Europäischer Datenschutztag: 41 Jahre „Datenschutz am Papier“?! Der Europäische Datenschutztag erinnert an die Unterzeichnung des ersten paneuropäischen Datenschutzrahmens (Convention108) im Jahr 1981. Heute, 41 Jahre später, ist die DSGVO zur wichtigsten Säule des europäischen Datenschutzes geworden. 2016 noch mit großen Hoffnungen verabschiedet, steht die DSGVO kurz davor das Ziel der strengen Durchsetzung abermals nicht zu erreichen. Wie Gesetze zuvor, scheint die DSGVO nur auf dem Papier zu existieren.

Europäische Durchsetzung in der Theorie.
Laut DSGVO haben alle Nutzer:innen in Europa das Recht, eine Beschwerde bei ihrer zuständigen Datenschutzbehörde einzureichen. Diese soll wiederum das Grundrecht der Nutzer:innen auf Privatsphäre durchsetzen. Ein Kooperationsmechanismus für länderübergreifende Fälle („One-Stop-Shop“ Prinzip) soll außerdem sicherstellen, dass Nutzer:innen ihre Rechte auch dann uneingeschränkt durchsetzen können, wenn ihre Daten von einem Unternehmen in einem anderen Mitgliedstaat verarbeitet werden.

DSGVO-Durchsetzungsvakuum.
Viele Menschen haben versucht ihre Rechte nach der DSGVO wahrzunehmen und wurden bitter enttäuscht. Manche Behörden bearbeiten schlichtweg keine Beschwerden. Oft werden Verfahren „vergessen“ oder bleiben in dem Netz hängen, das die nationalen Datenschutzbehörden eigentlich miteinander verbinden sollte. Jahrelange Funkstille ist keine Seltenheit. Obwohl es natürlich nationale Behörden gibt, die deutlich mehr leisten als andere, erhält noyb von frustrierten Nutzer:innen aus der ganzen EU ähnliche Beschwerden. Auch die aktiven Behörden stehen oft auf verlorenem Posten, denn am Ende des Tages ist die DSGVO nur so stark wie sein schwächstes Glied.

Nur 15% von noyb‘s Beschwerden innerhalb eines Jahres entschieden – kein einziger grenzüberschreitender Fall.
Seit Inkrafttreten der DSGVO 2018 hat noyb 51 Einzelfälle bei Datenschutzbehörden in Europa eingereicht. Nur sechs dieser Beschwerden wurden bis zum heutigen Tag entschieden, drei weitere wurden teilweise entschieden. Dabei handelte es sich immer um nationale Fälle, bei denen keine Notwendigkeit für europäische Zusammenarbeit bestand. Bis dato wurde kein einziger grenzüberschreitender Fall entschieden. Während einige Fälle erst vor kurzem eingereicht wurden und möglicherweise noch Zeit benötigen, sind viele schon seit Jahren anhängig. Von 34 Fällen die schon über ein Jahr anhängig sind, sind nur fünf vollständig entschieden. 85 % aller Fälle, die älter als ein Jahr sind, warten also immer noch auf eine Entscheidung. Manche davon sind zwischen den Behörden verloren gegangen. In anderen Fällen scheinen es den Behörden nicht einmal Wert um auf E-Mails oder Anrufe zu reagieren. Unrühmlichen Spitzenreiter für die längste Dauer: Vier Fälle, die am 25.5.2018 wegen „erzwungener Zustimmung“ eingereicht wurden. Nach 3 Jahren und 8 Monaten hat die „federführende“ Behörde in Irland immer noch keine endgültige Entscheidung getroffen. „Man sieht deutlich, dass wir meist ohne Antwort dastehen, manche Behörden sind wie eine schwarzes Loch. Es ist unmöglich nachzuvollziehen, was mit unseren Beschwerden geschieht. In den nationalen Fällen gibt es zwar einige Ergebnisse, aber sobald verschiedene Mitgliedstaaten nach dem „One-Stop-Shop“ Prinzip zusammenarbeiten mussten, haben wir keine einzige Entscheidung gesehen. Die Tabelle zeigt auf wie frustrierend, ineffektiv und kompliziert die Durchsetzung der europäischen Grundrechte sein kann.“– Romain Robert, Programmdirektor bei noyb. Am heutigen „Datenschutztag“ hat noyb eine Liste aller 51 „individuellen“ Beschwerden veröffentlicht, die es seit Inkrafttreten der DSGVO eingereicht hat:

Beschwerdewellen: 523 Beschwerden, eine Entscheidung.
noyb reichte zwei Runden von „Parallelbeschwerden“ ein. Diese mögen für Datenschutzbehörden zwar einerseits eine größere Herausforderung darstellen, ermöglichen aber andererseits den Entscheidungsprozess effizient zu gestalten. Von den 101 Beschwerden vom August 2020 über Datenübermittlungen zwischen der EU und den USA wurde nach 1,5 Jahren ein Fall zu Google Analytics teilweise entschieden (1 %). Bei weiteren 422 Beschwerden aus dem August 2021 zu Cookie-Bannern wurde noch keine einzige Entscheidung getroffen. In vielen Fällen scheint nach vier Monaten lediglich eine Bestätigung des Eingangs der Beschwerde vorzuliegen.

Europäische Institutionen äußern ähnliche Bedenken.
Das Europäische Parlament drückte seine Besorgnis über das unzureichende Niveau der Durchsetzung der DSGVO aus, die Kommission warnte sogar davor, auf einen zentralisierteren Ansatz zu drängen, falls keine Verbesserungen vorgenommen würden. Eine für Juni angesetzte Konferenz des EDSB zu diesem Thema lässt keinen Zweifel daran, dass 2022 ein Schwerpunkt auf der Durchsetzung der DSGVO liegen wird „Wir wollen mit dem Überblick über unsere Beschwerden die Diskussionen bereichern, die dieses Jahr sicher stattfinden werden. Viele Probleme in der Durchsetzung der DSGVO wurden bereits identifiziert, wir denken aber, dass diese List einen praktischen Überblick bietet.“ – Romain Robert, Programmdirektor bei noyb

Fokus auf Durchsetzung und Verfahrensrechte
Die Erfahrungen der letzten 3,5 Jahre legen nahe, dass die Rolle von noyb als Organisation zur Durchsetzung der DSGVO noch relevanter geworden ist. Neben Klagen gegen Aufsichtsbehörden, die Fälle nicht innerhalb einer angemessenen Frist entscheiden, wird noyb ab jetzt zusätzlich direkt gegen Unternehmen vorgehen und zivilrechtliche Klagen einbringen, auch wenn das in der Regel mit viel höheren Kosten verbunden ist. noyb ist bereits jetzt eine qualifizierte Organisation, die repräsentative Klagen in Belgien einbringen darf. Dementsprechend sind wir auch bereit, sobald die EU-Richtlinie über Verbandsklagen in Kraft tritt. Zu diesem Zweck hat noyb außerdem, gemeinsam mit PrivacyFirst, die Stiftung „CUIC“ (Consumers United In Court) in den Niederlanden gegründet. „Trotz unserer Unzufriedenheit mit der Rechtsdurchsetzung wird noyb weiterhin die Datenschutzbehörden und Beschwerdeführer unterstützen, die an einer Durchsetzung unsere Grundrechte arbeiten. 41 Jahre nach der Konvention müssen viele Zahnrädchen zusammenarbeiten, um den Datenschutz auch real auf die Smartphones der Leute zu bekommen.“ – Romain Robert, Programmdirektor bei noyb.

In diesem Sinne wünscht noyb allen einen schönen Datenschutztag!

NOYB