Zwei Jahre DSGVO: Datenschützer von Big Tech überfordert

Seit mehr als zwei Jahren wird die DSGVO angewendet, doch eine ­Strafe gegen Daten­sammler wie Facebook und Google steht noch aus.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge

Die EU-Kommissare Vera Jourová und Didier Reynders hoffen, dass die irischen Datenschützer bald erste Verfahren gegen Tech-Konzerne wie Facebook abschließen.

(Bild: EU-Kommission)

Von
  • Christian Wölbert
  • Christiane Schulzki-Haddouti

Endlich könne man Tech-Giganten wie Google und Facebook an die Kandare nehmen – so lautete das große Versprechen der EU-Kommission bei der Einführung der DSGVO. Schließlich sieht die Verordnung Strafen von bis zu vier Prozent des Konzern-Jahresumsatzes vor.

Doch Big Tech musste immer noch keine spürbare Buße tun. Die Kommission erhöht deshalb nun den Druck auf die Mitgliedsstaaten: Nationale Datenschutzbehörden müssten mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden, forderten Kommissionsvize Vera Jourová und Justizkommissar Didier Reynders Ende Juni anlässlich der Vorstellung ihres Berichtes zur Evaluierung der ersten beiden DSGVO-Jahre.

Gemeint sind vor allem Irland und Luxemburg. Die Datenschützer dieser beiden Länder sind für fast alle Tech-Riesen zuständig. Auf der Insel haben unter anderem Facebook, Google, Microsoft und Apple ihren europäischen Hauptsitz. In Luxemburg sind Unternehmen wie PayPal und Amazon angesiedelt.

Zumindest bislang wirken die beiden Behörden mit der Aufgabe überfordert. Die Data Protection Commission (DPC) in Dublin betreibt über ein Dutzend Verfahren gegen internationale Tech-Konzerne wie Facebook, sie hat bislang aber keine einzige Strafe verhängt. In Luxemburg sind seit Jahren Bürgerbeschwerden gegen Amazon anhängig.

Beide Behörden haben zwar in den vergangenen Jahren mehr Personal von ihren Regierungen bewilligt bekommen. Doch im Vergleich zur Größe der Aufgabe wirkt die Ausstattung immer noch mickrig. Die DPC plant laut dem Kommissionsbericht für 2020 mit 176 Vollzeitstellen, die luxemburgische Behörde mit 48. Zum Vergleich: Die deutsche Datenschutzaufsicht, die auf Bund und Länder verteilt ist, kommt insgesamt auf 1002 Stellen.

„Es ist nicht so, dass wir nicht besorgt sind über die Situation“, sagte Justizkommissar Reynders diplomatisch-verklausuliert zu dem Thema. Man müsse sicherstellen, dass die Ausstattung der Behörden zur Größe der Unternehmen im Hoheitsgebiet passe.

In Staaten wie Deutschland und Frankreich wächst der Frust über die untätigen Iren schon seit Monaten. Für den FDP-Europaabgeordneten Moritz Körner geht es dabei auch um fairen Wettbewerb. „Eine laxe Verfolgung von Datenschutzvergehen darf kein Standortvorteil in der EU sein“, sagte er der dpa anlässlich der Vorstellung des Evaluierungsberichts.

Ähnlich sieht das der hamburgische Datenschutzbeauftragte Johannes Caspar. Dem Nachrichtendienst Politico sagte er sogar, seine Behörde halte sich bei der Untersuchung kleinerer Firmen wie Xing zurück, da die irischen Datenschützer den zu Microsoft gehörenden Rivalen LinkedIn noch nicht sanktioniert hätten. „Viele Unternehmen sagen uns, dass es aufgrund der Unterschiede in der Datenschutzaufsicht keinen fairen Wettbewerb gibt“, betonte er.

Auch das von Caspar angestoßene Verfahren gegen die Datenzusammenführung von WhatsApp und Facebook liegt seit Jahren bei der irischen Aufsichtsbehörde. Und die erste Millionenstrafe gegen Google wurde nicht in Irland, sondern in Frankreich verhängt, weil Max Schrems mit seiner Organisation noyb bei der französischen Datenschutzaufsicht CNIL Beschwerde einreichte. Doch war nicht eigentlich Irland zuständig? Nein, befand jetzt das oberste französische Verwaltungsgericht, denn die kritisierten Einstellungen waren nicht in Irland, sondern in Kalifornien beschlossen worden.

Die französische Strafe entspricht weniger als 0,05 Prozent des Jahresumsatzes der Google-Holding Alphabet. Der Fall zeigt aber, dass Aufsichtsbehörden etwas in Bewegung bringen können, wenn sie denn wollen. Die CNIL gehört in Europa neben der britischen ICO („Facebook/Cambridge Analytica“) und der spanischen Aufsichtsbehörde („Recht auf Vergessenwerden“) zu den großen und aktiven Aufsichtsbehörden, die sich in den letzten Jahren an richtungsweisende Entscheidungen gegen große IT-Konzerne wagten.

Immerhin: Die Hoffnung ist da, dass die Iren bald erste Bußgeldbescheide zustellen. „Wir erwarten, dass einige große Fälle bald abgeschlossen werden“, sagte Kommissions-Vize Jourová bei der Vorstellung des Evaluationsberichts. Eine Entscheidung der irischen Aufseher wäre „natürlich die beste, effizienteste Antwort“ auf die Kritik, ergänzte ihr Kollege Reynders.

Dieser Artikel stammt aus c't 16/2020.

(cwo)