Die Durchsetzung der EU-Datenschutzvorschriften wird durch einen Mangel an Ressourcen bei den nationalen Behörden beeinträchtigt. Das geht aus einer neuen Studie hervor, die heute – am zweiten „Geburtstag“ der Datenschutzgrundverordnung (DSGVO) der EU – veröffentlicht wurde.
Der Bericht der Interessenvertretung Access Now kommt zu dem Ergebnis, dass aufgrund einer erheblichen Ungleichheit bei der Finanzierung der nationalen Datenschutzbehörden größere Unternehmen versuchen könnten, einzelne Bestimmungen in der DSGVO zu unterlaufen.
„Unternehmen könnten den Mangel an Ressourcen der [nationalen] Datenschutzbehörden ausnutzen, um die Anwendung der DSGVO zu umgehen, oder zumindest deren Wirkung erheblich verzögern,“ heißt es in dem Report. Dabei wird vor allem auf eine kürzlich von der irischen Datenschutzkommission (DPC) vorgebrachte Behauptung hingewiesen, dass vor allem „Verfahrensfragen“ die Entscheidungen über erste Bußgelder bisher verzögert hätten.
Darüber hinaus sei die Zahl der Beschäftigten in den Datenschutzbehörden in der gesamten EU seit Anfang 2019 kaum gestiegen, heißt es in dem Bericht mit Verweis auf jüngste Kritik des Europäischen Datenschutzrates (European Data Protection Board, EDPB).
Keine ausreichenden Mittel
Dass sich bei diesen Problemen im Laufe des Jahres 2020 wesentliche Verbesserungen einstellen, gilt ebenfalls als unwahrscheinlich: In Reaktion auf eine EDPB-Umfrage Anfang des Jahres betonte eine Mehrheit der Datenschutzbehörden in den EU-Mitgliedstaaten (darunter in Deutschland, Frankreich und Spanien), ihnen seien nicht genügend Ressourcen zugewiesen worden, um die vorgesehenen Kompetenzen effektiv ausüben zu können.
Darüber hinaus stellt der Bericht von Access Now in Bezug auf die Finanzierung „erhebliche Unterschiede“ bei den Budgetzuweisungen für die nationalen Datenschutzbehörden innerhalb des Blocks fest. So sei der Etat im aus der Union ausscheidenden Vereinigten Königreich doppelt so groß wie der Italiens und sogar dreimal so groß wie der Frankreichs.
„Dieser unzureichende Etat, der den Datenschutzbehörden zur Verfügung gestellt wird, bedeutet, dass unsere Rechte möglicherweise nicht wirksam geschützt werden“, kritisiert die Organisation.
Aufgrund der mangelnden Ressourcen könnte es für Datenschutzbehörden, die gegen große Technologieunternehmen ermitteln, tatsächlich „einen negativen Anreiz geben, sich auf Vergleiche zu einigen, die für die Unternehmen günstiger sein dürften“, heißt es in dem Bericht weiter. Access Now erinnert dabei an den Vergleich zwischen dem Vereinigten Königreichs und Facebook nach dem Cambridge-Analytica-Skandal: Dieser sei möglicherweise angesichts der potenziellen Kosten für die Einleitung eines Gerichtsverfahrens vorangetrieben worden.
In einem Brief an Justizkommissar Didier Reynders hat der Vorsitzende des Ausschusses für bürgerliche Freiheiten des Europäischen Parlaments Juan Fernando López Aguilar inzwischen die Einleitung von Vertragsverletzungsverfahren gegen Mitgliedsstaaten gefordert, die es „konsequent versäumen“, ihre Datenschutzbehörden mit ausreichenden Mitteln auszustatten.
Das irische Problem
Einige der größten Technologieunternehmen der Welt, darunter Facebook, Google und Twitter, haben ihren europäischen Hauptsitz in Irland. Somit ist auch die irische Datenschutzbehörde DPC für die Verhängung von etwaigen Bußgeldern gegen diese Unternehmen bei Datenschutzverstößen zuständig.
Es gibt jedoch schon seit langem Befürchtungen, dass die Behörde Schwierigkeiten hat, den Anforderungen der Aufsicht über die weltweit größten Online-Akteure gerecht zu werden.
Diese Befürchtungen steigerten sich gegen Ende 2019, als die irische Datenschutzbeauftragte Helen Dixon betonte, sie sei „enttäuscht“ über die von der Regierung für die Behörde bereitgestellten Haushaltsmittel im Jahr 2020. Diese entsprachen weniger als einem Drittel der Mittel, die das DPC beantragt hatte.
Noch im Februar urteilte Deutschlands Bundesdatenschutzbeauftragter Ulrich Kelber gegenüber der Irish Times, das irische DPC sei offenbar „überfordert“ mit der Aufgabe, die dominantesten Online-Plattformen der Welt zu regulieren.
Wie als „Geburtstagsgeschenk“ zum zweiten Jahrestag der DSGVO hat die irische Datenschutzkommission nun aber den anderen EU-Mitgliedsstaaten einen Entscheidungsentwurf hinsichtlich einer Datenschutzverletzung durch Twitter vorgelegt.
Auch Ermittlungen gegen WhatsApp bezüglich Transparenz und Datenweitergabe an Facebook stehen vor ihrem Abschluss.
Mehr als 140.000 Beschwerden
Desweiteren wird im Bericht von Access Now festgehalten, dass zwischen Mai 2018 und März 2020 insgesamt 231 Geldstrafen verhängt wurden. zwischen Mai 2018 und Mai 2019 waren 144.373 Beschwerden eingereicht worden.
Spanien ist dabei das Land, in dem die höchste Anzahl an Strafen verhängt wurde, während das Vereinigte Königreich mit 204 Millionen Euro für British Airways das bisher höchste einzelne Bußgeld verhängt hat.
Die Europäische Kommission will ihrerseits am 3. Juni eine Bewertung der DSGVO vorlegen.
[Bearbeitet von Frédéric Simon und Tim Steins]