DSGVO-Reform in den Startlöchern - Welche Änderungen kommen sollen

I. Nach 5 Jahren DSGVO stehen erste Änderungen an

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Schon in der Zeit davor hatte sie vielen Unternehmen zugesetzt und Einiges an Aufwand produziert. Die meisten Unternehmen haben die wesentlichen Vorgaben in der Zwischenzeit umsetzen können, auch wenn im Detail noch über einige Fragen der Auslegung bestimmter Vorgaben aus der DSGVO diskutiert wird.

Nun hat die EU-Kommission für das bereits laufende zweite Quartal 2023 eine Gesetzesinitiative zur Anpassung einiger Bestimmungen der DSGVO angekündigt, die auf Vorschläge des Europäischen Datenschutzausschusses (EDSA) zurückzuführen sind. Zu einer Runderneuerung soll es nicht kommen, aber zu einem Facelift bei einigen Vorschriften, die insbesondere die Mechanismen zur Kooperation und Streitbeilegung zwischen den Aufsichtsbehörden verschiedener Länder bei grenzüberschreitenden Sachverhalten betreffen.

II. Die grüne Insel als rote Ampel für den Datenschutz

Hintergrund der avisierten Änderungen ist im Wesentlichen die Tatsache, dass in den ersten Jahren der DSGVO nach Ansicht vieler Fachleute der Eindruck entstanden ist, die irische Datenschutzbehörde sei mit den Datenschutzthemen der aus diversen Gründen vor allem in Irland ansässigen internationalen Tech-Unternehmen überlastet, deshalb in ihren Entscheidungen zu langsam und daher ein Bremsklotz für einen effektiven und schnellen Datenschutz in der digitalen Welt.

Hierzu muss man wissen: Bei grenzüberschreitenden Datenverarbeitungen in verschiedenen EU-Mitgliedstaaten gibt es nach den Vorschriften der DSGVO stets eine sog. federführende Aufsichtsbehörde, die für den datenschutzrechtlich Verantwortlichen als alleiniger Ansprechpartner dient. Dies ist in der Regel die Aufsichtsbehörde, in der der jeweilige Verantwortliche seinen Sitz bzw. seine Niederlassung hat. Kommt es in einem EU-Mitgliedstaat zu einem Datenschutz-Vorfall, der grenzüberschreitende Datenverarbeitungen betrifft, sieht die DSGVO einen Mechanismus zur Kooperation der federführenden Aufsichtsbehörde im Sitzland des Verantwortlichen und den ebenso betroffenen Aufsichtsbehörden in den EU-Mitgliedstaaten vor, die von dem Datenschutzvorfall betroffen sind.

Da internationale Tech-Unternehmen wie Meta, Google, Apple und Microsoft ihren EU-Sitz - nicht zuletzt wegen des Brexit - häufig in Irland haben, ist die irische Datenschutzbehörde die federführende und damit zuständige Aufsichtsbehörde für viele Datenschutzvorfälle und -beschwerden in der gesamten EU, so dass beim EU-weiten Datenschutz vergleichsweise wenig voran geht.

III. Geplante Änderungen an der DSGVO

1. Regelungen für Zuständigkeitsprüfung

Die DSGVO sieht bislang keine präzisierenden Regelungen für das Prüfverfahren zur Bestimmung der federführenden Aufsichtsbehörde vor. Zwar ist in einem Beschwerdeverfahren meist die Aufsichtsbehörde federführend, in dem der betreffende Verantwortliche seinen (Haupt-)Sitz hat; allerdings bezieht sich dies auf den EU-Mitgliedstaat, in dem der Verantwortliche die Zwecke und Mittel der betreffenden Datenverarbeitung bestimmt. Dies ist nicht immer ohne weiteres bestimmbar und muss daher in einem Vorverfahren geprüft werden, für das es bislang keine klaren Regelungen in der DSGVO gibt. Dies soll sich nun ggf. ändern.

2. Vereinheitlichung des Beschwerdeverfahrens

Die DSGVO sieht bislang keine klaren Regelungen vor, die bestimmen, wie Beschwerden über mögliche Datenschutzverletzungen bei den Aufsichtsbehörden eingereicht werden können. Daher regeln die Gesetze bzw. die Aufsichtsbehörden in den einzelnen EU-Mitgliedstaaten unterschiedliche Formerfordernisse. In manchen Staaten genügt eine E-Mail, in anderen ist Schriftform, d.h. eine eigenhändige Unterschrift des Beschwerdeführers erforderlich.

