Europas oberste Datenschützerin: „Ich halte überhaupt nichts von einer DSGVO-Reform“

Die Fäden der europäischen Datenschutzaufsicht laufen in einem unauffälligen Bürogebäude im dritten Wiener Gemeindebezirk zusammen. Dort, in der Barichgasse, hat Andrea Jelinek im fünften Stock ihr Büro. Sie leitet die österreichische Datenschutzbehörde, quasi im Nebenjob ist sie seit mehr als vier Jahren die Vorsitzende des Europäischen Datenschutzausschusses. Dort stimmen sich Behörden aus allen EU-Ländern über grenzüberschreitende Fälle ab, im Streitfall wird abgestimmt. Dass ihr Büro im Nebenhaus der Staatstrojanerfirma DSIRF sitzt, ist eine kleine Ironie in sich. Im Interview mit netzpolitik.org spricht Jelinek über die Zusammenarbeit der europäischen Datenschutzbehörden und Vorwürfe, es hapere bei der Durchsetzung von EU-Recht gegenüber großen Konzernen.

netzpolitik.org: Die Datenschutzgrundverordnung (DSGVO) ist seit vier Jahren wirksam, doch Entscheidungen über zahlreiche grenzüberschreitende Fälle gegen große Konzerne stehen noch aus – etwa Beschwerden von Max Schrems und seiner Organisation noyb gegen Facebook. Eigentlich sollen die Behörden der EU-Staaten im Europäischen Datenschutzausschuss in Abstimmung miteinander entscheiden. Doch zuletzt hieß es in Medienberichten, dass Differenzen im Ausschuss Entscheidungen verzögerten. Besonders der irischen Datenschutzbehörde wird vorgeworfen, dass sie absichtlich auf der Bremse stehe.

Andrea Jelinek: Die Diskussion in den Medien möchte ich nicht umgelegt wissen auf die Diskussion im Ausschuss. Unsere Diskussionen sind immer von Wertschätzung und Respekt getragen. Ich habe den Eindruck, dass sich in den letzten Jahren die Entscheidungsfindung sehr, sehr gut entwickelt hat, wir arbeiten auch gut zusammen. Aber manchmal ist es halt ein agree to disagree. Das ist auch ganz normal. Die irische Datenschutzbehörde steht natürlich im Fokus, weil sie in ganz vielen Fällen die federführende Aufsichtsbehörde ist. Das hat damit zu tun, dass sich die Unternehmen in Irland angesiedelt haben.

netzpolitik.org: Der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hat seiner irischen Kollegin Helen Dixon vorgeworfen, dass sie falsche Behauptungen verbreite und Verfahren absichtlich verzögere. Es wirkt von außen so, als fehle es bei der Arbeit im Ausschuss an gegenseitigem Vertrauen.

Andrea Jelinek: Das müssen Sie mit jenen besprechen, von denen Sie den Eindruck haben. Ich habe den Eindruck nicht. Es ist natürlich nicht immer einfach, aber was ist denn in einem Gremium mit 30, 31 Meinungsbildnern einfach? Es ist wichtig, die Dinge anzusprechen, zu besprechen und zu einer Entscheidung zu kommen. Ich glaube, das gelingt uns recht gut.

„Was heißt, es geht nichts weiter?“

netzpolitik.org: Einige Datenschutzexperten äußern öffentlich Frustration über die aus ihrer Sicht unausgewogene Durchsetzung der DSGVO. Etwa bei den schon erwähnten grenzüberschreitenden Fällen gegen Facebook, Google und andere, bei denen Irland federführend ist. Da geht nichts weiter.

