Unterfinanziert und unterbesetzt: Datenschutzbehörden am Ende?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Unterfinanziert und unterbesetzt: Datenschutzbehörden am Ende?

Unterfinanziert und unterbesetzt: Datenschutzbehörden am Ende?

Damit sich die DSGVO nicht als zahnloser Tiger erweist, bedarf es eifriger Behörden, die nicht vor der Durchsetzung geltenden Datenschutzrechts zurückschrecken. In fast allen Mitgliedsstaaten der EU fehlen hierzu die dringend benötigten Ressourcen – Wieso? Staatsversagen. Um die Europäische Kommission zum Handeln zu bewegen, hat das Unternehmen Brave kürzlich Beschwerde eingelegt.

Ganz schön mutig – Brave eben

Was das Unternehmen Brave Software Inc. nach herausfand, dürfte bei Datenschützern für Grauen und Entsetzen sorgen: Fast alle Mitgliedsstaaten der EU lassen ihre Datenschutzaufsichtsbehörden im Stich.

Bei Brave handelt es sich um den Betreiber eines quelloffenen Webbrowsers, der sich dem Datenschutz verschrieben hat. Erst eineinhalb Monate ist es her, da beschwerte es sich über Google. Mit seinem vor kurzem veröffentlichten Bericht holt Brave zum Rundumschlag gegen untätige, die Datenschutzaufsicht vernachlässigende Mitgliedsstaaten aus. Darin legt Dr. Johnny Ryan, Braves Chief Policy & Industry Relations Officer, anhand vieler Diagramme anschaulich dar, dass die EU-Mitgliedsstaaten ihre Aufsichtsbehörden nicht angemessen mit finanziellen und personellen Ressourcen versorgen. Einzige Ausnahme – Deutschland!

Doch damit nicht genug: Dr. Ryan hat am 27. April 2020 eine Beschwerde bei der Europäischen Kommission eingelegt und von dieser gefordert, ein Vertragsverletzungsverfahren gegen 26 Mitgliedsstaaten einzuleiten. Hut ab!

Kein Land in Sicht

Land unter – EU-weit sind Datenschutzbehörden überfordert, ihnen fehlen die Mittel. Während sich Deutschland wacker hält, scheint Irland längst untergegangen zu sein:

Jede Menge Arbeit

Dass den Datenschutzaufsichtsbehörden seit Einführung der DSGVO nicht langweilig ist, dürfte bekannt sein. Angesichts explosionsartig gestiegener Meldungen von Datenschutzverletzungen seit Mai 2018 ist es nicht verwunderlich, dass die deutschen Aufsichtsbehörden gut zu tun haben. Wenn das Behördenleben schon hierzulande leicht chaotische Züge angenommen hat, wie leiden dann erst die weniger gut ausgestattete Aufsichtsbehörden in anderen EU-Staaten?

Gut Ding will Weile haben

Dass die Mühlen der Justiz zwar nur langsam, dafür aber stetig mahlen, ist bekannt. Diese Redewendung ließe sich jedoch auch sehr gut auf Datenschutzaufsichtsbehörden beziehen – zumindest, solange es sich nicht um die irische Aufsichtsbehörde handelt.

Während überall in der EU kleinere Unternehmen penibel auf die Einhaltung geltenden Datenschutzrechts überprüft werden, verschließt man die Augen vor den offensichtlichen Datenkraken Facebook, Google und Co. Ein Schelm, wer Böses dabei denkt.

Irlands Datenschutzbeauftragte Helen Dixon sieht das natürlich ganz anders. In Sachen Twitter, Facebook etc. werde noch entschieden. Ihr Büro sei vollends beschäftigt mit mehr als 12.000 Datenschutzbeschwerden seit 2018, die allesamt abgearbeitet werden müssten. Es gäbe keinen Zweifel, Bußgelder würden ausgesprochen.

