Grenzüberschreitende Datenschutzdurchsetzung: Neue Regeln im Spiel

Im Kern des europäischen Rechtsverständnisses steht der Schutz personenbezogener Daten als ein fundamentales Recht, das fest in der Charta der Grundrechte der Europäischen Union und im Vertrag über die Arbeitsweise der Europäischen Union verankert ist. Den Bürgern der EU ist der Schutz ihrer personenbezogenen Daten sehr wichtig, weshalb in der Vergangenheit die Datenschutz-Grundverordnung (DSGVO) erlassen worden ist.

Allerdings wird immer wieder die Kritik geäußert, dass gerade in den grenzüberschreitenden Fällen die Durchsetzung der DSGVO zu wünschen übrig lasse. Wichtig ist aber auch, dass Recht effektiv durchgesetzt wird. Daher ist eine effizientere Durchsetzung der EU-Datenschutzvorschriften Ziel der von der Kommission am 4. Juli 2023 vorgelegten Verordnung.

Ziel der Verordnung

Die vorliegende Verordnung hat das Ziel, das derzeitige "One-Stop-Shop"-System, das die Durchsetzung der DSGVO sicherstellt, weiter zu stärken. Dieses System ermöglicht es den Bürgern, ihre lokale Datenschutzbehörde anzusprechen und dadurch ihre Rechte aus der DSGVO zu verfolgen. Das dezentrale System setzt allerdings eine enge Zusammenarbeit zwischen den Datenschutzbehörden in Fällen mit grenzüberschreitender Relevanz voraus.

Problemstellungen und Lösungsansätze

Auf der Basis des Berichts der Kommission zur DSGVO aus dem Jahr 2020, einer „Wunschliste“ des Europäischen Datenschutzausschusses von 2022 und weiteren Analysen, hat die Kommission eine Reihe von Problemfeldern identifiziert, die durch die neue Verordnung adressiert werden sollen. Zu diesen gehören die Form von Beschwerden, die Beteiligung der Beschwerdeführer am Verfahren, die Wahrung der Verfahrensrechte der betroffenen Parteien, die Kooperation und Streitbeilegung zwischen Datenschutzbehörden und die Einhaltung von Fristen.

Die wesentlichen Bestimmungen des Vorschlags

• Harmonisierung der Beschwerdeverfahren: Derzeit sehen sich Beschwerdeführer mit unterschiedlichen Anforderungen an die Form einer Beschwerde und ihre Beteiligung am Verfahren konfrontiert. Der Vorschlag beinhaltet daher ein einheitliches Formular und Prozeduren für die Beteiligung der Beschwerdeführer und die Ablehnung von Beschwerden.
• Vereinheitlichung der Verfahrensrechte: In den Mitgliedstaaten variieren die Verfahrensrechte der Parteien während einer Untersuchung stark. Daher schlägt die Verordnung eine zielgerichtete Harmonisierung der Verfahrensrechte in grenzüberschreitenden Fällen vor.
• Effizienzsteigerung bei Kooperation und Streitbeilegung: Eine effektive Zusammenarbeit zwischen den Datenschutzbehörden und eine effiziente Streitbeilegung sind wesentliche Voraussetzungen zur Sicherstellung einer einheitlichen Anwendung der DSGVO. Der Vorschlag zielt darauf ab, die Zusammenarbeit zu optimieren und die Streitbeilegung effizienter zu gestalten.
• Klärung von Fristen: Der Entwurf legt konkrete Fristen für das Streitbeilegungsverfahren fest und definiert die Rollen aller Akteure, die an der Streitbeilegung beteiligt sind. Allerdings hat die Kommission darauf verzichtet, jede Phase des Verfahrens mit Fristen zu versehen.

Struktur des Vorschlags

Der Entwurf gliedert sich in mehrere Kapitel, die den Gegenstand der Verordnung, die Begriffsbestimmungen, detaillierte Regeln für die Einreichung und Bearbeitung von Beschwerden, die Zusammenarbeit zwischen Aufsichtsbehörden in grenzüberschreitenden Fällen und die Harmonisierung der Ansprüche der von der Untersuchung betroffenen Parteien auf rechtliches Gehör behandeln.

