Zum Inhalt springen Zur Navigation springen
Unterfinanziert und unterbesetzt: Datenschutzbehörden am Ende?

Unterfinanziert und unterbesetzt: Datenschutzbehörden am Ende?

Damit sich die DSGVO nicht als zahnloser Tiger erweist, bedarf es eifriger Behörden, die nicht vor der Durchsetzung geltenden Datenschutzrechts zurückschrecken. In fast allen Mitgliedsstaaten der EU fehlen hierzu die dringend benötigten Ressourcen – Wieso? Staatsversagen. Um die Europäische Kommission zum Handeln zu bewegen, hat das Unternehmen Brave kürzlich Beschwerde eingelegt.

Ganz schön mutig – Brave eben

Was das Unternehmen Brave Software Inc. nach herausfand, dürfte bei Datenschützern für Grauen und Entsetzen sorgen: Fast alle Mitgliedsstaaten der EU lassen ihre Datenschutzaufsichtsbehörden im Stich.

Bei Brave handelt es sich um den Betreiber eines quelloffenen Webbrowsers, der sich dem Datenschutz verschrieben hat. Erst eineinhalb Monate ist es her, da beschwerte es sich über Google. Mit seinem vor kurzem veröffentlichten Bericht holt Brave zum Rundumschlag gegen untätige, die Datenschutzaufsicht vernachlässigende Mitgliedsstaaten aus. Darin legt Dr. Johnny Ryan, Braves Chief Policy & Industry Relations Officer, anhand vieler Diagramme anschaulich dar, dass die EU-Mitgliedsstaaten ihre Aufsichtsbehörden nicht angemessen mit finanziellen und personellen Ressourcen versorgen. Einzige Ausnahme – Deutschland!

Doch damit nicht genug: Dr. Ryan hat am 27. April 2020 eine Beschwerde bei der Europäischen Kommission eingelegt und von dieser gefordert, ein Vertragsverletzungsverfahren gegen 26 Mitgliedsstaaten einzuleiten. Hut ab!

Kein Land in Sicht

Land unter – EU-weit sind Datenschutzbehörden überfordert, ihnen fehlen die Mittel. Während sich Deutschland wacker hält, scheint Irland längst untergegangen zu sein:

Jede Menge Arbeit

Dass den Datenschutzaufsichtsbehörden seit Einführung der DSGVO nicht langweilig ist, dürfte bekannt sein. Angesichts explosionsartig gestiegener Meldungen von Datenschutzverletzungen seit Mai 2018 ist es nicht verwunderlich, dass die deutschen Aufsichtsbehörden gut zu tun haben. Wenn das Behördenleben schon hierzulande leicht chaotische Züge angenommen hat, wie leiden dann erst die weniger gut ausgestattete Aufsichtsbehörden in anderen EU-Staaten?

Gut Ding will Weile haben

Dass die Mühlen der Justiz zwar nur langsam, dafür aber stetig mahlen, ist bekannt. Diese Redewendung ließe sich jedoch auch sehr gut auf Datenschutzaufsichtsbehörden beziehen – zumindest, solange es sich nicht um die irische Aufsichtsbehörde handelt.

Während überall in der EU kleinere Unternehmen penibel auf die Einhaltung geltenden Datenschutzrechts überprüft werden, verschließt man die Augen vor den offensichtlichen Datenkraken Facebook, Google und Co. Ein Schelm, wer Böses dabei denkt.

Irlands Datenschutzbeauftragte Helen Dixon sieht das natürlich ganz anders. In Sachen Twitter, Facebook etc. werde noch entschieden. Ihr Büro sei vollends beschäftigt mit mehr als 12.000 Datenschutzbeschwerden seit 2018, die allesamt abgearbeitet werden müssten. Es gäbe keinen Zweifel, Bußgelder würden ausgesprochen.

Wann damit zu rechnen ist? Vermutlich am Sankt-Nimmerleins-Tag, denn während laut Brave-Bericht die Anzahl der Beschwerden täglich steigt, wird bei Budget und Personal abgebaut!

Helen Dixon verweist auf das erfolgreiche Einschreiten der irischen Aufsicht gegenüber Facebook, als diese eine eigene Dating-App einführen wollte. Hierzu betont sie:

“There are lots of different ways to go about creating a positive effect. Not all of them cater around fines and the superficial commentary we sometimes see.“

Das mag sein. Aber so ein schönes, deftiges Bußgeld gegen eine der Datenkraken wäre doch auch mal nicht schlecht, oder?