Wann damit zu rechnen ist? Vermutlich am Sankt-Nimmerleins-Tag, denn während laut Brave-Bericht die Anzahl der Beschwerden täglich steigt, wird bei Budget und Personal abgebaut!

Helen Dixon verweist auf das erfolgreiche Einschreiten der irischen Aufsicht gegenüber Facebook, als diese eine eigene Dating-App einführen wollte. Hierzu betont sie:

“There are lots of different ways to go about creating a positive effect. Not all of them cater around fines and the superficial commentary we sometimes see.“

Das mag sein. Aber so ein schönes, deftiges Bußgeld gegen eine der Datenkraken wäre doch auch mal nicht schlecht, oder?

Datenschutzaufsicht? Läuft…

…zwar bergab, aber es läuft! So ließe sich die aktuelle Situation vieler Aufsichtsbehörden zusammenfassen. Es fehlt an finanziellen Mitteln, an Personal, an Fachkompetenz – tja, eigentlich an allem. Leidtragende ist die DSGVO. Wird die Einhaltung des Datenschutzrechts nicht angemessen überprüft, dann verkommt die Verordnung zu einem Stück EU-Nostalgie, dem keiner mehr Beachtung schenkt. Dr. Johnny Ryan trifft hierzu eine interessante Aussage:

 „If you don’t have strong, robust enforcement and investment, this law is a fantasy. We have failed to realise the potential of GDPR thus far.“

Den schwarzen Peter schiebt Dr. Ryan allerdings nicht den Aufsichtsbehörden zu:

„If the GDPR is at risk of failing, the fault lies with national governments, not with the data protection authorities.“

Klare Worte

Damit dürfte Dr. Ryan wohl Recht haben, denn die DSGVO gibt klar und deutlich vor, was Sache ist. In Art. 52 Abs. 4 DSGVO heißt es:

„Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.“

Das Erfordernis der Einleitung eines Vertragsverletzungsverfahrens durch die Kommission gemäß Art. 258 AEUV begründet Dr. Ryan auch mit Verweis auf Art. 16 Abs. 2 S. 2 AEUV und Art. 8 Abs. 3 GrCH. Diese Normen verpflichten die Mitgliedsstaaten dazu, unabhängige Stellen zu gründen, die die Einhaltung geltenden Datenschutzrechts überprüfen.

Es ist nur eine Seite der Medaille eine Aufsichtsbehörde zu errichten – ohne ausreichende Ressourcen kann keine Kontrolle erfolgen. Grund genug, die seitens Brave angemahnten Mängel einmal näher zu betrachten.

Ohne Moos nix los

Ein Verstoß gegen Art. 52 Abs. 4 DSGVO liege gemäß Dr. Ryan darin, dass die Aufsichtsbehörden in 26 EU-Mitgliedsstaaten unterfinanziert seien.

Am besten lässt sich das am Beispiel Luxemburgs veranschaulichen. Es liegt in der Verantwortung der luxemburgischen Aufsicht, die Umsetzung des Datenschutzrechts bei Amazon EU S.à.r.l. zu überwachen. Dabei betrug das Budget der Luxemburger Datenschützer 2019 ca. 5,7 Millionen Euro. Für Amazon muss diese Summe geradezu lächerlich wirken – ist das doch ungefähr der Betrag, den Amazon alle zehn Minuten durch Verkäufe einnimmt!

Die Datenschutzaufsichtsbehörden der Hälfte aller Mitgliedsstaaten müssen mit weniger als fünf Millionen Euro jährlich zurechtkommen, lediglich in drei Staaten (Deutschland, Italien, Vereinigtes Königreich) stehen mehr als 25 Millionen Euro jährlich zur Verfügung. Zum Vergleich: Laut Brave-Bericht erhalten Deutschlands Aufsichtsbehörden zwischen 80 und 90 Millionen Euro pro Jahr!

