Die Datenschutz-Grundverordnung (GDPR) gilt seit ihrem Inkrafttreten als bedeutender Meilenstein für den Schutz personenbezogener Daten in Europa. Sie definiert einheitliche Standards, die Unternehmen und Behörden im Umgang mit sensiblen Informationen einhalten müssen. Ziel ist es, die Rechte von Verbrauchern zu stärken und die Kontrolle über die eigenen Daten zu gewährleisten. Doch aktuell steht dieser Fortschritt auf der Kippe, denn eine neue EU-Verordnung, die sog. Procedural Regulation, wird derzeit intensiv diskutiert – und zwar nicht ohne heftige Kritik von Datenschützern und Experten.
Diese neue Verfahrensverordnung soll eigentlich die bestehenden Abläufe bei der Umsetzung und Durchsetzung der GDPR harmonisieren und beschleunigen. Man könnte erwarten, dass damit Rechtsklarheit geschaffen und Prozesse effizienter gestaltet werden. Die Realität zeichnet jedoch ein anderes Bild: Statt weniger Komplexität drohen administrative Hürden und langwierige Abläufe, die die Handlungsfähigkeit der Datenschutzbehörden massiv einschränken. Die geplanten Änderungen sehen zahlreiche zusätzliche Verfahrensschritte vor. Anstelle einer zentralen digitalen Akte, in der alle relevanten Dokumente an einem Ort abrufbar sind, soll es in Zukunft einen fragmentierten Ansatz geben, bei dem Informationen auf über 40 nationale Datenschutzbehörden verteilt und manuell ausgetauscht werden müssen.
Dies verursacht enormen Mehraufwand und kostet Zeit und Ressourcen, die eigentlich für eine wirksame Prüfung und gegebenenfalls Sanktionierung eingesetzt werden sollten. Ein weiterer gravierender Kritikpunkt sind die vorgesehenen Fristen. Während die Europäische Kommission ursprünglich auf eine deutliche Verkürzung der Verfahrenslaufzeiten drängte, entsprechen die aktuell verhandelten Termine eher einer Verlängerung: Schon für die Planungsphase sind sieben Monate vorgesehen, hinzu kommen vier Monate für die Entscheidungsfindung und eine unbekannte, aber voraussichtlich sehr lange Dauer für die eigentliche Untersuchung. Dadurch kann die Gesamtdauer eines Verfahrens locker zwei bis drei Jahre oder sogar länger betragen. Zum Vergleich: Viele Mitgliedstaaten verfügen derzeit über Fristen zwischen drei und sechs Monaten, was im Gegensatz zu den neuen Plänen wie eine Lichtjahre entfernte Realität wirkt.
Die Folgen sind absehbar: Eine drastische Verzögerung bei der Durchsetzung von Datenschutzverletzungen wird die Glaubwürdigkeit der Self-Regulation und der europäischen Datenschutzpolitik schwächen. Betroffene Nutzerinnen und Nutzer verlieren zudem wertvolle Möglichkeiten, ihre Rechte zeitnah durchzusetzen. Die Erwartung, dass durch die neue Verordnung möglichst schnell Klarheit geschaffen und Zuständigkeiten geregelt werden, verkehrt sich damit ins Gegenteil. Zusätzlich zu den verfahrensbedingten Hindernissen wirft die geplante Regelung weitere schwere rechtliche Fragen auf. Vielfach wird bemängelt, dass sie zu einer strukturellen Ungleichbehandlung zwischen Unternehmen und Nutzern führt.
So können Unternehmen häufig in ihrem eigenen Land alle relevanten Unterlagen direkt von der zuständigen Datenschutzbehörde erhalten. Privatpersonen hingegen müssen sich oft mit der Zustellung von Dokumenten aus dem Ausland beschäftigen, ganz abgesehen davon, dass sie möglicherweise gar nicht wissen, welche Unterlagen existieren und wie sie Rechtsmittel einlegen können. Auch das Recht auf Anhörung zeigt hier eine deutliche Schieflage: Während Unternehmen in manchen Rechtsordnungen ein Ermessen für mündliche Anhörungen besitzen und somit ihre Argumente direkt vorbringen können, steht Nutzern oft nur die Option eines schriftlichen Stellungnahmeverfahrens offen. Diese Asymmetrie in der Behandlung sorgt nicht nur für eine Benachteiligung der schwächeren Partei, sondern könnte auch gegen Grundsätze des fairen Verfahrens verstoßen, wie sie im EU-Recht festgeschrieben sind. Die EU-Charta der Grundrechte, insbesondere Artikel 41 (Recht auf gute Verwaltung) und Artikel 47 (Recht auf ein faires Verfahren in angemessener Zeit), gilt es zu beachten.
