DA+

Kurzbeitrag : Gemeinsame Wege der Datenschutzbeauftragten in Europa : aus der RDV 2/2024, Seite 93-98

Rolle und Bedeutung der Confederation of European Data Protection Organisations (CEDPO)

I. Einführung

Die Confederation of European Data Protection Organisations (CEDPO) ist ein paneuropäischer Berufsverband. CEDPO ist ein notwendiges Sprachrohr, um die kontinuierliche Anerkennung, Präsenz, Vertretung und Förderung der Datenschutzbeauftragten (DSB) und des Berufsstands der Datenschützer gegenüber den gesetzgebenden und regulierenden Instanzen der EU sicherzustellen.

Andererseits gibt dies der CEDPO auch die Möglichkeit, die Prioritäten der Aufsichtsbehörden der Mitgliedstaaten in Bezug auf den Berufsstand der Datenschutzbeauftragten als Ganzes zu vergleichen und gegenüberzustellen.

Beispielsweise haben die Aufsichtsbehörden der Mitgliedstaaten, als der Europäische Datenschutzausschuss (EDPB) die „Koordinierte Prüfung der Rolle des DSB“ initiierte, positiv auf den Aufruf reagiert und die koordinierte Aktion gemeinsam beaufsichtigt, auch wenn sich nicht alle, wie z.B. Deutschland, in vollem Umfang beteiligten.

In diesem kurzen Beitrag werde ich meine privilegierte Perspektive meiner europaweiten Erfahrung mit CEDPO teilen. Ich werde Sie auf eine Reise in drei CEDPO-Mitgliedsländer mitnehmen. In Belgien werde ich untersuchen, wie sich die Rolle des DSB entwickelt, dann nehme ich Sie mit nach Frankreich, wo die geistige Gesundheit des DSB im Vordergrund steht, und beende die Reise in Italien, um die Rolle des DSB aus italienischer Sicht zu beleuchten.

Abschließend möchte ich die wichtige Arbeit der CEDPO durch seine zahlreichen Initiativen hervorheben, wie z.B. die Teilnahme an der Multistakeholder Expert Group und die Arbeit von CEDPO-Arbeitsgruppen wie der AI Working Group und der DPO Working Group.

II. Eine kurze Geschichte

CEDPO wurde im September 2011 von vier europäischen Datenschutzverbänden gegründet, der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) aus Deutschland, der AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel) aus Frankreich, der APEP (Asociación Profesional Española de Privacidad) aus Spanien und der NGFG (Nederlands Genootschap van Functionarissen voor de Gegevensbescherming) aus den Niederlanden.

Im Februar 2014 traten ADPO (The Association of Data Protection Officers) aus Irland, ARGE DATEN aus Österreich und SABI (Stowarzyszenie Inspektorów Ochrony Danych) aus Polen der CEDPO bei. Die jüngsten Neuzugänge bei CEDPO erfolgten zwischen 2018 und 2020, als ASSO DPO (Associazione Data Protection Officer) aus Italien, AEPD (Associação de Encarregados de Proteção de Dados) aus Portugal und ASCPD (Asociatia Specialistilor in Confidentialitate si Protectia Datelor) aus Rumänien Mitgliedsverbände wurden.[1] Derzeit hat CEDPO insgesamt 10 Mitglieder.

III. Zielsetzungen

Die Hauptziele der CEDPO sind:

  • die Förderung der Rolle des Datenschutzbeauftragten,
  • Beratung zu einem ausgewogenen, praktikablen und wirksamen Datenschutz und
  • zu einer besseren Harmonisierung der Datenschutzgesetze und -praktiken in der EU/im EWR beizutragen.

Bedeutung der Organisation

Die CEDPO hat sich der Herausforderung gestellt, die das Konstrukt der EU-27 mit sich bringt, und dient als Instrument zur Erleichterung der Mobilität und Anerkennung der behördlichen Datenschutzbeauftragten in der gesamten EU, indem sie sich für die Harmonisierung und Vereinfachung der Vorschriften und Verfahren für den Zugang und die Ausübung des Datenschutzberufs einsetzt.

Über die CEDPO haben die Mitgliedsorganisationen die Möglichkeit, zur Politikgestaltung und zum Gesetzgebungsprozess auf EU-Ebene beizutragen. Wichtig ist auch, dass CEDPO eine Plattform für die Vernetzung der Mitglieder und den Austausch über bewährte Verfahren, Leitlinien und Unterstützung für die Entwicklung des Berufsstands insgesamt bietet.

Die CEDPO nimmt die Herausforderung an, die das EU-27-Konstrukt mit sich bringt, und dient als Instrument zur Erleichterung der Mobilität und Anerkennung der DSB in der gesamten EU, indem er sich für die Harmonisierung und Vereinfachung der Regeln und Verfahren für den Zugang und die Ausübung des Datenschutzberufs einsetzt.