Am Personal gespart

Laut Dr. Ryan fehle es zudem hinten und vorne an Personal, insbesondere an solchem, das über notwendiges IT-Fachwissen verfüge. Um im Bereich des Datenschutzes komplizierte IT-Fragen beantworten sowie Big Tech-Unternehmen prüfen zu können, bedarf es darauf spezialisierter Mitarbeiter. Wo er Recht hat, hat er Recht: Datenschutz und IT gehen miteinander Hand in Hand. Es reicht nicht, den Datenschutz lediglich von seiner rechtlichen Seite aus zu betrachten!

IT-Spezialisten sind in den Aufsichtsbehörden der EU-Mitgliedsstaaten größtenteils Mangelware. Lediglich in fünf Mitgliedsstaaten (sechs, wenn man Großbritannien dazu zählt) seien mehr als zehn IT-Spezialisten in Datenschutzaufsichtsbehörden beschäftigt. Über die Hälfte aller Mitgliedsstaaten statten ihre Aufsichtsbehörden insgesamt nur mit maximal fünf davon aus. Sieben Staaten beschäftigen nur einen oder zwei IT-Spezialisten.

Bei den Österreichern (0) und Belgiern (5), sowie in Zypern (2) und Lettland (1) sind die Zahlen deshalb so gering, weil diese Länder externe IT-Berater einsetzen.

Erstaunlich sind die Zahlen aus Deutschland: Auf Bundes- und Länderebene werden insgesamt 29 Prozent des EU-weit vorhandenen IT-Aufsichtsbehördenpersonals beschäftigt (über 100). Kein Wunder, dass Dr. Ryan Deutschland von seiner Beschwerde ausgenommen hat!

In den nationalen Datenschutzbehörden innerhalb der EU arbeiten 3520 Menschen. Davon sind lediglich 8,6 Prozent IT-Spezialisten. Nach Ansicht Dr. Ryans verzögere dies Untersuchungen, manchmal verhindere es sie auch. In Sachen Digitalisierung scheint die EU der Privatwirtschaft ja nicht nur hinterherzuhängen, man ist vollkommen weg vom Fenster!

Keine Chance

Letztlich haben die zu kontrollierenden, häufig multinationalen Konzerne auch einfach die besseren Karten – der Kampf gegen die großen Datenkraken unserer Zeit entspricht dem des David gegen Goliath mit umgekehrtem Ausgang.

Facebook, Google und Co. beschäftigen Heerscharen von Juristinnen und Juristen. Verständlich, dass der Einzelkämpfer in der Behörde dagegen kaum ankommt. Wie denn auch, finanziell unbewaffnet? In vielen Fällen trauen sich die Aufsichtsbehörden schon gar nicht an Big Tech-Unternehmen heran, aus Angst, ihre Maßnahmen würden angefochten. Sich ewig hinziehende Briefwechsel, lang andauernde Gerichtsverfahren – das geht ins Geld. Für die Datenkraken sind das nur Peanuts, die Behörde jedoch hat lediglich ein begrenztes Budget.

Noch dazu gehören die bei Datenschutzaufsichtsbehörden tätigen Verwaltungsjuristen nicht gerade zu den Topverdienern der juristischen Welt – über deren Gehälter können die Global Player nur lachen. Gutes Personal ist nun mal nicht billig.

Katastrophe vorprogrammiert

Wo soll das nur alles hinführen? Wenn ein Großteil der Aufsichtsbehörden in den EU-Mitgliedsstaaten angesichts fehlender finanzieller sowie personeller Mittel im Sumpf abertausender Beschwerden versinkt, wird daran die DSGVO zugrunde gehen. Bleiben Behörden untätig, haben Datenkraken, Big Data und Überwachungsstaaten freie Hand: Das Datenschutzrecht ist dann nicht mehr wert als das Papier, auf dem es steht.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Unterfinanziert und unterbesetzt: Datenschutzbehörden am Ende?.