FM4-Logo

jetzt live:

Aktueller Musiktitel:

EU-Fahne mit Vorhängeschloss und Datenstrom

CC0 via Pixabay

Erich Moechel

Datenschutz-NGOs frontal gegen Datenschutzbehörden

Zwei Jahre nach Einführung der Datenschutzgrundverordnung ziehen European Digital Rights (EDRi) und NoYb (Max Schrems) Bilanz. Die fällt reichlich durchwachsen aus.

Von Erich Moechel

Zwei Jahre nach dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zog der Dachverband der europäischen Datenschutzorganisationen EDRi nun eine erste, sehr durchwachsene Bilanz. Die Umsetzung der Verordnung in vielen Mitgliedsstaaten sei völlig ungenügend und systematische Verstöße blieben vielfach ungeahndet, hieß es. In Staaten wie Ungarn, der Slowakei und Rumänien würden die Datenschutzbehörden sogar politisch instrumentalisiert, um gegen Medienberichte vorzugehen.

Am Dienstag hatte Max Schrems (NoYB) der irischen Datenschutzbehörde (DPC) vorgeworfen, mit Facebook zur Umgehung der Datenschutzgesetze regelrecht zu konspirieren. Die DPC agiere quasi als fünfte Kolonne der US-Internetkonzerne, deren Europazentralen fast alle in Irland niedergelassen sind. Die Beschwerden der NGOs haben inzwischen das erste EU-Gremium erreicht.

Public EDPB

Public

Bereits am Dienstag, also direkt nach der Veröffentlichung der beiden offenen Briefe von EDRi und NoYB - ebenfalls ein Mitglied des Dachverbands - stand das Thema bereits auf der Agenda der monatlichen virtuellen Konferenz der nationalen Datenschutzbehörden in der EU. Hier sind die offenen Briefe von European Digital Rights und None of Your Business

„Zeit, Tacheles zu reden“

Die Umsetzung der DSGVO im Juni 2017 in Österreich wurde seitens der Internetindustrie als „Pfuschaktion“ und Musterbeispiel für „schlechte Gesetzesgebung“ apostrophiert.

„Seit Jahren hören wir von den nationalen Datenschutzbehörden immer dieselben schönen Worte über effizientere Umsetzung der DSGVO, über bessere Koordination und europäische Zusammenarbeit gegen die Umgehungspraktiken der Internetkonzerne. Passiert ist aber nichts“, sagte Max Schrems zu ORF.at, „Irgendwann haben uns diese schönen Worte gereicht. Es ist jetzt einmal Zeit, Tacheles zu reden. Die Herrschaften sollen bitte auch einmal öffentlich sagen, ob sie die DSGVO denn überhaupt durchsetzen wollen. In Irland hat das nämlich überhaupt nicht den Anschein, vielmehr sieht das nach Sabotage aus.“

Konkret wird der irischen Datenschutzbehörden von Schrems vorgeworfen, in zehn gemeinsamen Sitzungen mit Facebook einen Plan ausgearbeitet zu haben, mit dem die in der DSGVO vorgeschriebene Zustimmung durch die Benutzer umgangen wurde. Am Tag des Inkrafttretens der DSGVO in Irland war der Begriff „Zustimmung“ aus den Geschäftsbedingungen des Sozialen Netzwerks verschwunden. Stattdessen beruft sich Facebook auf einen ominösen „Datennutzungsvertrag“ mit den Benutzern, der Facebook Datenverarbeitungen aller Art erlaube bzw. den Konzern sogar dazu verpflichte. Die irische Datenschutzbehörde akzeptiert diese Vorgangsweise des Internetkonzerns bis heute als legitim.

noyb vs. facebook

noyb vs. facebook

Das ist der Stand der drei Verfahren, die NoYB gegen Facebook, Instagram und WhatsApp - alle drei gerhören zum Facebook-Konzern - vor zwei Jahren gestartet hatte. 22 Monate brauchte die Behörde allein um die Vorwürfe gegen Facebook in erster Instanz zu prüfen. Wenn die Verfahren in diesem „Tempo“ weitergehen, kann es zehn Jahre dauern, bis einer dieser Prozesse abgeschlossen wird.

„Kafkaeske Rosstäuscherei“

Zuletzt waren Dating-Apps wie Tinder wegen inflationärer Datenweitergaben ins Visier der Datenschützer geraten.

