Zum zweiten Jahrestag ihres Inkrafttretens hat der Datenschutzaktivist Max Schrems die EU-Datenschutzverordnung als "dysfunktional" kritisiert. In einem offenen Brief an EU-Organe forderte Schrems am Montag, "die notwendigen Schritte zu setzen, dass die DSGVO den Europäern ein Grundrecht auf Datenschutz nicht nur auf dem Papier gibt, sondern auch in der Realität und in jedem Winkel der Union".
Schrems kritisierte konkret das Vorgehen der irischen Datenschutzbehörde (DPC) im Fall Facebook und seiner Töchter Instagram und WhatsApp. Während nämlich die französische Datenschutzbehörde Google bereits zu einer Strafe von 50 Millionen Euro verurteilt habe, habe die bei Facebook zuständige irische Behörde noch überhaupt keine einzige Strafe im Privatsektor verhängt, obwohl es allein im Vorjahr 7.215 Beschwerden gegeben habe. Im Fall Facebook habe die Datenschutzbehörde in den ersten beiden von sechs Verfahrensschritten "äußerst verstörende Handlungen" gesetzt, während in den Fällen Instagram und Whatsapp erst in der Vorwoche die erste Phase abgeschlossen worden sei.
Jahrelange Verfahren
"Wenn es in dieser Geschwindigkeit weiter geht, werden diese Fälle leicht mehr als zehn Jahre brauchen, bis über alle Einsprüche entschieden wurde und eine endgültige Entscheidung getroffen wurde", beklagt Schrems in seinem Brief an alle EU-Datenschutzbehörden, die EU-Kommission und das Europaparlament. Er hatte den US-Onlineriesen Facebook mit seiner Organisation "noyb" unmittelbar nach Inkrafttreten der DSGVO am 25. Mai 2018 wegen Datenschutzverstößen in Irland verklagt. In diesen drei Fällen gehe es nicht nur um die drei konkreten Kläger, die "noyb" vertrete, sondern um "Millionen von europäischen Usern", betonte Schrems.
"Diese drei Fälle, in denen die DPC als führende Behörde tätig ist, zeigen, dass der Kooperationsmechanismus nach Kapitel 7 der DSVGO im Grunde dysfunktional wird, wenn die involvierten Datenschutzbehörden nicht rasch und effizient zusammenarbeiten", so Schrems. "Die DSGVO ist nur so stark wie ihre schwächste Datenschutzbehörde", fügte er mit Blick auf die DPC hinzu und verwies darauf, dass Google nach der französischen Strafe versucht habe, den Gerichtsstand nach Irland zu verlegen.
Die auch mit dem englischen Akronym GDPR bekannte EU-Datenschutzgrundverordnung ist seit dem 25. Mai 2018 in Kraft und macht Unternehmen und Organisationen europaweit gültige Vorgaben für die Speicherung von Daten. Kunden und Nutzer bekommen damit mehr Möglichkeiten, gegen Missbrauch vorzugehen. Die DSGVO ist seit ihrem Inkrafttreten Kritik von verschiedenen Seiten ausgesetzt. Während Unternehmen den großen Aufwand kritisieren, den sie mit der Einhaltung der neuen Regeln haben, sehen Datenschützer diese als zahnlos an. In Österreich war etwa auch umstritten, dass der öffentliche Sektor von Strafen nach der DSGVO ausgenommen wurde.