EDSA: Ergebnisse der „Coordinated Action“ aus 2023
09.02.2024
Zusammenfassung
Mitte Januar hat der Europäische Datenschutzausschuss (kurz „EDSA“) die Ergebnisse des koordinierten Prüfung der Datenschutzbeauftragten veröffentlicht. Beteiligt waren 25 Aufsichtsbehörden aus dem gesamten Europäischen Wirtschaftsraum (EWR), die Fragebögen an Unternehmen verschickt und die Ergebnisse ausgewertet haben. Die 17.000 Antworten daraus wurden nun näher eingeordnet, analysiert und aufbereitet.
5 Minuten Lesezeit
Mitte Januar hat der Europäische Datenschutzausschuss (kurz „EDSA“) die Ergebnisse des koordinierten Prüfung der Datenschutzbeauftragten veröffentlicht. Beteiligt waren 25 Aufsichtsbehörden aus dem gesamten Europäischen Wirtschaftsraum (EWR), die Fragebögen an Unternehmen verschickt und die Ergebnisse ausgewertet haben. Die 17.000 Antworten daraus wurden nun näher eingeordnet, analysiert und aufbereitet.
Laut Pressemitteilung sieht man „areas of improvement“ hinsichtlich der Rolle des Datenschutzbeauftragten, zieht aber gleichzeitig auch eine positive Bilanz: „Despite some concerns and challenges faced by some DPOs (such as the lack of designation of a DPO, even if mandatory; insufficient resources or expert knowledge for the DPO; DPOs not being fully entrusted with the tasks required under data protection law; lack of independence or of reporting to the highest management), the results are encouraging. The majority of the DPOs interrogated declare that they have the necessary skills and knowledge to do their work and receive regular trainings; they have clearly defined tasks in line with the GDPR and do not receive instructions on how to exercise their duties.“
Statements der nationalen Datenschutzbehörden
Die einzelnen nationalen Aufsichtsbehörden hatten sich im Rahmen der gemeinsamen Prüfaktion an verschiedene Unternehmen gewandt und in einem kurzen Fragebogen die Implementierung des Datenschutzbeauftragten in der Organisation hinterfragt. Die einzelnen Analysen, die der EDSA ebenfalls veröffentlichte, fallen zwar in ihren Ausprägungen leicht unterschiedlich aus, zeigen jedoch gleichzeitig europaweit Lücken bei der richtigen Implementierung.
„Unsere Prüfverfahren bei mehr als 30 ausgewählten Unternehmen – repräsentativ für die bayerische Wirtschaft vom Kleinunternehmen bis zum Global Player – ergeben zunächst noch ein gemischtes Bild. In der deutlichen Mehrzahl unserer Prüfungen mussten wir durch Nachfragen problematische Befunde angreifen. Nun werden wir auf Grundlage weiterer Informationen klären, ob die Datenschutzorganisation der geprüften Unternehmen den Anforderungen der Datenschutz-Grundverordnung genügt. Unsere Untersuchungen zu einzelnen Merkmalen wie den Ressourcen, den Aufgaben oder Zusatzfunktionen oder auch der Art und Weise, wie Datenschutzbeauftragte der obersten Führungsebene Bericht erstatten können, hat in mehreren Fällen Missverständnisse offengelegt oder auch mangelndes Bewusstsein dafür gezeigt, wie Datenschutzbeauftragte in die Compliance-Mechanismen von Unternehmen integriert werden sollten.“ – so der Präsident des BayLDA Michael Will.
Ein ähnliches Resümee zieht auch die italienische Aufsichtsbehörde („Garante“): [übersetzt aus dem Italienischen] „Die Ergebnisse der vom Garante versandten Fragebögen offenbarten klare Unterschiede mit Blick auf die von der Datenschutz-Grundverordnung geforderten Kompetenzen und der wirksamen Einbindung des Datenschutzbeauftragten in Fragen des Schutzes personenbezogener Daten sowie einer klaren Definition des übertragenen Aufgabenbereichs. Aus den Antworten ging hervor, dass der Verantwortliche nicht dokumentiert begründete, weshalb er den Datenschutzbeauftragten nicht berücksichtig hat. Außerdem wurde berichtet, dass nicht direkt an die Geschäftsleitung, sondern nur an andere Funktionen berichtet werden konnte.“
Ein deutlich positiveres Bild zeichnet die österreichische Aufsichtsbehörde, die sich allerdings auf Datenschutzbeauftragte im Finanzsektor beschränkte: „Die Branche ist gut aufgestellt“, resümiert Behördenleiter Schmidl.
Empfehlungen und Schlussfolgerungen des EDSA
Der Europäische Datenschutz-Ausschuss hat in seinem Report aufbauend auf den gewonnenen Erkenntnissen der Behörden klare Empfehlungen ausgesprochen, die nicht nur Behörden sondern den Unternehmen selbst als Orientierungshilfe dienen können. So hielt man unter anderem fest:
- Kein DSB benannt (selbst bei Verpflichtung): Die Unternehmen sollten besser über die Position des DSB informiert werden. Außerdem sollten mehr Leitlinien zur Verfügung gestellt werden.
- Mangelnde Ressourcen: Auch hier sei mehr Aufklärung notwendig, wie und welche Ressourcen sinnvoll sind. Auf jeden Fall seien die Unternehmen gefordert, von Fall zu Fall zu analysieren, was der DSB braucht. – Außerdem sei dem DSB ausreichend Zeit für Fort- und Weiterbildung zu gewähren.
- Aufgabenbereich: Den Datenschutzbeauftragten seien von der Unternehmensführung passende Rahmenbedingungen zu geben, um ihre Rolle in angemessener Weise, umfassend und unabhängig zu gestalten.
- Interessenskonflikt: Den Datenschutzbeauftragten solle es erleichtert werden, darzulegen, dass seine Unabhängig gefährdet sei.
- Bericht an Geschäftsführung: Die Möglichkeit der Berichterstattung an die Geschäftsführung müsse jederzeit gewährleistet sein.
Fazit: Handlungsbedarf für Unternehmen
Nach mehr als fünf Jahren Anwendung der Datenschutz-Grundverordnung zeigt sich, dass insbesondere bei der Einbindung der Datenschutzbeauftragten noch Verbesserungsbedarf besteht. Von zentraler Bedeutung sind dabei die Sicherstellung der fachlichen Qualifikation und die Vermeidung von Interessenkonflikten. – Für Unternehmen gilt nun, auch selbst diese Aspekte einmal intern zu überprüfen und den Empfehlungen des EDSA zu folgen.
