Ein Überblick über die Pläne für eine EU-Verordnung zur effektiveren Vollstreckung der DSGVO
Von Dr. Isabelle Brams und Tim Wybitul
Auch wenn die EU-Datenschutzbehörden mittlerweile regelmäßig Rekordbußgelder gegen Unternehmen verhängen, sind die EU-Kommission und die Behörden der Ansicht, dass es derzeit Defizite bei der Durchsetzung des Datenschutzrechts sowie der Sanktionierung von Datenschutzverstößen bei grenzüberschreitenden Sachverhalten gibt. Die EU-Kommission hat daher am 4. Juli 2023 den Entwurf für eine neue EU-Verordnung veröffentlicht, die sich auf die Verhängung von Bußgelder nach der EU-Datenschutz-Grundverordnung („DSGVO“) bezieht (sog. „Enforcement-Verordnung“). Konkret zielt die Enforcement-Verordnung insbesondere auf eine Vereinheitlichung von Sanktionsverfahren bei grenzüberschreitenden Datenverarbeitungen ab. Zudem sieht die geplante Enforcement-Verordnung weitreichende Beteiligungs- und Akteneinsichtsrechte für Beschwerdeführer vor.
Der vorliegende Beitrag gibt einen Überblick über die Hintergründe und wesentlichen Inhalte dieses – bislang noch in der Öffentlichkeit weitgehend unbeachteten – Gesetzesvorhabens. Zudem zeigt der Beitrag mögliche Risiken, die sich für Unternehmen infolge der Enforcement-Verordnung ergeben könnten.
I.    Worum geht es?
Datenschutzverstöße sind häufig nicht nur auf einen EU-Mitgliedstaat begrenzt. Bei der Sanktionierung entsprechender Verstöße sind dann auch oft mehrere Datenschutzaufsichtsbehörden beteiligt. Sie entscheiden dann im Rahmen von sog. Kooperationsverfahren über die Sanktionierung des Unternehmens. Die Zuständigkeit für die Leitung und Organisation entsprechender grenzüberschreitender Verfahren liegt bei der für das Unternehmen zuständigen federführenden Aufsichtsbehörde (Lead Supervisory Authority – „LSA“), sog. „One-Stop-Shop“-Mechanismus.
Unter anderem aufgrund der unterschiedlichen Verfahrensregelungen in den einzelnen Mitgliedstaaten sind grenzüberschreitende Verfahren oftmals sehr komplex und zeitintensiv. Dies gilt umso mehr, wenn sich die LSA und die anderen an dem Verfahren beteiligten Aufsichtsbehörden (Concerned Supervisory Authortities – „CSAs“) nicht auf ein einheitliches Vorgehen einigen können und den Europäischen Datenschutzausschuss („EDSA“) im Rahmen eines sog. Kohärenzverfahrens um den Erlass einer abschließenden Entscheidung bitten. Der EDSA erlässt dann einen verbindlichen Streitbeilegungsbeschluss nach Art. 65 DSGVO.
Die EU-Kommission beabsichtigt, die entsprechenden Verfahren und Prozesse zukünftig zu vereinheitlichen und hierdurch effizienter zu gestalten. Hierdurch verspricht sich die EU-Kommission eine schnellere – und vor allem schärfere – Sanktionierung von Unternehmen. Dazu soll unter anderem die Rolle der CSA und des EDSA gestärkt werden.
II.   Welche Regelungen sieht die Enforcement-Verordnung konkret vor?
Nachstehend fassen wir die wesentlichen Elemente der Enforcement-Verordnung zusammen. Dieser Überblick berücksichtigt bereits die – teils sogar noch weitergehenden – Vorschläge von Vertretern des EU-Parlaments.
1.    Auswirkungen auf „One Stop Shop“-Mechanismus
Die Enforcement-Verordnung dürfte insbesondere zu einer erheblichen Verschiebung von Kompetenzen von der LSA hin zu den CSAs und dem EDSA führen. Nach dem derzeitigen Entwurf könnten die CSAs den EDSA beispielsweise bereits in sehr einer frühen Phase von grenzüberschreitenden Verfahren um eine verbindliche Entscheidung ersuchen – und nicht erst im Rahmen von Kohärenzverfahren. Dies gilt etwa dann, wenn die LSA und die beteiligten Behörden keine Einigung über den Umfang der Untersuchung erzielen können. Der EDSA kann nach den Vorschlägen der Enforcement-Verordnung in diesem Fall eine Dringlichkeitsentscheidung nach Art. 66 DSGVO erlassen. Hierdurch könnte der EDSA direkten Einfluss auf den Umfang der Untersuchung nehmen. Da der EDSA in der Vergangenheit eine eher verbraucherfreundliche Position vertreten hat, könnte dies zu einer weiteren Verschärfung der Sanktionspraxis auf EU-Ebene führen.
2.    Ausweitung der Rechte von Beschwerdeführern
Die Enforcement-Verordnung sieht eine Ausweitung der Beteiligungsrechte von Beschwerdeführern vor. Dies gilt etwa für das Recht auf rechtliches Gehör und Einsichtsrechte. So sollen Beschwerdeführer beispielsweise Zugriff auf eine sog. gemeinsame Fallakte erhalten, in der die einzelnen Verfahrensschritte dokumentiert sind.
