Irland verabschiedet Gesetz, das problematische DSGVO-Fälle "geheim" macht.
Irische DPC will Kritiker damit mundtot machen.
Trotz heftiger Kritik der Zivilgesellschaft (ICCL, Amnesty, EDRi, BEUC) und hartem Widerstand im irischen Parlament hat Irland ein Gesetz verabschiedet, das es der irischen Datenschutzkommission (DPC) ermöglicht, jeden zu kriminalisieren, der Informationen über anhängige Verfahren weitergibt. Das Gesetz ist zwar vage und wahrscheinlich verfassungswidrig, aber ein perfektes Instrument um kritische Beschwerdeführer weiter unter Druck zu setzen. Das Gesetz wurde von der DPC beauftragt und zielt darauf ab, gemeinnützige Organisationen zum Schweigen zu bringen. Trotz der Verabschiedung dieser"lex noyb", werden wir legitime öffentliche Äußerungen über DSGVO-Fälle nicht einschränken.
Section 26A wurde von Regierungsmehrheit verabschiedet. Gegen die Kritik aller Oppositionsparteien und sogar zweier Mitglieder der Regierungskoalition hat die Regierungsmehrheit aus Fine Gael (EVP), Fianna Fáil (Renew) und den Grünen eine Änderung des Datenschutzgesetzes verabschiedet. Damit wird der DPC ermöglicht, Dokumente als "vertraulich" zu erklären. In der langwierigen Debatte über diese Änderung geriet James Browne, der das Justizministerium vertritt, unter starken Druck. Mitglieder des irischen Parlaments stellten wiederholt die Auswirkungen auf die Redefreiheit, die Zusammenarbeit mit dem EDSA und die geografische Anwendung in Frage und forderten ihn auf das Gesetz zurückzuziehen.
Max Schrems:"Es scheint unsere Arbeit für mehr Datenschutz ist so effektiv, dass man uns jetzt kriminalisieren mag. Die irische Regierung und die DPC begeben sich damit auf das Niveau von Orban und Co."
Geltungsbereich von Section 26A umstritten. Während die Regierung den Standpunkt vertritt, dass die Datenschutzbehörde nur unter ganz bestimmten Umständen und für bestimmte Informationen "Vertraulichkeit" beanspruchen kann, hat die Datenschutzbehörde in der Vergangenheit (ohne jegliche Rechtsgrundlage) ganze Verfahren für vertraulich erklärt. Das Gesetz sieht für eine solche rechtswidrige Praxis keinen Rechtsschutz vor.
Max Schrems:"Die Verfassungsmäßigkeit von Section 26A ist sehr fraglich. Die DPC hat das Gesetz schon vor dieser Novelle missbraucht. Ich gehe davon aus, dass sie sich jetzt noch mehr ermutigt fühlt. Es ist sehr wahrscheinlich, dass sich der Kampf um Redefreiheit nun zu den Gerichten verlagert."
Section 26A kriminalisiert Information. Section 26A könnte von der DPC auch dazu verwendet werden, den Austausch von Dokumenten mit Beschwerdeführern, anderen Datenschutzbehörden oder sogar dem EDSA zu behindern. Die vielen Menschen, die mit dem Verfahren vor der DPC unzufrieden sind, könnten vor dem Straftgericht landen, wenn sie zu viel sagen. Unabhängig von tatsächlichen Strafen wird die bloße Androhung mit dem Strafgericht die meisten Menschen zum Schweigen bringen.
Verstößt Abschnitt 26A gegen EU- und irisches Recht? Gesetze, die die Verwendung von Informationen einschränken, enthalten in der Regel eine Ausnahme für die Meinungsfreiheit. In Section 26A heißt es, dass Informationen verwendet werden dürfen, wenn dies "gesetzlich zulässig" ist - was die Berufung auf die Meinungsfreiheit zu ermöglichen scheint. Es ist jedoch wahrscheinlich, dass die Datenschutzbehörde versuchen wird, Strafanzeige gegen jeden zu erstatten, der sich auf eine Ausnahmeregelung für die Meinungsfreiheit beruft.
Max Schrems: "Alle Juristen, mit denen wir gesprochen haben, sind der Meinung, dass Section 26A an sich gegen irisches und EU-Recht verstößt. Er könnte so interpretiert werden, dass die Meinungsfreiheit erhalten bleibt, aber die DPC wird wahrscheinlich genau das Gegenteil tun. Das wird nur zu immer mehr Rechtsstreitigkeiten über Akten führen, anstatt dass die DSGVO durchgesetzt wird."
Irisches Recht gilt im Rest der EU nicht. Während die DPC in der Vergangenheit den Standpunkt vertreten hat, dass ihre Anordnungen oder Vorschriften in anderen EU-Mitgliedstaaten gelten würden, ist das irische Strafrecht auf Handlungen innerhalb Irlands beschränkt. Ebenso stellt Artikel 55(1) der DSGVO klar, dass jede Datenschutzbehörde nur in ihrem eigenen Mitgliedstaat zuständig ist. Zusätzlich zum irischen Recht hindert daher auch EU-Recht die DPC daran, Section 26A außerhalb Irlands anzuwenden.
Max Schrems: "Während Section 26A für Personen in Irland ein großes Problem darstellen wird, kann irisches Recht im Ausland nicht gelten. Irland hat keine Befugnis, die Meinungsfreiheit im Rest der Europäischen Union zu regeln."
Europäische Zusammenarbeit weiter unter Druck. Während grundsätzlich alle anderen Datenschutzbehörden uneingeschränkten Zugang zu Dokumenten gewähren (mit Ausnahme von Geschäftsgeheimnissen und ähnlichem), unterliegen einige Mitgliedstaaten und die EDSA auch Informationsfreiheitsgesetzen. Der außergewöhnliche Ansatz der irischen DPC, ganze Verfahren einfach als "vertraulich" zu deklarieren, führt wahrscheinlich zu weiteren Spannungen zwischen der irischen DPC und dem EDSA - und das zu einem Zeitpunkt, zu dem die DPC den EDSA bereits vor den europäischen Gerichten verklagt hat. Zwar steht EU-Recht über nationalem Recht, doch hat die DPC Forderungen anderer Datenschutzbehörden einfach ignoriert.
Max Schrems: "Es ist klar, dass EU-Recht irische Geheimhaltungsgesetze unanwendbar macht, aber in Wirklichkeit wird die DPC die Unterscheide nutzen um die Verfahren weiter zu behindern. Schließlich gibt es keine EU-Polizei, der EU-Recht gegen die DPC durchsetzen könnte. Wir bewegen uns auf eine noch angespanntere Situation mit der DPC zu."
noyb wird Information nicht einschränken. noyb hat bisher Dokumente in dem Umfang weitergegeben, der für die Ausübung der Meinungsfreiheit relevant und notwendig ist. Im Gegensatz zu einigen Behauptungen der DPC und von Big Tech über "Leaks" wurden diese Dokumente immer in voller Übereinstimmung mit dem Gesetz beschafft (z. B. nach Informationsfreiheitsgesetzen oder den geltenden Verfahrensgesetzen außerhalb Irlands). noyb prüft derzeit alle Möglichkeiten, aber um sicherzustellen, dass wir weiterhin in vollem Umfang das Gesetz einhalten, müssen wir möglicherweise die Verfügbarkeit bestimmter Informationen in Irland beschränken. Da die DPC wahrscheinlich versuchen wird, Section 26A auch außerhalb Irlands durchzusetzen, ist zu erwarten, dass europäische Verfahren gegen Big Tech in Irland noch umfangreicher blockiert werden. Andere Datenschutzbehörden werden noch härter darum kämpfen müssen, Akten und Dokumente von der DPC zu erhalten. Die DPC wird Section 26A wahrscheinlich missbrauchen, um die großen Konzerne in Irland weiterhin zu schützen.
Max Schrems:"Wir werden uns nicht einem verfassungswidrigen lokalen Gesetz beugen. Das kann jedoch bedeuten, dass einige Informationen, die wir zur Verfügung stellen, in Irland nicht mehr verfügbar sein werden. Die DPC und Meta haben schon früher mit Klagen gedroht, diese aber nie umgesetzt - wahrscheinlich weil sie wissen, dass sie einen solchen Fall verlieren würden. Wir müssen jedoch damit rechnen, dass die DPC diese neue Bestimmung nutzen wird, um Verfahren noch weiter zu verkomplizieren."