noyb verfolgt die Idee einer gezielten und strategischen Prozessführung, um das Recht auf Privatsphäre zu stärken: In der Praxis verfolgen wir dieses Ziel, indem wir Datenschutzverletzungen eingehend analysieren, die rechtlichen Schwachstellen identifizieren und sie mit der bestmöglichen Strategie und der effektivsten Methode anzugehen, um eine größtmögliche Auswirkung zu erzielen. noyb reicht entweder Beschwerden gegen Unternehmen bei der zuständigen Datenschutzbehörde ein oder bringt Fälle direkt vor Gericht. In unserer Prozessstrategie unterscheiden wir zwischen Musterfälle (standard setting cases) und Durchsetzungsmaßnahmen.
Musterfälle: Die DSGVO ist ein relativ neues Gesetz, daher sind viele Elemente noch unklar oder umstritten. Durch die Entwicklung komplexer Fälle, die genau auf diese unklaren Aspekte abzielen, versucht noyb eine Entscheidung der höchsten Gerichte oder Datenschutzgremien in der Europäischen Union (EuGH oder EDSB) zu erwirken. Diese setzen dann einen Standard für die künftige Auslegung der DSGVO.
Durchsetzungsmaßnahmen: In vielen Fällen ist das Gesetz eigentlich klar, aber Unternehmen ignorieren es trotz allem. Daher zielen noybs Durchsetzungsmaßnahmen darauf ab, die Gesetze auf nationaler Ebene durchzusetzen, um rechtswidrige Aktivitäten zu stoppen. Um noch größere Wirkung zu erzielen, leitet noyb Massenverfahren ein oder bringt Fälle in mehreren Ländern gleichzeitig ein. Zwei Beispiele für solche Durchsetzungsverfahren sind noybs 101 Beschwerden gegen unrechtmäßige Datentransfers in die USA oder unsere Massenbeschwerden gegen irreführende Cookie-Banner.
Wir setzen auch auf PR- und Medieninitiativen, um das Recht auf Privatsphäre zu stärken, ohne vor Gericht ziehen zu müssen. Wir bemühen uns außerdem um ein einheitliches Verständnis der DSGVO. Deshalb stellen wir eine Informationsplattform namens GDPRhub zur Verfügung, auf der DSGVO-Entscheidungen und Rechtsliteratur zusammengefasst wird. Nicht zuletzt arbeiten wir mit anderen Organisationen zusammen, um die Wirkungskraft der DSGVO zu steigern ohne dabei Parallelstrukturen zu schaffen.
Wie kommen wir auf Ideen für unsere Projekte?
Einerseits wird noyb von Fördermitgliedern, durch die Öffentlichkeit oder durch Whistleblower auf Datenschutzverletzungen hingewiesen. Andererseits identifizieren die noyb-Jurist:innen potenzielle Projekte anhand folgender Faktoren:
- Große und direkte Auswirkungen: Ein Fall oder ein Projekt sollte sich auf möglichst viele Menschen auswirken, z.B. Weil sie auf eine ganze Branche oder eine gängige Praxis in verschiedenen Wirtschaftsbereichen und Mitgliedstaaten abzielen. Ziel ist dabei, einen sogenannten Spillover-Effekt zu erreichen. Dieser fördert die Einhaltung der Vorschriften allgemein.
- Hohe Erfolgschancen: Als spendenfinanzierte Organisation konzentriert noyb seine finanziellen Mittel auf Projekte, die eine hohe Erfolgschance haben. Verlorene Fälle können dem übergeordneten Ziel der Förderung des Datenschutzes schaden. Obwohl wir stets bestrebt sind, uns auf Fälle mit hoher Erfolgswahrscheinlichkeit zu fokussieren (z.B. weil der Verstoß offensichtlich und die Rechtslage klar ist), gibt es auch Fälle, die das Risiko wert sind (Musterfälle).
- Hohes Input/Output-Verhältnis: Wir übernehmen ausschließlich Fälle und Projekte mit günstigem Input/Output-Verhältnis, um den größtmöglichen Nutzen aus unseren Mitteln zu ziehen. Deshalb konzentrieren wir uns auf die größten Akteure und auf die relevantesten Datenschutzfragen.
- Strategisch: Für den Erfolg strategischer Rechtsstreitigkeiten ist es wichtig, alle Elemente zu berücksichtigen, die sich auf ein Projekt auswirken können. Jeder Fall bedarf deshalb einer individuellen Bewertung hinsichtlich des Timings, der Gerichtsbarkeit, der Kosten, des Sachverhalts, der beschwerdeführenden Person und der verantwortlichen Unternehmen. Zusätzlich überwacht noyb die Aktivitäten europäischer Datenschutzbehörden und Gerichte, um die bestmöglichen Bedingungen (z.B. Gerichtsgebühren, durchschnittliche Bearbeitungszeit, Fachwissen usw.) für unsere Beschwerden zu schaffen.
Beschwerden
Beschwerden werden bei einer nationalen Datenschutzbehörde eingereicht und sind ein kosteneffizientes Mittel zur Durchsetzung der DSGVO. Sobald sie eine Beschwerde erhalten, müssen Behörden innerhalb eines angemessenen Zeitraums (z.B. In Österreich innerhalb eines halben Jahres) eine Entscheidung treffen. Oft müssen verschiedene Datenschutzbehörden zusammenarbeiten, um eine DSGVO-konforme Entscheidung zu treffen. Dies ist zum Beispiel der Fall, wenn die betroffene Person und das verantwortliche Unternehmen nicht im selben Land ansässig sind. Falls die Datenschutzbehörde nicht innerhalb der vorgegebenen Frist entscheidet oder die betroffene Person nicht mit der Entscheidung einverstanden ist, kann eine Entscheidung bei den zuständigen Gerichten angefochten werden.
Klagen
Wir unterscheiden zwei Arten von Klagen. Die ersten richten sich direkt gegen Unternehmen. Das ist zwar häufig teurer als eine Beschwerde, aber oft noch wirkungsvoller. Ein Vorteil ist, dass Klagen – im Gegensatz zu Beschwerden gegen Unternehmen in anderen Mitgliedstaaten – nicht Gegenstand grenzüberschreitender Verfahren sind. Diese sind zum Beispiel erforderlich, wenn die klagende Person in Österreich lebt und das betroffene Unternehmen in Irland ansässig ist.
Beim zweiten Klagetyp handelt es sich um mögliche Berufungsverfahren im Rahmen einer Beschwerde, die sich gegen die Entscheidung einer Behörde richten. Das zuständige Gericht kann einen Fall an die nächste Instanz verweisen, bis sie beim Europäischen Gerichtshof landet – der dann über grundlegende Fragen der Rechtsauslegung zu entscheiden hat.