Bereits im Juni dieses Jahres hat das irische Parlament eine neue gesetzliche Regelung erlassen, die sich erheblich auf die Berichterstattung über die irische Datenschutzbehörde auswirken könnte. Amnesty International und zahlreiche weitere Organisationen kritisieren das Gesetz als Eingriff in die Pressefreiheit. Auch Mitglieder des Europäischen Parlaments haben ihren Unmut geäußert. In diesem Beitrag berichten wir, was die irische Regelung im Einzelnen vorsieht, wieso sie kritisiert wird und wie der Europäische Datenschutzausschuss die neuen irischen Regelungen einordnet.
Der Inhalt im Überblick
Die irische Datenschutzaufsichtsbehörde
Aufgrund der One-Stop-Shop-Regelung nach Art. 56 DSGVO ist die irische Datenschutzbehörde (Data Protection Commission bzw. DPC) für Verfahren gegen Google, Apple und Meta als federführende Aufsichtsbehörde zuständig.
Die DPC wird hierbei immer wieder kritisiert. Bemängelt wird vor allem, dass sich die Verfahren häufig in die Länge ziehen. Auch erreichen Bußgelder gegen große Unternehmen meist erst nach Einschreiten des Europäischen Datenschutzausschusses (EDSA) eine dem Verstoß angemessene Höhe. Auch die anhaltende Kritik hat dazu geführt, dass die DSGVO im Bereich der grenzüberschreitenden Fälle angepasst werden soll.
Die irische Neuregelung und die Reaktionen
Aufgrund der aktuellen Entwicklungen könnte man den Eindruck gewinnen, dass Irland genug von kritischer Berichterstattung hat. Denn mit einer neuen gesetzlichen Regelung, dem unscheinbar klingenden Courts and Civil Law (Miscellaneous Provisions) Bill 2022, wurde es der DPC ermöglicht, die meisten Verfahren als „vertraulich“ einzustufen und hierdurch Berichterstattung unter Strafe zu stellen.
Was genau hat sich geändert?
Die Neuregelung in Art. 26A des irischen Data Protection Act (DPA) lautet auszugsweise wie folgt:
The Commission […] may […] identify information that is provided, or to be provided, to the person by the Commission […] as confidential information, specify […] the reason the information so identified is confidential and direct that the person shall […] not disclose that confidential information.
Wann eine Information als vertraulich eingestuft werden kann, wird ebenfalls in Art. 26A des DPA geregelt. Vertraulich sind demnach
- Informationen, deren Offenlegung zu einem wirtschaftlichen Schaden führen würde oder Informationen, deren Offenlegung den Verlauf oder das Ergebnis von Verhandlungen beeinträchtigen könnte (Section 149 Abs. 7 DPA 2018)
- Informationen, bei deren Offenlegung die zukünftige Weitergabe der Informationen gefährdet wäre
- Informationen, bei deren Offenlegung vernünftigerweise zu befürchten ist, dass die Wirksamkeit der Aufgabenwahrnehmung durch die DPC beeinträchtigt wird
Ein Verstoß gegen die Anordnung der DPC, die vertraulichen Informationen nicht zu offenbaren, kann mit einer Geldstrafe von 5.000 € geahndet werden.
Während wirtschaftlich sensible Informationen schon vor Einführung des Art 26A einen gewissen Schutz genossen (Section 149 (7) DPA 2018), geht die Neuregelung weit darüber hinaus. Selbst Informationen, die nicht wirtschaftlich sensibel sind, können bei entsprechender Anordnung der DPC nicht mehr offengelegt werden.
Kritik von vielen Seiten
Bereits vor Erlass des Gesetzes haben verschiedene Stellen deutliche Kritik geübt. Amnesty International spricht von einem drakonischen Gesetz, das nur dazu diene, Big Tech zu schützen. Der Irish Council for Civil Liberties (ICCL), eine Non-Profit-Organisation zur Förderung der Freiheits- und Menschenrechte in Irland, hatte zum Stopp des Gesetzesvorhabens aufgerufen. Auch die European Digital Rights (EDRi) verurteilt das Gesetz und befürchtet eine Gängelung von Kritikern der DPC.
Dass diese Befürchtung nicht ganz von der Hand zu weisen ist, zeigt der Umgang der DPC mit noyb. Die DPC hatte der noyb im Jahr 2021 eine Aufforderung zur Löschung von Dokumenten zukommen lassen, da noyb einen Entscheidungsentwurf der DPC zu Facebook veröffentlicht hatte. So verwundert es kaum, dass auch noyb das neue Gesetz äußerst kritisch sieht.
