EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt

Prof. Dr. Johannes Caspar kritisiert „verpasste Chance zum Nachsteuern“

[datensicherheit.de, 25.06.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geht in einer aktuellen Stellungnahme auf die DSGVO-Evaluation ein. Nach seiner Einschätzung handelt es sich um eine „verpasste Chance zum Nachsteuern“.

Foto: HmbBfDI

Prof. Dr. Johannes Caspar: Chance für Nachsteuern im Rahmen dieses Evaluationsberichts leider nicht genutzt!

DSGVO: Im Wesentlichen positives Fazit der EU-Kommission

Der am 24. Juni 2020 veröffentliche Bericht der EU-Kommission zur Bewertung und Überprüfung der Datenschutzgrundverordnung (DSGVO) ziehe im Wesentlichen ein positives Fazit. Doch die Gelegenheit, nach nun schon mehr als zwei Jahren DSGVO-Praxis mit neuen Vorschlägen erkennbare Fehlentwicklungen zu korrigieren, werde jedoch nicht genutzt, kritisiert Professor Caspar.
Insbesondere falle die Beschäftigung der Kommission mit den Regelungen des Kapitels VII über die aufsichtsbehördliche Zusammenarbeit und Kohärenz, die nach Art. 97 Abs. 2 DSGVO eigentlich einen Schwerpunkt der Evaluation hätte sein sollen, eher enttäuschend aus.

Kontrolle der grenzüberschreitenden Datenverarbeitung gemäß DSGVO große Herausforderung

Dabei sei der Ansatz, bei der Kontrolle der grenzüberschreitenden Datenverarbeitung auf ein kooperatives Verwaltungsverfahren zu setzen, bei dem alle Aufsichtsbehörden der Mitgliedstaaten zu beteiligen seien, eine der tiefgreifendsten Änderungen, welche die DSGVO mit sich bringe. Dahinter verberge sich ein detailliertes Geflecht von Normen, welche ein komplexes Zusammenspiel von in unterschiedlichen Funktionen involvierten Behörden untereinander und gegenüber dem Europäischen Datenschutzausschuss als höchste Entscheidungsinstanz für Auslegungsfragen enthielten.

Nach über zwei Jahren DSGVO-Erfahrung „massive aufsichtsbehördliche Ladehemmungen“

„Unübersehbar bestehen nach zwei Jahren Erfahrung mit diesem Ansatz massive aufsichtsbehördliche Ladehemmungen bei der grenzüberschreitenden Datenverarbeitung. Gerade gegenüber global agierenden großen Internetdiensten und Plattformen, für deren bessere Regulierung zum Schutz Betroffener die DSGVO nicht zuletzt geschaffen wurde, erweist sie sich bislang als stumpfes Schwert“, führt der HmbBfDI aus.

Internetkonzerne trotz zahlreicher massiver Vorfälle und DSGVO kaum betroffen

Anders als kleine und mittlere Unternehmen (KMU) hätten die globalen Internetkonzerne trotz zahlreicher massiver Datenschutzvorfälle in den letzten beiden Jahren keine entsprechende Regulierung durch die Aufsichtsbehörden erfahren, sehe man einmal von dem 50 Millionen Euro Bußgeld der CNIL gegen Google ab. Dies sei jedoch ein rein nationales Verfahren, da bislang keine Hauptniederlassung der verantwortlichen Stelle in Europa bestanden habe.

Bearbeitung von Beschwerden seit DSGVO-Inkrafttreten unzureichend

Die Bearbeitung von Beschwerden, die vor allem von zivilgesellschaftlichen Organisationen stellvertretend für viele Nutzer in Europa zu Beginn der DSGVO erhoben worden seien, lasse weiterhin auf sich warten. Es sei zu begrüßen, dass die EU-Kommission in ihrem Evaluationsbericht eine „bessere Ausstattung der Aufsichtsbehörden in den Mitgliedstaaten“ fordert. Häufig seien ihre personellen und finanziellen Ressourcen defizitär. So auch in Deutschland, wo der Vollzug der Regelungen aus guten Gründen überwiegend bei den Aufsichtsbehörden der Länder liege. Die Gründe für die Schwierigkeiten bei der grenzüberschreitenden Kontrolle der Datenverarbeitung allein auf die schlechte Ausstattung der Behörden zurückzuführen, greife jedoch deutlich zu kurz. Hierfür erweisen sich laut dem HmbBfDI vielmehr folgende Ursachen als verantwortlich:

• die Regelungen zum „One Stop Shop“, wonach eine Behörde am Ort der Hauptniederlassung eines Unternehmens in der EU federführend für dessen gesamte Datenverarbeitung zuständig ist, ohne dass hierfür klare Fristen vorgegeben sind,
• ein überaus bürokratisches Beteiligungsverfahren zwischen den Aufsichtsbehörden im Vollzug,
• die fehlenden Handlungsoptionen gegenüber federführenden Aufsichtsbehörden, solange sie keine Entscheidungsvorschläge in das Verfahren einbringen,
• voneinander massiv abweichende nationale Verfahrensvorschriften, deren Vereinbarkeit mit der DSGVO mitunter zweifelhaft sind,
• unterschiedliche Auffassungen über das Verständnis von Ordnungsrecht und der Verhängung von Sanktionen zwischen den europäischen Datenschutzbehörden.

DSGVO weist im Bereich des Rechtsvollzugs „unübersehbare legislative Dysfunktionalitäten“ auf

„Die positive Funktion der Datenschutzgrundverordnung als gesamteuropäischer Entwurf und Leuchtturmprojekt zum Schutz von Rechten und Freiheiten im Digitalen Zeitalter ist nicht zu bezweifeln. Klar ist aber auch, dass die DSGVO im Bereich des Rechtsvollzugs unübersehbare legislative Dysfunktionalitäten aufweist. Wir brauchen künftig Regelungen der Zuständigkeiten, die die europäischen Aufsichtsbehörden nicht behindern und für ein Forum Shopping der Internetkonzerne keinen Raum bieten“, erläutert Professor Caspar.

Anpassungsbedarf einiger Vorschriften der DSGVO steht „außer Frage“

Das derzeitige Regelungsinstrumentarium führe zu einem „Datenschutzvollzug der zwei Geschwindigkeiten“: Während nationale Verfahren häufig zügig und mit zum Teil sehr hohen Bußgeldern endeten, hingen die schwerwiegenden grenzüberschreitenden Fälle unter Beteiligung aller Datenschutzbehörden jahrelang in der „Mühle eines bürokratischen Verfahrens“ und absorbierten die Kraft und Ressourcen der Behörden. Ein wirksamer Schutz von Rechten und Freiheiten Betroffener aber auch ein fairer Wettbewerb auf dem Digitalen Markt ließen sich so nicht herstellen. Der HmbBfDI fordert eine kritische Analyse, ohne das Regelungsprojekt aufs Spiel zu setzen. „Auch wenn ein systemisches Umsteuern derzeit noch nicht ansteht: Der Anpassungsbedarf einiger Vorschriften der DSGVO steht außer Frage. Die Chance für ein Nachsteuern wurde im Rahmen dieses Evaluationsberichts leider nicht genutzt.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.06.2020
BfDI: DSGVO-Bilanz positiv, aber Verbesserungspotenzial