Wer wissen will, was im europäischen Datenschutz gilt, der liest die Datenschutz-Grundverordnung. Seit fast sieben Jahren gibt das EU-Gesetz, abgekürzt als DSGVO, vielen Menschen neue Rechte. Etwa wenn sie ihre Daten von großen Online-Plattformen löschen lassen wollen, oder wenn sie sich woanders nicht aufzeichnen lassen wollen. Viele Länder haben sich von der DSGVO inspirieren lassen und eigene Datenschutzgesetze eingeführt.

Aber auch mit der DSGVO gab es in den vergangenen Jahren noch einige Probleme. Dafür gibt es viele Gründe: Behörden sind zu schlecht ausgestattet oder zögern zu sehr dabei, das Gesetz auch konsequent durchzusetzen.

Streit mit Irland

Besonders viele Querelen machte über lange Jahre die irische Datenschutzbehörde. Die ist im Gefüge der DSGVO sehr wichtig, denn viele große Online-Plattformen haben ihre EU-Sitze auf der grünen Insel. Da für die Aufsicht unter der DSGVO stets die Behörde des jeweiligen Sitzlandes von Unternehmen zuständig ist, läuft entsprechend viel in der irischen Steueroase zusammen.

Und diese Arbeit erledigte die irische Behörde lange Jahre eher schlecht als recht. Das meinten zumindest viele am Datenschutz Interessierte – etwa Ulrich Kelber, der ehemalige Bundesdatenschutzbeauftragte. Das Irish Council for Civil Liberties kritisierte die eigene Behörde gegenüber der EU-Kommission als „Flaschenhals“ für den europäischen Datenschutz.

Unklare Prozesse

Hinzu kommen praktische Probleme, wenn Behörden über EU-Grenzen hinweg zusammenarbeiten sollen. Denn die Regeln dafür, wie Behörden arbeiten, legen die EU-Länder selbst fest. Die DSGVO verpflichtet sie zwar dazu, zusammenzuarbeiten, legt aber keine genauen Regeln dafür fest, wie das passieren soll.

Was genau soll etwa eine Behörde tun, wenn sich eine Bürgerin über ein Unternehmen beschwert, das in einem anderen Land sitzt? Die Beschwerde direkt an die dortige Behörde weiterleiten oder zunächst versuchen, selbst so gut wie möglich weiterzuhelfen? Das sind zwar Detailfragen, die aber die sowieso schon komplexe Zusammenarbeit über Grenzen hinweg weiter verzögern können.

Hier gab es noch eine Menge nachzubessern. Das merkten auch die Datenschutzbehörden, die sich im Europäischen Datenschutzausschuss koordinieren, in einem Brief an den damaligen EU-Justizkommissar Didier Reynders im Jahr 2022 an. Dabei lieferten sie gleich eine ganze Liste an Vorschlägen mit, wie sich die Zusammenarbeit verbessern ließe.

EU will Details nachliefern

All das nahm die Kommission dankend an und goss es ein Jahr später in einen Entwurf – aber nicht für eine Änderung an der DSGVO, sondern für ein neues, eigenes Gesetz, die DSGVO-Verfahrensverordnung. Ihrem Namen entsprechend soll sie manche eher groben Regeln durch ein fein vorgegebenes Verfahrensuhrwerk ersetzen. Das soll wesentlich besser als vorher ineinandergreifen und so die DSGVO für alle Beteiligten – Beschwerende, Behörden, Unternehmen – vereinfachen.

Dafür will die Kommission etwa festlegen, wann DSGVO-Beschwerden als grenzübergreifend gelten und welche Behörde dafür zuständig ist, sie in eine bestimmte Sprache zu übersetzen. Außerdem soll die Verordnung genau auflisten, welche Informationen Behörden miteinander teilen müssen und wie sie sich auf ein gemeinsames Verständnis für Verfahren einigen sollen. Das soll nicht nur die Durchsetzung des Gesetzes verbessern, sondern auch verhindern, dass nationale Behörden wie die irische Aufsicht bis vor europäische Höchstgerichte ziehen, um datenschutzrechtliche Kompetenzbereiche zu klären.

Das Parlament beschloss seine Position zum geplanten Gesetz im vergangenen April, gefolgt vom Rat im Juni. Diese Vorschläge unterscheiden sich in einzelnen Punkten stark: Laut dem Parlament sollen alle an einem Verfahren Beteiligten dessen Dokumente einsehen können, der Rat will das einschränken. Das Parlament will eine gemeinsame Arbeitssprache etablieren, in der Behörden bei grenzübergreifenden Fällen arbeiten sollen. Der Rat will dagegen alle Vorschriften für Übersetzungen streichen.

Seit einigen Monaten verhandeln Kommission, Parlament und Rat im sogenannten Trilog über das Gesetz. Die Gespräche gestalten sich komplex. Es geht um Fristen für Verfahren nach verschiedenen Unterartikeln der DSGVO – wer hat wann wie lange Zeit, um sich zu Wort zu melden? Wann gibt es ein vereinfachtes Verfahren, wann muss wer wie angehört werden? Das alles sind nicht wirklich politische Diskussionen, sondern technische Fleißarbeit. Am Ende sollte möglichst ein sauberes und effizientes Verfahren stehen.

Eine handwerkliche Katastrophe?

