In het arrest C-416/23 heeft de Oostenrijkse gegevensbeschermingsautoriteit (DSB) een klap in het gezicht gekregen van het HvJEU. De autoriteit heeft - willekeurig - het aantal klachten dat betrokkenen kunnen indienen vastgesteld op maximaal twee per maand, zelfs als je bijna dagelijks te maken hebt met GDPR-schendingen. Het HvJEU heeft het nu duidelijk gemaakt: zolang je geen onrechtmatige klachten indient, hebben alle gebruikers het recht om elke GDPR-schending te laten herstellen door de DSB. Helaas is het niet alleen een Oostenrijks probleem dat gegevensbeschermingsautoriteiten klachten proberen kwijt te raken. Uit onze cijfers blijkt dat er in de hele EU een probleem is met inactiviteit van de gegevensbeschermingsautoriteiten.
Massaal afwijzen en stopzetten. Jarenlang heeft het DSB verschillende 'technieken' ontwikkeld om procedures tegen bedrijven zoveel mogelijk te staken. Zo worden betrokkenen vaak bedreigd met het staken van de procedure na elke verklaring van een bedrijf, als ze niet binnen twee weken bezwaar maken. Het DSB staakt ook op grote schaal procedures als een bedrijf (na jaren van geschil) op het laatste moment aan de GDPR voldoet. De laatste 'truc' was om het aantal klachten te beperken tot twee per maand - ook al worden gebruikers soms elk uur getroffen door GDPR-overtredingen. Deze 'truc' is nu geannuleerd door het HvJEU nadat een burger een zaak aanspande tegen de DSB die helemaal geëscaleerd werd naar het HvJEU - maar de andere manieren om van klachten af te komen worden nog steeds gebruikt.
Max Schrems: "Je hebt altijd grondrechten - niet slechts twee keer per maand. Als het DSB schendingen consequent zou bestraffen, zouden er ook minder klachten zijn. In plaats daarvan gebruikt de instantie verschillende technieken om van klagers af te komen. Bedrijven hebben geleerd dat er geen consequenties zijn. Met verschillende procedurele trucs wordt een groot deel van de klachten afgewend - en bedrijven gaan vrolijk door met het overtreden van de wet."
Slechts 1,36% van alle procedures resulteert in een boete. Het DSB stelt momenteel dat in 2023 4.030 procedures heeft gevoerd (2.389 nationale klachten, 876 grensoverschrijdende klachten en 765 ambtshalve procedures). Echter, werden slechts 55 boetes opgelegd opgelegd. Dit betekent dat statistisch gezien slechts 1,36% van alle procedures eindigt met een boete. Ter vergelijking: 8.34 miljoen verkeersboetes uitgedeeld in Oostenrijk in 2021. Op piekmomenten in 2023, werden per maand meer dan 7.000 boetes uitgeschreven voor fout geparkeerde e-scooters in Wenen. Statistisch gezien zou de DSB 127 jaar nodig hebben om deze 7.000 boetes uit te schrijven. Veel GDPR overtredingen zijn echter net zo triviaal als parkeerovertredingen. Verzoeken van gebruikers worden gewoon niet verwerkt, er wordt geen toestemming gevraagd of gegevens worden niet verwijderd.
Max Schrems: "Op piekmomenten werden alleen al in Wenen tot 7.000 maandelijkse boetes uitgeschreven voor illegaal geparkeerde e-scooters. Daarentegen heeft de gegevensbeschermingsautoriteit in 2023 slechts 55 boetes opgelegd. De gemiddelde parkeerovertreder heeft meer te vrezen dan bedrijven die miljoenen aan persoonlijke gegevens misbruiken. In meer dan 98% van alle zaken voor de DSB worden geen boetes opgelegd. Bedrijven die zich aan de wet houden, staan voor schut."
Niet alleen een Oostenrijks probleem. Dit probleem is niet uniek voor Oostenrijk, maar betreft gegevensbeschermingsautoriteiten in heel Europa. In 2022 (het laatste jaar met cijfers voor de hele EU) hadden alle Europese gegevensbeschermingsautoriteiten samen 140.106 procedures - maar schreven ze slechts 1819 boetes uit tegen bedrijven. Dit betekent dat er in slechts 1,3% van de gevallen sprake was van een ernstig gevolg. Dit laat duidelijk zien dat er in de hele EU een probleem is met inactiviteit van de gegevensbeschermingsautoriteiten en het rekken van procedures.
Max Schrems: "We zien dat gegevensbeschermingsautoriteiten in de hele EU niet echt actie ondernemen. Het Hof van Justitie heeft hen nu herhaaldelijk verteld dat ze orde op zaken moeten stellen, maar dat blijkt niet uit de statistieken."
Procedures duren jaren - in plaats van maanden. Volgens § 73 AVG moet het orgaan voor geschillenbeslechting binnen 6 maanden een besluit nemen. In werkelijkheid duren procedures bijna altijd aanzienlijk langer. Bijvoorbeeld, 3 jaar voor een beslissing over een illegale cookie banner is geen uitzondering. De noyb-statistieken voor Oostenrijk laten veel gevallen zien waarin meer dan 6 maanden op een beslissing moet worden gewacht. Verder beroep bij de Federale Administratieve Rechtbank duurt ook meerdere jaren in plaats van de 6 maanden die de wet voorschrijft. Als gevolg hiervan is de wetshandhaving in Oostenrijk op geen enkele manier in overeenstemming met de EU-wetgeving.
Max Schrems: "Ik heb nog nooit een DSB-procedure gezien die binnen de wettelijke termijn werd beslist. In plaats van de geplande zes maanden hebben we het vaak over drie jaar of meer, zelfs in het geval van volstrekt triviale zaken zoals een illegale cookiebanner. De DSB is structureel niet in staat om de wet efficiënt te handhaven."
Budgetproblemen? Met een Google-boete zou de Brenner-basistunnel betaald kunnen worden. De Oostenrijkse gegevensbeschermingsautoriteit (DSB) vraagt al jaren om een hoger budget. Sinds 2020 is het aantal medewerkers verhoogd van 43 naar 60. Het zou voor de staat de moeite waard zijn om de nodige middelen ter beschikking te stellen: de DSB is niet alleen rechtstreeks verantwoordelijk voor bedrijven in Oostenrijk, maar ook voor veel internationale bedrijven, waaronder Google USA. Eén enkele sanctie tegen Google kan oplopen tot € 6 miljard - dat is meer dan het Oostenrijkse aandeel in de schade van Google dat is meer dan het aandeel van Oostenrijk in de Brenner-basistunnel of een groot deel van de kosten van de Brenner-basistunnel Tunnel of een groot deel van het huidige begrotingstekort van 15 tot 23 miljard euro.
Max Schrems: "Als het DSB eindelijk uit zijn sluimer ontwaakt en daar een fatsoenlijk budget voor krijgt, zou dat snel zijn vruchten kunnen afwerpen. Een GDPR-boete tegen Google is bijvoorbeeld meer dan ons deel van de Brenner-basistunnel - om je een idee te geven van de omvang. Maar de DSB moet ook efficiënter worden. Je kunt niet om een groter budget vragen en vervolgens structureel zaken niet blijven afhandelen."
