Zwei Möglichkeiten zur Verbesserung der DSGVO-Durchsetzung

Die DSGVO ist eine Verordnung der Europäischen Union und ihre Anforderungen sind in allen EU-Mitgliedstaaten gleich. Nach dem aktuellen Ansatz zur Durchsetzung der DSGVO ist jedoch die Datenschutzbehörde (DPA) jedes EU-Mitgliedstaats für die Auslegung und Durchsetzung der DSGVO verantwortlich. Dies liegt daran, dass es keine zentrale Durchsetzungsbehörde für die DSGVO gibt. Die EU setzt die DSGVO nicht durch; Es überträgt die Verantwortung auf jedes einzelne Land.

Darüber hinaus ist der EU-Mitgliedsstaat, der für die Durchsetzung der DSGVO gegen ein bestimmtes Unternehmen verantwortlich ist, der Staat, in dem das Unternehmen die größte Präsenz hat – auch wenn das Unternehmen auch in anderen Teilen der EU tätig ist. Dieser als „One-Stop-Shop“-Mechanismus bekannte Ansatz bedeutet, dass die Datenschutzbehörde in dem jeweiligen Mitgliedsstaat, in dem das Unternehmen seinen Hauptsitz hat, für die Durchsetzung von DSGVO-Verstößen in einem anderen Land verantwortlich ist.

Beispielsweise könnte Irland – wo sich die Hauptniederlassungen vieler großer Technologieunternehmen in der EU befinden – die DSGVO als Reaktion auf ein Problem mit personenbezogenen Daten von Bürgern in Schweden oder Polen durchsetzen müssen, falls ein Unternehmen deren Der Hauptsitz befindet sich in Dublin und ist auch in diesen anderen Ländern tätig.

Der aktuelle Ansatz zur Durchsetzung der DSGVO stellt Regulierungsbehörden und Unternehmen gleichermaßen vor große Herausforderungen.

Für die Datenschutzbehörden, die dem Europäischen Datenschutzausschuss Bericht erstatten, bedeutet das dezentralisierte Durchsetzungsmodell, dass jeder Mitgliedsstaat seine eigenen Durchsetzungsmaßnahmen aufrechterhalten muss, anstatt die administrativen und rechtlichen Bemühungen der Durchsetzung über eine zentrale Ressourcenstelle zu konsolidieren.

Darüber hinaus obliegt es dem dezentralen Modell den einzelnen Mitgliedsstaaten, die DSGVO-Anforderungen selbst auszulegen. Daher müssen die Regulierungsbehörden in einem Land möglicherweise Zeit investieren, um ein Problem der DSGVO-Auslegung zu beurteilen, das bereits von der Durchsetzungsbehörde eines anderen Landes geklärt wurde.

Gleichzeitig kann die Auslegung der DSGVO in einem scheinbar isolierten Prozess zu einer inkonsistenten Durchsetzung führen. Auch wenn bislang keine größeren Meinungsverschiedenheiten zwischen den verschiedenen Durchsetzungsbehörden festgestellt wurden, sind nuancierte Divergenzen in der Auslegung möglich – und wenn es um Compliance geht, kommt es oft auf Nuancen an. Wenn die Entscheidungen einer Durchsetzungsbehörde auch nur im geringsten im Widerspruch zu den Entscheidungen einer anderen Behörde stehen, kann es für Unternehmen schwierig sein, genau zu verstehen, wie eine DSGVO-Anforderung zu interpretieren ist.

Es gibt im Wesentlichen zwei Möglichkeiten, die aktuellen Schwierigkeiten bei der Durchsetzung anzugehen.

Zentralisierte DSGVO-Durchsetzung

Letztes Jahr schlug die EU neue Regeln für die Durchsetzung der DSGVO vor, was von einigen Beobachtern als Signal dafür gewertet wurde, dass sie eine Umstellung auf eine zentralisierte Durchsetzung plant – derzeit gibt es jedoch keine konkreten Anzeichen dafür, dass dies geschehen wird.

Eine zentralisierte Durchsetzung würde sicherlich zu mehr Effizienz und Konsistenz im Durchsetzungsprozess führen. Die Umsetzung kann jedoch Jahre dauern, und selbst wenn sie erst einmal umgesetzt ist, besteht die Gefahr, dass sich die Mitgliedstaaten über Durchsetzungsentscheidungen nicht einig sind, weil ein Mitgliedstaat möglicherweise Einwände gegen die Entscheidungen der zentralen Durchsetzungsbehörde hat.

Der andere vorhersehbare Ansatz besteht darin, dass die EU an ihrem derzeitigen dezentralen Ansatz zur Durchsetzung der DSGVO festhält, aber in Maßnahmen investiert, die die Durchsetzung konsistenter und effizienter machen würden.

Beispielsweise könnten Regulierungsbehörden die Mitgliedstaaten dazu ermutigen, Daten konsequenter miteinander auszutauschen. Derzeit gibt es keinen systematischen Prozess für die Durchsetzungsbehörden in einem Land, um zu erfahren, was ihre Kollegen in anderen Ländern tun, um gegen DSGVO-Verstöße durch ein bestimmtes Unternehmen vorzugehen. Die Möglichkeit einer effektiveren grenzüberschreitenden Zusammenarbeit würde die Effizienz der Durchsetzungsmaßnahmen verbessern (da die Regulierungsbehörden ihre Arbeit nicht so oft gegenseitig duplizieren müssten) und gleichzeitig für Konsistenz und Konsens bei der Auslegung der DSGVO sorgen.

Auch die Entwicklung klarerer Richtlinien zur DSGVO-Auslegung wäre hilfreich. Da es sich um einen prinzipienbasierten Rahmen handelt, kann die Interpretation der DSGVO überwältigend sein, was es für Unternehmen schwierig macht, die Vorschriften einzuhalten, und es für die Durchsetzungsbehörden in verschiedenen Ländern schwierig macht, festzustellen, wann ein Verstoß stattgefunden hat. Zentralisierte Interpretationshilfen in Form von Erläuterungen zu komplexen DSGVO-Anforderungen oder Beispielen für eine erfolgreiche Einhaltung würden dazu beitragen, eine einheitlichere und effizientere Durchsetzung der DSGVO zu gewährleisten, auch ohne eine zentrale Durchsetzungsbehörde.

Die DSGVO wird sich in den kommenden Jahren weiterentwickeln, wobei bei der Prüfung künftiger Änderungen die Durchsetzung im Vordergrund steht.

In vielerlei Hinsicht besteht die größere Priorität darin, einheitliche Durchsetzungsrichtlinien und -prozesse leichter zugänglich zu machen, anstatt das gesamte Durchsetzungsmodell zu überdenken. Dies wird für Unternehmen, die sich an die veränderten Durchsetzungspraktiken der DSGVO anpassen möchten, das zentrale Thema sein, das sie beachten müssen.