Sophie in ‘t Veld, Abgeordnete im Europäischen Parlament, stellte eine sogenannte Anfrage zur schriftlichen Beantwortung. Hierbei handelt es sich um ein parlamentarisches Recht der Abgeordneten des Europäischen Parlaments, mit denen die Abgeordneten EU-Einrichtungen zur schriftlichen Beantwortung von Fragen auffordern können, die innerhalb einer bestimmten Frist zu beantworten sind (vgl. Art. 138 der Geschäftsordnung des Europäischen Parlaments). Sophie in ‘t Veld wollte u.a. wissen, ob die Kommission die Änderung des irischen Rechts für DSGVO-konform hält und ob die Kommission ein Vertragsverletzungsverfahren anstreben wird.
Die Reaktion des Europäischen Datenschutzausschusses
Der EDSA betont in seiner Antwort zunächst die Bedeutung der Vertraulichkeit, die u.a. in den Leitlinien 02/2022 zur Anwendung des Art. 60 DSGVO zum Ausdruck kommt. Hiervon ausgehend können die Aufsichtsbehörden Informationen als vertraulich kennzeichnen. Die Vertraulichkeit bezieht sich in aller Regel nur auf Dritte und nicht auf den Informationsfluss zwischen den Aufsichtsbehörden.
Darüber betont der EDSA, dass im Rahmen der geplanten Änderungen der DSGVO Regelungen zum Umgang mit vertraulichen Informationen getroffen werden. In dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rats zur Festlegung zusätzlicher Verfahrensregelung für die Durchsetzung der DSGVO heißt es in Erwägungsgrund 31:
„Bei der Gewährung des Zugangs zu den Verwaltungsakten sollten die Aufsichtsbehörden den Schutz von Geschäftsgeheimnissen und anderen vertraulichen Informationen sicherstellen. Die Kategorie „andere vertrauliche Informationen“ umfasst Informationen, die keine Geschäftsgeheimnisse sind, aber insoweit als vertraulich angesehen werden können, als ein Verantwortlicher, ein Auftragsverarbeiter oder eine natürliche Person durch ihre Offenlegung erheblich geschädigt werden können.“
Bei Umsetzung des Vorschlags und Erlass der Verordnung regelt letztere damit harmonisierend, welche Informationen neben Geschäftsgemeimnissen als vertraulich gelten können. Artikel 19 bis 21 des Verordnungsvorschlags regeln dann genauer, wie vertrauliche Informationen zu behandeln sind.
Ob die neuen irischen Regelungen in Art. 26A Data Protection Act mit der geplanten EU-Verordnung in Einklang gebracht werden könnten, erscheint zweifelhaft. Denn die irischen Regelungen enthalten anders als die geplante EU-Verordnung eigene Sanktionsmöglichkeiten bei einem Verstoß gegen die Vertraulichkeit. Vor allem aber definiert der Verordnungsvorschlag vertrauliche Informationen abweichend vom irischen Data Protection Act. Insbesondere der dritte Vertraulichkeitsgrund des Art. 26A Data Protection Act (mögliche Beeinträchtigung der Aufgabenwahrnehmung der Aufsichtsbehörde) findet sich nicht in den Plänen der EU wieder.
Der EDSA geht damit zwar nicht ausdrücklich auf die Fragen von Sophie in ‘t Veld ein. Da der EDSA aber die geplante EU-Regelung zum Umgang mit vertraulichen Informationen betont, kann davon ausgegangen werden, dass der EDSA die irische Neuregelung nicht gutheißt.
Sorgenkind Irland
Das Bedürfnis nach vertraulicher Behandlung von Geschäftsgeheimnissen und anderen vertraulichen Informationen ist nachvollziehbar und berechtigt. Andererseits kritisieren Aufsichtsbehörden, Betroffene und NGOs seit Jahren die Arbeit der DPC. Darüber hinaus hat die DPC bereits versucht, kritische Berichterstattung zu verhindern. Die Vermutung liegt daher nahe, dass es dem irischen Gesetzgeber primär nicht um den Schutz vertraulicher Informationen ging. Die erhoffte Ruhe vor kritischen Nachfragen und Berichten wird womöglich ohnehin nicht von Dauer sein. Der EDSA wird die irische Regelung sicher genau unter die Lupe nehmen, wenn die EU-Verordnung zur Verfahrensregelung kommt.
