vectorfusionart - stock.adobe.co

Die Harmonisierung der Datenschutzaufsicht in der EU

Die EU-Kommission will die Zusammenarbeit zwischen Datenschutzbehörden bei der Durchsetzung der DGSVO in grenzüberschreitenden Fällen verbessern, mit Folgen auch für Unternehmen.

Die Datenschutz-Grundverordnung (DSGVO) hat ihr Versprechen, für europaweit einheitliche, verständliche und praxistaugliche Datenschutz-Regeln zu sorgen, nicht eingelöst, kritisierte der Digitalverband Bitkom. Stattdessen führe die von jeder nationalen und regionalen Aufsicht eigenständige Interpretation der Regeln zu Rechtsunsicherheit. Viele Unternehmen würden deshalb auf die Entwicklung neuer Technologien und Dienste verzichten oder ihre Projekte ins Ausland verlagern, so Bitkom.

Mit der Kritik an der unvollständigen Harmonisierung im EU-Datenschutz steht Bitkom nicht allein. Auch die Datenschutzaufsichtsbehörden selbst wünschen sich mehr Einheitlichkeit in vielen Bereichen der Durchsetzung der DSGVO.

Auch Aufsichtsbehörden wollen mehr Harmonisierung

Bereits im Februar 2020 sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: „Meine Kollegen und ich halten groß angelegte gesetzliche Änderungen an der DSGVO für verfrüht. Wir sehen aber Bedarf für Verbesserungen bei der praktischen Umsetzung. Das gilt insbesondere im Bereich der Zusammenarbeit der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren. Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchsetzung der DSGVO gegenüber Unternehmen, die Datenschutzverstöße begangen haben, beeinträchtigt wird.“

Auch drei Jahre später, im Mai 2023, ist dies ein Thema für den Bundesdatenschutzbeauftragten. Anlässlich fünf Jahre Anwenderbarkeit der DSGVO nannte er unter anderem als Wunsch: Bei den großen, grenzüberschreitenden Fällen brauchen wir eine schnellere Bearbeitung, damit diese über den einzelnen Fall hinaus Signalwirkung entfalten und Rechtssicherheit schaffen können. Es ist wichtig, dass geltendes Recht durchgesetzt wird.“

Das sehen die Datenschutzaufsichten in den Ländern genauso. So erklärt zum Beispiel die Datenschutzaufsicht von Rheinland-Pfalz: „Einheitlicher Datenschutz in Europa bedeutet insbesondere eine einheitliche Datenschutzaufsicht. Dies verlangt nach Kooperation, Abstimmungen und Kohärenz. Die Kooperationsmechanismen in der DSGVO funktionieren und die Datenschutzaufsicht in Deutschland hat sich neu aufgestellt, um schlagkräftig und möglichst geeint ihre weitgefächerte Expertise in den europäischen Diskurs zum Datenschutz und zur Auslegung der DSGVO einzubringen.“ Einen wichtigen Beitrag leiste dazu nicht zuletzt die Datenschutzkonferenz (DSK), die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

„Die Datenschutzkonferenz hat sich als wichtiges, national und international anerkanntes Experten- und Aufsichtsgremium fortentwickelt und immer stärker institutionalisiert, um bei den drängenden Fragen des Datenschutzes und der Digitalisierung seitens der Wirtschaft, des öffentlichen Sektors und nicht zuletzt der Gesellschaft schnelle und fundierte Antworten geben zu können“, kommentierte der Landesdatenschutzbeauftragte Prof. Dr. Kugelmann diese Entwicklungen der Datenschutzkonferenz, die er als Vorsitz des Arbeitskreises DSK 2.0 begleitet.

Beispiel: Einheitliche Regeln für Bußgelder

Wie die Harmonisierung der Datenschutzaufsicht in der Praxis Früchte trägt, zeigt sich im Bereich der Sanktionen. Der Europäische Datenschutzausschuss (EDSA) hat im Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung angenommen. Damit erfolgt die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben (siehe auch Datenschutz: Einheitliche Bußgelder innerhalb der EU).

Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), erklärte dazu: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“

EU-Kommission will Datenschutzaufsicht stärker harmonisieren

Mit einer neuen Verordnung sollen nun konkrete Verfahrensvorschriften für die Behörden bei der Anwendung der DSGVO in Fällen festgelegt werden, die Personen in mehreren Mitgliedstaaten betreffen. EU-Kommissionsvizepräsidentin Věra Jourová betonte: „Die DSGVO ist weltweit zu einem Synonym für wirksame Datenschutzvorschriften geworden. Ob das Gesetz zu einem Erfolg auf ganzer Linie wird, hängt nun von seiner Durchsetzung ab. Zwar leisten die unabhängigen Behörden eine enorme Arbeit, doch ist es jetzt an der Zeit, dafür zu sorgen, dass wir schneller und entschlossener arbeiten können. Das gilt insbesondere in schweren Fällen, in denen ein Verstoß viele Opfer in der gesamten EU haben kann. Unser Vorschlag enthält Vorschriften, um eine reibungslose Zusammenarbeit zwischen den Datenschutzbehörden zu gewährleisten und eine energischere Durchsetzung zum Wohle der Menschen und der Unternehmen zu unterstützen.“

So soll die federführende Datenschutzbehörde verpflichtet werden, den betroffenen Behörden in anderen Ländern eine Zusammenfassung der wichtigsten Fragen zu übermitteln, in der die zentralen Elemente der Untersuchung und der Standpunkt der Behörde zu dem Fall dargelegt werden, sodass sie frühzeitig Stellung nehmen können. Der Vorschlag soll dazu beitragen, Meinungsverschiedenheiten zwischen den Behörden zu verringern und die Konsensfindung zwischen ihnen in der Anfangsphase des Verfahrens zu erleichtern.

Was sich für Unternehmen ändern soll

Nicht nur für die Aufsichtsbehörden stehen dann Veränderungen an, auch für Unternehmen und Betroffene. Die neue Verordnung enthält detaillierte Vorschriften für eine Harmonisierung des Kooperations- und Kohärenzverfahrens der DSGVO:

Rechte der Beschwerdeführer: Mit dem Vorschlag werden die Anforderungen hinsichtlich der Zulässigkeit grenzüberschreitender Beschwerden harmonisiert und die Hindernisse beseitigt, die derzeit auftreten, weil die Datenschutzbehörden unterschiedlichen Vorschriften unterliegen. Es werden gemeinsame Rechte für Beschwerdeführer auf Anhörung in Fällen festgelegt, in denen ihre Beschwerden ganz oder teilweise abgewiesen werden.

Rechte der von der Untersuchung betroffenen Parteien (Verantwortliche und Auftragsverarbeiter): Der Vorschlag sieht für die von einer Untersuchung betroffenen Parteien das Recht auf Anhörung in wichtigen Phasen des Verfahrens vor, unter anderem während der Streitbeilegung durch den Europäischen Datenschutzausschuss (EDSA), und präzisiert den Inhalt der Verwaltungsakte und die Rechte der Parteien auf Akteneinsicht.

Es zeigt sich: Eine weitere Harmonisierung der Durchsetzung der DSGVO wird also auch die Möglichkeiten Betroffener und Unternehmen verändern, eine Beschwerde einzulegen und Einblicke in die Verfahren bei der Datenschutzaufsicht zu bekommen. Möglichst schnelle und sehr transparente Verfahren bei Datenschutzvorfällen werden dabei helfen, der Kritik an der DSGVO zu begegnen, der Datenschutz sei uneinheitlich und sorge für Rechtsunsicherheit.

Erfahren Sie mehr über Datenschutz und Compliance