Jahresbericht 2021 - Zusammenfassung

Einleitung

Während meiner Schlussworte auf der Konferenz zu Computern, Privatsphäre und Datenschutz (CPDP) im Januar 2021 habe ich meine Hoffnung mit den Teilnehmern geteilt. Hoffnung, dass wir aus der Einsamkeit der Lockdowns mit der geteilten, gemeinsamen Erfahrung herauskommen, dass wir dies füreinander durchlebt haben; dass die Solidarität, die wir erfahren haben, uns als Gesellschaft stärker macht; und dass diese gemeinsame Erfahrung etwas ist, worauf wir in Zukunft aufbauen können.

Während ich diese Zeilen schreibe und versuche, mir dieses vergangene Jahr ins Gedächtnis zu rufen, fällt es mir schwer, nicht an die Gegenwart zu denken. Die Gräueltaten des Krieges wie auch die Tragödie der Pandemie lassen uns erkennen, wie Solidarität uns einander näherbringt und uns hilft, die düsteren Zeiten zu überwinden.

Nicht von ungefähr ist Solidarität eine der wichtigsten Säulen der EDSB-Strategie 2020-2024. Ich bin stolz darauf, dass unseren Worten im Jahr 2021 Taten folgten. Unsere Beaufsichtigung der Organe, Agenturen und sonstigen Stellen der EU (EU-Institutionen) gründet auf der tiefen Überzeugung, dass hohe Standards bei der Einhaltung der Rechtsvorschriften durch die Behörden der EU eine notwendige Voraussetzung für deren Effizienz sind. Eine effiziente Verwaltung ist eine Verwaltung, die die Rechtsstaatlichkeit achtet und auf der Grundlage des Rechts handelt, anstatt es zu umgehen.

Der EDSB ist verpflichtet, die EU-Institutionen dabei zu unterstützen. Wir nehmen mit Genugtuung das insgesamt hohe Maß der Einhaltung der Datenschutzgrundsätze in Bezug auf die Maßnahmen zur Bekämpfung der Pandemie zur Kenntnis, wie es auch die Ferninspektionen, Leitlinien und Schulungen belegt haben.

Der Beschluss des EDSB, Europol anzuweisen, Datensätze zu löschen, die keinen Bezug zu einer kriminellen Aktivität haben, sollte auch vor dem Hintergrund unserer Einhaltung der Rechtsstaatlichkeit sowie eines ausgereiften Systems der Kontrolle und Gegenkontrolle gesehen werden. Der EDSB wünscht sich starke EU-Institutionen. Diese Stärke kann jedoch nur auf der uneingeschränkten Erfüllung des Auftrags gründen, der ihnen vom EU-Gesetzgeber erteilt wurde. Keine andere Grundlage kann langfristig Ergebnisse bringen.

Im Bereich der politischen Beratung sind unsere Bemühungen unter den Beispielen, die im Jahresbericht 2021 zu finden sind, in den Stellungnahmen, die wir zu einer Reihe von Initiativen des EU-Gesetzgebers abgegeben haben, die sich auf den Schutz personenbezogener Daten natürlicher Personen beziehen, wie etwa das Gesetz über digitale Dienste oder das Gesetz über digitale Märkte, nachzulesen. Unsere Stellungnahmen beruhen auf der Überzeugung, dass in Europa generierte Daten für europäische Unternehmen und Einzelpersonen in Wert umgewandelt und nach Maßgabe der europäischen Werte zur Gestaltung einer sichereren digitalen Zukunft verarbeitet werden.

Der EDSB ist seit jeher eine Einrichtung, die über die Landschaft der EU-Institutionen hinausblickt. Wir haben uns dem Erfolg der EU im Bereich der Grundrechte auf Privatsphäre und auf Schutz personenbezogener Daten verschrieben. Wir sehen der Zukunft in dem Glauben entgegen, dass auch wir für den Erfolg der Datenschutz-Grundverordnung (DSGVO) Verantwortung tragen, und daher haben wir unsere aktive Mitwirkung an der Arbeit des europäischen Datenschutzausschusses (EDSA) fortgeführt, was sich an der Zahl der Initiativen, die wir vorgeschlagen haben bzw. an denen wir beteiligt waren, ablesen lässt.

Vor allem jedoch sehen wir die Europäische Union als eine durch Werte, nicht durch Grenzen definierte Gemeinschaft. Für den EDSB ist diese Überzeugung eine Motivation, unsere Bemühungen fortzusetzen.

Wir hoffen, dass sich diese Überzeugung in der Europäischen Union im größeren Maßstab durchsetzen wird.

Ich widme diesen Jahresbericht 2021 den Mitarbeitern des EDSB, denen ich nicht genug für ihre Arbeit danken kann.

Wojciech Wiewiórowski

Europäischer Datenschutzbeauftragter

In diesem Kapitel werden die wichtigsten Tätigkeiten und Erfolge des EDSB im Jahr 2021 vorgestellt.

HÖHEPUNKTE DES EDSB IM JAHR 2021

1.1
Internationale Übermittlung personenbezogener Daten

Nach dem Urteil des Gerichtshofs der Europäischen Union in der Rechtssache Schrems II ist der EDSB im Rahmen der Strategie des EDSB für Organe, Einrichtungen und sonstige Stellen der EU (EU-Institutionen) vielfältigen Tätigkeiten und Initiativen nachgegangen bzw. hat diese auf den Weg gebracht, um dem „Schrems II“-Urteil (Schrems II-Strategie des EDSB) vom 29. Oktober 2020 nachzukommen.

