EU-US-Transfers, eine parlamentarische Resolution – und ein dramatischer Abgang
Wie die Irish Times und die Financial Times gestern Abend berichteten, hat sich ein offener Streit zwischen der Leiterin der irischen Datenschutzbehörde (DPC), dem deutschen BfDI und dem LIBE-Ausschuss des Europäischen Parlaments ereignet. Thema ist die mangelnde Durchsetzung der DSGVO in Irland. Nachdem Helen Dixon (Leiterin der irischen DPC) andere Datenschutzbehörden und den Entwurf einer Entschließung des Parlaments kritisiert hatte, sagte sie nun im letzten Moment ihre Teilnahme an einer für heute geplanten Anhörung im Europäischen Parlament ab. Die Details lassen tiefe Blicke zu:
Das Europäische Parlament kritisiert die irische DPC. Der Entschließungsentwurf des Parlaments äußert „Besorgnis“ darüber, dass die DPC einen langwierigen Rechtsstreit mit Max Screms (seit 2013) begonnen hat, anstatt selbst über die EU-US-Datenübermittlung von Facebook zu entscheiden. Auch bei anderen Fällen sei die DPC langsam. Das Parlament forderte auch die Europäische Kommission auf, ein Vertragsverletzungsverfahren gegen Irland einzuleiten, weil Irland die DSGVO nicht richtig durchsetzt.
DPC beschuldigte die Parlamentarier der „Voreingenommenheit“. In zwei Briefen (9. Februar 2021 und 12. März 2021) warf Frau Dixon darauf hin den Abgeordneten des Europäischen Parlaments „ungeprüfte Annahmen“ und“Voreingenommenheit“ vor. Teile der Entschließung seien ihrer Ansicht nach „nicht das Produkt irgendeiner Art von strenger und fundierter Analyse“. Der größte Teil ihrer Kritik wurde jedoch nicht durch sachliche Argumente untermauert, wie in einem Brief von Max Schrems und später von der bundesdeutschen Datenschutzbehörde aufgezeigt wurde (siehe unten).
„Während es einige Punkte gab, die in Frau Dixons Briefen korrekt waren, basierte vieles auf ‚alternativen Fakten‘. Es scheint, dass sie das Parlament dazu drängen wollte, eine Resolution zu ändern, die sie als ungünstig ansah. Wir haben in einer Reaktion an den Ausschuss die korrekten und falschen Teile aufgearbeitet.“ – Max Schrems, noyb.eu
Anhörung verlangt – und abgesagt. Das Europäische Parlament führt regelmäßig Anhörungen zu verschiedenen Themen durch. Die Anhörung zu den EU-US-Datentransfers fand im September 2020 mit EU-Kommissar Didier Reynders, der Leiterin des EDPB (Dr. Andrea Jelinek) und dem noyb-Vorsitzenden und Kläger in diesem Fall (Max Schrems) statt. Es ist üblich, bei solchen Anhörungen Diskussionsteilnehmehmende zu laden, die verschiedene Ansichten vertreten. Es liegt allein im Ermessen der Abgeordneten zu entscheiden, wer angehört werden soll. Da Helen Dixon im September nicht eingeladen wurde, insistierte sie in zwei Briefen, eine zweite Anhörung zu veranstalten in der sie geladen werden soll – ein außergewöhnliches Ansinnen. Nachdem sie in einem zweiten Brief abermals darauf bestanden hatte, bot der Ausschuss eine kurze zweite Anhörung an. Da aber auch Dr. Jelinek und Max Schrems abermals eingeladen wurden, lehnte Frau Dixon plötzlich ab, heute im Ausschuss zu erscheinen. Sie wollte allein gehört werden – oder gar nicht.
„Sie bedrängt das Parlament, eine Sonderanhörung für sie durchzuführen. Als der Ausschuss dann diese Anhörung ansetzte, versuchte sie auch noch die Regeln der Anhörung zu diktieren, und bestand darauf, dass andere Diskussionsteilnehmer nicht anwesend sein dürfen. Das Europäische Parlament lehnte es aber ab, vom Standardverfahren abzuweichen. Frau Dixon weigerte sich daraufhin, an der Anhörung teilzunehmen, die sie selbst zuvor gefordert hatte. Grotesker geht es wohl nicht mehr.“ – Max Schrems, noyb.eu
Die irische DPC teilte auch gegen andere Behörden aus. In den Briefen an den Ausschuss kritisierte Frau Dixon andere europäische Datenschutzbehörden ebenso scharf und behauptete es gäbe ein „Versagen einiger Behörden Schlüsselkonzepte [der DSGVO] zu verstehen“. Sie kritisierte insbesondere die deutschen Datenschutzbehörden (die Bundesdatenschutzbehörde sowie die Datenschutzbehörden in Berlin und Hamburg) und behauptete fälschlicherweise, dass Gerichtsentscheidungen deren Arbeit regelmäßig über den Haufen werfen.
