Grabenkämpfe europäischer Datenschutzbehörden
Nach fast fünf Jahren seit der ursprünglichen Beschwerde durch die Nichtregierungsorganisation noyb im Mai 2018, hat Max Schrems, seines Zeichens Gründer und Vorsitzender von noyb, einen wichtigen Etappensieg errungen. Nach Drängen des Europäischen Datenschutzausschusses (EDSA – EDPB: European Data Protection Board) hat die irische Datenschutzbehörde (The Data Protection Commission – DPC) mehrere (Bußgeld-)Entscheidungen gegen Meta in Millionenhöhe verhängt. Der Grund: fehlende Transparenz und falsche Rechtsgrundlage für die Verarbeitung von Nutzerdaten für verhaltensbasierte Werbung („behavioural advertising“).
Meta: Steht das Big Tech-Unternehmen unter dem Schutz der irischen Datenschutzbehörde DPC?
Der Weg bis zu diesen Entscheidungen liest sich wie ein Datenschutzkrimi, offenbart die Kluft zwischen zwei Lagern europäischer Datenschutzbehörden und legt die Vermutung nahe, dass zumindest manche eigentlich unabhängigen Datenschutzbehörden, die das Wohl und den Schutz betroffener Personen (als Adressaten der DSGVO) als Maxime ihres Handelns ausrichten sollten, stattdessen eher Wirtschaftsinteressen ihres Landes verteidigen.
Exemplarisch sind diese Bußgeldverfahren auch für die Grabenkämpfe innerhalb der europäischen Datenschutzbehörden hinsichtlich der Art und Weise sowie Intensität der Rechtsdurchsetzung, die vermehrt und zunehmend öffentlich ausgetragen werden. Der ehemalige hamburgische Landesdatenschutzbeauftragte Caspar sowie der derzeitige Bundesdatenschutzbeauftragte Kelber gehören zu den prominentesten und lautstärksten Kritikern der DPC und deren Leiterin Helen Dixon. Insoweit steht der Vorwurf im Raum, die irische Behörde würde die eigene Wirtschaft – die meisten Big Tech-Unternehmen haben ihren europäischen Sitz in Irland und unterliegen somit der Aufsicht der DPC – unter Inkaufnahme vermeintlich eklatanter Datenschutzverstöße schützen. Die bisherige zögerliche Haltung, die verschiedenen Treffen zwischen Meta und DPC sowie deren Argumentation pro Datenverantwortlichen- und gegen Betroffenenschutz sind einige der Indizien, die eine solche Vermutung nahelegen. Unverständlich und tatsächlich kritikwürdig in diesem Zusammenhang ist, dass die DPC die eigentlich bindenden EDSA-Entscheidungen nicht vollständig umgesetzt hat und hiervon abgewichen ist – ein gefährlicher Präzedenzfall, insbesondere für das Ziel einer einheitlichen Rechtsdurchsetzung.
So sehr manche gegen die DPC wettern, ist dies nicht nur ein rein irisches Problem. Auch Behörden hierzulande haben sich bisher vor dreistelligen Millionenbußgeldern oder, für Unternehmen meist sogar schlimmer, entsprechenden Untersagungsverfügungen gescheut – obschon es mitunter Gelegenheiten hierfür gab. Es offenbart zudem ein allgemein europäisches Problem bei der Rechtsdurchsetzung der DSGVO: Die meisten EU-Mitgliedsstaaten (inkl. Deutschland) haben – ob bewusst oder unbewusst – ihre jeweilige(n) nationale(n) Datenschutzbehörde(n) so (unter-)ausgestattet, dass eine gleichzeitige Beratung und Sensibilisierung zum Thema Datenschutz sowie die effektive Durchsetzung der DS-GVO real gar nicht möglich ist. Dies kommt dem Protektionismus der eigenen Wirtschaft und ihrer beteiligten Unternehmen vor möglichen Sanktionen gleich.
Vorläufiger Höhepunkt dieser Streitigkeiten, der das ganze Ausmaß der Divergenz in Sachen Haltung und Position bei der Rechtsdurchsetzung zeigt, ist nunmehr die angekündigte Klage der DPC gegen die verbindlichen Entscheidungen des EDSA – es klagt also eine nationale Datenschutzbehörde gegen den Zusammenschluss aller europäischen Datenschutzbehörden. Ein ungeheuerlicher Vorgang.
Die vermeintlichen Grabenkämpfe und bisher teils diffuse Durchsetzung der DSGVO hat nunmehr selbst die Kommission aufhorchen lassen. Insoweit soll ein neuer Überwachungsmechanismus eingeführt werden, in dem nationale Datenschutzbehörden, die als federführende Behörde große grenzüberschreitende Sanktionsverfahren betreuen, alle zwei Monate gegenüber der Kommission Stellungnahmen zum aktuellen Stand des Verfahrens, beabsichtigte nächste Schritte und mögliche Blockaden für den Fortgang einreichen müssen. Diese Überwachungsmaßnahmen hat die Kommission jedoch nicht aus Eigeninitiative angekündigt, sondern vielmehr hat sich vermehrt lautstarke Kritik an der vermeintlich laxen Überwachung der Einhaltung der DSGVO durch die Kommission, insbesondere in Bezug auf Irland, selbst gebildet, sodass die Kommission nun handeln musste.
Dr. Frank Schemmel
Dr. Frank Schemmel, Compliance Officer (Univ.), ist Practice Lead International Privacy und Compliance bei DataGuard in München. Schwerpunkt seiner Arbeit sind der internationale Datenschutz, Informationssicherheit, Whistleblowing und die rechtlichen Herausforderungen der Digitalisierung.