15 December 2021

Datenschutzvollzug vor Zentralisierung

Die Europäische Datenschutzgrundverordnung (DSGVO) gilt noch keine vier Jahre, doch schon werden erste Forderungen nach mehr europäischer Zentralisierung der mitgliedstaatlichen Datenschutzaufsichtsbehörden laut, da Teile der nationalen Datenschutzaufsichtsbehörden nicht in der Lage sind, bei Verstößen gegen die DSGVO durch Technologiekonzerne in wichtigen grenzüberschreitenden Datenverarbeitungen einzuschreiten. Gemeint ist in diesen Fällen regelmäßig die Irische Datenschutzaufsichtsbehörde, die im neu eingeführten System der Zusammenarbeit zwischen den mitgliedstaatlichen Aufsichtsbehörden als federführende Aufsichtsbehörde für eine Vielzahl von großen Technologieunternehmen wie Adobe, Apple, Facebook, Google, Microsoft, TikTok oder Twitter zuständig und damit an wesentlichen Stellen für die Überwachung und die Einhaltung der europäischen Datenschutzvorschriften verantwortlich ist. Muss das System der Zuständigkeiten und Zusammenarbeit der mitgliedstaatlichen Aufsichtsbehörden, das bei seiner Einführung eine der wesentlichen Neuerung der DSGVO darstellte, bereits jetzt einer grundlegenden Revision unterzogen werden?

One-Stop-Shop Mechanismus als Kernstück der Datenschutzrechtsreform

Die Zusammenarbeit der federführenden Aufsichtsbehörde und der anderen betroffenen Aufsichtsbehörden (Art. 60 DSGVO) ist ein Kernelement der Neuregelungen der DSGVO, um für eine einheitliche Rechtsanwendung und -durchsetzung der Datenschutzvorschriften in der EU zu sorgen. Dadurch wird vermieden, dass sich Verantwortliche und Auftragsverarbeiter im Rahmen einer grenzüberschreitenden Datenverarbeitung – gemeint sind solche Datenverarbeitungen, bei denen mindestens zwei Mitgliedstaaten auf unterschiedliche Weisen betroffen sind (vgl. Art. 4 Nr. 23 DSGVO) – an mehrere Aufsichtsbehörden wenden müssen und sich möglicherweise widersprüchlichen Entscheidungen ausgesetzt sehen. Die federführende Aufsichtsbehörde ist für die betroffenen Akteure der einzige Ansprechpartner (Art. 56 Abs. 6 DSGVO) in allen datenschutzrechtlichen Belangen. Federführend ist in solchen Fällen die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters (Art. 56 Abs. 1 DSGVO). Ihre Aufgabe besteht dann unter anderem darin, einen Beschluss gegenüber dem Verantwortlichen oder Auftragsverarbeiter zu erlassen (Art. 60 Abs. 7 DSGVO). Die Etablierung dieses Konzepts, das auch als ‚One-Stop-Shop‘ Mechanismus bezeichnet wird, ist ein Kernstück der Datenschutzrechtsreform von 2016 und markiert besonders den Übergang von der vormals geltenden Europäischen Datenschutzrichtlinie zur DSGVO. Dieses Konzept scheint sich jedoch bisher nicht bewährt zu haben.

Studie legt Untätigkeit der Irischen Datenschutzaufsichtsbehörde offen

Eine im September dieses Jahres veröffentliche Studie des Irish Council for Civil Liberties (ICCL), einer gemeinnützigen Organisation zum Schutz von Menschenrechten und bürgerlichen Freiheiten, hat sich das Agieren der Datenschutzaufsichtsbehörden gegenüber großen Technologiekonzernen in besonderes relevanten Fällen näher angeschaut und kam zu dem Ergebnis, dass die Irische Datenschutzaufsichtsbehörde im Zeitraum von Mai 2018 bis Mai 2021 lediglich in vier von 164 untersuchten grenzüberschreitenden Fällen einen Beschlussentwurf erlassen hat (Studie, S. 5). Im Vergleich dazu haben etwa die deutschen Aufsichtsbehörden 45 Beschlussentwürfe bei 105 analysierten Fällen erlassen und die französische Aufsichtsbehörde 24 Beschlussentwürfe bei 95 untersuchten Fällen erlassen.