Über die CEDPO haben die Mitgliedsorganisationen die Möglichkeit, zur Politikgestaltung und zum Gesetzgebungsprozess auf EU-Ebene beizutragen. Wichtig ist auch, dass CEDPO eine Plattform für die Vernetzung der Mitglieder und den Austausch über bewährte Praktiken, Leitlinien und die Unterstützung der Entwicklung des Berufsstandes als Ganzes bietet.

Als Vermittler zwischen den Datenschutzbehörden, Einzelpersonen und den Geschäftsbereichen einer Organisation spielen die DSB eine wesentliche Rolle bei der Einhaltung des Datenschutzrechts und der Förderung eines wirksamen Schutzes der Rechte der Betroffenen.

Wir werden uns nun auf die interessanten Beobachtungen in Belgien, Frankreich und Italien konzentrieren.

Belgien

In Belgien hat die CEDPO keinen Mitgliedsverband für den Datenschutz, da die belgischen Datenschutzverbände und -netze noch relativ jung und weder gut entwickelt noch finanziell gut ausgestattet sind und daher nicht so aktiv und finanziell unabhängig sind wie in anderen EU-Mitgliedstaaten. Ungeachtet der Tatsache, dass die Datenschutzverbände in Belgien noch in den Anfängen stecken, hält die CEDPO die Landschaft der DSB für äußerst wichtig, da Belgien und insbesondere Brüssel der Sitz der EU-Institutionen ist.

Im Jahr 2022 gingen bei der belgischen Datenschutzbehörde 1.525 Meldungen für Datenschutzbeauftragte ein, was einem Rückgang von 15% gegenüber dem Vorjahr (2021) entspricht. Diese Meldungen betreffen sowohl Organisationen, die zum ersten Mal einen DSB gemeldet haben, als auch Organisationen, die einen bereits gemeldeten DSB geändert haben. Am 31.12.2022 hatten insgesamt 7.818 Organisationen – sowohl aus dem öffentlichen als auch dem privaten Sektor – einen aktiven DSB, der seit dem 25.05.2018, dem Inkrafttreten der DS-GVO, bei der Datenschutzbehörde registriert war.

Die belgische Datenschutzbehörde ist auch ein aktiver Teilnehmer an der koordinierten Aktion des EDPB zum Datenschutzbeauftragten für 2023, in der die Bewertung der Funktion des Datenschutzbeauftragten als eine der Hauptprioritäten für das Jahr aufgeführt ist. Die Ergebnisse der von Belgien geleiteten Komponente der europaweiten DSB-Umfrage werden in einem Bericht zusammengefasst und veröffentlicht, um das Bewusstsein für die Probleme der DSB zu schärfen. Die Antworten auf die Umfrage werden es der Datenschutzbehörde auch ermöglichen, mögliche Schwierigkeiten in diesem Bereich zu bewerten und weitere Maßnahmen zur Vorbeugung und/oder Kontrolle zu erwägen.

Zum Vergleich: Die belgische Datenschutzbehörde ist nicht unumstritten. Die Datenschutzbehörde wird derzeit von der Europäischen Kommission wegen eines angeblichen Mangels an Unabhängigkeit (von der Regierung) untersucht. Das Verfahren, das formell als Vertragsverletzungsverfahren bezeichnet wird, wurde 2021 angekündigt und ist noch nicht abgeschlossen.[2] Im Mittelpunkt der Untersuchung steht die Frage, ob die Fähigkeit der Datenschutzbehörde, unabhängig zu handeln, beeinträchtigt ist oder nicht, da eine Reihe ihrer Mitglieder angeblich mit der Regierung verbunden sind oder waren: Die DS-GVO schreibt vor, dass die Aufsichtsbehörden von der Regierung unabhängig sein müssen.

Alles in allem ist das aktuelle Vertragsverletzungsverfahren potenziell schädlich, da es die Glaubwürdigkeit und die Autorität der belgischen Datenschutzbehörde untergräbt. Außerdem werden dadurch das Vertrauen und die Zusammenarbeit zwischen der Datenschutzbehörde und dem DSB in Frage gestellt; eine Ansicht, die bereits geäußert wurde. Zu allem Überfluss stellte die Europäische Kommission 2021 auch noch fest, dass die belgische Datenschutzbehörde nicht über ausreichende finanzielle und personelle Ressourcen verfügt, um ihre Aufgaben effizient zu erfüllen: Ende 2022 hatte die Datenschutzbehörde 66 Mitarbeiter, gegenüber 70 am Ende des Vorjahres, was einem Rückgang von 5,7% entspricht. Der Verwaltungshaushalt stieg jedoch von 2021 auf 2022 um 4,8%.

Wie anderswo in Europa haben sich auch in Belgien die Governance-Struktur und die Verantwortlichkeiten in Bezug auf Datenschutz und Informationssicherheit in den letzten Jahren erheblich weiterentwickelt. Die Hauptursache für dieses verstärkte Bewusstsein für Governance ist auf neu aufkommende Technologien wie die Cloud, Big Data und Initiativen zur Künstlichen Intelligenz zurückzuführen, die die Risiken für die Rechte des Einzelnen und damit auch für die Verarbeitung personenbezogener Daten erhöhen.

