Ein neuer Bericht des Irish Council for Civil Liberties (ICCL) hat Irlands Datenschutzwächter beschuldigt, die Durchsetzung der EU-Datenschutzverordnung (DSGVO) in Europa unterbrochen zu haben, und forderte die Europäische Kommission auf, einzugreifen und warnte, dass die DSGVO sei „stumm gefallen“.
Die irische Datenschutzkommission (DPC) ist dem Bericht zufolge „der schlimmste Engpass der DSGVO“. Da viele Technologieunternehmen wie Apple, Facebook, Google, Microsoft, Facebook und TikTok ihren europäischen Hauptsitz in Irland haben, ist das DPC die führende Behörde in vielen kritischen Datenschutzfällen, aber für die NGO bleibt es hinter seiner Aufgabe zurück.
Der Bericht definiert die Europäische Kommission auch als „ruhig“ mit der beschriebenen Situation und wirft der EU-Exekutive vor, sich übermäßig auf neue Gesetze zu konzentrieren und gleichzeitig die Durchsetzung der DSGVO zu vernachlässigen.
In einem offenen Brief kürt die NGO den Justizkommissar Didier Reynders, mit der er ihn auffordert, ein Vertragsverletzungsverfahren gegen Irland wegen Nichtdurchsetzung der DSGVO einzuleiten.
„Die Kommission hat die Pflicht, für die ordnungsgemäße Anwendung des europäischen Rechts zu sorgen. Dazu gehört auch die DSGVO. Die heute veröffentlichten Daten zeigen, dass dies nicht der Fall ist. Um uns alle zu schützen und sicherzustellen, dass Google, Facebook und andere Big-Tech-Firmen zur Rechenschaft gezogen werden, ist es wichtig, dass Commission Reynders jetzt eingreift“, sagte Johnny Ryan, Senior Fellow bei ICCL.
Der irische Fall
Das irische DPC untersucht 164 grenzüberschreitende Fälle von mutmaßlichen Verstößen gegen die DSGVO. Fast dreieinhalb Jahre seit Inkrafttreten der DSGVO hat das DPC jedoch nur vier Entscheidungsentwürfe veröffentlicht, sodass fast 98 % der Fälle nicht behandelt wurden.
Der Bericht vergleicht die Leistung des DPC mit der Leistung der spanischen Datenschutzbehörde, die trotz eines Jahresbudgets von . zehnmal mehr Entscheidungen verfasst hat €15,8 Millionen, unter den Iren €19 Millionen.
„Der Bericht des irischen parlamentarischen Justizausschusses vom 22. Mängel bei der Bearbeitung von DSGVO-Beschwerden.
„Die gute Nachricht ist, dass die DSGVO bereits über die Antikörper verfügt, um die Untätigkeit der Aufsichtsbehörden zu heilen“, sagte Vincenzo Tiani, Resident Partner der Anwaltskanzlei Panetta. Tiani zeigte auf a Urteil des Gerichtshofs der Europäischen Union, das im Juni die Tür öffnete, um unter bestimmten Umständen Untersuchungen im Zusammenhang mit der DSGVO durch nicht leitende Behörden einleiten zu lassen.
„In Fällen, in denen Anfragen einer Aufsichtsbehörde an einen Kollegen nicht innerhalb eines Monats bearbeitet werden, kann die Aufsichtsbehörde vorübergehend autonome Maßnahmen ergreifen und die Angelegenheit wird an den EDSA verwiesen“, bemerkte Tiani.
In grenzüberschreitenden Verfahren können nicht federführende Behörden die Schlussfolgerung der federführenden Aufsichtsbehörde anfechten, in diesem Fall entscheidet der Europäische Datenschutzausschuss (EDSA). Dies war der Fall bei der Rekordstrafe von 225 Millionen Euro gegen WhatsApp, die das DPC Anfang dieses Monats verhängte, da der EDSA die irische Behörde verpflichtete, die Strafe zu erhöhen.
Breiteren Kontext
Der irische DPC wurde auch von seinen Kollegen wegen seines „schüchternen“ Ansatzes bei der Durchsetzung der DSGVO kritisiert. Der Bericht betonte jedoch auch Schwächen in der gesamten Architektur der DSGVO-Durchsetzung.
Die Durchsetzung konzentriert sich auch stark auf eine Handvoll Länder, da Frankreich, Deutschland, Irland, Luxemburg, die Niederlande, Spanien und Schweden mehr als 70 % aller Beschwerden erhalten.
Der Bericht stellte fest, dass die EU-Länder die Budgets der Datenschutzbehörden weiterhin erhöhen, jedoch immer weniger. Allein die deutsche Behörde trägt ein Drittel der gesamten EU-Ausgaben.
Für Paolo Balboni, Datenschutzprofessor an der Universität Maastricht, ist nicht allein die irische Behörde schuld. „Die irische Regierung und die Regierungen aller EU-Mitgliedstaaten müssen ihren nationalen Datenschutzbehörden angemessene Ressourcen zuweisen, damit sie ihre Aufgaben gemäß der DSGVO erfolgreich wahrnehmen können.“
Die Verfasser des Berichts stellten fest, dass weniger als 10 % der Mitarbeiter der EU-Datenschutzbehörden Technikspezialisten sind. Darüber hinaus enthalten nur 44 % der endgültigen Entscheidungen auf EU-Ebene Korrekturmaßnahmen wie Bußgelder oder Anordnungen zur Einstellung der Verarbeitung.
Der Irish Council for Civil Liberties betonte auch, dass der Europäischen Kommission die Daten dazu fehlen, ob Datenschutzbehörden in ganz Europa in welchem Umfang und in welchen Fällen von ihren Befugnissen Gebrauch machen. Als Ergebnis, “Die DSGVO versagt stillschweigend“, schloss der Bericht.
„Der aktuelle Kontext, in dem sich Großbritannien für einen unternehmensfreundlicheren Ansatz einsetzt und bereit ist, sich von einigen der wichtigsten Datenschutzkomponenten des EU-Blocks zu entfernen, erhöht den Druck auf die EU und die EU-Hauptstädte weiter. Sie müssen nachweisen, dass ihr System tatsächlich funktioniert“, sagte Diletta De Cicco, Associate bei der Anwaltskanzlei Steptoe.
[Edited by Zoran Radosavljevic]