Kommission weist Aufrufe zu DSGVO-Vertragsverletzungsverfahren zurück

EU-Justizkommissar Didier Reynders ist der oberste EU-Beamte, der für die Datenschutz-Grundverordnung (DSGVO) zuständig ist. [EPA-EFE/OLIVIER HOSLET]

Aus Sicht von Justizkommissar Didier Reynders ist es zu früh, um zu beurteilen, ob die Datenschutz-Grundverordnung (DSGVO) richtig funktioniert.

Der Kooperationsmechanismus ist die Grundlage für die Durchsetzung der EU-Datenschutzvorschriften.

Reynders äußerte sich in einer Antwort auf einen offenen Brief vom 6. Dezember, der von den niederländischen Europaabgeordneten Sophie in ‚t Veld und Tineke Strik sowie den deutschen Abgeordneten Birgit Sippel und Cornelia Ernst mitunterzeichnet wurde.

„Wenn nicht bald Maßnahmen ergriffen werden, um die Durchsetzung der DSGVO drastisch zu verbessern, besteht die Gefahr, dass sie zu einem Papiertiger wird“, schrieben die Abgeordneten. Sie fragten die EU-Exekutive, ob sie der Meinung sei, dass das EU-Datenschutzgesetz in Irland korrekt angewendet werde.

Unter der DSGVO hat Irland die Führung in den meisten hochrangigen Fällen, da die meisten Big-Tech-Unternehmen ihre europäische Rechtsgrundlage dort haben. Die Abgeordneten sind der Ansicht, dass die irische Datenschutzbeauftragte (DPC) diese Kontrollfunktion zu zaghaft auslegt und haben die Kommission mehrfach zum Handeln aufgefordert.

„Wir haben bisher keine Probleme mit den irischen Datenschutzvorschriften festgestellt und haben auch keine Beweise dafür, dass diese Vorschriften nicht eingehalten wurden“, antwortete die Kommission und verwies auf einen aktuellen Fall, bei dem die Datenschutzbeauftragte eine Strafe von 225 Millionen Euro gegen WhatsApp verhängt hat.

Datenschutz: EU-Parlament fordert Vertragsverletzungsverfahren gegen Irland

Das EU-Parlament fordert die Kommission auf, ein Vertragsverletzungsverfahren gegen Irland einzuleiten. Das Land habe es versäumt, die Datenschutzgrundverordnung (DSGVO) angemessen durchzusetzen.

Der jüngste Streit bezieht sich auf eine Reihe von Dokumenten, die von NOYB, einer NGO unter Leitung des Aktivisten Max Schrems, veröffentlicht wurden. In den Dokumenten wird die Rechtsgrundlage angezweifelt, die Facebook für die Verarbeitung personenbezogener Daten verwendet, die auf einem Vertrag und nicht auf der Zustimmung der Nutzer beruht.

Für Schrems zeigten die internen Dokumente, dass Facebook und die DPC die vertragliche Rechtsgrundlage entwickelt hatten, um die Zustimmungspflicht der Nutzer zu umgehen.

Darüber hinaus warf NOYB der irischen Behörde vor, im Zusammenhang mit den vom Europäischen Datenschutzausschuss (EDPB) entwickelten Leitlinien Lobbyarbeit zugunsten des Social-Media-Riesen zu betreiben. Der EDPB ist eine Einrichtung, in der alle EU-Datenschutzbehörden vertreten sind.

„Bei der Einrichtung des EDSB hat der Gesetzgeber vorgesehen, dass der eigentliche Zweck des Kohärenzverfahrens darin besteht, eine offene Diskussion und einen transparenten und ehrlichen Austausch verschiedener Standpunkte darüber zu ermöglichen, wie die DSGVO auszulegen ist“, antwortete Reynders.

Er betonte, dass es der Kommission nicht zustehe, auf der Grundlage von Meinungen, die während eines solchen Austauschs geäußert werden, zu intervenieren oder ein Vertragsverletzungsverfahren einzuleiten. Noch weniger sei dies bei einer „komplexen Angelegenheit“ wie der vertraglichen Grundlage der Fall, zu der unterschiedliche Ansichten geäußert worden seien.

