IrlandDatenschutz hinter verschlossenen Türen

In Irland sitzen viele internationale Tech-Unternehmen, die von der dortigen Datenschutzbehörde beaufsichtigt werden. Ein neues Gesetz erlaubt es ihr nun, laufende Verfahren als vertraulich einzustufen, um sie besser von der Öffentlichkeit abzuschirmen. Kritiker:innen werten das als Maulkorberlass.

Im Bild die verschlossene Tür des Leinster House, wo das irische Parlament sitzt.
Die irische Regierung möchte laufende Verfahren wegen Verletzungen des Datenschutzes besser von der Öffentlichkeit abschirmen. – Alle Rechte vorbehalten IMAGO / Pond5

Irische Verfahren wegen Verletzung des Datenschutzes könnten künftig weitgehend hinter verschlossenen Türen stattfinden. Eine gestern Abend vom irischen Parlament verabschiedete Gesetzesänderung erlaubt es der Datenschutzbehörde DPC, Informationen zu laufenden Verfahren als „vertraulich“ einzustufen. Die DPC kann auch an dem Verfahren beteiligte Menschen anweisen, Stillschweigen zu bewahren. Bei Verstößen drohen Geldbußen von bis zu 5.000 Euro.

Der Datenschutzaktivist Max Schrems spricht von einem „Maulkorberlass“. Wiederholt ist der Jurist der Nichtregierungsorganisation NOYB (None Of Your Business) mit der DPC aneinandergeraten. Zuweilen hat er sie, gegebenenfalls mit Dokumenten unterlegt, öffentlich an den Pranger gestellt, wenn sie hinter den Kulissen fragwürdige Entscheidungen getroffen hatte.

„Man kann eine Behörde oder große Technologieunternehmen nur kritisieren, wenn man sagen darf, was in einem Verfahren vor sich geht. Indem sie jede noch so kleine Information als ‚vertraulich‘ deklarieren, versuchen sie, den öffentlichen Diskurs und die Berichterstattung zu behindern“, so Schrems.

Der schlechte Ruf der irischen Datenschutzbehörde DPC kommt nicht von ungefähr. Sie gilt als notorisch wirtschaftsfreundlich, zögerlich und verschlossen. Mehrfach schon musste der Europäische Datenschutzausschuss eingreifen, um Datenschutzverstöße zu ahnden, bei denen die DPC gerne ein oder beide Augen zugedrückt hätte.

Bockende irische Datenschutzbehörde

Die Rolle der DPC ist herausragend, weil sich viele internationale Tech-Unternehmen in Irland angesiedelt haben, darunter Meta, Apple oder Google. Potentielle Verstöße gegen die europäische Datenschutz-Grundverordnung (DSGVO) werden daher von der Behörde untersucht – solange es nicht zu einem Streit mit anderen Aufsichtsbehörden kommt, etwa im Europäischen Datenschutzausschuss (EDPB). Dort versammeln sich die nationalen EU-Datenschützer, um unter anderem eine einheitliche Anwendung der DSGVO sicherzustellen.

Sobald das neue irische Gesetz in Kraft ist, will der EDPB die genaueren Implikationen unter die Lupe nehmen, schreibt ein Sprecher auf Anfrage von netzpolitik.org. Berücksichtigen will der Ausschuss dabei auch, wie sich das Gesetz mit geplanten Änderungen an der DSGVO verträgt. Vor allem grenzüberschreitende Fälle sorgen immer wieder für Probleme und Reibungsverluste, künftig soll der Prozess weiter harmonisiert werden. Ein konkreter Gesetzentwurf der EU-Kommission wird für dieses Jahr erwartet. Zur irischen Gesetzesänderung wollte die Kommission keine Stellung nehmen.

EU-Recht steht über nationalen Regelungen

Auch andere Behörden geben sich derzeit zurückhaltend. Allerdings betont ein Sprecher des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dass für die Zusammenarbeit zwischen den europäischen Datenschutzaufsichtsbehörden weiterhin die Vorgaben der DSGVO gelten würden. Ein Sprecher der Berliner Beauftragten für Datenschutz und Informationsfreiheit sieht ebenfalls „keine Auswirkungen auf unsere Verfahren bzw. die europäischen Kooperations- bzw. Koordinierungsverfahren und die Prozesse des EDPB, da allgemein europäisches Recht nicht durch nationales Recht eingeschränkt oder außer Kraft gesetzt werden kann.“

Dennoch könnte das irische Gesetz dazu führen, dass Informationen über laufende Verfahren nur eingeschränkt oder gar nicht nach Außen dringen. Für die Grundrechteorganisation Irish Council for Civil Liberties (ICCL) ist das völlig verkehrt. Anstatt öffentliche DSGVO-Verfahren abzuhalten, wolle die Regierung die DPC-Entscheidungsfindung sogar noch undurchsichtiger machen. „Über Gerechtigkeit sollte öffentlich verhandelt werden“, sagt der Sprecher Johnny Ryan. Scharfe Kritik an dem „drakonischen Gesetz“ übten ferner die Nichtregierungsorganisationen Amnesty International und European Digital Rights (EDRi).

Durchsetzen konnten sich die Kritiker:innen letztlich nicht. Schrems und seine NGO wollen sich dennoch nicht den Mund verbieten lassen, zumal der Jurist die Verfassungsmäßigkeit des Gesetzes infrage stellt und einschlägige Gerichtsverfahren vorhersagt. „Wir werden uns nicht einem verfassungswidrigen lokalen Gesetz beugen. Das kann jedoch bedeuten, dass einige Informationen, die wir zur Verfügung stellen, in Irland nicht mehr verfügbar sein werden“, so Schrems.

1 Ergänzungen

  1. Das Gesetz scheint jedenfalls in weiten Anwendungsbereichen klar inkompatibel mit dem Hinweisgeberschutz nach der Richtlinie (EU) 2019/1937, auch Whistleblower-Richtlinie. Danach sind u.a. öffentliche Hinweise zu Beeinträchtigungen insbesondere auch der Effektivität des Datenschutzrechts zulässig. Sanktionen sind danach unionsrechtswidrig; der Hinweisgeber auch im Zweifelsfall geschützt, soweit „hinreichender Grund zu der Annahme“ besteht, dass „potenzielle Verstöße […] sehr wahrscheinlich erfolgen werden“.

    Das irische Gesetz ordnet sich insoweit in die verschiedentlichen Versuche nationaler Gesetzgeber ein, den EU-Hinweisgeberschutz auszuhöhlen beziehungsweise faktisch auszuhebeln. Die auch in Deutschland zu beobachtende uferlose Ausweitung von „Verschlusssachen“ sollte baldmöglichst vom EuGH gestoppt bzw. diesem vorgelegt werden. Der Hinweisgeberschutz eignet sich insoweit besonders für die unionsrichterliche Einhegung von ausufernden Arkanstrukturen.

    Den Versuchen der Lobbyisten und der Akteure des staatlichen Sektors, Ausübung und Missbrauch von Entscheidungsmacht (wieder) unter Geheimnisregeln zu verdecken, sollte die Zivilgesellschaft auch andernorts nachdrücklich widersprechen: „Sunlight is the best disinfectant“ (Brandeis 1914) ! Musterverfahren mit EuGH-Vorlagen scheinen hier besonders wirksam…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.