Dass Datenschutz-Aufsichtsbehörden im Allgemeinen nicht gerade für ihre Schnelligkeit bekannt sind, ist nichts Neues. In der letzten Zeit häufen sich allerdings insbesondere die Vorwürfe gegen das Arbeitstempo der irischen Datenschutzbehörde(n). Insbesondere die DPC (eng. „Data Protection Commission“, die irische Aufsichtsbehörde für die Einhaltung der DSGVO) steht hier oftmals im Fokus der Kritik.
Dies hat den Grund, dass Irland sich aufgrund der „One-Stop-Shop“-Thematik, die sich aus Art. 56 DSGVO ergibt, mit vielen komplexen Verfahren – insbesondere gegen große Konzerne wie Facebook und Google – auseinander setzen „darf“. Hinter dem Begriff „One-Stop-Shop“ verbirgt sich der Sachverhalt, dass sich im Falle einer grenzüberschreitenden Datenübermittlung (d.h. eine Verarbeitung von personenbezogenen Daten in mehr als einem EU-Mitgliedstaat) grundsätzlich jeder Betroffene an eine ihm beliebige (meist leicht zugängliche) Datenschutz-Aufsichtsbehörde wenden darf. Diese gibt die Beschwerde anschließend an die sogenannte „federführende Aufsichtsbehörde“ weiter. Diese bestimmt sich durch den jeweiligen Sitz des vom Betroffenen beklagten Unternehmens. Reicht beispielsweise eine in Hamburg ansässige Privatperson bei der dortigen Aufsichtsbehörde eine Beschwerde gegen Facebook ein, so wird der Sachverhalt bis zu der Datenschutzbehörde weiter gegeben, die für das Unternehmen „Facebook“ zuständig ist. Da Facebook innerhalb der EU seinen Sitz in Dublin hat, geht die Beschwerde folglich an die irische Datenschutzbehörde über. Da fast alle großen Unternehmen und Konzerne ihren EU-Hauptsitz in Dublin haben (z.B. Facebook, Microsoft, Apple, Google, Unilever, Adobe, PayPal, Ebay und IBM), kann man sich vorstellen, warum die irische Datenschutzbehörde so grenzenlos überfordert zu sein scheint.
Dies schützt die irischen Behörden allerdings nicht vor der Kritik ihrer Datenschutz-Mitstreiter. So wirft der Bundesdatenschutzbeauftragte der DPC eine Verschleppung der Verfahren vor. Auch von Seiten der EU-Kommission, vom Europäischen Gerichtshof, vom Europäischen Parlament sowie von vielen nationalen Behörden (z.B. aus Deutschland, Frankreich, Spanien, Italien, den Niederlanden und Österreich) gab es Kritik.
ICCL befürchtet: Mögliches wirtschaftliches Risiko sowie Reputationsrisiko für Irland durch Versagens bei der Wahrung der EU-Datenrechte
Die irische Non-Profit-Organisation ICCL („Irish Council for Civil Liberties“, Organisation bzw. Rat für die Unterstützung der bürgerlichen Freiheiten und Menschenrechte der Menschen in Irland) wirft der irischen Datenschutzbehörde vor, gerade einmal 2% aller Verfahren seit Mai 2018 abgeschlossen zu haben. In seiner Stellungnahme „Economic & Reputational Risk of the DPC’s Failure to Uphold EU Data Rights“ erklärt der ICCL, dass die irische Behörde durch ihr Vorgehen nicht dazu beiträgt, grundlegende Datenrechte gegenüber großen Firmen aufrecht zu erhalten. Dies betrifft laut dem ICCL 448 Millionen Menschen in der EU. Dieser Missstand begünstigt Gefahren wie z.B. Wahlmanipulationen oder Profiling-Missbräuche. Zudem birgt der Sachverhalt auch für Irland insgesamt wirtschaftliche und rufschädigende Risiken. Das Versagen der DPC bei der Wahrung der Grundrechte des Einzelnen könnte laut dem ICCL außerdem dazu führen, dass Irland seine Position als Zentrum der Datenregulierung in Europa verliert.
Dr. Johnny Ryan vom ICCL bringt die Problematik auf den Punkt: „Die DPC hat die rechtliche Befugnis, „Zugang zu allen Räumlichkeiten“ zu erhalten und „Zugang zu allen Informationen“ von Google, Facebook, Microsoft und Apple im Namen aller EU-Bürger zu verlangen. Sie kann diese Unternehmen sogar dazu zwingen, die Art und Weise, wie sie Daten nutzen, zu ändern oder sie überhaupt nicht mehr zu nutzen. Wir sind besorgt darüber, dass die Datenschutzbehörde es chronisch versäumt hat, die weitreichenden Befugnisse zu nutzen, die ihr durch die GDPR verliehen wurden.“
Auch hält Dr. Johnny Ryan eine breit angelegte unabhängige Überprüfung – insbesondere unter dem Mitwirken der irischen Regierung – für unumgänglich, damit der DPC reformiert und gestärkt werden kann: „Die Regierung hat die Verpflichtung, einen effektiven Schutz der Rechte in ganz Europa zu gewährleisten, wo der DPC die federführende Behörde ist. Dazu gehört, dass sie sicherstellt, dass der DPC über ausreichende Mittel verfügt und so strukturiert ist, dass er sein Mandat effektiv erfüllen kann. Die Regierung muss den DPC stärken und reformieren, damit er in der Lage ist, diese Aufgabe zu erfüllen.“
Neuer Wind aus Amerika: US-Regierung dreht den Datentransfer-Spieß um
Derzeit weht auch aus den USA ein neuer Wind, bei dem Irland sein eigenes „Versagen im Datenschutz“ zum Verhängnis werden könnte. Es gibt einen Gesetzentwurf mit dem Namen „Protecting Americans’ Data From Foreign Surveillance“. Dieser beinhaltet die Pläne der US-Regierung, eine Liste von vertrauenswürdigen Staaten zu erstellen, in welche ohne weitere Voraussetzungen personenbezogene Daten übertragen werden dürfen. Alle nicht gelisteten Staaten müssten sich nach dem Gesetztesentwurf hingegen um eine Exportlizenz bewerben (wir berichteten). Dass Irland sich hier nicht gerade in einer glücklichen Position befindet, liegt auf der Hand.
Quellenangaben:
- Irish Council for Civil Liberties: „Economic & Reputational Risk of the DPC’s Failure to Uphold EU Data Rights“, abgerufen am 30.04.2021 unter https://www.iccl.ie/digital-data/economic-reputational-risk-of-the-dpcs-failure-to-uphold-eu-data-rights/
- Artikel „Irland und die Big Player – Neues Gesetz in den USA?“, abgerufen am 30.04.2021 unter https://www.dr-datenschutz.de/irland-und-die-big-player-neues-gesetz-in-den-usa/