Andrea Jelinek: Was heißt, es geht nichts weiter? Wir haben über 2.100 grenzüberschreitende Verfahren. Es wurden von den Behörden mehr als 300 dieser grenzüberschreitenden Verfahren bereits entschieden, ohne den (in der DSGVO vorgesehenen, Anm.) Streitbeilegungsmechanismus. Das heißt aber nicht, dass es nie Widersprüche gab zu einem Entwurf, sondern allfällige Widersprüche wurden dann von der jeweiligen federführenden Aufsichtsbehörde aufgenommen und entsprechend entschieden. Wir haben in der Mehrzahl der Fälle eine sehr gute und unaufgeregte, grenzüberschreitende Zusammenarbeit. In einigen wenigen Fällen wird der Streitbeilegungsmechanismus ausgelöst.

Wenn Sie sagen, das dauert alles so lange: Das Gesetz ist seit vier Jahren und drei Monaten in Geltung (seit 25. Mai 2018, Anm.). Ich weiß ja nicht, ob die Erwartungshaltung war, dass am 26. Mai bereits die ersten Konzerne gestraft werden? Das funktioniert so nicht. Man muss die Fälle untersuchen und die Entscheidungen sollten auch vor Gericht halten. Denn jede Entscheidung gegen einen größeren oder kleineren Konzern wird natürlich bekämpft, denn die Konzerne – und nicht nur diese – wollen Rechtssicherheit. Dann kommen die Fälle vor ein nationales Gericht und in der Folge vor den Europäischen Gerichtshof (EuGH). Wir haben derzeit über 20 Vorabentscheidungsersuchen beim EuGH über die Auslegung der Datenschutzgrundverordnung anhängig. Erst wenn der EuGH die Bestimmungen der DSGVO ausgelegt hat, ist es „fix“. Daher finde ich es ein bisschen vermessen oder verwegen zu sagen, etwas funktioniert nicht, wenn es noch nicht einmal Höchstgerichtsjudikatur gibt.

Apropos Zusammenarbeit: Ich habe im April 2022 meine Kolleginnen und Kollegen nach Wien eingeladen. Da gibt es die sogenannte Wiener Erklärung, in der wir festgelegt haben, dass wir besondere Schwerpunktfälle priorisieren und die Zusammenarbeit noch verstärken. Wir führen derzeit auch gemeinsame Schwerpunktuntersuchungen durch – 22 Behörden untersuchen zusammen Cloud-Nutzung durch öffentliche Stellen.

Facebook-Datentransfers landen „letztlich vor Höchstgericht“

netzpolitik.org: Die irische Datenschutzbehörde hat im Juli einen Entwurf für eine Entscheidung vorgelegt, nach der Facebook sich bei Datentransfers in die USA nicht mehr auf Standardvertragsklauseln stützen kann. Zwei Jahre zuvor hatte der EuGH das sogenannte Privacy Shield gekippt – eine Entscheidung der EU-Kommission, die den USA einen angemessenen Datenschutzstandard zuspricht und Konzernen erlaubt, Daten von Nutzer:innen dorthin zu schicken. Der Meta-Konzern warnt, wenn es keinen Privacy-Shield-Nachfolger gebe und er auch keine Standardvertragsklauseln mehr verwenden dürfe, müsse er Facebook und Instagram in Europa abschalten. Derzeit arbeitet die irische Behörde noch Einwände anderer EU-Behörden in ihren Entwurf ein, bevor sie in den kommenden Monaten eine endgültige Entscheidung trifft. Muss Facebook dann den Datentransfer in die USA stoppen?

Andrea Jelinek: Das wird letztlich vom Höchstgericht festgestellt werden. Das ist eine ganz normale rechtsstaatliche Vorgangsweise. Dass das für manche zu langsam ist, für andere zu schnell, ist in einem Rechtsstaat so üblich.

netzpolitik.org: Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden haben einen Nachfolger für Privacy Shield angekündigt. Biden hat versprochen, eine Einspruchsmöglichkeit für Europäer:innen gegen Überwachung durch US-Geheimdienste zu schaffen. Welche rechtlichen Maßnahmen müssen die USA setzen, um glaubhaft Schutz gegen staatliche Überwachung zu bieten?

