Drücken Sie Play, um diesen Artikel anzuhören
Gesprochen von künstlicher Intelligenz.
Fünf Jahre und Geldstrafen im Wert von fast 4 Milliarden Euro aufgrund einer strengeren Durchsetzung des Datenschutzes, und die Europäische Union fragt sich immer noch, ob sie genug zum Schutz personenbezogener Daten tut.
Der Social-Media-Gigant Meta musste am Montag als letzter mit einer hohen Strafe rechnen, als Irlands Datenschutzbehörde ihm eine Rekordstrafe von 1,2 Milliarden Euro wegen Datenschutzverletzungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union auferlegte.
Die Blockbuster-Abgabe trifft den Kern der Fähigkeit des Technologiesektors, Daten über den Atlantik zu übertragen, und verpflichtet das Unternehmen, die Übertragung der Daten von Europäern in die Vereinigten Staaten zu stoppen, bis Washington ausreichende Kontrollen vornimmt, um die Sicherheit dieser persönlichen Informationen zu gewährleisten.
Für die Befürworter der DSGVO ist das Bußgeld der irischen Datenschutzkommission (DPC) eine Bestätigung dafür, dass das am meisten gefürchtete Technologiegesetz der EU Biss und nicht nur Ärger hat.
Das am 25. Mai 2018 in Kraft getretene Gesetz hat Unternehmen – von Big-Tech-Giganten bis hin zu Hotelketten, Mobilfunkunternehmen und Kleingewerbebetrieben – dazu veranlasst, ihre Datenschutzrichtlinien zu verschärfen. Viele haben den Umgang mit den personenbezogenen Daten von Personen geklärt, unterstützt durch die Aussicht auf eine Geldstrafe von bis zu 4 Prozent des Jahresumsatzes.
„Ich denke, das DPC hat jetzt wirklich seinen Durchbruch geschafft“, sagte Helen Dixon, die irische Datenschutzbeauftragte, deren Behörde viele der größten Namen des Silicon Valley beaufsichtigt, weil diese Firmen ihren Hauptsitz in Irland haben.
Doch die Entscheidung legt auch offen, was mittlerweile fast jeder zugibt: Europas Bemühungen, den De-facto-Datenschutzstandard des Westens festzulegen, weisen große Mängel auf, da Aufsichtsbehörden ständig darüber streiten, wer das letzte Wort darüber hat, wie Meta, Google, TikTok und andere Technologiefirmen auf die Daten der Europäer zugreifen. Daten. In einer Erklärung im Anschluss an die Entscheidung erklärte die irische Aufsichtsbehörde, dass sie mit der Geldbuße und der Maßnahme nicht einverstanden sei, dass sie jedoch von ihren europäischen Kollegen gezwungen worden sei, sie zu verhängen, nachdem Dublins ursprüngliche Entscheidung von vier anderen Datenschutzaufsichtsbehörden angefochten worden sei.
Die Durchsetzung hängt von der Fähigkeit der Regulierungsbehörden ab, solche Geldbußen zu verhängen. Und hier ist die Datenschutzregelung ins Stocken geraten.
Im Rahmen der europäischen Datenschutzregelung werden Unternehmen von nationalen Regulierungsbehörden dort überwacht, wo sie ihren rechtlichen Hauptsitz in der EU haben. Das bedeutet, dass Irland und Luxemburg – deren niedrige Steuersätze viele Big-Tech-Firmen dazu veranlasst haben, ihre europäischen Hauptsitze anzusiedeln – über den Löwenanteil der Durchsetzungsbefugnisse verfügen. Insbesondere Irland ist stark auf die Körperschaftssteuereinnahmen einer kleinen Anzahl von Technologiegiganten angewiesen.
„Die DSGVO gab den Behörden diese weitreichenden Befugnisse für eine sehr ernsthafte Durchsetzung, aber in der Praxis sehen wir nicht, dass die Behörden diese Befugnisse tatsächlich nutzen“, sagte Max Schrems, der österreichische Datenschutzaktivist, dessen jahrzehntealter Fall gegen Facebook dazu geführt hat Rekord-Datenschutzstrafe vom Montag.
Wenn andere europäische Datenschutzbehörden nicht damit einverstanden sind, wie diese Behörden die DSGVO durchsetzen, gibt es einen komplexen und undurchsichtigen Mechanismus, um einen europäischen Konsens zu erzielen. Nach fünf Jahren interner Machtkämpfe befinden sich einige Datenschutzbehörden der EU nun im offenen Krieg miteinander.
In internen Diskussionen, die am Montag veröffentlicht wurden, tadelten andere europäische Strafverfolgungsbehörden Dublin dafür, dass es nicht hart genug gegen Metas Datenschutzverletzungen vorgegangen sei, und zwangen Irland, eine Geldstrafe zu verhängen. Französische, deutsche, spanische und österreichische Behörden warfen ihren irischen Kollegen ebenfalls vor, sie hätten nicht verlangt, dass der Social-Networking-Riese alle über sogenannte Standardvertragsklauseln in die USA versendeten Daten von Europäern lösche.
Irland, Big-Tech-Insel
Die irische Entscheidung bezieht sich auf Enthüllungen von Edward Snowden, dem Auftragnehmer der US-amerikanischen National Security Agency, aus dem Jahr 2013, dass amerikanische Spionage über die Technologiegiganten des Landes unrechtmäßig auf die persönlichen Daten von Menschen zugegriffen hätten. Schrems reichte gegen Facebook Klage wegen Verletzung seiner Datenschutzrechte ein und löste damit eine jahrzehntelange Klage aus.
