Europäischer Datenschutzausschuss: Arbeit aufgenommen und erste Guidelines veröffentlicht

Der gemäß Art. 68 DS-GVO eingerichtete Europäische Datenschutzausschuss  (EDSA, englisch European Data Protection Board mit Abkürzung EDPB, Homepage https://edps.europa.eu/) nahm erwartungsgemäß am 25. Mai 2018 seine Arbeit auf. In seiner ersten Sitzung wurden die Guidelines der Artikel-29-Datenschutzgruppe anerkannt, siehe die EDSA-Veröffentlichung „Endorsement of GDPR WP29 guidelines by the EDPB“ bzw. auch die Webseiten

• Guidelines relevant for controllers and processors
• Guidelines on your rights

bei EDSA.

Insgesamt wurden so 16 der existierenden Papiere der Artikel-29-Datenschutzgruppe anerkannt:

1. Guidelines on consent under Regulation 2016/679, WP259 rev.01
2. Guidelines on transparency under Regulation 2016/679, WP260 rev.01
3. Automated individual decision – making and profiling Guideline s on Automated individual decision – making and Profiling for the purposes of Regulation 2016/679, WP251 rev.01
4. Personal data breach notification Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01
5. The right to data portability Guidelines on the right to data portability under Regulation 2016/679, WP242 rev.01 (auch in deutsch verfügbar)
6. Data protection impact assessment Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of
   Regulation 2016/679, WP248 rev.01 (auch in deutsch verfügbar)
7. Data protection officers Guidelines on Data Protection Officers (‚DPO‘), WP243 rev.01 (auch in deutsch verfügbar)
8. Lead supervisory authority Guidelines for identifying a controller or processor’s lead supervisory authority, WP244 rev.01 (auch in deutsch verfügbar)
9. Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR
10. Working Document Setting Forth a Co – Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR, WP 263 rev. 01
11. Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data, WP 264
12. Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data, WP 265
13. Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, WP 256 rev.01
14. Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, WP 257 rev.01
15. Adequacy Referential, WP 254 rev.01
16. Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679, WP 253 (auch in deutsch verfügbar)

Weiterhin veröffentlichte EDSA am 30. Mai 2018 auch die ersten beiden „eigenen“ Guidelines:

• Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 (draft)
  https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-12018-certification-and-identifying_en
• Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 (final)
  https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en

Im Draft Paper 1/2018 wird natürlich beschrieben, was im EDPB unter Zertifizierung verstanden wird. Aber insgesamt bleibt man doch sehr an der Oberfläche. Dennoch ist dies sicherlich ein Papier, dass insbesondere Organisationen, die als Zewrtifizierungsorganisationen agieren wollen wie z.B. die von BvD und GDD gegründete Datenschutz Zertifizierungsgesellschaft mbH (DSZ), gründlich lesen und kommentieren werden. Kommentare können bis zum 12. Juli 2018 an EDPB@edpb.europa.eu gesendet werden.

Im Final Paper Guideline 2/2018, welches die Ausnahmeregelungen von Art. 49 DS-GVO betrachtet, wird natürlich auch auf die Einwilligung zur Übermittlung in ein Drittland eingegangen (Art. 49 Abs. 1 lit. A DS-GVO). Darin wird auch noch einmal deutlich geschrieben, dass eine informierte Einwilligung hier ausdrücklich die Aufklärung hinsichtlich der spezifischen Risiken des Drittlandtransfers beinhalten muss. Das war wohl allen klar, die sich mit dem Thema beschäftigen. Aber in dem Paper wird das noch einmal klar hervorgehoben und ist damit „amtlich“. Eine Einwilligung in ein Drittlandtransfer kann nur eine einmalige, individuelle Prozedur darstellen, eine generelle Einwilligung wird kaum möglich sein (siehe Abschnitt 2.1.2 des Papiers).

Autor: Bernd Schütze