Die Untätigkeit der Irischen Datenschutzaufsichtsbehörde in diesen wichtigen Fällen weist auf ein systemisches Versagen hin. Hierzu haben insbesondere zwei Ursachen beigetragen. Erstens hat die jahrzehntelange chronische Unterfinanzierung der Behörde ein wirksames und effektives Vorgehen im Rahmen der datenschutzrechtlichen Beratung als auch der Durchsetzung datenschutzrechtlicher Vorschriften unmöglich gemacht. Diese Wirkungen halten bis heute an und können nur langsam ausgeglichen werden. Und zweitens erfordert die Regulierung großer Technologiekonzerne entsprechende personelle und technische Ressourcen, wobei insbesondere Technikexperten notwendig sind, an denen es jedoch ebenfalls mangelt. So verfügt die Irische Datenschutzaufsichtsbehörde mittlerweile immerhin über 183 Mitarbeiter. Allerdings sind davon nur 28 auf Technik spezialisierte Experten (Studie, S. 10), was angesichts der Vielzahl an niedergelassenen Technologiekonzernen in Irland zu wenig ist.

Schwachstellen im Verfahren der datenschutzrechtlichen Zusammenarbeit

Die praktische Anwendung der rechtlichen Vorgaben zur Zusammenarbeit der mitgliedstaatlichen Datenschutzaufsichtsbehörden offenbart deren Schwachstellen. So wird zwar die Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden in einem sehr umfangreichen und komplexen Beschlussverfahren umfassend geregelt (Art. 60 DSGVO), allerdings fehlen Vorschriften und Konsequenzen für Fälle, in denen die federführende Aufsichtsbehörde untätig bleibt.

Die federführende Aufsichtsbehörde muss bei grenzüberschreitenden Fällen in ihrem Beschluss auf die rechtlichen Positionen der anderen Aufsichtsbehörden zwar eingehen und diese integrieren (Art. 60 Abs. 1 DSGVO). Wie und in welchem Umfang sie das allerdings umsetzt, lässt die DSGVO ebenso offen wie die Frage, welcher zeitliche Rahmen ihr für eine eigene Entscheidung zur Verfügung steht. So hält sich die DSGVO mit starren Fristenregelungen weitgehend zurück. Aufsichtsbehörden müssen etwa bei Beschwerden von Personen nur „innerhalb einer angemessenen“ Frist diese über den Fortgang und das Ergebnis der Untersuchung informieren (Art. 57 Abs. 1 lit. f DSGVO). Das Fehlen starrer Fristenregelungen ist insbesondere dem Umstand geschuldet, dass die Datenschutzaufsichtsbehörden bei der Erfüllung ihrer Aufgabe und der Ausübung ihrer Befugnisse völlig unabhängig agieren (Art. 8 Abs. 3 GrCh, Art. 16 Abs. 2 AEUV, Art. 52 Abs. 1 DSGVO). Damit die Aufsichtsbehörden gleichwohl innerhalb eines bestimmten Zeitraums überhaupt zu Entscheidungen gelangen können, werden die Mitgliedstaaten verpflichtet, dass ihre Aufsichtsbehörden mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet werden, die sie benötigen, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können (Art. 52 Abs. 4 DSGVO).

Die Praxis zeigt allerdings, dass es gerade an dieser angemessenen Ausstattung fehlt. Die anderen betroffenen Aufsichtsbehörden können hierauf nur in beschränktem Umfang reagieren und Druck auf die federführende Aufsichtsbehörde ausüben. So kann eine andere betroffene Aufsichtsbehörde nur in Ausnahmefällen (Art. 60 Abs. 11 iVm Art. 66 DSGVO) ein Dringlichkeitsverfahren durchführen – also Maßnahmen trotz fehlender Zuständigkeit erlassen –, wenn außergewöhnliche Umstände vorliegen und dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. So hat beispielsweise im Frühjahr dieses Jahres der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ein Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook (jetzt Meta) erlassen (hier auf diesem Blog), obwohl die Irische Datenschutzaufsichtsbehörde zuständig gewesen wäre. Selbst der Europäische Datenschutzausschuss, der aus den mitgliedstaatlichen Aufsichtsbehörden besteht (Art. 68 Abs. 3 DSGVO), kann bei Untätigkeit einer mitgliedstaatlichen Aufsichtsbehörde nur in begrenztem Umfang handeln (Art. 70 Abs. 1 lit. a und t DSGVO). Ein Selbsteintrittsrecht anstelle der zuständigen Datenschutzaufsichtsbehörde existiert jedenfalls nicht.

