Datenschutztag: werden Europäer:innen tatsächlich geschützt?
Der Europäische Datenschutztag am 28. Januar erinnert an die Unterzeichnung des ersten paneuropäischen Datenschutzrahmens (Convention108) im Jahr 1981. Heute, 42 Jahre später, gilt die DSGVO als zentrales Gesetz im europäischen Datenschutz und soll Bürger:innen ermöglichen, ihr Grundrecht auf Privatsphäre durchzusetzen. Anfänglich als Durchsetzungs-Turbo gefeiert - und gefürchtet – ist die DSGVO kurz davor, das gleiche Schicksal wie die Vorgängerbestimmungen zu erleiden und einfach ignoriert zu werden.
DSGVO Durchsetzung nur in Theorie. Die DSGVO soll allen Nutzer:innen in Europa Kontrolle über ihre personenbezogenen Daten geben. Jede Person hat das Recht herauszufinden, welche Daten ein Unternehmen über sie hat, wie diese verarbeitet werden, und das Recht rechtswidrige Verarbeitung zu stoppen. In der Praxis wurden Nutzer:innen primär mit Bannern und Pop-Ups belästigt die keine Wahl lassen außer “ja” zu sagen. Jene Europäer:innen die versucht haben, ihr Recht auf Datenschutz geltend zu machen und wurden oft bitter enttäuscht. noyb erhält täglich Nachrichten von frustrierten Nutzer:innen in der gesamten EU: regelmäßig werden Verfahren verzögert, Beschwerden ohne genauere Prüfung von Behörden abgewiesen oder überhaupt ohne Information an die Nutzer:innen sang und klanglos eingestellt. Die Rechte der Nutzer:innen enden in der ‘Rundablage’.
Widerspruch zwischen Recht und Regulierungsbehörden. Die DSGVO wurde in den vergangenen 4.5 Jahren zum Opfer mangelnder Durchsetzung und Hinhaltetaktiken seitens großer Tech-Unternehmen. Selbst wenn die Behörden Entscheidungen treffen und Unternehmen strafen, können sich die Fälle noch über Jahre aufgrund von Berufungen und Verzögerungsversuchen von Tech-Unternehmen ziehen. Selbst bei den seltenen hohen Strafen, zahlt sich ein Rechtsbruch für “Big Tech” aus. Während die Durchsetzung durch die nationalen Behörden in Europa stark variiert, stehen selbst die aktiveren Datenschutzbehörden vor großen Herausforderungen, da für grenzüberschreitende Fälle der Kooperationsmechanismus (one-stop-shop) eine europäische Zusammenarbeit voraussetzt.
Max Schrems, Vorsitzender noyb: “Auch die aktiven Behörden stehen oft auf verlorenem Posten, denn am Ende des Tages ist die Durchsetzung der DSGVO nur so stark wie ihr schwächstes Glied.”
Hemmschuh der Durchsetzung. Behörden wie etwa die irische Datenschutzbehörde (DPC) gelten als kritischer Faktor für die Umsetzung der DSGVO, da der Großteil der amerikanischen Tech-Unternehmen ihr europäisches Hauptquartier in Irland haben. Schon lange gilt Irland als „Engstelle“ bei der EU weiten Durchsetzung der DSGVO. Zum einen aufgrund der extrem langsamen Geschwindigkeit, mit der Fälle bearbeitet werden, zum anderen da die Behörde oftmals eine “unternehmensfreundliche” Auslegung des Gesetzes verfolgt:
Erst nachdem der Europäische Datenschutzausschuss (EDSA) eine verbindliche Entscheidung in noybs 4.5 Jahre alten Fall zur Umgehung der DSGVO durch Facebook getroffen hat, wurde die Irische DPC tätig. Sie kündigte eine Geldstrafe in Höhe von 390 Milionen Euro an und ordnete an, dass Meta eine gültige Einwilligung für personalisierte Werbung einholen muss. In diesen 4.5 Jahren hat sich die DPC oftmals auf die Seite von Meta gestellt und nun auch ein deutlich reduziertes Strafmaß ausgesprochen. Die anderen Behörden mussten die DPC wiederholt (einstimmig) überstimmen.
Neben Irland ist Luxemburg ein bedeutender Standort für große Unternehmen wie Amazon, eBay und Paypal, wodurch der Luxemburgischen Behörde eine zentrale Rolle zukommt. Auch hier wartet noyb seit 2019 auf eine Entscheidung in einer Beschwerde zum verletzen Auskunftsrecht durch Amazon, weswegen noyb nun vor Gericht gegen die Behörde vorgehen muss.
Neben den ‘großen’ Tech-Hubs in der EU gibt es aber auch national viele Kuriositäten. So bestreiten etwa die französische oder die schwedische Behörde, dass Nutzer:innen überhaupt Parteien in einem Verfahren sind. Die bayrische Behörde gibt keine Akteneinsicht. Die polnische Behörde verlangt zwar eine digitale Einbringung von Beschwerden, erlaubt aber, dass Akten nur physisch in Warschau kopiert werden. Die österreichische Behörde nutzt eine nationale Klausel um Verfahren massenhaft wegen “Lösungen” durch das Unternehmen einzustellen. Die bulgarische Behörde ist seit Jahren weder per E-Mail, telefonisch noch per Post erreichbar. Deutsche Gerichte heben Entscheidungen der Behörden wieder auf, während eine Klage gegen die Behörde in Irland schnell € 100.000 kosten kann.
764 Beschwerden nicht entschieden. Seit Inkrafttreten der DSGVO im Mai 2018 hat noyb 848 Einzelfälle bei unterschiedlichen Datenschutzbehörden in Europa eingereicht. Nur 10% (84 Beschwerden) der Fälle wurden von den zuständigen Behörden entschieden, wovon die meisten eingestellt wurden, oder es wurde eine Einigung mit dem Unternehmen gefunden, da dieses die Verletzung beseitigt hatte. Einige Fälle sind nur teilweise entschieden. Circa 15 Fälle liegen aktuell bei den nationalen Gerichten, da die Behörden nicht innerhalb der gesetzlichen Frist entschieden oder noyb gegen die Entscheidung Berufung einlegte.
Durch die Untätigkeit der Behörden und fehlendem Prozessrecht verschieben sich viele Verfahren auch mehr und mehr zu den nationalen Gerichten, welche häufig nicht das nötige DSGVO Wissen haben. Entscheidungen werden oft aus vermeidbaren Verfahrensfehlern aufgehoben. Der Gang vor Gerichte ist für viele Nutzer:innen finanziell nicht möglich. Kanzleien wissen das und überlasten Behörden und Gerichte gezielt mit endlosen Beschwerden und hunderten Seiten an Eingaben.
Max Schrems: “Dieses Jahr ist die DSGVO fünf Jahre anwendbar. Bisher mogeln sich viele Unternehmen erfolgreich durch, da es nur homöopathische Durchsetzung gibt. Die europäischen Versprechen der DSGVO, Datenschutz effektiv und einfach zu machen, scheitern an den nationalen Behörden in den Mitgliedsstaaten, die bisher keine effektive Durchsetzung zustande bringen.”