Schnellere Hilfe für Einzelpersonen – mehr Rechtssicherheit für Unternehmen – bessere Zusammenarbeit der Behörden

Am 4. Juli hat die Europäische Kommission einen Vorschlag für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 – der Datenschutzgrundverordnung (DSGVO) - vorgestellt. Über eine Harmonisierung von Verfahrensvorschriften und rechtliche Klarstellungen soll die Zusammenarbeit von nationalen Behörden in grenzüberschreitenden Fällen erleichtert und Meinungsverschiedenheiten schneller geklärt werden. Denn die Durchsetzung der Regeln stockt (mehr dazu hier). Dies liegt nicht zuletzt an den verteilten Zuständigkeiten, die zur unterschiedlichen Anwendung des eigentlich einheitlichen Rechts führt. In grenzüberschreitenden Fällen wird das besonders sichtbar.

Der Datenschutz soll besser werden

Die Regelungsvorschläge richten sich an Einzelpersonen, Unternehmen und Behörden. Klargestellt wird, welche Unterlagen Einzelpersonen bei einer Beschwerde einreichen müssen. Für Unternehmen werden in den neuen Vorschriften ihre Rechte in Bezug auf ein faires Verfahren präzisiert. Für die Datenschutzbehörden sollen die neuen Vorschriften die Zusammenarbeit erleichtern. Im Ergebnis soll ein reibungsloses Funktionieren des mit der DSGVO eingeführten Kooperations- und Kohärenzverfahrens sichergestellt und der Datenschutz besser werden.

Kooperations- und Kohärenzverfahren

Nach diesem Verfahren arbeiten die betroffenen europäischen Aufsichtsbehörden – in Deutschland können dies Bundes- und Landesdatenschutzbehörden sein – für eine einheitliche Rechtsanwendung untereinander zusammen (Kooperation). Federführend und alleiniger Ansprechpartner nach dem One-Stop-Prinzip ist dabei die Behörde des Landes, in dem eine grenzüberschreitend agierende Person oder Unternehmen (der Verantwortliche für den potentiellen Datenverstoß) seine Hauptniederlassung hat.

Der Europäische Datenschutzausschuss entscheidet

Wird auf europäischer Ebene im Kooperationsverfahren kein Konsens zur Frage der Federführung oder – was häufiger ist - zum Beschlussentwurf erreicht, ist das Kohärenzverfahren und hier konkret das Streitbeilegungsverfahren durchzuführen. Der häufigste Fall ist der, dass eine betroffene Aufsichtsbehörde Einspruch gegen einen Beschlussentwurf zu einem potentiellen Datenschutzverstoß einlegt und die federführende Aufsichtsbehörde sich diesem nicht anschließt. In diesem Fall entscheidet der Europäische Datenschutzausschuss (EDSA), in dem die europäischen Aufsichtsbehörden mit je einer Stimme pro Mitgliedstaat sowie der Europäische Datenschutzbeauftragte stimmberechtigt sind. Soweit ein Einspruch Erfolg hat, wird der federführenden Aufsichtsbehörde aufgegeben, den Beschlussentwurf entsprechend anzupassen. Formal endet das Verfahren also damit, dass die federführende Aufsichtsbehörde den eigenen, gegebenenfalls angepassten Beschluss gegenüber dem Verantwortlichen erlässt.

Stringentere Streitbeilegung

Seit Inkrafttreten des DSGVO sind auf diesem Weg 711 endgültige Entscheidungen getroffen und Geldbußen in Höhe von Hunderten Millionen Euro verhängt worden. Die Zahlen dürfen nicht darüber hinwegtäuschen, dass der gemeinsame Prozess zur Streitbeilegung mehr Klarheit und Stringenz braucht.

Dafür soll es gemeinsame Anhörungsrechte für Beschwerdeführer geben, wenn ihre Beschwerden ganz oder teilweise abgewiesen werden sowie Regeln für ihre ordnungsgemäße Beteiligung am Untersuchungsverfahren.

Daneben sollen die Datenschutzbehörden bereits früher zu den Untersuchungen Stellung beziehen können als bisher. Damit soll ihr Einfluss auf das Untersuchungsverfahren vergrößert und eine frühzeitige Konsensbildung befördert werden. Für die grenzüberschreitende Zusammenarbeit und die Streitbeilegung werden gemeinsame Fristen festgelegt.

Die von der Untersuchung betroffenen Parteien erhalten in wichtigen Phasen des Verfahrens Anhörungsrechte, so unter anderem während der Streitbeilegung durch den EDSA. Darüber hinaus werden ihre Rechte auf Akteneinsicht sowie die Inhalte der Verwaltungsakte präzisiert.

Die geplanten Regelungen ändern nicht die DSGVO. Die Rechte der betroffenen Personen bleiben ebenso wie die Pflichten der für die Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter unberührt.