Zu wenig Mittel: Die Durchsetzung der DSGVO ist ausbaufähig

In Irland unterhalten aufgrund der günstigen Steuerregelungen die Internet-Giganten Twitter, Facebook und Google ihre Europa-Zentralen. Gerade die dortige Datenschutzbehörde scheint deutlich unterfinanziert zu sein. [Shutterstock]

Die Durchsetzung der EU-Datenschutzvorschriften wird durch einen Mangel an Ressourcen bei den nationalen Behörden beeinträchtigt. Das geht aus einer neuen Studie hervor, die heute – am zweiten „Geburtstag“ der Datenschutzgrundverordnung (DSGVO) der EU – veröffentlicht wurde.

Der Bericht der Interessenvertretung Access Now kommt zu dem Ergebnis, dass aufgrund einer erheblichen Ungleichheit bei der Finanzierung der nationalen Datenschutzbehörden größere Unternehmen versuchen könnten, einzelne Bestimmungen in der DSGVO zu unterlaufen.

„Unternehmen könnten den Mangel an Ressourcen der [nationalen] Datenschutzbehörden ausnutzen, um die Anwendung der DSGVO zu umgehen, oder zumindest deren Wirkung erheblich verzögern,“ heißt es in dem Report. Dabei wird vor allem auf eine kürzlich von der irischen Datenschutzkommission (DPC) vorgebrachte Behauptung hingewiesen, dass vor allem „Verfahrensfragen“ die Entscheidungen über erste Bußgelder bisher verzögert hätten.

Darüber hinaus sei die Zahl der Beschäftigten in den Datenschutzbehörden in der gesamten EU seit Anfang 2019 kaum gestiegen, heißt es in dem Bericht mit Verweis auf jüngste Kritik des Europäischen Datenschutzrates (European Data Protection Board, EDPB).

EU-Datenschutzrat "sehr besorgt" über DSGVO-Aussetzung in Ungarn

Der Europäische Datenschutzausschuss (EDPB) hat seine Besorgnis über die Aussetzung der Datenschutzrechte in Ungarn zum Ausdruck gebracht.

Keine ausreichenden Mittel

Dass sich bei diesen Problemen im Laufe des Jahres 2020 wesentliche Verbesserungen einstellen, gilt ebenfalls als unwahrscheinlich: In Reaktion auf eine EDPB-Umfrage Anfang des Jahres betonte eine Mehrheit der Datenschutzbehörden in den EU-Mitgliedstaaten (darunter in Deutschland, Frankreich und Spanien), ihnen seien nicht genügend Ressourcen zugewiesen worden, um die vorgesehenen Kompetenzen effektiv ausüben zu können.

Darüber hinaus stellt der Bericht von Access Now in Bezug auf die Finanzierung „erhebliche Unterschiede“ bei den Budgetzuweisungen für die nationalen Datenschutzbehörden innerhalb des Blocks fest. So sei der Etat im aus der Union ausscheidenden Vereinigten Königreich doppelt so groß wie der Italiens und sogar dreimal so groß wie der Frankreichs.

„Dieser unzureichende Etat, der den Datenschutzbehörden zur Verfügung gestellt wird, bedeutet, dass unsere Rechte möglicherweise nicht wirksam geschützt werden“, kritisiert die Organisation.

Aufgrund der mangelnden Ressourcen könnte es für Datenschutzbehörden, die gegen große Technologieunternehmen ermitteln, tatsächlich „einen negativen Anreiz geben, sich auf Vergleiche zu einigen, die für die Unternehmen günstiger sein dürften“, heißt es in dem Bericht weiter. Access Now erinnert dabei an den Vergleich zwischen dem Vereinigten Königreichs und Facebook nach dem Cambridge-Analytica-Skandal: Dieser sei möglicherweise angesichts der potenziellen Kosten für die Einleitung eines Gerichtsverfahrens vorangetrieben worden.

DSGVO-Millionenstrafe: Testlauf für deutsches Modell

Wegen einer Verletzung der DSGVO verhängte die deutsche Datenschutz-Behörde ein Bußgeld von neun Millionen Euro gegen die 1&1 Telecom. Doch das Unternehmen wehrt sich. Ein Präzedenzfall – sowohl für Deutschland, als auch für Europa.

