Die Europäische Kommission hat für das zweite Quartal 2023 eine Gesetzesinitiative zur Änderung der DSGVO in Aussicht gestellt. Eine große Reform der DSGVO ist vorerst nicht vorgesehen. Vielmehr soll mit zielgerichteten Änderungen die Kooperations- und Streitbeilegungsmechanismen der DSGVO in grenzüberschreitenden Fällen verbessert werden.
Der Inhalt im Überblick
Hintergrund – Irland als DSGVO-Bremse
Die DSGVO sieht vor, dass bei grenzüberschreitenden Datenverarbeitungen die sogenannte federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters ist. Daher haben Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur einen behördlichen Ansprechpartner.
Dementsprechend hat allein die federführende Behörde das Recht, verbindliche Beschlüsse über Maßnahmen nach der DSGVO zu erlassen. Hierbei muss die federführende Aufsichtsbehörde mit den anderen betroffenen Aufsichtsbehörden – dies ist häufig die Aufsichtsbehörde, bei der die Beschwerde ursprünglich eingereicht wurde (Art. 4 Nr. 22 DSGVO) – zusammenarbeiten. Zur gesetzlich geforderten Zusammenarbeit gehört auch, dass die federführende Aufsichtsbehörde den anderen betroffenen Aufsichtsbehörden einen Beschlussentwurf zur Stellungnahme übermittelt. Hat die andere betroffene Aufsichtsbehörde rechtliche Einwände, kann sie gegen den Beschlussentwurf Einspruch einlegen. Sofern sich die federführende Aufsichtsbehörde dem Einspruch nicht anschließt, muss der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss zur Sache fassen (Art. 65 DSGVO).
Das beschriebene Regelungsgeflecht hat für große Technologieunternehmen wie Meta, Google, Apple, Twitter und Microsoft Sitz zur Folge, dass die irische Datenschutzbehörde DPC federführend zuständig ist. Kritiker werfen der DPC schon seit Längerem eine zu langsame Bearbeitung von Beschwerden vor.
Geplante Änderungen
Die von der Kommission geplanten Änderungen der DSGVO betreffen vor allem die grenzüberschreitende Zusammenarbeit und damit die Art. 60 ff. DSGVO. Mit der Initiative reagiert die Kommission auf eine „Wunschliste“, die der EDSA im Oktober letzten Jahres der Kommission übermittelt hatte. Ausgehend von dieser „Wunschliste“ scheinen die folgenden Änderungen denkbar:
Fristen und Kooperation
Ein wichtiges Mittel zur Verfahrensbeschleunigung soll die Einführung verbindlicher Fristen sein. Die DSGVO sieht zwar einige Fristen vor. Beispielsweise haben Aufsichtsbehörden den Amtshilfeersuchen anderer Aufsichtsbehörden spätestens innerhalb eines Monats nachzukommen (Art. 61 Abs. 2 S. 1 DSGVO). Für viele weitere Prozesse im Rahmen der europäischen Zusammenarbeit von Aufsichtsbehörden sind allerdings keine Fristen festgelegt. Der EDSA schlägt daher zum Beispiel Fristen für die Weiterleitung von Beschwerden an die federführende Aufsichtsbehörde vor.
Darüber hinaus könnte für grenzüberschreitende Fälle eine generelle Bearbeitungsfrist eingeführt werden, die die federführende Aufsichtsbehörde einzuhalten hätte. Die Frist könnte mit einer Regelung ergänzt werden, wonach die federführende Aufsichtsbehörde ein Verstreichen der Frist begründen müsste. Auf diese Weise könnte die federführende Aufsichtsbehörde öffentlicher Kritik begegnen, warum Beschwerdeverfahren in einigen grenzüberschreitenden Fällen selbst nach Jahren nicht zum Abschluss gebracht werden.
Vorgeschlagen wird außerdem, Art. 60 Abs. 3 DSGVO anzupassen. Dieser lautet zur Zeit:
„Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.“
Der Begriff „unverzüglich“ ist aufgrund seiner Unbestimmtheit zu unhandlich, weshalb der EDSA hier eine Präzisierung empfiehlt.
Neben der Einführung von Verfahrensfristen sollen auch die Modalitäten der Zusammenarbeit in Art. 60 DSGVO verbessert werden. So ist etwa unklar, was „zweckdienliche Informationen“ im Sinne von Art. 60 Abs. 1 und Abs. 3 sind. Konkret schlägt der ESDA vor, eindeutig zu regeln, welche Dokumente standardmäßig unter den Aufsichtsbehörden auszutauschen sind. Auch soll die federführende Aufsichtsbehörde die anderen betroffenen Aufsichtsbehörden zukünftig über den Stand des Verfahrens informieren.
