Irische Datenschutzbehörde: Kritik an schleppenden Fallbearbeitungen wächst
Der Druck auf die irische Datenschutzbehörde wächst weiter. Bei einer mehrstündigen Anhörung im irischen Justizausschuss hat der österreichische Datenschutzaktivist Max Schrems schwere Vorwürfe gegen Irlands Datenschutzbeauftragte Helen Dixon erhoben. Ihre Behörde würde seiner Aussage nach ihrer Aufgabe nicht nachkommen.
Viele Unternehmen aus dem internationalen IT-Bereich wie Apple und Google haben Irland für ihren europäischen Hauptsitz ausgewählt, darunter auch viele soziale Netzwerke wie Facebook oder Twitter. In den meisten Fällen dürfte vor allem die geringe steuerliche Belastung bei der Entscheidungsfindung eine Rolle gespielt haben – womöglich aber auch die Auslegung des Datenschutzes in Irland. Aus diesem Grund steht die Datenschutzbehörde des Landes immer wieder im Fokus von Datenschutzbeschwerden – und bekommt für ihre Arbeit alles andere als ein gutes Zeugnis ausgestellt. So soll die Behörde in den von ihr eingeleiteten Verfahren nur eine geringe Motivation zur Bearbeitung der Fälle an den Tag legen, auch der Vorwurf der Voreingenommenheit steht im Raum.
Gleichermaßen wächst in anderen Staaten der EU der Unmut über die Behörde, da über viele Beschwerden aus diesen Ländern aufgrund des Hauptsitzes der Unternehmen nur durch die Data Protection Commission (DPC) in Irland eine Entscheidung getroffen werden kann. Eine Kritik, die auch Deutschlands obersten Datenschützer Ulrich Kelber im März dieses Jahres mitteilte. Der Hamburger Datenschützer Johannes Caspar hatte zudem bereits im vergangenen Jahr das Vorgehen der Behörde in Dublin kritisiert. Eine Möglichkeit der Kritik im Ausschuss des Europäischen Parlaments zu begegnen, schlug Dixon im März aus – ihren Aussagen nach aufgrund des Formats des Forums. Zuletzt hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments neben Luxemburg vor allem in Irland eine zügigere Bearbeitung von Datenschutzbeschwerden angemahnt. Viele Aktivisten sehen Irland aufgrund seiner schleppenden Arbeit zudem kurz vor einem Vertragsverletzungsverfahren.
Wiederholte Kritik in Anhörung
Dieser Unmut wurde nun bei einer angespannten Anhörung vor dem irischen Justizausschuss erneut deutlich, bei dem vor allem mit Kritik an Helen Dixon nicht gespart wurde. In der über mehr als zwei Stunden andauernden Sitzung, in der unter anderem auch Max Schrems per Video-Stream zugeschaltet war, richtete sich der Fokus vor allem auf die Leitung der Behörde. Schrems, der vor allen wegen seiner Klagen gegen Facebook, Google und WhatsApp in den Fokus der Öffentlichkeit gerückt ist, warf der DPC Untätigkeit vor: So würde den meisten Beschwerden keine Entscheidung folgen – teilweise sogar über Jahre hinweg. Obwohl die irische Behörde im Jahr 2020 mehr als 10.000 Beschwerden erhalten habe, wolle diese in diesem Jahr nur sechs bis sieben Fälle zur Entscheidung im Sinne der DSGVO bringen – was einem Anteil von gerade einmal 0,07 Prozent entsprechen soll.
Der Rest würde für ihn in den sinnbildlichen Papierkorb wandern. Weiter gab er an, dass viele europäische Staaten mittlerweile versuchen, Wege um die irische Datenschutzbehörde herum zu finden, weil entsprechende Rechte seiner Meinung nach chronisch nicht durchgesetzt werden. Als Vergleich zog Schrems Dixons Kollegen aus Spanien und seinem Heimatland heran: So werden in Spanien bei gleicher Besetzung bis zu sechs Entscheidungen pro Tag getroffen, in Österreich schafft es die Datenschutzbehörde trotz ebenfalls geringen finanziellen Mitteln über entsprechende Beschwerden innerhalb der vorgegebenen sechs Monate zu entscheiden.
