EU macht DSGVO-Verfahren defacto undurchführbar

Die Trilog-Verhandlungen der EU über eine Verfahrensverordnung werden wahrscheinlich diesen Mittwoch (21. Mai) in die letzte Sitzung gehen. Diese soll eigentlich die Durchsetzung der DSGVO harmonisieren und beschleunigen. Der Vorschlag birgt jedoch die Gefahr, dass die Durchsetzung der DSGVO durch die Einführung übermäßig langer Fristen und zu komplexer Verfahren untergraben wird. Trotz einer grünen Verhandlungsführung für das Europäische Parlament diskriminiert der Vorschlag auch strukturell die Betroffenen und bevorzugt Big Tech. Die Positionen des Parlaments werden konsequent aufgegeben. Die vorgeschlagene Verordnung droht nicht nur die Durchsetzung zu lähmen, sondern könnte auch gegen Kernelemente des Rechts auf ein faires Verfahren und eine gute Verwaltung verstoßen. noyb prüft die Optionen für ein Nichtigkeitsverfahren, falls die Verordnung in ihrer jetzigen Form verabschiedet wird.

woman confused and worring
  • Vergleich des Kommissionsvorschlags mit den Abänderungen des Parlaments und des Rates
  • Hintergrundartikel mit einem Überblick über die vorgeschlagenen Verfahrensschritte nach den ersten Trilog-Verhandlungen

Die ersten Fristen laufen 2029 ab.* Eines der großen Versprechen der neuen DSGVO-Verfahrensverordnung war die Beschleunigung der Verfahren. Die Verordnung ist jedoch nicht nur äußerst kompliziert, sondern kann auch zu längeren Verfahren führen. Während das EU-Parlament ursprünglich Gesamtfristen von nur drei Monaten vorsah, belaufen sich die vereinbarten Fristen nur für einige Verfahrensschritte (Planungsphase, Anhörungsrecht und Entscheidungsphase) bereits auf mehr als ein Jahr. Die Verhandlungsführer müssen noch über die Dauer des Hauptteils des Verfahrens entscheiden: die Untersuchung. Das bedeutet, dass wir wahrscheinlich mit Fristen von mehr als zwei Jahren rechnen müssen. Außerdem wird sich die Verordnung selbst extrem verzögern, da die Übergangsfrist auf 18 Monate ab Veröffentlichung der Verordnung festgelegt ist - also etwa Ende 2026 oder Anfang 2027. Wenn man all dies zusammenzählt, ist es wahrscheinlich, dass der erste Fall von DSGVO, der auf eine Frist hinausläuft, um das Jahr 2029 herum sein wird.

Max Schrems:"Soweit wir gehört haben, gibt es noch keine endgültige Einigung über die Fristen. Die Fristen, auf die man sich bereits geeinigt hat, belaufen sich jedoch auf 7 Monate allein für die Planung eines DSGVO-Verfahrens und 4 Monate für den Erlass einer Entscheidung. Wenn man bedenkt, dass es auch eine Untersuchung geben muss, werden wir wahrscheinlich über 2-3 Jahre für eine Entscheidung sprechen. Das Europäische Parlament forderte ursprünglich Fristen von nur 3 Monaten. Viele Mitgliedstaaten haben Fristen von 3 bis 6 Monaten

Im Widerspruch zur EU-Agenda zur "Vereinfachung". Anstatt die Verfahren zu vereinfachen und zu straffen, bewirkt die neue Verordnung genau das Gegenteil: Viele zusätzliche Verfahrensschritte werden hinzugefügt, viele Dokumente müssen in zwei bis drei Versionen für verschiedene Behörden und Parteien ausgestellt werden. Statt eines zentralen digitalen Systems mit allen Dokumenten wird das System nur eine kleine Anzahl von Dokumenten enthalten, während die meisten Fallakten zwischen den mehr als 40 EU-Datenschutzbehörden gespeichert und verteilt werden und manuell ausgetauscht werden müssen. All dies wird zehntausende Arbeitsstunden kosten. In den Mitgliedstaaten wird dies wahrscheinlich zu unnötigen Kosten in Millionenhöhe führen.

Max Schrems:"Diese Verordnung fügt den bestehenden Verfahren eine Menge zusätzlicher Schritte und zusätzlichen Papierkram hinzu. Behörden und Unternehmen werden mit den DSGVO-Verfahren mehr Arbeit haben - nicht weniger. Dies erhöht die Kosten für die Einhaltung der Vorschriften und überlastet die Behörden, ohne dass die Nutzer:innen oder Unternehmen davon profitieren. Dies ist das genaue Gegenteil von dem, was die EU-Vereinfachung verspricht."