Die wichtigsten Punkte im Detail:

Kapitel I: Gegenstand der Verordnung und Begriffsbestimmungen

Dieses Kapitel legt den Gegenstand der Verordnung sowie die Begriffsbestimmungen für den gesamten Rechtsakt fest. Die in der DSGVO verwendeten Begriffsbestimmungen gelten auch für diesen Vorschlag, wobei der Fokus speziell auf der grenzüberschreitenden Durchsetzung der DSGVO liegt.

Kapitel II: Einreichung und Bearbeitung von Beschwerden

Dieses Kapitel enthält detaillierte Regeln für die Einreichung und Bearbeitung von Beschwerden. Es legt ein einheitliches Formular fest, in dem die für grenzüberschreitende Beschwerden erforderlichen Informationen aufgeführt sind. Es nennt auch die Faktoren, die die Datenschutzbehörden berücksichtigen sollten, um zu prüfen, ob eine Beschwerdeuntersuchung angemessen ist. Ziel ist die Vereinfachung des Verfahrens und die Vermeidung von Fragmentierungen bei der Beschwerdebehandlung. Zudem wird der Eingang der Beschwerde bestätigt und die Möglichkeit einer gütlichen Einigung geregelt.

Kapitel III: Zusammenarbeit zwischen Aufsichtsbehörden in grenzüberschreitenden Fällen

Dieses Kapitel ist das umfangreichste des Entwurfs. Es legt fest, dass die „zweckdienlichen Informationen“, welche die Aufsichtsbehörden im Rahmen der grenzüberschreitenden Zusammenarbeit austauschen, bestimmte Dokumente umfassen sollten, und fordert deren rasche Übermittlung. Diese Bestimmung stellt sicher, dass alle betroffenen Datenschutzbehörden über die notwendigen Informationen verfügen, um ihren Standpunkt zu der Untersuchung mitzuteilen.

Sobald die federführende Datenschutzbehörde – die Behörde am Sitz des Unternehmens – einen vorläufigen Standpunkt zur Untersuchung festgelegt hat, ist sie verpflichtet, den betroffenen Datenschutzbehörden – der Behörde am Wohnort des Beschwerdeführers – eine „Zusammenfassung der wichtigsten Aspekte“ zu übermitteln. Diese Zusammenfassung soll den betroffenen Datenschutzbehörden die Möglichkeit geben, den Verlauf der Untersuchung frühzeitig zu beeinflussen, Meinungsverschiedenheiten zeitnah zu klären und dadurch die Möglichkeit einer Streitbeilegung zu fördern. Streitigkeiten über den Umfang der Untersuchungen müssen dem Europäischen Datenschutzausschuss vorgelegt werden, der in einem Dringlichkeitsverfahren entscheidet, um das Verfahren fortzuführen.

Abschnitt 3 des Kapitels harmonisiert die Ansprüche der von der Untersuchung betroffenen Parteien auf rechtliches Gehör. Es sieht vor, dass die federführende Datenschutzbehörde den betroffenen Parteien ihre vorläufigen Feststellungen mitteilt, welche die erhobenen Einwände, die relevanten Fakten, die Beweismittel, die rechtliche Bewertung und gegebenenfalls die vorgeschlagenen Abhilfemaßnahmen enthalten. Dies gibt den betroffenen Parteien die Möglichkeit, die gegen sie erhobenen Anschuldigungen vollständig zu prüfen und darauf zu reagieren. Der Beschwerdeführer soll damit seinen Standpunkt noch einmal vertiefen können, der Beschwerdegegner sein Verteidigungsvorbringen.

Zusammenfassung und Ausblick

Insgesamt ist der Vorschlag ein bedeutender Schritt zur Verbesserung der Durchsetzung der DSGVO in der EU und zur Gewährleistung der Rechte aller Beteiligten. Die Möglichkeit der betroffenen Unternehmen, ihren Standpunkt zu jedem Zeitpunkt im Verfahren geltend zu machen, ist besonders zu begrüßen. Denn bisher war nicht klar, ob diese auch vor dem Europäischen Datenschutzausschuss Gehör gewährt werden muss. Allerdings wird im Sommer 2024 das Europaparlament neu gewählt. Viel Zeit, die Verordnung noch bis dahin zu verabschieden, bleibt daher nicht.