Ist die irische Datenschutzaufsichtsbehörde absichtlich untätig?

Es rührt sich Unmut über die irische Datenschutzaufsichtsbehörde. Der Vorwurf lautet, dass die Behörde der Masse und Tragweite der anhängigen Verfahren nicht gewachsen sei. Was ist dran an den Vorwürfen?

One Ring to Rule them All

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat neulich angeregt, der irischen Datenschutzaufsichtsbehörde ein bisschen unter die Arme zu greifen.

Dem ungewöhnlichen Vorschlag dürfte der rechtliche Umstand zugrunde liegen, dass die irische Aufsichtsbehörde für zahlreiche Verfahren gegen amerikanische Unternehmen wie Google, Apple und Facebook zuständig ist und sich diese – wie anscheinend auch andere Verfahren – sehr in die Länge zu ziehen scheinen.

Rechtlicher Hintergrund für die Zuständigkeit ist der sog. One-Stop-Shop gem. Art 56 DSGVO, den wir hier ausführlich dargestellt haben. Vereinfacht gesagt gilt: Der Bürger kann sich an jede Aufsichtsbehörde wenden, diese leitet die Anfrage an die federführende Behörde weiter. Der Verantwortliche muss sich nur mit dieser „zuständigen“ Behörde befassen. Da die datenschutzrechtlichen Problembären ihre Hauptniederlassungen allesamt in Irland haben, führt dies dazu, dass sehr viele Beschwerden bei der zuständigen irischen Datenschutzaufsichtsbehörde landen, wo sie anscheinend versauern.

Schneckentempo im Digitalzeitalter

Dass die Mühlen der Aufsichtsbehörden langsam mahlen können, ist jedoch kein spezifisch irländisches Problem. So kam etwa durch die unendliche Sonos-Geschichte des Datenschutz-Bloggers Christian Bennefeld ans Licht, dass die Hamburgische und Niederländische Aufsichtsbehörde allein 7 Monate gebraucht haben, um die Zuständigkeiten bezüglich der Betroffenenanfrage zu klären. Nach insgesamt 17 Monaten ist der Vorgang immer noch offen, was dann sogar der Hamburgischen Datenschutzaufsicht lange vorkommt, die an den Betroffenen zurückschrieb:

„Nachdem wieder ein paar Monate ins Land gezogen sind, wollte ich Ihnen eine kurze Zwischenmeldung zu Ihrer Beschwerde gegen Sonos geben. Die Meldung lautet leider wieder: nichts Neues!“

Der Behördenvergleich

Den Zahlen nach hat sich die irische Datenschutzaufsichtsbehörde zwischen Mai 2018 und Mai 2019 nicht über Arbeitsmangel beklagen müssen. Im ersten Jahr nach der DSGVO gab es gegenüber der irischen Datenschutzaufsicht

• 6.624 Beschwerden
• 5.818 Meldungen von Datenschutzverletzungen
• 48.000 Anfragen
• 54 eröffnete Untersuchungen, von denen 35 keinen grenzüberschreitenden Sachverhalt betrafen und 19 grenzüberschreitende, multinationale Technologie-Unternehmen (Problembär-Alarm?)
• 1.206 Meldungen über die Bestellung eines Datenschutzbeauftragten

Zudem durfte sich die irische Aufsichtsbehörde 2019 über 85 neue Mitarbeiter freuen, womit die Gesamtzahl der Mitarbeiter auf 137 angewachsen ist. Was erst einmal positiv klingt bekommt schnell einen faden Beigeschmack, denn anders gewendet bedeutet dies: Bis vor nicht allzu langer Zeit werkelten 52 Mitarbeiter in einer Behörde, die für ganz Europa die größten Datenkraken des Planeten bändigen soll.

Das Budget stieg von 1,7 Millionen Euro in 2013 auf 15,2 Millionen Euro in 2019. Für 2020 wurde das Budget um weitere 1,6 Million Euro auf 16,9 Millionen Euro erhöht.

Nach Ansicht des Bundesdatenschutzbeauftragten ist dies jedoch nicht genug. Er bekundete, wie sehr es ihn verwundere

„wenn die irische Regierung der Datenschutzbehörde nicht die benötigten Mittel zur Verfügung stellen will, wenn sie gleichzeitig alles dafür tut, ein Steuerrückzahlung in Höhe von 13 Milliarden Euro von Apple abzuwehren“.

Zum Vergleich:

Beim Bundesdatenschutzbeauftragten hat sich die Zahl der Planstellen von 90 im Jahr 2015 auf etwas mehr als 250 im Haushalt 2019 erhöht. Der Haushalt stieg von 9,3 Millionen Euro im Jahr 2015 auf 25,2 Millionen Euro für das Jahr 2019 an. Mitte November 2019 hat der Haushaltsausschuss des Deutschen Bundestages schließlich zusätzliche 67 Mitarbeiter bewilligt. Mit den schon vorhandenen 250 Stellen macht das über 317 Mitarbeiter, damit 2,36 Mal so viele Mitarbeiter wie in der irischen Aufsichtsbehörde. Der Personalzuwachs scheint bei der Bundesbehörde offensichtlich neue Kräfte freigesetzt zu haben, was den ungewöhnlichen Vorstoß von Herr Kelber erklären könnte.

Datenschutzrechtliche Rosine

Stein des Anstoßes ist die langsame Bearbeitung eine Beschwerde von sieben europäischen Verbraucherschutzgruppen vom Ende November 2018 gegen Praktiken zur Geolokalisierung von Google, die ein Jahr später anscheinend unbeantwortet geblieben ist.

Vielleicht liegt es nur an der Arbeitslast der 19 Verfahren gegen Größen wie Google, Apple, Facebook, Microsoft. Aber während zumindest die französische CNIL Anfang 2019 ein hohes Bußgeld von über 50 Millionen Euro gegen Google wegen Datenschutzverstößen verhängt hat, ist uns kein Fall bekannt, in der die irische Aufsichtsbehörde überhaupt einmal gegenüber einen multinationalen Großkonzern schmerzhafte Maßnahmen ergriffen hätte. Im sog. „Enforcementtracker“, der alle bekannten Bußgelder für DSGVO-Verstöße auflistet, lässt sich ebenfalls kein Bußgeld durch die irländische Behörde finden. Auch eineinhalb Jahre nach Anwendbarkeit der DSGVO hat Irland damit, bis auf die Personal- und Budget-Aufstockung, nur wenig Anstalten unternommen, um den Eindruck, eine „datenschutzrechtliche Rosine“ zu sein, zu widerlegen. Anhand des Vorstoßes von Herr Kelber darf angenommen werden, dass manche Aufsichtsbehörden dies nicht als Dauerzustand akzeptieren wollen.