Im Windschatten einer großen EU-Gesetzesinitiative hat die irische Datenschutzbehörde gestern still und heimlich ein Verfahren gegen Twitter mit einer Strafe von lediglich 450.000 Euro beendet. Bei dem Verfahren ging es um ein Datenleck im Januar 2019, über das Twitter die zuständige Aufsichtsbehörde in Irland nur spät und unzureichend informierte, heißt es in einer Pressemitteilung aus Dublin.
Der Fall verdient Aufmerksamkeit, denn es handelt sich um das erste abgeschlossenen Verfahren gegen einen US-Technologiekonzern, in dem die europäischen Datenschutzbehörden gemeinsam entschieden. Diese Möglichkeit wurde durch Artikel 65 der Datenschutzgrundverordnung (DSGVO) geschaffen, die Regeln für Datenschutz in der EU festlegt. Die Idee: Grenzüberschreitende Fälle sollten einfach und verbindlich für die ganze EU gelöst werden.
Kritik an Schwäche der irischen Behörde
Inzwischen mehrt sich jedoch die Kritik an der irischen Behörde. Irland ist der Europasitz von Konzernen wie Google, Apple und Facebook. Doch die irische Datenschutzaufsicht hat zu wenig Personal und Ressourcen, um ihren Aufgaben nachzukommen. Sie wehrt sich deswegen, die Aufsicht über weitere Dienste wie TikTok zu erhalten. Wegen des zögerlichen und schwachen Vorgehens in Irland hatte es zuletzt bereits Ärger mit anderen Datenschutzbehörden gegeben, unter anderen der deutschen.
Bei der Entscheidung gegen Twitter geht es um einen Fehler in der Software des Kurznachrichtendienstes, durch den geschützte, nicht-öffentliche Tweets von Nutzer:innen plötzlich öffentlich wurden. Die DSGVO sieht vor, dass Vorfälle, die gegen die Privatsphäre der Nutzenden verstoßen, von den Firmen an die zuständige Behörde gemeldet werden.
Das tat Twitter, aber aus Sicht der Behörde zu spät und mit zu wenig Informationen. Problematisch ist das, weil die Aufsicht erst aktiv werden kann, wenn sie überhaupt von einem Vorfall weiß.
Große Verfahren in Irland noch anhängig
Zumindest ein Dutzend weitere Verfahren gegen Facebook, Google und andere Konzerne sind in Irland noch anhängig. Auch wenn diese Verfahren von Behörden mehrerer Länder gemeinsam geführt werden, ist dennoch die irische Datenschutzkommission federführend. Dublin bremse den Fortgang von Verfahren, heißt es von frustrierten Kolleg:innen in anderen Ländern.
Mit der größten Spannung wird das Verfahren gegen Facebook verfolgt. Der Europäische Gerichtshof urteilte im Sommer gegen die Rechtsgrundlage, unter der Facebook die Daten von Nutzer:innen in die USA transferiert und dort zu Werbezwecken auswertet. Doch bislang hat die Behörde in Dublin die transatlantischen Datenflüsse von Facebook nicht gestoppt.
Einige Stimmen aus der Zivilgesellschaft drängen die EU-Kommission sogar bereits, ein Vertragsverletzungsverfahren gegen Irland zu beginnen, um das Land endlich zu einer Durchsetzung der europäischen Datenschutzregeln zu bewegen. Bis das passiert, darf weiterhin mit späten und niedrigen Strafen für eklatante Verstöße gerechnet werden.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.