Durchsetzung des Datenschutzrechts: neuer Verordnungsentwurf der EU-Kommission
06.03.2023
[IITR – 06.03.23] Sobald man in die Verlegenheit gerät über die Durchsetzung der EU-Datenschutzgrundverordnung zu sprechen, kommt man kaum umhin im gleichen Atemzug über das sogenannte „One-Stop-Shop“-Verfahren zu sprechen. Dieses besagt, dass bei grenzübergreifender Tätigkeit eine „federführende Aufsichtsbehörde“ anhand des Standorts der Hauptniederlassung bestimmt wird (tieferführend die Datenschutzaufsicht Liechtenstein).
„Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen.“ (Art. 60 Abs. 1 DSGVO)
Auch wenn durch diese Regelung klar vorgeschrieben ist, kann es im Einzelfall durchaus sinnvoll sein, dass verschiedene (betroffene) Aufsichtsbehörden gemeinsam agieren, um den Umständen entsprechend gerecht zu werden. Die Komplexität einer solchen Zusammenarbeit wurde von Beginn an kritisch betrachtet. Vor zwei Jahren bezeichnete der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski anlässlich einer Veranstaltung der iapp das One-Stop-Shop-Verfahren als gescheitert und sah dringenden Reformbedarf.
Focus auf irischer Aufsichtsbehörde
Focus liegt in dem Zusammenhang vor allem auf der irischen Datenschutzaufsichtsbehörde, da die meisten US-Techfirmen ihren europäischen Hauptsitz in Irland genommen haben. So gingen zahlreiche Betroffenenbeschwerden vor allem im Zusammenhang mit Facebook/Meta und der Frage ein, ob die Erfassung des individuellen Nutzerverhaltens durch Facebook/Meta einer Einwilligung bedürfe oder von der Vertragsdurchführung gedeckt sei.
Zu zwei aus 2018 stammenden Beschwerden schreibt die Aufsichtsbehörde in Irland nun:
„The Data Protection Commission (DPC) has today announced the conclusion of two inquiries into the data processing operations of Meta Platforms Ireland Limited (“Meta Ireland”) in connection with the delivery of its Facebook and Instagram services. (…) Meta Ireland has also been directed to bring its data processing operations into compliance within a period of 3 months. The inquiries concerned two complaints about the Facebook and Instagram services, each one raising the same basic issues. One complaint was made by an Austrian data subject (in relation to Facebook); the other was made by a Belgian data subject (in relation to Instagram). The complaints were made on 25 May 2018, the date on which the GDPR came into operation.“
Versuche gerichtlicher Klärung
Der Entscheidung der irischen Aufsichtsbehörde in der Cause Facebook/Meta war ein jahrelanger behördeninterner Streit mit anderen Aufsichtsbehörden vorausgegangen. In Folge dessen wies der Europäische Datenschutzausschuss die irische Aufsichtsbehörde an, gegen Facebook/Meta die Rechtsauffassung zu vertreten, dass die durchgeführte individualisierte Profilbildung der Nutzer nicht auf den Vertrag mit den Endkunden gestützt werden könne sondern einer Einwilligung bedürfe (siehe Beschluss des Europäischen Datenschutzausschusses).
„Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss: wenn eine betroffene Aufsichtsbehörde (…) einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde eingelegt hat und sich die federführende Aufsichtsbehörde dem Einspruch nicht angeschlossen hat oder den Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. (…)“ (Art. 65 Abs. 1 lit. a DSGVO)
Eine Klage von Facebook/Meta gegen den Beschluss des Europäischen Datenschutzausschuss wurde mangels “unmittelbarer Betroffenheit” durch den EuG abgewiesen (Verfahren derzeit beim EuGH anhängig).
Auch die irische Aufsichtsbehörde hat nun zwei eigenständige Verfahren gegen den Europäischen Datenschutzausschuss vor dem EuGH angestrebt (Rechtssachen T-84/23 und T-70/23). Die Entwicklung – sowie auch der genauere Inhalt – bleibt mit Spannung abzuwarten, denn die verschiedenen neuen Verfahren – und insbesondere auch die klärende Frage der Zulässigkeiten – sind für die Zukunft sicherlich wegweisend.
Verordnung zur Harmonisierung der Durchsetzung in grenzübergreifenden Fällen
„This initiative will streamline cooperation between national data protection authorities when enforcing the General Data Protection Regulation (GDPR) in cross-border cases. To this end, it will harmonise some aspects of the administrative procedure the national data protection authorities apply in cross-border cases. This will support a smooth functioning of the GDPR cooperation and dispute resolution mechanisms.“ (so die Europäische Kommission)
Dieser Problematik versucht der Europäische Verordnungsgeber nun mit einem neuen Regelungsvorhaben zu begegnen. Es ist beabsichtigt, den Entwurf einer neuer Verordnung zur Umsetzung der DSGVO in grenzüberschreitenden Fällen im zweiten Halbjahr 2023 vorzulegen.
Geplant ist eine Umstrukturierung bzw. Neuordnung der Durchsetzung datenschutzrechtlicher Maßnahmen gegenüber grenzüberschreitend tätigen Unternehmen. Vorrangiges Ziel ist eine harmonisierte Behandlung potentieller Fälle, um ein europaweit einheitliches Datenschutzniveau zu erreichen.
Update: Die Kommission hat Anfang Juli ein Gesetz („Verordnung“) vorgeschlagen, welches die konkreten Verfahrensvorschriften für die Behörden bei der Anwendung der DSGVO festlegt.
Fazit: weiterführende europäische Regulierung
Kurzfristig wird die Verordnung keinerlei Besserung herbeiführen können, denn ein Verfahren zum Erlass von Verordnungen benötigt Jahre.
Unterdessen untersagt der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Professor Ulrich Kelber den Betrieb der Fanpage der Bundesregierung. Dies war zwar lange angekündigt, kann aber als erster bedeutsamer Schritt in dieser Thematik gewertet werden. Ob und wann derartige Unterlassungsaufforderungen auch den privaten Sektor treffen werden, bleibt ungewiss. Ebenfalls wie mit Fanpages auf anderen sozialen Netzwerken zu verfahren ist. Die Bundesregierung hat verlautbaren lassen, Rechtsmittel gegen die Verfügung einzureichen und die Frage gerichtlich klären zu lassen.
Währenddessen wird auf europäischer Ebene weiterhin über die Kontrollmöglichkeiten von Chats debattiert:
„Die Kommission schlägt ein verpflichtendes, allgemeines Überwachungssystem vor, das so extrem ist, dass es nirgendwo sonst in der freien Welt existiert.“ (Patrick Breyer, Europaabgeordneter der Piraten)
Aus datenschutzrechtlicher Sicht sind in diesem Jahr 2023 bereits wegweisende Entwicklungen angestoßen worden, die es mit Aufmerksamkeit zu verfolgen gilt.