Evaluierung der DSGVO: Erfolge, Herausforderungen und Empfehlungen

Die DSGVO ist mittlerweile fünfeinhalb Jahre alt. Seit der Einführung hat sich viel getan – vor allem in der Art der Datenverarbeitung, beispielsweise durch den Vormarsch von Künstlicher Intelligenz. Um auf solche Veränderungen zu reagieren, wurde durch den Artikel 97 eine regelmäßige Bewertung der DSGVO eingeführt.

Die erste Evaluierung war 2020 und ab dann folgt alle vier Jahre eine weitere Bewertung. Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht für 2024 bereits vorgelegt und zieht eine positive Bilanz, obwohl es einige Herausforderungen gibt.

Wir werfen einen genauen Blick auf den Bericht und zeigen sowohl positive Entwicklungen als auch Herausforderungen auf und fassen die Empfehlungen des EDSA zusammen. 

Der EDSA ist gemäß Art. 97 DSGVO verpflichtet, regelmäßig Berichte über die Umsetzung und Anwendung der DSGVO zu erstellen und diese der Europäischen Kommission, dem Europäischen Parlament und dem Rat vorzulegen. Die Bewertung durch den EDSA umfasst nicht nur die Prüfung der nationalen Umsetzung in den Mitgliedstaaten, sondern erstreckt sich auch auf die Zusammenarbeit zwischen den nationalen Datenschutzbehörden.

Die Grundlage dieser Evaluierung bilden die gesammelten Informationen von nationalen Datenschutzbehörden und anderen Quellen, wobei besonders Herausforderungen und Entwicklungen im Bereich des Datenschutzes in der EU berücksichtigt werden.

Der Bericht dient dazu, Transparenz über die Umsetzung und Anwendung der DSGVO in den Mitgliedstaaten der EU zu schaffen sowie die Effektivität und Konsistenz der DSGVO zu überwachen und zu verbessern. Innerhalb des Berichts kann der EDSA zudem Empfehlungen und Leitlinien für die Verbesserung der Umsetzung der DSGVO abgeben, die als Orientierungshilfe dienen. Politische Entscheidungsträger in der EU können diese Informationen nutzen, um gegebenenfalls politische Maßnahmen zu ergreifen oder Anpassungen vorzunehmen. 

Insgesamt zieht der EDSA ein sehr positives Fazit zu den ersten fünfeinhalb Jahren DSGVO und bestätigt eine erfolgreiche Anwendung des Gesetzes. Laut EDSA hat die Verordnung dazu beigetragen, Datenschutzprinzipien in der gesamten EU zu stärken, zu modernisieren und zu harmonisieren. Es wurde eine gesteigerte Sensibilisierung für Datenschutzrechte und -pflichten erreicht – sowohl bei den betroffenen Personen als auch bei öffentlichen und privaten Organisationen.

Zusätzlich haben Datenschutzbehörden ihre Untersuchungs- und Korrekturbefugnisse verstärkt genutzt und ihre Zusammenarbeit verbessert. Die DSGVO hat global an Sichtbarkeit gewonnen und dient oft als Vorbild für Länder außerhalb der EU bei der Überarbeitung oder Einführung von Datenschutzgesetzen.

Der EDSA hat 40 Leitlinien und Empfehlungen sowie 190 Konsistenzmeinungen verabschiedet, um grundlegende Bestimmungen der DSGVO zu klären und deren konsistente Anwendung durch die Aufsichtsbehörden sicherzustellen.

Auch mit der sich ständig entwickelnden technologischen Landschaft kann die DSGVO mithalten. Laut EDSA umfasst die DSGVO auch neue Technologien und bietet Rechtssicherheit, die Innovation antreibt und gleichzeitig personenbezogene Daten schützt. 

Trotz dieser Erfolge stehen wichtige Herausforderungen bevor. Besondere Schwierigkeiten ergeben sich für kleinere Akteure, insbesondere kleine und mittlere Unternehmen (KMU), die die Umsetzung der DSGVO als herausfordernd empfinden. Deshalb hat der EDSA einen Leitfaden spezifisch für KMU erstellt, um ihnen die DSGVO praxisnah und verständlich näher zu bringen.

Eine weitere Herausforderung besteht in der zunehmenden Komplexität der Themen und der Anzahl der Beschwerden, insbesondere im Zusammenhang mit neuen Rechtsakten wie dem Data Governance Act, dem Digital Services Act, dem Digital Markets Act und dem Vorschlag für eine Künstliche Intelligenz-Verordnung. Zusätzlich mangelt es an Harmonisierung in Bezug auf die Befugnisse der Aufsichtsbehörden unter den neuen Regulierungen.

Problematisch ist zudem, dass die Ressourcen der Aufsichtsbehörden und des EDSA nicht im gleichen Tempo mit ihren Verantwortlichkeiten wachsen. Laut EDSA mangelt es sowohl an menschlichen und technischen als auch an finanziellen Ressourcen, um den gestiegenen Anforderungen gerecht zu werden.

Zur Bewältigung dieser Herausforderungen betont der EDSA die Notwendigkeit einer effektiven und effizienten Zusammenarbeit zwischen den Datenschutzbehörden. Dabei können die bestehenden Instrumente der DSGVO potenziell dazu dienen, eine gemeinsame Datenschutzkultur und konsistente Durchsetzungspraktiken zu fördern. 

Trotz der Herausforderungen spricht sich der EDSA dafür aus, den Text der DSGVO derzeit nicht zu überarbeiten. Stattdessen ruft er die EU-Gesetzgeber und die Europäische Kommission dazu auf, für mehr Klarheit und Homogenität bezüglich der neuen Rollen und Befugnisse der Datenschutzbehörden zu sorgen. Die Mitgliedstaaten sollten sicherstellen, dass die Behörden ausreichend menschliche, technische und finanzielle Ressourcen haben.

Der EDSA empfiehlt der Kommission außerdem, die Verhandlungen über Angemessenheitsbeschlüsse zu entwickeln, zu erweitern und zu vervielfachen – insbesondere mit europäischen Ländern, die nicht Teil der EU sind, sowie mit anderen Drittstaaten und internationalen Organisationen, deren Rechtsrahmen im Wesentlichen dem der EU entspricht.

Die Verabschiedung des Berichts durch die Kommission ist für das zweite Quartal 2024 geplant.

Die fünfeinhalb Jahre seit der Einführung der DSGVO markieren eine Phase erheblicher Fortschritte im Datenschutz. Der Bericht des Europäischen Datenschutzausschusses für 2024 zeichnet ein positives Bild, würdigt die Stärkung und Modernisierung der Datenschutzprinzipien in der EU und betont die weltweite Anerkennung der DSGVO als Vorbild.

Trotz dieser Erfolge stehen jedoch Herausforderungen bevor, insbesondere im Hinblick auf die Anpassung an neue Technologien und Rechtsakte. Der EDSA appelliert an die Notwendigkeit einer effektiven Zusammenarbeit, ausreichender Ressourcen und empfiehlt, den Fokus auf Klarheit und Homogenität in Bezug auf Rollen und Befugnisse der Datenschutzbehörden zu legen. Die Zukunft der DSGVO hängt von einer kontinuierlichen Anpassung an die sich wandelnde Landschaft ab, um den Datenschutz in der EU weiterhin effektiv zu gewährleisten. 

European Data Protection Board (2023): „Contribution of the EDPB to the report on the application of the GDPR under Article 97 – 2023“, 15. Dezember 2023, https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-report-application-gdpr-under-article-97-2023_en, letzter Zugriff am 02. Januar 2024.

European Data Protection Board (2023): „EDPB: Application of the GDPR successful, but sufficient resources are necessary to tackle the challenges of the future“, 15. Dezember 2023, https://edpb.europa.eu/news/news/2023/edpb-application-gdpr-successful-sufficient-resources-are-necessary-tackle_de, letzter Zugriff am 02. Januar 2024.