DSGVO: Das stürmisch gestartete "Pferd wird langsam totgeritten"
Das Ziel, die großen Datenkonzerne mit der DSGVO zu zügeln, ist nicht erreicht. Aktivisten und Kontrolleure machen der EU-Kommission und Irland Vorwürfe.
Frederick Richter (Stiftung Datenschutz), Johannes Caspar, Max Schrems, Ulrich Kelber
(Bild: stiftungdatenschutz.org)
Die Datenschutz-Grundverordnung (DSGVO) sei zu ihrem Start vor drei Jahren als "Big Bang" wahrgenommen worden, erklärte Johnny Ryan von der Bürgerrechtsorganisation Irish Council for Civil Liberties am Dienstag bei einer Online-Konferenz der Stiftung Datenschutz zum Jubiläum der international vielbeachten Vorschriften. Die Botschaft aus Europa sei gewesen: "Wir meinen das ernst." Jeder sollte sich daran halten. Von diesem Ansatz sei aber wenig übriggeblieben.
Nicht viel befürchtet
Ryan erinnerte sich an die frühe Zeit, in der die DSGVO erstmals anwendbar war, Damals habe er in San Francisco gearbeitet und die Internetgrößen im Silicon Valley hätten sich damals die Frage gestellt: "Wird das durchgesetzt?" Sie seien letztlich zum Schluss gekommen, dass sie nicht viel zu befürchten hätten und die Geschichte gebe ihnen mittlerweile größtenteils recht.
Der Flaschenhals bei der Durchsetzung sei die irische Datenschutzbehörde, die Data Protection Commission (DPC), geht Ryan mit zahlreichen Beobachtern konform. Sie ist für die großen Fische zuständig, da Google, Facebook, Twitter & Co. ihren europäischen Hauptsitz in Irland haben. Die DPC teile das Schicksal, unterfinanziert zu sein, mit vielen Aufsichtsbehörden in der EU, erläuterte der Branchenexperte, der vom Browserhersteller Brave kommt. Darüber hinaus gebe es bei der Behörde aber auch strukturelle Probleme.
Für das Beschwerdemanagement nutze die DPC noch immer Lotus Notes, brachte der Bürgerrechtler ein Beispiel. Dies sei so, als ob man die Gehaltsabrechnung für viele Mitarbeiter mit einem Rechenschieber bewältigen wolle. Die Behörde habe zwar vom Steuerzahler bereits über eine Million Euro erhalten, um auf ein modernes System umzustellen. Dieses sei aber immer noch nicht im Einsatz. Zudem habe die DPC – genauso wie etwa die britische Datenschutzaufsicht – nur sehr wenige spezielle "Cyber-Ermittler", von denen sie angesichts ihrer Aufgaben deutlich mehr benötigte.
Nicht genug Druck auf Irland – und Luxemburg
Gegen das daraus resultierende Versagen, dass die Behörde bei ihren großen Fällen kaum vorankomme, habe die EU-Kommission nichts unternommen, kritisiert Ryan. Sie hätte längst ein Vertragsverletzungsverfahren gegen Irland einleiten müssen, wie es gerade auch das EU-Parlament forderte. Die Brüsseler Exekutivinstanz sei aber nicht gewillt, politischen Druck auf die Regierung auf der Insel und in Luxemburg auszuüben, wo die Sache ähnlich gelagert sei.
Auch im Fall des Datentransfers nach Großbritannien nach dem Brexit nutzte die Kommission laut dem Aktivisten nicht einmal die Steilvorlage der britischen Regierung genutzt, wonach damit ein Wert in Höhe von 85 Milliarden Pfund für die Ökonomie des Vereinigten Königreichs verknüpft sei. Sie hätte zumindest verlangen können, dass die dortige Aufsicht gestärkt werden müsse. Doch bei der federführenden Generaldirektion Justiz seien alle Datenschutzverfechter längst weg, deswegen sei aus dieser Richtung momentan nichts zu erwarten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Für Ryan ist die DSGVO letztlich eine Art "kollektive Halluzination", die von den Gerichten greifbar gemacht werden müsse. In Irland sei es zivilgesellschaftlichen Einrichtungen aber offiziell nicht einmal erlaubt, in einschlägigen Fragen zu klagen. Eigentlich sei es auch nicht Aufgabe einzelner "paranoider Bürger", vor Gericht einzuschreiten. Die Datenschutzbeauftragten sollten dies machen. Doch auch in diesem Bereich gebe es ein systemisches Versagen.
