Die Datenschutzgrundverordnung (DSGVO) ist ein Rechtsakt mit Bedeutung für den Europäischen Wirtschaftsraum (EWR). Gemäß Art. 7 lit. a Hauptabkommen über den EWR (EWR-Abkommen) sind alle EWR-Staaten verpflichtet, die DSGVO innerstaatlich zu übernehmen. Das gilt neben den Mitgliedsstaaten der EU auch für die EFTA-Staaten Island, Lichtenstein und Norwegen. Der nachfolgende Beitrag zeigt auf, wie der EWR sich im Detail zusammensetzt (1.), auf welcher Grundlage die DSGVO im EWR gelten wird (2.) und wie das entsprechende Inkorporationsverfahren gestaltet ist (3.).
1. Das EWR-Abkommen
In Form eines gemischten Abkommens schlossen am 2. Mai 1992 die damaligen Mitgliedstaaten der Europäischen Gemeinschaft (EG) und der EFTA das Assoziationsabkommen im Sinne des Art. 217 AEUV über den EWR. Mit Ausnahme der Schweiz, traten alle EFTA-Mitgliedsstaaten dem EWR bei. Unter Berücksichtigung der Grundfreiheiten, bildet der EWR seitdem den europäischen und weltweit größten Binnenmarkt.
2. Geltung der DSGVO in der EU und im EWR
Als Verordnung im Sinne des Art. 288 Abs. 2 AEUV sind alle Mitgliedsstaaten der EU allgemein, vollumfänglich und unmittelbar an diese gebunden. Die Konsequenz ist, dass ohne weiteren Umsetzungsakt die DSGVO direkt geltendes Recht im jeweiligen EU-Mitgliedsstaat ist, es also weder eines innerstaatlichen Transformationsaktes noch einer Verkündung nach nationalem Recht bedarf. Zur Wahrung der Homogenität ist es für die EFTA-Staaten Norwegen, Island und Lichtenstein hingegen erforderlich den Rechtsakt in das EWR-Abkommen aufzunehmen und so die Anwendbarkeit der DSGVO zu begründen.
3. Das Inkorporationsverfahren
Der Gemeinsame-EWR-Ausschuss (Art. 92 ff. EWR-Abkommen) ist das maßgebliche Organ für die Inkorporation von EU-Sekundärrecht in den EWR. Er setzt sich aus EU-Botschaftern der EFTA-Staaten, Vertretern der EU-Kommission und EU-Mitgliedstaaten zusammen. Der Gemeinsame EWR-Ausschuss wird gem. Art. 102 Abs. 1 EWR-Abkommen durch die EU über einen EWR-relevanten Rechtsakt informiert, prüft und inkorporiert diesen durch Beschluss. Das Verfahren zur Inkorporation gliedert sich in fünf Phasen und ist in den Art. 102 Abs. 1 bis Abs. 6 EWR-Abkommen i.V.m. der Verordnung (EG) Nr. 2894/94 mit Durchführungsvorschriften zum EWR-Abkommen geregelt.
Die erste Phase beginnt mit der Bewertung durch die EU-Kommission, ob ein möglicher Rechtsakt der EU auch für den EWR relevant ist. Dies erfolgt bereits vor der Beratung und der konkreten Ausgestaltung des Rechtsakts. Die DSGVO ist als EWR-relevant bewertet worden, womit die erste Phase abgeschlossen wurde. Nachfolgend erhalten dadurch die EWR-Staaten bis zum Beginn der zweiten Phase eine Mitwirkungsmöglichkeit auf EU-Ebene. Innerhalb des Gesetzgebungsverfahrens der EU können diese Vertreter in die Expertengruppen der EU-Kommission entsenden und im Vorfeld Kommentare der EFTA-Staaten übermitteln. Ihnen kommt also eine Beratungsfunktion, ohne jegliche Abstimmungsmöglichkeit zu. Auch im Gesetzgebungsverfahren für die DSGVO haben die EFTA-Staaten hiervon Gebrauch gemacht.
Seit die DSGVO durch das EU Parlament beschlossen ist, wird diese von den EFTA-Staaten geprüft, die Stellungnahmen zu erforderlichen Anpassungen und der verfassungsrechtlichen Relevanz abgeben werden (zweite Phase). Die Stellungnahmen werden anschließend dem Gemeinsamen-EWR-Ausschuss vorgelegt, der einen Entwurf zur Umsetzung verfasst und diesem dem EU-Parlament übergibt (dritte Phase). Wichtigste Anforderung an diesen Entwurf ist, dass sich die Formulierung und der Wortlaut so nah wie möglich an die auf der EU-Seite angenommenen Normen der DSGVO hält, damit eine kohärente Anwendung innerhalb des EWR gewährleistet ist.
Das EU-Parlament gib dahingehend eine Stellungnahme ab. Der Gemeinsame-EWR-Ausschuss prüft diesen und nimmt gegebenenfalls entsprechende Änderungen vor (vierte Phase). Sofern keiner der Beteiligten Einwände erhebt, kann der finale Beschluss durch den Gemeinsamen-EWR-Ausschuss gefasst werden (fünfte Phase). Hierfür ist Einvernehmen der abstimmenden Parteien erforderlich. Daher haben nach dem sog „Single Voice Principle“ sowohl die EU, als auch die EFTA-Staaten, zumindest ein theoretisches Vetorecht.
4. Fazit
Insgesamt ist von einem schnellen Umsetzungsverfahren und der Ausdehnung der DSGVO auf den gesamten EWR auszugehen. Das vom Vetorecht von einem der Beteiligten tatsächlich gebraucht gemacht wird, ist kaum zu erwarten. Aus Perspektive der EU-Staaten sowie den EFTA-Staaten Island, Lichtenstein und Norwegen besteht ein großes Interesse an der Anwendbarkeit der DSGVO im gesamten EWR und der damit verbunden Fortführung des gemeinsamen Informationsbinnenmarkts.