Datenschutzaufsicht? Läuft…

…zwar bergab, aber es läuft! So ließe sich die aktuelle Situation vieler Aufsichtsbehörden zusammenfassen. Es fehlt an finanziellen Mitteln, an Personal, an Fachkompetenz – tja, eigentlich an allem. Leidtragende ist die DSGVO. Wird die Einhaltung des Datenschutzrechts nicht angemessen überprüft, dann verkommt die Verordnung zu einem Stück EU-Nostalgie, dem keiner mehr Beachtung schenkt. Dr. Johnny Ryan trifft hierzu eine interessante Aussage:

 „If you don’t have strong, robust enforcement and investment, this law is a fantasy. We have failed to realise the potential of GDPR thus far.“

Den schwarzen Peter schiebt Dr. Ryan allerdings nicht den Aufsichtsbehörden zu:

„If the GDPR is at risk of failing, the fault lies with national governments, not with the data protection authorities.“

Klare Worte

Damit dürfte Dr. Ryan wohl Recht haben, denn die DSGVO gibt klar und deutlich vor, was Sache ist. In Art. 52 Abs. 4 DSGVO heißt es:

„Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.“

Das Erfordernis der Einleitung eines Vertragsverletzungsverfahrens durch die Kommission gemäß Art. 258 AEUV begründet Dr. Ryan auch mit Verweis auf Art. 16 Abs. 2 S. 2 AEUV und Art. 8 Abs. 3 GrCH. Diese Normen verpflichten die Mitgliedsstaaten dazu, unabhängige Stellen zu gründen, die die Einhaltung geltenden Datenschutzrechts überprüfen.

Es ist nur eine Seite der Medaille eine Aufsichtsbehörde zu errichten – ohne ausreichende Ressourcen kann keine Kontrolle erfolgen. Grund genug, die seitens Brave angemahnten Mängel einmal näher zu betrachten.

Ohne Moos nix los

Ein Verstoß gegen Art. 52 Abs. 4 DSGVO liege gemäß Dr. Ryan darin, dass die Aufsichtsbehörden in 26 EU-Mitgliedsstaaten unterfinanziert seien.

Am besten lässt sich das am Beispiel Luxemburgs veranschaulichen. Es liegt in der Verantwortung der luxemburgischen Aufsicht, die Umsetzung des Datenschutzrechts bei Amazon EU S.à.r.l. zu überwachen. Dabei betrug das Budget der Luxemburger Datenschützer 2019 ca. 5,7 Millionen Euro. Für Amazon muss diese Summe geradezu lächerlich wirken – ist das doch ungefähr der Betrag, den Amazon alle zehn Minuten durch Verkäufe einnimmt!

Die Datenschutzaufsichtsbehörden der Hälfte aller Mitgliedsstaaten müssen mit weniger als fünf Millionen Euro jährlich zurechtkommen, lediglich in drei Staaten (Deutschland, Italien, Vereinigtes Königreich) stehen mehr als 25 Millionen Euro jährlich zur Verfügung. Zum Vergleich: Laut Brave-Bericht erhalten Deutschlands Aufsichtsbehörden zwischen 80 und 90 Millionen Euro pro Jahr!

Am Personal gespart

Laut Dr. Ryan fehle es zudem hinten und vorne an Personal, insbesondere an solchem, das über notwendiges IT-Fachwissen verfüge. Um im Bereich des Datenschutzes komplizierte IT-Fragen beantworten sowie Big Tech-Unternehmen prüfen zu können, bedarf es darauf spezialisierter Mitarbeiter. Wo er Recht hat, hat er Recht: Datenschutz und IT gehen miteinander Hand in Hand. Es reicht nicht, den Datenschutz lediglich von seiner rechtlichen Seite aus zu betrachten!

IT-Spezialisten sind in den Aufsichtsbehörden der EU-Mitgliedsstaaten größtenteils Mangelware. Lediglich in fünf Mitgliedsstaaten (sechs, wenn man Großbritannien dazu zählt) seien mehr als zehn IT-Spezialisten in Datenschutzaufsichtsbehörden beschäftigt. Über die Hälfte aller Mitgliedsstaaten statten ihre Aufsichtsbehörden insgesamt nur mit maximal fünf davon aus. Sieben Staaten beschäftigen nur einen oder zwei IT-Spezialisten.

Bei den Österreichern (0) und Belgiern (5), sowie in Zypern (2) und Lettland (1) sind die Zahlen deshalb so gering, weil diese Länder externe IT-Berater einsetzen.

Erstaunlich sind die Zahlen aus Deutschland: Auf Bundes- und Länderebene werden insgesamt 29 Prozent des EU-weit vorhandenen IT-Aufsichtsbehördenpersonals beschäftigt (über 100). Kein Wunder, dass Dr. Ryan Deutschland von seiner Beschwerde ausgenommen hat!

In den nationalen Datenschutzbehörden innerhalb der EU arbeiten 3520 Menschen. Davon sind lediglich 8,6 Prozent IT-Spezialisten. Nach Ansicht Dr. Ryans verzögere dies Untersuchungen, manchmal verhindere es sie auch. In Sachen Digitalisierung scheint die EU der Privatwirtschaft ja nicht nur hinterherzuhängen, man ist vollkommen weg vom Fenster!

