Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat seine Besorgnis über die Aussetzung der Datenschutzrechte in Ungarn zum Ausdruck gebracht.
Der EDPB ist die Dachorganisation der Europäischen Union zur Überwachung der Anwendung der EU-Datenschutzvorschriften im gesamten Block.
Anfang Mai hatte die ungarische Regierung als Teil ihrer neuen Notstandsbefugnisse infolge des Coronavirus-Ausbruchs Pläne zur Aussetzung einer Reihe von Schutzmaßnahmen vorgelegt, die in der Datenschutzgrundverordnung (DSGVO) der EU festgelegt sind.
Anlässlich der Veröffentlichung des EDPB-Jahresberichts 2019 am Montag brachte die Vorsitzende Andrea Jelinek ihre Besorgnis über den jüngsten Schritt der ungarischen Behörden zum Ausdruck: „Ich bin persönlich sehr besorgt über die Aussetzung mehrerer Artikel der DSGVO durch die ungarische Regierung.“
Jelinek fügte hinzu, dass die Aussetzung des EU-Datenschutzrechts inmitten der gegenwärtigen Krise vom EDPB „nicht empfohlen“ werde.
Die ungarische Regierung hatte eine Reihe von Vorschriften in der DSGVO außer Kraft gesetzt, darunter das Recht auf Zugang zu und Löschung von persönlichen Daten. Auch die Verpflichtung der Behörden, Personen zu benachrichtigen, wenn persönliche Daten gesammelt werden, wurde gelockert – angeblich, um weiteren Coronavirus-Infektionen vorzubeugen.
Personen, die eine Beschwerde einreichen oder ihr Recht auf einen gerichtlichen Rechtsbehelf wahrnehmen wollen, müssen sich für den Verfahrensbeginn ebenfalls gedulden, bis die Regierung das Ende des Ausnahmezustands verkündet hat.
Abweichungen von der DSGVO theoretisch möglich
Jelinek teilte weiter mit, die ungarische Aufsichtsbehörde habe den EDPB über die DSGVO-Aussetzung im Rahmen der ergriffenen Anti-Coronavirus-Maßnahmen informiert. Der Ausschuss halte aber „weitere Erläuterungen zur Notwendigkeit und Verhältnismäßigkeit“ der Neuregelungen für „erforderlich“.
Die österreichische Beamtin fügte hinzu, der EDPB sei außerdem derzeit damit beschäftigt, weitere Erläuterungen zu Artikel 23 der DSGVO zu erarbeiten, der es den Mitgliedstaaten erlaubt, unter bestimmten Umständen gewisse Ausnahmeregelungen zum europäischen Datenschutzrecht anzuwenden.
Die teilweise Aussetzung der DSGVO ist Teil der von der Regierung Viktor Orbán verabschiedeten Dekrete, seit das ungarische Parlament am 30. März neue Notstandsbefugnisse für die Regierung genehmigt hatte. Diese Notstandsbefugnisse geben Orbáns Fidesz-Partei aktuell das Recht, per Dekret ohne zeitliche Befristung zu regieren, solange der Ausnahmezustand in Kraft ist. Dabei wird allerdings auch die Dauer dieses Ausnahmezustands von der Regierung festgelegt.
Die neuen Gesetze sehen außerdem bis zu fünf Jahre Haft für Personen vor, die der Verbreitung von Fake News für schuldig befunden werden, sowie bis zu acht Jahre für Menschen, die gegen die Quarantänemaßnahmen verstoßen, die zur Eindämmung des Coronavirus in Ungarn eingeführt wurden.
Die für Werte und Transparenz zuständige Kommissionsvizepräsidentin Vera Jourová erklärte gegenüber der Brüsseler Presse in der vergangenen Woche, dass die Exekutive die Situation in Ungarn weiterhin beobachtet. Dabei würden täglich Berichte aus Budapest über die Festnahme von Personen eintreffen, die der Verbreitung von Fake News bezichtigt werden.
Man prüfe daher ebenfalls täglich, „ob wir rechtliche Schritte einleiten können,“ habe sich aber bisher nicht dazu entschieden, ein Vertragsverletzungsverfahren einzuleiten, so die Kommissarin.
Zu wenig Mittel
In dem am Montag veröffentlichten Jahresbericht 2019 betont der EDPB, wie wichtig es sei, die Schlagkraft der EU im Bereich des Datenschutzes zu stärken – vor allem durch ausreichende Mittelzuweisungen. Jelinek sagte dazu, die nationalen Datenschutzbehörden in der gesamten EU müssten dringend „angemessen finanziert werden“. Eine Umfrage des Gremiums habe ergeben, dass aus Sicht der meisten Aufsichtsbehörden „die ihnen zur Verfügung gestellten Ressourcen unzureichend sind“.
Ähnliches hatte kürzlich ein Bericht des Webbrowser-Unternehmens Brave gezeigt. Darin hieß es, die nationalenb Datenaufsichtsbehörden im gesamten Block sein mit unzureichenden Ressourcen „kläglich“ unterversorgt.
Trotzdem lobte Jelinek das Jahr 2019 als ein gutes, proaktives Jahr für den Datenschutz in der EU. Ihrer Ansicht nach sei es aktuell „verfrüht, die DSGVO zu überarbeiten“.
Im EDPB-Jahresbericht 2019 wird festgehalten, dass im gesamten Jahr 807 Verstöße gegen die allgemeinen Datenschutzbestimmungen der EU im Binnenmarkt-Informationssystem des Blocks, das für den Informationsaustausch zwischen Aufsichtsbehörden genutzt wird, gemeldet wurden.
Über den „one-stop-shop“-Mechanismus der DSGVO, der für die Einreichung grenzüberschreitender Fälle verwendet wird, wurden 79 endgültige Entscheidungen getroffen.
[Bearbeitet von Zoran Radosavljevic und Tim Steins]