In einem Vermerk der litauischen Ratspräsidentschaft an die Mitglieder des Rates der europäischen Union vom 03. Oktober 2013 werden die Positionen der Mitgliedstaaten zu dem Prinzip der zentralen Anlaufstelle (one-stop-shop) der im Entwurf befindlichen Datenschutz-Grundverordnung (DS-GVO, KOM(2012) 11) zusammengefasst. Am kommenden Montag werden die Justiz- und Innenminister der Europäischen Union unter anderem auch hierüber diskutieren.
Um was geht es?
Mit dem in Art. 51 Abs. 2 DS-GVO vorgeschlagenen Prinzip der zentralen Anlaufstelle soll in Zukunft die Durchsetzung und Überwachung des Datenschutzrechts vereinfacht werden. Danach ist für Datenverarbeitungsvorgänge eines Verantwortlichen oder eines Auftragsdatenverarbeiters, der in mehreren EU-Mitgliedstaaten Niederlassungen besitzt, die Datenschutzaufsichtsbehörde desjenigen Mitgliedstaates alleine (!) zuständig, in dem sich die Hauptniederlassung des Verantwortlichen befindet. Nach Art. 4 Nr. 13 DS-GVO ist Hauptniederlassung der Ort der Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Das Prinzip hat damit sowohl eine Erleichterung für Unternehmen zur Folge, die sich dann nur noch einer Aufsichtsbehörde gegenüber sehen. Und auch die Rechte der betroffenen Personen sollen so (prinzipiell) besser durchsetzbar sein. Als Paradebeispiel könnte man hier etwa die Niederlassung von Facebook in Irland anführen, welche die Europazentrale des Unternehmens darstellt.
Kritik der Mitgliedstaaten
Aus dem Vermerk geht hervor, dass dieses Prinzip der zentralen Anlaufstelle zwar grundsätzliche breite Zustimmung erfährt. Die tatsächliche Ausgestaltung in ihrer derzeit geplanten Form jedoch von der Mehrheit der Mitgliedstaaten nicht befürwortet wird.
Beschwerden ja, Durchsetzung nein
So wird vorgebracht, dass zwar die Möglichkeit für betroffene Personen bestehen soll, nach Art. 73 Abs. 1 DS-GVO eine Beschwerde wegen einer unrechtmäßigen Datenverarbeitung bei jeder nationalen Datenschutzbehörde vorzubringen, also nicht nur bei der Aufsichtsbehörde der Hauptniederlassung. Aber eventuelle Maßnahmen und Sanktionen könnten dann dennoch nur durch diese Hauptaufsichtsbehörde vollzogen werden. Um am Beispiel von Facebook zu bleiben: Deutsche Nutzer könnten bei einer deutschen Datenschutzbehörde eine Beschwerde vorbringen, sich aus einer tatsächlich festgestellten Verletzung datenschutzrechtlicher Vorschriften ergebende Maßnahmen würden jedoch alleine durch die irische Datenschutzbehörde vorgenommen werden.
Gefahr für den Schutz der Betroffenen
Diese sich ergebende Schere zwischen Beschwerde und Durchsetzung sehen viele Mitgliedstaaten als eine Gefahr für die Datenschutzrechte der Betroffenen an. Denn für die Betroffenen ist die Nähe, also der kurze und effektive Kommunikationsweg, zur jeweiligen Aufsichtsbehörde von entscheidender Bedeutung. Dieser würde jedoch erschwert, wenn für die Durchsetzung ihrer Rechte und das entsprechende Verfahren eine ausländische Aufsichtsbehörde zuständig wäre. Zudem sollte es Betroffenen möglich sein, eine Entscheidung „ihrer“ Aufsichtsbehörde zu erhalten und diese Entscheidung dann eventuell vor den eigenen nationalen Gerichten anzufechten.
Lösungsvorschläge
Der Vermerk fasst einige durch die Mitgliedstaaten vorgebrachte Vorschläge zur Modifikation des Prinzips der zentralen Anlaufstelle zusammen, wobei hier nur auf einzelne eingegangen werden soll.
- Die Hauptaufsichtsbehörde könnte prinzipiell weiter allein zuständig sein, dennoch sollten einige Befugnisse nicht exklusiv durch sie ausgeübt werden. Gerade Überwachungs- und Kontrollbefugnisse bestimmter Datenverarbeitungsvorgänge könnten auch von nationalen Behörden ausgeführt werden, gerade wenn diese auf dem Gebiet ihres Mitgliedstaates stattgefunden haben.
- Bei Datenverarbeitungsvorgängen, die sich auf mehrere Mitgliedstaaten beziehen, könnte etwa ein Mitbestimmungsverfahren, unter Einbeziehung anderer nationaler Behörden eingeführt werden. Hier gäbe es zwar immer noch eine Hauptaufsichtsbehörde. Diese könnte Maßnahmen von über die nationalen Grenzen hinausgehender Bedeutung jedoch nicht mehr alleine, sondern nur in Abstimmung mit anderen Behörden, treffen. Zwar besteht ein ähnliches Verfahren für gemeinsame Maßnahmen bereits in Art. 56 DS-GVO. Jedoch ist dort nur das „Miteinander“ bei den Maßnahmen geregelt, also das Recht auf eine Teilnahme und nicht das Recht, selbst Maßnahmen zu treffen.
- Zudem sollten grundsätzlich die nationalen Behörden, bei denen eine Beschwerde eingegangen ist, mehr in den Entscheidungsprozess der zu treffenden Maßnahmen eingebunden werden. So würde dem für die Betroffenen wichtigen „Näheverhältnis“ zu ihrer Behörde Rechnung getragen und die oben beschriebene Schere etwas geschlossen.
- Bei der Beteiligung mehrerer Aufsichtsbehörden in einem Verfahren würden sich freilich nicht immer übereinstimmende Meinungen zum Vorgehen herausbilden. Hierzu könnte dann ein Verfahren bei dem einzurichtenden Europäischen Datenschutzausschuss (Art. 64 DS-GVO, ein Zusammenschluss aller nationaler Datenschutzbehörden und des Europäischen Datenschutzbeauftragen) eingeführt werden, in dem dieser eine abschließende Stellungnahme abgibt, ja eventuell sogar eine abschließende Entscheidung fällt (auch wenn er dazu dann mit entsprechender, bisher nicht vorhandener, rechtlicher Befugnis ausgestattet werden müsste).
Ausblick
Am Montag werden die Justizminister das oben beschriebene Prinzip und mögliche Änderungen beraten, jedoch noch nicht abschließend. Der Grundkonsens im Rat scheint zu sein, dass etwas geändert werden muss, um den Rechten der Betroffenen besser und vor allem praxistauglicher Geltung verschaffen zu können. Welche Variante dies sein wird, bleibt abzuwarten. Es zeigt sich jedoch auch, dass der Rat nicht unbedingt das Gesetze verwässernde und Verbraucherrechte fressende Europäische Organ ist, zu welchem er in der öffentlichen Debatte häufig gemacht wird. Vielmehr geht es bei diesen Vorschlägen vor allem um Effektivität und Durchführbarkeit. Dies ist zu begrüßen.