Die Europäische Kommission hat am Dienstag (4. Juli) einen Gesetzesvorschlag vorgelegt, um grenzüberschreitende Fälle im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu beschleunigen. Hierbei wird vorrangig eine Harmonisierung bestimmter Aspekte der nationalen Verfahrensvorschriften angedacht.
Die Reform wurde vom Vorsitzenden des Europäischen Datenschutzausschusses (EDSA), dem Gremium, in dem alle EU-Datenschutzbehörden vertreten sind, gefordert. Von ihm wurde auf mehrere Diskrepanzen im nationalen Rechtsrahmen hingewiesen, die eine reibungslose Zusammenarbeit zwischen den Datenaufsichtsbehörden verhindern.
Der Gesetzentwurf befasst sich mit Beschwerden über mutmaßliche Datenschutzverletzungen, den Verfahrensrechten der von einer Untersuchung betroffenen Parteien, der behördeninternen Zusammenarbeit und der Streitbeilegung.
„Wir können grenzüberschreitende Verfahren zwischen Datenschutzbehörden weiter erleichtern. Wir wollen für schnellere Entscheidungen sorgen. Auch in komplexen Fällen. Diese Entscheidungen wirken sich direkt auf die Rechte der Bürger aus, daher ist Eile geboten“, sagte Justizkommissar Didier Reynders auf der Pressekonferenz zur Vorstellung der Initiative.
Bearbeitung von Beschwerden
Die Europäische Kommission möchte, dass Beschwerden mit Hilfe eines Standardformulars eingereicht werden, dessen Vollständigkeit von der Datenschutzbehörde, bei der die Beschwerde eingereicht wurde, auf der Grundlage der folgenden drei Kriterien beurteilt wird: rechtzeitige Behebung der Beschwerde, Schwere des mutmaßlichen Verstoßes und dessen systemischer oder wiederauftretende Charakter.
Die Beschwerde kann durch eine einvernehmliche Lösung zwischen dem Beschwerdeführer und dem Beklagten beigelegt werden. Die zuständige Aufsichtsbehörde für den Datenschutz kann den Beschwerdeführer unterrichten, wenn sie der Ansicht ist, dass eine einvernehmliche Lösung gefunden wurde. Der Beschwerdeführer hat dann zwei Wochen Zeit, Einspruch zu erheben.
„Den Beschwerdeführern werden Fristen für die begrenzte Zeit gesetzt, die sie zu ihrem eigenen Fall beitragen können. Es gibt jedoch keine allgemeinen Fristen für die Lösung von Fällen“, sagte Estelle Massé, die für den globalen Datenschutz bei Access Now zuständig ist, gegenüber EURACTIV.
„Es wäre schwierig, eine allgemeine Frist festzulegen“, sagte ein hochrangiger EU-Vertreter und wies darauf hin, dass jeder Fall in seiner rechtlichen und technischen Komplexität variieren könne. „Das würde nicht dazu beitragen, bessere Ergebnisse zu erzielen“, fügte er hinzu.
Der Gesetzentwurf räumt Beschwerdeführern nur dann das Recht auf Anhörung ein, wenn ihre Beschwerde ganz oder teilweise abgelehnt wird. Der Beschwerdeführer kann Zugang zu nicht vertraulichen Dokumenten beantragen, auf die sich die Behörden bei ihrer Beurteilung gestützt haben.
„Da ich an mehreren Verfahren in verschiedenen Mitgliedstaaten beteiligt war, weiß ich, dass gute Entscheidungen nur dann zustande kommen, wenn die Beschwerdeführer ausführlich Stellung nehmen und die Ansichten der untersuchten Parteien ausgleichen können“, sagte Johnny Ryan, ein leitender Mitarbeiter des Irish Council for Civil Liberties.
Vertraulichkeit
Der Verordnungsentwurf sieht vor, dass sich das Recht auf Akteneinsicht nicht auf den Schriftverkehr zwischen den beteiligten Behörden erstreckt. Die Akteneinsicht kann nach Erteilung der vorläufigen Feststellungen an die untersuchten Parteien gewährt werden.
