EDSA (Europäischer Datenschutzausschuss)
Der Europäische Datenschutzausschuss (EDSA, englisch EDPB) ist eine unabhängige EU-Einrichtung mit Rechtspersönlichkeit, die seit 2018 die einheitliche Anwendung der DSGVO in allen Mitgliedstaaten sicherstellt und die Zusammenarbeit zwischen nationalen Datenschutzbehörden koordiniert.
Ausführliche Erklärung
Der EDSA wurde mit Inkrafttreten der DSGVO am 25. Mai 2018 eingerichtet und löste die frühere Artikel-29-Datenschutzgruppe ab. Die rechtlichen Grundlagen finden sich in den Artikeln 68 bis 76 der DSGVO. Das Gremium besteht aus den Leiterinnen und Leitern der nationalen Datenschutzaufsichtsbehörden aller EU-Mitgliedstaaten sowie dem Europäischen Datenschutzbeauftragten. Auch die Aufsichtsbehörden der EWR-Staaten Island, Liechtenstein und Norwegen sind bei DSGVO-bezogenen Fragen ohne Stimmrecht vertreten. Die Europäische Kommission nimmt ebenfalls ohne Stimmrecht an den Sitzungen teil.
Die zentrale Aufgabe des EDSA besteht darin, eine einheitliche Auslegung und Anwendung der DSGVO in allen Mitgliedstaaten zu gewährleisten. Dies erfolgt durch mehrere Instrumente: Der Ausschuss veröffentlicht Leitlinien, Empfehlungen und bewährte Verfahren zu allen relevanten Datenschutzthemen – von Einwilligung über Datenschutz-Folgenabschätzung bis zu Datenübertragbarkeit. Diese Dokumente bieten Unternehmen, Behörden und Datenschutzbeauftragten konkrete Orientierung bei der praktischen Umsetzung der DSGVO. Darüber hinaus berät der EDSA die EU-Kommission in Datenschutzfragen und kann im Rahmen des Kohärenzverfahrens bei Streitigkeiten zwischen nationalen Aufsichtsbehörden verbindliche Beschlüsse erlassen.
Für KMU sind die Veröffentlichungen des EDSA besonders relevant, da sie maßgeblich die Auslegung der DSGVO-Anforderungen prägen und damit auch die Prüfpraxis nationaler Datenschutzbehörden beeinflussen. Die Leitlinien geben Rechtssicherheit bei oft komplexen Fragen wie der rechtmäßigen Rechtsgrundlage für Datenverarbeitungen, dem Einsatz von Cloud-Diensten oder dem internationalen Datentransfer. Der EDSA veröffentlicht zudem jährlich einen Tätigkeitsbericht und stellt alle Dokumente auf seiner Website edpb.europa.eu zur Verfügung – viele davon auch in deutscher Sprache.
Die Entscheidungsfindung im EDSA erfolgt durch Plenarsitzungen, bei denen jedes Mitglied eine Stimme hat. Die inhaltliche Vorbereitung übernehmen thematische Unterarbeitsgruppen. Das Sekretariat wird vom Europäischen Datenschutzbeauftragten bereitgestellt. Für Deutschland ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit gemeinsamer Vertreter im EDSA, unterstützt durch eine stellvertretende Landesbehörde.
Praxisbeispiel
Ein österreichisches Softwareunternehmen mit 85 Mitarbeiterinnen und Mitarbeitern plant den Einsatz von Cloud-Diensten eines US-Anbieters für Kundendaten. Um die datenschutzrechtlichen Anforderungen zu klären, konsultiert die Datenschutzbeauftragte die EDSA-Leitlinien zu internationalen Datentransfers und Standardvertragsklauseln. Diese Leitlinien helfen ihr, eine rechtskonforme Lösung zu entwickeln und die erforderliche Transferfolgenabschätzung durchzuführen – und liefern gleichzeitig Argumente gegenüber der Geschäftsführung, warum zusätzliche Schutzmaßnahmen notwendig sind.