I dom C-416/23 fick den österrikiska dataskyddsmyndigheten (DSB) en örfil av EU-domstolen. Myndigheten har - godtyckligt - fastställt antalet klagomål som registrerade kan lämna in till högst två per månad, även om man påverkas av GDPR-överträdelser nästan dagligen. EU-domstolen har nu klargjort att så länge man inte lämnar in klagomål som innebär missbruk har alla användare rätt att få alla GDPR-överträdelser åtgärdade av DSB. Att dataskyddsmyndigheter försöker bli av med klagomål är tyvärr inte bara ett österrikiskt problem. Våra siffror visar att det finns ett EU-omfattande problem med inaktivitet hos dataskyddsmyndigheterna.
Avskrivning och avbrytande en masse. DSB har under flera år utvecklat olika "tekniker" för att i så stor utsträckning som möjligt avbryta förfaranden mot företag. Exempelvis hotas de registrerade ofta med att förfarandet ska avbrytas efter varje uttalande från ett företag, om de inte invänder inom två veckor. DSB avbryter också förfaranden i stor skala om ett företag (efter åratal av tvist) i sista minuten följer GDPR. Det senaste "tricket" var att begränsa antalet klagomål till två per månad - trots att användare ibland drabbas av GDPR-överträdelser varje timme. Detta "knep" har nu upphävts av EU-domstolen efter att en medborgare väckt talan mot DSB som eskalerades hela vägen till EU-domstolen - men de andra sätten att bli av med klagomål används fortfarande.
Max Schrems: "Man har alltid grundläggande rättigheter - inte bara två gånger i månaden. Om DSB konsekvent skulle bestraffa överträdelser skulle det också bli färre klagomål. Istället använder myndigheten olika tekniker för att bli av med klagande. Företagen har lärt sig att det inte finns några konsekvenser. Med olika procedurmässiga knep avvärjs en stor del av klagomålen - och företagen fortsätter glatt att bryta mot lagen."
Endast 1,36% av alla förfaranden resulterar i böter. DSB uppger för närvarande att under 2023 genomförde 4 030 förfaranden (2 389 nationella klagomål, 876 gränsöverskridande klagomål och 765 ex officio-förfaranden). Dock endast 55 böter utdömdes under hela under hela året. Detta innebär att statistiskt sett endast 1,36% av alla förfaranden slutar med böter. Som jämförelse kan nämnas 8.34 miljoner trafikböter utfärdades i Österrike under 2021. Vid rusningstid under 2023, utfärdades mer än 7 000 böter för felparkerade elscootrar per månad i Wien i Wien. Statistiskt sett skulle det ta DSB 127 år att utfärda dessa 7 000 böter. Många GDPR-överträdelser är dock lika triviala som parkeringsförseelser. Användarförfrågningar behandlas helt enkelt inte, samtycke inhämtas inte eller uppgifter raderas inte.
Max Schrems: "Under rusningstid utfärdades upp till 7 000 böter per månad bara i Wien för olagligt parkerade elscootrar. Däremot utdömde dataskyddsmyndigheten endast 55 böter under 2023. Den genomsnittliga parkeringsförseelsen har mer att frukta än företag som missbrukar personuppgifter i miljontals. I mer än 98% av alla fall som behandlas av DSB utdöms inga påföljder. Företag som följer lagen får stå där och se dumma ut."
Inte bara ett österrikiskt problem. Detta problem är inte unikt för Österrike utan berör dataskyddsmyndigheter i hela Europa. År 2022 (det sista året med EU-omfattande siffror) hade alla europeiska dataskyddsmyndigheter tillsammans 140 106 förfaranden - men utfärdade bara 1819 böter mot företag. Det innebär att endast 1,3 procent av fallen fick allvarliga konsekvenser. Detta visar tydligt att det finns ett EU-omfattande problem med inaktivitet hos dataskyddsmyndigheterna och myndigheter som drar ut på förfarandena.
Max Schrems: "Vi ser att dataskyddsmyndigheterna inte riktigt vidtar åtgärder i hela EU. Domstolen har nu upprepade gånger sagt till dem att de måste skärpa sig, men det syns inte i statistiken."
Förfaranden tar år - i stället för månader. Enligt § 73 AVG ska tvistlösningsorganet fatta beslut inom 6 månader. I verkligheten tar förfarandena nästan alltid betydligt längre tid. Exempelvis 3 år för ett beslut om en olaglig cookie banner är inget undantag. Statistiken för noyb-statistiken för Österrike visar många fall som väntar långt över 6 månader på ett beslut. Ytterligare överklaganden till den federala förvaltningsdomstolen tar också flera år istället för de 6 månader som föreskrivs i lag. Som ett resultat av detta är brottsbekämpningen i Österrike inte på något sätt förenlig med EU-lagstiftningen.
Max Schrems: "Jag har aldrig sett ett DSB-förfarande som avgjorts inom den lagstadgade tidsfristen. Istället för de planerade sex månaderna talar vi ofta om tre år eller mer, även när det gäller helt triviala fall som en olaglig cookie-banner. DSB är strukturellt oförmöget att upprätthålla lagen på ett effektivt sätt."
Budgetproblem? En Google-bot skulle räcka för att betala för Brenner-bastunneln. Den österrikiska dataskyddsmyndigheten (DSB) har bett om en högre budget i flera år. Sedan 2020 har antalet har antalet anställda ökat från 43 till 60. Det skulle vara väl värt det för staten att tillhandahålla de nödvändiga resurserna: DSB är inte bara direkt ansvarig för företag i Österrike utan också för många internationella företag, inklusive Google USA. Ett enda bötesbelopp som åläggs Google kan uppgå till så mycket som 6 miljarder euro - det är mer än Österrikes andel av Brennerbasen eller en stor del av Tunnel eller en stor del av det nuvarande budgetunderskottet på 15 till 23 miljarder euro.
Max Schrems: "Om DSB äntligen vaknar upp ur sin slummer och får en anständig budget för att göra det, kan det snabbt betala sig. En GDPR-straffavgift mot Google är till exempel mer än vår andel av Brennerbasistunneln - bara för att ge dig en uppfattning om omfattningen. Men DSB måste också bli mer effektivt. Man kan inte bara be om en större budget och sedan fortsätta att misslyckas med att behandla ärenden på ett strukturerat sätt."
