Für mehr Effizienz bei der Nachverfolgung – die DSGVO wird nachgebessert

Die Datenschutz-Grundverordnung konnte in der Vergangenheit ihre volle Wirkung oftmals nicht entfalten, da die nationalen Umsetzungen unterschiedlich ausgefallen waren.

Um die Effizienz der nationalen Datenschutz-Aufsichtsbehörden bei der grenzüberschreitenden Aufklärung von Datenschutzverstößen zu optimieren, will die EU-Kommission nun nachschärfen. Dies ist nicht zuletzt ein Fingerzeig auf eine Insel im Atlantik. Denn immer wieder geraten die obersten Datenschützer Irlands in die Kritik, es an Zusammenarbeit mangeln zu lassen.

Hemmschuh Irland als Flaschenhals

Bekanntlich haben vor allem US-IT-Konzerne einen bevorzugten Ort für ihre europäischen Niederlassungen, da hier der Datenschutz-Gegenwind besonders kraftlos zu sein scheint. Bisher kam es innerhalb des Europäischen Datenschutzausschusses (EDSA) wiederholt zu Zwistigkeiten, wenn in diesem Gremium Entscheidungsvorlagen der in Irland ansässigen Data Protection Commission (DPC) behandelt wurden. Die Aufsichtsbehörde DPC ist eine Art Achillesferse des Datenschutzes in der EU – Kenner sprechen auch von einem „Flaschenhals“. Weil in Irland globale Firmen-Schwergewichte, wie Meta, Google, Apple oder Microsoft, ihren europäischen Sitz haben, muss sich die DPC den Vorwurf gefallen lassen, in ungebührlicher Nähe zu deren Interessen zu entscheiden. Denn andere Aufsichtsbehörden haben keinen direkten Einfluss auf der „Grünen Insel“. Sobald US-Megaunternehmen wegen Problemen mit dem Datenschutz im Rampenlicht standen, konnten sie sich auf eine gewisse Rücksichtnahme durch die DPC verlassen – insbesondere bei der Verhängung von Geldbußen für Datenschutzverstöße. Und dabei ging und geht es immer wieder um Summen in Dimensionen, die selbst für einen Internet-Giganten deutlich mehr als ein Taschengeld ausmachten. Mit einer rechtlichen Nachbesserung soll dieser Missstand nun europaweit behoben werden.

Offizielle Durchsetzung ist das Ziel

Die Brüsseler Gesetzgeber wollen eine DSGVO-Änderung durchsetzen, die eine spürbar höhere Effizienz in den Verwaltungs-Prozessen zum Ziel hat. Dies soll bereits 2023 umsetzbar sein. So sollen künftig Vorgänge in der Arbeit des EDSA beschleunigt ablaufen können. Bisher kam es hier regelmäßig zu umständlichen und langwierigen Abstimmungsverfahren, die zu keinem brauchbaren Ergebnis führten. Das bemängelte auch die irische Bürgerrechtsorganisation Irish Council for Civil Liberties (ICCL), die der EU-Kommission wiederholte Untätigkeit bei Versäumnissen irischen Datenschützern vorwarf. So gut wie alle bei der DPC auf dem Tisch liegenden Fälle von gesamteuropäischer Bedeutung harren noch immer einer Lösung. Deshalb hatten die irischen Bürgerrechtler bereits 2021 formell Beschwerde bei der Europäischen Bürgerbeauftragten erhoben. Darauf reagierten die Datenschutz-Oberen in der EU lediglich mit einer Aufforderung zu einer „intensiveren Zusammenarbeit“, die allerdings lapidar zur Kenntnis statt ernstgenommen wurde.

Kooperation muss effektiver werden

Wie in allen gesamteuropäischen Belangen ist auch beim Vorstoß zur DSGVO-Reform von der EU-Kommission kein schnelles Wunder zu erwarten – erfahrungsgemäß verhindern dies mächtige Lobbyisten. Der EU-Kommission liegt bereits eine Anforderungsliste der EDSA vor, die Impulse für verfahrensrechtliche Änderungen von Teilen der DSGVO liefert. Im Kern geht es darum, Verwaltungsakte harmonisch zu gestalten und klarere Lösungen in Streitfragen zu erreichen. Allerdings liegen dazu bislang keine belastbaren Details vor. Das Beispiel Irland zeigt eindeutig, dass ein EU-weites Gesetz nur dann seine Wirkung entfalten kann, wenn alle Partner mitziehen und sich nicht hinter nationalen Umsetzungen verstecken.