Nach gut sechs Jahren DSGVO hat die Europäische Kommission, kurz EU-Kommission, am 25. Juli 2024 ihren zweiten Bericht über die Evaluation der DSGVO angenommen. Wir geben einen Überblick über den rechtlichen Hintergrund, die Grundlagen sowie über das Fazit – inklusive der hieraus seitens der EU-Kommission abgeleiteten Optimierungsschwerpunkte – des Berichts und der zugrundeliegenden Evaluation. Schließlich beleuchten wir einige ausgewählte Aspekte des Berichts.
Der Inhalt im Überblick
- DSGVO-Evaluation und Bericht – dies ist der rechtliche Hintergrund
- Grundlagen der DSGVO-Evaluation und des Berichts
- Geteiltes Fazit und Optimierungsfokus der EU-Kommission
- Verfahrensregeln für grenzüberschreitende Fälle
- Wachstum im Bereich „Zusammenarbeit und Köharenz“
- Datenschutzaufsichtsbehörden: intensivierte Durchsetzung der DSGVO
- Angemessenheitsbeschlüsse im Sinne des Art. 45 DSGVO
- Unterstützung von Interessenträgern
- Eine Myriade an Informationen und doch nur ein ausgewählter Ausschnitt des zweiten Berichts zur DSGVO-Evalution
DSGVO-Evaluation und Bericht – dies ist der rechtliche Hintergrund
Sowohl der erste als auch der zweite Bericht der EU-Kommission über die Evaluation der DSGVO sowie deren jeweilige Veröffentlichung sind auf Art. 97 Abs. 1 DSGVO zurückzuführen. Dort heißt es:
„Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht.“
Vorgaben zum Evaluationsprozess und -inhalt finden sich in den weiteren Absätzen des Art. 97 DSGVO.
Grundlagen der DSGVO-Evaluation und des Berichts
Als Grundlagen ihres aktuellen Berichts und mithin der zugrundeliegenden Evaluation gibt die EU-Kommission die folgenden Quellen an:
- den Vermerk des Rates der Europäischen Union vom 17. November 2023 mit dem Betreff „Standpunkt und Feststellungen des Rates zur Anwendung der Datenschutz-Grundverordnung (DSGVO) – Billigung“;
- Input von Interessenträgern;
- Eingaben von Datenschutzaufsichtsbehörden, verkörpert in einem Beitrag des Europäischen Datenschutzausschusses (im Folgenden: EDSA);
- den Bericht der Agentur der Europäischen Union für Grundrechte auf Basis von Befragungen einzelner Datenschutzaufsichtsbehörden und
- Erkenntnisse aus der fortwährenden Überwachung der Anwendung der DSGVO seitens der EU-Kommission, inklusive zweiseitiger Austausche mit den Mitgliedstaaten über die Wahrung der jeweiligen nationalen Rechtsvorschriften, eines aktiven Beitrages zur Arbeit des EDSA sowie enger Kontakte mit einer Vielzahl von Interessenträgern zur Anwendung der DSGVO in der Praxis.
Geteiltes Fazit und Optimierungsfokus der EU-Kommission
In der Einleitung ihres aktuellen Berichts über die Evaluation der DSGVO zeichnet die EU-Kommission ein geteiltes Bild. Während
„[z]wischen den Interessenträgern, den Datenschutzbehörden und den Mitgliedstaaten (…) weitgehend Einigkeit darüber [bestehe], dass die DSGVO trotz einiger Herausforderungen wichtige Ergebnisse für Einzelpersonen und Unternehmen gebracht ha[be] (…) [und während] [d]er risikobasierte, technologieneutrale Ansatz (…) einen starken Schutz für betroffene Personen und angemessene Pflichten für Verantwortliche und Auftragsverarbeiter [biete] (…)“
bestehe in mehreren Bereichen Optimierungsbedarf. Mit Blick auf insofern angestrebte Fortschritte sollte – so die EU-Kommission – der Fokus in nächster Zeit insbesondere auf die drei Aspekte gerichtet werden,
„(…) die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen.“.
