Vorschlag der EU-Kommission für die Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

 Relevanz für multinational agierende Unternehmensgruppen und Konzerne

Prof. Dr. Thorsten Behling, Timo Meisener

Das Bild zeigt eine stilisierte Weltkarte mit leuchtend blauen Kontinenten, auf denen ein Netzwerk aus verbundenen Punkten dargestellt ist – symbolisiert die globale Vernetzung und internationale Bedeutung der Verfahrensregeln DSGVO im Datenschutzrecht.

Blog: Technologie & Datenwirtschaftsrecht - Beitrag vom 17.07.2025
Die DSGVO sieht ein dezentrales Durchsetzungssystem im Falle von grenzüberschreitenden Fällen vor. Entsprechend erfordert dieses System in solchen Konstellationen eine Zusammenarbeit zwischen verschiedenen nationalen Datenschutzaufsichtsbehörden, wobei die Regelung dahingehender Verfahrensdetails bislang den einzelnen Mitgliedstaaten obliegt.

Um ein reibungsloses und wirksames Funktionieren der dahingehenden Kooperations- und Streitbeilegungsmechanismen zu gewährleisten, sollen auf europäischer Ebene nunmehr Regelungen hierzu erlassen und horizontal harmonisiert werden. Dabei steht auch der Umgang mit Beschwerden betroffener Personen in grenzüberschreitenden Fällen im Fokus, was gerade für multinational agierende Unternehmensgruppen und Konzerne von Relevanz ist. Denn das dahingehende Verfahren hat im Falle von Betroffenenbeschwerden unmittelbare Auswirkungen auf die involvierten Unternehmen (bspw., wenn diese personenbezogene Kundendaten gruppenweit verarbeiten). Welche Dimension entsprechende Beschwerden einnehmen können, zeigten bereits die Schrems I und II Entscheidungen des EuGH, da diese einen Datentransfer in die USA zeitweise rechtlich nahezu unmöglich machten. Daher sollen die geplante Verordnung zur DSGVO-Durchsetzung in diesem Blog-Beitrag daher näher beleuchtet werden.

1. Uneinheitliche Verfahrensvorgaben

Bislang fehlt es auf europäischer Ebene an prozessualen Vorgaben zur Zusammenarbeit von Datenschutzaufsichtsbehörden im Falle von grenzüberschreitenden Fällen. Insoweit ist es Sache der Mitgliedstaaten, Einzelheiten insb. der Verwaltungsverfahren festzulegen. Diese Ausgestaltung führt zu erheblichen Unterschieden bei den nationalen Verwaltungsverfahren und der Auslegung von Rechtsbegriffen im Rahmen der Verfahren zur Zusammenarbeit. Das Europäische Parlament forderte daher grundlegende Elemente eines gemeinsamen Verwaltungsverfahrens für die Bearbeitung von Beschwerden in grenzüberschreitenden Fällen.

2. Neue Verfahrensvorgaben durch die EU

Aus diesem Grund hat die EU-Kommission bereits im Juli 2023 ein Verfahren für einen VO-Vorschlag unterbreitet, mit der den festgestellten Defiziten begegnet werden soll. Zu diesem Vorschlag hat sich jüngst der Europarat geäußert und einen Anpassungsvorschlag des bestehenden Entwurfs unterbreitet.

3. Geringe Hürden für Betroffenenbeschwerden

Nach den vorgesehenen Vorgaben werden unter anderem verbindliche Vorgaben zur Zulässigkeit von Beschwerden betroffener Personen geschaffen. So soll bei solchen Beschwerden künftig die Angabe des Namens und der Kontaktdaten sowie eine Beschreibung des behaupteten DSGVO-Verstoßes sowie Informationen, die die Identifizierung des Verantwortlichen oder Auftragsverarbeiters ermöglichen, genügen. Entsprechend werden die Hürden zur Einreichung zulässiger Beschwerden, denen die Aufsichtsbehörden nachgehen müssen, denkbar niedrig gesetzt, was zu einer Steigerung aufsichtsbehördlicher Anfragen bei multinational agierenden Unternehmen führen könnte.

