Ein neuer Bericht des Irish Council for Civil Liberties (ICCL) bestätigt, dass Irland der Flaschenhals des europäischen Datenschutzes ist. Lesen Sie hier mehr zu den Kritikpunkten der ICCL und wie sich der Datenschutz effektiv für Europa gestalten ließe.
Der Inhalt im Überblick
Die irische Datenschutzbehörde (DPC)
Irland zeigte sich in der Vergangenheit schon häufiger als der Flaschenhals des Datenschutzes, wie wir bereits in der Vergangenheit berichteten. Erst kürzlich erließ sie gegen WhatsApp das zweite höchste Bußgeld, seit Bestehen der DSGVO, in Höhe von 225 Mio. Euro. Dies jedoch erst nach einem langen Verfahren und der Intervention anderer Staaten sowie einem verbindlichen Entschluss des Europäischen Datenschutzausschusses (EDSA) gemäß Art. 65 DSGVO.
Nach Art. 56 DSGVO („One-Stop-Shop-Verfahren“) ist, bei grenzüberschreitenden Sachverhalten, die Behörde am Sitz der Hauptniederlassung federführend zuständig. Irland ist aufgrund des „One-Stop-Shop-Verfahrens“ zuständig für viele Big-Tech-Unternehmen, da viele dieser Unternehmen aus steuerlichen Gründen ihren Hauptsitz für die EU in Irland haben. Hierzu gehören Microsoft, Apple, Facebook, Google sowie viele weitere.
Irish Council for Civil Liberties (ICCL)
ICCL ist eine irische Non-Profit-Organisation, welche sich der Förderung der Freiheits- und Menschenrechte der Menschen in Irland widmet. Sie treten unter anderem für den Datenschutz ein und haben schon mehrfach vor dem Versagen der irischen Behörden sowie den wirtschaftlichen Folgen gewarnt. Sie berichteten bereits im April über die schleppende Bearbeitung von Verfahren durch irische Datenschutzbehörde und stellten fest, dass nur 2 % der Verfahren seit Mai 2018 abgeschlossen seien.
Der neue Bericht des ICCL macht folgende Feststellungen:
Das Problem der irischen Datenschutzbehörde
Der Bericht hält an einen der wichtigen Punkte des letzten Berichts fest. Es bleiben 98 % aller großen Fälle, die an Irland verwiesen wurden, ungelöst. Hierzu gehört auch die Problematik, dass die irische Behörde für besonders viele und wichtige Verfahren zuständig ist. Eine kleine Zahl von Mitgliedstaaten (Irland, Spanien, Deutschland, Niederlande, Frankreich, Schweden und Luxemburg) erhält fast drei Viertel (72 %) aller grenzüberschreitenden Beschwerden, die zwischen den Datenschutzbehörden weitergeleitet werden. Ein Fünftel aller weitergeleiteten Fälle, also grenzüberschreitender Verfahren, werden nach Irland weitergeleitet.
Die irische Datenschutzbehörde war zwei Jahrzehnte lang chronisch unterfinanziert. Sie steht nun an fünfter Stelle, was den Haushalt anbelangt, unter den Datenschutzbehörden in der EU. Spanien hat im Vergleich, trotz eines geringeren Haushalts, als federführende Behörde mehr als zehnmal so viele Entscheidungsentwürfe erstellt.
Der Wissensvorsprung
Die Behörden verfügen nicht über das Technik-Know-How, um die Technologien der „Big-Tech-Unternehmen“ zu verstehen. Nur 9,7 % der 3.014 Vollzeitbeschäftigten der EU-Behörden sind Technikspezialisten. Nur 5 EU-Mitgliedstaaten haben mehr als 10 Technikspezialisten, aber mehr als die Hälfte haben nur 4 oder weniger.
Ausgaben für Datenschutzbehörden sind rückläufig
Die Investitionen der EU-Länder in Datenschutzbehörden sind rückläufig. Mehr als die Hälfte aller nationalen Datenschutzbehörden haben ein kleineres Jahresbudget als 5 Mio. Euro pro Jahr. Irland hat ein Budget von 19,2 Mio. Euro. Im Vergleich dazu Deutschland mit dem höchsten Gesamtbudget in der EU, von 94,7 Millionen Euro. Damit entfallen allein auf Deutschland fast ein Drittel (32 %) aller Ausgaben für EU-Datenschutzbehörden. Davon gehen aber ca. 30 Millionen Euro an den BfDI und den BayLfD, die den privaten Sektor kaum überwachen.
Empfehlungen des ICCL
Die ICCL gibt in ihrem Bericht abschließende Empfehlungen. Dazu gehört, dass die irische Datenschutzkommission (DPC) reformiert und gestärkt werden muss. Weiter fordert die ICCL, dass die Europäische Kommission ihre Befugnis nach Artikel 258 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) nutzen solle, um ein Vertragsverletzungsverfahren gegen Mitgliedstaaten einzuleiten, die den Schutz personenbezogener Daten gefährden. Die Europäische Kommission solle ihre Überwachung der Anwendung der DSGVO verbessern. Schließlich werden die EDSA und die Datenschutzbehörden aufgefordert, vierteljährlich die folgenden Daten zu veröffentlichen, damit sie ihrer Pflicht gemäß Artikel 17 EUV nachkommen können:
- Dauer (in Tagen) von jedem Fall, von der ersten Beschwerde oder proaktiven Untersuchung, bis zum Entscheidungsentwurf und zur endgültigen Entscheidung.
- Die Anzahl der Fälle für die jede Datenschutzbehörde, die federführende Aufsichtsbehörde ist. Hierbei solle auch die Anzahl der einzelnen Fälle bzw. der zusammengefassten Beschwerden innerhalb eines Falls angegeben werden.
- Wie oft jede Datenschutzbehörde im aktuellen Quartal von den Untersuchungsbefugnissen gemäß Art. 58 Abs. 1 DSGVO Gebrauch gemacht hat.
- Wie oft jede Datenschutzbehörde im aktuellen Quartal von den Sanktionsbefugnissen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht hat.
Effektiver Datenschutz in Europa
Die Effektivität des Datenschutzes in Europa hängt nicht nur vom Wirken der irischen Datenschutzbehörde ab. Es müssen daneben weitere Probleme angegangen werden. So müssen neue Technikspezialisten angestellt werden, welche die Technologien der „Big-Tech-Unternehmen“ verstehen, damit in Zukunft niemand mehr von „Neuland“ sprechen kann, wenn es um technologische Entwicklungen geht. Gerade in Bezug auf Datenschutz und Technologien wie Tracking von Nutzern, gibt es eine fortlaufende Entwicklung, an deren Geschwindigkeit sich auch die Behörden anpassen müssen.
Das Prinzip des „One-Stop-Shops“ hat einige Schwächen, wie sich im Fall von Irland zeigt. Es wurde geschaffen, um weniger Bürokratie und mehr Rechtssicherheit für die Unternehmen zu schaffen. Ein Unternehmen soll sich nur mit einer Behörde auseinandersetzen müssen, um so ein Chaos durch unterschiedliche Rechtsauffassungen zu vermeiden. Eine Bearbeitung von lediglich 2% aller Fälle seit Mai 2018 ist jedoch schlicht zu wenig. Es bedarf daher stärkerer Kontrollen und andere Mechanismen, die die Rechtsdurchsetzung sicherstellen.