Was muss also geschehen, damit gegen die Untätigkeit von Datenschutzaufsichtsbehörden – insbesondere gegen die Untätigkeit der Irischen Datenschutzaufsichtsbehörde – vorgegangen und der schleppende Vollzug von europäischen Datenschutzvorschriften verbessert werden kann?

Notwendigkeit der DSGVO-Überwachung durch die Europäische Kommission

Zunächst muss gewährleistet sein, dass die nationalen Aufsichtsbehörden mit denjenigen personellen, technischen und finanziellen Ressourcen sowie Sachmitteln ausgestattet sind, die sie benötigen, um ihre Aufgaben und Befugnisse effektiv wahrnehmen zu können (Art. 52 Abs. 4 DSGVO). Diesen Missstand hat offensichtlich nunmehr auch die Irische Regierung erkannt und eine Aufstockung der personellen Ausstattung der Irischen Datenschutzaufsichtsbehörde angekündigt, sodass immerhin zwei zusätzliche Datenschutzkommissare ernannt werden sollen. Ob das allerdings ausreicht, darf bezweifelt werden. Daneben ist die datenschutzrechtliche Regulierung von großen Technologiekonzernen zugebenermaßen nicht einfach zu bewältigen, da sie regelmäßig besonders komplexe Rechtsfragen und Fallkonstellationen hervorbringen und daher umfangreiche Untersuchungsmaßnahmen (vgl. Art. 58 DSGVO) notwendig sind. Daher muss vor allem eine entsprechende technische Expertise bei den Aufsichtsbehörden verfügbar sein. Das macht die Anstellung von Technikspezialisten erforderlich, ohne die eine wirksame und effektive Überwachung sowie Regulierung der betroffenen Unternehmen nicht möglich ist.

Es ist insbesondere die Aufgabe der Europäischen Kommission, die Anwendung der DSGVO zu überwachen (Art. 17 EUV) und bei Versäumnissen gegen denjenigen Mitgliedstaat vorzugehen, der seinen Verpflichtungen aus der DSGVO nicht nachkommt (Art. 258 AEUV). Angesichts der aufgezeigten Mängel muss die Europäische Kommission die Überwachung der Anwendung der DSGVO insgesamt verbessern und gerade gegen Mitgliedsstaaten wie Irland vorgehen, die notorische Versäumnisse bei der Durchsetzung der Datenschutzvorschriften erkennen lassen.

Da dies bisher alles nicht geschehen ist, hat Ende November die ICCL zu Recht eine Beschwerde gegen die Europäische Kommission bei der Europäischen Ombudsstelle – diese untersucht Beschwerden über Missstände in der Verwaltungstätigkeit der Organe, Einrichtungen und sonstigen Stellen der Union (Art. 228 AEUV) – eingereicht und die Untätigkeit gerügt. Anfang Dezember hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments gegenüber dem Justizkommissar der Europäischen Kommission ebenfalls auf die Missstände der fehlenden Durchsetzung der Datenschutzvorschriften in Irland aufmerksam gemacht. Es liegen daher zwei Beschwerden an unterschiedlichen Stellen vor, welche die Europäische Kommission aufhorchen lassen sollte.

Es ist daher nun an der Kommission, die ihr zur Verfügung stehenden rechtlichen Mittel auszuschöpfen und Irland zur Einhaltung der europäischen Datenschutzvorschriften aufzufordern. Sie muss handeln und zeigen, dass auch ihr ein effektiver und wirksamer Vollzug datenschutzrechtlicher Vorschriften wichtig ist. Andernfalls verkommt das europäische Datenschutzrecht zu einem zahnlosen Tiger und wird seiner Vorreiterrolle in der Welt nicht gerecht.