Keine Chance

Letztlich haben die zu kontrollierenden, häufig multinationalen Konzerne auch einfach die besseren Karten – der Kampf gegen die großen Datenkraken unserer Zeit entspricht dem des David gegen Goliath mit umgekehrtem Ausgang.

Facebook, Google und Co. beschäftigen Heerscharen von Juristinnen und Juristen. Verständlich, dass der Einzelkämpfer in der Behörde dagegen kaum ankommt. Wie denn auch, finanziell unbewaffnet? In vielen Fällen trauen sich die Aufsichtsbehörden schon gar nicht an Big Tech-Unternehmen heran, aus Angst, ihre Maßnahmen würden angefochten. Sich ewig hinziehende Briefwechsel, lang andauernde Gerichtsverfahren – das geht ins Geld. Für die Datenkraken sind das nur Peanuts, die Behörde jedoch hat lediglich ein begrenztes Budget.

Noch dazu gehören die bei Datenschutzaufsichtsbehörden tätigen Verwaltungsjuristen nicht gerade zu den Topverdienern der juristischen Welt – über deren Gehälter können die Global Player nur lachen. Gutes Personal ist nun mal nicht billig.

Katastrophe vorprogrammiert

Wo soll das nur alles hinführen? Wenn ein Großteil der Aufsichtsbehörden in den EU-Mitgliedsstaaten angesichts fehlender finanzieller sowie personeller Mittel im Sumpf abertausender Beschwerden versinkt, wird daran die DSGVO zugrunde gehen. Bleiben Behörden untätig, haben Datenkraken, Big Data und Überwachungsstaaten freie Hand: Das Datenschutzrecht ist dann nicht mehr wert als das Papier, auf dem es steht.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Vielen Dank für den sehr interessanten Beitrag. Super formuliert!

  • …Und was sagt Dr. Ryan über den Datenschutz in seinem „Mutterland“, den USA? Schließlich haben alle genannten Unternehmen Ihren Hauptsitz in den USA und der „Privacy Shield“ steht wieder einmal kurz vor dem Aus. Ein jeder kehre dies bzgl. mal vor der eigenen Tür. Wenn es in USA mehr Bestrebungen bzgl. Datenschutz gäbe, wäre die Lage in der EU vermutlich auch weniger prekär. Zwar nicht bzgl. des Personals bzw. der Aufsichtsbehörden, aber bzgl. des Handlungsbedarfs. MFG, Schmidt

    • Vielen Dank für diesen spannenden Hinweis. Sie haben Recht, es wirkt doch etwas merkwürdig, wenn sich ein US-amerikanisches Unternehmen über die Datenschutzaufsicht europäischer Staaten echauffiert. An der finanziellen und personellen Situation der Aufsichtsbehörden würde ein besserer Datenschutz in den USA zwar nichts ändern, es bestünde aber ggf. weniger Prüfungsbedarf. Wenn Datenkraken wie Facebook und Co. bereits in den USA hinsichtlich des Datenschutzes schärfer kontrolliert würden, wäre es durchaus denkbar, dass die Datenkraken auch innerhalb der EU verstärkt auf Datenschutz achten würden. Dr. Ryan ist im Übrigen gebürtiger Ire.

  • Personalknappheit ist keine wirkliche Erklärung für die Untätigkeit und insbesondere die mangelnden Bußgelder. Als Beispiel: laut Tätigkeitsbericht des BayLDA wurde 2019 nur ein einziges Bußgeld erhoben. Personalknappheit ist nur wieder eine Nebelkerze, um die wahren Gründe zu verschleiern.

  • Vielen Dank für diese deutlichen Worte! Leider sind auch die deutschen Aufsichtsbehörden der Länder alle unterbesetzt. Lediglich der Bund hat bei wenig Kompetenzen eine mehr als ausreichende Ausstattung. Leider wird hier auf EU-Ebene nicht getrennt und daher davon ausgegangen, dass die deutschen Behörden ausreichend ausgestattet seien. Dabei ist die Datenschutzkontrolle des nicht-öffentlichen Bereichs fast ausschließlich bei den Landesbehörden verortet. Ein Vertragsverletzungsverfahren gegen Deutschland müsste sich wie bei der Umsetzung der JI-Richtlinie in erster Linie gegen diese Ebene richten.

    • Vielen Dank für Ihren Hinweis. In der Tat geht der Brave-Bericht nicht auf die Unterschiede zwischen Bund- und Länderaufsichtsbehörden ein. Die verschiedenen Strukturen sind Brave bzw. Dr. Ryan ggf. nicht weiter bekannt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.