Facebook, Twitter, Apple: Viele der großen Datenschutzverfahren werden in Irland verhandelt. Dass die dortige Aufsichtsbehörde der Masse und Bedeutung der Verfahren gewachsen ist, bezweifeln viele. Gerade erst kritisierten EU-Konsumentenschützer über das langsame Vorgehen gegen Google.
„Die Datenschutzgrundverordnung ist nun seit etwa 530 Tagen gänzlich in Kraft und wir haben in den großen Fragen immer noch keine Entscheidungen“, beschwerte sich diese Woche auch neuerlich der Bundesdatenschutzbeauftragte Ulrich Kelber.
Auf einer Veranstaltung der Stiftung Datenschutz kündigte Kelber an, der irischen Behörde Hilfe anbieten zu wollen. Er könne sich vorstellen, dass sein Haus Teile von Verfahren übernehme und autonom bearbeite.
Medienberichten zufolge hat die irische Regierung der Datenschutzbehörde im Haushalt für 2020 nur einen Bruchteil des beantragten Mittelzuwachses bewilligt. Weil die Aufgaben massiv gestiegen sind, hatte die Aufsicht einen Haushaltsaufwuchs von fast sechs Millionen Euro angesetzt. Bekommen hat sie 1,6 Millionen Euro.
Irland: Steueroase und Datenschutzwüste
Mit der Datenschutzgrundverordnung wurden nicht nur einheitliche Regeln für die gesamte EU festgelegt, sondern auch die Aufsichtsstruktur neu geregelt. Bürger:innen können sich nun in jedem Staat an eine Datenschutzbehörde wenden, unabhängig davon, in welchem Land der Datenverarbeiter seinen Sitz hat. Dieses sogenannte One-Stop-Shop-Verfahren soll es Menschen leichter machen, ihre Rechte durchzusetzen.
Hinter den Kulissen bleibt es aber kompliziert: Federführend zuständig für jeden Fall ist jeweils die Behörde, in der das Unternehmen seinen Hauptsitz hat. Die Behörde, bei der die Beschwerde eingegangen ist, muss den Fall weiterreichen. Das führt dazu, dass weiterhin die irische Datenschutzaufsicht für viele international bedeutsame Fälle zuständig ist. Aufgrund der schwachen Datenschutzdurchsetzung und der günstigen Steuerpolitik siedelten sich viele der großen Technologiekonzerne aus den USA hier an. „Steueroase meets Datenschutzwüste“, nennt einer von Kelbers Länderkollegen dieses Modell hinter vorgehaltener Hand.
Ach der Bundesbeauftragte zeigt sich irritiert. Es verwundere ihn sehr, „wenn die irische Regierung der Datenschutzbehörde nicht die benötigten Mittel zur Verfügung stellen will, wenn sie gleichzeitig alles dafür tut, ein Steuerrückzahlung in Höhe von 13 Milliarden Euro von Apple abzuwehren“, sagte er am Dienstag in seiner Rede auf dem DatenTag in Berlin. Kelbers Behörde selbst wird mit dem neuen Bundeshaushalt voraussichtlich um mehr als 60 Stellen aufgestockt.
Am Ende entscheidet der Ausschuss
Nun will Kelber den Kolleg:innen in Irland also unter die Arme greifen. Gegenüber netzpolitik.org erklärte der Bundesdatenschutzbeauftragte, dass es bereits im vergangenen Jahr eine Anfrage zur Unterstützung gegeben habe, die seine Behörde aber abgelehnt habe. Einerseits habe sein Haus damals selbst nicht genug Personal gehabt. Zum anderen hätten Mitarbeiter:innen nach Irland entsendet werden sollen, um dort unterstützend tätig zu sein.
Ihm schwebt nun ein anderes Modell vor: „Wir bieten Irland an, Teilfragen an uns abzugeben, sodass wir sie hier autonom von Anfang bis Ende bearbeiten können“, erklärte Kelber gegenüber netzpolitik.org.
Das dürfte vor allem deshalb spannend sein, weil die Behörden durchaus unterschiedliche Herangehensweisen haben. Während die irische Datenschutzbeauftragte Helen Dixon ihre Wirtschaftsnähe betont, macht Kelber mit markigen Ansagen gegenüber der Datenindustrie auf sich aufmerksam. Tatsächlich kann in internationalen Verfahren aber ohnehin keine Aufsicht allein entscheiden: Bei unterschiedlichen Ansichten mehrerer Behörden entscheidet der DSGVO zufolge am Ende der Europäische Datenschutzausschuss.
Ich frage mich tatsächlich, ob der deutsche Bundesdatenschutzbeauftragte das ernst meint.
In DE dauern einfachste DSGVO-Verfahren mittlerweile 1 Jahr +x und können nicht abgeschlossen werden. Es fehlt an Personal. Es greift eine Automatik aller paar Monate bei der ein (automatisiertes) Schreiben kommt, um einer Klage vor dem VWG wegen Untätigkeit vorzubeugen.
Die Intention kann nachvollzogen werden. Aber ich sehe das kritisch, soweit DSGVO-Verfahren im Inland unnötig lange dauern; Insbesondere bei bundesweit agierenden Unternehmen.
Herr Kelber dürfte gerne mal vor der eigenen Haustüre kehren und den Gesetzgeber in Datenschutzfragen rund um die Digitalisierung im Gesundheitswesen beraten.
Im Gesetzentwurf zur eAkte wurden nur „Vertreter der Industrie“ befragt, keine Patienten und keine Ärzte.
Während sich die Datenschützer noch fragen, ob man mit Windows wohl personenbezogene Daten verarbeiten kann, erzwingt die Regierung schon einmal den Daueranschluss der Rechner mit den sensibelsten Daten an das Internet, obwohl klar ist, dass Windows in diesem Bereich einen Marktanteil >99%hat. Anders als von der Industrie behauptet, waren diese Daten in den meisten (kleineren) Praxen bisher dauerhaft offline.
Ärzte werden gezwungen, sich anzuschließen, obwohl der Konnektor bis heute nicht richtig funktioniert (Uptime max. 3 Tage) und keinerlei medizinischer Nutzen erkennbar ist . Die Hersteller lachen die Ärzte und deren IT-Experten an der Hotline aus „Sie können ja gerne kündigen“ und bieten weiteren kostenpflichtigen Support an, weil die Regierung per Vertragsstrafe von 2.5% des Umsatzes die Ärzte zwingt, die Geräte zu betreiben. Ein Geschäft mit der Mafia dürfte angenehmere Randbedingungen haben.