Aktivist erfolgreicher als Behörden
Der Aktivist Max Schrems "hat mehr durchsetzen können als die Datenschutzbehörden", erkannte der Bundesdatenschutzbeauftragte Ulrich Kelber an mit Blick etwa auf die von dem Österreicher erstrittenen Urteile gegen Abkommen zur Datenweitergabe in die USA wie den Privacy Shield. Irland und Luxemburg "liefern nicht die Ergebnisse, zu denen sie die DSGVO eigentlich verpflichtet". Die anderen Kontrolleure müssten daher in der Lage sein, über den Europäischen Datenschutzausschuss (EDSA) bei grenzüberschreitenden Fällen zu agieren. Aber das "funktioniert nicht". Der EDSA bräuchte daher eine zusätzliche Ebene, um einfacher mit Zweidrittel- oder Dreiviertelmehrheit zu entscheiden.
Bei Irland müsse die EU-Kommission zudem tätig werden, betonte Kelber. Sie sollte wenigstens festlegen, dass jeder Fall mit einem Entscheidungsentwurf zu enden habe. Sonst begrüßte er den Trend, dass die Wettbewerbsbehörden mehr Zähne bekämen: "Über den Weg müssen wir an die großen internationalen Player ran."
Medial sei es zwar schön, wenn ihm und seiner Organisation Noyb attestiert werde, "die machen was", erklärte Schrems. Oft werde der Zivilgesellschaft aber "zu viel zugeschrieben". Er sei nun acht Jahre mit der DPC zugange und habe letztlich im ursprünglichen Facebook-Fall noch "nichts durchgesetzt". Dies gehe nicht nur ihm so: Im vergangenen Jahr habe die irische Aufsicht insgesamt über 10.000 Beschwerden und Verweise auf Datenpannen erhalten, aber "schlichtweg keine Entscheidung" gefällt.
"Massiver Rechtsbruch"
Der Jurist fühlt sich angesichts des "massiven Rechtsbruchs" im Bereich Datenschutz an den Kampf gegen die Korruption in einem Land erinnert, das darin versinke. "Wenn man nicht massiv oft hineinbombt", bekomme man das Geflecht von Interessensgruppen nicht entschlackt. Die Arbeit auf diesem Feld dürfe aber nicht an Vereinen hängenbleiben. Sie könnte mit den neuen EU-Vorgaben für Sammelklagen zwar interessant werden für die private Rechtsdurchsetzung. Andererseits wäre dann das "nächste Abmahnthema" für eine Geld scheffelnde Branche greifbar.
Wenn jeder einzelne etwa bei einem Datenleck von Facebook & Co. Anspruch auf Schadenersatz habe und die Betreiber in die Haftung kämen, könnte sich etwas bewegen, glaubt auch der Hamburgische Datenschutzbeauftragte Johannes Caspar. Derzeit gebe es im EDSA keine Möglichkeit, die großen Fälle "durchzulösen" und darauf aufbauende Entscheidungsstrukturen aufzubauen. Hier wären umfassende rechtliche Korrekturen nötig. Entsprechende Vorschläge lägen bei der Kommission. Er sehe hier aber "keine Bewegung". Die Folge sei: Man "reitet das Pferd so ein bisschen tot".
Die Bürger und auch zunehmend Unternehmen, "die in Konkurrenz stehen mit Amazon oder LinkedIn", seien zugleich ärgerlich, weiß Caspar. Es entstehe der Eindruck, die Kontrolleure gingen auf den Mittelständler los, während sie die "massiven Datenverarbeiter", also "hochprofitable Aktienunternehmen" nicht ran kriegten. In Einzelfällen sei es zwar möglich, eigene Anordnungen zu erlassen, verwies er auf seinen jüngsten Dringlichkeitsbeschluss im Fall der WhatsApp-Daten. Generell sei es aber schwierig, hierzulande "den großen Hammer rauszuholen, während an anderen Orten gar nichts passiert".
"Die kollektive Dynamik bei der Durchsetzung muss sich verbessern", räumte Cian O'Brien ein, Rechtsanwalt bei der DPC. Deren Fokus liege aber darauf, konsistent und effektiv zu regulieren. Angestrebt würden so keine Entscheidungen, die einer Berufung nicht standhielten. Zudem gehe es bei den 27 bei der Behörde derzeit anhängigen grenzüberschreitenden Verfahren um sehr komplexe "systemische Angelegenheiten", die auch "Interpretationsprobleme" aufwerfen würden. Datenschutzrechtliche Sanktionen seien ferner ein neues Instrument in Irland, dessen Anwendung sich noch einspielen müsse.
(mho)
