Die Trilog-Verhandlungen der EU über eine Verfahrensverordnung werden wahrscheinlich diesen Mittwoch (21. Mai) in die letzte Sitzung gehen. Diese soll eigentlich die Durchsetzung der DSGVO harmonisieren und beschleunigen. Der Vorschlag birgt jedoch die Gefahr, dass die Durchsetzung der DSGVO durch die Einführung übermäßig langer Fristen und zu komplexer Verfahren untergraben wird. Trotz einer grünen Verhandlungsführung für das Europäische Parlament diskriminiert der Vorschlag auch strukturell die Betroffenen und bevorzugt Big Tech. Die Positionen des Parlaments werden konsequent aufgegeben. Die vorgeschlagene Verordnung droht nicht nur die Durchsetzung zu lähmen, sondern könnte auch gegen Kernelemente des Rechts auf ein faires Verfahren und eine gute Verwaltung verstoßen. noyb prüft die Optionen für ein Nichtigkeitsverfahren, falls die Verordnung in ihrer jetzigen Form verabschiedet wird.
- Vergleich des Kommissionsvorschlags mit den Abänderungen des Parlaments und des Rates
- Hintergrundartikel mit Überblick über die vorgeschlagenen Verfahrensschritte nach den ersten Trilog-Verhandlungen
Die ersten Fristen werden 2030 erreicht. Eines der großen Versprechen der neuen DSGVO-Verfahrensverordnung war die Beschleunigung der Verfahren. Die Verordnung ist jedoch nicht nur äußerst kompliziert, sondern kann tatsächlich auch zu längeren Verfahren führen. Während das EU-Parlament ursprünglich Gesamtfristen von nur 3 Monaten vorsah, belaufen sich die vereinbarten Fristen für nur einige Verfahrensschritte (Planungsphase, Anhörungsrecht und Entscheidungsphase) nun bereits auf mehr als ein Jahr. Die Verhandlungsführer:innen müssen noch über die Dauer des wichtigsten Teils des Verfahrens entscheiden: die Untersuchung. Das bedeutet, dass wir wahrscheinlich mit Fristen von mehr als zwei Jahren rechnen müssen. Darüber hinaus verzögert sich die Verordnung selbst extrem. Die Übergangsfrist wurde auf 33 Monate ab Veröffentlichung der Verordnung festgelegt - also irgendwann rund um 2028. Wenn man all dies berücksichtigt, dürfte rund um 2030 der erste DSGVO-Fall auf eine solche Frist hinauslaufen.
Max Schrems:Soweit wir wissen, gibt es keine endgültige Einigung über die Fristen. Man hat sich aber schon auf 7 Monate für die Planung eines DSGVO-Verfahrens und auf 4 Monate für den Erlass einer Entscheidung geeinigt. Wenn man bedenkt, dass es auch eine Untersuchung geben muss, werden wir wahrscheinlich über 2-3 Jahre für eine Entscheidung sprechen. Das EU-Parlament hatte ursprünglich eine Frist von nur 3 Monaten gefordert. Viele Mitgliedstaaten haben Fristen von 3 bis 6 Monaten
Im Widerspruch zur EU-Agenda der Vereinfachung. Anstatt die Verfahren zu vereinfachen und zu straffen, bewirkt die neue Verordnung genau das Gegenteil: Viele zusätzliche Verfahrensschritte werden hinzugefügt, viele Dokumente müssen in zwei bis drei Versionen für verschiedene andere Behörden und Parteien ausgestellt werden. Anstelle eines zentralen digitalen Systems mit allen Dokumenten wird das System nur eine kleine Anzahl von Dokumenten enthalten, während die meisten Fallakten auf die mehr als 40 EU-Datenschutzbehörden verteilt gespeichert werden und manuell ausgetauscht werden müssen. All dies wird Zehntausende von Arbeitsstunden kosten, was in den Mitgliedstaaten wahrscheinlich zu unnötigen Kosten in Millionenhöhe führen wird.
Max Schrems:"Diese Verordnung fügt den bestehenden Verfahren eine Menge zusätzlicher Schritte und zusätzlichen Papierkram hinzu. Behörden und Unternehmen werden mit den DSGVO-Verfahren mehr Arbeit haben, nicht weniger. Das erhöht die Kosten für die Einhaltung der Vorschriften und überlasten die Behörden, ohne dass die Betroffenen oder die Unternehmen davon profitieren. Das ist genau das Gegenteil von dem, was die EU-Vereinfachung verspricht."
