Es ist soweit nichts Neues, dass die Mühlen der Datenschutz-Aufsichtsbehörden langsam mahlen. Besonders träge scheinen sie allerdings in Irland ihre Arbeit zu verrichten. Die dortige Aufsichtsbehörde steht immer wieder im Fokus im Kampf gegen die großen Datenkraken unserer Zeit. Nun haben die USA in bemerkenswerter Weise auf das aktuelle Geschehen reagiert. Es lohnt sich, dies einmal genauer zu betrachten.
Der Inhalt im Überblick
Der One-Stop-Shop oder „Einer gegen alle“
Und warum ausgerechnet Irland? Das liegt zum einen an der sogenannten One-Stop-Shop-Regelung des Art. 56 DSGVO. Diese besagt – vereinfacht ausgedrückt – dass sich jeder Betroffene bei einem grenzüberschreitenden Datentransfer an eine Aufsichtsbehörde seiner Wahl wenden kann. Diese leitet die Anfrage oder die Beschwerde dann an die federführende Aufsichtsbehörde weiter. Dies bedeutet, dass die federführende Aufsichtsbehörde der alleinige Ansprechpartner für den Verantwortlichen oder den Auftragsverarbeiter ist, was zur Folge hat, dass nur die Aussagen und Handlungen der federführenden Aufsichtsbehörde für den Beschwerdegegner verbindliche Wirkungen haben.
Und da zum anderen sämtliche große Datenkraken unserer Zeit, also Google, Facebook & Co., ihre europäischen Niederlassungen in Dublin haben, wurde die irische Aufsichtsbehörde seit Anwendbarkeit der DSGVO von Anfragen und Beschwerden geradezu überhäuft. Das stellt an sich noch kein Problem dar, da genau dies ja in der DSGVO ausdrücklich vorgesehen ist. Allerdings scheint die irische Aufsichtsbehörde mit der Abarbeitung massive Probleme zu haben. So kam es in der Vergangenheit zu Verfahren z. B. gegen Twitter und WhatsApp. Gegen Twitter wurde im Dezember 2020 ein Bußgeld verhängt, allerdings sind noch längst nicht alle Verfahren abgeschlossen.
Das Versagen der irischen Aufsichtsbehörde
Nicht nur der Bundesdatenschutzbeauftragte hat diesen Umstand bereits im November 2019 angemahnt und der DPC kürzlich sogar eine Verschleppung der Verfahren vorgeworfen. Auch weitere europäische Aufsichtsbehörden sowie die EU-Kommission haben das Vorgehen der irischen Aufsichtsbehörde scharf kritisiert. Die Problematik scheint nunmehr auch in den USA selbst angekommen zu sein. In der vergangenen Woche hat US-Senator Ron Wyden einen Gesetzesentwurf vorgelegt, der – man höre und staune – eine Art Exportkontrolle für personenbezogene Daten von Personen in den USA in Länder mit unzureichendem Datenschutz oder unzureichender Durchsetzung des Datenschutzrechts vorsieht.
Und hier kommt wieder die Republik Irland ins Spiel: Nach Angaben des Irish Council for Civil Liberties (ICCL), eine irische Non-Profit-Organisation, welche sich der Unterstützung der bürgerlichen Freiheiten und Menschenrechte der Menschen in Irland widmet, hat die irische Datenschutzaufsichtsbehörde gerade einmal 2 % aller Verfahren seit Mai 2018 abgeschlossen. Der ICCL macht sich nun Sorgen, dass die Republik Irland vom aktuellen Gesetzesentwurf im US-Senat besonders betroffen sein wird. Schon mehrfach in der Vergangenheit hatte der ICCL vor möglichen wirtschaftlichen Gefahren des irischen Versagens bei der Durchsetzung der DSGVO gewarnt.
Was sagt der aktuelle Gesetzesentwurf?
Ron Wyden ist schon länger als Kämpfer für Privatsphäre und Datenschutz bekannt. So hatte er schon mehrfach Konsequenzen für die Tech-Giganten und vor allem ihre CEOs gefordert, wenn diese weiterhin die digitalen Rechte von Bürgern missachteten. Der nunmehr vorliegende Entwurf trägt den Namen „Protecting Americans’ Data From Foreign Surveillance“ sieht vor, dass die US-Regierung eine Liste von vertrauenswürdigen Staaten erstellt, in welche ohne weitere Voraussetzungen personenbezogene Daten transferiert werden dürfen. Unternehmen aus Staaten, welche nicht in die Liste aufgenommen worden sind, müssen sich um eine Exportlizenz bewerben.
