Als EU-Digitalchefin Margrethe Vestager am Mittwoch auf Googles Sundar Pichai trifft, könnte man ihr die Selbstgefälligkeit verzeihen.
Letzte Woche bestätigte ein oberstes EU-Gericht ihre Geldstrafe in Höhe von 2,4 Milliarden Euro gegen den US-Suchgiganten, weil er seinen eigenen Einkaufsvergleichsdienst gegenüber den Mitbewerbern erhöht hatte, und befürwortete ihr hartes Vorgehen gegen die Technologiemacht.
Insgeheim kann Pichai auch selbstgefällig sein.
Es ist fast ein Jahr her, dass Vestager die Übernahme des Wearables-Unternehmens Fitbit durch sein Unternehmen – und seiner Schätze an sensiblen Gesundheitsdaten – genehmigt hat, trotz heftigen Widerstands von Datenschutzaktivisten und Bedenken des europäischen Netzwerks von Datenschutzaufsichtsbehörden.
Es wäre nicht das erste Mal, dass ihr Büro einen Big-Data-Deal durchwinkt, der später Datenschutzprobleme verursacht, nachdem Facebook beim Kauf von WhatsApp sein Versprechen gebrochen hat, Kundendaten nicht über die Plattformen hinweg zu kombinieren.
Jetzt wird die irische Datenschutzkommission, die die überwiegende Mehrheit der amerikanischen Technologieunternehmen nach dem EU-Datenschutzregelwerk DSGVO reguliert, gebeten, sich zum Facebook/WhatsApp-Datenaustausch zu äußern.
„Datenschutzbehörden müssen oft aufräumen, nachdem andere Regulierungsbehörden versagt haben“, sagte Daragh O’Brien, ein Datenschutzberater bei Castlebridge.
Auch die irische Datenschutzkommission, die die überwiegende Mehrheit der amerikanischen und chinesischen Technologieunternehmen nach der DSGVO regelt, weil sie ihre EU-Stützpunkte in Dublin haben, ist in der Kritik nicht fremd.
Der irischen Datenschutzbehörde, deren Chefin Helen Dixon am Mittwoch ein paar Häuser weiter von Vestagers Sitzung mit Pichai entfernt mit dem EU-Justizchef Didier Reynders zusammentreffen wird, ist Kritik kein Unbekannter.
Einige der schärfsten Kritik kam, nachdem die irische Datenschutzbehörde im Oktober erklärte, sie sei nicht befugt, den Vertrag von Facebook mit den Nutzern zu bewerten, um ihnen eine personalisierte, werbefinanzierte Plattform bereitzustellen.
In einem Entscheidungsentwurf, der auf heftigen Widerstand von Datenschutzaktivisten und sogar einigen anderen Regulierungsbehörden stieß (einer sagte, dass dies das „Ende des Datenschutzes, wie wir ihn kennen“, bedeuten würde), sagte die Dubliner Regulierungsbehörde, dass Facebook den Nutzern gegenüber nicht ausreichend transparent gewesen sei über seine Datenschutzrichtlinie — und schlug eine Geldbuße von bis zu 36 Millionen Euro vor — lag es letztendlich bei den Verbraucher- und Wettbewerbsbehörden, zu entscheiden, ob dieser Vertrag war gerecht.
Auf Anfrage von POLITICO teilte die Wettbewerbsbehörde mit, sie habe keine Kopie des Entscheidungsentwurfs erhalten, der von den Datenschutzbeauftragten hinter der Beschwerde veröffentlicht worden war. Außerdem sei der irische Trustbuster nicht befugt, die Entscheidung der Datenschutzbehörde abzuwägen, hieß es.
Der Fall zeigt, wie selbst einige der am weitesten verbreiteten Praktiken von Technologieunternehmen zwischen die Risse in den digitalen Regulierungsrahmen Europas fallen können.
Es ist ein Problem, das den Kampf des 27-köpfigen Blocks gegen Big Tech zu entgleisen droht – und eines sollte es bei der Ausarbeitung umfangreicher neuer Regelwerke zur Überwachung von Online-Inhalten und digitalem Wettbewerb berücksichtigen.
Die irische Datenschutzbehörde war vielleicht klug, bei ihrer Spur zu bleiben. In anderen Fällen, in denen die Regulierungsbehörden versuchten, die Kluft zwischen den Regulierungssystemen zu überbrücken, wurden sie niedergeschossen. Im Jahr 2019 entschied die deutsche Wettbewerbsbehörde – in enger Zusammenarbeit mit den Datenschutzbehörden –, dass Facebooks Datenerhebung und -zusammenführung einen Missbrauch von Marktmacht darstellt.
Die deutsche Wettbewerbsentscheidung steht jedoch vor rechtlichen Herausforderungen und befindet sich derzeit vor dem obersten Gericht der EU, das zu entscheiden hat, ob die Behörde bei der Anwendung des Datenschutzrechts zur Durchsetzung von Trustbusing-Maßnahmen über ihre Befugnisse hinausgegangen ist.
Andere Versuche, verschiedene digitale Regime zu verbinden, gehen vorsichtiger vor.
Die hausinterne Datenschutzaufsichtsbehörde der EU, der Europäische Datenschutzbeauftragte, diskutierte bereits 2013 über eine verstärkte Zusammenarbeit zwischen den Digitalregulierungsbehörden und gründete 2016 das Digital Clearinghouse, um „Agenturen aus den Bereichen Wettbewerb, Verbraucherschutz und Datenschutz zusammenzubringen, die bereit sind, Informationen auszutauschen“. und diskutieren, wie Regeln im Interesse des Einzelnen am besten durchgesetzt werden können.“
Aber das Digital Clearinghouse verstrickte sich schnell in rechtliche Fragen, inwieweit Regulierungsbehörden verschiedener Disziplinen und Länder tatsächlich zusammenarbeiten könnten, und agiert heute hauptsächlich als akademisch geführter Think Tank.
Erfahrungen auf der anderen Seite des Ärmelkanals können den Weg in die Zukunft weisen.
Im Jahr 2020 gründeten die britischen Datenschutz-, Wettbewerbs- und Medienaufsichtsbehörden das Digital Regulation Cooperation Forum, um die Zusammenarbeit bei der Online-Regulierung zu stärken. Trotz des umständlichen Namens ist das Gremium vielversprechend gestartet, kündigte im März 2021 ein detailliertes Arbeitsprogramm an und brachte in kurz darauf die Finanzaufsicht. Das Forum hat auch Vollzeitmitarbeiter und hat Anfang dieses Monats einen Google-Manager als Geschäftsführer abgeworben.
Die britischen Aufsichtsbehörden arbeiten nun bei verschiedenen Themen Hand in Hand, darunter eine umfangreiche Untersuchung des Online-Werbeimperiums von Google. Aber es ist nicht narrensicher, da die Regulierungsbehörde des Landes kürzlich den Kaufvertrag von Facebook zum Kauf von Kustomer, einem Softwareunternehmen, das auf Schätzen persönlicher Daten sitzt, ohne Zutun der Datenschutzbehörde genehmigt hat.
Anordnungen wie diese könnten alltäglich werden. Im Oktober kündigten die niederländischen Datenschutz-, Wettbewerbs- und Medienaufsichtsbehörden eine ähnliche Regelung an. Jenseits des Atlantiks versucht die mächtige US-amerikanische Federal Trade Commission unter der neuen Chefin Lina Khan, verschiedene Bereiche ihres großen Auftrags zu vereinen, um das Herz der Geschäftsmodelle von Big Tech zu treffen.
Die von Brüssel vorgeschlagenen neuen digitalen Regeln deuten ebenfalls darauf hin, die Kluft zu überbrücken.
Der Entwurf des Digital Markets Act der EU-Kommission sieht Verbote vor, personenbezogene Daten aus mehreren Quellen ohne Einwilligung des Nutzers zusammenzuführen, sowie Verpflichtungen, „nicht öffentlich zugängliche Daten, die durch Aktivitäten dieser Nutzer generiert werden, im Wettbewerb mit gewerblichen Nutzern zu verwenden“. Geschäftsanwender.“
Es besteht die Hoffnung, dass ein solches gemeinsames Denken Fälle wie Irlands Facebook-Entscheidung vermeiden könnte, die scheinbar in ein legales Niemandsland fallen.
„Die Regulierung von Daten erfordert das Eingreifen verschiedener Behörden, und was wir in Europa vermissen, ist ein Koordinierungsmechanismus zwischen den Behörden“, sagte Alexandre de Streel, akademischer Co-Direktor der Denkfabrik CERRE.
Wie der EU-interne Datenschutzregulator Wojciech Wiewiórowski es ausdrückt: “Wir brauchen einen gemeinsamen Rahmen.”
Willst du mehr Analyse von POLITIK? POLITIK Pro ist unser Premium Intelligence Service für Profis. Von Finanzdienstleistungen bis hin zu Handel, Technologie, Cybersicherheit und mehr bietet Pro Echtzeit-Intelligenz, tiefe Einblicke und bahnbrechende Erkenntnisse, die Sie benötigen, um einen Schritt voraus zu sein. Email [email protected] um eine kostenlose Testversion anzufordern.