4. Anhörung von Unternehmen

Der aktuelle Verordnungsentwurf sieht zudem vor, dass die für die Ermittlung zuständige (sog. „federführende“) Aufsichtsbehörde eine betroffene Partei (z.B. ein Unternehmen) im Rahmen der Gewährung des rechtlichen Gehörs kontaktieren, ihr das vorläufige Ergebnis mitteilen und ihr Zugang zur Verwaltungsakte gewähren muss. Hierdurch soll die betroffene Partei Gelegenheit erhalten, ihre Sichtweise mitzuteilen und sich gegen die erhobenen Anschuldigungen zu verteidigen. Insoweit soll sich die federführende Aufsichtsbehörde in ihrer Entscheidung nur mit Vorwürfen befassen, zu denen die betroffenen Parteien Gelegenheit zur Stellungnahme hatten. Entsprechend sorgfältig gilt es dahingehende Anfragen zu beantworten, wobei insb. darauf zu achten ist, den Tatsachenstoff nicht zum eigenen Nachteil zu erweitern. Dies ist aufgrund der häufig offen gehaltenen Fragestellungen von Aufsichtsbehörden nicht immer leicht sicherzustellen, gilt es aber aus verfahrenstaktischen Gründen unbedingt zu beachten.

5. Vorgesehene Äußerungsfristen für Unternehmen

Für die Anhörung soll die Aufsichtsbehörde jeder betroffenen Partei eine angemessene Frist setzen, die nicht kürzer als drei Wochen, aber auch nicht länger als sechs Wochen betragen soll. Entsprechend bleibt den Unternehmen nur eine recht kurze Zeit, um die entsprechende Anfrage zu beantworten. Daher gilt Prozesse zu implementieren, die dies sicherstellen: Es muss klar sein, wo welche Informationen betreffend (internationale) Verarbeitungen liegen und welche Ansprechpartner auskunftsfähig sowie verfügbar sind. Dies erfordert auch entsprechende Vertretungsregeln für den Fall planmäßiger oder unplanmäßiger Abwesenheiten.

6. Frühzeitige Beilegung einer Beschwerde

Im Falle von Beschwerden im Zusammenhang mit der Umsetzung von Betroffenenersuchen besteht unter bestimmten Voraussetzungen die Möglichkeit, ein Beschwerdeverfahren frühzeitig beizulegen. Dies kommt insbesondere in Betracht, wenn die Behörde anhand von Belegen festgestellt hat, dass ein behaupteter Verstoß abgestellt wurde. Entsprechend empfiehlt es sich, bei der Ausgestaltung von Verarbeitungen mit einem nicht unkritischen grenzüberschreitenden Verarbeitungsbezug ein mögliches Ausweichszenario vorzusehen, um dahingehende Streitigkeiten nötigenfalls frühzeitig beilegen zu können. Letzteres kann etwa dann zweckmäßig sein, sollte eine Aufsichtsbehörde im Falle der Fortsetzung eines Drittlandtransfers eine Unterlassungsverfügung in Aussicht stellen. Zu der Frage, wie kritisch die Rechtslage in Bezug auf verschiedene Drittländer einzuschätzen ist, hat der Europäische Datenschutzausschuss verschiedene Rechtsgutachten eingeholt.

7. Fazit

Multinational agierende Unternehmensgruppen und Konzerne sollten sich auf die anstehenden Verfahrensregeln frühzeitig vorbereiten. Hierbei kann auf bestehende Prozesse im Umgang mit klassischen behördlichen Auskunftsersuchen aufgesetzt werden.