Die meisten belgischen DSB sehen, wie ihre Kollegen in ganz Europa, eine Reihe von Bereichen, in denen Verbesserungen möglich sind: Das anhaltende Problem des mangelnden Bewusstseins und der fehlenden Unterstützung auf der obersten Führungsebene bleibt eine zentrale Herausforderung. Dies wird durch die unstrukturierte Zuweisung der Verantwortung für den Datenschutz und/oder die Durchsetzung von Richtlinien innerhalb von Organisationen noch verschärft. Die Folge davon sind fragmentierte und nicht umsetzbare Strategien für Mitarbeiter und Datenschutzprojekte.

Insbesondere mit der Zunahme neuer digitaler Regelungsbereiche, die in den Vordergrund treten, sehen die DSB, dass ihre Funktionen zunehmend voneinander abhängig sind und eine multidisziplinäre Governance-Struktur erforderlich ist; dies könnte dazu führen, dass die DSB in Zukunft mehr Unterstützung von oben erhalten.

In verschiedenen Forschungsquellen und Berichten aus dem Jahr 2022 wird behauptet, dass die drei größten Herausforderungen, mit denen belgische DSB (weiterhin) konfrontiert sind, mit internationalen Übermittlungen, der Zuweisung einer Datenschutzstrategie und der Rechenschaftspflicht auf Unternehmensebene und mit der Identifizierung des Ortes, an dem sich personenbezogene Daten innerhalb von Unternehmen befinden, und der Anwendung von Sicherheitsmaßnahmen die mit dem Schutz der Daten zusammenhängen.

Italien

Die Landschaft in Italien ist im Vergleich zu Belgien völlig anders. In Italien gibt es engagierte DSB-Verbände, darunter der ASSO DPO, das Mitglied der CEDPO ist und im Exekutivorgan der CEDPO vertreten ist.

Fünf Jahre nach Inkrafttreten der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (DS-GVO) leidet Italien noch immer unter einigen Anlaufschwierigkeiten in Bezug auf die Rolle eines DSB. In letzter Zeit war vor allem der Interessenkonflikt ein häufiges Thema, da die für die Verarbeitung Verantwortlichen scheinbar die Verarbeitung von (personenbezogenen) Daten an ihre DSB abtreten wollen.

Im Vergleich zu Deutschland gibt beispielsweise das Bundesdatenschutzgesetz (BDSG) und in § 38 findet man zusätzliche Hinweise darauf, wann und unter welchen Umständen ein DSB bestellt werden sollte. In Italien gibt es jedoch keine anderen nationalen Rechtsvorschriften, die die DS-GVO in Bezug auf die Benennung und Stellung des DSB gem. den Artt. 37 bis 39 der DS-GVO ergänzen.

In diesem Fall sieht Italien also Folgendes vor: „Jeder für die Verarbeitung Verantwortliche oder jeder Auftragsverarbeiter ist verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn er eine oder mehrere der folgenden Voraussetzungen erfüllt“:[3]

  • sie ist eine öffentliche Behörde;
  • seine Kerntätigkeiten bestehen aus Verarbeitungen, die aufgrund ihrer Art, ihres Umfangs oder ihrer
  • Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern oder
  • seine Haupttätigkeit in der Verarbeitung sensibler personenbezogener Daten in großem Umfang besteht.

Wie in vielen CEDPO-Mitgliedsländern gibt es auch in Italien ein strenges Arbeits- und Beschäftigungsrecht, das die Arbeitsplatzsicherheit der DSB stärkt – und in gewissem Maße auch schützt. Mit anderen Worten, es ist sehr schwierig, interne DSB zu entlassen, da die Gerichte dazu neigen, sie zu schützen, wie in vielen anderen Berufen auch.

Tatsächlich gibt es in Italien nur sehr wenig Rechtsprechung zur Entlassung des DSB. Nach meinen Beobachtungen und in Gesprächen mit meinen italienischen Kollegen befürchten die Unternehmen, dass es keine Rechtssicherheit gibt, um vorhersagen zu können, wie eine solche Klage entschieden werden würde. Infolgedessen neigen Unternehmen in Italien eher dazu, externe DSB zu beauftragen. Die Beschäftigungsvorteile dieses Ansatzes bedeuten, dass es einfacher ist, externe DSB von ihren Aufgaben zu entbinden, da die Dauer und der Widerruf des Vertrags im Vertrag selbst festgelegt sind. Beispielsweise haben solche Verträge eine anfänglich vorgeschriebene Mindestlaufzeit und können danach jährlich verlängert werden.

