Die Datenschutzgrundverordnung (DSGVO) ist eines der ehrgeizigsten EU-Rechtssetzungsprojekte der letzten Jahre. Sie hat den Datenschutz in der EU reformiert und europaweit harmoniert. Rechte und Freiheiten für die Menschen in Europa wurden neu formuliert und insgesamt gestärkt. Gleichzeitig wurden wirksame Instrumente zur Rechtsdurchsetzung durch die Aufsichtsbehörden in den Mitgliedstaaten unter dem Dach des Europäischen Datenschutzausschusses geschaffen.
Die nach zwei Jahren zu ziehende Zwischenbilanz zeigt viel Licht, aber – typisch für ein Projekt dieser Größe und Komplexität – leider auch Schatten. Positiv ist zu vermerken: Die Menschen in Europa nehmen ihre durch die DSGVO geschaffenen Rechte in Anspruch und nutzen die neuen Möglichkeiten zum eigenverantwortlichen Umgang mit ihren Daten. Unternehmen haben in den letzten Jahren erhebliche Anstrengungen unternommen, die Regelungen der DSGVO zu implementieren und sich datenschutzkonform aufzustellen. Die Aufsichtsbehörden haben gemeinsam im Europäischen Datenschutzausschuss mit großem Erfolg zahlreiche Leitlinien und Empfehlungen zur Auslegung und zur Umsetzung der neuen Rechtsvorschriften erarbeitet.
Gleichzeitig haben sich jedoch im konkreten Vollzug, also bei der Anwendung der Regelungen des Datenschutzrechts auf einzelne Verantwortliche, die Verfahrensvorschriften der DSGVO im europäischen Verbund bislang nicht bewährt. Das Konzept des sogenannten One-Stop-Shop (OSS), wonach eine federführende Behörde am Ort der europäischen Hauptniederlassung eines Unternehmens für die Aufsicht ihrer gesamten Datenverarbeitung in der EU zuständig ist, hat zu einer Verlagerung der Zuständigkeit gerade bei großen global operierenden Datenverarbeitern auf einige wenige Aufsichtsbehörden geführt. In der Praxis hat sich eine Zweigleisigkeit entwickelt. Auf der einen Seite werden rein nationale Verfahren im Rechtsvollzug schnell durchlaufen, während bei grenzüberschreitender Datenverarbeitung im OSS-Mechanismus die Verfahren sich vielfach extrem in die Länge ziehen. Wenn Verfahren über zwei Jahre laufen, ohne dass es überhaupt zu einem Beschlussentwurf der federführenden Behörde kommt, dann hat dies erhebliche Auswirkungen auf den europaweiten Schutz von Rechten und Freiheiten betroffener Personen. Dies gilt beispielsweise für den Fall der Übermittlung von Nutzerdaten von WhatsApp an Facebook. Gleichzeitig führt die systematisch unterschiedliche Behandlung von Verstößen bzw. von mutmaßlichen Verstößen verantwortlicher Stellen durch unterschiedliche Aufsichtsbehörden zu einer massiven Beeinträchtigung des fairen Wettbewerbs im digitalen Binnenmarkt. Eine entsprechende Wettbewerbsverzerrung wird seit einiger Zeit von Unternehmen mit Hauptsitz in Deutschland beklagt.
Die nach zwei Jahren anstehende Evaluation, die seitens der EU-Kommission aktuell durchzuführen ist, bringt die Gelegenheit, erkannte Fehlentwicklungen legislativ zu korrigieren. Dazu schlägt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit vor, im Verfahren des OSS die Position der betroffenen Behörden zu stärken. So sieht die DSGVO bislang eine allgemeine Verpflichtung der jeweils federführenden Behörden vor, den betroffenen Aufsichtsbehörden einen unverzüglichen Beschlussentwurf zur Stellungnahme vorzulegen, der dann mit einem entsprechenden Einspruch in das europäische Klärungsverfahren gebracht werden kann. Klare zeitliche Vorgaben, etwa eine dreimonatige Frist, sollten die derzeit unbefriedigenden Bearbeitungszeiten bis zur Vorlage von Entscheidungsentwürfen wesentlich abkürzen. Eine Verlängerung der Frist für umfangreichere Verfahren könnte auf Antrag und nach Begründung durch die federführende Behörde seitens des Europäischen Datenschutzausschusses im Einzelfall angeordnet werden. Es ist sodann zu regeln, dass betroffene Behörden das Recht haben, bei einer Überschreitung dieser Frist die Fallbearbeitung durch ein Selbsteintrittsrecht in die eigene Zuständigkeit zu ziehen. Hierfür ist ein Mechanismus vorzusehen, bei dem die jeweils beteiligten betroffenen Behörden gemeinsam entscheiden, welche Behörde den Fall dann federführend für alle anderen weiterführen soll.
Um einen einheitlichen Vollzug zu gewährleisten, ist des Weiteren ein vollständig harmonisiertes Verwaltungsverfahren zentrale Voraussetzung. Die Vergangenheit hat gezeigt, unterschiedliche Verfahrensregelungen führen zu Rechtsunsicherheit und sind Einfallstor für die Verschleppung von Verwaltungsverfahren zu Lasten der Rechte und Freiheiten Betroffener. Das gilt etwa für nationale Vorschriften betreffend die Anhörungen von Betroffenen und verantwortlichen Stellen wie auch für Vorgaben zum Schutz von Betriebs- und Geschäftsgeheimnissen, die den Informationsaustausch zwischen den am Verfahren beteiligten Behörden wesentlich erschweren.
Hierzu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach zwei Jahren DSGVO besteht die Chance und das Erfordernis, durch Korrektur einzelner Verfahrensregelungen der DSGVO das kooperative Verwaltungsverfahren ganz wesentlich zu optimieren. Am Ende wird sich die Akzeptanz der DSGVO gegenüber Betroffenen, aber auch am Markt nur herstellen lassen, wenn das europäische Datenschutzrecht keinen Raum für eine Besserstellung von globalen, datenintensiven Playern lässt. Das Prinzip „die Kleinen hängt man und die Großen lässt man laufen“ darf gerade hier nicht gelten. Ich bin überzeugt, die erforderlichen Korrekturen können vom Europäischen Gesetzgeber rasch umgesetzt werden.“
Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit