Die EU-Kommission hat am 25. Juli 2024, sechs Jahre nach Wirksamwerden der Datenschutz-Grundverordnung, ihren Bericht zur Anwendung und Wirkung dieses grundlegenden Rechtsaktes zum Schutz personenbezogener Daten vorgelegt. Der Bericht nimmt insbesondere die Anwendung und Durchsetzung der DS-GVO in den Blick und betrifft damit die Datenschutzaufsichtsbehörden der Mitgliedstaaten. Einige Einschätzungen der Kommission gehen an der Sache vorbei. Dagegen decken sich die Empfehlungen der Kommission zur Verbesserung der Kommunikation mit den Verantwortlichen weitgehend mit der bereits gelebten Praxis des Landesdatenschutzbeauftragten in Rheinland-Pfalz.
Der EU-Kommission ist darin zuzustimmen, dass die inhaltlichen Vorschriften der Datenschutz-Grundverordnung zu Datenverarbeitungen und Betroffenenrechten in ihrer Konkretisierung durch Rechtsprechung und Behörden funktionieren. Es ist daher nachvollziehbar, die wenigen denkbaren Änderungen etwa zur stärkeren Stufung von Anforderungen an Verantwortliche mit unterschiedlichen Geschäftsmodellen nicht zum Anlass einer Änderung der Datenschutz-Grundverordnung zu nehmen. Wenn man diese Büchse der Pandora öffnet, steht eine Lobbyschlacht zu befürchten, die dem Datenschutz mehr schadet als nutzt.
An der Anwendung der Vorschriften durch die Behörden und damit der Durchsetzung gilt es weiter zu arbeiten – aber an anderen Stellen als es die Kommission meint. Prof. Dr. Dieter Kugelmann stellt klar: „Als Leitung des Arbeitskreises DSK 2.0 der Datenschutzkonferenz kann ich nur hervorheben, wie erfolgreich die Arbeit zur Harmonisierung der Tätigkeiten der deutschen Aufsichtsbehörden war und ist. Wir arbeiten eng und effektiv in der Datenschutzkonferenz zusammen – anders als es viele glauben machen wollen und es die EU-Kommission wohl annimmt. Die von der Kommission behauptete Vielfalt in der Anwendung der Datenschutz-Grundverordnung gibt es in Deutschland so nicht. Meinungsunterschiede zwischen den Behörden werden identifiziert und wenn möglich ausgeräumt. In der Datenschutzkonferenz sind nicht nur Verfahren zu Konsensfindung und gemeinsamem Vorgehen etabliert, sondern alle haben auch die Bereitschaft und den Willen zur Kooperation.“
Die EU-Kommission regt in ihrem Bericht auch an, dass die Datenschutzaufsichtsbehörden verstärkt dialogisch und beratend vorgehen sollen. Dies ist bereits gelebte Realität in der Arbeit des Landesdatenschutzbeauftragten in Rheinland-Pfalz. Dazu Prof. Kugelmann: „Wir betreiben proaktiven Datenschutz, wo immer es geht. Unsere Forderung, Datenschutz früh mitzudenken, funktioniert nur, wenn wir auch früh helfen können. Wir beraten Verantwortliche vor der Implementierung von Systemen, um ein datenschutzkonformes Arbeiten der Systeme von Anfang an sicherzustellen. Das einzige Hindernis sind unsere begrenzten Ressourcen. Aber die Grundhaltung bleibt: Der beste Datenschutzverstoß ist der, der gar nicht erst passiert.“