Verfahrensregeln für grenzüberschreitende Fälle
Die EU-Kommission führt hierzu zunächst aus, in ihrem ersten Bericht über die Evaluation der DSGVO vom 24. Juni 2020 habe sie dargelegt, dass die Effizienz und Einheitlichkeit der Bearbeitung grenzüberschreitendender Fälle optimierungsbedürftig seien. Die entsprechenden Defizite seien insbesondere auf (Anmerkung der Autorin: wohl mitunter bestehende) starke Divergenzen hinsichtlich sowohl der mitgliedstaatlichen Verwaltungsverfahren als auch der Auslegung der Konzepte des Kooperationsmechanismus‘ der DSGVO in den verschiedenen Mitgliedstaaten zurückgeführt worden.
Um insofern Abhilfe zu schaffen, habe die EU-Kommission im Juli 2023 einen Vorschlag für eine Verordnung über Verfahrensregeln für grenzüberschreitende Fälle angenommen.
Wie NOYB – Europäisches Zentrum für digitale Rechte (noyb) berichtet, hätten zwischenzeitlich sowohl das Europäische Parlament als auch der Rat der Europäischen Union entsprechende Änderungsvorschläge vorgelegt, welche nun zu einem gemeinsamen Text zusammengefasst werden müssten. Nach einer Analyse vorgenannter Änderungsvorschläge durch den österreichischen Verein, gibt noyb einen diesbezüglichen ersten Überblick und kündigt mitunter die Veröffentlichung eines vollständigen schriftlichen Vergleichs an.
Wachstum im Bereich „Zusammenarbeit und Köharenz“
Besondere Bedeutung dürfte der Festlegung zusätzlicher Verfahrensregeln für grenzüberschreitende Fälle vor dem Hintergrund zukommen, dass die Anzahl solcher Fälle laut des aktuellen Berichtes der EU-Kommission stark zugenommen habe.
Gleichsam sei die Nutzung der in Art. 60, 61 und 62 DSGVO normierten Instrumente zur Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden der Mitgliedstaaten gestiegen.
Auch die Anzahl an Kohärenzverfahren nach Art. 63 ff. DSGVO sei angewachsen. Konkret habe der EDSA 190 Kohärenzstellungnahmen angenommen (vgl. Art. 64 DSGVO). Ferner habe er neun verbindliche Entscheidungen im Streitbeilegungsverfahren erlassen (vgl. Art. 65 DSGVO). Diese hätten allesamt die Anweisung gegenüber der jeweiligen federführenden Datenschutzaufsichtsbehörde beinhaltet, ihren betreffenden Beschlussentwurf abzuändern und es seien die meisten von ihnen gerichtlich angefochten worden. Schließlich hätten fünf Datenschutzaufsichtsbehörden vorläufige Maßnahmen im Dringlichkeitsverfahren erlassen (vgl. Art. 66 Abs. 1 DSGVO) und zwei Datenschutzaufsichtsbehörden den EDSA in einem solchen Verfahren um einen verbindlichen Beschluss ersucht (vgl. Art. 66 Abs. 2 DSGVO). Unter beiden der vorerwähnten Datenschutzaufsichtsbehörden befand sich auch eine deutsche, namentlich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Wie sich auf den Seiten 84 bis 87 des „30. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit 2021“ nachlesen lässt, habe jener am 10. Mai 2021 im Dringlichkeitsverfahren nach Art. 66 Abs. 1 DSGVO eine Unterlassungsanordnung gegen Facebook Ireland Limited erlassen und den EDSA gem. Art. 66 Abs. 2 DSGVO um einen verbindlichen Beschluss ersucht.
Für die Zukunft wünscht sich die EU-Kommission – ausweislich der Schlussbemerkungen innerhalb ihres hier in Rede stehenden Berichts –, dass der EDSA und die Datenschutzaufsichtsbehörden
„(…) die in der DSGVO vorgesehenen Instrumente für die Zusammenarbeit umfassender (…) nutz[t]en, damit die Streitbeilegung nur als letztes Mittel genutzt (…) [werde] (…)“.
