Pünktlich zum zweiten Jahrestag der Datenschutzgrundverordnung attackiert der österreichische Datenschützer Max Schrems die mangelhafte Durchsetzung des wegweisenden EU-Gesetzes. Das Gesetz sei nur so stark wie die schwächste Behörde, die es umsetzten müsse, klagt Schrems in einem offenen Brief an die europäischen Datenschutzbehörden. Es dürfe nicht sein, dass es Datenschutz „nur auf dem Papier“ gebe.
Schrems’ Beschwerde richtet sich gegen die irische Datenschutzbeauftragte Helen Dixon. Irland ist der EU-Sitz von Technologiekonzernen wie Facebook, Twitter und Google. Die irische Behörde ist daher federführend für EU-weite Datenschutzbeschwerden gegen die Konzerne zuständig, derzeit laufen in Dublin zumindest zwölf große Fälle gegen sie. Doch in zwei Jahren hat die Behörde bislang aus Sicht von Aktivisten wenig unternommen, um die Geschäftspraxis der Datenkonzerne einzuschränken.
Zum Jahrestag beklagen Stimmen aus der Zivilgesellschaft die ungleichmäßige Durchsetzung der DSGVO. Das Gesetz habe das Bewusstsein für den Datenschutz europaweit gestärkt, aber seine Umsetzung sei noch immer mangelhaft, klagen die Verbraucherzentrale Bundesverband (vzbv) und der Verein Digitale Gesellschaft in einer gemeinsamen Stellungnahme.
Die NGO Access Now, die weltweit für digitale Rechte kämpft, drängt darauf, dass Datenschutzbehörden ihre Arbeit schneller verrichten und besser koordinieren. „Selbst das beste Gesetz der Welt nutzt wenig, wenn es nicht umgesetzt wird“, schreiben die Aktivisten in einem ausführlichen Bericht.
Schrems: Geheime Absprache in Irland
Der Datenschützer Schrems erhebt in seinem offenen Brief schwere Vorwürfe. Die irische Behörde habe in geheimen Treffen mit Facebook dem Konzern bei der Umgehung von Datenschutzbestimmungen geholfen.
Konkret geht es um Untersuchungen wegen Facebooks „Einwilligungs-Umgehung“. Schrems und andere Datenschützer:innen beschweren sich seit Jahren darüber, dass Facebook die Nutzung seiner Dienste an umfassende Einwilligungen zur Verarbeitung von persönlichen Daten zu Werbezwecken koppelt.
Dies ist nach der Beschwerde von Schrems durch Artikel 7 der DSGVO untersagt, der klare Bedingungen in die Einwilligung der Datenverarbeitung setzt. Facebook änderte mit Wirksamwerden der DSGVO am 25. Mai 2018 über Nacht seine Vertragsbedingungen und beruft sich seither nicht mehr auf die Einwilligung seiner Nutzenden, sondern auf einen „angeblichen Datennutzungvertrag“, sagt Schrems.
Nach Angaben des Datenschützers habe es zehn Treffen der irischen Behörde mit Facebook vor Wirksamwerden der DSGVO gegeben. Dabei sei eine Absprache erfolgt, wie Facebook seine dubiose Datenpraxis weiterhin unter dem Mäntelchen der Legalität fortsetzen kann, so Schrems. Das erinnere an umstrittene Steuerdeals zwischen Irland und Technologiekonzernen wie Apple.
Die irische Behörde bestreitet auf Anfrage von netzpolitik.org, geheime Absprachen mit Facebook getroffen zu haben. „Wir treffen uns regelmäßig mit Unternehmen aus allen Sektoren im Rahmen unserer Durchsetzungs- und Überwachungsfunktionen gemäß Artikel 57 der GDPR, so wie es viele unserer EU-Kollegen tun, die Datenschutzbehörden sind“, schrieb der Vizechef der Behörde, Graham Doyle.
Zuvor teilte die Behörde mit, sie habe in dem Fall die Ermittlungen abgeschlossen und befinde sich nun in der Entscheidungsphase. In zwei weiteren Fällen wegen der Facebook-Töchter Instagram und WhatsApp seien Berichtsentwürfe an den Mutterkonzern mit Bitte um Stellungnahme geschickt worden. Diese Verfahrensschritte gehen einer Entscheidung im EU-Rahmen voraus.
Der Europäische Datenschutzausschuss wollte zunächst keine Stellungnahme zu den Vorwürfen von Schrems abgeben. Sie müssten erst noch in einer der nächsten Sitzungen des Ausschusses besprochen werden, teilte eine Sprecherin mit.
Irland als Nadelöhr
Bei der irischen Behörde liegen indes zahlreiche weitere große Fälle. Zwar sollen bei europaweiten Fällen die Aufseher aller EU-Staaten gemeinsam im Datenschutzausschuss entscheiden, allerdings muss zuerst die irische Behörde einen Entscheidungsentwurf vorliegen. In dem Tempo, in dem die Behörde bisher arbeite, dauere es insgesamt zehn Jahre bis zu einer endgültigen Entscheidung, klagt Schrems.
Erst am Wochenende teilte die irische Behörde mit, einen ersten Entscheidungsentwurf in einem anderen „großen“ Fall wegen einer Datenschutzverletzung durch Twitter an alle EU-Behörden geschickt zu haben.
Bisher offen ist auch der Ausgang einer weiteren rechtlichen Auseinandersetzung zwischen Schrems, der irischen Datenschutzbehörde und Facebook. Am 16. Juli soll der Europäische Gerichtshof im Fall Schrems II über den Datentransfer zwischen EU und USA entscheiden. Die EU-Kommission bereitet sich nach einer kritischen Einschätzung des EU-Generalanwaltes bereits auf ein Scheitern des Rechtskonstrukts vor.