Die Europäische Kommission hat vorgeschlagen, grundlegende Änderungen an der bahnbrechenden Datenschutzgesetzgebung der Union vorzunehmen.
Das als Datenschutz-Grundverordnung (DSGVO) bekannte Gesetz definierte neu, was Datenschutz im 21. Jahrhundert bedeutet, und gab den Europäern das Recht, zu entscheiden, wer Zugriff auf ihre personenbezogenen Daten hat, Korrekturen zu verlangen und rechtliche Beschwerden einzureichen.
Außerdem wurde das mittlerweile berühmte „Recht auf Vergessenwerden“ gesetzlich verankert, auf dessen Grundlage Bürger ihre Daten dauerhaft aus dem Firmenregister löschen können.
Doch fünf Jahre nach ihrem Inkrafttreten ist das Erbe der DSGVO alles andere als makellos.
Regierungsbehörden, der Privatsektor, Befürworter des Datenschutzes und Organisationen der Zivilgesellschaft haben alle Bedenken hinsichtlich der Durchsetzung der Gesetzgebung geäußert, einschließlich der hohen Gebühren, die für die Einreichung eines Falles erforderlich sind, der unterschiedlichen Verfahren zwischen den Mitgliedstaaten und der langen Wartezeiten für eine Lösung.
Ein weiterer seit langem umstrittener Punkt ist das Verhältnis zwischen den Datenschutzbehörden (DPAs) der einzelnen Mitgliedstaaten.
„In fünf Jahren können wir über 711 endgültige Entscheidungen zählen, die von Datenschutzbehörden getroffen wurden. Das zeigt deutlich, dass die DSGVO gut durchgesetzt wird. Aber wir können es noch besser machen“, sagte Didier Reynders, EU-Justizkommissar, am Dienstag.
Nach der DSGVO liegt die Durchsetzung in der Zuständigkeit des Landes, in dem das Unternehmen seinen europäischen Hauptsitz hat. Die überwiegende Mehrheit der DSGVO-Fälle hat eine landesweite Dimension und betrifft nur eine einzige Datenschutzbehörde.
In bestimmten Fällen handelt es sich jedoch um einen Verstoß, der grenzüberschreitend ist und mehrere Behörden aufgefordert werden, einzugreifen. Diese Zusammenarbeit erwies sich oft als schwierig und kompliziert, was zu Verzögerungen und Rechtsstreitigkeiten zum Nachteil der Kläger führte.
Besonderes Augenmerk wurde auf die irische Datenschutzbehörde gelegt, die sich angesichts der zahlreichen in Irland vertretenen Big-Tech-Unternehmen mit den aufsehenerregendsten Fällen befassen muss.
Anfang dieses Jahres erzwang eine Meinungsverschiedenheit zwischen der irischen Datenschutzbehörde und anderen nationalen Behörden die Intervention des Europäischen Datenschutzausschusses (EDPB) in einem Fall gegen Meta, was zu einem Rekordverdächtige Geldstrafe im Wert von 1,2 Milliarden Euro.
Um diesen anhaltenden Spannungen entgegenzuwirken, hat die Europäische Kommission eine Verordnung vorgelegt, die eine gezielte Reform der Verfahrensregeln der DSGVO mit Schwerpunkt auf grenzüberschreitenden Klagen einführt.
Die vorgeschlagenen Verpflichtungen werden die führende Datenschutzbehörde dazu zwingen, die Behörden anderer betroffener Länder in den frühen Phasen des Prozesses einzubeziehen, um gemeinsam den Inhalt des Falles zu besprechen, einschließlich seines rechtlichen Umfangs, der möglichen Verstöße, der Beweiserhebung usw die Technikbewertung.
Diese Kommunikationslinie, so die Kommission, werde einen Konsens erleichtern und dazu beitragen, Streitigkeiten beizulegen, bevor sie außer Kontrolle geraten. Die neuen Regeln harmonisieren die Voraussetzungen für die Zulässigkeit grenzüberschreitender Fälle und garantieren, dass Bürger unabhängig von ihrer Nationalität in allen Mitgliedstaaten gleich behandelt werden.
Mit anderen Worten: Arbeiten Sie enger zusammen, um besser zu arbeiten.
„Wir versuchen hier, die DSGVO durch gemeinsame Regeln in grenzüberschreitenden Fällen besser durchzusetzen, die unterschiedlichen Regeln auf nationaler Ebene zu harmonisieren und sicherzustellen, dass früher als jetzt reagiert werden kann, weil es jetzt manchmal so ist.“ „Es dauert sehr lange, den Prozess bis zur endgültigen Entscheidung zu organisieren“, sagte Reynders.
Der Kommissar wies Forderungen nach einer umfassenden Überarbeitung des Gesetzes zurück und argumentierte, dass die Zeit für ein solches Gespräch zwischen den EU-Gesetzgebern noch nicht reif sei, und verteidigte das Prinzip des Herkunftslandes, das es den Bürgern ermöglicht, sich direkt an das Land zu wenden die Datenschutzbehörden in ihrer Muttersprache.
Die DSGVO sei ein „sehr kleines Kind“, sagte Reynders. „Es sind fünf Jahre vergangen und wir müssen weiterhin sehen, wie es möglich ist, die DSGVO immer besser durchzusetzen.“
„Im Moment wollen wir die Büchse der Pandora nicht wieder öffnen“, fügte er hinzu.
Aber es könnte eine Frage der Zeit sein, bis Brüssel erkennt, dass die DSGVO eine zentralisierte Instanz zusätzlich zu den nationalen Datenschutzbehörden erfordert, um Big Tech effektiv zur Rechenschaft zu ziehen, sagt Alexandre de Streel, Direktor des digitalen Forschungsprogramms am Centre on Regulation in Europe (CERRE).
„Diese Reform ist ein Schritt in die richtige Richtung, aber sie wird wahrscheinlich nicht ausreichen“, sagte de Streel in einem Interview mit Euronews. „Für Big Tech – also Unternehmen, die weltweit präsent sind – braucht es eine europäische Regulierungsbehörde. Es kann nicht einfach sein, dass nur das Herkunftsland die Aufgabe für alle Europäer übernimmt.“
Das Versäumnis bei der Durchsetzung der DSGVO, sagte de Streel, habe einen offensichtlichen Einfluss auf die Regulierung gehabt, die nach 2018 erlassen wurde, etwa den Digital Services Act (DSA) und den Digital Markets Act (DMA), die beide der Europäischen Kommission die höchste Priorität einräumen Rolle des Vorgesetzten.
Das Aufkommen von KI-gestützten Chatbots, die mit riesigen Datenbeständen trainiert werden, um selbst neue Aufgaben zu erlernen, verstärke die Notwendigkeit einer umfassenden Überarbeitung noch mehr, fügte der Wissenschaftler hinzu.
„Das Herkunftslandprinzip wurde für kleine Unternehmen geschaffen, die auf dem internationalen Markt expandieren wollten, und nicht für Unternehmen, die bereits expandiert haben. Das ist das große Missverständnis“, sagte de Streel und bezog sich dabei auf Giganten wie Meta, Apple, Amazon, Google und TikTok, deren Marktwert das BIP Irlands bei weitem übersteigt.
„Man kann sich nicht darauf verlassen, dass Irland der Richter über ganz Europa ist.“