Irische Verfahren wegen Verletzung des Datenschutzes könnten künftig weitgehend hinter verschlossenen Türen stattfinden. Eine gestern Abend vom irischen Parlament verabschiedete Gesetzesänderung erlaubt es der Datenschutzbehörde DPC, Informationen zu laufenden Verfahren als „vertraulich“ einzustufen. Die DPC kann auch an dem Verfahren beteiligte Menschen anweisen, Stillschweigen zu bewahren. Bei Verstößen drohen Geldbußen von bis zu 5.000 Euro.
Der Datenschutzaktivist Max Schrems spricht von einem „Maulkorberlass“. Wiederholt ist der Jurist der Nichtregierungsorganisation NOYB (None Of Your Business) mit der DPC aneinandergeraten. Zuweilen hat er sie, gegebenenfalls mit Dokumenten unterlegt, öffentlich an den Pranger gestellt, wenn sie hinter den Kulissen fragwürdige Entscheidungen getroffen hatte.
„Man kann eine Behörde oder große Technologieunternehmen nur kritisieren, wenn man sagen darf, was in einem Verfahren vor sich geht. Indem sie jede noch so kleine Information als ‚vertraulich‘ deklarieren, versuchen sie, den öffentlichen Diskurs und die Berichterstattung zu behindern“, so Schrems.
Der schlechte Ruf der irischen Datenschutzbehörde DPC kommt nicht von ungefähr. Sie gilt als notorisch wirtschaftsfreundlich, zögerlich und verschlossen. Mehrfach schon musste der Europäische Datenschutzausschuss eingreifen, um Datenschutzverstöße zu ahnden, bei denen die DPC gerne ein oder beide Augen zugedrückt hätte.
Bockende irische Datenschutzbehörde
Die Rolle der DPC ist herausragend, weil sich viele internationale Tech-Unternehmen in Irland angesiedelt haben, darunter Meta, Apple oder Google. Potentielle Verstöße gegen die europäische Datenschutz-Grundverordnung (DSGVO) werden daher von der Behörde untersucht – solange es nicht zu einem Streit mit anderen Aufsichtsbehörden kommt, etwa im Europäischen Datenschutzausschuss (EDPB). Dort versammeln sich die nationalen EU-Datenschützer, um unter anderem eine einheitliche Anwendung der DSGVO sicherzustellen.
Sobald das neue irische Gesetz in Kraft ist, will der EDPB die genaueren Implikationen unter die Lupe nehmen, schreibt ein Sprecher auf Anfrage von netzpolitik.org. Berücksichtigen will der Ausschuss dabei auch, wie sich das Gesetz mit geplanten Änderungen an der DSGVO verträgt. Vor allem grenzüberschreitende Fälle sorgen immer wieder für Probleme und Reibungsverluste, künftig soll der Prozess weiter harmonisiert werden. Ein konkreter Gesetzentwurf der EU-Kommission wird für dieses Jahr erwartet. Zur irischen Gesetzesänderung wollte die Kommission keine Stellung nehmen.
EU-Recht steht über nationalen Regelungen
Auch andere Behörden geben sich derzeit zurückhaltend. Allerdings betont ein Sprecher des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dass für die Zusammenarbeit zwischen den europäischen Datenschutzaufsichtsbehörden weiterhin die Vorgaben der DSGVO gelten würden. Ein Sprecher der Berliner Beauftragten für Datenschutz und Informationsfreiheit sieht ebenfalls „keine Auswirkungen auf unsere Verfahren bzw. die europäischen Kooperations- bzw. Koordinierungsverfahren und die Prozesse des EDPB, da allgemein europäisches Recht nicht durch nationales Recht eingeschränkt oder außer Kraft gesetzt werden kann.“
Dennoch könnte das irische Gesetz dazu führen, dass Informationen über laufende Verfahren nur eingeschränkt oder gar nicht nach Außen dringen. Für die Grundrechteorganisation Irish Council for Civil Liberties (ICCL) ist das völlig verkehrt. Anstatt öffentliche DSGVO-Verfahren abzuhalten, wolle die Regierung die DPC-Entscheidungsfindung sogar noch undurchsichtiger machen. „Über Gerechtigkeit sollte öffentlich verhandelt werden“, sagt der Sprecher Johnny Ryan. Scharfe Kritik an dem „drakonischen Gesetz“ übten ferner die Nichtregierungsorganisationen Amnesty International und European Digital Rights (EDRi).
Durchsetzen konnten sich die Kritiker:innen letztlich nicht. Schrems und seine NGO wollen sich dennoch nicht den Mund verbieten lassen, zumal der Jurist die Verfassungsmäßigkeit des Gesetzes infrage stellt und einschlägige Gerichtsverfahren vorhersagt. „Wir werden uns nicht einem verfassungswidrigen lokalen Gesetz beugen. Das kann jedoch bedeuten, dass einige Informationen, die wir zur Verfügung stellen, in Irland nicht mehr verfügbar sein werden“, so Schrems.
Das Gesetz scheint jedenfalls in weiten Anwendungsbereichen klar inkompatibel mit dem Hinweisgeberschutz nach der Richtlinie (EU) 2019/1937, auch Whistleblower-Richtlinie. Danach sind u.a. öffentliche Hinweise zu Beeinträchtigungen insbesondere auch der Effektivität des Datenschutzrechts zulässig. Sanktionen sind danach unionsrechtswidrig; der Hinweisgeber auch im Zweifelsfall geschützt, soweit „hinreichender Grund zu der Annahme“ besteht, dass „potenzielle Verstöße […] sehr wahrscheinlich erfolgen werden“.
Das irische Gesetz ordnet sich insoweit in die verschiedentlichen Versuche nationaler Gesetzgeber ein, den EU-Hinweisgeberschutz auszuhöhlen beziehungsweise faktisch auszuhebeln. Die auch in Deutschland zu beobachtende uferlose Ausweitung von „Verschlusssachen“ sollte baldmöglichst vom EuGH gestoppt bzw. diesem vorgelegt werden. Der Hinweisgeberschutz eignet sich insoweit besonders für die unionsrichterliche Einhegung von ausufernden Arkanstrukturen.
Den Versuchen der Lobbyisten und der Akteure des staatlichen Sektors, Ausübung und Missbrauch von Entscheidungsmacht (wieder) unter Geheimnisregeln zu verdecken, sollte die Zivilgesellschaft auch andernorts nachdrücklich widersprechen: „Sunlight is the best disinfectant“ (Brandeis 1914) ! Musterverfahren mit EuGH-Vorlagen scheinen hier besonders wirksam…