Seit 2018 soll die DSGVO sicherstellen, dass Menschen ihr Recht auf Datenschutz in der gesamten EU genießen können. Das Problem ist: Sitzen Unternehmen in einem anderen EU-/EWR-Land als die betroffene Person, werden Beschwerden über einen komplexen Kooperationsmechanismus zwischen den Mitgliedstaaten bearbeitet. Dieser Mechanismus ist Kern des allgemein anerkannten Versagens der DSGVO-Durchsetzung. Beschwerden gehen verloren, Entscheidungen dauern Jahre und es gibt praktisch keine Möglichkeit, gegen untätige Datenschutzbehörden vorzugehen.
Die EU hat den Versuch unternommen, dieses Problem durch eine „DSGVO-Verfahrensverordnung“ zu lösen – aber ist inbegriff, kläglich zu scheitern. Die abschließenden Trilog-Verhandlungen zwischen dem EU-Parlament, den Mitgliedstaaten und der Kommission haben zu einem legislativen Chaos geführt, das Verfahren wahrscheinlich noch komplexer, langsamer und anfälliger für rechtliche Anfechtungen machen wird. noyb hat das Dossier genau verfolgt und gibt nun eine öffentliche Warnung heraus. Das Dossier bedarf intensiver zusätzlicher Arbeit. Der derzeitige Ansatz scheint die Lage zu verschlimmern.
- EU-Legislativ-Beobachtungsstelle mit allen Informationen über das Gesetzgebungsverfahren
- Liste der Hauptakteure (PDF)
- Überblick über das geplante Verfahren (PDF)
Von „einfacher und schneller“ zu „komplex und instabil“. Die DSGVO sieht derzeit vor, dass die Datenschutzbehörden in 30 EU-/EWR-Ländern zusammenarbeiten sollen. Wie diese Zusammenarbeit im Einzelnen ausschauen soll, wird jedoch nicht klargestellt. Die Anforderungen für die Anhörung von Parteien, den Austausch von Beweismitteln oder den formellen Erlass einer gültigen Entscheidung sind in jedem Mitgliedstaat unterschiedlich und grundlegende Anforderungen wie die Weitergabe von Informationen zu einen Fall funktionieren in der Praxis nicht. Insgesamt hat dies zu extrem langsamen DSGVO-Verfahren, verlorenen Dokumenten und zu gescheiterten Durchsetzungsmaßnahmen geführt. Selbst einfache Fälle, wie z. B. ein Auskunftsersuchen, kann 5 oder mehr Jahre dauern.
Als die Europäische Kommission ankündigte, dieses Chaos durch eine „DSGVO-Verfahrensverordnung“ zu beheben, war das Hauptversprechen eine effektive Durchsetzung durch schnellere, straffere und einfachere Verfahren. Inzwischen sieht es jedoch aus, als würden die EU-Institutionen genau das Gegenteil erreichen: einen noch komplexeren, unflexibleren und weniger einheitlichen verfahrenstechnischen Albtraum. Dieser wird die Durchsetzung der DSGVO nicht verbessern, sondern verschlechtern.
Die EU-Kommission hat vor der Veröffentlichung ihres Vorschlags keine angemessene Folgenabschätzung durchgeführt und die Interessengruppen nicht mit einbezogen. Dem Vorschlag mangelt es deshalb ganz eindeutig an grundlegendem Verfahrenswissen. Auch der Rat legte einen halbgaren Standpunkt vor, weil der belgische EU-Ratsvorsitz das Dossier bis zum Sommer 2024 schnell abschließen wollte. Das EU-Parlament hatte zunächst vielversprechende Schritte unternommen, um den Kommissionsvorschlag grundlegend zu reformieren. Inzwischen scheint sie diese jedoch fast zur Gänze aufgegeben zu haben.