In einem Brief an Justizkommissar Didier Reynders hat der Vorsitzende des Ausschusses für bürgerliche Freiheiten des Europäischen Parlaments Juan Fernando López Aguilar inzwischen die Einleitung von Vertragsverletzungsverfahren gegen Mitgliedsstaaten gefordert, die es „konsequent versäumen“, ihre Datenschutzbehörden mit ausreichenden Mitteln auszustatten.

Das irische Problem

Einige der größten Technologieunternehmen der Welt, darunter Facebook, Google und Twitter, haben ihren europäischen Hauptsitz in Irland. Somit ist auch die irische Datenschutzbehörde DPC für die Verhängung von etwaigen Bußgeldern gegen diese Unternehmen bei Datenschutzverstößen zuständig.

Es gibt jedoch schon seit langem Befürchtungen, dass die Behörde Schwierigkeiten hat, den Anforderungen der Aufsicht über die weltweit größten Online-Akteure gerecht zu werden.

Diese Befürchtungen steigerten sich gegen Ende 2019, als die irische Datenschutzbeauftragte Helen Dixon betonte, sie sei „enttäuscht“ über die von der Regierung für die Behörde bereitgestellten Haushaltsmittel im Jahr 2020. Diese entsprachen weniger als einem Drittel der Mittel, die das DPC beantragt hatte.

Noch im Februar urteilte Deutschlands Bundesdatenschutzbeauftragter Ulrich Kelber gegenüber der Irish Times, das irische DPC sei offenbar „überfordert“ mit der Aufgabe, die dominantesten Online-Plattformen der Welt zu regulieren.

Irland gegen zusätzliche Besteuerung von Internet-Riesen

Irland hat sich gegen die Pläne der EU-Kommission für eine Digitalsteuer ausgesprochen. Diese stehe im Widerspruch zu anderen internationalen Vereinbarungen.

Wie als „Geburtstagsgeschenk“ zum zweiten Jahrestag der DSGVO hat die irische Datenschutzkommission nun aber den anderen EU-Mitgliedsstaaten einen Entscheidungsentwurf hinsichtlich einer Datenschutzverletzung durch Twitter vorgelegt.

Auch Ermittlungen gegen WhatsApp bezüglich Transparenz und Datenweitergabe an Facebook stehen vor ihrem Abschluss.

Mehr als 140.000 Beschwerden

Desweiteren wird im Bericht von Access Now festgehalten, dass zwischen Mai 2018 und März 2020 insgesamt 231 Geldstrafen verhängt wurden. zwischen Mai 2018 und Mai 2019 waren 144.373 Beschwerden eingereicht worden.

Spanien ist dabei das Land, in dem die höchste Anzahl an Strafen verhängt wurde, während das Vereinigte Königreich mit 204 Millionen Euro für British Airways das bisher höchste einzelne Bußgeld verhängt hat.

Die Europäische Kommission will ihrerseits am 3. Juni eine Bewertung der DSGVO vorlegen.

[Bearbeitet von Frédéric Simon und Tim Steins]

Europäischer Datenschutztag: 95.000 Beschwerden

Jüngste Zahlen zeigen, dass die europäischen Datenschutzbehörden seit Inkrafttreten der Datenschutzgrundverordnung mehr als 95.000 Beschwerden von EU-Bürgern erhalten haben.

Privatdaten von ÖsterreicherInnen im Netz: Ministerium droht DSGVO-Strafe

Auf der Website des Wirtschaftsministeriums waren die Daten österreichischer BürgerInnen öffentlich abrufbar, und zwar seit 2009. Die Partei prüft rechtliche Schritte – und könnte Erfolg haben, sagt ein DSGVO-Experte im Gespräch mit EURACTIV.

Datentransfers nach dem Brexit: "Auf alle Eventualitäten vorbereiten"

Das Vereinigte Königreich könnte mit Ende der Brexit-Übergangsfrist seine Datenschutzstandards von denen der EU abweichen lassen.

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN