5 Jahre DSGVO: Nationale Behörden lassen europäischen Gesetzgeber hängen - Über 85% der noyb-Fälle warten auf Entscheidung
Durch das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 haben sich die Inhalte der EU-Datenschutzvorschriften kaum verändert. Die vermeintliche große Veränderung sollte die strikte Durchsetzung der Gesetze sein. Fünf Jahre später haben nationale Behörden und Gerichte den europäischen Gesetzgeber jedoch weitgehend im Stich gelassen, obwohl ihnen für das Jahr 2022 ein Budget von über 330 Millionen Euro zur Verfügung stand.
Anlässlich des fünfjährigen Jubiläums der DSGVO stellt noyb folgende Ressourcen zur Verfügung:
- Detaillierte Information zu den über 800 DSGVO-Fällen von noyb die zeigen, dass mehr als 85 % aller Fälle noch nicht entschieden sind. In 470 Beschwerden wartet noyb bereits seit mehr als 1,5 Jahren auf eine Entscheidung.
- noyb's "DSGVO Fallen" Karte mit vielen der nationalen Verfahrensfragen und -kuriositäten zum Durchklicken
- "Länderprofile" in denen spezifische Probleme in den Mitgliedsstaaten beschrieben werden (Österreich, Belgien, Frankreich, Deutschland, Griechenland (EN/ GR), Irland, Italien, Luxemburg, Niederlande (EN/ NL), Polen und Spanien)
- Website mit einem Vorschlag für eine DSGVO-Verfahrensverordnung, die viele derzeitige Probleme bei der Durchsetzung der DSGVO lösen könnte
€ 1,2 Mrd. Strafe für Meta zeigt, dass Durchsetzung nicht funktioniert. Die gestrige Geldbuße von 1,2 Milliarden Euro für Meta (die strategisch bis zum 5. Geburtstag der DSGVO zurückgehalten wurde) ist ein Beispiel dafür, dass die Durchsetzung der DSGVO nicht funktioniert: Nicht nur hat es über zehn Jahre gedauert, bis die Datenschutzbehörde eine erste Entscheidung traf (gegen die nun Berufung eingelegt wird), sondern Max Schrems musste auch drei Gerichtsverfahren gegen die irische Datenschutzbehörde anstrengen, um sie zur Arbeit zu zwingen. Sowohl der Gerichtshof der EU (EuGH) als auch der Europäische Datenschutzausschuss (EDSA) haben die irische Datenschutzbehörde dreimal aufgefordert, den Fall effektiv zu bearbeiten. Die geschätzten Kosten dieses Rechtsstreits belaufen sich auf über 10 Millionen Euro.
Konflikt zwischen EU-Gesetzgebung und nationaler Praxis. Die DSGVO wurde im Europäischen Parlament mit einer Mehrheit von 96% verabschiedet, und bis auf einen haben alle Mitgliedstaaten das Gesetz unterstützt. Allerdings kollidieren nationale Gesetze und Praktiken schnell mit der Verordnung. Fast jeder Mitgliedstaat hat irgendwelche verfahrenstechnischen Tricks oder Probleme gefunden, um die DSGVO zu untergraben: Diese reichen von "Schwellenwerte" für Datenschutzverletzungen bis hin zur Auffassung, dass "Bearbeitung" einer Beschwerde auch bedeuten kann, sie einfach zu löschen. Die Behörden in Frankreich oder Schweden sind beispielsweise der Ansicht, dass ein Beschwerdeführer nicht an seinem eigenen Verfahren beteiligt ist, während in Polen die Behörde verlangt, dass man nach Warschau reist, um Handyfotos von der Akte zu machen. Auf unserer "DSGVO Fallen" Karte haben wir eine Übersicht erstellt, um einige der Fallen aufzuzeigen, in die die Durchschnittsbürger:in geraten kann.
Max Schrems, Vorsitzender von noyb.eu: "Die DSGVO hatte starken politischen Rückhalt. Nach fünf Jahre sehen wir jedoch viel Widerstand von Behörden und Gerichten bei der Durchsetzung des Gesetzes. Der Gesetzgeber hat gesprochen, aber nationale Gerichte und Behörden finden immer wieder neue Wege, um nicht zuzuhören. Oftmals scheint mehr Energie darauf verwendet zu werden, die Datenschutz-Grundverordnung zu untergraben, anstatt sie zu befolgen. Während Unternehmen wissen, dass Irland die Hauptadresse für die Nichtdurchsetzung ist, haben die Bürger kaum eine Anlaufstelle, da es in praktisch allen Mitgliedstaaten Hindernisse bei der Durchsetzung gibt."