Das Wichtigste kurz zusammengefasst

  • Verfahren zum Umgang mit Datenschutzbeschwerden zu grenzüberschreitenden Sachverhalten sind bislang uneinheitlich geregelt. Dem soll mit einem aktuellen Verordnungsvorschlag begegnet werden.
  • Die geplante Verordnung sieht insbesondere sehr geringe Hürden für die Einreichung von Beschwerden durch betroffene Personen vor, was die Zahl zulässiger Datenschutzbeschwerden und daraus resultierender behördlicher Verfahren erhöhen könnte.
  • Es sollten Prozesse implementiert werden, um auf aufsichtsbehördliche Anfragen betreffend Beschwerden grenzüberschreitender Verarbeitungen kurzfristig und im erforderlichen Umfang antworten zu können. Ferner sollten bei Verarbeitungsbezügen zu kritischen Drittländern mögliche Ausweichszenarien vorgedacht werden, damit sich diese im Bedarfsfalle kurzfristig umsetzen lassen.

Symbolische Darstellung des Übergangs von 2025 zu 2026 mit Schalter und Glühbirne – Sinnbild für Änderungen bei der Markenanmeldung und neue Markenklassen ab 2026

Blog: Technologie & Datenwirtschaftsrecht
13. Ausgabe der Nizza-Klassifikation: Änderungen 2026 für Markenanmeldungen
Ab 2026 neue Klasseneinteilung für Marken – was ändert sich?
18.12.2025
Yves-Alexander Wolff

Illustration aus leuchtenden, digital vernetzten Zahnrädern auf dunklem Hintergrund, die den Digital Package on Simplification symbolisieren.

Blog: Technologie & Datenwirtschaftsrecht
Das avisierte „Digital Package on Simplification“ der EU-Kommission
Mögliche Auswirkungen auf Datenschutz, KI und Tracking
13.11.2025
Thorsten Behling, Timo Meisener

Futuristischer humanoider Roboter mit sichtbaren Schaltkreisen und Kabeln, dessen Gesicht mit der Flagge der Europäischen Union (blaue Fläche mit gelben Sternen) überlagert ist; Symbolbild für die Regulierung von künstlicher Intelligenz und den EU AI Act in Europa.

Blog: Technologie & Datenwirtschaftsrecht
EU AI Act: Was die KI-Verordnung wirklich bedeutet – Überblick & Praxisleitfaden
19.08.2025
Yves-Alexander Wolff

Abstrakte Darstellung von Cybersicherheit mit einem roten Vorhängeschloss-Symbol auf einem digitalen Hintergrund aus leuchtenden blauen und roten Datenleitungen und Schaltkreisen.

Blog: Technologie & Datenwirtschaftsrecht
KI-Trainingsdatensätze als geistiges Eigentum? Schutzfähigkeit und Schutzlücken von Trainingsdaten und Datensätzen
08.07.2025
Yves-Alexander Wolff

Nahaufnahme von Händen auf einer Computertastatur mit digital eingeblendeten Icons zu IT-Sicherheit, wie ein Schloss, Dokumente, Server und mobile Geräte – Darstellung von moderner Cybersicherheit im Geschäftsalltag.

Blog: Technologie & Datenwirtschaftsrecht
Der Schutz von Geschäftsgeheimnissen im Zeitalter der KI: Rechtliche Herausforderungen und strategische Ansätze
15.05.2025
Yves-Alexander Wolff

Person ist untereinen Berg von Akten (Zetteln) begraben. Die rechte Hand sticht aus den Akten heraus und streckt sich nach oben

Blog: Handelsrecht
Massenhafte, automatisierte DSGVO-Auskünfte aus ganz Deutschland?
Neues Online-Portal führt zu massenhaften DSGVO-Auskunftsersuchen - und trifft viele unbeteiligte Unternehmen
19.03.2025
Albrecht von Wilucki
Links

Anwälte
Kompetenzen
Blog
Karriere
Partnerschaft
Veranstaltungen

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB