DSGVO-Update: einheitliche Regeln für Verfahren der Datenschutzbehörden?
Die EU-Kommission plant, die Umsetzung des europäischen Datenschutzrechts auf Ebene der Mitgliedstaaten einheitlicher auszugestalten. Der neue Verordnungsvorschlag vom 04.07.2023 sieht zu diesem Zweck eine Harmonisierung der Verfahrensvorschriften der DSGVO vor und zielt darauf ab, die Rechte von Beschwerdeführern und von datenschutzrechtlichen Untersuchungen betroffener Parteien zu stärken. Die geplanten Regelungen sollen die Zusammenarbeit zwischen Datenschutzbehörden fördern und die Streitbeilegung zwischen den Parteien erleichtern. Die neue Verordnung soll also die DSGVO ergänzen und sicherstellen, dass eine unterschiedslose Umsetzung der Datenschutzpflichten erfolgt.
Kritik der EU-Kommission: Einheitlicher Datenschutz uneinheitlich durchgesetzt
Am 04.07.2023 stellte die EU-Kommission einen Entwurf für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO (DSGVO-VerfVO-E) vor, die das Ziel hat, die von der EU-Kommission angenommene Schwierigkeiten bei der Umsetzung der DSGVO zu beseitigen oder zumindest zu reduzieren. Hintergrund ist, dass das europäische Datenschutzrecht an sich harmonisiert ist, also die Regelungen der DSGVO in allen EU-Mitgliedsstaaten gleichermaßen gelten, aber selbst dort, wo die DSGVO keine sogenannten Öffnungsklauseln für den nationalen Gesetzgeber vorsieht, häufig uneinheitlich angewendet und durchgesetzt werden.
Diese inkonsistente Durchsetzung beruht laut EU-Kommission unter anderem darauf, dass in jedem EU-Mitgliedstaat landeseigene Behörden für Datenschutzangelegenheiten zuständig sind (in Bundesstaaten wie Deutschland sogar unterteilt nach Bundesländern). Wie die einzelnen Stellen in datenschutzrechtlichen Verfahren miteinander kooperieren, bleibt dabei nach der DSGVO den Datenschutzbehörden selbst überlassen. Die Problematik einer uneinheitlichen Umsetzung des Datenschutzrechts wird ebenfalls auf nationaler Ebene thematisiert. Aktuell plant das Bundesinnenministerium eine Reform des Bundesdatenschutzgesetzes, um die Koordination zwischen den nationalen Datenschutzbehörden sowie dem Europäischen Datenschutzausschuss (EDSA) zu stärken und eine kohärentere Durchsetzung datenschutzrechtlicher Vorschriften zu erreichen.
Darüber hinaus sieht die EU-Kommission gelegentlich Behörden, die die DSGVO mehr als andere im Sinne der Unternehmen auslegen oder schlichtweg überlastet sind. Da in grenzüberschreitenden Fällen die Behörde zuständig ist, auf deren Hoheitsgebiet der datenschutzrechtlich Verantwortliche seinen Sitz hat, beeinflussen zuweilen auch nationale Interessen in die Arbeit der Datenschutzbehörden. Zu solchen Interessen zählt es unter anderem, sich für große Unternehmen als einen attraktiven Standort zu präsentieren. Ein Beispiel für solche Kollisionen ist Irland, wo Big Tech-Unternehmen wie Apple oder Google ihren europäischen Sitz haben. So gab es dort in Verfahren nach der DSGVO bereits mehrmals Konflikte zwischen Datenschutzbehörden und Widerstand aus dem Europäischen Datenschutzausschuss (EDSA) gegen Entscheidungen der irischen Behörde.
Geplante Neuerungen für das DSGVO-Verfahren
Durch den Vorschlag der EU-Kommission sollen Abweichungen in der DSGVO-Anwendung nun möglichst unterbleiben. Zwar bleiben die örtlichen Datenschutzbehörden in den EU-Ländern für die Beschwerden zuständig. Einheitlichere Verfahrensregeln sollen aber dabei helfen, dass die Zusammenarbeit zwischen den Datenschutzbehörden gestärkt wird und betroffene Personen schneller Abhilfe erhalten.
Meinungsverschiedenheiten in Fällen, die mehrere EU-Staaten betreffen, sollen dadurch beseitigt werden, dass zwischen den europäischen Datenschutzbehörden ein stärkerer Informationsaustausch stattfindet und Streitbeilegungsmechanismen ausgebaut werden. Die örtlich zuständige Datenschutzbehörde muss nach dem Verordnungsvorschlag anderen Ländern frühzeitig eine Zusammenfassung der zentralen Punkte bereitstellen (Art. 9 DSGVO-VerfVO-E). Darin sollen die wichtigsten Fragen der Untersuchung und der eigene Standpunkt dargestellt werden, sodass andere Behörden rechtzeitig Stellung beziehen können.