Mit der Strategie soll die Einhaltung des Urteils in Bezug auf die Übermittlung personenbezogener Daten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, durch die EU-Institutionen gewährleistet und überwacht werden. Im Rahmen der Strategie gehen wir drei verschiedene Arten von Tätigkeiten nach: Untersuchungen, Genehmigungen und beratende Tätigkeit und allgemeine Handlungsempfehlungen zur Unterstützung der Institutionen, wenn sie ihrer Rechenschaftspflicht nachkommen.

So haben wir insbesondere im Mai 2021 zwei Untersuchungen eingeleitet: die erste zur Nutzung der von Amazon Web Services und Microsoft im Rahmen der Cloud II-Verträge bereitgestellten Cloud-Dienste durch die EU-Institutionen und die zweite zur Nutzung von Microsoft Office 365 durch die Europäische Kommission. Mit diesen Untersuchungen möchte der EDSB die EU-Institutionen dabei unterstützen, die Einhaltung der Datenschutzbestimmungen bei Vertragsverhandlungen mit ihrem Dienstleister zu verbessern.

Darüber hinaus haben wir eine Reihe von Beschlüssen zur Übermittlung personenbezogener Daten in Nicht-EU-/EWR-Länder gefasst. Unsere Beschlüsse beruhen darauf, dass wir prüfen, ob die Instrumente, deren Verwendung die betreffende EU-Institution für die Übermittlung personenbezogener Daten außerhalb der EU bzw. des EWR erwägt, im Wesentlichen ein gleichwertiges Schutzniveau für personenbezogene Daten jedes Einzelnen bieten wie die EU bzw. der EWR.

1.2
COVID-19 und Datenschutz: wir setzen unsere Bemühungen fort

Das ganze Jahr 2021 über hat der EDSB die COVID-19-Pandemie und ihre Auswirkungen auf den Datenschutz über seine Taskforce „COVID-19“ beobachtet, die ursprünglich 2020 speziell zu diesem Zweck eingesetzt worden war. Als Datenschutzaufsichtsbehörde der EU-Institutionen und als Arbeitgeber, der wir selbst sind, haben wir Leitlinien erstellt und andere Initiativen auf den Weg gebracht, um die EU-Institutionen bei ihren Verarbeitungsvorgängen in dieser Zeit zu unterstützen.

Da die EU-Institutionen Strategien für die Rückkehr ins Büro entwickelt haben, haben wir am 9. August 2021 Leitlinien mit dem Titel Rückkehr an den Arbeitsplatz und Überprüfung durch die EU-Einrichtungen auf COVID-Immunität oder Infektionsstatus veröffentlicht. Unsere Leitlinien umfassen Empfehlungen zu einer Reihe von Fragen, etwa die mögliche Nutzung der Ergebnisse der Corona-Antigentests durch die EU-Institutionen, die Nutzung des Impfstatus der Mitarbeiter und EU-COVID-Zertifikate.

Die dynamische Entwicklung der COVID-19-Pandemie bedeutet, dass die EU-Institutionen ihre Prozesse ständig anpassen müssen. Daher haben wir eine Umfrage durchgeführt, bei der wir alle EU-Institutionen danach gefragt haben, wie sie aufgrund von COVID-19 ihre Verarbeitungsvorgänge geändert bzw. neue entwickelt haben. Die Umfrage enthielt auch Fragen zu den neuen Verarbeitungsvorgängen der EU-Institutionen; zu den IT-Werkzeugen, die die EU-Institutionen eingeführt oder verbessert haben, um Telearbeit zu ermöglichen; und zu neuen, von EU-Institutionen, die Aufgaben in Verbindung mit der öffentlichen Gesundheit wahrnehmen, eingeführten Verarbeitungsvorgängen. Die Umfrageergebnisse, die den Datenschutzbeauftragten der EU-Institutionen und später auch der Öffentlichkeit mitgeteilt wurden, fließen in die Aktualisierung der bereits vorliegenden EDSB-Leitlinien ein oder tragen zur Ausarbeitung neuer Leitlinien bei, je nachdem, wie sich die Pandemie und die neuen Praktiken, die auch nach ihrem Ende weiter bestehen bleiben werden, entwickeln.

Wir hielten es ferner für notwendig, Schulungen zur Nutzung von sozialen Medien, Instrumenten für Telearbeit und anderen, von EU-Institutionen verwendeten IKT-Werkzeugen anzubieten, da diese Instrumente verstärkt genutzt wurden, um sich während der Pandemie sowohl intern als auch mit den Zielgruppen zu verbinden. Bei unseren Schulungen haben wir hervorgehoben, dass die Nutzung von sozialen Medien und von Videokonferenz-Tools bei der Beurteilung ihrer Auswirkungen auf den Datenschutz und der Ergreifung der notwendigen Maßnahmen, um sicherzustellen, dass der Schutz der Privatsphäre von natürlichen Personen gegeben ist, genauso geprüft werden sollte wie jedes andere IKT-Werkzeug auch. Die Einhaltung des EU-Datenschutzrahmens in diesem Zusammenhang wurde vom EDSB regelmäßig überprüft.

1.3
Aufsicht des Raums der Freiheit, der Sicherheit und des Rechts

2021 setzte der EDSB seine Aufsicht der Einrichtungen und sonstigen Stellen, die Teil des Raums der Freiheit, der Sicherheit und des Rechts (RFSR) sind, fort; diese erstreckt sich auf Politikfelder, die von der Verwaltung der EU-Außengrenzen bis hin zur justiziellen Zusammenarbeit in straf- und zivilrechtlichen Fragen reichen. Der RFSR umfasst auch die Asyl- und Migrationspolitik, die polizeiliche Zusammenarbeit und die Bekämpfung von Kriminalität wie Terrorismus, organisierte Kriminalität, Menschenhandel und Drogen.