Nach dem derzeit vorliegenden Entwurf sollen die genannten Regelungen nicht nur für Beschwerdeführer selbst, sondern auch für Verbraucher- und Datenschutzorganisationen gelten, die Beschwerdeführer in entsprechenden Beschwerdeverfahren vertreten. Auf Basis dieser weitgehenden Beteiligungs- und Einsichtsrechte würde es beispielsweise für spätere Kläger in Schadensersatzprozessen voraussichtlich deutlich einfacher, sich Informationen zu verschaffen, die sie in anschließenden Zivilverfahren gegen Unternehmen nutzen könnten.
3.    Beschränkung von Verteidigungsrechten
Zudem sieht die Enforcement-Verordnung weitgehende Beschränkungen der Verfahrensrechte von beschuldigten Unternehmen vor. Beispielsweise soll die Länge von Schriftsätzen und sonstigen Stellungnahmen auf voraussichtlich 20 bis 30 Seiten beschränkt werden. Erfahrungsgemäß lassen sich die relevanten Angaben zum Sachverhalt und Rechtsausführungen kaum auf so wenig Raum sinnvoll darstellen. Es erscheint vor diesem Hintergrund fraglich, ob der Vorschlag der EU-Kommission in dieser Form mit den Vorgaben der Justizgrundrechte in der EU-Grundrechtecharta vereinbar ist.
4.     Beschränkung von Verständigungen
Überdies schränkt die Enforcement-Verordnung die Möglichkeit von Unternehmen ein, Verständigungen mit dem Beschwerdeführer zu vereinbaren. So sehen beispielsweise die Vorschläge des EU-Parlaments vor, dass Verständigungen nur zulässig sind, wenn das Unternehmen die in Rede stehenden Datenverarbeitungen zugunsten des Beschwerdeführers abändert oder einstellt. Zugleich stellt die Enforcement-Verordnung klar, dass Aufsichtsbehörden auch nach einer erfolgten Verständigung das Verfahren von Amts wegen (ex-officio) fortführen oder neu aufrollen dürfen.
III.    Wie geht es weiter?
Das EU-Parlament wird voraussichtlich Anfang Februar 2024 über die mögliche Annahme der Enforcement-Verordnung entscheiden. Sollte das EU-Parlament die Enforcement-Verordnung annehmen, schließen sich Verhandlungen mit dem Ministerrat an. Es ist nach derzeitigem Stand offen, ob die entsprechenden Verhandlungen vor der Europawahl im Juni 2024 abgeschlossen sein werden. Selbst wenn dies nicht der Fall sein sollte, hätte eine entsprechende Verordnung voraussichtlich eine Signalwirkung auch für die neue Legislaturperiode des EU-Parlaments. Es ist daher denkbar, dass der EU-Gesetzgeber die Enforcement-Verordnung – in der geplanten oder einer angepassten Form – auch nach den Europawahlen weiter vorantreiben könnte.
IV.   Worauf müssen sich Unternehmen einstellen?
Aufgrund der geplanten Kompetenzverschiebung ist es sehr wahrscheinlich, dass die Aufsichtsbehörden schneller und mit weniger Abstimmungsaufwand hohe Geldbußen gegen Unternehmen verhängen könnten. Unternehmen mit einem hohen Umsatz und grenzüberschreitenden Geschäftsmodellen dürften hierbei insbesondere im Fokus der Behörden stehen.
Unternehmen müssen sich daher künftig darauf einstellen, dass die Verteidigung in DSGVO-Bußgeldverfahren noch komplexer und aufwendiger werden. Diese Entwicklung zeichnet sich auch anhand der aktuellen Rechtsprechung des EuGH bereits heute ab. Dies zeigt sich etwa an zwei aktuellen Entscheidungen zu DSGVO-Bußgeldern (C-807/21 und C-683/21). Daher sind Unternehmen, die sich mit entsprechenden Verfahren konfrontiert sehen, gut beraten, bereits frühzeitig Verteidigungsstrategien zu entwickeln, um sich gegen Vorwürfe von Behörden effektiv zu verteidigen. Hierzu zählen insbesondere prozessuale Aspekte. Wie die aktuellen Entwicklungen anschaulich zeigen, werden die prozessualen Anforderungen für Bußgeldverfahren zunehmend komplexer. Diese Komplexität und die daraus folgende Rechtsunsicherheit kann für Unternehmen aber auch gute Verteidigungsmöglichkeiten bieten. Die Erfahrung zeigt, dass nationale Gerichte unverhältnismäßigen Forderungen oder Rechtspositionen der Datenschutzbehörden bei einer effektiven Verteidigung durchaus auch Absagen erteilen.
* * *
Die Verfasser dieses Blogbeitrags sind Rechtsanwälte in der Privacy & Cyber Gruppe von Latham & Watkins LLP. Sie verteidigen regelmäßig Unternehmen gegen DSGVO-Bußgelder bis hin zum EuGH. Weitere Informationen dem aktuellen Verfahren C-807/21 sowie einen entsprechenden Faktencheck zu den Folgen dieser EuGH-Entscheidung finden Sie hier: https://www.linkedin.com/pulse/faktencheck-eugh-urteil-zu-dsgvo-bu%C3%9Fgelder-c-80721-tim-wybitul-knyde/
Weitere Beiträge zur Verteidigung von Unternehmen gegen DSGVO-Geldbußen und -Schadensersatzansprüche sowie zu anderen datenschutzrechtlichen Praxisthemen finden Sie unter https://www.lathamgermany.de/category/data-privacy/.