Der Bundesdatenschutzbeauftragte Ulrich Kelber verspricht sich von der DSGVO eine härtere Sanktionierung von Datenschutzverstößen durch große Unternehmen. Doch die Verfahren kommen auf europäischer Ebene nicht in den Gang.
Der Inhalt im Überblick
„Die Großen in die Schranken weisen“
Der neue Beauftragte für Datenschutz und Informationsfreiheit (BfDI) Ulrich Kelber hat sein Amt mit dem Anspruch angetreten, unter anderem gegen den „digitalen Überwachungskapitalismus“ anzutreten. Damit meint er explizit „die Großen“ wie Facebook, Google, Amazon und Microsoft, die er „in die rechtlichen Schranken weisen“ möchte. In seine direkte Zuständigkeit fallen diese Konzerne nicht. Allerdings will Kelber sich dem Thema in der Beratung von Gesetzesvorhaben und als deutscher Vertreter im Europäischen Datenschutzausschuss (EDSA) stärker widmen, in dem grenzüberschreitende Fälle geklärt werden sollen. Seine Behörde ist immerhin in allen Arbeitskreisen der Datenschutzkonferenz und Arbeitsgruppen des Europäischen Datenschutzausschusses vertreten, während die Landesdatenschutzbehörden nur in vereinzelten Gruppen aktiv sind.
Der Datenschutzausschuss ist ein neues europäisches Regulierungsinstrument: Alle europäischen Datenschutzaufsichtsbehörden sind dort an einem Runden Tisch vertreten. Jede hat eine Stimme, wobei die Entscheidungen in Fällen der Streitbeilegung mit einer Zweidrittelmehrheit fallen (Art. 65 DSGVO). Deutschland wird vom Bundesdatenschutzbeauftragten vertreten, die Länder benennen seinen Stellvertreter. Im Moment nimmt der Hamburgische Landesbeauftragte für den Datenschutz Johannes Caspar diese Rolle kommissarisch ein, weil der Bundesrat noch keinen Stellvertreter benannt hat. Ziel ist es, dass Entscheidungen schneller und einheitlich getroffen werden können. Bewährt sich dieser Kohärenzmechanismus, soll er auch im Wettbewerbs- und Kartellrecht eingerichtet werden.
Stillstand im Fall des Datentransfers von WhatsApp zu Facebook
In der Praxis ist bisher von schnelleren Entscheidungen in strittigen Fragen nicht viel zu sehen, wie am Beispiel des umstrittenen Datentransfers von WhatsApp zu Facebook zu sehen ist. Er wirft grundsätzliche Fragen zum Kohärenzverfahren nach Artikel 63 DSGVO auf. Seit Dezember liegt die Frage auf dem Tisch, wie weiter vorgegangen werden soll. Der Hamburgische Datenschutzbeauftragte Johanes Caspar konnte den Datentransfer bereits zweimal gerichtlich mit Verweis auf die Datenschutzbestimmungen und Allgemeinen Geschäftsbedingungen der beiden Unternehmen untersagen lassen. Mittlerweile fließen die Daten wieder. Denn die irische Datenschutzbehörde hat sich noch immer zu keiner Positionierung durchringen können.
Der irischen Datenschutzbeauftragten Helen Dixon genügt der Blick in das Kleingedruckte nicht, sondern sie wartet auf einen Beleg eines Nutzers, der zeigen würde, dass seine Daten tatsächlich entgegen seiner Zusicherung übertragen wurden. Aus ihrer Sicht gibt es daher keinen Abstimmungsbedarf im Ausschuss, weil es gar keinen Fall gibt. Entsprechend müsse sie auch keinen Entscheidungsentwurf vorlegen.
Wie kann ein Kohärenzverfahren in Gang gebracht werden?
Damit stellt sich im WhatsApp-Facebook-Fall die Frage, was erforderlich ist, dass ein Kohärenzverfahren überhaupt in Gang gebracht wird. Denn der Ausschuss kann nicht über die Fälle entscheiden, wenn die zuständigen Behörden den anderen beteiligten Aufsichtsbehörden im One-Stop-Shop-Verfahren keine Entscheidungsentwürfe vorlegen. Es gibt für die Erstellung der Entscheidungsentwürfe keine fest definierten Fristen, lediglich die Vorgabe nach Artikel 60 Absatz 3 Satz 2 DSGVO, dass ein Beschlussentwurf „unverzüglich“ vorgelegt werden muss.
