem betonte EDSA, dass aktuell mehrere Herausforderungen, die die Angemessenheit des Datenschutzes in UK den EU-Standards gefährden, absehbar sind. Jede Abweichung von DSGVO könnte bezüglich des Datenaustausches zwischen EU und UK, insb. für den EU-Angemessenheitsbeschluss für Großbritannien problematisch werden.

Zusammenarbeit nationaler Behörden und OSS-Verfahren

Der EDSA-Jahresbericht 2021 bestätigt, dass eine Zusammenarbeit europäischer und nationaler Datenschutzbehörden in vielen Konstellationen, insbesondere bei sog. One-Stop-Shop- Verfahren und Bußgelder-Cases unabdingbar ist. Bevor jedoch ein OSS-Verfahren für einen grenzüberschreitenden Fall eingeleitet wird, sind eine federführende Aufsichtsbehörde (LSA) und die anderen betroffenen Aufsichtsbehörden (CSAs) – beide Begriffe sind im Glossar definiert – zu bestimmen. Im weiteren Verlauf des Verfahrens haben die LSA und CSAs zusammenzuarbeiten.

Verbindliche Beschlüsse in Bezug auf Meta

Im Jahr 2021 wurde der Streitbeilegungsmechanismus nach Art. 65 DSGVO einmal ausgelöst – nämlich in Bezug auf nationale einstweilige Maßnahmen der Hamburger Aufsichtsbehörde gegen Datenaustauschpraktiken zwischen WhatsApp und Facebook. Dabei hat der EDSA überhaupt das erste Mal seinen Beschluss im Dringlichkeitsverfahren gemäß Art. 66 Abs. 2 DSGVO erlassen. Der EDSA entschied, dass die Voraussetzungen für den Nachweis eines Verstoßes nicht erfüllt waren und stellte daher fest, dass die irische Staatsanwaltschaft keine endgültigen Maßnahmen gegen Facebook IE ergreifen muss.

 

Daten in Fahrzeugen u. mobilitätsbezogenen Anwendungen

Im März 2021 wurde die 2. Version der Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen vom EDSA angenommen. Die Leitlinien konzentrieren sich auf die Verarbeitung personenbezogener Daten in Bezug auf die nicht gewerbliche Nutzung von vernetzten Fahrzeugen und erläutern darüber hinaus die wichtigsten Risiken für Daten- und Privatsphärenschutz. Laut EDSA sollen drei Kategorien personenbezogener Daten eine besondere Aufmerksamkeit erfordern: Standortdaten, biometrische Daten und die auf Straftaten sowie andere Übertretungen hinweisenden Daten.

Fahrzeugdaten werden vom EDSA ebenfalls in Bezug auf die Leitlinien 02/2021 zu virtuellen Sprachassistenten (VVA) thematisiert, da die VVA-Ökosysteme heutzutage regelmäßig in vernetzte Autos integriert werden. In beiden Leitlinien hebt der EDSA hervor, dass sowohl vernetzte Fahrzeuge selbst als auch die VVAs als Endgeräte im Sinne von Art. 5 Abs. 3 der ePrivacy-Richtlinie zu betrachten sind.

Darüber hinaus fasst der EDSA-Jahresbericht 2021 zwei grenzüberschreitende Fälle, in denen es um die Datenverarbeitung bei Autovermietungsplattformen geht, zusammen. In der ersten Entscheidung befasste sich die französische Aufsichtsbehörde CNIL mit der Frage der (nicht gelungenen) Anonymisierung der Kundendaten. Im zweiten Fall sprach die litauische Aufsichtsbehörde dem Betreiber einer Kurzzeit-Autovermietungsplattform 110.000 Euro Geldstrafe aus. Grund dafür war, dass das Unternehmen die Sicherheit der Datenverarbeitung nach Art. 32 Abs. 1 lit. a, b, d DSGVO nicht gewährleistet habe.

Ausblick: Handlungsschwerpunkte für 2022

Laut dem Bericht, dem Arbeitsprogramm, der Strategie und den Besprechungsagenden des EDSA will sich die EU-Datenschutzbehörde im laufenden Jahr auf die Arbeit an solchen Themen wie berechtigtes Interesse als Rechtsgrundlage und die Nutzung der Gesichtserkennung durch Strafverfolgungsbehörden konzentrieren. Zu beiden Themen laufen indessen bereits öffentliche Besprechungen.

Demnächst wird es zu den einzelnen hier angeteaserten Schwerpunkten auch von uns noch ausführlichere Beiträge geben.

Wenn Sie Fragen rund um das Thema Datenschutz haben, wenden Sie sich jederzeit gerne an unsere Experten:

Zentrale Hutthurm – Tel.: +49 (0) 8505 91927 – 0

Niederlassung München – Tel.: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

assets/images/1/Anastasia-Sitte-2-c733d085.jpeg
Anastasia Sitte

Diplomjuristin, LL.M. | Datenschutzbeauftragte

Anastasia Sitte studierte Jura an der Sibirischen Föderalen Universität und an der Universität Passau. Hierbei spezialisierte sie sich auf internationales Recht, Rechtsvergleichung, Medien- und insbesondere Datenschutzrecht. Als Wissenschaftliche Mitarbeiterin am Lehrstuhl für Öffentliches Recht, Europarecht und Informationstechnologierecht an der Universität Passau hat sie das interdisziplinäre Projekt „Privacy BlackBox“ auf juristischer Seite betreut und ist dadurch mit modernen Technologien wie z.B. datenschutzkonforme Videoüberwachung und Cloudlösungen bestens vertraut.

„Ich freue mich, dass ich das professionelle Team der aigner business solutions mit meinen interdisziplinären und interkulturellen Kenntnissen unterstützen kann!“