Alles in allem dürfte diese Gesetzesinitiative zu einer Blamage für die EU werden – insbesondere nach den jüngsten Versprechungen, das europäische Grundrecht auf Datenschutz und Privatsphäre endlich ernst zu nehmen. Das zu erwartende Ergebnis würde auch dem Bestreben der EU widersprechen, komplexe Vorschriften abzubauen und die rechtliche Qualität der EU-Gesetzgebung zu verbessern. Anstatt nur das Kernverfahren zu vereinfachen, würden die derzeit verhandelten Textentwürfe zu etwa zehn Arten möglicher DSGVO-Verfahren führen – mit verschiedenen Untervarianten, Wendungen und Abzweigungen.
Max Schrems, Vorsitzender von noyb.eu: "Ursprünglich waren wir natürlich für klare Verfahrensregeln. Aber dieser Vorschlag droht zum größten legislativen Durcheinander zu werden, das ich seit langem gesehen habe. Rat und EU-Parlament scheinen sich im Allgemeinen einig zu sein, dass der Kommissionsvorschlag inhaltlich geändert werden muss. Es scheint ihnen aber nicht gelungen zu sein, die strukturellen Probleme des Kommissionsvorschlags zu beheben. Sie haben eher noch mehr komplexere Elemente hinzugefügt. Das Ergebnis ist ein überladenes System, das Verfahren komplexer und langsamer machen wird.
Glücklich, wenn alle unglücklich sind? Während viele politische Kämpfe in Europa zwischen zwei Interessengruppen ausgetragen werden, scheint es sich bei diesem Dossier um einen Kampf zwischen guter Rechtsetzung und einem komplett inpraktikablen Ansatz zu handeln. Trotz der Warnungen von Expert:innen wird das Dossier einfach immer weiter vorangetrieben. Hinter vorgehaltener Hand haben viele geäußert, dass dieser Text eine „Shitshow“ sei und der Trilog an einem Punkt angelangt sei, an dem das Gesetz unabhängig vom Inhalt durchgedrückt werde.
Max Schrems: „ Diese Verordnung hätte ein Wendepunkt für die Ausübung der Grundrechte von EU-Bürger:innen sein können. Stattdessen dürften den ohnehin schon überlasteten Behörden weitere nutzlose und übermäßig komplexe Verfahrensschritte vorgeschrieben werden. Auch für Unternehmen und Bürger:innen werden Verfahren langsamer und komplexer – und die Durchsetzung der DSGVO-Rechte normaler Menschen noch schwieriger. Unternehmen werden wahrscheinlich mit größerer Rechtsunsicherheit, ungenauen Entscheidungen und höheren Rechtskosten für zusätzlichen Papierkram und notwendige Rechtsmittel konfrontiert sein."
Mittelalterliche Verfahrensansätze statt Parteirechten. Der ursprüngliche Vorschlag der EU-Kommission folgte einem autoritären Gedanken. Die federführenden Datenschutzbehörden im Land des Unternehmens (wie die berüchtigte irische Datenschutzbehörde) wurden in diesem so weit wie möglich von einer verpflichtenden Zusammenarbeit mit anderen Behörden und von der Anhörung betroffener Parteien abgeschirmt. Dies sollte ihnen die Möglichkeit geben, das Verfahren allein durchzuführen. Dieser Ansatz steht im Widerspruch zu einer modernen, effizienten und transparenten Verwaltung. Um zu sachlich richtigen und allgemein akzeptierten Entscheidungen zu kommen, ist eine frühzeitige Einbindung der Betroffenen unerlässlich. Schließlich wissen die Unternehmen am besten, wie ihre Systeme funktionieren, und die Beschwerdeführer:innen wissen am besten, was ihr DSGVO-Problem ist.