Gemessen an dem Wachstum im Bereich „Zusammenarbeit und Kohärenz“ und unter Antizipierung künftiger Optimierungen durch die Festlegung zusätzlicher Verfahrensregeln für grenzüberscheitende Fälle, wird man den entsprechenden Kooperationsmechanismen auf europäischer Ebene wohl ein positives Zeugnis ausstellen können. Gleichsam dürften die anwendenden Datenschutzaufsichtsbehörden mit diesen Mechanismen wohlvertraut sein.
Umstände, die Teile der Argumentation der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) für eine Übertragung der Aufsicht nach der KI-Verordnung in Deutschland auf die Datenschutzaufsichtsbehörden untermauern dürften. So heißt es in dem Beschluss der DSK vom 03. Mai 2024 „Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024“:
„Aufgrund der bereits jetzt durch die DSGVO begründeten Aufgaben und Befugnisse der Datenschutzaufsichtsbehörden sowie der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene sollten in Deutschland grundsätzlich die nationalen Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden benannt werden.“
Gleichsam könnten die vorerwähnten Umstände für eine EU-weite Übertragung der Aufsicht nach der KI-Verordnung auf die jeweiligen nationalen Datenschutzaufsichtsbehörden sprechen.
Datenschutzaufsichtsbehörden: intensivierte Durchsetzung der DSGVO
Die EU-Kommission berichtet von einem „erheblich[en]“ Anstieg der Durchsetzung der DSGVO durch die Datenschutzaufsichtsbehörden. Aus deutscher Perspektive von besonderem Interesse dürfte hierbei sein: Ausweislich des Berichts der EU-Kommission waren die deutschen Datenschutzaufsichtsbehörden quantitativer Spitzenreiter in allen diesbezüglichen Einzelerhebungen. So hätten sie
- die meisten Untersuchungen (7.647) von Amts wegen eingeleitet;
- 2022 die meisten Beschwerden (32.300) registriert;
- 2022 die meisten Beschlüsse (3.261) zur Verhängung von Abhilfemaßnahmen erlassen und
- die meisten Geldbußen (2.106) verhängt, wobei sie jedoch hinsichtlich des höchsten Gesamtbetrages an Geldbußen weder einen der ersten vier noch einen der letzten drei Plätze belegt hätten.
Angemessenheitsbeschlüsse im Sinne des Art. 45 DSGVO
Zu diesem Themenkomplex führt die EU-Kommission mitunter zu abgeschlossenen Überprüfungen bestehender Angemessenheitsbeschlüsse im Sinne des Art. 45 DSGVO aus. So seien die elf noch unter Geltung des „früheren EU-Datenschutzrahmens (Datenschutzrichtlinie)“ erlassenen Angemessenheitsbeschlüsse unter Einbeziehung der Aussagen des Gerichtshofes der Europäischen Union in dessen Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 und der anschließenden Auslegung seitens des EDSA überprüft worden. Der entsprechende Bericht der EU-Kommission sei am 15. Januar 2024 veröffentlicht worden und attestiere im Ergebnis
„(…) alle[n] elf Länder[n] und Gebiete[n] weiterhin ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten (…). Er spiegel[e] wider, dass alle betroffenen Länder und Gebiete ihren Rechtsrahmen zum Schutz der Privatsphäre auf unterschiedliche Weise modernisiert und gestärkt (…) [hätten]. Wenn dies zur Sicherstellung der Kontinuität der Angemessenheitsfeststellung erforderlich (…) [gewesen sei], [seien] (…) darüber hinaus mit einigen davon zusätzliche Garantien für aus Europa übermittelte personenbezogene Daten ausgehandelt und vereinbart [worden], um maßgebliche Unterschiede bezüglich des Schutzniveaus anzugehen.“.
Auch eine Überprüfung des bestehenden Angemessenheitsbeschlusses für Japan habe ergeben, dass das zuvor attestierte angemessene Schutzniveau nicht nur aufrechterhalten werde, sondern sich vielmehr die Datenschutzrahmen der EU und Japans weiter annäherten.