Strukturelle Benachteiligung von Nutzer:innen gegenüber Unternehmen. Insgesamt diskriminiert die Verordnung die Nutzer:innen auch strukturell. In unzähligen kleinen Unterschieden macht es die Verordnung den Unternehmen viel leichter, ihre Interessen zu verteidigen. Zum Beispiel können Unternehmen alle Dokumente vor Ort bei ihrer federführenden Behörde erhalten. Nutzer:innen müssen sich die Dokumente aus dem Ausland liefern lassen. Dabei gibt es keine realistische Möglichkeit, überhaupt herauszufinden, dass Dokumente vorhanden sind oder Maßnahmen zu ergreifen, wenn Dokumente nicht bereitgestellt werden. Die Unternehmen haben ein Recht auf Anhörung, während die Betroffenen nur die Möglichkeit haben, ihren Standpunkt darzulegen. Während Unternehmen (in bestimmten Rechtsordnungen) ein Recht auf eine mündliche Anhörung haben, bei der sie sich mit einer Behörde auseinandersetzen können, haben Nutzer:innen nur die Möglichkeit, eine schriftliche Erklärung abzugeben. Viele Elemente des Verfahrens unterliegen dem Recht des Mitgliedstaates, in dem das Unternehmen ansässig ist - und nicht dem der Nutzer:innen.
Max Schrems: "Die gesamte Verordnung ist gegen die Nutzer:innen gerichtet. In fast jedem Artikel werden Unternehmen bevorzugt und die betroffenen Personen benachteiligt. Von Waffengleichheit kann in diesem Verfahren keine Rede sein. Während das EU-Recht normalerweise die schwächere Partei schützt, diskriminiert diese Verordnung die schwächere Partei."
EP hat sich an Kommission und Rat "verkauft". Während der Entwurf der Kommission von vielen Seiten stark kritisiert wurde, hat das EU-Parlament eine grundlegende Umformulierung vorgenommen. Die strukturellen Kernprobleme des Kommissionsvorschlags wurden zwar nicht perfekt, aber doch durch das Parlament behoben. Allerdings hat das Parlament in den Verhandlungen zwischen der Kommission, den EU-Mitgliedstaaten und dem Parlament im Grunde genommen fast alle ihrer Positionen aufgegeben. Fast alle Bestimmungen über die Betroffenenrechte, kurze Fristen oder transparente Verfahren wurden gestrichen. Jede Möglichkeit, die neuen Regeln realistisch gegen Datenschutzbehörden durchzusetzen, die sich nicht daran halten, wurde gestrichen.
Max Schrems:"Das EU-Parlament hat sich von seinen Kernpositionen völlig verabschiedet. Von der ursprünglichen Fassung sind nur noch winzige Spuren übrig. Das ist äußerst merkwürdig, wenn man bedenkt, dass die Verhandlungsführerin des Parlaments ein Mitglied der Piratenpartei und ein Mitglied der Grünen Fraktion ist - angeblich die vehementesten Kämpfer:innen für Betroffenenrechte. Während der Verhandlungen in den letzten Monaten hatten wir das Gefühl, dass sich niemand für dieses Dossier interessierte. Das Ergebnis spiegelt das absolut wider."
noyb hält Annullierungsverfahren für sinnvoll. Das EU-Recht muss mit den in der EU-Grundrechtecharta verankerten Grundprinzipien übereinstimmen. Dazu gehören das Recht auf eine gute Verwaltung (Artikel 41), das Recht auf ein faires Verfahren innerhalb einer angemessenen Frist (Artikel 47) oder die Gleichbehandlung vor dem Gesetz (Artikel 20). Darüber hinaus muss die EU auch sicherstellen, dass das Grundrecht auf Datenschutz gemäß Artikel 8 der Charta von den Nutzer:innen wirksam durchgesetzt werden kann. Die neue Verordnung scheint strukturell gegen diese Anforderungen zu verstoßen. Alle direkt Betroffenen können daher ein so genanntes Nichtigkeitsverfahren bei den EU-Gerichten anstrengen, um die Verordnung für nichtig erklären zu lassen - entweder als Ganzes oder in weiten Teilen. noyb prüft nun die Möglichkeiten, solche Klagen zu erheben.
Max Schrems: "Die Verordnung ist strukturell so mangelhaft, dass der Gerichtshof sie möglicherweise für nichtig erklären muss. Der derzeitige Entwurf verstößt wahrscheinlich in mehrfacher Hinsicht gegen die Charta, was den Zugang zu Beweismitteln, die Fairness, die Waffengleichheit und eine rechtzeitige Entscheidung betrifft. Theoretisch könnte die Verordnung für nichtig erklärt werden, bevor sie in Kraft tritt
