Seite 2: Die irische Datenschutzbehörde als Flaschenhals

Inhaltsverzeichnis

Als großer Schwachpunkt der DSGVO galt lange ihre mangelhafte Durchsetzung und die irische Datenschutzbehörde als Flaschenhals dabei. Die Data Protection Commission (DPC) in Dublin ist die federführende Aufsichtsinstanz für Big-Tech-Konzerne wie Google, Meta mit Facebook und Instagram, Microsoft, Apple und Twitter, die ihren europäischen Hauptsitz in Irland haben. Andere Kontrolleure in der EU können dann nicht direkt eingreifen. Im Europäischen Datenschutzausschuss (EDSA), dem gemeinsamen Gremium der Aufsichtsbehörden, kommt es über Entscheidungsvorlagen der DPC oft zum Streit. Das löst momentan ein kompliziertes und langes Verständigungsverfahren aus, in dem die irische Behörde meist überstimmt wird.

Die Kommission ließ nach langem Zaudern im Februar durchblicken, die DSGVO einfacher durchsetzbar machen zu wollen. Sie hat dazu eine Gesetzesinitiative noch fürs zweite Quartal in Aussicht gestellt, um die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden in grenzüberschreitenden Fällen zu vereinfachen. Dazu sollen "einige Aspekte" des einschlägigen Verwaltungsverfahrens "harmonisiert" werden. Zuvor hatte der Irish Council for Civil Liberties (ICCL) eine formelle Beschwerde gegen die Brüsseler Exekutivinstanz bei der Europäischen Bürgerbeauftragten Emily O’Reilly eingereicht. Der Vorwurf: die Kommission tue nicht genug gegen Irlands Versäumnisse bei der ordnungsgemäßen DSGVO-Anwendung.

Verhängte Strafen wegen DSGVO-Verstöße

Zuletzt verhängte die irische Datenschutzbehörde einige Geldstrafen in Höhe von mehreren hundert Millionen Euro gegen Meta, um DSGVO-Verstöße zu ahnden. Sie blieb damit zwar weit hinter den Erwartungen von Aktivisten wie Max Schrems zurück. Doch mit drei von der DPC nach Interventionen des EDSA verhängten Sanktionen in Höhe von insgesamt knapp über einer Milliarde Euro allein zwischen September 2022 und Januar 2023 liegt Meta mittlerweile laut dem "Enforcement Tracker" der Kanzlei CMS an zweiter Stelle in der Statistik der höchsten individuellen Geldstrafen. Davor rangiert nur noch Amazon: Die luxemburgische Aufsicht stellte dem E-Commerce-Riesen Mitte 2021 die Rekordsumme in Höhe von 746 Millionen Euro in Rechnung.

Schon am Montag dürfte Platz 1 aber ebenfalls an Meta gehen. Die DPC wird kurz vor dem DSGVO-Jubiläum Anfang der Woche ihre lange erwartete Entscheidung in einem von Schrems eingeleiteten Kernverfahren veröffentlichen. Bereits seit Juli ist bekannt, dass die irischen Kontrolleure es der Meta-Tochter Facebook untersagen wollen, weiter persönliche Daten über europäische Mitglieder des sozialen Netzwerks an den Mutterkonzern in den USA zu übermitteln.

Metas sogenannte Standardvertragsklauseln

Hintergrund ist das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020. Dieser hatte damit fünf Jahre nach dem von ihm erklärten Aus für das Datenschutzabkommen Safe Harbor zwischen der EU und den USA im Lichte der Snowden-Enthüllungen über Praktiken der Massenüberwachung jenseits des Atlantiks auch das Nachfolgekonstrukt Privacy Shield gekippt. Meta stützt den Datenversand seitdem auf sogenannte Standardvertragsklauseln (SVK), die aber zusätzlicher Schutzmechanismen bedürfen. Nach Einschätzung der DPC reichen die von dem Social-Network-Betreiber getroffenen Vorkehrungen nicht aus, um den EuGH-Auflagen Genüge zu tun.

Schrems monierte voriges Jahr, dass die irische Aufsicht eine tatsächlich wirksame Geldstrafe in dem immer wieder verschleppten Fall offenbar erneut "vergessen" habe. Mit den im EDSA beschlossenen Korrekturen wird laut dem Online-Magazin "Politico" nun aber doch eine neue Rekordstrafe herauskommen. Mit einem sofortigen Stopp des Datentransfers in die USA durch Meta ist trotz der verhängten Sanktionen und Auflagen indes nicht zu rechnen: der Konzern dürfe zunächst den Rechtsweg bestreiten. Auch die DPC kündigte in anderen Fällen bereits an, sich gegen die Einmischung des EDSA vor dem EuGH zur Wehr zu setzen.

Streit um neuen "Transatlantischen Datenschutzrahmen"

Parallel arbeiten die EU-Kommission und die US-Regierung mit Hochdruck an einem neuen "Transatlantischen Datenschutzrahmen", auf den sich dann auch Meta berufen könnte. Washington versprach dazu eine "beispiellose" Überwachungsreform mit wirksamen Kontroll- und Rechtsschutzmöglichkeiten, um den EuGH-Vorgaben doch noch zu entsprechen. Doch der Verhandlungsprozess verläuft nicht reibungslos: So stellte das US-Justizministerium jüngst unbequeme Fragen zu den Überwachungs- und Spionagepraktiken von EU-Staaten. Denn auf der anderen Seite des Atlantiks gibt es Ärger darüber, dass immer nur US-Abhöraktionen im Fokus stehen.

Zudem appellierte das EU-Parlament gerade an die Kommission, den USA den für die Übereinkunft nötigen Angemessenheitsbeschluss zum Datenschutz angesichts rein kosmetischer Nachbesserungen nicht zuzugestehen. Die EU-Datenschutzbeauftragten haben ebenfalls Bedenken. Schrems hält den dritten Anlauf aufgrund massiver Webfehler wieder nicht für tragfähig.

Geldbußen in Höhe von fast 3 Milliarden Euro

Insgesamt belaufen sich die auf DSGVO-Basis in über 1600 Fällen verhängten Geldbußen inzwischen auf rund 2,8 Milliarden Euro. Sie dürften am Montag die 3-Milliarden Marke deutlich überspringen. Allein beim EDSA seien momentan über 2000 Verfahren mit grenzüberschreitendem Charakter anhängig, berichtete die scheidende Vorsitzende des Gremiums, Andrea Jelinek, jüngst in einem Podcast des Online-Portals "Euractiv". 711 solcher Fälle habe der Ausschuss inzwischen entschieden, von denen nur acht intern umstritten gewesen seien. Auch in diesen hätten die Mitglieder aber innerhalb von zwei Monaten letztlich einen Beschluss gefällt, den die zuständige Behörde dann umsetzen müsse.

Im Oktober schickte der EDSA eine umfangreiche "Wunschliste" an Justizkommissar Didier Reynders. Die Regierungseinrichtung soll demnach vor allem festlegen, wie das Gremium in spezifischen strategischen Fällen besser kooperieren kann. Etwa auch die Stellung und die Rechte der an Verwaltungsverfahren beteiligten Parteien und die Verfahrensfristen sollen klargestellt werden. Die Kommission dürfte in ihrem in Bälde erwarteten Vorschlag einige dieser Punkte aufgreifen.