Vorbehalt rechtlicher Korrekturen

Aber auch über rechtliche Korrekturen am Mechanismus der Zusammenarbeit zwischen den mitgliedstaatlichen Aufsichtsbehörden sowie dem Kohärenzverfahren muss diskutiert werden. Möchte man den wirksamen und effektiven Vollzug der DSGVO verbessern, so sollte eine Fristenregelung implementiert werden, die der federführenden Aufsichtsbehörde eine Bearbeitungs- beziehungsweise Entscheidungsfrist einräumt, innerhalb derer sie bei grenzüberschreitenden Datenverarbeitungen eine verbindliche Entscheidung gegenüber dem Verantwortlichen oder Auftragsverarbeiter treffen muss. Gleichwohl muss eine solche Fristenregelung die unterschiedlichen Komplexitäten der zu untersuchenden Fälle abdecken. Hier bietet sich etwa eine differenzierte Abschichtung zwischen einfach gelagerten Fällen, durchschnittlich gelagerten Fällen und besonders komplexen Fällen an. Auch muss ein größeres Augenmerk auf die Ausstattung der Aufsichtsbehörden gelegt werden. Denn nur wenn sie ausreichend ausgestattet sind, ist eine effektive Bearbeitung innerhalb eines bestimmten gesetzlich definierten Zeitraums überhaupt möglich. Ergänzt werden kann eine solche Fristenregelung durch eine Vorschrift, die ein angemessenes Verhältnisses zwischen Verwaltungsmitarbeitern und technischen Experten bei den Datenschutzaufsichtsbehörden vorsieht. Unter diesen Voraussetzungen und ergänzt um mögliche Sanktionen bei Untätigkeit, könnte zumindest der Entscheidungsdruck auf die federführende Aufsichtsbehörde maßgeblich erhöht werden.

Schließlich käme als Ultima Ratio die Einführung einer zentralen europäischen Datenschutzaufsicht in Betracht, die als Superrevisionsbehörde sämtliche Fälle und damit alle Verantwortlichen und Auftragsverarbeiter in der EU einheitlich überwacht und reguliert. Darüber ist jedoch erst dann nachzudenken, wenn alle zuvor ergriffenen Maßnahmen nicht fruchten. Dies gebietet bereits das Subsidiaritätsprinzip in der EU. Im Übrigen verspricht auch eine Zentralisierung keinen sofortigen effektiven und wirksamen Datenschutzrechtsvollzug. Dass der Ruf nach „mehr Zentralisierung“ auf politischer Ebene dennoch laut wird, vermag aber nicht zu verwundern, da eine Zentralisierung auf den ersten Blick doch immer die schnellste und einfachste Lösung auf mitgliedsstaatlicher Vielfalt beruhender Probleme der Rechtsdurchsetzung zu sein scheint. Notwendig erscheint es indes hier gerade (noch) nicht, sofern die Europäische Kommission ihren rechtlichen Verpflichtungen entsprechend nachkommt und Irland endlich mit Nachdruck zum Handeln auffordert.


SUGGESTED CITATION  Bretthauer, Sebastian: Datenschutzvollzug vor Zentralisierung, VerfBlog, 2021/12/15, https://verfassungsblog.de/dsgvo-zentralisierung/, DOI: 10.17176/20211215-142429-0.

Leave A Comment

WRITE A COMMENT

1. We welcome your comments but you do so as our guest. Please note that we will exercise our property rights to make sure that Verfassungsblog remains a safe and attractive place for everyone. Your comment will not appear immediately but will be moderated by us. Just as with posts, we make a choice. That means not all submitted comments will be published.

2. We expect comments to be matter-of-fact, on-topic and free of sarcasm, innuendo and ad personam arguments.

3. Racist, sexist and otherwise discriminatory comments will not be published.

4. Comments under pseudonym are allowed but a valid email address is obligatory. The use of more than one pseudonym is not allowed.