Das Europäische Parlament hat am Donnerstag (20. Mai) für eine Entschließung gestimmt, mit der die Europäische Kommission aufgefordert wird, ein Vertragsverletzungsverfahren gegen Irland einzuleiten. Das Land habe es versäumt, die Datenschutzgrundverordnung (DSGVO) angemessen durchzusetzen.
In einer Entschließung zum Fall Schrems II – einem wegweisenden Gerichtsurteil, mit dem das sogenannte Privacy Shield zwischen der EU und den USA für ungültig erklärt wurde – drückten die Abgeordneten ihre Enttäuschung darüber aus, dass die irische Datenschutzbehörde (Data Protection Commissioner, DPC) es vorgezogen habe, Verfahren vor Gericht zu bringen, anstatt selbst Entscheidungen zu treffen.
Die DPC habe außerdem (erfolglos) versucht, die Gerichtskosten dem jeweiligen Kläger aufzuerlegen, was einen „massiven Abschreckungseffekt“ gehabt und EU-Bürger davon abgehalten hätte, ihre Rechte vor Gericht durchzusetzen, so die Abgeordneten.
Der Haupt-Kritikpunkt ist jedoch die Tatsache, dass die irische Datenschutzbehörde recht wenig Motivation an den Tag legt, Datenschutzbeschwerden zu bearbeiten: Seit dem Inkrafttreten der DSGVO im Mai 2018 seien tausende Beschwerden nicht angegangen worden.
„Die Zahlen sind schwindelerregend,“ so der österreichische Datenschutzaktivist Max Schrems gegenüber EURACTIV.com. Die DPC habe im vergangenen Jahr allein „etwa 10.000 Beschwerden gemeldet, aber über keine dieser Beschwerden eine formale Entscheidung getroffen“, kritisierte er. „Das bedeutet, dass der Weg zur Durchsetzung der Grundrechte in Irland im Jahr 2020 zu 100 Prozent gescheitert ist. Wenn das kein Fall für ein Vertragsverletzungsverfahren ist, dann wüsste ich nicht, was einer sein könnte,“ fügte er hinzu.
Tausende Fälle und viel Untätigkeit
Tatsächlich hat die DPC trotz tausender Beschwerden bisher nur eine einzige Sanktion für einen Verstoß gegen die DSGVO ausgesprochen.
Aus Sicht der EU-Abgeordneten steht diese Untätigkeit bereits im Widerspruch zur DSGVO, da Artikel 60 den zuständigen nationalen Behörden vorschreibt, bei Beschwerden „unverzüglich“ zu handeln. Darüber hinaus ist man in Brüssel der Ansicht, dass auch die irischen Aufsichtsbehörden keine ausreichenden Maßnahmen ergriffen hätten, um die DPC zur Einhaltung und Durchsetzung der DSGVO zu bewegen.
Viele „Big Tech“-Firmen haben ihren europäischen Hauptsitz in Irland. Grund dafür ist das für sie günstige Steuerrecht auf der Insel. Somit ist die DPC die wohl wichtigste Behörde in Fragen wie DSGVO-Verstöße und Datenschutzbeschwerden gegen diese Tech-Giganten. Kritiker argumentieren, für Irland lohne es sich, die Durchsetzung der DSGVO zu vernachlässigen. Dies sei schließlich im wirtschaftlichen Interesse des Landes.
Die linke irische Europaabgeordnete Clare Daly betonte gestern jedoch, der alleinige Fokus auf die DPC sei überzogen. Ihrer Ansicht nach ist die irische Agentur lediglich Teil eines breiteren Problems: „Wir denken, dass es absolut richtig ist, die Arbeit der irischen DPC zu hinterfragen – gerade, wenn man bedenkt, wie bedeutend ihre Rolle ist. Aber wir denken nicht, dass dies auf Kosten der Überprüfung des allgemeinen Systems in ganz Europa und seiner Fehler und Versäumnisse gehen sollte;“ erklärte sie gegenüber EURACTIV.com.
Zu wenig finanzielle Mittel?
Bereits zuvor hatte es Spannungen zwischen der irischen DPC und seinen Pendants aus anderen europäischen Ländern gegeben: Im März kritisierte beispielsweise die zuständige deutsche Behörde das langsame Tempo der DPC bei der Bearbeitung von Beschwerden.
Die irische Datenschutzbeauftragte Helen Dixon begründet die Verzögerungen derweil mit mangelnden Ressourcen. Allerdings ist das Budget der DPC ist in den vergangenen Jahren stetig gestiegen und liegt im Jahr 2021 bei 9,1 Millionen Euro.
„Wir beobachten, dass mehr finanzielle Ressourcen geboten wurden, und es gab Verbesserungen. Nichtsdestotrotz sind wir dafür, dass es mehr Spielraum für die DPC geben sollte; ihre Ressourcen müssen erneut erhöht werden – gerade angesichts der Tatsache, dass die Unternehmen, die sie regulieren soll, über nahezu unbegrenzte Mittel verfügen, um Klagen zu bekämpfen und anzufechten,“ argumentierte die EU-Abgeordnete Daly.
Die unzureichende Finanzierung der zuständigen Behörden in Irland (und in einem weiteren Steuerparadies, Luxemburg) wurde bereits in der jüngsten Bestandsaufnahme der Europäischen Kommission zur DSGVO erwähnt. Dort heißt es: „Da die größten multinationalen Technologieunternehmen in Irland und Luxemburg niedergelassen sind, fungieren die Datenschutzbehörden dieser Länder in vielen wichtigen grenzüberschreitenden Fällen als federführende Behörden und benötigen möglicherweise mehr Ressourcen, als die Bevölkerungszahl dieser Länder ansonsten vermuten ließe.“
Verfahren noch nicht in Sicht
Der Kommissar für Justiz und Verbraucherrechte, Didier Reynders, erklärte gegenüber EURACTIV.com nun, die Europäische Kommission werde Maßnahmen gegen Irland in Erwägung ziehen. Zunächst würden aber „andere Maßnahmen“ ergriffen, um die Einhaltung der DSGVO sicherzustellen, bevor ein formelles Verfahren eingeleitet werde.
Auf die Nachfrage, welche derartigen „Maßnahmen“ bereits ergriffen worden seien, um die Einhaltung des Datenschutzes zu gewährleisten, teilte ein Beamter der Kommission gegenüber EURACTIV.com mit: „In der Vergangenheit wurden innerhalb des [Europäischen Datenschutzausschusses] mehrere Schritte in diese Richtung unternommen, insbesondere zur Verbesserung der Verfahren für das sogenannte One-Stop-Shop-System.
Die Kommission werde die Arbeit des Gremiums weiterhin unterstützen und die Fortschritte „sorgfältig verfolgen“.
Damit das neue DSGVO-Governance-System, das auf der Arbeit von unabhängigen Datenschutzbehörden basiert, effizient arbeiten kann, sei es außerdem wichtig, „Vertrauen und einen europäischen Geist der Zusammenarbeit zu entwickeln“, fügte der Beamte hinzu. Ein mögliches Vertragsverletzungsverfahren seitens der Europäischen Kommission gegen Irland wollte er nicht kommentieren.
Die irische DPC hat sich auf eine Anfrage von EURACTIV.com bisher nicht geäußert.