Aufsicht über Europol

Zu unserer wichtigen Arbeit im Raum der Freiheit, der Sicherheit und des Rechts gehören auch unsere Aufsichtstätigkeiten in Bezug auf die Verarbeitung personenbezogener Daten durch Europol, die EU-Agentur für die Zusammenarbeit auf dem Gebiet der Strafverfolgung.

Wir beaufsichtigten insbesondere, wie Europol Werkzeuge für maschinelles Lernen nutzt, womit wir zunächst 2019 begonnen haben. In Einklang mit unserer Strategie haben wir uns bei unserer Arbeit auf die Verwendung operativer Daten für die Entwicklung, einschließlich Schulung, Erprobung, Validierung, und auf die Verwendung von Modellen des maschinellen Lernens für die Zwecke der Datenwissenschaft konzentriert und werden uns auch weiterhin darauf konzentrieren. Unsere Aufsichtsfunktion bestand aus einer Untersuchung aus eigener Initiative, gefolgt von einer vorherigen Konsultation vom Februar 2021, die uns dazu veranlasst hat, eine Stellungnahme mit 21 Empfehlungen abzugeben, denen Europol nachkommen sollte, um mögliche Verstöße gegen die Europol-Verordnung zu vermeiden. In unserer Stellungnahme haben wir insbesondere vorgeschlagen, dass Europol einen internen Governance-Rahmen schaffen soll, um zu gewährleisten, dass Europol bei der Entwicklung von Modellen für maschinelles Lernen die Gefahren für die Grundrechte und Grundfreiheiten erkennt, die sich aus der Nutzung dieser innovativen Technologien ergeben, selbst wenn Europol möglicherweise nicht immer in der Lage ist, aufgrund des derzeitigen Stands der Technik alle diese Risiken zu vermeiden. Die Entwicklung und Nutzung solcher Modelle war auch eines der Themen der Jährlichen Untersuchung von Europol im September 2021. Die Untersuchung erstreckte sich auf den Prozess zur Entwicklung von Werkzeugen für maschinelles Lernen und die damit verbundene Datenschutz-Risikobewertung.

Ein weiterer wichtiger Teil unserer Arbeit im Jahr 2021 bezog sich auf unsere Untersuchung der Verarbeitung großer Datensätze durch Europol, die erstmals 2019 stattfand. Im Dezember 2021 haben wir beschlossen, von unserer Berichtigungsbefugnis Gebrauch zu machen, und haben einen Auftrag erteilt - der Europol offiziell am 3. Januar 2022 mitgeteilt wurde -, Daten über Einzelpersonen zu löschen, die keinen Bezug zu einer kriminellen Aktivität haben (Kategorisierung der betroffenen Personen). Konkret haben wir Europol eine sechsmonatige Aufbewahrungsfrist zum Filtern und Extrahieren der personenbezogenen Daten und eine zwölfmonatige Frist auferlegt, um dem EDSB-Beschluss nachzukommen. Diesem Beschluss ging voraus, dass der EDSB Europol im September 2020 wegen der weiteren Speicherung großer Datenmengen ohne Kategorisierung der betroffenen Personen ermahnt hatte, was ein Risiko für die Grundrechte jedes Einzelnen darstellt.

Aufsicht über Eurojust

2021 arbeitete der EDSB weiterhin eng mit dem DSB und anderen, für operative Aufgaben zuständigen Bediensteten von Eurojust, der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen, in Form von informeller Beratung - bei Bedarf - zusammen.

Nach dem Abschluss des Abkommens über Handel und Zusammenarbeit zwischen der EU und dem Vereinigten Königreich haben wir an der Feinabstimmung der Beziehungen von Eurojust zu den zuständigen britischen Behörden mitgewirkt. Der EDSB wurde beratend in praktischen Datenschutzfragen tätig und gab Stellungnahmen zu den Arbeitsvereinbarungen zwischen Eurojust und dem britischen Innenministerium ab.

Unser erstes Datenschutzaudit der Datenschutzpraktiken von Eurojust, das zunächst für 2020 geplant war und dann aufgrund der Pandemie verschoben wurde, fand im Oktober 2021 statt. Das Audit des EDSB drehte sich schwerpunktmäßig um die Verarbeitung operativer personenbezogener Daten durch Eurojust; untersucht wurden dabei Datenübermittlungen im Rahmen der Außenbeziehungen von Eurojust, die Funktionsweise des justiziellen Terrorismusregisters und Datensicherheit sowie insbesondere die Nutzung und Leistung des Fallbearbeitungssystems von Eurojust. Im Anschluss an den Besuch des EDSB vor Ort im Rahmen des Audits haben wir festgestellt, dass alles in allem die Einhaltung des Datenschutzrahmens durch Eurojust zufriedenstellend war und keine relevanten Verstöße vorlagen.

Aufsicht über die EUStA

Die Europäische Staatsanwaltschaft (EUStA), die unabhängige europäische Einrichtung, die befugt ist, Straftaten gegen die finanziellen Interessen der EU zu untersuchen, strafrechtlich zu verfolgen und vor Gericht zu bringen, nahm im Juni 2021 ihre Arbeit auf.

Hierzu standen 2021 die Unterstützung der EUStA bei ihrer Einrichtung vor Aufnahme ihrer Tätigkeit im Mittelpunkt unserer Arbeit und unserer Bemühungen. Für eine erfolgreiche Zusammenarbeit traf der Beauftragte mit der Europäischen Generalstaatsanwältin, Frau Laura Kövesi, zusammen, um über die laufende und die künftige Zusammenarbeit zu sprechen.

