Der irische DPC "befasst" sich mit 99,93% der DSGVO-Beschwerden, ohne Entscheidung?

28 Apr 2021

Die irische DPC räumt offen ein: Es wird nicht über DSGVO-Beschwerden entschieden. 99,93 % landen im Papierkorb, trotz einem Budget von 19,1 Mio. €

In einer recht erstaunlichen Anhörung vor dem Justizausschuss des irischen Parlaments hat die irische Datenschutzbeauftragte Helen Dixon zum ersten Mal öffentlich zugegeben, was viele vermutet haben: Die irische Aufsichtsbehörde entscheidet nicht über Beschwerden von Bürgern und verstößt somit gegen EU-Recht. Darüber hinaus warf die DPC den Kritikern Falschinformationen vor, weitgehend ohne diese zu spezifizieren. Sie hielt sich auch nicht zurück, anderen Datenschutzbehörden weiter politische Gründe vorzuwerfen für die Kritik an ihrem Amt.

Die zweistündige Anhörung (Video 1. Stunde, 2. Stunde und 3. Stunde) vor dem irischen Justizausschuss wurde in zwei Runden aufgeteilt, mit Max Schrems (noyb) und Fred Logue (Anwalt) in der ersten Runde und Helen Dixon (DPC) und Johnny Ryan (ICCL) in der zweiten Runde. Die Zeugen in der ersten Runde waren sich weitgehend einig über unzählige Probleme mit dem DPC und betonten, dass die meisten Beschwerden praktisch nie eine Entscheidung sehen - teilweise über Jahre hinweg. Obwohl sie mehr als 10.000 Beschwerden im Jahr 2020 erhalten haben, plant die Behörde nur sechs bis sieben Entscheidungen nach der DSGVO im Jahr 2021. Somit kann nur in maximal 0,07% aller DSGVO-Beschwerden eine formale Entscheidung erwartet werden. Was Herrn Schrems dazu veranlasste, über ein "Bermuda-Dreieck" beim DPC zu spekulieren, war jedoch viel banaler:

DPC: "Befassen" bedeutet nicht "entscheiden". Das seit langem bestehende Wunder der "Selbstauflösung" von DSGVO-Beschwerden wurde dann von Helen Dixon erklärt: Die DPC interpretiert das Wort "befassen" einfach so, dass sie Beschwerden einfach im Papierkorb verschwinden lassen kann. Sie argumentierte ganz offen "Tatsächlich ist der DPC nach dem Gesetz von 2018 nicht verpflichtet, bei jeder Beschwerde eine Entscheidung zu treffen." (Original: "In fact, there is no obligation on the DPC under the 2018 Act to produce a decision in the case of any complaint.")

Max Schrems, Vorsitzender von noyb: "Wenn jemand seinem Chef sagt, dass er 'befassen' so interpretiert, dass er die Arbeit einfach in den Papierkorb wirft, wird er normalerweise gefeuert. Stattdessen forderte die DPC sogar eine Aufstockung des bestehenden Budgets von 19,1 Millionen Euro."

Recht auf Entscheidung unter der DSGVO. Das Recht auf Datenschutz ist in Artikel 8 der EU-Grundrechtecharta verankert. Die nationalen Datenschutzbehörden haben die Aufgabe, dieses Recht für jeden Nutzer kostenlos und in einer angemessenen Zeit durchzusetzen. Die DSGVO verankert auch einen Rechtsbehelf vor den Gerichten, "wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird". Dies wurde auch vom Europäischen Gerichtshof in einem aktuellen Fall zwischen Max Schrems und der DPC bestätigt.

Gerard Rudden, irischer Anwalt von noyb: "Der Gerichtshof entschied, dass die DPC eine Beschwerde 'mit aller gebotenen Sorgfalt' behandeln muss. Die DPC sagt nun, man könne etwas "mit aller gebotenen Sorgfalt" ignorieren..."

Max Schrems: "Die DSGVO verlangt einen einfachen und kostenfreien Weg, seine Rechte durchzusetzen. Dieses Recht verweigert die DPC nun ganz offen allen EU-Bürgern."

Vorwürfe gegen EU-Parlament, Zeugen und andere Aufsichtsbehörden. Die DPC griff in der Anhörung aber auch das Europäische Parlament an, weil es anhand von angeblichen Falschinformationen eine Resolution verabschiedet hat. Weiters warf die DPC anderen Zeugen vor dem irischen Parlament Falschinformationen vor, ohne näher zu spezifizieren, welche Kritikpunkte konkret falsch wären. Herr Schrems schickte umgehend einen offenen Brief an die DPC und den Ausschuss und forderte konkrete Klarstellungen zu diesen generischen Anschuldigungen.

Die DPC beließ es jedoch nicht dabei: Sie beschuldigte weiter andere Datenschutzbehörden, aus politischen Gründen die Ineffizienz der DPC in Frage zu stellen: "...die gleichen Datenschutzbehörden, die jetzt Irland und den 'One Stop Shop' kritisieren, sind diejenigen, die das Konzept des 'One Stop Shop' abgelehnt haben ... Es ist keine Überraschung, dass die Kritik ein politisches Element enthält." Es scheint fraglich, ob diese Kommentare dazu beitragen werden, in Zukunft eine bessere europäische Zusammenarbeit zu gewährleisten. Frau Dixon wird nachgesagt, dass sie mittlerweile die meisten EU-Treffen der Datenschutzbehörden meidet.