Offenbar will Wyden damit gleich zwei Fliegen mit einer Klappe schlagen, indem er die Themen nationale Sicherheit und Privatsphäre bzw. Datenschutz miteinander verknüpft. Auf seinem eigenen Internetauftritt lässt sich Wyden wie folgt zitieren:
„Zwielichtige Datenhändler sollten nicht reich werden, indem sie die privaten Daten von Amerikanern an fremde Länder verkaufen, die damit unsere nationale Sicherheit bedrohen könnten.“
Der Gesetzesentwurf sieht darüber hinaus einen Schadensersatzanspruch für betroffene US-Bürger vor, wenn andere Länder deren Daten unrechtmäßig verarbeiten. Dies schließt sogar auch Fälle einer unrechtmäßigen Verhaftung im Ausland ein. Wyden führte dazu weiter aus:
„Ich stimme Ihnen zu, dass die Sorge besteht, dass auch ausländische Gegner an kommerziell erworbene Informationen gelangen könnten, und ich bin absolut entschlossen, alles zu tun, was wir tun können, um diese Möglichkeit zu reduzieren.“
Irland und die DSGVO
Der ICCL befürchtet nun, dass Irland auf Grund des offenkundigen Versagens der irischen Aufsichtsbehörde ebenfalls auf die „schwarze Liste“ gesetzt wird bzw. erst gar nicht in die Liste der vertrauenswürdigen Staaten aufgenommen wird. Die Hürden für den Erwerb einer Exportlizenz erscheinen recht hoch. Johnny Ryan, Senior Fellow des ICCL, hat sich in einem offenen Brief an hochrangige Minister der Republik Irland gewandt. Er schätzt die Lage wie folgt ein:
„Solche Lizenzen zu erlangen ist sehr schwierig – es werden die gleichen Anforderungen gestellt wie etwa für den Export von nuklearem Material“.
Ryan ist in der Datenschutzwelt alles andere als ein unbeschriebenes Blatt. Vor seiner Tätigkeit beim ICCL war Ryan Chief Policy & Industry Relations Officer beim Betreiber des quelloffenen Webbrowsers Brave, welcher als besonders datenschutzfreundlich gilt. Um wirtschaftliche Probleme Irlands im Zusammenhang mit dem Vorstoß Wydens zu vermeiden, sieht Ryan als einzigen Ausweg die konsequente Durchsetzung der DSGVO an.
Umdenken in den USA?
Holen die USA etwa zum großen Gegenschlag aus? Vielleicht wegen des Privacy-Shield-Urteils? Der Gesetzesentwurf mag überraschend sein, da die USA im Allgemeinen nicht gerade als Mutterland des Datenschutzes bekannt sind. Allerdings scheint auch jenseits des großen Teichs ein Umdenken einzusetzen. So wurden z. B. in Kalifornien und Virginia eigene Datenschutzgesetze erlassen. Der erneute Vorstoß von Ron Wyden ist daher eigentlich nur konsequent. Bemerkenswert ist in jedem Fall, dass Wyden hier zumindest indirekt ein härteres Vorgehen gegen die großen Unternehmen aus seinem eigenen Land fordert.
Es erscheint zwar äußerst fraglich, dass Wydens Entwurf in dieser Form den Senat passieren wird. Allerdings macht dies auch deutlich, dass die USA die Themen Privatsphäre und Datenschutz offenbar immer ernster nehmen.
Eine Frage der Perspektive
Interessant ist auch zu beobachten, wie unterschiedlich die Rolle des Datenschutzes auf der Welt offenbar gesehen wird. Während die EU wie selbstverständlich davon ausgeht, mit der DSGVO den Goldstandard im Datenschutz erschaffen zu haben und aus europäischer Sicht die Privatsphäre des Einzelnen im Vordergrund steht, ist die Perspektive aus US-amerikanischer Sicht eine andere. Hier wird der Datenschutz eher aus ökonomischer Sicht und damit als ein Handelsobjekt angesehen. Zudem werden Fragen des Datenschutzes oftmals mit der nationalen Sicherheit verbunden. Vor allem verschiebt sich hier stark der Fokus dahingehend, welche Staaten als „unsicheres Drittland“ bewertet werden sollen.
Es wird also auch weiterhin spannend sein zu beobachten, wie und ob diese verschiedenen Ansätze in Zukunft besser zueinander finden.
Ein sehr interessanter Beitrag, der mich etwas sprachlos zurücklässt. Wenn es stimmt, dass gerade einmal 2 % aller Verfahren abgeschlossen worden sind, wie kann es sein, dass die irische Behörde immer noch zuständig ist? Sieht die DSGVO hier keine andere Möglichkeit vor?
Vielen Dank für Ihren Kommentar. Es ist sicherlich kein Zufall, dass Facebook, Google & Co. ihre europäische Niederlassung in Irland aufgeschlagen haben. Auch Amazon z. B. hat sich mit Luxemburg eine Zweigniederlassung ausgewählt, die in Sachen Steuern oder auch Datenschutz eher als liberal gelten. Solange Art. 56 Abs. 1 DSGVO hier eine verbindliche Regelung darstellt, wird sich das Problem nur schwer lösen lassen. Da dieses Thema aber vor allem in letzter Zeit immer stärker in den Fokus der (Datenschutz-)Öffentlichkeit gerückt ist, werden sich hier möglicherweise Änderungen ergeben.