Und genau dort setzt die Kritik an. Die ist nicht leise und sie kommt auch nicht von irgendwem, sondern von Max Schrems – dem Mann, der mit immer neuen Beschwerden gegen große Online-Plattformen die DSGVO inzwischen wahrscheinlich durchgespielt hat. Außerdem hat der österreichische Jurist schon zwei Mal Abkommen zu Datenflüssen zwischen EU und USA zu Fall gebracht und bereitet sich gerade darauf vor, dies ein drittes Mal zu tun.

Umso schwerer wiegen seine sehr harschen Worte an der Verfahrensverordnung. In einem heute veröffentlichten Statement bezeichnet er die Einigung, auf die die EU-Institutionen sich gerade hinzubewegen scheinen, als „verfahrenstechnischen Albtraum“. Statt die DSGVO handlicher zu machen, würde die Verordnung sie „verschlimmbessern“.

Das Problem sind für ihn nicht politische Kompromisse, sondern mangelnde Handwerkskenntnis. „Es gibt eine besondere Art von Jurist:innen, die sich mit Verfahrensrecht beschäftigen“, so Schrems. Dieses Know-How fehle hier. „Das ist so, als würde ich morgen Astrophysik praktizieren – das Ergebnis würde der Menschheit wahrscheinlich nichts nützen“, sagt der Datenschutzexperte.

Vergebenes Potenzial?

Die Verordnung hätte ein Gamechanger für die Grundrechte werden können, meint Schrems: „Stattdessen dürften den ohnehin schon überlasteten Behörden weitere nutzlose und übermäßig komplexe Verfahrensschritte vorgeschrieben werden.“ Das dürfte es noch schwerer machen, DSGVO-Rechte tatsächlich durchzusetzen, während Unternehmen mehr Rechtsunsicherheit, falsche Entscheidungen und mehr Bürokratie drohe.

Einige Dinge würde die Verordnung schon verbessern, meint Schrems im Gespräch mit netzpolitik.org. Dass sie irgendwelche Deadlines für Behörden vorschreiben soll, wäre schon einmal eine gute Sache. Aber: Während das Parlament Fristen von wenigen Monaten vorgeschlagen hatte, fordern die Mitgliedstaaten im Rat Fristen von über einem Jahr. Das sei viel zu lange.

Und auch ansonsten: Das Parlament habe in seiner Position zwar viel am Entwurf der Kommission verbessert, so Schrems. Im aktuell laufenden Trilog mit den anderen EU-Institutionen würde das Parlament aber viel zu viel davon aufgeben. Die Abgeordneten scheinen fast alle Ambition aufgegeben zu haben, beklagt er.

Ein Vorschlag aus einer anderen Zeit

Dem widerspricht Markéta Gregorová entschieden. Die letzte Piratin im EU-Parlament ist dort für die Verfahrensverordnung zuständig. Ihr Ziel sei es, dass alle Beteiligten schnelle Entscheidungen bekämen und Zugang zu wirksamen und praktischen Rechtsmitteln hätten, sagt sie zu netzpolitik.org. „Diese letzten zwei Elemente wären neue Anforderungen, die allein aus dem Entwurf des Parlaments hervorgehen.“ Gleichzeitig vereinfache der Entwurf das Verfahren für simple Fälle, ohne dabei die Position der Beteiligten zu schwächen.

Hier lässt sich der politische Hintergrund nicht ausblenden. Gregorová sitzt in der Fraktion der Grünen. Die brachten im vergangenen April ihren Entwurf zusammen mit Linken, Sozialdemokraten und Liberalen durch die Abstimmung im Plenum – aber ohne die Stimmen der Christdemokraten. Seit der Parlamentswahl im Juni geht das nicht mehr, weil die Parteien links der Mitte zu viele Stimmen verloren haben. Gregorová ist jetzt darauf angewiesen, dass die Christdemokraten mit ihr stimmen. Sie muss also wahrscheinlich auch einige Forderungen aufgeben, die es noch in den Parlamentsentwurf geschafft hatten.

DSGVO-Änderung wird kommen

Max Schrems würde die Arbeit an der Verordnung gerne für sechs Monate aufhalten und das Gesetz noch einmal von Anfang an überarbeiten. Das ist allerdings politisch unmöglich. Damit bleibt für ihn eine Alternative, wie er zu netzpolitik.org sagt: Das Parlament sollte gegen das Vorhaben stimmen und es so blockieren.

Für die DSGVO würde das aber nur eine kurze Ruhezeit bedeuten. Die EU-Kommission hat schon angekündigt, dass sie das Gesetz bald noch einmal aufbohren will. Dem neuen politischen Umfeld geschuldet soll es dabei aber nicht darum gehen, wie die Durchsetzung effektiver werden kann, sondern wie Regeln für kleine Unternehmen abgebaut werden können. Die Kommission will dieses sogenannte „Omnibus-Paket“ in den kommenden Monaten vorstellen. Ideen dafür stehen schon seit einer Weile im Raum.

Das sieht wiederum Gregorová sehr kritisch. Unternehmen hätten mehr Einheitlichkeit gefordert, keine neuen Verhandlungen zur DSGVO, sagt sie zu netzpolitik.org: „Ich hoffe deshalb, dass die Kommission mit der DSGVO nicht die Büchse der Pandora neu öffnet und so die gesetzliche Sicherheit gefährdet, die Menschen und Unternehmen brauchen.“