Die EU hat eine weitere Etappe auf dem Weg zu einer effizienteren Aufsicht über die Datenschutzgrundverordnung (DSGVO) abgeschlossen. Mit der finalen Verabschiedung des EU-Rates von Regeln zur besseren DSGVO-Durchsetzung am 17.11.2025 reagiert der Gesetzgeber auf ein strukturelles Problem, das die Durchsetzung der DSGVO seit Jahren belastet. Hintergrund sind die langwierigen und teils widersprüchlichen Abläufe bei grenzüberschreitenden Verfahren.
Verfahren über Jahre in grenzüberschreitende Fälle
Die Durchsetzung einheitlicher Datenschutzstandards stockt schon lange bei grenzüberschreitenden Sachverhalte. Der sogenannte One-Stop-Shop-Mechanismus bestimmt, dass die federführende Datenschutzaufsichtsbehörde am Sitz des betroffenen Unternehmens zuständig ist. Diese soll mit den anderen betroffenen Aufsichtsbehörden zusammenarbeiten. In der Praxis ist die Kooperation jedoch durch national unterschiedliche Verwaltungsverfahren und unklare Zuständigkeiten geprägt, sodass sich Fälle häufig um Jahre verzögern oder sogar komplett unbearbeitet bleiben.
Der Problemschwerpunkt liegt dabei bei Verfahren gegen die großen in Irland ansässigen Digitalkonzerne. Die federführende irische Datenschutzbehörde steht seit Jahren in der Kritik, fahren künstlich in die Länge zu ziehen und zu wohlwollend zugunsten der Tech-Giganten zu entscheiden. In diesem Zusammenhang wurde erst kürzlich bemängelt, dass eine ehemalige Meta Lobbyistin nun die neue irische Datenschutzbeauftragte ist.
Bisheriges Gesetzgebungsverfahren
Deshalb hat die EU-Kommission im Juli 2023 eine Reform vorgeschlagen. Das EU-Parlament hatte im April 2024 dann bekannt gegeben, dass sich seine Mitglieder auf eine Position zu neuen Verfahrensregeln geeinigt haben. Im Juni dieses Jahres haben EU-Rat und EU-Parlament dann eine vorläufige Einigung über die Gesetzesänderung erzielt. Die Änderung der Vorschriften soll nun zu beschleunigten Verfahren und einer verbesserten Kooperation zwischen den einzelnen Datenschutzbehörden führen.
Harmonisierung der Zulässigkeitsprüfung
Kernstück der nun verabschiedeten Reform ist die Einführung einheitlicher Kriterien für die Zulässigkeit grenzüberschreitender Beschwerden. Bislang konnten je nachdem, in welchem Mitgliedstaat eine Beschwerde eingereicht wurde unterschiedlich hohe Anforderungen gelten, was in der Praxis zu Ablehnungen führte, die von Beschwerdeführern nur schwer nachvollziehbar waren. Künftig müssen alle Behörden anhand identischer Informationen entscheiden, ob eine Beschwerde zulässig ist. Für Unternehmen bedeutet das eine klarere Ausgangslage und weniger nationale Interpretationsspielräume, die zu Rechtsunsicherheiten im Verfahren führen konnten.
Einheitliche Beteiligungsrechte
Neben der Harmonisierung der Zulässigkeit schafft die Verordnung einheitliche Verfahrensrechte für alle Beteiligten. Beschwerdeführer erhalten ein Informations- und Beteiligungsrecht, während Unternehmen künftig frühzeitig Einsicht in vorläufige Ermittlungsergebnisse bekommen und dazu angehört werden müssen. Dieser strukturierte Austausch soll verhindern, dass Verantwortliche erst spät im Verfahren Klarheit über die Bewertung der Aufsichtsbehörden erhalten. Für Unternehmen entsteht damit ein berechenbarer Prozess, der es leichter macht, Risiken zu erkennen und rechtzeitig auf kritische Bewertungen zu reagieren.
Vereinfachtes Verfahren für geringfügige Fälle
Um die Aufsichtsbehörden zu entlasten und Ressourcen auf komplexe Fälle konzentrieren zu können, sieht die Reform ein vereinfachtes Kooperationsverfahren vor. Wenn sich die beteiligten Behörden einig sind, dass eine Sache unkompliziert gelagert ist, kann das Verfahren abgekürzt und schneller abgeschlossen werden.
Verbindliche Fristen
Besonders relevant sind die neuen Fristenregelungen. Ein normales grenzüberschreitendes Verfahren darf in Zukunft maximal 15 Monate dauern. Nur bei außergewöhnlich komplexen Fällen kann diese Frist einmalig um weitere zwölf Monate verlängert werden. Für Fälle im vereinfachten Verfahren gilt sogar eine Höchstfrist von zwölf Monaten.
Kritik an den Vorgaben
Einigen Bürgerrechtlern reichen die Neuerrungen noch nicht. Noyb äußerte zum Beispiel Zweifel, da eine strukturelle Benachteiligung von Betroffenen gegenüber Unternehmen bestehe. Während datenverarbeitenden Unternehmen umfassende Mitwirkungs- und Anhörungsrechte eingeräumt würden, würden betroffenen Personen lediglich eingeschränkte und erschwerte Möglichkeiten bleiben. Damals erwog noyb ein Nichtigkeitsverfahren gegen den Entwurf für die DSGVO-Verfahrensverordnung vor dem Europäischen Gerichtshof einzureichen, falls der Entwurf in der Form von Mai verabschiedet worden sei. Ob durch die nun verabschiedete Reform eine Verbesserung aus Sicht der Datenschutzorganisation eingetreten ist, ist noch unklar.
Was passiert als nächstes?
Der aktuelle Ratsbeschluss bildet den Schlusspunkt des Gesetzgebungsverfahrens. Nach dem geplanten Inkrafttreten 20 Tage nach der Veröffentlichung im Amtsblatt, wird die Verordnung nach einer Übergangsfrist von 15 Monaten vollständig anwendbar sein.
Fazit
Mit der Verabschiedung von Regeln zur besseren DSGVO-Durchsetzung schafft die EU eine dringend benötigte Modernisierung des bisherigen Kooperationsmechanismus. Wer grenzüberschreitend tätig ist, sollte seine Datenschutzprozesse darauf vorbereiten, dass die Aufsichtsbehörden Verfahren künftig enger abgestimmt durchführen müssen.
