Vorwurf von Ulrich KelberIrische Datenschutzbehörde macht „falsche Aussagen“

Der Bundesdatenschutzbeauftragte wirft seiner irischen Amtskollegin den Fehdehandschuh hin. Die Behörde in Dublin verschleppe wichtige Verfahren gegen Tech-Konzerne wie Facebook und verschleiere ihr Zögern mit unwahren Behauptungen.

Ulrich Kelber und Helen Dixon
Der Bundesdatenschutzbeauftragte Kelber kritisiert seine Amtskollegin Dixon scharf. CC-BY-NC-ND 2.0 FORTUNE Global Forum

Der schwelende Streit zwischen europäischen Datenschutzbehörden über die Durchsetzung der Datenschutzgrundverordnung ist voll entbrannt. In einem Brief, den der Datenschützer Max Schrems an diesem Donnerstag veröffentlicht hat, wirft der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber seiner irischen Amtskollegin Helen Dixon „schlichtweg falsche“ Aussagen vor. Dixon sagte ihrerseits einen Auftritt im EU-Parlament ab, bei dem sie sich Vorwürfen gegen ihre Behörde stellen sollte.

Irland ist der Europasitz von Google, Facebook und anderen Konzernen. Daher ist auch die dortige Datenschutzbehörde seit Wirksamkeit der DSGVO im Mai 2018 federführend zuständig für grenzüberschreitenden Verfahren gegen die Unternehmen. NGOs beklagen seit längerem, dass der irischen Behörde notwendiges Personal und Ressourcen für ihre Aufgaben fehlten. Der Hamburger Datenschützer Johannes Caspar hatte bereits im vergangenen Jahr das Vorgehen der Behörde in Dublin kritisiert.

Die irische Data Protection Commission führt allein gegen große Tech-Konzerne aus den USA derzeit 20 bis 30 Verfahren. Auch in einer Untersuchung der Datenschutzpraktiken der Video-App TikTok hat die irische Behörde widerwillig die Führung übernommen, nachdem der chinesische Mutterkonzern von TikTok seinen Europasitz nach Dublin verlegte. Insgesamt habe Irland bei 196 grenzüberschreitenden Verfahren die europäische Federführung inne, bei nur vier davon gebe es aber bislang eine Entscheidung, beklagt der Bundesdatenschutzbeauftragte.

Kritik von EU-Abgeordneten an Irland

In den Chor der Kritik stimmen auch EU-Abgeordnete ein. Eine Resolution des Bürgerrechteausschusses, die am Montag verabschiedet wurde, beklagt die „unausgewogene Durchsetzung“ der DSGVO. Die Abgeordneten fordern die irische Behörde auf, ihre laufenden Untersuchungen deutlich zu beschleunigen.

Besonders viele Beschwerden, die in Dublin landen, betreffen Facebook. Allein über die Facebook-Tochterfirma WhatsApp hat der Bundesdatenschutzbeauftragte nach eigenen Angaben 2018 mehr als 50 Beschwerden nach Irland geschickt, von denen bis heute keine einzige abgeschlossen sei.

Behördenchefin Dixon hatte sich Anfang März in einem Brief an das EU-Parlament über die Verbreitung „ungeprüfter Behauptungen“ über die Arbeit ihrer Behörde beschwert. Deutsche Behörden hätten zwar rasch gehandelt und hohe DSGVO-Strafen verteilt, seien aber vor Gericht mit ihrem Vorgehen gescheitert.

Den Vorwürfen aus Irland widerspricht der Bundesdatenschutzbeauftragte entschieden. Die irische Datenschützerin Dixon habe Aussagen getroffen, die „sehr einseitig ihre persönliche Auffassung widerspiegeln und mit [denen] sie zum anderen im Kreis der europäischen Datenschutzaufsichtsbehörden oftmals isoliert dasteht“, betont Kelber in seinem Brief an das EU-Parlament. Er weist Darstellungen aus Irland als „nicht korrekt“ und „schlichtweg falsch“ zurück. Die irische Behörde unterbinde mit ihrer Haltung „zu einem gewissen Grad etwaige Initiativen anderer Aufsichtsbehörden“.