Interessanterweise zeigen anekdotische Belege und Entscheidungen der Aufsichtsbehörde, dass die Rolle eines DSB in Italien nicht vollständig verstanden wird. So behalten einige Unternehmen ihre DSB als Auftragsverarbeiter für personenbezogene Daten im selben Unternehmen.[4] Was die öffentlichen Unternehmen betrifft, so erwerben diese aufgrund des Vergaberechts die Dienste externer DSB im Rahmen öffentlicher Ausschreibungen, was an sich nicht ungewöhnlich ist. Die Ausschreibungsverfahren sind jedoch so strukturiert, dass die Unternehmen mit dem niedrigsten Angebot den Zuschlag erhalten, und zwar auf Kosten der Sachkenntnis und des Knowhows für die Wahrnehmung der Aufgaben des DSB. Dies hat zur Folge, dass solche Unternehmen dazu neigen, qualitativ minderwertige Dienstleistungen anzubieten, was wiederum oft auch die Grundkenntnisse über die Rolle der DSB widerspiegelt. Dies führt dazu, dass externe DSB fehlgeleitet werden und den Rahmen sprengen, indem sie alles ausführen, was der für die Verarbeitung Verantwortliche verlangt, ohne Rücksicht auf etwaige Konflikte zu nehmen. So verlangen beispielsweise einige Unternehmen von ihren DSB, dass sie als Auftragsverarbeiter für denselben für die Verarbeitung Verantwortlichen tätig werden, bei dem sie als DSB tätig sind.

Eine weitere interessante Beobachtung ist, dass die für die Verarbeitung Verantwortlichen dazu neigen, die Verantwortung für die Verarbeitungstätigkeiten an die DSB abzutreten. Dies ist insofern interessant, als es dem Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO widerspricht. Ich würde gerne den „Vorteil des Zweifels“ geben, dass dies auf ein grundlegendes Unverständnis der Rolle des DSB zurückzuführen ist und nicht auf eine eklatante Missachtung des Gesetzes.

Abgesehen davon ist die größte Herausforderung für die meisten DSB der Zugang zu den Aufsichtsbehörden gemäß Art.  36 DS-GVO. Zunächst einmal muss ich einschränkend sagen, dass die Aufsichtsbehörde zugänglich ist, wenn auch nur in Angelegenheiten, die die in den Artt. 33 und 34. Aufgrund begrenzter Ressourcen hat die Garante jedoch das Zeitfenster für Beratungsgespräche von drei Stunden auf zwei Stunden pro Tag reduziert, wodurch sie für die behördlichen Datenschutzbeauftragten zunehmend unzugänglich geworden ist.

Frankreich

In Frankreich richten die Behörden ihr Interesse auf das Wohlergehen der DSB. Aus diesem Grund hat der CEDPOMitgliedsverband AFCDP eine Hotline eingerichtet, an die sich DSB mit Fragen zur psychischen Gesundheit wenden können, die sich aus ihrer Arbeit als DSB ergeben.

Gleichwohl gibt es in jedem Beruf Herausforderungen, die nicht nur für einen bestimmten Beruf typisch sind, wie z.B. ein Mangel an finanziellen oder sonstigen Ressourcen. In Frankreich nimmt der Beruf des DSB jedoch eine Sonderstellung ein, da er zwar spannend ist, aber aufgrund der hohen Arbeitsbelastung, des Mangels an Ressourcen, der unzureichenden Unterstützung oder der Spannungen mit bestimmten Unternehmensabteilungen oder sogar mit dem für die Datenverarbeitung Verantwortlichen selbst als besonders stressig gilt. Es gibt aber auch Situationen, in denen der DSB so stark unter Druck steht, dass er sein Selbstvertrauen verliert, seine Unabhängigkeit aufgibt, sich isoliert sieht, zum Ausscheiden aus dem Amt gedrängt oder sogar entlassen wird. In schweren Fällen wurde beim DSB eine Depression diagnostiziert[5].

Die Rolle des DSB in Frankreich ist zwar seit der Umsetzung der DS-GVO fest etabliert, hat aber eine längere Vorgeschichte. Vor der DS-GVO gab es die „Correspondants Informatique et Libertés (CIL)“, die durch eine Änderung des französischen Datenschutzgesetzes im Jahr 2004 geschaffen wurden. Diese Geschichte kommt den heutigen Datenschutzbeauftragten zugute, die die Erfahrungen der Vergangenheit für eine bessere Organisation nutzen.

Die französische DSB-Landschaft ist durch die Präsenz von mindestens fünf Verbänden gekennzeichnet, von denen die 2004 gegründeten AFCDP (CEDPO-Mitglied) die wichtigste und älteste ist. Diese Organisationen spielen eine Schlüsselrolle bei der Unterstützung des DSB, indem sie ein Netzwerk und professionelle Unterstützung anbieten. Gleichzeitig leistet die 1978 gegründete CNIL mit ihren beträchtlichen Ressourcen eine wichtige Unterstützung und erleichtert den DSB bei der Erfüllung seiner Aufgaben. Die CNIL verfügt über einen eigenen DSB-Dienst, der ein privilegierter Ansprechpartner für die DSB und ihre repräsentativen Verbände in Frankreich ist.