Reynders fügte hinzu, dass die Kommission in der Vergangenheit nicht gezögert habe, ein Vertragsverletzungsverfahren einzuleiten, um die DSGVO zu verteidigen, und verwies auf die Fälle in Belgien, Polen und Ungarn, dass aber die Vorsicht der irischen Aufsichtsbehörde und ihr abweichender Standpunkt nicht die notwendigen Voraussetzungen erfüllten.

Johnny Ryan, ein Senior Fellow beim Irish Council for Civil Liberties (ICCL), sagte, dass „die unausgesprochene Haltung der Kommission offenbar darin besteht, dass sie nur die Pflicht hat, die Unabhängigkeit der Aufsichtsbehörden zu kontrollieren, und nichts anderes. Das ist kein tragfähiger Standpunkt“.

Reynders bestritt auch die von den Abgeordneten erwähnten Statistiken, die auf einer „falschen Interpretation der vom EDPB erstellten Statistik“ beruhen würden. Die EU-Parlamentarier:innen hatten auf eine Studie des ICCL verwiese, aus der hervorgeht, dass der irische Datenschutzbeauftragte nur in 2 Prozent seiner grenzüberschreitenden Fälle einen Entscheidungsentwurf vorlegt habe.

Die Kommission stellte fest, dass gütliche Einigungen, eine weit verbreitete Praxis, die in den Anwendungsbereich der DSGVO fällt, dazu führen können, dass ein Fall ohne Entscheidung abgeschlossen wird.

In einem Schreiben vom 14. Dezember wies der ICCL dieses Argument jedoch bereits zurück und verwies auf die Tatsache, dass die Daten aus dem Binnenmarkt-Informationssystem (IMI) stammen, in dem Fälle als abgeschlossen oder zurückgezogen gekennzeichnet werden können.

„Das IMI-Fallregister scheint die einzige unionsweite Quelle für Daten über den Arbeitsrückstand der einzelnen Aufsichtsbehörden zu sein. Wenn diese Daten unzureichend sind, kann die Kommission ihrer Pflicht zur wirksamen Überwachung der Anwendung der DSGVO nicht nachkommen“, schrieb der ICCL.

Der Aspekt der Datenverfügbarkeit ist wichtig. Im November reichte der ICCL eine förmliche Beschwerde beim Europäischen Bürgerbeauftragten ein, in der der Kommission vorgeworfen wurde, die Durchsetzung des EU-Datenschutzgesetzes nicht zu überwachen.

Zwar liegt es im Ermessen der EU-Exekutive, wann sie ein Vertragsverletzungsverfahren einleitet, doch kann die Kommission als Hüterin der Verträge nicht darauf verzichten, die ordnungsgemäße Anwendung des EU-Rechts zu überwachen.

EU Kommission in der Kritik wegen Missständen bei der Umsetzung der DSGVO

Der Irish Council for Civil Liberties (ICCL) hat am Montag 29. November beim Europäischen Bürgerbeauftragten eine formelle Beschwerde gegen die EU-Kommission eingereicht, weil sie die Durchsetzung der EU-Datenschutz-Grundverordnung, nicht überwacht und Irland nicht zur Rechenschaft zieht.

Während sie die prompte Antwort der Kommission begrüßte, erklärte die Europaabgeordnete Sophie In’t Veld gegenüber EURACTIV, dass „die Kommission einen sehr zurückhaltenden Ansatz verfolgt“.

Die niederländische Gesetzgeberin verwies auf ein kürzlich erschienenes Dokument, in dem dargelegt wird, dass die EU-Exekutive seit der Kommission von José Manuel Barroso Auseinandersetzungen mit den Mitgliedstaaten über Vertragsverletzungsverfahren zunehmend vermeidet, um im Gegenzug Unterstützung für ihre politischen Vorschläge zu erhalten.

Für In’t Veld ist der DSGVO-Fall ein Symptom für ein breiteres Problem, das Politikbereiche wie Emissionsstandards, Geldwäsche und Rechtsstaatlichkeit umfasst.

„Wir bauen eine Fassaden-Gesetzgebung. Aber hinter der Fassade gibt es nichts, weil sie nicht richtig umgesetzt wird“, sagte In’t Veld.

[Bearbeitet von Zoran Radosavljevic]

Subscribe to our newsletters

Subscribe