Datenschutz: EU-Parlament fordert Vertragsverletzungsverfahren gegen Irland

Haupt-Kritikpunkt ist die Tatsache, dass die irische Datenschutzbehörde recht wenig Motivation an den Tag legt, Datenschutzbeschwerden zu bearbeiten. [Shutterstock]

Das Europäische Parlament hat am Donnerstag (20. Mai) für eine Entschließung gestimmt, mit der die Europäische Kommission aufgefordert wird, ein Vertragsverletzungsverfahren gegen Irland einzuleiten. Das Land habe es versäumt, die Datenschutzgrundverordnung (DSGVO) angemessen durchzusetzen.

In einer Entschließung zum Fall Schrems II – einem wegweisenden Gerichtsurteil, mit dem das sogenannte Privacy Shield zwischen der EU und den USA für ungültig erklärt wurde – drückten die Abgeordneten ihre Enttäuschung darüber aus, dass die irische Datenschutzbehörde (Data Protection Commissioner, DPC) es vorgezogen habe, Verfahren vor Gericht zu bringen, anstatt selbst Entscheidungen zu treffen.

Die DPC habe außerdem (erfolglos) versucht, die Gerichtskosten dem jeweiligen Kläger aufzuerlegen, was einen „massiven Abschreckungseffekt“ gehabt und EU-Bürger davon abgehalten hätte, ihre Rechte vor Gericht durchzusetzen, so die Abgeordneten.

Nach juristischer Niederlage Facebooks: Baldiger Stopp des Datentransfers aus der EU in die USA möglich

Facebook hat in Irland eine juristische Niederlage erlitten, die einen baldigen Stopp des Datentransfers aus der EU in die USA zur Folge haben könnte.

Der Haupt-Kritikpunkt ist jedoch die Tatsache, dass die irische Datenschutzbehörde recht wenig Motivation an den Tag legt, Datenschutzbeschwerden zu bearbeiten: Seit dem Inkrafttreten der DSGVO im Mai 2018 seien tausende Beschwerden nicht angegangen worden.

„Die Zahlen sind schwindelerregend,“ so der österreichische Datenschutzaktivist Max Schrems gegenüber EURACTIV.com. Die DPC habe im vergangenen Jahr allein „etwa 10.000 Beschwerden gemeldet, aber über keine dieser Beschwerden eine formale Entscheidung getroffen“, kritisierte er. „Das bedeutet, dass der Weg zur Durchsetzung der Grundrechte in Irland im Jahr 2020 zu 100 Prozent gescheitert ist. Wenn das kein Fall für ein Vertragsverletzungsverfahren ist, dann wüsste ich nicht, was einer sein könnte,“ fügte er hinzu.

Tausende Fälle und viel Untätigkeit

Tatsächlich hat die DPC trotz tausender Beschwerden bisher nur eine einzige Sanktion für einen Verstoß gegen die DSGVO ausgesprochen.

Aus Sicht der EU-Abgeordneten steht diese Untätigkeit bereits im Widerspruch zur DSGVO, da Artikel 60 den zuständigen nationalen Behörden vorschreibt, bei Beschwerden „unverzüglich“ zu handeln. Darüber hinaus ist man in Brüssel der Ansicht, dass auch die irischen Aufsichtsbehörden keine ausreichenden Maßnahmen ergriffen hätten, um die DPC zur Einhaltung und Durchsetzung der DSGVO zu bewegen.

533 Millionen Datendiebstähle bei Facebook vor DSGVO-Einführung

Facebook hat der zuständigen irischen Datenschutzkommission mitgeteilt, dass vor dem Inkrafttreten der EU-Datenschutzgrundverordnung im Jahr 2018 eine „Sicherheitsverletzung“ bezüglich der persönlichen Daten von 533 Millionen Usern weltweit stattgefunden hat.

Viele „Big Tech“-Firmen haben ihren europäischen Hauptsitz in Irland. Grund dafür ist das für sie günstige Steuerrecht auf der Insel. Somit ist die DPC die wohl wichtigste Behörde in Fragen wie DSGVO-Verstöße und Datenschutzbeschwerden gegen diese Tech-Giganten. Kritiker argumentieren, für Irland lohne es sich, die Durchsetzung der DSGVO zu vernachlässigen. Dies sei schließlich im wirtschaftlichen Interesse des Landes.

Die linke irische Europaabgeordnete Clare Daly betonte gestern jedoch, der alleinige Fokus auf die DPC sei überzogen. Ihrer Ansicht nach ist die irische Agentur lediglich Teil eines breiteren Problems: „Wir denken, dass es absolut richtig ist, die Arbeit der irischen DPC zu hinterfragen – gerade, wenn man bedenkt, wie bedeutend ihre Rolle ist. Aber wir denken nicht, dass dies auf Kosten der Überprüfung des allgemeinen Systems in ganz Europa und seiner Fehler und Versäumnisse gehen sollte;“ erklärte sie gegenüber EURACTIV.com.