Am Montag entschied Dublin offiziell, dass Meta sogenannte Standardvertragsklauseln oder komplexe Rechtsinstrumente, die es Unternehmen ermöglichen, EU-Daten in die USA zu übertragen, nicht länger verwenden darf, bis Washington die rechtlichen Kontrollen zum Schutz der Daten der Europäer verbessert. Der Social-Media-Riese legt gegen dieses Urteil Berufung ein und hat bis Oktober Zeit, der Anordnung nachzukommen. Brüssel und Washington befinden sich in abschließenden Verhandlungen über einen neuen, separaten transatlantischen Datenpakt, der eine alternative Rechtsstruktur für die Fortsetzung solcher EU-US-Übermittlungen bieten wird.
Dublin verhängte hohe Geldstrafen gegen den Technologieriesen erst, nachdem andere EU-Regulierungsbehörden die Iren gezwungen hatten, eine massive Abgabe zu erheben, weil diese Behörden glaubten, die Iren seien nicht weit genug gegangen, um Meta zur Rechenschaft zu ziehen. Irland hielt die vorgeschlagenen Abhilfemaßnahmen – Meta davon abzuhalten, Standardvertragsklauseln für den Versand von EU-Daten in die USA zu verwenden – für ausreichend.
Hinter der Entscheidung gegen Meta verbirgt sich ein jahrzehntelanger Kampf, der vor der DSGVO begann und zu einer Spaltung des Datenschutzregimes der Union geführt hat.
Anfang dieses Jahres verklagte die irische Datenschutzbehörde den Europäischen Datenschutzausschuss (EDPB) – das europaweite Gremium von Datenschutzbehörden, das Datenschutzentscheidungen koordiniert – vor Europas höchstem Gericht wegen Vorwürfen, es habe seinen Zuständigkeitsbereich überschritten, indem es Dublin gezwungen habe, Fälle weiter zu untersuchen WhatsApp, Facebook und Instagram.
„Es geht darum, ob Irlands Datenschutzbehörde nationale Wirtschaftsinteressen berücksichtigt und daher bei der Durchsetzung der Regeln nicht streng genug vorgeht“, sagte Patrick van Eecke, Co-Vorsitzender der globalen Cybersicherheits-, Datenschutz- und Privatsphärenpraxis bei Cooley, a Anwaltskanzlei.
Die Regeln neu schreiben
Angesichts der zunehmenden Frustration darüber, dass es der DSGVO nicht gelungen ist, die schlimmsten Datenschutzverstöße von Big-Tech-Unternehmen einzudämmen, bereitet die Europäische Kommission für diesen Sommer ein neues Gesetz vor, um die Zusammenarbeit in grenzüberschreitenden Auseinandersetzungen um die Durchsetzung zu verbessern.
Datenschutzaktivisten hoffen, dass die Reformen die DSGVO stärken und das jahrelange Warten auf Maßnahmen bei Beschwerden verkürzen könnten. Dennoch sagen die schärfsten Kritiker, dass sich dadurch immer noch nichts an einem Modell ändern wird, in dem einige Länder wie Irland und in geringerem Maße Luxemburg den Großteil der Big-Tech-Unternehmen überwachen.
Branchenbeobachter argumentieren außerdem, dass das europäische Datenschutzsystem zu einer bloßen Übung geworden sei, die den Schutz der Privatsphäre nicht verbessert habe, da der Fokus auf obskuren rechtlichen Verfahren überhand genommen habe.
Die Entscheidung darüber, welche Behörde das letzte Wort bei Durchsetzungsentscheidungen haben sollte, war eines der schwierigsten Themen während der Verhandlungen über Europas neues Datenschutzregime, ein politischer Streit, der dazu führte, dass die nationalen Regulierungsbehörden die letzte Entscheidungsgewalt hatten, jedoch mit verbindlichen Eingaben von anderen .
„Das Problem ist, wenn das System so etwas wie eine eingebaute Begrenzung hat, dann ist es so, als ob man, wenn man in einem Subaru ein Rennen fahren möchte und die Geschwindigkeit eines Ferrari haben muss, das Pedal ganz durchtreten kann.“ und das Auto so einstellen, dass es so schnell wie möglich fährt, aber es wird eine Grenze geben, die überschritten werden kann“, sagte Christopher Kuner, Co-Direktor des Brussels Privacy Hub an der Vrije Universiteit Brussel.
Doch nachdem sie fünf Jahre lang den Vorsitz im europäischen Netzwerk von Regulierungsbehörden innehatte, wischte die österreichische Datenschutzbeauftragte Andrea Jelinek, die als Leiterin des EU-weiten Gremiums von Datenschutzbehörden, das die Streitigkeiten überwachte, zurücktritt, solche Kritik beiseite.
„Wenn man Aktivistin ist, ist es ganz klar, dass es nie genug sein kann“, sagte sie gegenüber POLITICO. „Wenn Sie eine Regulierungsbehörde wie wir sind, haben wir unsere Pflichten, wir haben das Gesetz und wir sind hier, um die Grundrechte der Bürger zu verteidigen.“