Viel Licht, aber auch viel Schatten: Zweiter Evaluierungsbericht der EU-Kommission zur DS-GVO

Geschrieben am 22.08.2024 von:

Dominik Piroth

Privacy Consultant | Datenschutzbeauftragter (TÜV)
zum Profil

Kontaktiere mich:

+49 (0) 261 – 9886236 44
E-Mail senden

In Art. 97 DS-GVO ist geregelt, dass bis zum 25.05.2020 und danach alle vier Jahre ein Bericht über die Bewertung und Überprüfung der DS-GVO von der EU-Kommission vorgelegt werden soll. Nachdem der erste Bericht 2020 erschienen ist, war es in diesem Jahr wieder so weit: Am 25.07.2024 legte die EU-Kommission ihren neusten Evaluierungsbericht vor. Nachfolgend ein kurzer Überblick über die wichtigsten Ergebnisse.

Generell stellt die EU-Kommission Probleme bei der Umsetzung der Vorgaben der DS-GVO fest. Der Bericht spricht von einem erheblichen Anstieg der Beschwerden bei den Datenschutzaufsichtsbehörden. Im Jahr 2022 wurden 6.680 Bußgelder mit einer Höhe von insgesamt 4,2 Milliarden Euro verhängt. Die meisten Sanktionen hat es in Deutschland (3.261) gegeben, gefolgt von Spanien und Litauen. Dies deutet darauf hin, dass trotz der Einführung der DS-GVO weiterhin erhebliche Schwierigkeiten bei der Einhaltung der Datenschutzvorgaben bestehen.

Einen weiteren großen Themenkomplex stellen die Angemessenheitsbeschlüsse gemäß Art. 45 ff. DS-GVO dar. Die EU-Kommission berichtet hier erfreulicherweise, dass eine Überprüfung des bestehenden Angemessenheitsbeschlusses für Japan ergeben hat, dass das zuvor attestierte angemessene Schutzniveau nicht nur aufrechterhalten werde, sondern sich vielmehr die Datenschutzrahmen der EU und Japans weiter annähern. Außerdem kündigt die EU-Kommission eine erste Überprüfung des Angemessenheitsbeschlusses für das EU-U.S. Data Privacy Framework für den Sommer 2024 an. Die Überprüfung des Beschlusses für das Vereinigte Königreich hingegen wird wohl erst gegen Ende 2025 erfolgen.

Auch die Verfahrensregeln für grenzüberschreitende Fälle werden thematisiert. Hier nimmt die EU-Kommission Bezug auf den bereits im Evaluierungsbericht 2020 festgestellten Optimierungsbedarf hinsichtlich der Effizienz und Einheitlichkeit der Bearbeitung solcher Fälle. Um Abhilfe zu schaffen, hatte die EU-Kommission im Juli 2023 einen „Vorschlag für eine Verordnung über Verfahrensregeln für grenzüberschreitende Fälle“ angenommen. Zwischenzeitlich haben hier sowohl das Europäische Parlament als auch der Rat der Europäischen Union entsprechende Änderungsvorschläge vorgelegt, welche nun zu einem gemeinsamen Text zusammengefasst werden müssen.

Besondere Bedeutung dürfte der Festlegung zusätzlicher Verfahrensregeln für grenzüberschreitende Fälle vor dem Hintergrund zukommen, dass die Anzahl von Fällen im Bereich Zusammenarbeit und Kohärenz laut des aktuellen Berichts der EU-Kommission stark zugenommen hat. Der Bericht führt unter anderem aus, dass sowohl die Nutzung der in Art. 60, 61 und 62 DS-GVO normierten Instrumente zur Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden der Mitgliedstaaten als auch die Anzahl an Kohärenzverfahren nach Art. 63 ff. DS-GVO gestiegen sind. So hat der Europäische Datenschutzausschuss (EDSA) 190 Kohärenzstellungnahmen angenommen (vgl. Art. 64 DS-GVO). Außerdem hat er neun verbindliche Entscheidungen im Streitbeilegungsverfahren erlassen (vgl. Art. 65 DS-GVO). Obwohl man dem Wachstum im Bereich Zusammenarbeit und Kohärenz ein positives Zeugnis ausstellen könnte, wünscht sich die EU-Kommission laut Bericht aber auch, dass die Datenschutzaufsichtsbehörden und der EDSA die in der DS-GVO vorgesehenen Instrumente für die Zusammenarbeit umfassender nutzen, damit die Streitbeilegung nur als letztes Mittel dient.

Schließlich zeigt der Bericht ebenfalls noch einige Defizite hinsichtlich der Unterstützung von Interessenträgern sowie diesbezügliche Optimierungsansätze auf. So empfinden Interessenträger die Leitlinien des EDSA zwar durchaus als nützlich, jedoch oft als zu theoretisch und zu lang. Des Weiteren ist aus dem Kreis der Interessenträger zurückgemeldet worden, dass die Datenschutzaufsichtsbehörden die „wichtigsten Datenschutzkonzepte“ nach wie vor abweichend auslegen, was als Haupthindernis für die einheitliche Anwendung der DS-GVO zu nennen ist. Auch besteht Optimierungsbedarf hinsichtlich der Verfahren zur Genehmigung von Verhaltensregeln im Sinne des Art. 40 DS-GVO oder von verbindlichen internen Datenschutzvorschriften im Sinne des Art. 47 DS-GVO.

Zusammenfassend zeigt der Evaluierungsbericht der EU-Kommission, dass trotz der Fortschritte bei der Umsetzung der DS-GVO noch erhebliche Herausforderungen bestehen. Die steigende Zahl von Beschwerden und Bußgeldern unterstreicht die Notwendigkeit, die Einhaltung der Datenschutzvorschriften in den Mitgliedstaaten zu verbessern. Positiv hervorzuheben sind jedoch die Fortschritte bei den internationalen Angemessenheitsbeschlüssen und die verstärkte Nutzung von Kooperationsinstrumenten zwischen den Datenschutzaufsichtsbehörden. Gleichzeitig besteht weiterhin Verbesserungsbedarf, insbesondere im Hinblick auf die einheitliche Auslegung und Anwendung der DS-GVO und die Unterstützung der Betroffenen. Es bleibt abzuwarten, wie die EU-Kommission und die zuständigen Gremien auf diese Herausforderungen reagieren werden, um die Datenschutzstandards in der EU weiter zu stärken und zu harmonisieren.


Zurück zu den News