Zum zweiten Jahrestag ihres Inkrafttretens hat der Datenschutzaktivist Max Schrems die EU-Datenschutzverordnung als „dysfunktional“ kritisiert. In einem offenen Brief an EU-Organe forderte Schrems heute, „die notwendigen Schritte zu setzen, dass die DSGVO (Datenschutzgrundverordnung, Anm.) den Europäern ein Grundrecht auf Datenschutz nicht nur auf dem Papier gibt, sondern auch in der Realität und in jedem Winkel der Union“.
Schrems kritisierte konkret das Vorgehen der irischen Datenschutzbehörde DPC im Fall Facebook und seiner Töchter Instagram und WhatsApp. Während nämlich die französische Datenschutzbehörde Google bereits zu einer Strafe von 50 Millionen Euro verurteilt habe, habe die bei Facebook zuständige irische Behörde noch überhaupt keine einzige Strafe im Privatsektor verhängt, obwohl es allein im Vorjahr 7.215 Beschwerden gegeben habe.
Im Fall Facebook habe die Datenschutzbehörde in den ersten beiden von sechs Verfahrensschritten „äußerst verstörende Handlungen“ gesetzt, während in den Fällen Instagram und WhatsApp erst in der Vorwoche die erste Phase abgeschlossen worden sei.
„Millionen von europäischen Usern“
„Wenn es in dieser Geschwindigkeit weitergeht, werden diese Fälle leicht mehr als zehn Jahre brauchen, bis über alle Einsprüche entschieden wurde und eine endgültige Entscheidung getroffen wurde“, beklagt Schrems in seinem Brief an alle EU-Datenschutzbehörden, die EU-Kommission und das Europaparlament.
Er hatte den US-Onlineriesen Facebook mit seiner Organisation noyb unmittelbar nach Inkrafttreten der DSGVO am 25. Mai 2018 wegen Datenschutzverstößen in Irland geklagt. In diesen drei Fällen gehe es nicht nur um die drei konkreten Kläger, die noyb vertrete, sondern um „Millionen von europäischen Usern“, betonte Schrems.
„Diese drei Fälle, in denen die DPC als führende Behörde tätig ist, zeigen, dass der Kooperationsmechanismus nach Kapitel 7 der DSVGO im Grunde dysfunktional wird, wenn die involvierten Datenschutzbehörden nicht rasch und effizient zusammenarbeiten“, so Schrems.
Seit 2018 in Kraft
„Die DSGVO ist nur so stark wie ihre schwächste Datenschutzbehörde“, fügte er mit Blick auf die DPC hinzu und verwies darauf, dass Google nach der französischen Strafe versucht habe, den Gerichtsstand nach Irland zu verlegen.
Die DSGVO ist seit dem 25. Mai 2018 in Kraft und macht Unternehmen und Organisationen europaweit gültige Vorgaben für die Speicherung von Daten. Nutzerinnen und Nutzer bekommen damit mehr Möglichkeiten, gegen Missbrauch vorzugehen. Die DSGVO ist seit ihrem Inkrafttreten Kritik von verschiedenen Seiten ausgesetzt.
Während Unternehmen den großen Aufwand kritisieren, den sie mit der Einhaltung der neuen Regeln haben, sehen Datenschützer und Datenschützerinnen diese als zahnlos an. In Österreich war etwa auch umstritten, dass der öffentliche Sektor von Strafen nach der DSGVO ausgenommen wurde.