Aufsicht über Frontex

2021 unterstützten wir auch die Tätigkeiten von Frontex, der Europäischen Agentur für die Grenz- und Küstenwache, die an der wirksamen Verwaltung der europäischen Grenzen mitwirkt.

Wir haben Frontex bezüglich ihrer Tätigkeiten zur Unterstützung der EU-Mitgliedstaaten bei der Rückführung von Migranten - die die Voraussetzungen für einen Aufenthalt in der EU nicht erfüllen - in ihre Heimatländer beraten. Vor allem haben wir Frontex zu den technischen Instrumenten beraten, die die Agentur und die EU-Mitgliedstaaten in diesem Zusammenhang nutzen, und Beratung zu den Übermittlungen personenbezogener Daten über diese Migranten durch Frontex in Drittländer bereitgestellt.

1.4
Gestaltung der digitalen Zukunft Europas

Wie in unserer EDSB-Strategie 2020-2024 dargelegt, bewerten wir Initiativen, bei denen in Europa generierte Daten für europäische Unternehmen und Personen in Wert umgewandelt und gemäß den europäischen Werten zur Gestaltung einer sichereren digitalen Zukunft verarbeitet werden. Neben anderen Beispielen, die im Jahresbericht 2021 zu finden sind, sind unsere Bemühungen auch in den Stellungnahmen nachzulesen, die wir zu einer Reihe von Initiativen des EU-Gesetzgebers abgegeben haben, die sich auf den Schutz personenbezogener Daten von natürlichen Personen beziehen.

Gesetz über digitale Märkte und Gesetz über digitale Dienste

Im Februar 2021 veröffentlichte der EDSB zwei Stellungnahmen, eine zum Gesetz über digitale Märkte der EU und eine weitere zum Gesetz über digitale Dienste der EU.

Wir haben den Vorschlag für ein Gesetz über digitale Dienste, mit dem eine transparente und sichere Online-Umgebung gefördert werden soll, begrüßt. Wir haben zusätzliche Maßnahmen empfohlen, um Einzelpersonen besser zu schützen, wenn es um Content-Moderation, gezielte Online-Werbung und um von Online-Plattformen verwendete Empfehlungssysteme geht, wie beispielsweise soziale Medien und Marktplätze.

Im Hinblick auf das Gesetz über digitale Märkte haben wir auf die Bedeutung der Förderung wettbewerbsfähiger digitaler Märkte verwiesen, damit Menschen eine größere Auswahl von Online-Plattformen und -Diensten haben, die sie nutzen können.

Künstliche Intelligenz

Im Juni 2021 haben wir zusammen mit dem Europäischen Datenschutzausschuss (EDSA) eine Gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission zum Gesetz über künstliche Intelligenz abgegeben. Angesichts der Rechte jedes Einzelnen auf Privatsphäre und Sicherheit haben wir ein allgemeines Verbot jeglicher Nutzung von künstlicher Intelligenz für die automatische Erkennung menschlicher Züge in öffentlich zugänglichen Räumen gefordert.

Die Cybersicherheitsstrategie der EU

Im März 2021 haben wir eine Stellungnahme zum Vorschlag des EU-Gesetzgebers zur NIS-Richtlinie 2.0 abgegeben, die die bestehende Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS) ersetzen soll und die Teil der Cybersicherheitsstrategie der EU ist. In unserer Stellungnahme haben wir hervorgehoben, dass es entscheidend ist, dass Privatsphäre und Datenschutz in der vorgeschlagenen Richtlinie und in allen künftigen, aus der Cybersicherheitsstrategie der EU hervorgehenden Initiativen verankert werden. Dadurch ist ein ganzheitlicher Ansatz beim Umgang mit Cyberrisiken und beim Schutz personenbezogener Daten von natürlichen Personen möglich.

Das digitale COVID-Zertifikat der EU

Im April 2021 haben wir zusammen mit dem EDSA eine Gemeinsame Stellungnahme zu den Vorschlägen für ein digitales COVID-Zertifikat der EU abgegeben. Mit dem digitalen COVID-Zertifikat soll die Ausübung des Rechts auf Freizügigkeit innerhalb der EU während der COVID-19-Pandemie durch Schaffung eines gemeinsamen Rahmens für die Ausstellung, Überprüfung und Anerkennung interoperabler COVID-19-Zertifikate über die Impfung, Testung und Genesung erleichtert werden.

Mit dieser Gemeinsamen Stellungnahme haben wir die Mitgesetzgeber gebeten sicherzustellen, dass das digitale COVID-Zertifikat der EU voll und ganz mit den EU-Rechtsvorschriften über den Schutz personenbezogener Daten in Einklang steht. In unserer Gemeinsamen Stellungnahme haben wir unterstrichen, dass die Verwendung des digitalen COVID-Zertifikats der EU keinesfalls zu einer direkten oder indirekten Diskriminierung von Personen führen darf und voll und ganz mit den wesentlichen Grundsätzen der Notwendigkeit, Verhältnismäßigkeit und Effektivität in Einklang stehen muss.

1.5
Zunahme der Zahl legislativer Konsultationen

Seit Inkrafttreten der Datenschutzverordnung für EU-Institutionen, Verordnung (EU) 2018/1725, ist die Zahl legislativer Konsultationen deutlich gestiegen.

2021 antwortete der EDSB auf 88 formelle Legislative Konsultationen gegenüber 27 im Jahr 2020. Die 88 legislativen Konsultationen umfassen 12 Stellungnahmen und 76 formelle Bemerkungen zusätzlich zu den 5 Gemeinsamen Stellungnahmen, die zusammen mit dem EDSA abgegeben wurden.

Dieser starke Anstieg lässt sich auf mehrere Faktoren zurückführen.

Es gab eine höhere Zahl von Rechtsetzungsinitiativen mit Bestimmungen, die sich auf den Schutz der Rechte und Freiheiten des Einzelnen in Bezug auf die Verarbeitung auswirken. Daher haben sich mehr EU-Institutionen und Organisationen zum Zweck einer legislativen Konsultation an den EDSB gewandt.

Dieser Anstieg ist aber auch auf die Stärkung der beratenden Funktion des EDSB gemäß Artikel 42 der Verordnung (EU) 2018/1725 zurückzuführen, wo eine klare positive Verpflichtung für die Europäische Kommission begründet wird, uns zu Gesetzesvorschlägen und anderen Vorschlägen zu konsultieren, die sich auf den Schutz der Rechte und Freiheiten des Einzelnen in Bezug auf die Verarbeitung personenbezogener Daten auswirken.

So steigt unter anderem das Bewusstsein für Datenschutzfragen in den Dienststellen der Europäischen Kommission. Diese Sensibilisierung ist sowohl auf die Öffentlichkeitsarbeit des EDSB als auch auf interne Klarstellungen der Europäischen Kommission zurückzuführen.

2021 wurde eine Reihe von wichtigen Stellungnahmen des EDSB insbesondere zu drei Themen abgegeben: digitale Plattformen, Finanzdienstleistungen und Justiz und Inneres.

Unsere Gemeinsamen Stellungnahmen mit dem EDSA erstrecken sich auf die Themen Künstliche Intelligenz, digitales COVID-Zertifikat der EU und Standardvertragsklauseln, um nur einige Beispiele zu nennen.

Unsere 2021 abgegebenen wesentlichen Formellen Bemerkungen betreffen u. a. Justiz und Inneres und das Gesetzespaket für eine Europäische Gesundheitsunion.

1.6
Verfahren vor dem Europäischen Gerichtshof

Im Laufe des Jahres 2021 nahm der EDSB an vier Verhandlungen vor dem Europäischen Gerichtshof (EuGH) zu unterschiedlichen Themen teil. Unsere Nebenintervention in den beim EuGH anhängigen Rechtssachen ist eine konkrete Möglichkeit, unserer Beratungsfunktion nachzukommen. Mit unseren Vorbringen können wir konkrete Datenschutzprobleme hervorheben, um sicherzustellen, dass die Grundrechte jedes Einzelnen auf Privatsphäre und Datenschutz geachtet werden.

Fluggastdatensätze

Im Juli 2021 beantwortete der EDSB schriftliche Fragen des EuGH und nahm an einer mündlichen Verhandlung in einer Rechtssache betreffend die Gültigkeit und Auslegung der EU-Richtlinie 2016/681 über die Verwendung von Fluggastdatensätzen (PNR-Daten) - die auch die Buchungsdaten der Fluggäste bei Reisen umfassen - zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (Rechtssache C-817/19) teil.

Die Klägerin vor dem belgischen Verfassungsgericht, das den Fall verwiesen hat, die Ligue des droits humains -, eine belgische Nichtregierungsorganisation - machte geltend, dass das belgische PNR-Gesetz, mit dem die PNR-Richtlinie umgesetzt worden war, auf unrechtmäßige Weise in das Recht von Einzelpersonen auf Privatsphäre und Schutz ihrer personenbezogenen Daten eingreife. Die Klägerin war insbesondere der Auffassung, dass die damit verbundenen Verarbeitungen von Daten von Einzelpersonen angesichts der im Datenschutzrecht vorgesehenen Kriterien weder notwendig noch verhältnismäßig waren.

Während der Verhandlung hob der EDSB die Notwendigkeit wirksamer Garantien zur Minderung der Risiken, die sich aus der Verarbeitung von PNR-Daten angesichts ihres umfassenden, systematischen und einschneidenden Charakters ergeben, hervor. Der EDSB äußerte aber auch Zweifel an der Vereinbarkeit der Verarbeitung von PNR-Daten aus EU-Flügen und anderen EU-internen grenzüberschreitenden öffentlichen Transportmitteln mit den Verträgen und der EU-Charta der Grundrechte.

Datenspeicherung

Im September 2021 nahm der EDSB an zwei Verhandlungen vor dem EuGH in Rechtssachen im Zusammenhang mit der Datenspeicherung teil.

Bei der ersten Verhandlung ging es um die Vereinbarkeit des deutschen und des irischen Gesetzes über die Speicherung personenbezogener Daten für Strafverfolgungszwecke mit Artikel 15 der Datenschutzrichtlinie für elektronische Kommunikation, in dem Beschränkungen der Rechte jedes Einzelnen auf Privatsphäre und Schutz personenbezogener Daten bei der elektronischen Kommunikation geregelt sind (C-793/19, C-794/19 und C-140/20).

Während der Verhandlung wies der EDSB erneut darauf hin, dass es möglich sein könnte, klare und präzise Rechtsvorschriften für eine begrenzte, aber wirksame Regelung für die Speicherung von und den Zugang zu Verkehrsdaten und Standortdaten der elektronischen Kommunikation vorzusehen, einschließlich Daten von Nutzern, die auf den ersten Blick keinen sachlichen Bezug zum verfolgten Ziel haben, in einer Art und Weise, die mit der EU-Charta der Grundrechte vereinbar ist, und dass die Speicherung und der Zugang zu gespeicherten Daten nicht völlig isoliert voneinander betrachtet werden sollten.

