Neue Gesetzesinitiative der EU-Kommission soll die Durchsetzung der DSGVO vereinfachen
Worum geht es in der neuen Gesetzesinitiative?
Eine neue Gesetzesinitiative der EU-Kommission soll zur Vereinfachung der Durchsetzungsregeln der Datenschutz-Grundverordnung (DSGVO) beitragen. Dazu veröffentlichte die EU-Kommission am 16.02.2023 eine Initiative, in der ein Gesetzesentwurf für Q2 2023 in Aussicht gestellt wird. Zur Gestaltung des Gesetzentwurfs bittet die EU-Kommission aktuell um Feedback zur aktuellen Durchsetzung der DSGVO.
Nach Einschätzung der EU-Kommission führen aktuell unterschiedliche Ansätze und verfahrenstechnische Unterschiede der nationalen Datenschutzaufsichtsbehörden zu erheblichen Auswirkungen auf die Durchsetzung der DSGVO. Eine Harmonisierung bestimmter Verfahrensinhalte soll Abhilfe leisten und gewährleisten, dass auf Beschwerden von betroffenen Personen schnell und wirksam reagiert werden kann. Im Vordergrund der Harmonisierung steht die Durchsetzung der DSGVO bei grenzüberschreitenden Sachverhalten, womit das Vorhaben der EU-Kommission vor allem das „Irland-Problem im Datenschutz“ adressieren dürfte.
Aktuelle Rechtslage und der „One-Stop-Shop“
Zur Durchsetzung der DSGVO wird nach aktueller Rechtslage das sogenannte „One-Stop-Shop“-Verfahren verfolgt. Demnach werden grenzüberschreitende Sachverhalte des Datenschutzes durch eine „federführende Aufsichtsbehörde“ verantwortet, die den Fall mit anderen betroffenen Aufsichtsbehörden koordinieren soll (vgl. Art. 60 Abs. 1 DSGVO). Der Gedanke dabei ist, dass eine Stelle („one stop“) zuständig ist, und vermieden wird, dass gleich mehrere Behörden selbstständig den gleichen Sachverhalt bearbeiten.
Beispiel des „One-Stop-Shop“-Verfahrens:
Wenn also beispielsweise ein Unternehmen mit Hauptniederlassung in Irland Produkte oder Dienstleistungen in Deutschland anbietet, befindet sich die zuständige federführende Aufsichtsbehörde in Irland (vgl. Art. 56 Abs. 1 i.V.m. Art. 4 Nr. 23 lit. b und ErwGr 124 S. 1 und 2 DSGVO). Bei einer Beschwerde an eine deutsche Aufsichtsbehörde würde diese die federführende irische Behörde informieren, welche entsprechend über das weitere Vorgehen entscheidet und sich bemüht, einen Konsens mit der deutschen Behörde zu finden (vgl. Art. 56 Abs. 3 i.V.m. Art. 60 DSGVO). Wird allerdings kein Konsens erreicht, ist ein sogenanntes „Kohärenzverfahren“ (vgl. Art. 63 DSGVO) und ggf. ein Streitbeilegungsverfahren durch den Europäischen Datenschutzausschuss (EDSA) vorgesehen (vgl. Art. 65 DSGVO).
Das „Irland-Problem im Datenschutz“
In der Praxis ist somit die irische Data Protection Commission (DPC) federführend zuständig für Unternehmen mit (Haupt)Niederlassung in Irland, und damit für große US-Konzerne wie Meta, Google und Twitter. Nicht selten sind diese Unternehmen aufgrund ihrer Geschäftspraxis Gegenstand datenschutzrechtlicher Beschwerden, Untersuchungen und Bußgeldern (u.a. Entscheidung gegen Meta am 15.09.2022; Entscheidung gegen Google und Facebook am 06.01.2022; Entscheidung gegen Twitter am 25.05.2022). In der Vergangenheit kam es regelmäßig zu Kritik am Umgang der irischen DPC mit datenschutzrechtlichen Beschwerden und Sachverhalten. Laut einem Bericht der Bürgerrechtsorganisation ICCL (Irish Council for Civil Liberties) von 2021 hatte Irlands DPC in 164 grenzüberschreitenden Verfahren gerade mal vier Entscheidungen getroffen, was 98 Prozent aller Verfahren ohne Entscheidung lässt (im Vergleich ohne Entscheidung: Spanien 48 Prozent, Deutschland 57 Prozent, Niederlande 64 Prozent).
Zusätzlich erfahren selbst getroffene Entscheidungen der irischen DPC regelmäßig Kritik, unter anderem vom Europäischen Datenschutzausschuss (EDSA) selbst. Zuletzt korrigierte der EDSA in Form eines „verbindlichen Beschlusses“ (vgl. Art. 65 Abs. 1 DSGVO) die Entscheidung der irischen DPC zum Einsatz personalisierter Werbung ohne Einwilligung durch den Meta-Konzern, und forderte unter anderem dazu auf, das vorgesehene Bußgeld von 36 und 23 Millionen auf 210 und 180 Millionen anzuheben. Es zeigt sich somit deutliche Kritik an der irischen DPC, dass Sachverhalte nicht schnell genug bearbeitet werden und dass Entscheidungen nicht konsequent genug sind.
Wie geht es mit der Gesetzesinitiative weiter?
Das „Irland-Problem im Datenschutz“ dürfte somit wesentlicher Auslöser für die Gesetzesinitiative der EU-Kommission sein. Mit der aktuellen Konsultation soll ein aussagekräftiger Überblick über die verfahrenstechnischen Aspekte der Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden in grenzüberschreitenden Fällen gewonnen werden. Dazu übermittelte der EDSA bereits im Oktober 2022 der EU-Kommission eine Liste verfahrensrechtlicher Änderungsvorschläge.
Rückmeldungen zur aktuellen Durchsetzung können bis zum 24.03.2023 an die EU-Kommission übermittelt werden. Hier finden sich bereits einige spannende Erfahrungsberichte. Ein erster Gesetzesentwurf durch Vereinfachung der Durchsetzungsregeln ist für Q2 2023 angekündigt. Wann die Verabschiedung eines entsprechenden Gesetzes zu erwarten ist, kann aufgrund der politischen Dimension der Problematik kaum vorhergesehen werden. Verhandlungen rund um die DSGVO und auch die ePrivacy Verordnung (noch nicht verabschiedet) zeigen, dass Gesetze zum Datenschutz gewisse Zeit benötigen. Aufgrund der Relevanz einer vereinfachten Durchsetzung der DSGVO für Unternehmen, dürfte diese Initiative keine Ausnahme darstellen.
