R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
K&R 2023, I
Hellmich 

Was darf der Europäische Datenschutzausschuss zukünftig?

Abbildung 1

RAin Dr. Stefanie Hellmich, LL.M.

Die EU-Kommission hat für das 2. Quartal 2023 einen Verordnungs-Entwurf angekündigt, um die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) zu vereinfachen.

Seit langem werden Unterschiede in der Durchsetzungspraxis und Defizite in der Zusammenarbeit zwischen den nationalen Aufsichtsbehörden in grenzüberschreitenden Fallgestaltungen moniert. Das zögerliche Vorgehen etwa der irischen Datenschutzaufsichtsbehörde gegenüber Unternehmen wie Google und Meta mit Facebook und Instagram, für die diese federführend zuständig ist, beeinträchtigt die Akzeptanz der DSGVO in der EU und eine effektive Durchsetzung ihrer Vorgaben insbesondere gegenüber international tätigen Unternehmen. Die gegen Meta von der irischen Aufsichtsbehörde wegen fehlender Rechtsgrundlage der Verarbeitung verhängte Geldbuße darf durchaus als zurückhaltend bezeichnet werden. Ihr war eine jahrelange interne Auseinandersetzung mit anderen Aufsichtsbehörden vorausgegangen. Der Europäische Datenschutzausschuss (EDSA) als gemeinsames Gremium der Aufsichtsbehörden hatte die irische Aufsichtsbehörde schließlich per verbindlichem Beschluss angewiesen zu entscheiden, dass die Profilbildung nicht auf den Nutzungsvertrag als Rechtsgrundlage gestützt werden könne, sondern einer Einwilligung bedarf.

Der sog. „One Stop Shop“-Mechanismus im Rahmen des Kooperations- und Streitbeilegungsverfahrens hat nicht die erhoffte Harmonisierung bei der Durchsetzung der DSGVO bewirken können. Der EDSA als zentrale Koordinierungsinstanz der EU-Datenschutzaufsicht sollte eine an unterschiedlicher Anwendung der DSGVO orientierte Standortwahl durch Unternehmen gerade verhindern. In der Praxis zeigen sich die Schwächen dieser Regelungen.

In der EU ansässige Unternehmen fordern nicht zu Unrecht ein „level playing field“, um den unterschiedlichen Herausforderungen u. a. bei der Umsetzung von Betroffenenrechten, Datenschutzverletzungen und der Prüfung von Rechtsgrundlagen der Verarbeitung bei hochgradig digitalisierten Verarbeitungsprozessen zu begegnen. In einem Rechtsbereich, der stark von Abwägungsentscheidungen geprägt ist und der mit zunehmender Digitalisierung und den einhergehenden gesellschaftlichen Veränderungsprozessen einem hohen Anpassungsdruck unterworfen ist, muss jeder Eindruck von Beliebigkeit der Rechtsanwendung vermieden werden. Es muss eine den tatsächlichen Verantwortungsbeiträgen entsprechende Anwendung des Datenschutzrechts ermöglicht werden, bei der sich nicht aufgrund von Zuständigkeitsproblemen die Durchsetzung der rechtlichen Vorgaben auf die Abnehmer- statt die Anbieterseite konzentriert. Wegen der starken Marktstellung der Anbieter haben Abnehmer häufig nicht die Wahl oder die Möglichkeit, eine Anpassung der Verarbeitungsprozesse oder zugrundeliegenden Geschäftsbedingungen zu verlangen. Daran ändert eine etwaige gemeinsame datenschutzrechtliche Verantwortlichkeit kaum etwas.

Eine Überprüfung des aufsichtsbehördlichen Kooperations- und Streitbeilegungsverfahrens ist daher dringend geboten. Man darf gespannt sein, in welcher Form die EU-Kommission die Forderung aufgreift, dass in grenzüberschreitenden Verfahren bei Verzögerungen seitens der zuständigen federführenden Aufsichtsbehörde der EDSA das Verfahren übernehmen können soll. Gleiches gilt für die Forderung nach der Sicherstellung des „rechtlichen Gehörs“ der Verfahrensbeteiligten in Verfahren vor dem EDSA. Da der EDSA verbindliche Entscheidungen zu Lasten der Verfahrensbeteiligten treffen kann, ist die Forderung berechtigt, dass diese auch vor dem EDSA mit ihrem Vorbringen gehört werden müssen. So wurde die Klage von Facebook/Meta gegen den Beschluss des EDSA mangels „unmittelbarer Betroffenheit“ durch das EuG abgewiesen. Dieses Verfahren ist derzeit beim EuGH anhängig.

Der EDSA hat bereits im Oktober 2022 seine Vorschläge für den Verordnungs-Entwurf der EU-Kommission übermittelt. Die von ihm vorgebrachten Punkte umfassen neben den vorgenannten die Schärfung des Rechts auf Akteneinsicht und die Festlegung weiterer Verfahrensfragen u. a. zur vergleichsweisen Beilegung von Auseinandersetzungen sowie zu Untersuchungsbefugnissen und zum Informationsaustausch der Aufsichtsbehörden bei der Vorbereitung von Verfahren und zu mit Entscheidungen einhergehenden Veröffentlichungsbefugnissen der Aufsichtsbehörden.

Es bleibt abzuwarten, ob der EU-Kommission mit dem Verordnungsentwurf der große Wurf und eine Antwort auf die drängenden Fragen der Praxis gelingt, ohne der Versuchung einer „Überregulierung“ zu erliegen.

RAin Dr. Stefanie Hellmich, LL.M.*

*

ist Partner der Luther Rechtsanwaltsgesellschaft mbH in Frankfurt a. M. und berät zu Rechtsfragen im Bereich Informationstechnologie/Digitalisierung, und Datenschutz insbesondere im internationalen Rechtsverkehr.

 
stats