4. Juli 2023
Im Kern des europäischen Rechtsverständnisses steht der Schutz personenbezogener Daten als ein fundamentales Recht, das fest in der Charta der Grundrechte der Europäischen Union und im Vertrag über die Arbeitsweise der Europäischen Union verankert ist. Den Bürgern der EU ist der Schutz ihrer personenbezogenen Daten sehr wichtig, weshalb in der Vergangenheit die Datenschutz-Grundverordnung (DSGVO) erlassen worden ist.
Allerdings wird immer wieder die Kritik geäußert, dass gerade in den grenzüberschreitenden Fällen die Durchsetzung der DSGVO zu wünschen übrig lasse. Wichtig ist aber auch, dass Recht effektiv durchgesetzt wird. Daher ist eine effizientere Durchsetzung der EU-Datenschutzvorschriften Ziel der von der Kommission am 4. Juli 2023 vorgelegten Verordnung.
Die vorliegende Verordnung hat das Ziel, das derzeitige "One-Stop-Shop"-System, das die Durchsetzung der DSGVO sicherstellt, weiter zu stärken. Dieses System ermöglicht es den Bürgern, ihre lokale Datenschutzbehörde anzusprechen und dadurch ihre Rechte aus der DSGVO zu verfolgen. Das dezentrale System setzt allerdings eine enge Zusammenarbeit zwischen den Datenschutzbehörden in Fällen mit grenzüberschreitender Relevanz voraus.
Auf der Basis des Berichts der Kommission zur DSGVO aus dem Jahr 2020, einer „Wunschliste“ des Europäischen Datenschutzausschusses von 2022 und weiteren Analysen, hat die Kommission eine Reihe von Problemfeldern identifiziert, die durch die neue Verordnung adressiert werden sollen. Zu diesen gehören die Form von Beschwerden, die Beteiligung der Beschwerdeführer am Verfahren, die Wahrung der Verfahrensrechte der betroffenen Parteien, die Kooperation und Streitbeilegung zwischen Datenschutzbehörden und die Einhaltung von Fristen.
Der Entwurf gliedert sich in mehrere Kapitel, die den Gegenstand der Verordnung, die Begriffsbestimmungen, detaillierte Regeln für die Einreichung und Bearbeitung von Beschwerden, die Zusammenarbeit zwischen Aufsichtsbehörden in grenzüberschreitenden Fällen und die Harmonisierung der Ansprüche der von der Untersuchung betroffenen Parteien auf rechtliches Gehör behandeln.
Die wichtigsten Punkte im Detail:
Dieses Kapitel legt den Gegenstand der Verordnung sowie die Begriffsbestimmungen für den gesamten Rechtsakt fest. Die in der DSGVO verwendeten Begriffsbestimmungen gelten auch für diesen Vorschlag, wobei der Fokus speziell auf der grenzüberschreitenden Durchsetzung der DSGVO liegt.
Dieses Kapitel enthält detaillierte Regeln für die Einreichung und Bearbeitung von Beschwerden. Es legt ein einheitliches Formular fest, in dem die für grenzüberschreitende Beschwerden erforderlichen Informationen aufgeführt sind. Es nennt auch die Faktoren, die die Datenschutzbehörden berücksichtigen sollten, um zu prüfen, ob eine Beschwerdeuntersuchung angemessen ist. Ziel ist die Vereinfachung des Verfahrens und die Vermeidung von Fragmentierungen bei der Beschwerdebehandlung. Zudem wird der Eingang der Beschwerde bestätigt und die Möglichkeit einer gütlichen Einigung geregelt.
Dieses Kapitel ist das umfangreichste des Entwurfs. Es legt fest, dass die „zweckdienlichen Informationen“, welche die Aufsichtsbehörden im Rahmen der grenzüberschreitenden Zusammenarbeit austauschen, bestimmte Dokumente umfassen sollten, und fordert deren rasche Übermittlung. Diese Bestimmung stellt sicher, dass alle betroffenen Datenschutzbehörden über die notwendigen Informationen verfügen, um ihren Standpunkt zu der Untersuchung mitzuteilen.
Sobald die federführende Datenschutzbehörde – die Behörde am Sitz des Unternehmens – einen vorläufigen Standpunkt zur Untersuchung festgelegt hat, ist sie verpflichtet, den betroffenen Datenschutzbehörden – der Behörde am Wohnort des Beschwerdeführers – eine „Zusammenfassung der wichtigsten Aspekte“ zu übermitteln. Diese Zusammenfassung soll den betroffenen Datenschutzbehörden die Möglichkeit geben, den Verlauf der Untersuchung frühzeitig zu beeinflussen, Meinungsverschiedenheiten zeitnah zu klären und dadurch die Möglichkeit einer Streitbeilegung zu fördern. Streitigkeiten über den Umfang der Untersuchungen müssen dem Europäischen Datenschutzausschuss vorgelegt werden, der in einem Dringlichkeitsverfahren entscheidet, um das Verfahren fortzuführen.
Abschnitt 3 des Kapitels harmonisiert die Ansprüche der von der Untersuchung betroffenen Parteien auf rechtliches Gehör. Es sieht vor, dass die federführende Datenschutzbehörde den betroffenen Parteien ihre vorläufigen Feststellungen mitteilt, welche die erhobenen Einwände, die relevanten Fakten, die Beweismittel, die rechtliche Bewertung und gegebenenfalls die vorgeschlagenen Abhilfemaßnahmen enthalten. Dies gibt den betroffenen Parteien die Möglichkeit, die gegen sie erhobenen Anschuldigungen vollständig zu prüfen und darauf zu reagieren. Der Beschwerdeführer soll damit seinen Standpunkt noch einmal vertiefen können, der Beschwerdegegner sein Verteidigungsvorbringen.
Insgesamt ist der Vorschlag ein bedeutender Schritt zur Verbesserung der Durchsetzung der DSGVO in der EU und zur Gewährleistung der Rechte aller Beteiligten. Die Möglichkeit der betroffenen Unternehmen, ihren Standpunkt zu jedem Zeitpunkt im Verfahren geltend zu machen, ist besonders zu begrüßen. Denn bisher war nicht klar, ob diese auch vor dem Europäischen Datenschutzausschuss Gehör gewährt werden muss. Allerdings wird im Sommer 2024 das Europaparlament neu gewählt. Viel Zeit, die Verordnung noch bis dahin zu verabschieden, bleibt daher nicht.
von mehreren Autoren