Schrems: „Alternative Fakten“ aus Irland

Der Datenschützer Schrems, der vielfach Klagen gegen Facebook eingebracht hat, stellt sich auf die Seite Kelbers und wirft Dixon die Verbreitung „alternativer Fakten“ vor. Andere Behörden hätten sich lange mit Kritik an den irischen Kolleg:innen zurückgehalten, doch Dixons Leute machten eine Zusammenarbeit praktisch unmöglich.

„Wir sehen das Ergebnis für die Bürger in unserer täglichen Arbeit, wo die DPC nicht einmal Anrufe oder E-Mails von anderen Datenschutzbehörden beantwortet“, beklagt Schrems. „Die Verfahren dauern viele Jahre statt nur ein paar Monate.“

Die Zusammenarbeit europäischen Behörden läuft über den Europäischen Datenschutzausschuss mit Sitz in Brüssel, der von der österreichischen Behördenchefin Andrea Jelinek geleitet wird. Diese hat sich bislang mit Kritik an Irland zurückgehalten. Die DSGVO sieht eine Kooperation zwischen Behörden vor, bietet aber wenig rechtliche Grundlage für ein Vorgehen, wenn diese Kooperation nicht klappt.

Tatsächlich etwas unternehmen könnte die EU-Kommission. Hält sie die Arbeit der irischen Datenschutzbehörde für so unzureichend, dass sie ein systemisches Versagen darstellt, könnte sie ein Vertragsverletzungsverfahren gegen Irland einleiten. So weit möchte die Behörde in Brüssel allerdings nicht gehen – zumindest bislang.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

7 Ergänzungen

  1. Sehen wir den Tatsachen ins Gesicht: es ist schon lange klar, dass Facebook und Irland irgendeine Form geheimer Übereinkünfte getroffen haben. Dixon führt nur aus, was politisch beschlossen wurde: Facebook Narrenfreiheit innerhalb der EU sichern.

  2. Tun wir doch nicht so, als wenn es bei uns besser wäre. Ich habe mich mit einer Beschwerde über ein Unternehmen in NRW schon im September 2019 an die Landesdatenschutzbeauftragte NRW gewandt. Bis heute habe ich noch nicht einmal eine erste Bewertung meiner Beschwerde erhalten. Stattdessen bittet man mich immer wieder um Geduld und entschuldigt sich mit dem hohen Arbeitsaufkommen. Ich habe die schleppende Bearbeitung zum Anlass genommen, per Informationsfreiheitsanfrage die Ausstattung der Dienststelle sowie die Entwicklung des Arbeitsaufkommens zu erfragen. Demnach gab es von 2016 bis 2019 folgende Entwicklung:
    Anzahl der Mitarbeiter in Vollzeitstellen: +33,3%,
    zur Verfügung stehende finanzielle Mittel: +34,4%,
    Anzahl der bearbeiteten Anfragen und Beschwerden: +184,1%.
    Mit anderen Worten: Das Arbeitsaufkommen stieg von 2016 bis 2019 fünfeinhalb Mal (!) so stark wie die personelle oder finanzielle Ausstattung. In der Folge habe ich diverse Stellen in Landesregierung und Landtag angeschrieben, weil ich wissen wollte, wie es dazu kommen konnte und wie das Problem gelöst werden könnte. Und Überraschung: All die Herrschaften, die sich mal haben wählen lassen, um „Politik für die Menschen“ zu machen oder die „das Land gestalten“ wollten, sind nun leider nicht zuständig – selbst die nicht, die einen Ministertitel tragen, aus dem die Zuständigkeit klar hervorgeht.
    Die öffentlich bestellten Datenschutzbeauftragten sind die Hauptdarsteller in einer Schmierenkomödie, die den Bürgern vorgaukeln soll, jemand würde sich um ihre Grundrechte kümmern.