Aus den vordargestellten Ergebnissen der Überprüfung bestehender Angemessenheitsbeschlüsse schließt die EU-Kommission sodann, dass
„(…) die Angemessenheitsbeschlüsse die Grundlage für eine engere Zusammenarbeit und eine weitere Angleichung der Rechtsvorschriften zwischen der EU und diesen gleichgesinnten Partnern geschaffen (…) [hätten] und nicht etwa ein „Endpunkt“ (…) [gewesen seien]. (…) Im Allgemeinen (…) [seien] Angemessenheitsbeschlüsse zu einer strategischen Komponente der allgemeinen Beziehungen der EU zu diesen ausländischen Partnern geworden und w[ü]rden als wichtiger Faktor für die Vertiefung der Zusammenarbeit in einer Vielzahl von Bereichen anerkannt.“
Ferner führt die EU-Kommission zu anstehenden Überprüfungen aus. So werde eine erste Überprüfung des Angemessenheitsbeschlusses für das EU-U.S. Data Privacy Framework im Sommer 2024 und desjenigen für die Republik Korea Ende 2024 durchgeführt werden. Ausweislich Artikel 3 Abs. 4 des Angemessenheitsbeschlusses für das EU-U.S. Data Privacy Framework sowie dessen Verkündungsdatum läuft die Überprüfung dieses aktuell bereits. Die Überprüfung des Angemessenheitsbeschlusses für das Vereinigte Königreich schließlich wird wohl gegen Ende 2025 erfolgen, da dieser Angemessenheitsbeschluss – so die EU-Kommission – eine „Auslaufklausel“ enthalte, die 2025 ende, im Anschluss hieran jedoch verlängert werden könne, so weiterhin ein angemessenes Schutzniveau gewährleistet werde.
Im Hinblick auf mögliche künftige Angemessenheitsbeschlüsse teilt die EU-Kommission mit, aktuell liefen entsprechende Verhandlungen mit Brasilien und Kenia; ferner – wobei es sich um ein Novum handele – mit internationalen Organisationen.
Unterstützung von Interessenträgern
Der zweite Bericht der EU-Kommission über die Evaluation der DSGVO zeigt einige Defizite hinsichtlich der Unterstützung von Interessenträgern sowie diesbezügliche Optimierungsansätze auf.
Leitlinien des EDSA und der Datenschutzaufsichtsbehörden
Laut des Berichts der EU-Kommission hätten Interessenträger die Leitlinien des EDSA zwar durchaus als nützlich, jedoch oft als zu theoretisch und zu lang empfunden. Zudem ließen diese nach deren Ansicht (Anmerkung der Autorin: häufig?) nicht die Berücksichtigung des risikobasierten Ansatzes der DSGVO erkennen. Die EU-Kommission hält dies vorweggeschickt fest:
„Die Datenschutzbehörden und der (…) [EDSA] sollten präzise und praktische Leitlinien bereitstellen, die Antworten auf konkrete Probleme geben und ein ausgewogenes Verhältnis zwischen Datenschutz und anderen Grundrechten widerspiegeln. Die Leitlinien sollten auch für Personen ohne juristische Ausbildung (…) leicht verständlich sein.“
Um diese Zielvorgaben zu erreichen, könnten die Datenschutzaufsichtsbehörden und der EDSA etwa
„(…) die Ausarbeitung der Leitlinien transparenter (…) gestalten und frühzeitig Konsultationen (…) [durchführen], um ein besseres Verständnis der Marktdynamik, der geschäftlichen Gepflogenheiten und der praktischen Anwendung der Leitlinien zu ermöglichen.“
In diesem Zusammenhang befürwortet die EU-Kommission ausdrücklich, dass der EDSA innerhalb dessen Strategie 2024-2027 sein Ziel, praktische Leitlinien zur Verfügung zu stellen, die für die jeweiligen Adressaten zugänglich seien, betont habe.