Überlegt wird nun, in der DSGVO ausdrücklich zu regeln, dass die Einhaltung der gesetzlich vorgegebenen Form für eine Datenschutz-Beschwerde in dem EU-Mitgliedstaat, in dem sie bei der Behörde eingeht, auch für die Aufsichtsbehörden in anderen EU-Mitgliedstaaten, insbesondere für die federführende Aufsichtsbehörde verbindlich ist und nicht noch einmal in Frage gestellt werden kann.

3. Kooperation der Aufsichtsbehörden

Bei der Zusammenarbeit zwischen den Aufsichtsbehörden bei grenzüberschreitenden Sachverhalten sieht die DSGVO gegenwärtig kaum Fristen für Stellungnahmen, sonstige Antworten oder Reaktionen von Aufsichtsbehörden auf Anfragen von anderen Aufsichtsbehörden vor, die die Beschwerde- bzw. Verwaltungsverfahren strukturieren, disziplinieren und zu einem schnelleren Ergebnis verhelfen könnten.

Künftig sollen nun in vielen Konstellationen Fristen die Kommunikation und Prozesse zwischen den Aufsichtsbehörden in den verschiedenen EU-Mitgliedstaaten präzisieren und zur Beschleunigung führen. Überlegt wird dabei auch, z.B. eine generelle Bearbeitungsfrist für Beschwerden einzuführen, die die federführende Aufsichtsbehörde bei grenzüberschreitenden Sachverhalten einzuhalten hätte.

4. Vereinheitlichung der Beteiligtenrechte der Verantwortlichen und Auftragsverarbeiter

Die Rechte und Möglichkeiten von datenschutzrechtlich Verantwortlichen, sich im Rahmen eines Beschwerdeverfahrens am Verwaltungsverfahren zu beteiligten, richtet sich auch bei DSGVO-Beschwerden in der Regel nach den jeweiligen nationalen Regelungen in den einzelnen EU-Mitgliedstaaten, die teilweise stark voneinander abweichen. Dies betrifft etwa auch die Möglichkeit der Geheimhaltung von Informationen, die ein Verantwortlicher der im Rahmen des Beschwerdeverfahrens ermittelnden Behörde zur Verfügung stellen muss.

Nun wird möglicherweise eine EU-weite Vereinheitlichung angestrebt, so dass der Umfang der einzelnen Rechte und Möglichkeiten der Verantwortlichen, sich in einem Beschwerdeverfahren gebührend zu wehren, nicht mehr von den individuellen Regelungen in seinem Sitzland abhängig ist.

IV. Auswirkungen der geplanten Änderungen auf Händler

Die geplanten Änderungen der DSGVO scheinen auf den ersten Blick keine unmittelbaren Auswirkungen auf datenschutzrechtlich Verantwortliche und damit auf Anbieter von Waren und Dienstleistungen im Internet zu haben.

Allerdings muss beachtet werden, dass Verantwortliche - und somit auch Online-Händler - im Rahmen der DSGVO-Transparenzpflichten über die Verarbeitung von personenbezogenen Daten von Kunden und Besuchern der Website gemäß den Vorgaben der DSGVO informieren müssen. Dies betrifft aktuell auch Informationen zu Beschwerdemöglichkeiten bei der zuständigen Aufsichtsbehörde. Ob Händler schon bald ihre Datenschutzerklärungen werden anpassen müssen, hängt von der konkreten Ausgestaltung der Reform ab.

V. Fazit

Neben den in diesem Beitrag vorgestellten Plänen zur Anpassung der DSGVO werden grundsätzlich auch weitere Änderungen diskutiert, die sich auch auf die Zulässigkeit und Transparenzanforderungen hinsichtlich einzelner Datenverarbeitungen auswirken können.

Die Mandanten der IT-Recht-Kanzlei, die eines unserer Schutzpakete abonniert haben, halten wir im Rahmen des Update-Service hinsichtlich der relevanten Änderungsbestrebungen stets auf dem Laufenden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.