DSGVO-Bilanz: Erstklassiges Gesetz, mangelhafte Durchsetzung

Prinzipiell habe Europa das beste aller Datenschutzgesetze – jedoch leide die praktische Umsetzung der Datenschutzgrundverordnung (DSGVO) nicht nur unter mangelnden Ressourcen, sondern auch unter einem Systemfehler. Das kritisierte der Chef der belgischen Datenschutzbehörde, Willem Debeuckelaere, am Donnerstag bei einer Bestandsaufnahme im Innenausschuss des Europaparlaments.

In eigener Sache: c't wissen DSGVO

Jetzt bestellen – das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

• c't wissen DSGVO im heise shop

Der gemeinsame Europäische Datenschutzausschuss (EDPB) könne nicht selbst Verfahren gegen Datenschutzverstöße eröffnen und bleibe ein Gremium nationaler Behörden, die unterschiedlich aktiv die DSGVO Umsetzung verfolgen, führte Debeuckelaere aus. So seien dem EPDP Hände und Füße gebunden: Die Durchsetzung der neuen Regeln sei abhängig davon, dass nationale Behörden Beschwerden nachgehen, beziehungsweise proaktiv Verstöße ermittelten.

Wenn die für einen Fall zuständige Datenschutzbehörde nicht aktiv wird, passiere wenig. "Da klafft eine Riesenlücke in den Regeln“, so Debeuckelaere. Er regte an, dem EPDP künftig die Kompetenz und Kapazität zu geben, eigene Fälle auf EU-Ebene zu eröffnen. Mit den derzeit lediglich 17 EPDP Sekretariatsmitgliedern sei das freilich auch personell kaum möglich. Aktuell sind es nicht die Datenschutzbehörden, sondern vor allem Verbraucherschutzorganisationen und Nichtregierungsorganisationen, die die Grenzen des neuen europäischen Datenschutzrechts austesteten, bedauerte der belgische Beamte.

Harmonie bei den Datenschützern

Die EDPB Vorsitzende, Andrea Jelinek, oberste Datenschützerin in Österreich, zog ihrerseits eine positivere Bilanz. Immerhin 45 so genannte One-Stop-Shop-Untersuchungen seien seit Inkraftreten der DSGVO angelaufen. 23 werden derzeit noch von der jeweils zuständigen nationalen Datenschutzbehörde untersucht, so etwa der Facebook Fall in Irland. Für 16 erarbeiteten die jeweiligen Datenschutzbehörden Beschlussentwürfe und sechs Fälle seien abgeschlossen. Streit zu den vorgelegten sechs Entscheidungen gab es bislang nicht, so dass die vorgesehenen Schiedsverfahren noch nicht erprobt sind.

Auch bei den Zuständigkeitsentscheidungen sei man bisher ohne Streit ausgekommen, berichtete Jelinek. 306 von 642 beim EDPB gemeldeten Beschwerden hat das EPDP bislang in die Hände nationaler Behörden weitergeleitet. Insgesamt notierte das EDPB in den ersten acht Monaten 206.326 Beschwerden, davon 94.622 Datenschutzbeschwerden, 64.684 Fälle, in denen persönliche Daten verloren oder geleakt wurden, und 47.020 andere Fälle.

Kritik an Kommission und Mitgliedsstaaten

Kritik in Bezug auf die Umsetzung der DSGVO musste sich im Innenausschuss insbesondere die EU Kommission anhören. Die liberale Abgeordnete Sophie in‘t Veld kritisierte, dass die Kommission als Wächterin der Umsetzung nicht energischer gegen säumige Mitgliedsstaaten einschreite. Vier der 28 Mitgliedsstaaten haben noch nicht einmal ihr nationales Recht an die DSGVO angepasst, berichtete ein Vertreter der Kommission. Zu den zögerlichen Umsetzern gehören Polen und Portugal. Auch in Bezug auf die notwendige Ausstattung agieren die Regierungen sehr unterschiedlich.

Polen hat den Datenschutzbehörden die finanziellen Mittel für 2019 um 15 Prozent gekürzt, Tschechien um 6 Prozent. Zahlreiche Datenschützer haben, wie etwa die Behörde von Debeuckelaere "doppelt soviel Arbeit“ bei gleich gebliebenem Budget oder kaum gesteigertem Personalbestand. Deutliche Steigerungen können innerhalb der 28 Mitgliedsländer Zypern, Finnland, Luxemburg und Deutschland verzeichnen. Europas oberster Datenschützer (EPDS), Giovanni Buttarelli, sagte anlässlich der Vorstellung seines Jahresberichts, trotz geplanter Steigerungen der Personaldecke etwa in seiner Behörde um voraussichtlich 30 Prozent auf dann deutlich über 100 Mitarbeiter: "Die Zahl der Datenschutzbeamten kann mit der Phalanx an Anwälten auf der Seite großer Unternehmen niemals mithalten.“

Buttarelli lobte einerseits den Erfolg der DSGVO, einschließlich der Chance, mittels der in Handelsverträgen abgeschlossenen Datenschutz Äquivalenz-Abkommen mit Drittstaaten "die größte Zone für sicheren, freien Austausch persönlicher Daten zu schaffen, die es jemals gab“. Zugleich räumte er ein, dass auf die Datenschützer noch ein Haufen unerledigter Arbeit warte. Die Verabschiedung von DSGVO-widrigen Gesetzes, wie beispielsweise der Vorratsdatenspeicherung in Italien, die eine Speicherung für bis zu sechs Jahre vorsieht, nannte er besorgniserregend. Hoffentlich werde Max Schrems Organisation klagen, so Buttarelli. (axk)