In der Vergangenheit war das Wohlergehen der DSB (oder von CIL) nicht unbedingt ein wichtiges Anliegen. Dieser Trend hat sich jedoch in den letzten Jahren deutlich geändert. Das wachsende Interesse am Wohlergehen der DSB zeigt sich in der Einführung von Studien, die sich zumindest teilweise mit Themen im Zusammenhang mit dem Wohlergehen befassen. Im Jahr 2019 wurde eine Reihe jährlicher Studien eingeleitet, die zum ersten Mal einen umfassenden Überblick über die Situation der DSB in Frankreich bieten.

Diese Studien, die vom Arbeitsministerium mit Unterstützung von unter anderem AFCDP (CEDPO-Mitglied) und CNIL durchgeführt wurden, unterstreichen das zunehmende Engagement für dieses Thema. Ihr Ziel ist es, die beruflichen und persönlichen Herausforderungen der DSB besser zu verstehen. Dies stellt einen Wendepunkt in der Anerkennung der Bedeutung des Wohlbefindens der DSB in der Arbeitswelt dar.

Ein demonstrativer Meilenstein in dieser Entwicklung war die Grundsatzrede eines Psychotherapeuten auf der AFCDPJahreskonferenz 2020 zum Thema „Der DSB ist weder ein Fußabtreter noch ein Feind“. Diese Rede spiegelt die wachsende Anerkennung der emotionalen und psychologischen Komplexität wider, die mit der Rolle des DSB verbunden ist.[6]

Ab 2019 wird eine Reihe jährlicher Studien zur Erforschung des Berufs des DSB durchgeführt. Diese Erhebungen befassen sich mit Aspekten wie Stress, internen Konflikten und Arbeitszufriedenheit und bieten wertvolle Einblicke in die Wahrnehmung der Rolle der DSB.[7]

Was die Entwicklung der Wahrnehmung der Rolle des DSB betrifft, so zeigt die Studie trotz eines allmählichen Rückgangs einen allgemeinen Trend zur Zufriedenheit: 75% Zufriedenheit im Jahr 2019, 65% im Jahr 2020 und 58% im Jahr 2022. Es wird auch eine Diskrepanz zwischen denjenigen, die sich voll und ganz ihren Aufgaben als DSB widmen, und denjenigen, die weniger Zeit aufwenden, beobachtet, wobei letztere im Allgemeinen weniger zufrieden sind.[8]

Trotz dieser positiven Indikatoren sehen sich die DSB mit verschiedenen Herausforderungen konfrontiert, wie z.B. dem Mangel an Ausbildung und Ressourcen und der Isolation – 42% von ihnen üben ihre Funktion in relativer Isolation aus. Etwa 60% der DSB empfinden ihre Rolle als stressig, und 15% fühlen sich in ihrer Aufgabe beeinträchtigt oder leiden darunter.[9]

Die Studie „Saving Private DPO“ von Bruno Rasle[10], einem ehemaligen Generaldelegierten des AFCDP, aus dem Jahr 2023 zeigt extreme Fälle auf, in denen DSB einem unhaltbaren Druck ausgesetzt sind, der manchmal zu schwerwiegenden Folgen wie Depressionen führt. Diese Studie umfasst 26 Fälle, die die Schwere und Häufigkeit dieser Herausforderungen unterstreichen. Der AFCDP ist sich dieser Realität bewusst und hat zur Unterstützung der Berufsgruppe einen psychologischen Unterstützungsdienst eingerichtet, der den Mitgliedern, die mit diesen Herausforderungen konfrontiert sind, maßgeschneiderte Hilfe anbietet.[11]

Wie Sie sehen können, ist das Wohlbefinden eines DSB in Frankreich von höchster Bedeutung.

IV. Multistakeholder-Expert Group

Die Multistakeholder-Expertengruppe unterstützt die Kommission dabei, die potenziellen Herausforderungen bei der Anwendung der DS-GVO aus der Sicht der verschiedenen Interessengruppen zu ermitteln und die Kommission bei der Bewältigung dieser Herausforderungen zu beraten.[12]

Die CEDPO ist auch ein aktives Mitglied der Multistakeholder-Expertengruppe der Europäischen Kommission für die DS-GVO. Die Expertengruppe ist eine beratende Gruppe, die von der GD-Justiz und Verbraucher (GD JUST) geleitet wird und sich aus Akademikern, Rechtspraktikern, verschiedenen Industrieverbänden sowie Organisationen zusammensetzt, die die Ansichten von Verbrauchern und anderen Verfechtern des Datenschutzes sowie der Zivilgesellschaft zum Ausdruck bringen. Alle amtierenden Mitglieder wurden im Rahmen eines Aufrufs zur Einreichung von Bewerbungen für die Gruppe ernannt. Die Mitgliedschaft der CEDPO wurde in 2023 für weitere drei Jahre verlängert.