„Das ist ganz einfach juristische Rosstäuscherei. Seit dem Römischen Recht ist es verboten, einen gesetzlich geregelten Vorgang umzubenennen, um die Regelung zu umgehen. Die gesamte Vorgehenѕweise der Irischen Datenschutzbehörde ist einfach kafkaesk“, so Schrems. Derselbe Punkt steht auch auf der Beschwerdeliste von EDRi ganz oben, nämlich Missbrauch der Zustimmungsregelung, indem die Benutzer zur Zustimmung für Datenweitergaben en Gros genötigt werden.

Es sei nun höchste Zeit, dass die nationalen Datenschutzbehörden diesem „Business as usual“-Treiben der Internetkonzerne durch die Umsetzung der DSGVO ein Ende setzten, fordern die Bürgerrechts- und Datenschutzorganisationen. Dazu brauche es adäquate finanzielle, technische und personelle Kapazitäten für die nationalen Datenschützer, damit diese überhaupt gegen die in jeder Beziehung überlegenen Internetkonzerne vorgehen könnten. Das sei leider in kaum einem Mitgliedsstaat der Fall. Es sei daher nun höchste Zeit, dass die Kommission gegen diese Staaten Verfahren einleite, da die Umsetzung der Verordnung dadurch hintertrieben werde.

GDPA Letter

EDRi

Die jeweiligen Mitgliedorgansationen des EDRi-Dachverbands haben nicht nur die weiter unten angeführten Missbrauchsfälle ausführlich dokumentiert. Das europäische Gesamtbild ist alarmierend, kaum je wurde eine andere EU-Verordnung wurde so systematisch hintertrieben wie die DSGVO.

Im EU-Ministerrat hatten mehrere Mitgliedstaaten seit dem Sommer 2015 bis zuletzt noch versucht, die DSGVO vor ihrer Verabschiedung nach Kräften zu demontieren.

Zwrei der von European Digital Rights dokumentierten Beispiele des Missbrauchs der DSGVO zu politischen Zwecken stammen aus dem letzten halben Jahr. So hatte die slowakische Datenschutzbehörde das tschechische Zentrum für investigativen Journalismus mit einer Strafandrohung von zehn Millionen Euro (!) Ende 2019 dazu zwingen wollen, ein Video vom Netz zu nehmen. Das Video zeigt den mittlerweile verhafteten slowakischen Unternehmer Marian Kocner, wie er eine Überwachungskamera im Büro des ehemaligen Generalstaatsanwalts Dobroslav Trnka installiert, der in Folge ermordet wurde. Kocner sitzt wegen dieses und der Morde an den Journalisten Jan Kuciak und Martina Kusnirova in Untersuchungshaft.

In Ungarn hatte einer der Oligarchen, die Viktor Orban im Sattel halten, unter Berufung auf die Datenschutzgrundverordnung eine einstweilige Verfügung gerichtlich durchgesetzt, die Februarausgabe des US-Wirtschaftsmagazins „Forbes“ beschlagnahmen zu lassen. Einer der Eigentümer des größten ungarischen Getränkekonzerns wollte partout nicht in der Liste der 50 reichsten Ungarn aufscheinen. In Rumänien wiederum wurde Ende 2018 versucht, einen Bericht des Anti-Korruptionsprojekts RISE über den Missbrauch von EU-Geldern in Rumänien zu verhindern. Auch diese Intervention lief über die Datenschutzbehörden, auch hier wurde versucht, die Berichterstatter durch die (theoretisch möglichen) hohen Strafen gegen Datenschutzverstöße einzuschüchtern.

Wie es nun weitergeht

Aus den letzten 25 Jahren ist keine weitere EU-Verordnung bekannt, die so breit und systematisch hintertrieben wurde, wie aktuell die DSGVO. In jedem anderen Fall war bei einem vergleichbaren Tatbestand - Nicht-Umsetzung einer EU-Verordnung oder Richtlinie - ein Verfahren der Kommission gegen den betreffenden Staat die Folge. Mit der DSGVO wird - wie man sieht - aber regelrecht Schindluder getrieben. Es ist nun eine Frage der Zeit, wie lang es sich die EU-Kommission leisten kann, diese eklatanten Verstöße gegen Unionsrecht zu ignorieren.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: