• Home
  • Datenschutz
  • EDPB: Ergeb­nis­se des „Coor­di­na­ted Enforce­ment Frame­work“ zu DPOs

EDPB: Ergeb­nis­se des „Coor­di­na­ted Enforce­ment Frame­work“ zu DPOs

Zur Koor­di­na­ti­on der Akti­vi­tä­ten der Auf­sichts­be­hör­den durch den Euro­päi­schen Daten­schutz­aus­schuss (EDSA) bil­det das „Coor­di­na­ted Enforce­ment Frame­work“ (CEF; koor­di­nier­ter Durch­set­zungs­rah­men) einen Rah­men, wobei jeweils jähr­lich ein bestimm­tes The­ma ver­folgt wird. Das erste The­ma war der Ein­satz von Cloud durch öffent­li­che Orga­ne, das zwei­te die Rol­le von DPOs (sie­he hier).

Nun liegt ein noch pro­vi­so­ri­scher Bericht über die Ergeb­nis­se des CEF DPOs vor (hier). Ins­ge­samt sei­en die Ergeb­nis­se ermu­ti­gend, aber es sei den­noch not­wen­dig, die Rol­le des DPO zu stär­ken. Dazu müs­sen die Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­ter die erfor­der­li­chen Res­sour­cen bereit­stel­len, ein­schliess­lich ent­spre­chen­der Bud­gets – sicher ein wich­ti­ger Punkt, denn ein DPO ohne aus­rei­chen­de Res­sour­cen ist unab­hän­gig von der Ein­glie­de­rung in die Orga­ni­sa­ti­on und die Report­ing Lines fak­tisch nicht unab­hän­gig (weil er nur noch auf Busi­ness­an­fra­gen reagie­ren kann). Fest­ge­stellt wur­de auch, dass sich Auf­sichts­be­hör­den zudem wei­te­re Leit­li­ni­en des EDSA für DPO wün­schen – man darf anneh­men, dass die ent­spre­chen­den Leit­li­ni­en des EDSA zu DPOs auf­da­tiert werden.

Der Bericht ent­hält inter­es­san­te Sta­ti­sti­ken zu den DPOs. Der EDSA hält fer­ner fest, dass DPOs intern oft Schlüs­sel­rol­len haben, auch im Bereich der AI und des DSA, und mit Auf­ga­ben auch im Bereich der AI, der Ethik oder der Data Gover­nan­ce betraut sind. Das ist ver­brei­tet und wird vom EDSA auch nicht als unzu­läs­sig einestuft, kön­ne aber das Risi­ko von Inter­es­sen­kon­flik­ten erhö­hen und die Res­sour­cen­knapp­heit verschärfen:

Even lea­ving asi­de the time neces­sa­ry to deve­lop and main­tain exper­ti­se in the GDPR, CJEU
case law, EDPB’s gui­de­lines and natio­nal data pro­tec­tion laws and prac­ti­ces (which, by its­elf, is a task
which must be given ade­qua­te time and resour­ces), the new deve­lo­p­ments rela­ting to the European
Data Stra­tegy and the so-cal­led Big Five laws (the Digi­tal Ser­vices Act, the Digi­tal Mar­kets Act, the Data
Gover­nan­ce Act, the Data Act and the Arti­fi­ci­al Intel­li­gence Act) may them­sel­ves take up more
edu­ca­ti­on time than curr­ent­ly gran­ted to many DPOs. This the­r­e­fo­re reflects an area of genuine
con­cern, as DPOs can only pro­per­ly ful­fil their roles and pro­vi­de their full bene­fits if they are
ade­qua­te­ly trained.