Andrea Jelinek: Ich kenne den Inhalt der Vereinbarung nicht, die Kommissionspräsidentin Von der Leyen und der amerikanische Präsident vorgestellt haben. Deswegen kann ich die Frage nicht seriös beantworten.

EU-Datenschutzreform? „Dann dauert es wieder zehn Jahre“

netzpolitik.org: Es gibt inzwischen zahlreiche Vorschläge, die DSGVO zu reformieren. Die NGO Access Now hat in einem Bericht vorgeschlagen, den Behörden einzelner EU-Staaten Kompetenzen zu entziehen und im Europäischen Datenschutzausschuss zu zentralisieren. Was halten Sie davon?

Andrea Jelinek: Ich halte überhaupt nichts davon. Ich glaube, dass die derzeitige Struktur eine gute ist, die man natürlich immer noch mit mehr Leben erfüllen kann. Wir haben ein System, das funktioniert. Allerdings gibt es viele Auslegungsfragen, die jetzt beim EuGH liegen. Wie lange hat es denn gedauert, bis die Datenschutzgrundverordnung verhandelt war und dann in Geltung getreten ist? 2012 wurde begonnen, 2016 wurde sie beschlossen, seit 2018 gilt sie. Jetzt haben wir 2022. Die Datenschutzgrundverordnung wurde mehrere Jahre verhandelt. Es war das Bohren dicker Bretter, alle drei Gesetzgeber EU-Kommission, Rat und Europäisches Parlament auf einen Nenner zu bringen. Wenn das jetzt geändert werden soll: Was soll denn das Ergebnis sein? Wenn jetzt neu verhandelt würde, dann dauert es wieder mindestens zehn Jahre, bis die ersten Verfahren entschieden sind, ganz abgesehen von der mangelnden Rechtssicherheit.

netzpolitik.org: Gibt es auch ohne Reform der DSGVO eine Möglichkeit, grenzüberschreitende Verfahren zu beschleunigen?

Andrea Jelinek: Die nationalen Verfahrensgesetze sind sehr unterschiedlich. Wir haben in Österreich ein Allgemeines Verwaltungsverfahrensgesetz, dass in allen Verfahren angewendet wird. Die Entscheidungsfrist beträgt sechs Monate. Es gibt aber viele Mitgliedstaaten, die überhaupt keine Entscheidungsfrist haben. Ich habe bereits im Januar 2019 gesagt, dass solche europäischen Unterschiede eine Hürde darstellen. Daher haben wir uns im Europäischen Datenschutzausschuss geeinigt, dass wir der Kommission Vorschläge machen werden, welche horizontalen Verfahrensnormen vorstellbar wären, um die grenzüberschreitende Verfahrensführung zu beschleunigen und zu vereinfachen. Die Kommission hat zugesagt, diese Vorschläge zu prüfen.

netzpolitik.org: Noch zum Thema staatliche Überwachung: Zumindest fünf EU-Staaten setzen den Staatstrojaner Pegasus ein oder haben ihn eingesetzt. In Ungarn bespitzelte die Regierung mit Pegasus Journalist:innen und Oppositionelle. Doch die ungarische Datenschutzbehörde hat die Abhörpraktiken der Regierung für in Ordnung erklärt und sogar nahegelegt, dass die Whistleblower das Gesetz gebrochen hätten. Solche Entscheidungen stehen in krassem Gegensatz zu Ansichten anderer Datenschützer:innen. Weckt das aus Ihrer Sicht Zweifel an der Entscheidungsfreiheit und Unabhängigkeit der ungarischen Behörde?

Andrea Jelinek: Der Ausschuss hat im Dezember 2021 einen Brief eines Mitglieds des Europäischen Parlaments beantwortet, in dem wir die die Standpunkte des Boards dargelegt haben. Wenn Zweifel an der Unabhängigkeit einer Datenschutzbehörde aufkommen, ist es Aufgabe der Kommission, Maßnahmen zu setzen. Die Aufgaben des Ausschusses sind in der Datenschutzgrundverordnung geregelt. Die Kommission ist Hüterin der Verträge.