Experten wie Max Schrems weisen darauf hin, dass die aktuelle Fassung der Verordnung vermutlich gegen diese Kernprinzipien verstößt, weil sie ungerechte Verfahrensbedingungen schafft und die Verfahrensdauer massiv ausdehnt. Es droht nicht nur eine lähmende Rechtsunsicherheit, sondern auch eine Verfassungswidrigkeit, die neben Nutzerrechten auch das Vertrauen in die europäischen Datenschutzinstitutionen gefährdet. Auch auf politischer Ebene gab es erhebliche Spannungen. Während das Europäische Parlament anfangs versucht hat, die Kommissionsvorschläge zu verbessern und die Interessen der Bürgerinnen und Bürger stärker zu wahren, gilt die aktuelle Verhandlungsposition als eine Kapitulation – mit nur noch minimalen Überresten der ursprünglichen Verbesserungen. Grundsätzlich setzte der Parlamentarier aus den Grünen und dem Pirate Party Umfeld sich engagiert für Benutzerrechte ein, doch im Prozess der trilateralen Verhandlungen mit Rat und Kommission blieben viele wichtige Forderungen auf der Strecke.
Das Ergebnis wirkt daher wie eine vergiftete Kompromisslösung, die den Status quo eher zementiert, als ihn sinnvoll zu gestalten. Dies nährt nicht nur Kritik aus der Datenschutz-Community, sondern signalisiert darüber hinaus eine gewisse Resignation bei europäischen Gesetzgebern in Bezug auf effektiven Verbraucherschutz und Rechtsdurchsetzung. Ein Schlaglicht auf das komplexe normative Geflecht zeigt auch, wie über 40 nationale Datenschutzbehörden mit unterschiedlichen Rechtssystemen, Ressourcen und Prioritäten eingebunden sind. Die verfahrenstechnischen Anforderungen sehen vor, dass umfangreiche Dokumentationen mehrfach gefertigt und in verschiedenen Sprachversionen bereitgestellt werden müssen. Anstatt den administrativen Aufwand zu reduzieren, verstärkt diese Fragmentierung unnötig Bürokratiekosten, die letztlich vom Steuerzahler getragen werden.
Vor dem Hintergrund all dieser Herausforderungen prüft die Datenschutz-NGO noyb derzeit juristische Schritte zur Anfechtung der Verordnung. Ein Annulationsverfahren vor dem Gerichtshof der Europäischen Union ist denkbar, um die Regelung im Ganzen oder in Teilen für ungültig erklären zu lassen. Hauptargumente sind dabei die Verletzung essenzieller Grundrechtsgarantien und eine Verfahrensgestaltung, die den Datenschutz eher behindert, als voranzubringen. Die Debatte um die zukünftige Gestaltung der GDPR-Verfahren zeigt exemplarisch, wie schwer es ist, in einem so vielschichtigen Rechtsraum wie der EU Innovation und Verbraucherschutz unter einen Hut zu bekommen. Klar ist jedoch: Eine Verfahrensordnung, die durch verschachtelte Abläufe und langwierige Fristen weder Effizienz noch Transparenz fördert, wird kaum den hohen Erwartungen gerecht, die an den europäischen Datenschutz gestellt werden.
Damit Drohungen wie uneffektive Rechtsdurchsetzung und strukturelle Benachteiligungen nicht Realität werden, bleibt der politische und fachliche Druck auf die zuständigen EU-Institutionen hoch. Datenschutz ist kein banaler Verwaltungsvorgang. Es geht um elementare Bürgerrechte und das Vertrauen in digitale Gesellschaften. Nur wenn Verfahren vereinfacht, Fristen verkürzt und die Gleichbehandlung aller Beteiligten sichergestellt werden, kann Datenschutzpolitik ihren eigentlichen Zweck erfüllen: persönliche Freiheit und Sicherheit im digitalen Zeitalter.
![Microsoft Build 2025 – Satya Nadella Opening Keynote [video]](/images/390581D1-39F8-46F8-9C7B-B4944FEDEE59)