Auch die Rechte der Beschwerdeführer in Fällen, die mehrere EU-Staaten betreffen, werden von dem Verordnungsvorschlag in verschiedenen Verfahrensvorschriften adressiert. Die sich bisher je nach Land oder sogar Behörde unterscheidenden Regelungen sollen vereinheitlicht und bestehende Hindernisse beseitigt werden. Zu diesem Zweck enthält der Entwurf beispielsweise ein Recht auf Anhörung, wenn Beschwerden abgewiesen werden (Art. 11 Abs. 2 DSGVO-VerfVO-E) und legt Regeln für eine ordnungsgemäße Beteiligung der Beschwerdeführer während der Untersuchung fest (Art. 12, 13, 15, 24 Abs. 1 und 2 DSGVO-VerfVO-E). Gleichzeitig sollen einheitliche Verfahrensfristen eingeführt werden, um die Verfahren schneller abzuschließen (bspw. Art. 10 Abs. 1, 11 Abs. 2, 22 Abs. 3 und 26 Abs. 2 lit. b DSGVO-VerfVO-E).
Nicht zuletzt soll die Verfahrensverordnung auch Rechte der betroffenen Parteien, denen Verstöße gegen die DSGVO vorgeworfen werden, stärken. Hierzu sollen die Parteien Anhörungsrechte während des Verfahrens erhalten (bspw. Art. 14 Abs. 4 und 17 Abs. 1 DSGVO-VerfVO-E). Das gilt auch für Streitbeilegungsverfahren im EDSA (Art. 24 Abs. 1 DSGVO-VerfVO-E). In der Umsetzung würde das bedeuten, dass die datenschutzrechtlich verantwortlichen Unternehmen (oder Auftragsverarbeiter) vor Entscheidungen der zuständige Behörde Gelegenheit haben, ihren Standpunkt darzulegen. Zudem plant die EU-Kommission, Rechte auf Akteneinsicht der Parteien zu vereinheitlichen, z. B. indem der von der Untersuchung betroffenen Partei Zugang zu der Verwaltungsakte gewährt wird (Art. 14 Abs. 5 und 20 Abs. 1 DSGVO-VerfVO-E). Die Verwaltungsakte umfasst alle belastenden und entlastenden Dokumente, die von der Aufsichtsbehörde während der Untersuchung gesammelt wurden (Art. 19 Abs. 1 und 20 Abs. 2 DSGVO-VerfVO-E).
Kritische Stimmen
Der Vorschlag der EU-Kommission stößt nicht überall auf Zuspruch. Die Nichtregierungsorganisation des Datenschutzaktivisten Max Schrems NOYB („None of Your Business“) übt Kritik an dem Verordnungsentwurf. NOYB bemängelt beispielsweise, dass die neuen Regeln nur in einzelnen Punkten Abhilfe schaffen würden und keinen systematischen Ansatz verfolgten, wie DSGVO-Verfahren einheitlicher ausgestaltet werden könnten. Ein weiterer Kritikpunkt betrifft den ungleichen Ausbau der Rechte der betroffenen Parteien und der Beschwerdeführer. Personen, die Beschwerden bei Datenschutzbehörden einreichen, würden durch die neuen Vorschriften minimal berücksichtigt werden, indem Anhörungsrechte nur begrenzt gewährt würden und die Verfahrensfristen unzureichend blieben. Diejenigen Unternehmen, die von den Vorwürfen betroffen sind, würden nach dem Verordnungsvorschlag hingegen während des gesamten Verfahrens angehört werden und umfangreichen Zugang zu Akten erhalten.
Fazit zu der geplanten Harmonisierung der DSGVO-Verfahrensregeln
Die Entfaltung der vollen Wirkung der DSGVO und die nachhaltige Verbesserung des Datenschutzes sowohl im Sinne der Betroffenen als auch der Verantwortlichen steht und fällt mit der einheitlichen Durchsetzung der DSGVO. Entsprechende Forderungen nach einer Harmonisierung sind schon seit einigen Jahren zu vernehmen. Ob der aktuelle Vorschlag der EU-Kommission für eine Verfahrensverordnung diesem Ziel in Anbetracht der Kritik gerecht wird, erscheint fraglich. Noch ist offen, welche Änderungen an dem Verordnungsvorschlag im weiteren Gesetzgebungsverfahren vonseiten des Europäischen Parlaments und der Mitgliedstaaten möglicherweise eingebracht werden.
Für Unternehmen bedeutet der Entwurf, wenn er so oder ähnlich umgesetzt werden sollte, dass sie bei datenschutzrechtlichen Untersuchungen, die sie betreffen, Zugang zu den relevanten Dokumenten erhalten würden. Zudem müsste ihr Standpunkt in allen Phasen des Verfahrens berücksichtigt werden. Dadurch wäre gewährleistet, dass die betroffenen Unternehmen ausreichend über die gegen sie erhobenen Vorwürfen informiert werden können und dass relevante Gegenargumente und Ergänzungen in die Entscheidungsfindung der Aufsichtsbehörden einfließen können.
Ihr Experte für Datenschutzrecht
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com