Harmonisierung des Beschwerdeverfahrens
Verbesserungsbedarf sieht der ESDA überdies im Hinblick auf das Beschwerdeverfahren. Die formalen Anforderungen für Beschwerden sollen harmonisiert werden. Denn während in einigen Mitgliedstaaten eine Beschwerde etwa per E-Mail eingereicht werden kann, muss die Beschwerde in anderen Mitgliedstaaten eigenhändig unterschrieben werden.
Wenn in einem Mitgliedstaat die formalen Anforderungen an eine Beschwerde erfüllt sind, soll die federführende Aufsichtsbehörde des anderen Mitgliedstaats die Zulässigkeit der Beschwerde nicht nochmals untersuchen. Dies entspricht bereits den internen Richtlinien des EDSA, die DSGVO könnte das jedoch ausdrücklich gesetzlich regeln.
Regelung von Ermittlungsbefugnissen
Der Ort der Hauptniederlassung eines Verantwortlichen entscheidet darüber, welche Datenschutzbehörde innerhalb der EU federführend tätig ist. In einigen Fällen muss für die Ermittlung der Hauptniederlassung geprüft werden, in welchem Mitgliedstaat der Verantwortliche „die Entscheidungen über die Zwecke und Mittel der Datenverarbeitung trifft“ (Art. 4 Nr. 16 DSGVO). Bevor also klar ist, welche Datenschutzbehörde federführend ist, kann mitunter eine Vorprüfung notwendig sein. Der EDSA schlägt vor, den Prozess dieser Vorprüfung und die in diesem Stadium bestehenden Ermittlungsbefugnisse der Aufsichtsbehörden in der DSGVO niederzulegen.
Unabhängig von den in der DSGVO im Einzelnen geregelten Aufgaben, soll sich jede Datenschutzbehörde mit in ihrem Hoheitsgebiet erhobenen Beschwerden einer Person befassen und den Gegenstand einer Beschwerde „in angemessenen Umfang“ untersuchen (Art. 57 Abs. 1 lit. f DSGVO). Auch hier kann es unterschiedliche Vorstellungen dahingehend geben, wann ein Beschwerdegegenstand „in angemessenem Umfang“ untersucht wurde. Starre Vorgaben zu Untersuchungstiefe und Dauer sind in diesem Zusammenhang sicherlich schwierig. Stattdessen könnten aber gesetzlich geregelte Beispiele den Umfang der Untersuchung spezifizieren.
Vereinheitlichung der Beteiligtenrechte
Wird das Beschwerdeverfahren in Deutschland durchgeführt, ergeben sich die Rechte des Beschwerdeführers aus dem Verwaltungsverfahrensgesetz des Bundes oder der Länder. Diese sehen vor, dass der Beschwerdeführer Beteiligter des Verwaltungsverfahrens ist und so ein Akteneinsichtsrecht und Recht auf rechtliches Gehör hat. Die Verwaltungsverfahrensgesetze regeln außerden, dass die Behörde zur Geheimhaltung insbesondere von Betriebs- und Geschäftsgeheimnissen verpflichtet ist. Schließlich muss die Behörde schriftliche Entscheidungen begründen.
Im Gegensatz dazu hat der Beschwerdeführer in anderen Mitgliedstaaten teilweise lediglich ein Beschwerderecht und ist am weiteren Verfahren nicht beteiligt. Dementsprechend schlägt der ESDA vor, standardisierte Beteiligtenrechte zu schaffen und auf Unionsebene auch zu regeln, wie weit Geheimhaltungspflichten reichen und welche Dokumente davon umfasst sind.
Nur ein Reförmchen?
Zurzeit befindet sich die Initiative noch im Sondierungsverfahren. Bis morgen, den 24. März 2023, kann zu den Plänen der Kommission Stellung genommen werden. Die Harmonisierung des Verfahrens sowie die Einführung verbindlicher Fristen scheint geeignet die Zusammenarbeit zwischen den Aufsichtsbehörden zu beschleunigen. Gleichzeitig möchte die Kommission den Korridor für Änderungen möglichst eng halten, vermutlich auch um eine Einflussnahme von Lobbyisten und Datenschutz-Aktivisten zu verhindern und das Gesetzgebungsverfahren so nicht zu verzögern.