In diesem Zusammenhang wurde 2017 die Multistakeholder-Expertengruppe eingesetzt, um die Anwendung der Datenschutz-Grundverordnung zu unterstützen und die Kommission bei der Ermittlung potenzieller Herausforderungen bei der Anwendung der Verordnung aus der Perspektive der verschiedenen Interessengruppen zu beraten, wie diese zu bewältigen sind. Außerdem berät sie die Kommission, um einen angemessenen Grad der Sensibilisierung für die neuen Rechtsvorschriften bei den verschiedenen Interessengruppen, einschließlich Unternehmen und Bürgern, zu erreichen. Schließlich hat die Gruppe die Aufgabe, die Kommission bei der Ausarbeitung delegierter Rechtsakte und gegebenenfalls bei der frühzeitigen Ausarbeitung von Durchführungsrechtsakten, die im Rahmen der DS-GVO zu erlassen sind, zu beraten und ihr Fachwissen zur Verfügung zu stellen, bevor sie dem Ausschuss gemäß der Verordnung (EU) Nr. 182/2011 vorgelegt werden, auch unter Berücksichtigung einschlägiger Studien.

Ein aktuelles konkretes Beispiel dafür war der Konsultationsprozess im April in Bezug auf die Initiative der Kommission zu verfahrenstechnischen Aspekten der DS-GVO, mit der die Verfahrensregeln für die Durchsetzung der DS-GVO präzisiert werden. Diese Initiative und Verordnung zielt darauf ab, die Zusammenarbeit zwischen den nationalen Datenschutzbehörden bei der Durchsetzung der DS-GVO in grenzüberschreitenden Fällen zu vereinfachen. Zu diesem Zweck werden einige Aspekte des Verwaltungsverfahrens, das die nationalen Datenschutzbehörden in grenzüberschreitenden Fällen anwenden, harmonisiert. Dies wird ein reibungsloses Funktionieren der Kooperations- und Streitbeilegungsmechanismen der DS-GVO unterstützen. Die Expertengruppe wurde im November auch zur Überarbeitung der DS-GVO konsultiert, die im Jahr 2024 in einen Bericht münden wird. Es ist wichtig zu beachten, dass die Konsultationen und Berichte der Multistakeholder-Expertengruppe nicht die Meinung der Europäischen Kommission widerspiegeln.

V. CEDPO-Working Groups

Derzeit hat die CEDPO zwei aktive Arbeitsgruppen – die AIArbeitsgruppe und die DSB-Arbeitsgruppe. Erstere hat viel beachtete Papiere veröffentlicht, und letztere organisiert eine eigene koordinierte Untersuchungs- und Erhebungsinitiative zur Rolle der Datenschutzbeauftragten in ganz Europa mit einer Ausrichtung, wie sie ursprünglich vom Europäischen Datenschutzausschuss festgelegt wurde.

  1. Die KI-Arbeitsgruppe

Die KI-Arbeitsgruppe der CEDPO befasst sich mit den Auswirkungen des künftigen KI-Gesetzes und der damit zusammenhängenden KI-Verordnung auf die Funktion des Datenschutzbeauftragten sowie auf personenbezogene Daten im Rahmen der bestehenden DS-GVO-Verpflichtungen. Die folgenden Veröffentlichungen der AI-Arbeitsgruppe stehen auf der CEDPO-Website zum kostenlosen Herunterladen bereit.

a) KI und personenbezogene Daten – Ein Leitfaden für den DSB „Häufig gestellte Fragen“

Dieser Leitfaden richtet sich an Datenschutzbeauftragte und beantwortet für sie die grundlegenden Fragen, die sich stellen werden, wenn sich ihre Arbeit unweigerlich immer mehr mit Künstlicher Intelligenz und Machine-Learning-Software überschneidet.

Die Technologien der Künstlichen Intelligenz und des maschinellen Lernens entwickeln sich rasant und exponentiell, und auch wenn sie nicht immer personenbezogene Daten verarbeiten, jedoch wenn sie es tun, geschieht dies oft in einem enormen Umfang und auf einem komplexen Niveau.

Dies bringt neue Risiken für die betroffenen Personen und neue Herausforderungen für den DSB mit sich, der in der Regel nicht unbedingt über einen Informatik-Hintergrund verfügt, von dem aber dennoch erwartet wird, dass er die innere Funktionsweise und die Auswirkungen dieser Technologien analysiert und versteht. Die DSB stehen vor einer doppelten Herausforderung: Sie haben eine steile Lernkurve zu bewältigen, und das in einem dynamischen Technologiebereich, der sich täglich vor ihren Augen weiterentwickelt.

Obwohl die DSB bereits verpflichtet sind, die Datenschutzgrundsätze auf die Künstliche Intelligenz anzuwenden, was bereits eine komplexe Aufgabe ist (und in den Leitfaden erläutert wird), zeichnen sich auch neue Vorschriften ab.