Deutscher BfDI: Irische DPC „isoliert“. Als Reaktion schickte Ulrich Kelber (BfDI) einen weiteren Brief an den Ausschuss in dem er diese Anschuldigungen von Frau Dixon zurückwies. Es ist davon zu lesen, dass Behauptungen der irischen Behördenleiterin „schlichtweg falsch“ sein, und das sie „Aussagen trifft, die zum einen sehr einseitig ihre persönliche Auffassung widerspiegeln und mit der sie zum anderen im Kreis der europäischen Datenschutzaufsichtsbehörden oftmals isoliert dasteht.“
In dem Schreiben von Prof. Kelber wird erwähnt, dass allein die Bundesdatenschutzbehörde mehr als 50 Beschwerden zu WhatsApp an die irische DPC geschickt hat, von denen bis heute keine einzige entschieden wurde. So „unterbindet [die DPC] so zu einem gewissen Grad etwaige Initiativen anderer Aufsichtsbehörden.“
„Die anderen Behörden haben sich lange mit offener Kritik an der irischen DPC zurückgehalten. Diese Behörden müssen ja täglich zusammenarbeiten, um die DSGVO durchzusetzen. Die Chefin der irischen DPC macht eine Zusammenarbeit aber praktisch unmöglich. Wir sehen das Ergebnis für die Bürger in unserer täglichen Arbeit, wo die DPC nicht einmal Anrufe oder E-Mails von anderen Datenschutzbehörden beantwortet. Die Verfahren dauern viele Jahre statt nur ein paar Monate.“ – Max Schrems, noyb.eu
Update (9:30): Die DPC hat nun selbst Teile der Korrespondenz mit dem Europäischen Parlament (ohne den Brief des BfDI und von Herrn Schrems) auf ihrer Website veröffentlicht. Dazu gehört auch ein Brief vom 16. März 2021 – den wir nicht veröffentlicht haben, da er noch expliziter zu sein scheint als die hier veröffentlichten Briefe. In dem Brief vom 16. März 2021 wettert die DPC ebenfalls direkt gegen Herrn Schrems und fordert explizit, allein gehört zu werden – auch unter Ausschluss der Leiterin des Ausschusses der Europäischen Datenschutzbehörden (EDSA). Sie bezeichnet das Verfahren vor dem Ausschuss sogar als „pervers“. In der Antwort des Parlaments werden die Verfahrensregeln dargelegt, aber Frau Dixon weigert sich dann, an einer abschließenden E-Mail teilzunehmen, wenn nicht zu ihren Bedingungen.
Übersicht:
Im September 2020 veranstaltete der LIBE-Ausschuss des Europäischen Parlaments eine öffentliche Anhörung mit EU-Kommissar Didier Reynders, der Leiterin des EDPB (Dr. Andrea Jelinek) und dem noyb-Vorsitzenden und Kläger in diesem Fall (Max Schrems) über das weitere Vorgehen nach dem "Schrems II"-Urteil. Dies führte zu einem Resolutionsentwurf, in dem der irische DPC kritisiert wurde.
Die Leiterin der DPC (Helen Dixon) hat am 9. Februar 2021 einen Brief an den Ausschuss geschickt und verlangt, gehört zu werden.
Herr Schrems hat in einem Schreiben vom 26. Februar 2021 geantwortet und einige der zutreffenden und auch unzutreffenden Argumente von Frau Dixon aufgearbeitet.
Die DPC schickte am 3. März 2021 eine E-Mail mit ihrem Jahresbericht und am 12. März 2021 einen weiteren Brief, in dem sie auf einer Anhörung besteht.
Der LIBE-Ausschuss des Parlaments setzte eine Anhörung für Donnerstag, den 18. März an und lud auch Dr. Jelinek und Herrn Schrems ein.
Am 16. März 2021 schickte der Leiter der Deutschen Datenschutzbehörde (BfDI) einen Brief, in dem diverse Behauptungen der DPC korrigiert werden
Anstatt an der von ihr geforderten Anhörung teilzunehmen, hat Frau Dixon dem Europäischen Parlament am 16. März 2021 mitgeteilt, dass sie nicht angehört werden möchte, es sei denn, sie würde allein angehört werden - was der Ausschuss ihr verwehrte.
noyb.eu