PUR

Verzögerung: Irische Datenschutzbehörde muss Schrems Gerichtskosten zahlen

Die DSGVO schreibt in Verfahren eine "unverzügliche" Entscheidung vor. Die irische DPC ließ sich in zwei Fällen gegen Instagram und WhatsApp 47 Monate Zeit.

Von Stefan Krempl

Das gemächliche Agieren der irischen Datenschutzbehörde in großen Fällen auf Basis der Datenschutz-Grundverordnung (DSGVO) geht nun auf Kosten der nationalen Steuerzahler. Die Data Protection Commission (DPC) hat am Donnerstag einen Rechtsstreit mit dem österreichischen Datenschutzverein Noyb wegen Verzögerung in zwei laufenden Auseinandersetzungen gegen Instagram und WhatsApp beigelegt.

Irische Datenschutzbehörde zahlt Gerichtskosten

47 Monate, nachdem die Bürgerrechtler die Beschwerde vorgebracht hatten, erklärte sich die Behörde nun bereit, die Gerichtskosten von mehreren zehntausend Euro für das Verfahren am irischen High Court zu zahlen. In den beiden Fällen wirft der vom Aktivisten Max Schrems gegründete Verein Noyb dem Mutterkonzern von Facebook, Instagram und WhatsApp, Meta, vor, von Nutzern mit unlauteren Mitteln Zustimmungen in die Verarbeitung persönlicher Daten verlangt zu haben. Oft seien die Einwilligungen unter der Androhung erfolgt, den entsprechenden Dienst sonst nicht mehr verwenden zu können.

Die DSGVO schreibt in solchen Streitigkeiten eine "unverzügliche" Entscheidung durch die Aufsichtsbehörden vor. In vielen EU-Mitgliedstaaten verlangt der Gesetzgeber so einen Beschluss innerhalb von drei bis 12 Monaten. Die DPC hielt laut Noyb dagegen vier Jahre für angemessen, um zunächst nur einen Entscheidungsentwurf vorzulegen.

Bisher keine endgültige Entscheidung

Noyb hatte am 25. Mai 2018 direkt zum Inkrafttretens der DSGVO vier Beschwerden wegen "Zwangszustimmung" eingereicht. Eine führte rasch zu einer Geldstrafe von 50 Millionen Euro gegen Google in Frankreich, die anderen drei Fälle, die sich gegen Facebook, Instagram und WhatsApp richten, gingen an die irische DPC als federführende Behörde, da Meta in Irland seinen europäischen Hauptsitz hat.

Eine endgültige Entscheidung haben die irischen Kontrolleure bisher in keinem der drei Verfahren gefällt. Dabei gibt es bereits klare Leitlinien des Europäischen Datenschutzausschusses (EDSA) zu den Zustimmungsfragen. Die DPC hatte vergeblich versucht, diese zugunsten von Meta zu beeinflussen. Trotz der Vorgaben legte die DPC erst Anfang April einen Entscheidungsentwurf zu WhatsApp und Instagram vor.

"Schneckenrennen"

Wegen der verschleppten Ansage aus Dublin reichte Noyb im Juli 2020 Klage beim High Court ein. Auch dort mahlen die Mühlen aber recht langsam. Eine erste Anhörung zu Beweismitteln war dort für Donnerstag angesetzt, in der Sache selbst wäre wohl erst im Herbst verhandelt worden. So kam es, dass das langsame, mit dem Entscheidungsentwurf nun aber doch in die Gänge gekommene Vorgehen der DPC das Gerichtsverfahren noch überholte.

"Es ist wie in einem Schneckenrennen", beklagt Schrems die "groteske" Situation. "Somit gibt es keinen wirksamen Rechtsbehelf gegen die Verzögerung von Fällen durch die irische DPC." Zumindest die Verfahrenskosten müsse diese nun aber tragen. Zugleich beklagte er, dass die Datenschutzbehörde die Verfahrensakten unrechtmäßig nicht mehr mit Noyb teile. Im vorläufigen Entscheidungsentwurf seien die Eingaben der Bürgerrechtler "weitgehend ignoriert" worden, sodass die anderen europäischen Kontrolleure sich wohl auch mit der neuen Vorlage kein vollständiges Bild von dem Fall machen könnten.

20 weitere Fälle vor der DPC

Noyb hat noch etwa zwanzig andere Fälle vor der DPC. Der Verein will sich nun auch hier auf offensichtliche Verzögerungen konzentrieren und gegebenenfalls erneut den High Court anrufen. Die DPC gilt schon seit Längerem als Flaschenhals bei der DSGVO-Durchsetzung. Das EU-Parlament forderte daher die EU-Kommission auf, ein Vertragsverletzungsverfahren gegen Irland einzuleiten. Der Irish Council for Civil Liberties (ICCL) hat zudem eine Beschwerde gegen die Brüsseler Regierungsinstitution bei der Europäischen Bürgerbeauftragten Emily O’Reilly eingereicht, da sie nicht gegen die Versäumnisse rund um die DPC vorgehe.

Die EDSA-Mitglieder beschlossen unter der Woche bei einem Treffen in Wien, in großen, grenzüberschreitenden und strategisch wichtigen DSGVO-Fällen künftig stärker zu kooperieren. Um das wachsende Arbeitsaufkommen zu bewältigen, werde dafür "ein Aktionsplan mit einem festen Zeitrahmen für die Zusammenarbeit aufgestellt", betonte die EDSA-Vorsitzende Andrea Jelinek. Gegebenenfalls könnte dazu eine spezielle Arbeitsgruppe eingerichtet werden. Ferner haben sich die Datenschutzbehörden verpflichtet, Informationen über nationale Durchsetzungsstrategien auszutauschen, um jährlich EU-weite Prioritäten auf diesem Feld zu vereinbaren.

(bme)