Systematische Verzögerungen. Während eine außergewöhnliche Geldbuße internationale Schlagzeilen macht, zeigt die weitaus umfangreichere Datenbank von noyb, dass die Datenschutzbehörden die DSGVO größtenteils nicht fristgerecht durchsetzen. Von den über 800 Fällen, die noyb in den vergangenen Jahren eingereicht hat, sind 85,9 % noch nicht entschieden und in mehr als 58 % warten wir seit über 18 Monaten auf eine Entscheidung. Die DSGVO gibt Unternehmen einen Monat um Anfragen zu beantworten und den Behörden 3 bis 6 Monate, um eine Entscheidung in Beschwerdefällen zu treffen.
Max Schrems: "In vielen Ländern dauert es mindestens zwei Jahre, bis eine Entscheidung vorliegt - wenn überhaupt eine Entscheidung getroffen wird. Die Praxis steht in klarem Widerspruch zum Ziel des Gesetzgebers, eine kostenlose und einfache Beschwerdemöglichkeit zu schaffen. Wir verbringen die meiste Zeit damit, Sachbearbeitern, Akten und Behörden hinterherzulaufen."
Mangel an ordnungsgemäßen Verfahren und rechtlichen Entscheidungen. Zusätzlich zu den langen Verzögerungen wurden die abgeschlossenen Fälle größtenteils von den Parteien beigelegt oder zurückgezogen (ca. 6 % der Fälle von noyb), oder es gab ein anderes Ergebnis (3,4 %), wie zum Beispiel das Ausscheiden des Unternehmens aus dem EU-Markt. Nur in 3,9 % aller Fälle wurden von der Datenschutzbehörde entschieden.
Max Schrems: "Viele Behörden versuchen alles, um eine Entscheidung zu vermeiden. Oft 'schließen' sie die Fälle einfach ohne eine Entscheidung oder verhandeln mit den Unternehmen und bitten sie freundlich, das Gesetz einzuhalten. Es gibt kaum eine eindeutige Bestrafung für einen eindeutigen Verstoß gegen das Gesetz."
Unternehmen haben gelernt, die DSGVO zu ignorieren. Obwohl die Industrie anfangs über die DSGVO und ihre hohen Bußgelder besorgt war, haben die vergangenen Jahre gezeigt, dass diese abschreckende Wirkung schnell verpufft ist, da der Gesetzgeber keine effektive Durchsetzungskultur etablieren konnte. Die DSGVO ist oft zu einem Papiertiger geworden.
Max Schrems: "Die Realität hat gezeigt, dass die EU nicht in der Lage war, eine 'Durchsetzungskultur' zu schaffen. Die aggressiveren Unternehmen haben schnell erkannt, dass die Konsequenzen größtenteils nur auf dem Papier existieren und haben ihre Geschäftsmodelle fortgesetzt. Hinter verschlossenen Türen sprechen die Unternehmen sehr offen darüber, dass sie die Behörden überhaupt nicht fürchten. Es sind vorrangig die ohnehin "vernünftigen" Unternehmen, die Vorschriften einhalten."
Aufruf zur Harmonisierung und Durchsetzung. Anlässlich des fünften Jahrestages der DSGVO ist es dringend erforderlich, dass die Behörden einen Gang höher schalten und eine konsequente Durchsetzungskultur etablieren. Dies könnte auch durch die Idee der Europäischen Kommission unterstützt werden, eine EU-Verfahrensverordnung zu erlassen. Eine solche gesetzliche Regelung müsste jedoch umfassend sein, um die zahlreichen Probleme der derzeitigen Verfahren zu lösen. Viele Mitgliedstaaten können ebenfalls ihre Verfahren verbessern. Wir haben die gängisten Probleme für einzelne Mitgliedsstaaten aufgelistet: Österreich, Belgien, Frankreich, Deutschland, Griechenland (EN/ GR), Irland, Italien, Luxemburg, Niederlande (EN/ NL), Polen und Spanien.
Max Schrems: "Nach fünf Jahren ist die Zeit für Orientierungshilfen, Übergangsfristen und Nachsicht definitiv vorbei. Wenn es keine allgemeine Abschreckung gibt, werden die Behörden wahrscheinlich die Kontrolle über die Situation verlieren. Die Europäische Kommission hat eine neue Verordnung vorgeschlagen, um Verfahrensfragen zu klären. Klare Verfahrensregeln sind eine gute Idee, müssen jedoch umfassend sein, um das Problem tatsächlich zu lösen."
Zivilrechtliche Schritte und kollektive Rechtsdurchsetzung. Allein im Jahr 2023 wurden aufgrund der engagierten Arbeit und Klagen von noyb Geldbußen in Höhe von fast 2 Milliarden Euro gegen Meta verhängt. Mit der bevorstehenden Einführung der EU-Richtlinie über kollektive Rechtsdurchsetzung erhalten Nutzer:innen die Möglichkeit, ihre Rechtsstreitigkeiten in Form von Sammelklagen zu bündeln. Dieser Ansatz umgeht nicht nur die Abhängigkeit von Datenschutzbehörden, sondern hat auch das Potenzial für eine stärkere abschreckende Wirkung als Geldbußen gemäß der DSGVO, die größtenteils theoretischer Natur sind.