Soweit es die Datenschutzaufsichtsbehörden betrifft, führt die EU-Kommission zur Unterstützung speziell von kleineren und mittleren Unternehmen aus:
„Die Datenschutzbehörden sollten sich darauf konzentrieren, maßgeschneiderte Unterstützung und praktische Instrumente bereitzustellen, wie Vorlagen (z. B. für die Durchführung von Datenschutz-Folgenabschätzungen), Hotlines, illustrative Beispiele, Checklisten und Anleitungen zu bestimmten Verarbeitungsvorgängen (z. B. Rechnungsstellung oder Newsletter) sowie technischen und organisatorischen Maßnahmen.“
In thematischer Hinsicht ersucht die EU-Kommission den EDSA und die Datenschutzaufsichtsbehörden insofern
„(…) die laufenden Arbeiten an den Leitlinien zu den Daten von Kindern, wissenschaftlicher Forschung, Anonymisierung, Pseudonymisierung und den berechtigten Interessen vorrangig abzuschließen (…).“.
Abweichende Auslegungen durch Datenschutzaufsichtsbehörden
Dem aktuellen Bericht der EU-Kommission lässt sich entnehmen, dieser sei aus dem Kreise der Interessenträger zurückgemeldet worden, dass die Datenschutzaufsichtsbehörden die „wichtigsten Datenschutzkonzepte“ nach wie vor abweichend auslegten. Wie die EU-Kommission ausführt, stuften die Interessenträger dies
„(…) als Haupthindernis für die einheitliche Anwendung der DSGVO in der EU (…)“
ein.
Die EU-Kommission ergänzt hierzu:
„Das Fortbestehen unterschiedlicher Auslegungen führt zu Rechtsunsicherheit und erhöht die Kosten für Unternehmen (z. B. durch die Anforderung unterschiedlicher Unterlagen für mehrere Mitgliedstaaten), beeinträchtigt den freien Verkehr personenbezogener Daten in der EU, behindert grenzüberschreitende Geschäfte sowie Forschung und Innovation bei dringenden gesellschaftlichen Herausforderungen.“
Dies vorweggeschickt ersucht die EU-Kommission den EDSA und die Datenschutzaufsichtsbehörden innerhalb der Schlussbemerkungen ihres aktuellen Berichts über die Evaluation der DSGVO
„(…) unterschiedliche Auslegungen der DSGVO zwischen den Datenschutzbehörden zu beheben, auch zwischen Behörden innerhalb desselben Mitgliedstaats (…).“.
Entwicklung ergänzender Standarddatenschutzklauseln
Mit Blick auf Drittlandtransfers teilt die EU-Kommission zudem mit, sie entwickele derzeit ergänzende Standarddatenschutzklauseln, etwa
„(…) für Datenübermittlungen an Datenimporteure aus Drittländern, deren Verarbeitungsvorgänge unmittelbar unter die DSGVO (…) [fielen].“.
Dies entspreche einer Forderung seitens der Interessenträger.
Auch Genehmigungsverfahren optimierungsbedürftig
Weiterer Optimierungsbedarf bestehe etwa hinsichtlich der Verfahren zur Genehmigung von Verhaltensregeln im Sinne des Art. 40 DSGVO sowie von verbindlichen internen Datenschutzvorschriften im Sinne des Art. 47 DSGVO.
Eine Myriade an Informationen und doch nur ein ausgewählter Ausschnitt des zweiten Berichts zur DSGVO-Evalution
Der hier in Rede stehende Bericht der EU-Kommission stellt das Ergebnis einer umfassenden Evaluation der Entwicklung der DSGVO zwischen diesem und dem ersten diesbezüglichen Bericht der EU-Kommission, einschließlich des Status quo, sowie von Überlegungen zu Optimierungsansätzen dar. Infolge des entsprechenden Umfanges – in Seiten: 38 – zeigt der vorliegende Beitrag nur einen kleinen Ausschnitt der entsprechenden verschriftlichten Erkenntnisse der EU-Kommission. Interessierte können sich im zweiten Bericht der EU-Kommission über die Evaluation der DSGVO darüber hinaus etwa über die Erforderlichkeit der Zusammenarbeit verschiedenster befasster Regulierungsbehörden, Entwicklungen bezüglich der Betroffenenrechte sowie die Ressourcen der Datenschutzaufsichtsbehörden informieren.