Der Irish Council for Civil Liberties (ICCL) hat am Montag 29. November beim Europäischen Bürgerbeauftragten eine formelle Beschwerde gegen die Europäische Kommission eingereicht, weil sie die Durchsetzung der EU-Datenschutz-Grundverordnung (DSGVO) nicht überwacht und Irland nicht zur Rechenschaft zieht.
Die Beschwerde vom ICCL ist in zwei Teilbereiche aufgeteilt.
Der erste Teil gilt als besonders kontrovers, denn dort wird der Europäischen Kommission vorgeworfen, keinen Überwachungsmechanismus für die Einhaltung und Implementierung der DSGVO-Normen geschaffen zu haben.
Der zweite Teil bezieht sich auf die Zurückhaltung der Kommission gegen Irland und deren vermeintliche Nichtanwendung der Regelungen der DSGVO. Im September veröffentlichte der ICCL einen Bericht, aus dem hervorging, dass die irische Datenschutzbeauftragte nur in 2 % der grenzüberschreitenden Fälle, die sie leitet, eine Entscheidung getroffen hat.
„Die Europäische Kommission hat nicht nur nicht gehandelt, sondern sie hat nicht einmal Informationen gesammelt, um zu wissen, ob sie handeln soll“, teilte Johnny Ryan, ein Senior Fellow des ICCL, EURACTIV mit.
„Wir weisen auf ein tiefgreifendes Problem mit der DSGVO hin. Und dieses Problem scheint darin zu bestehen, dass diese Kommission kein Interesse an der Datenschutzagenda der vorherigen Kommission hat“, fügte er hinzu.
Hüterin der Verträge
Die irische NGO räumte ein, dass die Kommission als Hüterin der Verträge einen großen Ermessensspielraum bei der Entscheidung hat, ob sie ein Verstoßverfahren gegen Mitgliedstaaten einleitet, die offen gegen EU-Recht verstoßen oder es nicht aufrechterhalten.
In der Beschwerde wird jedoch darauf hingewiesen, dass die EU-Exekutive die Pflicht hat, zu überwachen, ob die EU-Vorschriften ordnungsgemäß angewandt werden. Obwohl die NGO den EU-Kommissar für Justiz und Rechtsstaatlichkeit, Didier Reynders, im September aufgefordert hatte, Maßnahmen gegen Irland zu ergreifen, ist sie nun dazu übergegangen Anzeige gegen die EU-Exekutive wegen Missständen in der Verwaltungstätigkeit zu erstatten.
Die der Beschwerde zugrundeliegenden Daten gehen auf einem im September veröffentlichten Bericht zurück. Für diesen Bericht befragte ICCL nahezu alle EU-Datenschutzbehörden und analysierte die Daten, die der Europäische Datenschutzausschuss (EDPB) – das Amt, das die Daten sammelt – bereitstellt.
„Wir haben festgestellt, dass die Statistiken, die der Europäischen Kommission vorgelegt wurden, völlig unzureichend sind“, fügte Ryan hinzu.
Er nannte Beispiele dafür, für wie viele Fälle jeder Datenschutzbeauftragte federführend ist, wie oft die Behörden von ihren Ermittlungs- oder Sanktionsbefugnissen Gebrauch gemacht haben. Zudem gab er an, wie viele Tage es dauert, von einer Beschwerde zu einem Entscheidungsentwurf und damit zu einer endgültigen Entscheidung zu gelangen. Keine dieser Daten ist derzeit verfügbar.
Die Europäische Bürgerbeauftragte Emily O’Reilly wird nun die Beschwerde prüfen und entscheiden, ob sie eine Untersuchung einleitet. Im Jahr 2019 wurden 79 % der Empfehlungen des EU-Bürgerbeauftragten von der Europäischen Kommission aufgegriffen.
Irland im Fokus des Interesses
Der ICCL ist nicht der einzige, der mit dem Finger auf die irische Datenschutzbehörde gedeutet hat. Auch andere nationale Datenschutzbehörden in der EU haben der irischen Aufsichtsbehörde vorgeworfen, ihren Verpflichtungen nicht nachzukommen. Die überwältigende Mehrheit der sehr großen Technologieunternehmen hat ihre Rechtsgrundlage in Irland, das daher bei den meisten grenzüberschreitenden Fällen die Führung hat.
Auch das Europäische Parlament schaltete sich im Mai in die Debatte ein, als die EU-Gesetzgeber eine nicht bindende Entschließung verabschiedeten, in der sie die Europäische Kommission auffordern, ein Vertragsverletzungsverfahren gegen Irland einzuleiten, weil es angeblich das EU-Datenschutzrecht nicht anwendet.
„Es lässt sich nicht leugnen, dass das System derzeit einige Verzerrungen aufweist, aber diese könnten durch eine stärkere Zusammenarbeit und die Übertragung von Fällen an andere Behörden, die in einzelnen Mitgliedstaaten auftreten, korrigiert werden“, bemerkte Vincenzo Tiani, ein Partner der Anwaltskanzlei Panetta. Tiani betonte jedoch, dass dies die Bereitschaft aller Behörden erfordern würde – einschließlich der irischen.
Der Europäische Datenschutzbeauftragte (EDSB) hat kürzlich eine Konferenz im Juni nächsten Jahres angekündigt, um die Architektur der DSGVO-Durchsetzung zu überdenken. Die anhaltenden Missstände bei der Durchsetzung der DSGVO haben auch die politischen Diskussionen über den Vorschlag für ein Gesetz digitale Dienste (Digital Services Act) beeinflusst.
Für Ryan von ICCL hat die Untätigkeit der Kommission auch unbeabsichtigte Folgen für Desinformation und Marktmacht, zwei Themen, die die EU-Exekutive mit neuen Gesetzesvorschlägen anzugehen versucht.
„Was die Kommission tun muss, ist, zur Datenschutz-Grundverordnung zurückzukehren und dafür zu sorgen, dass dieses Gesetz durchgesetzt wird, denn wenn das nicht der Fall ist, was nützt dann eine neue Generation von digitalen Gesetzen?“, sagte Ryan.
Die Kommission war zum Zeitpunkt der Veröffentlichung nicht für eine Stellungnahme zu erreichen.
[Bearbeitet von Zoran Radosavljevic]