DSGVO-Reform geplant
Die Europäische Kommission plant im zweiten Quartal 2023 eine Gesetzesinitiative zur Änderung der Datenschutz-Grundverordnung (DSGVO) vorzulegen. Dabei handelt es sich jedoch nicht um eine umfassende Reform der DSGVO, sondern um gezielte Änderungen, um die Zusammenarbeit und Konfliktlösung zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten zu verbessern, insbesondere in Fällen, die grenzüberschreitend sind.
Die geplanten Änderungen sollen insbesondere die Zusammenarbeit und den Informationsaustausch zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten verbessern, um grenzüberschreitende Fälle von Datenschutzverstößen effektiver zu lösen. Bisher gab es einige Schwierigkeiten bei der Koordination und Zusammenarbeit zwischen den nationalen Datenschutzbehörden, insbesondere bei komplexen grenzüberschreitenden Fällen.
Grund der Reform
Die DSGVO sieht vor, dass bei grenzüberschreitenden Datenverarbeitungen die federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters ist. Dies bedeutet, dass Unternehmen, die personenbezogene Daten in verschiedenen EU-Ländern verarbeiten, nur einen behördlichen Ansprechpartner haben. Die federführende Aufsichtsbehörde hat das Recht, verbindliche Beschlüsse über Maßnahmen nach der DSGVO zu erlassen und muss dabei mit anderen betroffenen Aufsichtsbehörden zusammenarbeiten.
Die Zusammenarbeit zwischen den Aufsichtsbehörden ist wichtig, um sicherzustellen, dass die Durchsetzung der DSGVO grenzüberschreitend und kohärent erfolgt. Die federführende Aufsichtsbehörde muss den anderen betroffenen Aufsichtsbehörden einen Beschlussentwurf zur Stellungnahme übermitteln. Wenn eine betroffene Aufsichtsbehörde Einwände gegen den Beschlussentwurf hat, kann sie Einspruch erheben. Wenn sich die federführende Aufsichtsbehörde dem Einspruch nicht anschließt, muss der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss zur Sache fassen.
In Bezug auf große Technologieunternehmen wie Meta, Google, Apple, Twitter und Microsoft, haben diese Unternehmen ihren Sitz häufig in einem Land und verarbeiten personenbezogene Daten von Nutzern in vielen verschiedenen Ländern. Die irische Datenschutzbehörde (DPC) ist in vielen Fällen federführend zuständig, da viele dieser Unternehmen ihren europäischen Hauptsitz in Irland haben. Dies hat zu Kritik geführt, dass die DPC nicht schnell genug handelt und Beschwerden zu langsam bearbeitet.
Die Reform-Pläne
Die geplanten Veränderungen der DSGVO, die von der Europäischen Kommission angestrebt werden, haben hauptsächlich Auswirkungen auf die Zusammenarbeit bei grenzüberschreitenden Angelegenheiten, insbesondere auf die Artikel 60 bis 65 der DSGVO. Die Kommission reagiert damit auf Forderungen, die der Europäische Datenschutzausschuss (EDSA) im Oktober des vergangenen Jahres an sie gerichtet hatte. Basierend auf dieser Forderungsliste könnten die folgenden Änderungen möglich sein:
Fristenregelung
Die Einführung verbindlicher Fristen soll ein wichtiges Mittel zur Verfahrensbeschleunigung sein, insbesondere im Hinblick auf die grenzüberschreitende Zusammenarbeit und Art. 60 ff. der DSGVO. Obwohl einige Fristen in der DSGVO bereits vorgesehen sind, sind für viele weitere Prozesse im Rahmen der europäischen Zusammenarbeit von Aufsichtsbehörden keine Fristen festgelegt. Der EDSA schlägt daher vor, Fristen für die Weiterleitung von Beschwerden an die federführende Aufsichtsbehörde vorzusehen und eine generelle Bearbeitungsfrist für grenzüberschreitende Fälle einzuführen, die die federführende Aufsichtsbehörde einzuhalten hätte. Es wird auch vorgeschlagen, Art. 60 Abs. 3 DSGVO anzupassen, um den Begriff “unverzüglich” zu präzisieren und die Modalitäten der Zusammenarbeit zu verbessern. Die federführende Aufsichtsbehörde soll die anderen betroffenen Aufsichtsbehörden zukünftig über den Stand des Verfahrens informieren und es soll eindeutig geregelt werden, welche Dokumente standardmäßig zwischen den Aufsichtsbehörden auszutauschen sind.
Beschwerdeverfahren
Der ESDA bemängelt außerdem Verbesserungsbedarf im Hinblick auf das Beschwerdeverfahren. Eine Harmonisierung der formalen Anforderungen für Beschwerden soll stattfinden, da in einigen Mitgliedstaaten eine Beschwerde per E-Mail möglich ist, während in anderen Mitgliedstaaten eine eigenhändige Unterschrift erforderlich ist. Wenn in einem Mitgliedstaat die formalen Anforderungen an eine Beschwerde erfüllt sind, soll die federführende Aufsichtsbehörde des anderen Mitgliedstaats die Zulässigkeit der Beschwerde nicht erneut prüfen müssen. Obwohl dies bereits den internen Richtlinien des EDSA entspricht, könnte die DSGVO dies ausdrücklich gesetzlich regeln.
Ermittlungsbefugnisse
Der ESDA schlägt Verbesserungen im Zusammenhang mit der Zuständigkeit der Datenschutzbehörden vor. Die Hauptniederlassung des Verantwortlichen bestimmt, welche Datenschutzbehörde innerhalb der EU federführend ist. Die Bestimmung der Hauptniederlassung kann jedoch kompliziert sein, da geprüft werden muss, in welchem Mitgliedstaat der Verantwortliche die Entscheidungen über die Zwecke und Mittel der Datenverarbeitung trifft. Um den Prozess der Vorprüfung zu standardisieren, schlägt der ESDA vor, die Vorprüfung und die Ermittlungsbefugnisse der Aufsichtsbehörden in der DSGVO festzulegen.
Unabhängig davon müssen sich alle Datenschutzbehörden mit Beschwerden befassen, die in ihrem Hoheitsgebiet erhoben werden. Die Untersuchung des Beschwerdegegenstands soll in angemessenem Umfang erfolgen, was jedoch unterschiedlich interpretiert werden kann. Der ESDA schlägt vor, gesetzlich geregelte Beispiele zu verwenden, um den Umfang der Untersuchung zu spezifizieren, anstatt starre Vorgaben zu Untersuchungstiefe und Dauer zu machen.
Beteiligtenrechte
Falls das Beschwerdeverfahren in Deutschland durchgeführt wird, hat der Beschwerdeführer bestimmte Rechte gemäß dem Verwaltungsverfahrensgesetz des Bundes oder der Länder. Dies beinhaltet das Recht auf Akteneinsicht und rechtliches Gehör, da er als Beteiligter des Verfahrens angesehen wird. Des Weiteren sind die Behörden laut den Verwaltungsverfahrensgesetzen dazu verpflichtet, insbesondere Betriebs- und Geschäftsgeheimnisse geheimzuhalten. Zudem müssen sie ihre schriftlichen Entscheidungen begründen.
Im Gegensatz dazu hat der Beschwerdeführer in anderen Mitgliedstaaten lediglich ein Beschwerderecht und ist nicht am weiteren Verfahren beteiligt. Daher schlägt der ESDA vor, einheitliche Beteiligtenrechte zu schaffen und auf EU-Ebene zu klären, welche Geheimhaltungspflichten gelten und welche Dokumente davon betroffen sind.