Die durch die Akteneinsicht erlangten Unterlagen dürfen nur für Gerichts- und Verwaltungsverfahren verwendet werden. Schutzmaßnahmen können von der untersuchten Partei beantragt werden, wenn sie nachweist, dass es sich um wirtschaftlich sensible Informationen handelt.
Darüber hinaus werden die Untersuchungsdokumente von Anträgen auf Akteneinsicht ausgeschlossen, solange das Verfahren läuft, was bisher in einigen Fällen möglich war, zum Beispiel bei Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss.
Die Möglichkeit, im Rahmen von Anträgen auf Informationsfreiheit an Verfahrensunterlagen zu gelangen, wurde bereits durch ein neues irisches Gesetz in Frage gestellt, das ebenfalls Vertraulichkeitsmaßnahmen einführt.
Behördeninterne Zusammenarbeit
Der Gesetzentwurf sieht vor, dass die mit einem Fall betrauten Datenschutzbeauftragten alle erforderlichen Maßnahmen ergreifen, um einen Konsens mit den anderen beteiligten Behörden zu erzielen.
Die federführende Behörde sollte ihre Kollegen regelmäßig über die Untersuchung informieren, einschließlich der Einleitung, der Informationsanfragen, der Nutzung der Untersuchungsbefugnisse, der Gründe für die Ablehnung einer Beschwerde, der Zusammenfassung der kritischen Punkte, der vorläufigen Ergebnisse und der Antworten der Parteien.
Die EU-Kommission ist der Ansicht, dass die anderen Behörden ihre Beiträge zu einem früheren Zeitpunkt des Verfahrens einbringen sollten, um den Weg über das Streitbeilegungsverfahren zu vermeiden. So wird die federführende Behörde aufgefordert, ihre vorläufigen Feststellungen den anderen Behörden mitzuteilen, die dann drei Wochen Zeit haben, sich dazu zu äußern.
Zu den vorläufigen Feststellungen gehören mögliche Abhilfemaßnahmen und die Elemente, die zur Berechnung der Geldbuße herangezogen werden. Die untersuchte Partei erhält die vorläufigen Feststellungen und hat die Möglichkeit, innerhalb einer bestimmten Frist zu antworten.
Das Gleiche gilt für die Beschwerdeführer, die nur nach einer Vertraulichkeitserklärung, in der sie keine Informationen preisgeben, eine nicht vertrauliche Kopie der Feststellungen erhalten.
Besteht zwischen den Behörden kein Konsens über Fragen wie den Umfang der Untersuchung und die vorläufige rechtliche und technische Bewertung, wird der Ausschuss beauftragt, eine verbindliche Eilentscheidung zu treffen.
Beilegung von Streitigkeiten
Wenn die leitende Behörde ihren Entscheidungsentwurf annimmt, können die anderen Regulierungsbehörden erneut begründete Einwände erheben. Diese Einwände sollten sich jedoch ausschließlich auf die in der Verwaltungsakte enthaltenen Sachverhaltselemente stützen und dürfen keine weiteren Verstöße hinzufügen.
Wenn die federführende Behörde einigen der von den anderen Behörden vorgebrachten Einwände nicht folgt und kein Konsens erzielt werden kann, wird das Streitbeilegungsverfahren eingeleitet. Die führende Behörde muss eine Reihe von Dokumenten vorlegen, darunter den Entscheidungsentwurf und die begründeten Einwände.
Bevor die Kammer eine verbindliche Entscheidung trifft, muss sie die untersuchte Partei über ihre Argumentation informieren, die dann eine Woche Zeit hat, um zu antworten. Das Gleiche gilt für die Beschwerdeführer, allerdings nur im Falle einer teilweisen oder vollständigen Zurückweisung der Beschwerde.
„Ich denke nicht, dass eine Woche eine angemessene Frist ist, aber es ist ein erster Schritt“, sagte Vincenzo Tiani, Partner bei der Anwaltskanzlei Panetta. „Es ist jedoch bedauerlich, dass die Parteien nicht das Recht haben, bereits in einem früheren Stadium vor dem EDSB vorzusprechen.“
[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]