Zum Inhalt springen

SRIW nimmt zu den Akkreditierungskriterien des AK Wirtschaft für eine CoC Überwachungsstelle Stellung

SRIW Consultation SCOPE Europe

Der SRIW hat zu den Akkreditierungskriterien des AK Wirtschaft für CoC Überwachungsstelle Stellung genommen. Hierzu wurde der SRIW vom Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen gebeten. Bei der Kommentierung hat der SRIW auch auf die jüngsten Erfahrungen seiner Brüsseler-Tochtergesellschaft SCOPE Europe zurückgegriffen.

Die im Entwurf aufgestellten Kriterien zur Akkreditierung einer Überwachungsstelle für Verhaltensregeln nach Art. 41 DS­GVO sind von großer Wichtigkeit für die beteiligten Akteuren, vor allem vorlegende Verbände, überwachte Stellen sowie Überwachungsstellen, die eine Akkreditierung nach Art. 41 DS-GVO anstreben. Durch den Entwurf können die gesetzlichen Anforderungen besser eingeschätzt, sowie damit verknüpfte Erwartungen der Aufsicht genau adressiert werden. Gleichzeitig wird damit auch die Grundlage für die Implementierung von Überwachungsstellen von Verhaltensregeln am Markt geschafft. Die vollständige Stellungnahme finden Sie hier.

Wesentliche Inhalte der Stellungnahme sind:

  • Der Entwurf hilft in seiner Gesamtheit an vielen Stellen, wie unter anderem durch die gegebenen Definitionen und Begriffsbestimmungen, das aufsichtsbehördliche Verständnis hinsichtlich der Anforderungen an die Akkreditierung einer Überwachungsstelle gemäß Artikel 41 DS-GVO zu erkennen und anzuwenden. Gerade aufgrund der prinzipienorientierten, zu Teilen vagen, Ausformulierung der DS-GVO helfen die definierten Begriffe, die gesetzlichen Anforderungen anzuwenden.
  • Der Entwurf bedarf an einigen Stellen weiterer Präzisierung und weiterführenden Informationen, insbesondere bezüglich der Kriterien hinsichtlich zu vermeidender Interessenskonflikte und der vermeintlichen Wettbewerbssituation zwischen Überwachungsstelle und zu überwachenden Unternehmen.
  • Die vorgeschlagenen Ansätze des Entwurfes hinsichtlich der organisatorisch-strukturellen, finanziellen, personellen und sonstigen Unabhängigkeit der Überwachungsstellen sind zu befürworten, da diese ein hohes Schutzniveau darstellen und dabei alle gesetzlichen Anforderungen widerspiegeln. Jedoch sollte darauf geachtet werden, dass sich das Verbot verschiedener Situationen auf solche Konstellationen beschränken sollte, die tatsächlich ein Risiko für die Unabhängigkeit darstellen können.
  • Die entwickelten Akkreditierungskriterien fokussieren sich darauf, festzulegen, dass die private Überwachungsstelle ihre gesetzlichen Voraussetzungen durch Verfahren und Strukturen einhält. Dieser prozedurale Ansatz wird sehr begrüßt, da er eine gute Nachprüfbarkeit ermöglicht und rechtliche Sicherheit für alle beteiligten Parteien birgt. Beispielsweise die auf Seite 3 des Entwurfes geforderte „Vorlage der Dokumentation der Bewertung, der sich aus ihrer Tätigkeit ergebenden Risiken für die Unabhängigkeit der Überwachungsstelle“ stellt sicher, dass sich mit den möglichen Risiken für die Unabhängigkeit durch die Überwachungsstelle dokumentiert befasst werden muss, und dies für die Aufsicht nachprüfbar wird.
  • Zur wirksamen Erfüllung ihrer Funktion und zur Ausübung ihrer Tätigkeit braucht die private Überwachungsstelle gegenüber den überwachten Stellen verschiedene Befugnisse. Daher wird die Klarstellung im Entwurf in dieser Hinsicht sehr geschätzt, wonach die private Überwachungsstelle die Verfahren und Strukturen ihrer Prüftätigkeit so ausgestalten muss, dass in der Beziehung zu den überwachten Stellen unangekündigt anlassbezogene Prüfungen möglich sein müssen (Kapitel 2.6.1.3., S. 10). Problematisch hingegen sind die vom Entwurf angesprochenen Untersuchungsbefugnisse gegenüber Auftragsverarbeitern der zu überwachenden Stellen (Kapitel 3.2).
  • Kritisch gesehen wird hier ebenfalls (siehe bereits Stellungnahme zur Richtlinie zu Verhaltenskodizes und privaten Überwachungsstellen unter der Datenschutzgrundverordnung), dass die geforderte Informationspflicht der Überwachungsstelle gegenüber der Aufsicht über Art. 41 Abs. 4 DS-GVO hinausgeht. Dies könnte dahingehend zur Verunsicherung am Markt führen, als dass Unternehmen die privaten Überwachungsstellen als verlängerte Außenstelle der Behörde selbst wahrnehmen und keine Möglichkeit mehr besteht, Nachfragen in Bezug auf Verarbeitungstätigkeiten zu stellen, ohne dass die Aufsicht davon erführe. Die Akzeptanz der Ko-Regulierung könnte darunter massiv leiden. Daher wird empfohlen, diese Pflicht nochmals näher zu überprüfen, gerade da sie in der Verordnung selbst nicht vorgesehen ist.