DSGVO-Verfahrensverordnung: Kommissionsvorschlag ist ein Angriff auf die Rechte der Nutzer in DSGVO Verfahren
Heute hat EU-Justizkommissar Reynders einen Vorschlag zur Verbesserung der (mangelnden) Zusammenarbeit zwischen den Datenschutzbehörden (DSB) vorgelegt. Gegenwärtig schreibt die DSGVO den Datenschutzbehörden nur vor, zusammenzuarbeiten aber nicht, wie diese Zusammenarbeit funktionieren soll. Leider scheint der Vorschlag der Kommission technisch und materiell mangelhaft zu sein und nimmt den Betroffenen eher bestehende Rechte, als dass er deren Durchsetzung fördert. Im Idealfall könnte eine neue Verordnung den etablierten Grundsätzen für länderübergreifende Verfahren folgen - was zu weniger Eingriffen in nationale Verfahren und mehr Rechtssicherheit führen würde.
- Link zum Vorschlag der Europäischen Kommission
- Pressemitteilung der Kommission
- noyb-Vorschlag für eine Verfahrenordnung: https://gdpr-procedure.eu/
Hintergrund. Die DSGVO besagt bisher, dass die nationalen Datenschutzbehörden zusammenarbeiten müssen, aber die Einzelheiten der Verfahren und wie diese Zusammenarbeit aussieht, werden den Mitgliedstaaten überlassen. Es gibt keine klaren Regeln, welches nationale Recht für welche Elemente im Verfahren gelten. Die Elemente des EU-Rechts sind auf bestimmte Schritte des Kooperationsverfahrens beschränkt. Dies hat bisher zu zahlreichen Konflikten zwischen den Datenschutzbehörden geführt, bis hin zu einer Klage der irischen Datenschutzbehörde gegen den Europäischen Datenschutzausschuss (EDSA) wegen angeblicher Überschreitung der Befugnisse durch die EU-Behörde.
Max Schrems:"Die DSGVO fordert die Datenschutzbehörden im Grunde zur 'Zusammenarbeit' auf, aber sie haben alle unterschiedliche Ansichten darüber, wie die Verfahren funktionieren sollen und welches nationale Recht für welchen Schritt gilt. Darüber hinaus haben einige Mitgliedstaaten Verfahrensvorschriften erlassen, um DSGVO-Verfahren zu untergraben. In anderen Mitgliedstaaten haben Datenschutzbehörden und Gerichte Praktiken entwickelt, die nicht mit den EU-Mindeststandards übereinstimmen. Diese Situation führt dazu, dass länderübergreifende Verfahren oft extrem langsam und unübersichtlich sind."
Problematischer Vorschlag der Kommission. Der Vorschlag der Kommission scheint hauptsächlich auf der Forderung (einiger) Datenschutzbehörden zu beruhen, Betroffene aus den Verfahren auszuschließen, um die Verfahren zu "vereinfachen". Die Kommission versucht Probleme zu lösen, stopft aber nur einzelne Löcher im System und bezieht sich vorrangig auf Probleme, die in den ersten größeren Fällen zwischen der irischen Datenschutzbehörde und den anderen europäischen Behördenn aufgetaucht sind. Anders als in den bestehenden EU-Verordnungen für länderübergreifende Verfahren (wie z.B. den "Brüssel"- oder "Rom"-Verordnungen) verfolgt der Kommissionsvorschlag keinen systematischen Ansatz, der die Zuständigkeit für bestimmte Teile des Verfahrens an die Mitgliedstaaten delegiert und europäische Mindeststandards sicherstellt. Stattdessen scheint der Kommissionsvorschlag bestimmte europäische Elemente in bestehende Gesetze zu implantieren, was zu einer Mischung aus EU- und nationalen Gesetzen und Verfahren führt.
Ungleichgewicht zwischen Betroffenen und Unternehmen. Während einige Schlüsselelemente, die zu schnelleren Verfahren führen würden - wie z.B. strenge Fristen für die federführende Aufsichtsbehörde, die einen grenzüberschreitenden Fall untersucht - weitgehend fehlen, würde der Ansatz der Kommission das ohnehin schon problematische Ungleichgewicht in Datenschutzfällen noch weiter zugunsten der Unternehmen verschieben. Während die Bürgerinnen und Bürger nur minimal angehört werden, sieht der Entwurf für die Unternehmen weitreichende Rechte vor: Sie werden während des gesamten Verfahrens gehört und erhalten Zugang zu den Akten. Dies könnte dazu führen, dass bestehende Probleme bei undurchsichtigen Regulierungsbehörden wie der irischen Datenschutzkommission zementiert werden, anstatt sie zu lösen.
Max Schrems:"Wir haben auf eine Lösung gehofft, aber im Grunde wird damit ein Verfahren über die Rechte der Nutzer in ein Verfahren über die Rechte der Unternehmen umgewandelt. Wir müssen den Vorschlag noch genauer prüfen aber viele Elemente sind eindeutig ein Rückschritt für die Rechte der Betroffenen. Es gibt bereits erprobte Wege, um die Probleme anzugehen, die gleichzeitig weniger in das nationale Verfahrensrecht eingreifen und viel einfacher sind - und gleichzeitig die Probleme auf einer systematischen Ebene lösen. Wir werden mit den europäischen Gesetzgebern zusammenarbeiten, um den Vorschlag zu korrigieren, aber das könnte ein langer Weg werden."
Nächste Schritte. Der Vorschlag der Kommission unterliegt einem sehr engen Zeitplan, da die Amtszeit der Europäischen Kommission 2024 endet. Der Vorschlag muss nun an das Europäische Parlament und die Mitgliedstaaten weitergeleitet werden, die sich auf eine endgültige Fassung einigen müssen. Es ist unklar, ob der aktuelle Vorschlag von den anderen europäischen Gesetzgebern begrüßt werden wird. noyb wird den Prozess genau verfolgen.