Der irischen Datenschutzbehörde (DPC) kommt in der EU eine besondere Rolle zu. Denn eine Reihe von großen Internetfirmen, darunter auch Facebook, betreiben ihr europäisches Hauptquartier auf der Insel. In vielen Fällen ist es also die DPC, die für Beschwerden von Nutzern zuständig ist.

Doch, so kritisieren der österreichische Jurist Max Schrems und seine Privacy-NGO Noyb, die Behörde kommt trotz Millionenbudgets ihrer Aufgabe nicht nach. Das stellte sich bei einem Hearing vor dem Justizausschuss des irischen Parlaments heraus.

"Bermuda-Dreieck" für DSGVO-Beschwerden

Mehr als 10.000 Beschwerden im Rahmen der Datenschutzgrundverordnung (DSGVO) wurden der DPC im Jahr 2020 übermittelt. Dort plane man für dieses Jahr aber nur sechs bis sieben Entscheidungen zu treffen. 99,93 Prozent aller Eingaben verblieben also ohne offizielle Einschätzung, rechnet man vor.

Das bedeute nicht unbedingt, dass diese Fälle nicht angesehen würden. Laut DPC-Chefin Helen Dixon werden diese ohne eine Entscheidung "behandelt". Schrems sieht darin einen Verstoß gegen geltende Gesetze und eine rechtlich nicht haltbare Interpretation des Begriffs "behandeln" durch die Behörde. Diese sei zu einem "Bermuda-Dreieck" geworden, in dem Beschwerden einfach verschwinden.

Behörde sieht keine Entscheidungspflicht

Die Behörde wiederum sieht sich zu Unrecht kritisiert und hat eine andere Einschätzung der Rechtslage. Gesetzlich sei man "nicht verpflichtet, für irgendeinen Fall eine Entscheidung zu treffen". Bei Noyb vergleicht man das Vorgehen zynisch mit einem Angestellten, der Arbeitsdokumente damit "behandelt", indem er sie im Papierkorb versenkt. Gleichzeitig wolle die DPC auch noch eine Erhöhung ihres Jahresbudgets von derzeit 19,1 Millionen Euro.

Die Kritik sei "oberflächlich" und "übertrieben", wird Dixon von der "Irish Times" zitiert. Die vielbeklagten Verzögerungen seien dem Umstand zuzuschreiben, dass die DSGVO erst vor rund drei Jahren in Kraft getreten sei und es noch wenig Rechtssprechung gebe, an der man sich orientieren könne. Die Fälle seien komplex und jede Beschwerde individuell zu betrachten, die Geschwindigkeit der Abarbeitung liege nicht nur in der Hand ihrer Behörde. Die Anschuldigung, dass man sich weigere, regulierend einzugreifen, weist Dixon zurück.

Harte Kritik

Schrems wirft der DPC hingegen vor, ein "schlechtes" Verständnis der rechtlichen Lage zu haben und "beinahe alle nur erdenklichen" formalen Fehler zu machen. Die Behörde führe beständig Debatten über unwesentliche Details von Fällen und versuche Gesetzeskonformität herbeizuargumentieren, statt die geltenden Regeln einfach durchzusetzen. Unternehmen hätten damit weniger Anreiz, der DSGVO zu entsprechen, was die "Spirale ungelöster Beschwerden" verstärke.

Schrems fordert, dass die aktuell zwei vakanten Stellen mit anerkannten Experten besetzt werden, und regt eine Reform des Beschwerdeverfahrens an. Eine Position, die auch Johnny Ryan vom Irish Council for Civil Liberties und der Datenschutzanwalt Fred Logue vertreten, die ebenfalls zum Hearing eingeladen waren. (gpi, 28.4.2021)