Die zweite Verhandlung betraf zwei französische Rechtssachen in Verbindung mit der Nutzung der Datenspeicherung zur Untersuchung von Insidergeschäften und Marktmanipulationen im Sinne der EU-Richtlinie über Marktmissbrauch und der Marktmissbrauchsverordnung (C-339/20 und C-397/20). Eine der Fragen, die es zu klären galt, war die Frage, ob der nationale Gesetzgeber aufgrund dieser Rechtsvorschriften die allgemeine Speicherung personenbezogener Daten verlangen kann, damit die zuständigen Behörden bei Untersuchungen von Insidergeschäften und Marktmanipulationen Zugriff auf diese Daten haben.

Bei der Verhandlung vertrat der EDSB die Auffassung, dass diese Bestimmungen nicht darauf abzielten, eine Rechtsgrundlage für die Datenspeicherung zu schaffen.

Bekämpfung der Geldwäsche

Im Oktober 2021 nahm der EDSB an einer Verhandlung vor dem EuGH in einer Rechtssache betreffend die EU-Richtlinie 2018/843 zur Verhinderung von Geldwäsche und Terrorismusfinanzierung teil (C-601/20). Konkret ging es bei dieser Verhandlung darum, wie die einschlägigen Bestimmungen dieser EU-Richtlinie in Bezug auf die Regelung des Zugangs der Öffentlichkeit zu Angaben über die wirtschaftlichen Eigentümer auszulegen sind und ob diese Auslegung mit der EU-Charta der Grundrechte und der Datenschutz-Grundverordnung vereinbar ist.

In Einklang mit unserer Stellungnahme zur Bekämpfung der Geldwäsche vom September 2021 haben wir geltend gemacht, dass der Zugang der breiten Öffentlichkeit zu Angaben über die wirtschaftlichen Eigentümer im Sinne der Richtlinie weder notwendig noch verhältnismäßig ist.

1.7
Eine neue Initiative, TechSonar

Einer der Erfolge des EDSB im Jahr 2021 war eine neue Initiative, TechSonar, die wir im September auf den Weg brachten.

Mit unserem Bericht über TechSonar wollen wir frühzeitig neue Technologietrends aufzeigen, um deren künftige Entwicklungen besser zu verstehen, insbesondere ihre potenziellen Auswirkungen auf den Datenschutz und die Privatsphäre jedes Einzelnen.

Diese neue Initiative entstand aus einer Reihe von Überlegungen des EDSB heraus. So hat u. a. die COVID-19-Pandemie den technologischen Wandel beschleunigt, und dabei entstanden neue Technologien und Instrumente. Wir wissen häufig nicht, wie diese Technologien tatsächlich in der Praxis im Wesentlichen genutzt werden, bis sie konkret angewendet werden. Erst dann sind wir in der Lage, den Wert und die Risiken, die diese Technologien möglicherweise für die Gesellschaft mit sich bringen, zu verstehen. Diesbezüglich ist der EDSB der festen Überzeugung, dass es notwendig ist, rechtzeitig zu agieren, was bedeutet, dass wir, anstatt auf neu entstehende Technologien zu reagieren, wenn sich ihr Mehrwert und ihre Risiken für die Gesellschaft bereits abzeichnen, in der Lage sein sollten, ihre Entwicklungen vorauszusehen. Damit könnten wir sicherstellen, dass diese Technologien schon in sehr frühen Phasen ihrer Konzeption gemäß den Grundrechten natürlicher Personen, einschließlich der Rechte auf Privatsphäre und Datenschutz, entwickelt werden.

In diesem Sinne ist TechSonar ein Prozess, der den EDSB in die Lage versetzen soll, den Technologie-Sektor fortlaufend zu analysieren mit dem Ziel, technologische Trends auszuwählen, die für das kommende Jahr bereits absehbar sind.

Mit TechSonar können wir bestimmen und werden dies auch künftig tun, bei welchen Technologien eine Beobachtung heute sinnvoll ist, um für eine nachhaltigere digitale Zukunft gerüstet zu sein, in der der Schutz personenbezogener Daten wirksam garantiert werden kann.

In unserem ersten Bericht über TechSonar 2021 hat sich unser Team interner Experten dafür entschieden, die folgenden sechs sich abzeichnenden Technologietrends näher unter die Lupe zu nehmen: Intelligente Impfzertifikate; synthetische Daten; digitale Zentralbankwährung; „Just Walk Out“-Technologie; biometrische kontinuierliche Authentifizierung; digitale Therapeutik.

1.8
Personal, Haushalt und Verwaltung

Das ganze Jahr 2021 über hat das Referat Personal, Haushalt und Verwaltung (HRBA) des EDSB die Verwaltungs- und operativen Teams des EDSB unterstützt. Damit soll sichergestellt werden, dass ihnen ausreichende finanzielle, personelle und administrative Ressourcen und Instrumente zur Erreichung der Ziele der EDSB-Strategie 2020-2024 zur Verfügung stehen.

Umgang mit der COVID-19-Pandemie

Im Rahmen der 2021 fortgeführten Arbeiten und Initiativen hat das Referat Personal, Haushalt und Verwaltung eine interne Strategie für eine schrittweise und sichere Rückkehr in die Räumlichkeiten des EDSB erarbeitet, die auf die belgischen COVID-19-Maßnahmen und die von anderen EU-Institutionen ergriffenen Maßnahmen abgestimmt ist. In diesem Sinne organisierte das Referat die Rückkehr in die Büros des EDSB in mehreren Phasen während der Pandemie, zusammen mit konkreten Arbeitsregelungen und Gesundheits- und Sicherheitsvorschriften.