In der Praxis ist das „Unverzüglich“ jedoch schwer umzusetzen: Die Behörde muss eine gründliche Vorprüfung des Falles vornehmen, weil sie an den Fall letztlich gebunden sein wird. Derzeit hängen daher viele Verfahren in der Luft. Ein Ausweg könnte darin bestehen, dass die Aufsichtsbehörden bei grundsätzlichen Fragen den EDSA direkt anrufen (Artikel 64 Absatz 2 DSGVO). Das bedeutet aber, dass auf nationaler Ebene diese Fragen erst einmal einvernehmlich geklärt werden müssen.
„Entscheidend ist, das Verfahren des Vollzugs bei der grenzüberschreitenden Datenverarbeitung effizient und effektiv durchzuführen. Damit steht und fällt die Akzeptanz der DSGVO“,
betont Johannes Caspar gegenüber Dr. Datenschutz.
Die Frage, wie ein Kohärenzverfahren gestartet werden kann, wurde kürzlich sogar im Innenausschuss LIBE des Europäischen Parlaments behandelt. Nun soll eine Arbeitsgruppe bzw. eine Subgroup des Datenschutzausschusses dazu bis Sommer ein Paper vorlegen. Handlungsbedarf ist gegeben: Es gibt bislang rund tausend grenzüberschreitende Verfahren, über die entschieden werden muss. Knapp hundert Verfahren sollen sich auf Fälle beziehen, die die Facebook-Unternehmensgruppe, zu der auch WhatsApp und Instagram gehören, betreffen.
Bislang liegen aus Irland dazu keine Entscheidungsentwürfe vor. Insgesamt gibt es jedoch nur wenige: Die deutschen Aufsichtsbehörden beispielsweise haben erst acht Entwürfe vorgelegt und liegen damit im vorderen Feld. Problematisch ist, dass 45 Prozent der Verfahren sich auf eine Handvoll Länder wie Irland, Luxemburg oder Malta verteilen, die gerade einmal 6 Mio. EU-Bürger repräsentieren und deren Aufsichtsbehörde mit relativ wenig Personal ausgestattet sind.
„Es kann keine rein nationalen Entscheidungen mehr geben“
Der Verdacht steht im Raum, dass kleine Mitgliedstaaten wie Irland, Luxemburg und Malta im Datenschutzausschuss eher standortpolitisch agieren: Was den großen Unternehmen, die bei ihnen angesiedelt sind, schaden könnte, soll soweit wie möglich abgeblockt werden.
Ulrich Kelber betont im Gespräch für datenschutzbeauftragter-info.de, dass er als Vertreter Deutschlands im Ausschuss kein standortpolitisches Denken verfolge:
„Ich glaube, das Problem liegt nicht darin, dass jedes Land genau eine Stimme hat. Aber die Sache ist doch, dass es nicht mehr die Artikel-29-Gruppe ist, sondern ein europäisches Gremium mit einer gewissen Entscheidungsgewalt. Es muss zunehmend wie ein europäisches Gremium handeln und damit auch akzeptieren, dass es keine rein nationalen Entscheidungen mehr geben kann. Die DSGVO selbst sollte hierfür bereits den nötigen Anstoß geben, da man immer das Risiko eingeht, dass datenschutzrechtlich zweifelhafte Entscheidungen im rein nationalen Interesse vom Ausschuss kassiert werden.“
Herausforderungen für den Europäischen Datenschutzausschuss
Der WhatsApp-Facebook-Fall wirft die Frage des Verhältnisses einer unabhängigen Aufsichtsbehörde zum Europäischen Datenschutzausschuss auf: Inwieweit können andere Aufsichtsbehörden die Entscheidungen einer Behörde beeinflussen? Ulrich Kelber zitiert dazu den ehemaligen belgischen Datenschutzbeauftragten Willem Debeuckelaere, der sagte: „Wir sind unabhängige Datenschutzbehörden, aber seit Mai 2018 weniger unabhängig voneinander als vorher.“
Der Europäische Datenschutzausschuss muss sich aber noch in vielen weiteren Fragen einigen. Ulrich Kelber betont daher:
„Harmonisieren ist unglaublich entscheidend. Nicht jeder muss eine unterschiedliche White- oder Blacklist für datenschutzrelevante Vorgänge machen. Ziel muss es jetzt sein, gesamteuropäische Lösungen zu finden. Kriegen wir eine Richtlinie für Bußgelder hin bei allen unterschiedlichen Rechtstraditionen? Kriegen wir zumindest einen Kern für die White- und Blacklists hin? Unterrichten wir uns über wichtige Fälle, um von den Erfahrungen der anderen stärker zu profitieren?“
Gastbeitrag der freien Journalistin Christiane Schulzki-Haddouti. Sie twittert nicht nur zu Datenschutzthemen unter @kooptech
