Die EU verschärft künftig die Regeln zur Durchsetzung der Datenschutz-Grundverordnung. Neue Vorschriften sollen die Zusammenarbeit zwischen Datenschutzbehörden deutlich beschleunigen und stärken. Was das für Unternehmen, Aufsichtsbehörden und die Zukunft des Datenschutzes in Europa bedeutet, analysieren wir in diesem Artikel.
DSGVO 2.0? Hintergrund und Ziele der neuen EU-Verordnung
Im Juli 2023 legte die Europäische Kommission den Entwurf einer neuen Verordnung vor, um die Anwendung der Datenschutz-Grundverordnung (DSGVO) bei grenzüberschreitenden Fällen effizienter und konsistenter zu gestalten. Die Reform zielt insbesondere auf eine bessere Koordination zwischen den nationalen Datenschutzbehörden ab – ein Bereich, der in der Praxis häufig zu Verzögerungen und Rechtsunsicherheit geführt hat.
Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) aus dem Jahr 2022 betrug die durchschnittliche Verfahrenslaufzeit bei grenzüberschreitenden Fällen über 24 Monate – deutlich länger als von vielen Unternehmen erwartet. Die neuen Regelungen sollen diesem Missstand begegnen, indem sie einheitlichere Regeln für die Zusammenarbeit, konkretere Fristen sowie mehr Transparenz für betroffene Unternehmen einführen.
Was ändert sich konkret?
Die Verordnung zur Verbesserung der Durchsetzung der DSGVO führt mehrere entscheidende Änderungen ein:
- Fristen für die Zusammenarbeit: Nationale Behörden müssen innerhalb spezifischer Zeitrahmen auf Anfragen anderer Aufsichtsbehörden reagieren.
- Erhöhte Transparenz: Betroffene Unternehmen und Personen erhalten mehr Einblick in laufende Verfahren und deren Fortschritt.
- Verbindliche Struktur für Schlussfolgerungsentwürfe: Die federführende Behörde muss einen standardisierten Entwurf der Entscheidung vorlegen, bevor andere Behörden einbezogen werden.
- Wirkungsvolle Streitbeilegung: Der Mechanismus zur Streitbeilegung im EDSA wird effizienter gestaltet.
Ein wesentlicher Aspekt ist zudem die Vereinfachung der Kommunikation: Beschwerdeführer in grenzüberschreitenden Sachverhalten können künftig in ihrer eigenen Landessprache kommunizieren, was eine niedrigere Einstiegshürde schafft.
Relevanz für Unternehmen – von Multinationals bis KMU
Für Unternehmen bedeutet die neue Verordnung vor allem eines: Weniger Unsicherheit und schnellere Klarheit. Besonders große Konzerne mit Hauptsitz etwa in Irland oder Luxemburg – wo viele Tech-Konzerne wie Meta, Apple oder TikTok sitzen – standen in der Vergangenheit oft im Zentrum langwieriger Verfahren.
Für kleine und mittelständische Unternehmen (KMU) liegt der Nutzen jedoch insbesondere in planbareren Fristen und klareren Verfahrensschritten. Bislang musste häufig abgewartet werden, ob und wann eine Beschwerde weiter verfolgt wird – Prozesse konnten Jahre dauern. Ein vereinfachter Ablauf fördert hier nicht nur Vertrauen, sondern senkt auch potenzielle Rechtskosten.
Nach Angaben der irischen Datenschutzbehörde (DPC) waren 2023 allein 75 % der Beschwerden in grenzüberschreitenden Angelegenheiten tätigkeitsbezogen mit Unternehmen aus dem Technologiesektor. Verfahren wie gegen Meta (ursprünglich Facebook) dauerten teilweise über vier Jahre.
Datenschutzbehörden im Wandel: Anforderungen und Herausforderungen
Auch für die nationalen Datenschutzaufsichtsbehörden bedeutet die Reform einen Paradigmenwechsel. Sie sind künftig verpflichtet, innerhalb strenger Zeitrahmen zu kommunizieren und Entscheidungen transparenter zu gestalten. Das erfordert nicht nur verfahrenstechnische Anpassungen, sondern personelle und finanzielle Ressourcen.
Eine Studie des Centre for Information Policy Leadership (CIPL) von 2023 zeigt, dass viele Datenschutzbehörden – insbesondere in kleineren EU-Ländern – unterkapazitiert sind: 40 % der befragten Behörden gaben an, nicht über ausreichende Mittel zur Bearbeitung grenzüberschreitender Fälle zu verfügen.
