Kritik an DSGVO-Verfahrensverordnung

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ringt die EU mit dem Problem der effektiven grenzüberschreitenden Durchsetzung. Es fehlt an einem einheitlichen, funktionierenden Verfahrensrahmen. Die angestrebte Harmonisierung im Umgang mit Beschwerden über Unternehmen mit Sitz in anderen EU- oder EWR-Staaten als die Betroffenen scheitert regelmäßig am Kooperationsmechanismus zwischen den nationalen Aufsichtsbehörden. Nun will die EU mit einer eigenen Verfahrensverordnung gegensteuern – doch was als Lösung gedacht war, droht zum Paradebeispiel europäischer Fehlregulierung zu werden. Hierzu hat die Datenschutzorganisation noyb eine Pressemitteilung am 17.04.2025 mit Kritik an der neuen DSGVO-Verfahrensverordnung veröffentlicht. Der aktuelle Gesetzesvorschlag lege ein System vor, das „wahrscheinlich noch komplexer, langsamer und anfälliger für rechtliche Anfechtungen“ sei als zuvor.

Kooperationsmechanismus als Flaschenhals der DSGVO

Die DSGVO verfolgt das Ziel, EU-weit einheitliche Datenschutzstandards zu schaffen. In der Praxis stockt die Durchsetzung jedoch, sobald Beschwerden grenzüberschreitende Sachverhalte betreffen. Der sogenannte One-Stop-Shop-Mechanismus bestimmt, dass die federführende Datenschutzbehörde am Sitz des betroffenen Unternehmens zuständig ist. In der Theorie soll diese mit den anderen betroffenen EU/EWR-Aufsichtsbehörden zusammenarbeiten. In der Praxis ist die Kooperation jedoch durch national unterschiedliche Verwaltungsverfahren, unklare Zuständigkeiten und einen Mangel an Verbindlichkeit geprägt. Fälle verzögern sich um Jahre, Beschwerden verschwinden in Bürokratien, und Betroffene können sich kaum effektiv gegen inaktive Behörden zur Wehr setzen.

Reformvorschlag für neue Verfahrensverordnung

Um diesen Missständen entgegenzuwirken, hat die EU-Kommission im Juli 2023 eine Reform vorgeschlagen, die zusätzliche Verfahrensregeln für die grenzüberschreitende Durchsetzung der DSGVO festlegt. Das EU-Parlament hat im April 2024 dann bekannt gegeben, dass sich seine Mitglieder auf eine Position zu neuen Verfahrensregeln geeinigt haben. Die neuen Vorschriften sollen die Kooperation zwischen nationalen Datenschutzbehörden stärken und vereinfachen. Dafür soll es vor allem spezielle Streitbeilegungsmechanismen und bestimmte vereinheitlichte Verfahrensvorschriften und -rechte geben. Um Verfahren effizienter zu gestalten, sollen auch klare und harmonisierte Fristen festgelegt werden. Zudem soll es klarere Zuständigkeitsregeln geben.

Kritik an DSGVO-Verfahrensordnung durch europäischen Verbraucherverband (BEUC)

Schon der erste Entwurf der Kommission offenbarte eklatante Mängel. Insofern listet der BEUC bereits im November 2024 in einem Positionspapier verschiedene Vorschläge auf, die für eine effizientere Durchsetzung sorgen könnten. Ein zentraler Punkt war die Einführung klarer Zeitlimits für die Bearbeitung von Beschwerden. Weiterhin forderte er, dass Beschwerdeführer auf jeder Verfahrensstufe ein Recht auf Anhörung erhalten sollen.

Legislativverfahren ohne verfahrensrechtliches Fundament

Noyb folgt dem nun in seiner Pressemitteilung mit weiterer Kritik an der DSGVO-Verfahrensverordnung. Bereits die Entstehungsgeschichte des Gesetzesvorschlags lasse ein gravierendes strukturelles Defizit erkennen. Keiner der beteiligten EU-Akteure habe ausreichendes Wissen im Bereich des Verwaltungsverfahrensrechts eingebracht. Anders als im materiellen Datenschutzrecht ist das Verwaltungsverfahrensrecht in der EU nicht harmonisiert und fällt weitgehend in die Zuständigkeit der Mitgliedstaaten. Eine angemessene Folgenabschätzung oder die Befragung von Interessengruppen habe insofern nicht stattgefunden. Die Folge sei, dass statt einer Straffung der Verfahren die vorgesehenen Regelungen nun zu einem unübersichtlichen Flickenteppich aus bis zu zehn verschiedenen Verfahrensarten mit Untervarianten führen würden.

Ausschluss der Beteiligten

Einer der problematischsten Punkte des Kommissionsvorschlags sei zudem die Reduzierung von Parteirechten. Anstatt Beschwerdeführer und betroffene Unternehmen frühzeitig zu hören – wie es rechtsstaatlicher Standard wäre – sollte die Anhörung erst am Ende des Verfahrens, kurz vor Erlass einer Vorentscheidung, stattfinden. Dieses Modell orientiere sich an einem überkommenen, „inquisitorischen“ Verständnis von Verwaltung, dass die individuellen Kenntnisse und Beschwerden der Parteien missachte. Unternehmen wüssten in der Regel am besten, wie ihre Systeme aufgebaut sind, während Betroffene am besten darlegen könnten, worin ihr konkretes Problem liegt.

Unbestimmte Fristen

Ein weiteres zentrales Problem liege in der Ausgestaltung der Fristenregelungen. Während das Europäische Parlament ursprünglich nachvollziehbare Fristen von 3 Monaten für einfachere und bis zu 9 Monaten für komplexere Fälle vorschlug, sollen Ratsposition auf Verfahren von bis zu 33 Monate pochen. Zudem bleibe die zentrale Frage offen, ob sich Betroffene gegen solche Verzögerungen in ihrem Heimatland zur Wehr setzen können oder gezwungen sind, gegen ausländische Datenschutzbehörden in deren Zuständigkeitsbereich zu klagen. Letzteres sei für die meisten Betroffenen faktisch ausgeschlossen.

Rechtsunsicherheit für Unternehmen statt verlässlicher Verfahren

Auch für Unternehmen berge der aktuelle Entwurf kaum Vorteile. Statt die Verfahren planbarer und einheitlicher zu gestalten, drohe ein undurchschaubares Labyrinth aus formalen Hürden, Zuständigkeitswechseln und unklaren Rechtsgrundlagen. Das Risiko von Rechtsunsicherheit, ungenauer Entscheidungen, erhöhter Rechtskosten sowie langwieriger Verfahren wachse.

Fazit

Was als Lösung für ein zentrales Vollzugsproblem der DSGVO gedacht war, droht sich zur legislativen Katastrophe zu entwickeln. Die geplante Verfahrensverordnung setzt keine klaren Standards, sondern produziert zusätzliche Komplexität und Unsicherheit. Weder strukturelle Defizite noch rechtsstaatliche Mindeststandards werden adressiert. Noch bleibt die Hoffnung, dass die EU-Institutionen den Entwurf grundlegend überarbeiten.