Neue Verfahrensregeln für die Durchsetzung der DSGVO
Schnellere Hilfe für Einzelpersonen – mehr Rechtssicherheit für Unternehmen – bessere Zusammenarbeit der Behörden
UM – 07/2023
Am 4. Juli hat die Europäische Kommission einen Vorschlag
für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die
Durchsetzung der Verordnung (EU) 2016/679 – der
Datenschutzgrundverordnung (DSGVO) - vorgestellt. Über eine Harmonisierung von
Verfahrensvorschriften und rechtliche Klarstellungen soll die Zusammenarbeit
von nationalen Behörden in grenzüberschreitenden Fällen erleichtert und
Meinungsverschiedenheiten schneller geklärt werden. Denn die Durchsetzung der
Regeln stockt (mehr
dazu hier). Dies liegt nicht zuletzt an den verteilten
Zuständigkeiten, die zur unterschiedlichen Anwendung des eigentlich einheitlichen
Rechts führt. In grenzüberschreitenden Fällen wird das besonders sichtbar.
Der Datenschutz soll besser werden
Die Regelungsvorschläge richten sich an Einzelpersonen, Unternehmen
und Behörden. Klargestellt wird, welche Unterlagen Einzelpersonen bei einer
Beschwerde einreichen müssen. Für Unternehmen werden in den neuen Vorschriften
ihre Rechte in Bezug auf ein faires Verfahren präzisiert. Für die
Datenschutzbehörden sollen die neuen Vorschriften die Zusammenarbeit erleichtern.
Im Ergebnis soll ein reibungsloses Funktionieren des mit der DSGVO eingeführten
Kooperations- und Kohärenzverfahrens sichergestellt und der Datenschutz besser
werden.
Kooperations- und Kohärenzverfahren
Nach diesem Verfahren arbeiten die betroffenen europäischen
Aufsichtsbehörden – in Deutschland können dies Bundes- und Landesdatenschutzbehörden
sein – für eine einheitliche Rechtsanwendung untereinander zusammen
(Kooperation). Federführend und alleiniger Ansprechpartner nach dem
One-Stop-Prinzip ist dabei die Behörde des Landes, in dem eine grenzüberschreitend agierende Person oder Unternehmen (der Verantwortliche für
den potentiellen Datenverstoß) seine Hauptniederlassung hat.
Der Europäische Datenschutzausschuss entscheidet
Wird auf europäischer Ebene im Kooperationsverfahren kein
Konsens zur Frage der Federführung oder – was häufiger ist - zum Beschlussentwurf
erreicht, ist das Kohärenzverfahren und hier konkret das Streitbeilegungsverfahren
durchzuführen. Der häufigste Fall ist der, dass eine betroffene
Aufsichtsbehörde Einspruch gegen einen Beschlussentwurf zu einem potentiellen
Datenschutzverstoß einlegt und die federführende Aufsichtsbehörde sich diesem
nicht anschließt. In diesem Fall entscheidet der Europäische
Datenschutzausschuss (EDSA), in dem die europäischen Aufsichtsbehörden mit je
einer Stimme pro Mitgliedstaat sowie der Europäische Datenschutzbeauftragte
stimmberechtigt sind. Soweit ein Einspruch Erfolg hat, wird der federführenden
Aufsichtsbehörde aufgegeben, den Beschlussentwurf entsprechend anzupassen.
Formal endet das Verfahren also damit, dass die federführende Aufsichtsbehörde
den eigenen, gegebenenfalls angepassten Beschluss gegenüber dem
Verantwortlichen erlässt.
Stringentere Streitbeilegung
Seit Inkrafttreten des DSGVO sind auf diesem Weg 711
endgültige Entscheidungen getroffen und Geldbußen in Höhe von Hunderten
Millionen Euro verhängt worden. Die Zahlen dürfen nicht darüber hinwegtäuschen, dass der gemeinsame Prozess zur Streitbeilegung mehr Klarheit und Stringenz braucht.
Dafür
soll es gemeinsame Anhörungsrechte für Beschwerdeführer geben, wenn ihre
Beschwerden ganz oder teilweise abgewiesen werden sowie Regeln für ihre
ordnungsgemäße Beteiligung am Untersuchungsverfahren.
Daneben
sollen die Datenschutzbehörden bereits früher zu den Untersuchungen Stellung
beziehen können als bisher. Damit soll ihr Einfluss auf das Untersuchungsverfahren
vergrößert und eine frühzeitige Konsensbildung befördert werden. Für die
grenzüberschreitende Zusammenarbeit und die Streitbeilegung werden gemeinsame
Fristen festgelegt.
Die
von der Untersuchung betroffenen Parteien erhalten in wichtigen Phasen des
Verfahrens Anhörungsrechte, so unter anderem während der Streitbeilegung durch
den EDSA. Darüber hinaus werden ihre Rechte auf Akteneinsicht sowie die Inhalte
der Verwaltungsakte präzisiert.
Die geplanten Regelungen ändern nicht die DSGVO. Die
Rechte der betroffenen Personen bleiben ebenso wie die Pflichten der für die
Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter unberührt.