Das EU-Gesetz über Künstliche Intelligenz bahnt sich seinen Weg durch die EU-Gesetzgebungsmaschinerie und wird voraussichtlich im Jahr 2024 in Kraft treten. Sobald dieses Gesetz in Kraft ist, wird es sich in wichtigen Punkten mit der DS-GVO überschneiden, was zu zusätzlichen Verpflichtungen für die DSB führt. Dieser Leitfaden soll die Überschneidungen zwischen diesen beiden wichtigen und miteinander verbundenen Säulen des EU-Rechtsrahmens aufzeigen.

Unternehmen und öffentliche Einrichtungen arbeiten schnell daran, Lösungen für Künstliche Intelligenz zu verstehen und zu implementieren, um alle Arten von Effizienzsteigerungen und Möglichkeiten zur Umsatzsteigerung zu erreichen. Der behördliche Datenschutzbeauftragte hat keine andere Wahl, als Schritt zu halten; die Technologie wird nicht warten. Dieser Leitfaden stellt daher einen Ausgangspunkt für die DSB dar, um sich in der zunehmend kritischen und komplexen Welt der Künstlichen Intelligenz zurechtzufinden.[13]

b) Generative KI: Die Auswirkungen auf den Datenschutz

Künstliche Intelligenz ist für Datenschutzbeauftragte und Datenschützer kein neues Konzept. Generative KI jedoch schon. Als OpenAl´s ChatGPT im November 2022 auf den Markt kam, hatte die Mehrheit der Datenschutzbeauftragten noch nie etwas von generativer KI gehört und beschäftigte sich in ihrer täglichen Arbeit sicherlich nicht mit solchen Technologien.

Jetzt, da ChatGPT von über 100 Millionen Nutzern weltweit verwendet wird und viele andere Anbieter wie Google Bard und Anthropic’s Claude auf den Markt kommen, ist es für Datenschützer eine betriebliche Realität und eine Notwendigkeit geworden, sich mit den Folgen der generativen KI-Tools zu befassen, die in Unternehmen rasch eingesetzt werden. Unabhängig davon, ob diese Tools einfach übernommen oder von Organisationen anhand ihrer eigenen Datensätze feinabgestimmt werden, gibt es neuartige und bisher ungeprüfte Auswirkungen auf den Datenschutz, mit denen sich die Datenschützer rasch auseinandersetzen müssen.

Ziel dieses Papiers ist es, Datenschützer durch das Labyrinth der Probleme zu führen, die sich mit der raschen Einführung dieser Technologien in Unternehmen ergeben. Neben anderen Schlüsselthemen befasst sich dieses Papier mit den Risiken der Datenweitergabe, der Genauigkeit personenbezogener Daten, der Durchführung von Datenschutzfolgenabschätzungen für generative KI-Tools, der Umsetzung des Datenschutzes durch Design, der Auswahl einer rechtmäßigen Grundlage für das Training generativer KI-Systeme, der Optimierung von Organisationsstrukturen, der Anwendung von Techniken zur Verbesserung des Datenschutzes und dem Umgang mit den Rechten betroffener Personen im Zusammenhang mit diesen Technologien.

Es wird keine Zukunft ohne generative KI geben, und da Daten beim Training und Betrieb dieser Systeme eine so zentrale Rolle spielen, werden die DSB eine zentrale Rolle dabei spielen, sicherzustellen, dass sowohl Datenschutz- als auch Data-Governance-Standards im Mittelpunkt dieser Technologien stehen.[14]

  1. Die Arbeitsgruppe des DSB

Der Europäische Datenschutzausschuss (EDPB) hat seine koordinierte Durchsetzungsaktion 2023 gestartet, an der 26 Datenschutzbehörden im gesamten EWR beteiligt sind. Die Aktion des Europäischen Datenschutzausschusses konzentriert sich auf die Rolle, die Benennung und die Position der DSB in Organisationen. Die DSB sind wichtige Vermittler, die die Einhaltung der Datenschutzgesetze sicherstellen und den wirksamen Schutz der Rechte der Betroffenen fördern.

Die CEDPO DPO-Arbeitsgruppe wird sich darum bemühen, die Herausforderungen zu ermitteln, mit denen die DSB konfrontiert sind, und die Erkenntnisse aus ihren eigenen Initiativen mit denen des Europäischen Datenschutzausschusses vergleichen. Eine weitere langfristige Priorität der Arbeitsgruppe ist es, die Rolle, den Status und die Aufgaben der DSB in der EU besser zu definieren und dafür zu sorgen, dass die Schwierigkeiten oder Probleme, mit denen die DSB bei der Wahrnehmung ihrer Aufgaben konfrontiert sind, angegangen und behoben werden.