    1. Also ich habe bisher andere Erfahrungen gemacht. Meine Beschwerde wurde innerhalb einer Woche an die zuständige Aufsichtsbehörde weitergeleitet (mit Infobrief für mich) und in Hessen innerhalb von 6 Wochen geklärt, inklusive weiteren Fragen per Mail an mich.
      Auch beruflich (als externer Datenschutzbeauftragter) habe ich nicht den Eindruck, dass Aufsichtsbehörden arbeitsunwillig sind.

      Nach einem Jahr „Schonfrist“ nach Inkrafttreten der DSGVO hat man sich bundesweit recht schnell auf ein einheitliches Bußgeldberechnungsmodell geeinigt, dass Unternehmen schon das Fürchten lehren konnte.
      Nach einigen Gerichtsurteilen, die die Bußgelder für unangemessen hielten, wird dieses wohl noch einmal angepasst. Ich gehe aber nicht davon aus, dass sich an der Höhe der Bußgelder signifikant etwas ändern wird.
      Leider haben sie natürlich mit chronischer Unterfinanzierung zu kämpfen, wie Du sagtest. Das führt natürlich dazu, dass einige Verfahren langsamer vonstatten gehen und bspw. Untersuchungen in Eigeninitiative und vor allem Beratungsleistungen, die sie ja auch bieten sollen, kaum noch durchgeführt bzw. angeboten werden. Dafür würde ich der Datenschutzaufsicht aber nicht die Schuld zuschieben.
      Gerade bei Fällen, wo die heimische Wirtschaft von einem Verstoß benachteiligt werden könnte, helfen sie super gerne – was daran liegt, dass sie damit ihre Chancen auf bessere finanzielle Ausstattung bei den lokalen Abgeordneten deutlich steigern können. ;)

      Eine Auflistung der europaweit verhängten (bzw. bekannt gewordenen) Bußgelder findet man hier: https://enforcementtracker.com/

      1. Ich war auch erst geneigt, die Schuld an Unterbesetzung und Unterfinanzierung bei Landesregierung oder Landtag zu sehen, weil ich davon ausgegangen war, dass die von der nordrhein-westfälischen Landesdatenschutzbeauftragten (LfD NRW) beantragten Ressourcen immer nur zum Teil bewilligt worden seien. Ich habe aber recherchiert, dass ihre Anträge immer ungekürzt bewilligt wurden. Das heißt dann aber doch, dass die LfD NRW seit Jahren ihre eigene Behörde kaputtspart. Ich habe sie schon zwei Mal deswegen angeschrieben, aber noch keine Antwort erhalten.

  3. Persönlich weiß ich, dass die Kultur in Irland rund um den Datenschutz ziemlich entspannt ist, vielleicht weil wir im Vergleich zu Deutschland keine staatliche Übermacht hatten? Auch für ein neutrales Land haben wir eine sehr kuschelige Beziehung zu Amerika, daher unsere Liebe zu den großen Tech-Giganten in Irland.
    Aus meiner Sicht hat das nichts mit Datenschutz zu tun, es ist nur eine Taktik von Vestager und der EU, um unsere Unternehmenssteuer ins Visier zu nehmen. Ich bin froh, dass Helen sich für ihr Amt einsetzt. Wenn die EU mehr Datenbeschwerden durchkriegen will, dann sollte sie die Untersuchungen selbst finanzieren. Da die EU den Apfel-Fall verloren hat, muss sie versuchen, andere Wege zu finden, Irland ins Visier zu nehmen.

  4. Vielleicht ist das hier dann auch ganz passend.
    https://rsw.beck.de/aktuell/daily/meldung/detail/eugh-generalanwalt-eu-weite-dsgvo-verfahren-durch-nationale-behoerden-moeglich
    Es geht hier um die Absurdität der „allgemeine Zuständigkeit“ der federführenden Behörden.
    Lustig auch, Datentransfers sind grenzüberschreitend, nur rechtlich soll dann nur die (nationale) Behörde zuständig sein; in dem Staat, in dem der Hauptsitz der Datenkrakenfirma liegt. Das ist ein Konstruktionsfehler der DS-GVO…und gehört geändert.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.