Zu wenig finanzielle Mittel?

Bereits zuvor hatte es Spannungen zwischen der irischen DPC und seinen Pendants aus anderen europäischen Ländern gegeben: Im März kritisierte beispielsweise die zuständige deutsche Behörde das langsame Tempo der DPC bei der Bearbeitung von Beschwerden.

Die irische Datenschutzbeauftragte Helen Dixon begründet die Verzögerungen derweil mit mangelnden Ressourcen. Allerdings ist das Budget der DPC ist in den vergangenen Jahren stetig gestiegen und liegt im Jahr 2021 bei 9,1 Millionen Euro.

„Wir beobachten, dass mehr finanzielle Ressourcen geboten wurden, und es gab Verbesserungen. Nichtsdestotrotz sind wir dafür, dass es mehr Spielraum für die DPC geben sollte; ihre Ressourcen müssen erneut erhöht werden – gerade angesichts der Tatsache, dass die Unternehmen, die sie regulieren soll, über nahezu unbegrenzte Mittel verfügen, um Klagen zu bekämpfen und anzufechten,“ argumentierte die EU-Abgeordnete Daly.

Zu wenig Mittel: Die Durchsetzung der DSGVO ist ausbaufähig

Die Durchsetzung der EU-Datenschutzvorschriften wird durch einen Mangel an Ressourcen bei den nationalen Behörden beeinträchtigt. Das geht aus einer neuen Studie hervor, die heute – am zweiten „Geburtstag“ der Datenschutzgrundverordnung der EU – veröffentlicht wurde.

Die unzureichende Finanzierung der zuständigen Behörden in Irland (und in einem weiteren Steuerparadies, Luxemburg) wurde bereits in der jüngsten Bestandsaufnahme der Europäischen Kommission zur DSGVO erwähnt. Dort heißt es: „Da die größten multinationalen Technologieunternehmen in Irland und Luxemburg niedergelassen sind, fungieren die Datenschutzbehörden dieser Länder in vielen wichtigen grenzüberschreitenden Fällen als federführende Behörden und benötigen möglicherweise mehr Ressourcen, als die Bevölkerungszahl dieser Länder ansonsten vermuten ließe.“

Verfahren noch nicht in Sicht

Der Kommissar für Justiz und Verbraucherrechte, Didier Reynders, erklärte gegenüber EURACTIV.com nun, die Europäische Kommission werde Maßnahmen gegen Irland in Erwägung ziehen. Zunächst würden aber „andere Maßnahmen“ ergriffen, um die Einhaltung der DSGVO sicherzustellen, bevor ein formelles Verfahren eingeleitet werde.

Auf die Nachfrage, welche derartigen „Maßnahmen“ bereits ergriffen worden seien, um die Einhaltung des Datenschutzes zu gewährleisten, teilte ein Beamter der Kommission gegenüber EURACTIV.com mit: „In der Vergangenheit wurden innerhalb des [Europäischen Datenschutzausschusses] mehrere Schritte in diese Richtung unternommen, insbesondere zur Verbesserung der Verfahren für das sogenannte One-Stop-Shop-System.

Die Kommission werde die Arbeit des Gremiums weiterhin unterstützen und die Fortschritte „sorgfältig verfolgen“.

Damit das neue DSGVO-Governance-System, das auf der Arbeit von unabhängigen Datenschutzbehörden basiert, effizient arbeiten kann, sei es außerdem wichtig, „Vertrauen und einen europäischen Geist der Zusammenarbeit zu entwickeln“, fügte der Beamte hinzu. Ein mögliches Vertragsverletzungsverfahren seitens der Europäischen Kommission gegen Irland wollte er nicht kommentieren.

Die irische DPC hat sich auf eine Anfrage von EURACTIV.com bisher nicht geäußert.

Nach Schrems-Urteil: EU und USA arbeiten an „verbessertem Privacy Shield“

Seit der EU-Gerichtshof das Datentransfer-Abkommen „Privacy Shield“ zwischen EU und USA für nichtig erklärte, stehen Unternehmen vor großer Unsicherheit. Nun begannen die Verhandlungen für ein neues Abkommen. 

Datenschützer nach Ratsbeschluss zur ePrivacy-Verordnung "fassungslos"

Der EU-Rat hat sich am Mittwoch auf weitreichende neue Datenschutzregeln im Rahmen der sogenannten ePrivacy-Verordnung einigen können. Allerdings enthielten sich Deutschland und Österreich bei der Abstimmung und forderten „erhebliche Nachbesserungen“ am finalen Text.

Offener Brief: Datenschützer Max Schrems schießt scharf gegen irische Behörden

Seit zwei Jahren bearbeitet die irische Datenschutzbehörde Klagen gegen Facebook. Datenschützer Max Schrems dauert das zu lange. In einem offenen Brief kritisiert er das Vorgehen der Iren, und fordert die Unterstützung der EU und Mitgliedsstaaten.

Subscribe to our newsletters

Subscribe