Zum zweiten Jahrestag ihres Inkrafttretens hat der Datenschutzaktivist Max Schrems die EU-Datenschutzgrundverordnung (DSGVO) als "dysfunktional" kritisiert. In einem offenen Brief an EU-Organe forderte Schrems am Montag, "die notwendigen Schritte zu setzen, dass die DSGVO den Europäern ein Grundrecht auf Datenschutz nicht nur auf dem Papier gibt, sondern auch in der Realität und in jedem Winkel der Union".

Keine Strafe im Privatsektor

Schrems kritisierte konkret das Vorgehen der irischen Datenschutzbehörde (DPC) im Fall Facebook und seiner Töchter Instagram und Whatsapp. Während nämlich die französische Datenschutzbehörde Google bereits zu einer Strafe von 50 Millionen Euro verurteilt habe, habe die bei Facebook zuständige irische Behörde noch überhaupt keine einzige Strafe im Privatsektor verhängt, obwohl es allein im Vorjahr 7.215 Beschwerden gegeben habe.

Im Fall Facebook habe die Datenschutzbehörde in den ersten beiden von sechs Verfahrensschritten "äußerst verstörende Handlungen" gesetzt, während in den Fällen Instagram und Whatsapp erst in der Vorwoche die erste Phase abgeschlossen worden sei.

"Wenn es in dieser Geschwindigkeit weitergeht, werden diese Fälle leicht mehr als zehn Jahre brauchen, bis über alle Einsprüche entschieden wurde und eine endgültige Entscheidung getroffen wurde", beklagt Schrems in seinem Brief an alle EU-Datenschutzbehörden, die EU-Kommission und das Europaparlament.

In Irland verklagt

Er hatte den US-Onlineriesen Facebook mit seiner Organisation Noyb unmittelbar nach Inkrafttreten der DSGVO am 25. Mai 2018 wegen Datenschutzverstößen in Irland verklagt. In diesen drei Fällen gehe es nicht nur um die drei konkreten Kläger, die Noyb vertrete, sondern um "Millionen von europäischen Usern", betonte Schrems.

"Diese drei Fälle, in denen die DPC als führende Behörde tätig ist, zeigen, dass der Kooperationsmechanismus nach Kapitel 7 der DSVGO im Grunde dysfunktional wird, wenn die involvierten Datenschutzbehörden nicht rasch und effizient zusammenarbeiten", so Schrems. "Die DSGVO ist nur so stark wie ihre schwächste Datenschutzbehörde", fügte er mit Blick auf die DPC hinzu und verwies darauf, dass Google nach der französischen Strafe versucht habe, den Gerichtsstand nach Irland zu verlegen.

Kritik

Die auch mit dem englischen Akronym GDPR bekannte EU-Datenschutzgrundverordnung ist seit dem 25. Mai 2018 in Kraft und macht Unternehmen und Organisationen europaweit gültige Vorgaben für die Speicherung von Daten. Kunden und Nutzer bekommen damit mehr Möglichkeiten, gegen Missbrauch vorzugehen. Die DSGVO ist seit ihrem Inkrafttreten Kritik von verschiedenen Seiten ausgesetzt. Während Unternehmen den großen Aufwand kritisieren, den sie mit der Einhaltung der neuen Regeln haben, sehen Datenschützer diese als zahnlos an. In Österreich war etwa auch umstritten, dass der öffentliche Sektor von Strafen nach der DSGVO ausgenommen wurde.

Schrems wirft der irischen Datenschutzbehörde außerdem vor, sich vor dem Eintreten der DSGVO mehrfach heimlich mit Vertretern von Facebook getroffen zu haben. "Es klingt sehr nach diesen geheimen Tax Rulings, bei denen sich die Steuerbehörden heimlich mit großen Technologieunternehmen darüber einigen, wie die Steuergesetze umgangen werden können – nur dass sie das jetzt auch mit der DSGVO tun", sagt Schrems dazu. Die Behörde habe den Umgang des Konzerns mit der Gesetzesregelung erörtert, heißt es von Facebook, dennoch gibt die irische Behörde keine Einsicht. (APA, red, 25.5.2020)