Stattdessen baute die Kommission das Verfahren auf einem rein „inquisitorischen System“ auf, also buchstäblich auf einem mittelalterlichen Ansatz aus dem 12. Jahrhundert. Demnach werden viele Entscheidungen bereits getroffen, bevor die Parteien angehört wurden. Viele dieser Konzepte scheinen von der irischen DPC übernommen worden zu sein. Das ist jene Datenschutzbehörde, die die meisten Streitigkeiten mit anderen Datenschutzbehörden verursacht hat und die für extrem langsame und unübersichtliche Verfahren bekannt ist. Es ist unklar, wie all das mit wesentlich moderneren nationalen Verfahren zusammenwirken wird. Das Zusammenspiel von EU-Recht und nationalem Recht wird nicht richtig definiert.
Max Schrems: "Die EU-Kommission verfolgte den Ansatz, dass die Datenschutzbehörden ohnehin alles wissen. Anstatt die Parteien anzuhören, wie es in fast allen EU-Mitgliedsstaaten der Fall ist, wollte sie die Parteien erst am Ende des Verfahrens im Rahmen einer 'Vorentscheidung' anhören. Das würde die Parteienrechte massiv einschränken. Dieser Ansatz ist besonders anfällig für eine große Zahl von Fehlentscheidungen. Schließlich wissen die Unternehmen am besten, wie ihre Systeme funktionieren, und die Beschwerdeführer:innen wissen am besten, was ihr Problem ist. Es ist völlig unklar, wie diese Konzepte mit den nationalen Verfahrensvorschriften zusammenspielen."
„Schnelle“ Verfahren: 3 oder 33 Monate? Eine der letzten ungelösten Fragen in den laufenden Verhandlungen betrifft die Verfahrensfristen. Laut den Datenschutzbehörden selbst, dauert eine Entscheidung im Durchschnitt etwa 8 Monate. In den Mitgliedstaaten, die bereits eine Entscheidungsfrist haben, liegt der Schnitt bei etwa 4,5 Monaten. Es war daher durchaus angemessen, dass das EU-Parlament eine Frist von 3 Monaten in einfachen Fällen und bis zu 9 Monaten in anderen Fällen vorgeschlagen hat. Berichten zufolge soll der Rat hingegen eine Frist von bis zu 33 Monaten vorgeschlagen haben. Zudem ist es bisher unklar, ob Nutzer:innen in ihrem Heimatland Klage erheben können – oder ob sie ausländische Datenschutzbehörden bei Verzögerungen in einem anderen EU-Land klagen müssten. Das wäre für die meisten Menschen praktisch unmöglich.
Max Schrems: "Im Durchschnitt geben die Behörden eine Verfahrensdauer von etwa 8 Monaten an. Manche der Vorschläge der Mitgliedstaaten liegen bei 33 Monaten. Das wäre das erste Mal, dass man eine Verzögerung bei einem Gericht geltend machen könnte. Es kann dann aber Jahre dauern, um über eine Klage wegen einer Verzögerung zu entscheiden. Dies ist im Grunde ein Freifahrtschein für die Datenschutzbehörden, Verfahren ewig in die Länge zu ziehen..."
Mangelndes verfahrensrechtliches Wissen. Ein struktureller Grund für das fragwürdige Ergebnis dieses Prozesses mag darin liegen, dass sich weder EU-Kommission noch Parlament oder Rat mit Verfahrensrecht befasst hat. Dieses liegt aktuell bei den Mitgliedstaaten. Die EU hat bisher kein relevantes länderübergreifendes Verwaltungsverfahrensrecht erlassen. Selbst innerhalb der Mitgliedstaaten wird das Verfahrensrecht in der Regel von Fachjurist:innen in eigenen Abteilungen an Universitäten und spezialisierten Referaten in den nationalen Justizministerien bearbeitet. Es scheint, als hätte dieser Vorschlag viel mehr Vorbereitung und Investitionen gebraucht, um die derzeitige Situation zu vermeiden.
Max Schrems: "Es gibt eine besondere Art von Jurist:innen, die sich mit Verfahrensrecht beschäftigen. Dieses Know-how hat in diesem Dossier eindeutig gefehlt. Das ist so, als würde ich morgen Astrophysik praktizieren – das Ergebnis würde der Menschheit wahrscheinlich nichts nützen."
