Zur Koordination der Aktivitäten der Aufsichtsbehörden durch den Europäischen Datenschutzausschuss (EDSA) bildet das „Coordinated Enforcement Framework“ (CEF; koordinierter Durchsetzungsrahmen) einen Rahmen, wobei jeweils jährlich ein bestimmtes Thema verfolgt wird. Das erste Thema war der Einsatz von Cloud durch öffentliche Organe, das zweite die Rolle von DPOs (siehe hier).
Nun liegt ein noch provisorischer Bericht über die Ergebnisse des CEF DPOs vor (hier). Insgesamt seien die Ergebnisse ermutigend, aber es sei dennoch notwendig, die Rolle des DPO zu stärken. Dazu müssen die Verantwortlichen und Auftragsbearbeiter die erforderlichen Ressourcen bereitstellen, einschliesslich entsprechender Budgets – sicher ein wichtiger Punkt, denn ein DPO ohne ausreichende Ressourcen ist unabhängig von der Eingliederung in die Organisation und die Reporting Lines faktisch nicht unabhängig (weil er nur noch auf Businessanfragen reagieren kann). Festgestellt wurde auch, dass sich Aufsichtsbehörden zudem weitere Leitlinien des EDSA für DPO wünschen – man darf annehmen, dass die entsprechenden Leitlinien des EDSA zu DPOs aufdatiert werden.
Der Bericht enthält interessante Statistiken zu den DPOs. Der EDSA hält ferner fest, dass DPOs intern oft Schlüsselrollen haben, auch im Bereich der AI und des DSA, und mit Aufgaben auch im Bereich der AI, der Ethik oder der Data Governance betraut sind. Das ist verbreitet und wird vom EDSA auch nicht als unzulässig einestuft, könne aber das Risiko von Interessenkonflikten erhöhen und die Ressourcenknappheit verschärfen:
Even leaving aside the time necessary to develop and maintain expertise in the GDPR, CJEU
case law, EDPB’s guidelines and national data protection laws and practices (which, by itself, is a task
which must be given adequate time and resources), the new developments relating to the European
Data Strategy and the so-called Big Five laws (the Digital Services Act, the Digital Markets Act, the Data
Governance Act, the Data Act and the Artificial Intelligence Act) may themselves take up more
education time than currently granted to many DPOs. This therefore reflects an area of genuine
concern, as DPOs can only properly fulfil their roles and provide their full benefits if they are
adequately trained.