Wohlbefinden am Arbeitsplatz

Als Organisation legen wir unser Augenmerk darauf, eine positive Wirkung in unserer Gesellschaft zu erzielen. Einer unserer zentralen Werte ist es, Menschen, einschließlich unserer Mitarbeiter, mit Respekt zu behandeln. Für den Aufbau eines positiven, respektvollen und sicheren Arbeitsumfelds hat das Referat Personal, Haushalt und Verwaltung eine Reihe von Initiativen, die bereits 2021 ins Leben gerufen wurden, fortgeführt, um für ein hohes Maß an Wohlbefinden am Arbeitsplatz für die Mitarbeiter des EDSB zu sorgen; hierzu haben wir eng mit dem für Wohlbefinden zuständigen Koordinator des EDSB zusammengearbeitet.

Einstellung von Datenschutzexperten

Eine der Prioritäten in der Strategie des EDSB für den Zeitraum 2020-2024 sind Investitionen in Wissensmanagement, um für ein Höchstmaß an Qualität bei unserer Arbeit zu sorgen und eine durch Vielfalt gekennzeichnete, interdisziplinäre und talentierte Belegschaft einzustellen. In diesem Sinne haben wir 2021 unser Augenmerk auf die Einstellung von Datenschutzexperten gelegt, um den Anforderungen des EDSB gerecht zu werden.

Anpassung unserer Arbeitsbedingungen

Aufgrund der durch die Pandemie und die Telearbeitsregelung in Vollzeit verursachten Veränderungen unseres Arbeitsumfelds wurde es erforderlich, grundlegend über die Anpassung unserer Arbeitsbedingungen nachzudenken. Wir haben uns Faktoren wie Arbeitszeit, hybrides Arbeiten und Telearbeit vom Ausland aus näher angesehen. Das Referat Personal, Haushalt und Verwaltung hat diese Überlegungen angestoßen und wird neue Regelungen vorschlagen, die von unserer Personalvertretung diskutiert und vereinbart werden. Dabei lautet das Ziel, diese Regelungen bis Mitte 2022 anzunehmen.

Blick in die Zukunft: Schaffung des Europäischen Datenschutzhauses

Nach dem Auszug der europäischen Bürgerbeauftragten Ende Oktober 2021 wurden der EDSB und der EDSA zu den alleinigen Mietern der derzeitigen Räumlichkeiten in Brüssel. Damit war für uns die Voraussetzung gegeben, und wir konnten damit beginnen, unsere Räumlichkeiten als „Das Europäische Datenschutzhaus“ aufzubauen und einzurichten mit dem Ziel, die Drehscheibe für Privatsphäre und Datenschutz der EU in Brüssel zu werden. Das Projekt wurde im Jahr 2021 auf den Weg gebracht und wird das ganze Jahr 2022 über fortgeführt.

1.9
Die Kommunikationstätigkeiten des EDSB

Das Interesse der Öffentlichkeit an und das Engagement für Datenschutz und die Arbeit der Datenschutzbehörden wachsen weiter, was im Hinblick auf die zunehmende Digitalisierung des Alltags der Menschen noch umso mehr der Fall ist. Das Bewusstsein der Menschen für ihren digitalen Fußabdruck und die Bedeutung des Schutzes ihrer personenbezogenen Daten hat ebenso zugenommen wie ihre diesbezüglichen Besorgnisse. Der Sektor Information und Kommunikation des EDSB (I&K-Sektor) möchte daher sicherstellen, dass die Tätigkeiten und Botschaften des EDSB die entsprechenden Zielgruppen zum richtigen Zeitpunkt erreichen.

Die Aufgabe des I&K-Sektors, die in der EDSB-Strategie 2020-2024 bekräftigt wird, besteht darin, die Arbeit des EDSB zu erläutern und zu fördern. Dies verpflichtet uns dazu, Datenschutzprobleme, insbesondere die möglichen Auswirkungen von Verarbeitungsvorgängen und Technologien auf Einzelpersonen und ihre personenbezogenen Daten, einem großen Publikum leichter zugänglich zu machen, indem wir Informationen über den Arbeitsalltag des EDSB in einer klaren Sprache und über geeignete Kommunikationsinstrumente vermitteln.

Hierzu stand 2021 die Entwicklung und Modernisierung der visuellen Identität des EDSB im Mittelpunkt unserer Arbeit. Mit unserer neuen Corporate Identity wollen wir die Funktion des EDSB als weltweit führende Organisation für Fragen des Datenschutzes und des Schutzes der Privatsphäre zum Ausdruck bringen, und zwar nicht nur in der EU, sondern auch darüber hinaus, und ein neues Zeitalter in der Geschichte des EDSB einläuten, bei dem die Gestaltung einer sichereren digitalen Zukunft stärker im Vordergrund steht.

Ein Großteil des Aufwands und der Zeit des I&K-Sektors wird in die Förderung der Tätigkeiten des EDSB auf unseren drei gut etablierten Social-Media-Kanälen investiert: Twitter, LinkedIn und YouTube. Darunter können die Entwicklung von Social-Media-Kampagnen zu spezifischen Themen, die Förderung der Teilnahme des Datenschutzbeauftragten an wichtigen Veranstaltungen und vieles mehr fallen. Wir haben aber auch weiterhin Inhalte erzeugt und auf der EDSB-Website veröffentlicht. Dies umfasst die Veröffentlichung von Informationsblättern, unseren immer umfangreicher werdenden Newsletter, Blogposts zu einem breiten Themenspektrum und die Pressemitteilungen des EDSB, um nur einige wenige Beispiele zu nennen.

1.10
Wesentliche Leistungsindikatoren (KPI)

Wir verwenden eine Reihe von wesentlichen Leistungsindikatoren (Key Performance Indicators, KPI), die uns dabei helfen, unsere Leistung im Lichte der in der Strategie des EDSB festgelegten Hauptziele zu überwachen. Hierdurch wird sichergestellt, dass wir unsere Tätigkeiten gegebenenfalls anpassen können, um die Wirkung unserer Arbeit und die Effizienz unserer Ressourcennutzung zu erhöhen.

Der nachstehende KPI-Anzeiger enthält eine kurze Beschreibung der einzelnen wesentlichen Leistungsindikatoren und zeigt die zum 31. Dezember 2021 erzielten Ergebnisse. Diese Ergebnisse werden an anfänglichen Zielvorgaben oder an den als Indikatoren verwendeten Ergebnissen des Vorjahres gemessen. Diese KPIs wurden Ende 2020 teilweise überarbeitet, um zu gewährleisten, dass die Leistungskennzahlen an die Entwicklungen der Tätigkeiten des EDSB angepasst sind.

2021 haben wir die vorgegebenen Ziele bei acht von neun KPI erreicht oder - in manchen Fällen deutlich – übertroffen, wobei wir bei einem KPI, nämlich KPI 8, der Stellenbesetzungsquote des Stellenplans, nur knapp unter der Zielvorgabe lagen.

Diese Ergebnisse belegen eindeutig die positive Bilanz bei der Umsetzung unserer strategischen Ziele im Laufe des Jahres, trotz der schwierigen Rahmenbedingungen, unter denen der EDSB weiterhin im Zusammenhang mit der COVID-19-Pandemie agieren musste.

WESENTLCIHE LEISTUNGSINDIKATOREN (KPI)		Ergebnisse 31.12.2021	Ziel 2021
KPI 1 Interner Indikator	Anzahl der vom EDSB (ko)organisierten Initiativen, einschließlich Veröffentlichungen, zur Verfolgung technologischer Entwicklungen und zur Förderung von Technologien zur Stärkung von Privatsphäre und Datenschutz	16 Initiativen	10 Initiativen
KPI 2 Interner & externer Indikator	Anzahl der Aktivitäten zur schwerpunktmäßigen Ermittlung interdisziplinärer politischer Lösungen (intern und extern)	8 Aktivitäten	8 Aktivitäten
KPI 3 Interner Indikator	Anzahl der Fälle auf Ebene der internationalen Zusammenarbeit (GPA, Europarat, OECD, GPEN, Frühjahrskonferenz, internationale Organisationen), zu denen der EDSB einen erheblichen schriftlichen Beitrag geleistet hat	17 Fälle	5 Fälle
KPI 4 Externer Indikator	Anzahl der Stellungnahmen gemäß Artikel 42 und gemeinsamen Stellungnahmen des EDSB und des EDSA, die als Reaktion auf die legislativen Konsultationsersuchen der Europäischen Kommission abgegeben wurden	23 Fälle	5 Fälle
KPI 5 Externer Indikator	Anzahl der Stellungnahmen gemäß Artikel 42 und gemeinsamen Stellungnahmen des EDSB und des EDSA, die als Reaktion auf die legislativen Konsultationsersuchen der Europäischen Kommission abgegeben wurden	17	Vorjahr als Referenzjahr
KPI 6 Externer Indikator	Anzahl der physisch oder aus der Ferne durchgeführten Prüfungen/Besuche	4 Prüfungen + 1 Besuch 43 EUIs betroffen	3 different audits/visits 30 EUIs impacted
KPI 7 Externer Indikator	Zahl der Follower des EDSB in den sozialen Medien	Twitter: 25826 LinkedIn: 49575 YouTube:2438	Ergebnisse des Vorjahres + 10%
KPI 8 Interner Indikator	Stellenbesetzungsquote des Stellenplans	88%	90%
KPI 9 Interner Indikator	Haushaltsvollzug	86,12%	80%

KONTAKT ZUR EU

Besuch

In der Europäischen Union gibt es Hunderte von „Europe-Direct“-Informationsbüros. Über diesen Link finden Sie ein Informationsbüro in Ihrer Nähe: https://european-union.europa.eu/contact-eu_de

Telefon oder E-Mail

Der Europe-Direct-Dienst beantwortet Ihre Fragen zur Europäischen Union. Sie können den Dienst kontaktieren

• unter der gebührenfreien Rufnummer 00 800 6 7 8 9 10 11 (bei bestimmten Telefondienstanbietern können Gebühren entstehen),
• unter der regulären Rufnummer +32 22999696 oder
• per E-Mail über: https://european-union.europa.eu/contact-eu_de

Informationen über die EU finden

Im Internet

Auf dem Europa-Portal finden Sie Informationen über die Europäische Union in allen Amtssprachen: https://european-union.europa.eu/index_de

You can download or order free and priced EU publications at: https://publications.europa.eu/en/publications

EU-Veröffentlichungen

Sie können – zum Teil kostenlos – EU-Veröffentlichungen herunterladen oder bestellen unter https://op.europa.eu/de/web/general-publications/publications

Wünschen Sie mehrere Exemplare einer kostenlosen Veröffentlichung, wenden Sie sich an Europe Direct oder das Informationsbüro in Ihrer Nähe (siehe https://european-union.europa.eu/contact-eu_de).

Das offene Datenportal der EU (https://data.europa.eu/de

Informationen zum EU-Recht und damit verbundene Dokumente

Rechtliche Informationen der EU, einschließlich aller EU-Gesetze seit 1952, in allen Amtssprachen finden Sie bei EUR-Lex unter http://eur-lex.europa.eu

Offene Daten der EU

Das offene Datenportal der EU (https://data.europa.eu/de ) bietet Zugang zu Daten der EU. Die Daten können heruntergeladen und kostenlos für gewerbliche und nichtgewerbliche Zwecke weiterverwendet werden.