Dementsprechend wird auch über eine bessere finanzielle Ausstattung der Behörden diskutiert. Die Europäische Kommission machte im Gesetzesentwurf deutlich, dass die Mitgliedstaaten für eine „angemessene Ressourcenausstattung“ ihrer nationalen Stellen Sorge tragen müssen.
Grenzüberschreitende Verfahren: Ein Praxisbeispiel
Ein prominentes Beispiel für die Komplexität der bisherigen Verfahren ist der Fall gegen TikTok in Bezug auf den Umgang mit Daten von Minderjährigen. Die federführende Behörde in Irland musste Rückmeldungen aus mehreren EU-Staaten abwarten; am Ende dauerte es 30 Monate bis zur finalen Entscheidung und einer Geldstrafe von 345 Millionen Euro.
Mit den neuen Regelungen wären viele dieser Schritte klarer geregelt und zeitlich gebunden gewesen. Rückmeldungen anderer Behörden hätten innerhalb von maximal 60 Tagen erfolgen müssen. Die betroffene Firma hätte zu einem früheren Zeitpunkt Stellung nehmen können, was die Planbarkeit erheblich verbessern würde.
Auch Startups, die ihre Geschäftsmodelle datenbasiert skalieren, profitieren von mehr Rechtssicherheit. Frühzeitige Rückmeldungen von Aufsichtsbehörden können Risiken minimieren und die Markteinführung beschleunigen.
Kritik und potenzielle Schwachstellen des Reformvorschlags
So ambitioniert die Reform auch ist – sie bleibt nicht ohne Kritik. Mehrere zivilgesellschaftliche Verbände und Datenschutzexperten monieren, dass die Verordnung stark auf Verfahrensfragen eingeht, aber kaum substanzielle Verbesserungen in der tatsächlichen Schutzwirkung für Betroffene bietet.
Die NGO noyb (None of Your Business) verweist in einem Statement auf das Risiko, dass strukturelle Schwächen – etwa asymmetrische Machtverhältnisse durch besonders einflussreiche nationalen Behörden – nicht behoben, sondern durch Fristen lediglich kaschiert werden.
Auch stellt sich die Frage, ob der reformierte Kooperationsmechanismus wirklich funktioniert, wenn der politische Wille in einzelnen Mitgliedsstaaten fehlt oder nationale Datenschutzstellen weiterhin unterbesetzt bleiben. Eine frostige länderübergreifende Zusammenarbeit könnte trotz klarer Fristen zu weiterhin stockenden Verfahren führen.
Was Unternehmen jetzt tun sollten
Auch wenn die Verordnung voraussichtlich erst 2026 in Kraft tritt, sollten sich datenschutzverantwortliche Stellen bereits jetzt vorbereiten. Denn eine bessere Durchsetzung bedeutet auch: Fehler und Versäumnisse werden schneller entdeckt und geahndet.
- Compliance-Strukturen überprüfen: Stellen Sie sicher, dass Prozesse zur Einhaltung der DSGVO dokumentiert und nachvollziehbar sind – besonders in grenzüberschreitenden Kontexten.
- Kommunikation vorbereiten: Entwickeln Sie standardisierte interne Abläufe für Anfragen von Aufsichtsbehörden und strukturieren Sie externe Kommunikation frühzeitig.
- Ressourcen einplanen: Kleine Teams sollten prüfen, ob sie die nötigen Kapazitäten für eine intensivere Interaktion mit nationalen und europäischen Datenschutzbehörden haben – inklusive Übersetzungsleistungen in mehreren Sprachen.
Ausblick: Mehr Klarheit mit (noch) mehr Verantwortung
Die neue Verordnung verspricht mehr Klarheit, Effizienz und Fairness bei der Durchsetzung der Datenschutz-Grundverordnung in Europa. Sie nimmt sowohl Unternehmen als auch Behörden stärker in die Pflicht – mit dem Ziel, endlich eine einheitlichere Anwendung des Datenschutzrechts über alle EU-Länder hinweg zu erreichen.
Ob sie langfristig zu einem echten Kulturwandel bei der Durchsetzung beiträgt, bleibt abzuwarten. Sicher ist jedoch: Unternehmen, die Datenschutz ernst nehmen, profitieren künftig doppelt – durch geringeres Risiko und mehr Vertrauen ihrer Kundschaft.
Welche Erfahrungen haben Sie mit DSGVO-Verfahren gemacht? Diskutieren Sie mit unserer Community in den Kommentaren und teilen Sie Ihre Sicht – wir freuen uns über einen regen Austausch!
