EU Kommission legt Evaluationsbericht zur DSGVO vor
Der gestern veröffentliche Bericht der EU-Kommission zur Bewertung und Überprüfung der Datenschutzgrundverordnung (DSGVO) zieht im Wesentlichen ein positives Fazit. Die Gelegenheit, nach nun schon mehr als zwei Jahren Praxis der Datenschutzgrundverordnung mit neuen Vorschlägen erkennbare Fehlentwicklungen zu korrigieren, wird jedoch nicht genutzt.
Insbesondere fällt die Beschäftigung der Kommission mit den Regelungen des Kapitels VII über die aufsichtsbehördliche Zusammenarbeit und Kohärenz, die nach Art. 97 Abs. 2 DSGVO eigentlich einen Schwerpunkt der Evaluation hätte sein sollen, eher enttäuschend aus. Dabei ist der Ansatz, bei der Kontrolle der grenzüberschreitenden Datenverarbeitung auf ein kooperatives Verwaltungsverfahren zu setzen, bei dem alle Aufsichtsbehörden der Mitgliedstaaten zu beteiligen sind, eine der tiefgreifendsten Änderungen, die die DSGVO mit sich bringt. Dahinter verbirgt sich ein detailliertes Geflecht von Normen, die ein komplexes Zusammenspiel von in unterschiedlichen Funktionen involvierten Behörden untereinander und gegenüber dem Europäischen Datenschutzausschuss als höchste Entscheidungsinstanz für Auslegungsfragen enthalten.
Unübersehbar bestehen nach zwei Jahren Erfahrung mit diesem Ansatz massive aufsichtsbehördliche Ladehemmungen bei der grenzüberschreitenden Datenverarbeitung. Gerade gegenüber global agierenden großen Internetdiensten und Plattformen, für deren bessere Regulierung zum Schutz Betroffener die DSGVO nicht zuletzt geschaffen wurde, erweist sie sich bislang als stumpfes Schwert. Anders als kleine und mittlere Unternehmen haben die globalen Internetkonzerne trotz zahlreicher massiver Datenschutzvorfälle in den letzten beiden Jahren keine entsprechende Regulierung durch die Aufsichtsbehörden erfahren, sieht man einmal von dem 50 Millionen Euro Bußgeld der CNIL gegen Google ab. Dies ist jedoch ein rein nationales Verfahren, da bislang keine Hauptniederlassung der verantwortlichen Stelle in Europa bestand. Die Bearbeitung von Beschwerden, die vor allem von zivilgesellschaftlichen Organisationen stellvertretend für viele Nutzerinnen und Nutzer in Europa zu Beginn der DSGVO erhoben wurden, lässt weiterhin auf sich warten.
Es ist zu begrüßen, dass die EU-Kommission in ihrem Evaluationsbericht eine bessere Ausstattung der Aufsichtsbehörden in den Mitgliedstaaten fordert. Häufig sind ihre personellen und finanziellen Ressourcen defizitär. So auch in Deutschland, wo der Vollzug der Regelungen aus guten Gründen überwiegend bei den Aufsichtsbehörden der Länder liegt. Die Gründe für die Schwierigkeiten bei der grenzüberschreitenden Kontrolle der Datenverarbeitung allein auf die schlechte Ausstattung der Behörden zurückzuführen, greift jedoch deutlich zu kurz. Hierfür erweisen sich vielmehr folgende Ursachen als verantwortlich:
- die Regelungen zum One Stop Shop, wonach eine Behörde am Ort der Hauptniederlassung eines Unternehmens in der EU federführend für dessen gesamte Datenverarbeitung zuständig ist, ohne dass hierfür klare Fristen vorgegeben sind,
- ein überaus bürokratisches Beteiligungsverfahren zwischen den Aufsichtsbehörden im Vollzug,
- die fehlenden Handlungsoptionen gegenüber federführenden Aufsichtsbehörden, solange sie keine Entscheidungsvorschläge in das Verfahren einbringen,
- voneinander massiv abweichende nationale Verfahrensvorschiften, deren Vereinbarkeit mit der DSGVO mitunter zweifelhaft sind,
- unterschiedliche Auffassungen über das Verständnis von Ordnungsrecht und der Verhängung von Sanktionen zwischen den europäischen Datenschutzbehörden.
Dazu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die positive Funktion der Datenschutzgrundverordnung als gesamteuropäischer Entwurf und Leuchtturmprojekt zum Schutz von Rechten und Freiheiten im digitalen Zeitalter ist nicht zu bezweifeln. Klar ist aber auch, dass die DSGVO im Bereich des Rechtsvollzugs unübersehbare legislative Dysfunktionalitäten aufweist. Wir brauchen künftig Regelungen der Zuständigkeiten, die die europäischen Aufsichtsbehörden nicht behindern und für ein Forum Shopping der Internetkonzerne keinen Raum bieten. Das derzeitige Regelungsinstrumentarium führt zu einem Datenschutzvollzug der zwei Geschwindigkeiten: Während nationale Verfahren häufig zügig und mit zum Teil sehr hohen Bußgeldern enden, hängen die schwerwiegenden grenzüberschreitenden Fälle unter Beteiligung aller Datenschutzbehörden jahrelang in der Mühle eines bürokratischen Verfahrens und absorbieren die Kraft und Ressourcen der Behörden. Ein wirksamer Schutz von Rechten und Freiheiten Betroffener aber auch ein fairer Wettbewerb auf dem digitalen Markt lassen sich so nicht herstellen. Eine kritische Analyse muss sich gerade hierzu verhalten, will man das Regelungsprojekt nicht aufs Spiel setzen. Auch wenn ein systemisches Umsteuern derzeit noch nicht ansteht: Der Anpassungsbedarf einiger Vorschriften der DSGVO steht außer Frage. Die Chance für ein Nachsteuern wurde im Rahmen dieses Evaluationsberichts leider nicht genutzt.“
Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit