DSGVO-Evaluationen

Die Europäische Kommission überprüft alle vier Jahre, ob die mit der DSGVO verfolgten Ziele erreicht werden. 

Gem. Art. 97 DSGVO fand die erste Überprüfung (Evaluation) bereits zwei Jahre nach Geltungsbeginn, zum 25. Mai 2020, statt. Die zweite Evaluation erfolgte im ersten vier-Jahresrythmus zum 25. Mai 2024. Die Ergebnisse der Evaluationen legt die Europäische Kommission dem EU-Parlament und dem Rat der Regierungen in einem Bericht vor. 

Der Bericht zur ersten Evaluation 2020 wurde am 24. Juni 2020)angenommen. Er befasste sich schwerpunktmäßig mit den Datenschutzvorschriften als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel. Ausgangspunkt dieser Bewertung und Überprüfung lag gemäß der Regelung in Art. 97 Abs. 2 DSGVO auf internationalen Datenübermittlungen und den Verfahren der Zusammenarbeit und Kohärenz. Trotzdem wurde in der Evaluation ein umfassenderer Ansatz verfolgt. Zwei Jahre nach Beginn ihrer Anwendung wird festgestellt, dass die DSGVO ihre Ziele, insbesondere die Stärkung des Grundrechts auf Schutz personenbezogener Daten innerhalb der EU erreicht hat. An einigen Stellen wurden Verbesserungsbedarfe deutlich, die mangels ausreihender Erfahrungswerte jedoch noch nicht zu Nachbessserungen führten. 

Wichtige Erkenntnisse:

• die Datenschutzbehörden haben in ausgewogener Weise von ihren verstärkten Abhilfebefugnissen wie Verwarnungen und Verweisen, Geldbußen und vorübergehenden oder endgültigen Einschränkungen für die Datenverarbeitung Gebrauch gemacht;
• die Datenschutzbehörden haben ihre Zusammenarbeit im Wege des Verfahrens der Zusammenarbeit und Kohärenz und der umfassenden gegenseitigen Amtshilfe ausgebaut, aber noch nicht in vollem Umfang von den Instrumenten Gebrauch gemacht, die die DSGVO bietet;
• die Bearbeitung grenzüberschreitender Fälle in der gesamten EU sollte noch effizienter gestaltet und harmonisiert werden;
• die Leitlinien des EDSA stellen einen wichtigen Bausstein zur harmonisierten Anwendung der DSGVO dar und sollten noch mehr praktische Beispiele enthalten;
• die personelle, finanzielle  und technische Ausstattung der Datenschutzbehörden ist von Mitgliedstaat zu Mitgliedstaat nach wie vor uneinheitlich und insgesamt noch nicht zufriedenstellend. Die Mitgliedstaaten werden daher aufgefordert, ihnen gemäß den Vorgaben der DSGVO angemessene Ressourcen zur Verfügung zu stellen.

Weitere Themen

• Befähigung jedes Einzelnen zur Kontrolle seiner Daten
• Möglichkeiten und Herausforderungen für Organisationen, insbesondere für kleine und mittlere Unternehmen
• Die Anwendung der DSGVO auf neue Technologien
• Ausarbeitung eines modernen Instrumentariums für internationale Datenübermittlungen
• Umsetzung und Ergänzung des Rechtsrahmens

Der Bericht zur zweiten Evaluation 2024 zur Anwendung der DSGVO gemäß Art. 97 DSGVO wurde am 25. Juli 2024 angenommen. Es wurde festgestellt, dass der risikobasierte, technologieneutrale Ansatz der DSGVO einen starken Schutz für betroffene Personen und angemessene Pflichten für Verantwortliche und Auftragsverarbeiter bietet. Der Bericht befasst sich u.a. mit den Erfahrungen aus den Initiativen, die von der Kommission auf der Grundlage der ersten Evaluation gestartet wurden. 

Ziele der Intitiativen waren

• die Schaffung eines sichereren Online-Umfelds,
• eine gerechtere und wettbewerbsfähigere digitale Wirtschaft,
• die Erleichterung bahnbrechender Forschung,
• die Sicherstellung der Entwicklung einer sicheren und vertrauenswürdigen künstlichen Intelligenz (KI) und
• die Schaffung eines echten Binnenmarkts für Daten.

Wichtige Erkenntnisse: 

• die Datenschutzbehörden legen die wichtigsten Datenschutzkonzepte weiterhin unterschiedlich aus;
• die Datenschutzbehörden haben umfassend von ihren Abhilfebefugnissen Gebrauch gemacht, auch wenn die Zahl der auferlegten Abhilfemaßnahmen in den einzelnen Behörden sehr unterschiedlich ist;
• das Kohärenzverfahren der DSGVO, wird von den Datenschutzbehörden zunehmend genutzt und die Mechanismen für die Zusammenarbeit und Kohärenz zwischen den nationalen Datenschutzbehörden zu prüfen und Verfahrensregeln zu verbessern;
• die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – sind weiter zu unterstützen;
• die Leitlinien der Datenschutzbehörden sollten klarer und praxisrelevanter bereitgestellt werden und das Ziel einer einheitlicheren Auslegung und Durchsetzung der DSGVO in der gesamten EU verfolgen;
• die meisten Datenschutzbehörden halten ihre Ermittlungsinstrumente für angemessen, einige benötigen jedoch zusätzliche Instrumente auf nationaler Ebene, z. B. angemessene Sanktionen für den Fall, dass die Verantwortlichen nicht kooperieren oder die erforderlichen Informationen nicht bereitstellen;
• unzureichende Ressourcen und fehlendes technisches und juristisches Fachwissen beeinträchtigt die Rechtsdurchsetzung.

Weitere Themen

• die Funktionsweise der internationalen Übermittlung personenbezogener Daten an Drittländer
• Schwierigkeiten bei der Bearbeitung einer hohen Zahl von Beschwerden
• Fragmentierung der nationalen Anwendung
• Rechte betroffener Personen
• Rolle der Datenschutzbeauftragten
• Digitalpolitik auf der Grundlage der DSGVO
• Rechtsrahmen zur Verbesserung des Datenaustauschs
• Internationale Datenübermittlungen, Angemessenheitsbeschlüsse und geeignete Garantien
• Internationale Zusammenarbeit

Festgestellte Aufgaben der Mitgliedstaaten:

• die wirksame und vollständige Unabhängigkeit der nationalen Datenschutzbehörden sicherstellen;
• den Datenschutzbehörden ausreichende Ressourcen zur Verfügung stellen, damit sie ihre Aufgaben erfüllen können, insbesondere indem ihnen die technischen Ressourcen und das Fachwissen zur Verfügung gestellt werden, die für den Umgang mit neuen Technologien und die Wahrnehmung neuer Aufgaben im Rahmen der Rechtsvorschriften im digitalen Bereich erforderlich sind;
• die Datenschutzbehörden mit den Ermittlungsinstrumenten ausstatten, die sie benötigen, damit sie die in der DSGVO vorgesehenen Durchsetzungsbefugnisse wirksam nutzen können;
• den Dialog zwischen den Datenschutzbehörden und anderen nationalen Regulierungsbehörden unterstützen, insbesondere denjenigen, die im Rahmen der neuen digitalen Rechtsvorschriften eingerichtet wurden.