Die Ergebnisse der Arbeitsgruppe und ihre Veröffentlichungen kommen in erster Linie den Datenschützern insgesamt und den Fachleuten der CEDPO-Mitgliedsorganisationen zugute. Zu den sekundären Nutznießern können auch Aufsichtsbehörden und andere interessierte Parteien gehören, die von den CEDPO-Mitgliedsorganisationen bestimmt werden.

Dies ist eine wichtige Aktivität, da einige Aufsichtsbehörden wie die in Deutschland kein positives Interesse an der koordinierten Aktion des EDPB gezeigt haben, an der nur die bayerische Aufsichtsbehörde teilnahm.[15]

Dies ist insofern eine bedenkliche Tatsache, als sie sich vor Augen halten müssen, dass es in Deutschland 18 Aufsichtsbehörden gibt. Darunter sind 16, die jedes Bundesland vertreten, mit Ausnahme von Bayern, das zwei Behörden hat – eine für den privaten und eine für den öffentlichen Sektor.

Darüber hinaus gibt es den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der für den öffentlichen Sektor des Bundes und die privaten Telekommunikations- und Postunternehmen zuständig ist. In dieser Funktion ist die BfDI im föderalen System Deutschlands gemäß § 9 BDSG für die Überwachung des Datenschutzes bei öffentlichen Stellen des Bundes und bei Unternehmen, die Telekommunikations- und Postdienstleistungen anbieten, zuständig.

VI. Fazit

Die CEDPO erfüllt als Dachverband des „dritten Sektors“ eine wichtige Aufgabe, indem sie die Positionen der Fachleute und der Industrie mit denen der öffentlichen Politik, der Gesetzgebung und der Regulierungsbehörden verbindet. Die Kernaufgabe der Organisation ist insofern wichtig, als die Datenschutz-Grundverordnung und die Funktion des DSB, wie sie in der Verordnung vorgesehen ist, noch relativ neuartige rechtliche und berufliche Konstrukte sind. Die CEDPO ist durch sein Mitgliedernetzwerk in einer einzigartigen Position, um einen Konsens und Maßnahmen als Antwort auf ein immer komplexeres digitales regulatorisches Umfeld zu finden und zu artikulieren, das sich aus der zunehmenden Abhängigkeit von Daten zur Steuerung wirtschaftlicher und gesellschaftlicher Entscheidungen ergibt. Seit dem Start der Digitalen Agenda und der Vision für Europa der Europäischen Kommission im Februar 2020, verbunden mit einer Reihe von thematischen und legislativen Initiativen im digitalen Bereich, ist noch deutlicher geworden, dass DSB und Datenschützer mit einer Vielzahl von sich entwickelnden Herausforderungen konfrontiert sein werden. Und damit wird auch die Aufgabe der CEDPO immer relevanter, da sie den Berufsstand auf seiner sich entwickelnden Reise begleitet.

* Henry Simwinga, LL.M. (Göttingen) LL.M.(Liverpool) ist Referent für Datenschutz und Datensicherheit und Beauftragter für EU-Beziehungen/Internationale Angelegenheiten bei der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. in Bonn.

[1] CEDPO https://cedpo.eu/about-cedpo/.

[2] EU to take legal action targeting Belgian privacy regulator https://www.politico.eu/article/eu-to-take-legal-action-targeting-belgian-privacy-regulator/

[3] DLA Piper Datenschutzgesetze der Welt https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=IT.

[4] Die Garantie für den Schutz der persönlichen Daten https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9936094

[5] Saving Private DPO! By Bruno RASLE Paris, 5th May 2023 https://afcdp.net/ media/documents/il-faut-sauver-le-soldat-dpo-bruno-rasle-5-mai-2023.pdf.

[6] Ibd

[7] AFCDP https://afcdp.net/etude-sur-le-metier-de-dpo/.

[8] Quellen für die Studien des französischen Arbeitsministeriums: Studie DGEFP/ AFPA 2022 : Der Datenschutzbeauftragte (DSB): ein sich stark entwickelndes Metier, Studie DGEFP/AFPA 2020 : Datenschutzbeauftragter (DSB) – eine Funktion, die sich entwickelt, ein Beruf, der sich strukturiert, Étude DGEFP/ AFPA 2019 : der Beauftragte für den Schutz von Daten aus dem Berufsleben.

[9] Ibd.

[10] Ibid no 5

[11] Ibid. no. 5 Seiten 5 ff

[12] Multistakeholder Expertengruppe zur Unterstützung der Anwendung der Verordnung (EU) 2016/679 https://ec.europa.eu/transparency/expert-groupsregister/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3537.

[13] Sie können das Papier unter https://cedpo.eu/ai-and-personal-data-a-guidefor-dpos-frequently-asked-questions/ herunterladen.

[14] Sie können das Papier unter https://cedpo.eu/generative-ai-the-data-protection-implications/ herunterladen.

[15] Bayerisches Landesamt für Datenschutzaufsicht https://www.lda.bayern.de/media/pm/pm2023_03.pdf; vgl. https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en.