DPC soll kaum Entscheidungen getroffen haben
Deutlich wurde auch Johnny Ryan, der den Irish Council for Civil Liberties (ICCL) vertrat, eine irische gemeinnützige Organisation, die sich der Unterstützung der bürgerlichen Freiheiten und Menschenrechte der Menschen in Irland widmet. Seiner Aussage nach habe die DPC in 196 Verfahren, für welche sich diese verantwortlich zeigte, gerade einmal vier Entscheidungen getroffen. Er vertrat erneut die Meinung, dass das Versagen der Kommission, die Rechte der europäischen Bürger aufrechtzuerhalten, vor allem „wirtschaftliche und Reputationsrisiken für Irland schafft“.
Bereits in der Vergangenheit forderte er die irische Regierung auf, einzugreifen und somit sicherzustellen, dass der Staat seine DSGVO-Verpflichtungen nachkommt. Des Weiteren verlangte Ryan die Ernennung von zwei zusätzlichen Datenschutzbeauftragten und die Benennung eines Vorsitzenden sowie eine unabhängige Überprüfung darüber, wie die Behörde reformiert werden kann. Er sieht die DPC mittlerweile als das Nadelöhr der DSGVO-Untersuchungen und der Durchsetzung gegen Google, Facebook, Microsoft und Apple in Europa an.
Befassen setzt für Dixon keine Verpflichtung voraus
Für die geringe Quote von Entscheidung führte Dixon dagegen eine sehr einfache Erklärung an: Für sie ist die DPC dem Gesetz von 2018 nach nicht verpflichtet, bei jeder Beschwerde auch eine Entscheidung zu treffen. Laut Schrems interpretiert Dixon somit ihre Aufgabe in der Form, dass sie Beschwerden einfach im Papierkorb verschwinden lassen kann. „Wenn jemand seinem Chef sagt, dass er 'befassen' so interpretiert, dass er die Arbeit einfach in den Papierkorb wirft, wird er normalerweise gefeuert“. Die DPC fordere seiner Aussage nach stattdessen sogar eine Aufstockung der sich bisher auf 19,1 Millionen Euro belaufenden finanziellen Mittel – obwohl diese bereits eine der am besten ausgestatteten Datenschutzbehörden in Europa sei.
Zudem sieht Schrems das Recht auf Datenschutz im Artikel 8 der EU-Grundrechtecharta verankert. Gleichzeitig merkt er an, dass die DSGVO auch einen Rechtsbehelf führt, welcher bereits vom Europäischen Gerichtshof in einer aktuellen Auseinandersetzung zwischen Max Schrems und der DPC bestätigt wurde. Gerard Rudden, irischer Anwalt von „noyb“ fügt hinzu, dass das EU-Gericht entschieden hat „dass die DPC eine Beschwerde 'mit aller gebotenen Sorgfalt' behandeln muss. Die DPC sagt nun, man könne etwas 'mit aller gebotenen Sorgfalt' ignorieren“.
Dixon weist Kritik als falsch zurück
Dixon dagegen verwahrte sich gegen jede Kritik. Ihrer Aussage nach waren die Aussagen ihrer Kritiker falsch oder übertrieben, gleiches gelte für die von Schrems wiedergegebenen Zahlen. Auch den Vorwurf, dass ihre Behörde absichtlich Regulierungen verweigere, wies sie als falsch zurück. Dem von Johnny Ryan gebrachten Argument hielt sie entgegen, dass dieser sowie das ICCL die Kommentare des europäischen Generalanwalts missverstanden hätten und betitelte Ryans Verständnis der Kommentare als „fehlerhaft“. Ihrer Aussage nach wurden dagegen im letzten Jahr rund 60 Prozent der eingereichten Beschwerden abgeschlossen. Ihre Behörde habe in der Zeit 42 Anträge auf die Genehmigung verbindlicher Unternehmensregeln sowie über 6.000 Meldungen bezüglich Sicherheitsverletzungen bearbeitet und dazu 87 vollumfängliche gesetzliche Ermittlungen durchgeführt.