Strukturelle Diskriminierung von Nutzer:innen gegenüber Unternehmen. Insgesamt diskriminiert die Verordnung die Nutzer:innen auch strukturell. In unzähligen kleinen Unterschieden macht es die Verordnung den Unternehmen viel leichter, ihre Interessen zu verteidigen. Zum Beispiel: Unternehmen können alle Dokumente vor Ort bei ihrer federführenden Behörde erhalten, Nutzer:innen müssen sich die Dokumente aus dem Ausland liefern lassen. Dabei gibt es keine realistische Möglichkeit, überhaupt herauszufinden, ob Dokumente vorhanden sind - oder Maßnahmen zu ergreifen, wenn Dokumente nicht bereitgestellt werden. Die Unternehmen haben ein "Recht auf Anhörung", während die Nutzer:innen nur die "Möglichkeit haben, ihre Meinung zu äußern". Während Unternehmen (in bestimmten Rechtsordnungen) ein Recht auf eine mündliche Anhörung haben, bei der sie sich mit einer Behörde auseinandersetzen können, können Nutzer:innen nur eine schriftliche Erklärung abgeben. Viele Elemente des Verfahrens unterliegen dem Recht des Mitgliedstaates, in dem das Unternehmen ansässig ist - und nicht dem der Nutzer:innen.

Max Schrems: "Die gesamte Verordnung ist gegen die Nutzer:innen gerichtet. In fast jedem Artikel werden die Unternehmen bevorzugt und die betroffenen Personen benachteiligt. Von 'Waffengleichheit' kann in diesem Verfahren keine Rede sein. Während das EU-Recht normalerweise die schwächere Partei schützt, diskriminiert diese Verordnung die schwächere Partei."

EP hat sich an Kommission und Rat "verkauft". Während der Entwurf der Kommission von vielen Seiten stark kritisiert wurde, hatte das Europäische Parlament den Entwurf grundlegend überarbeitet. Die strukturellen Kernprobleme des Kommissionsvorschlags waren zwar nicht perfekt, aber das Parlament hatte sie behoben. In den Verhandlungen zwischen der Kommission, den EU-Mitgliedstaaten und dem Parlament hat das Parlament jedoch fast alle diese Positionen aufgegeben. Fast alle Bestimmungen über die Betroffenenrechte, kurze Fristen oder transparente Verfahren wurden gestrichen. Jede Möglichkeit, die neuen Regeln realistisch gegen Datenschutzbehörden durchzusetzen, die sich nicht daran halten, wurde gestrichen.

Max Schrems:"Das Europäische Parlament hat sich von seinen Kernpositionen völlig verabschiedet. Von der ursprünglichen Fassung sind nur noch winzige Spuren übrig. Das ist äußerst merkwürdig, wenn man bedenkt, dass die Verhandlungsführerin des Parlaments Mitglied der Piratenpartei und der Grünen Fraktion ist - also vermeintlich vehemente Kämpfer für die Betroffenenrechte. Während der Verhandlungen in den letzten Monaten hatten wir das allgemeine Gefühl, dass sich niemand für dieses Dossier interessierte. Das Ergebnis spiegelt das absolut wider."

noyb erwägt Nichtigkeitsverfahren. Das EU-Recht muss mit den in der EU-Grundrechtecharta verankerten Grundprinzipien übereinstimmen. Dazu gehören das Recht auf eine gute Verwaltung (Artikel 41), das Recht auf ein faires Verfahren innerhalb einer angemessenen Frist (Artikel 47) oder die Gleichbehandlung vor dem Gesetz (Artikel 20). Darüber hinaus muss die EU sicherstellen, dass das in Artikel 8 der Charta verankerte Grundrecht auf Datenschutz von den Nutzer:innen wirksam durchgesetzt werden kann. Die neue Verordnung scheint strukturell gegen diese Anforderungen zu verstoßen. Jeder direkt Betroffene kann daher ein so genanntes Nichtigkeitsverfahren bei den EU-Gerichten anstrengen, um die Verordnung für nichtig erklären zu lassen - entweder als Ganzes oder in weiten Teilen. noyb prüft nun die Möglichkeiten, solche Klagen zu erheben.

Max Schrems:"Die Verordnung ist strukturell so mangelhaft, dass der Gerichtshof sie möglicherweise für nichtig erklären muss. Der derzeitige Entwurf verstößt wahrscheinlich in mehrfacher Hinsicht gegen die Charta, was den Zugang zu Beweismitteln, Fairness, Waffengleichheit und eine rechtzeitige Entscheidung angeht. Theoretisch könnte die Verordnung für nichtig erklärt werden, bevor sie in Kraft tritt

 

*Hinweis: In einer früheren Version dieses Beitrags war von 33 Monaten die Rede, da wir fälschlicherweise eine 15- und 18-monatige Frist hinzugefügt hatten, die in Wirklichkeit parallel laufen.

Share