Datenschutz: Knappe Ressourcen könnten Kontrolle über Big Tech gefährden

Die europäischen Datenschutzbehörden haben in einem von EURACTIV exklusiv eingesehenen Schreiben das EU-Parlament und den Rat aufgefordert, im nächstjährigen Haushalt mehr finanzielle Mittel bereitzustellen, andernfalls drohe ein Vertrauensverlust in die EU-Datenschutzvorschriften.

Der Brief wurde von Andrea Jelinek, der Vorsitzenden des Europäischen Datenschutzausschusses, der die Datenschutzbehörden der EU vereint, und dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski unterzeichnet, der für die Überwachung der Verarbeitung personenbezogener Daten durch die EU-Institutionen zuständig ist.

Das Schreiben wurde an die EU-Parlamentspräsidentin Roberta Metsola und an Edita Hrdá, die ständige Vertreterin Tschechiens, das derzeit den rotierenden EU-Ratsvorsitz innehat, gerichtet. Die EU-Gesetzgeber sind derzeit mit den Beratungen über den Haushalt 2023 beschäftigt.

„Wir sind zutiefst besorgt, dass dieses Budget, wenn es nicht wesentlich erhöht wird, deutlich zu niedrig wäre, um es dem Europäischen Datenschutzausschuss und dem Europäischen Datenschutzbeauftragten zu ermöglichen, ihre Aufgaben angemessen zu erfüllen“, heißt es in dem Dokument.

Die EU-Institutionen stehen seit langem unter dem Druck, ihre Kosten zu senken. Im vorherigen Finanzzeitraum (2014-2020) mussten die EU-Institutionen ihre Kosten um fünf Prozent senken. In der laufenden Periode (2021-2027) sollen sie mit immer mehr Kompetenzen ihre Kosten stabil halten.

Die Haushaltsberatungen sind in diesem Jahr besonders herausfordernd, da die steigende Inflation die Institutionen gezwungen hat, ihre Gehälter automatisch an die Lebenshaltungskosten anzupassen.

Im Juli berichtete EURACTIV, wie eine solche Gehaltsindexierung zu erheblichen Unterbrechungen und Entlassungen innerhalb der Kommission führt.

Der Europäische Datenschutzbeauftragte stellt die Sekretariatsdienste für den Datenschutzausschuss zur Verfügung, der wiederum die grundlegende Aufgabe hat, die Durchsetzung der EU-Datenschutzverordnung in grenzüberschreitenden Fällen über den sogenannten One-Stop-Shop-Mechanismus zu koordinieren.

Der Grundgedanke ist, dass rechtmäßig niedergelassene Organisationen in der EU nur einer einzigen Datenschutzbehörde Rechenschaft ablegen müssen, nämlich derjenigen, in der sie ihren Hauptsitz haben.

Dieser Grundsatz des Niederlassungslandes hat mehrere Befürworter des Datenschutzes dazu veranlasst, tatsächliche oder vermeintliche Engpässe bei der Durchsetzung der Datenschutz-Grundverordnung zu kritisieren.

Am bekanntesten ist Irland, das dafür kritisiert wurde, dass es die große Mehrheit seiner anhängigen Fälle nicht bearbeitet hat. Die irische Datenschutzkommission konterte diese Kritik häufig mit dem Hinweis auf den Mangel an ausreichenden Ressourcen zur Bewältigung des enormen Arbeitsaufkommens.

Einige prominente Fälle, die sich auf mehrere Länder auswirken, haben jedoch den Ausschuss durchlaufen, wo weitere Regulierungsbehörden mitwirken und zur endgültigen Entscheidung beitragen können.

Dieser Streitbeilegungsmechanismus wird zunehmend genutzt, wobei die jüngste Entscheidung erst letzte Woche zu einer massiven Geldstrafe von 405 Millionen Euro gegen Instagram geführt hat.

Doch während die Arbeit der Datenschutzbehörden auf nationaler Ebene unter systematischer Unterfinanzierung leidet, könnte das Gleiche in Brüssel der Fall sein, wo der Ausschuss das Tempo zu erhöhen scheint.

Insbesondere wenn der Ausschuss nicht innerhalb von zwei Monaten zu einer Einigung kommt, zählt nur die Entscheidung der federführenden Behörde. Mit anderen Worten: Diese komplexen Entscheidungen sind das Ergebnis arbeitsintensiver und zeitkritischer Verfahren.

Vorschläge für 2023

Für den Haushalt 2023 hat der Datenschutzbeauftragte zwei Vorschläge gemacht, von denen der vorsichtigere acht zusätzliche Mitarbeiter für das Sekretariat des Ausschusses und acht für die EU-Behörde selbst vorsieht. Für die Regulierungsbehörden sind dies die minimalen Ressourcen, die sie benötigen, um ihre Arbeit fortzusetzen.

„Die Erwartungen der Gesellschaft an die Datenschutz-Grundverordnung sind hoch, insbesondere im Hinblick auf ihre Durchsetzung gegenüber Big-Tech-Unternehmen. Das Ausschusssekretariat ist jedoch derzeit personell unterbesetzt und läuft Gefahr, seine gesetzlichen Aufgaben im Dienste des Ausschusses und der Datenschutz-Grundverordnung nicht mehr erfüllen zu können“, heißt es in dem Schreiben weiter.

Die Behörden warnten, dass bei unzureichender Personalausstattung die Datenschutzrechte der Bürger gefährdet und die Glaubwürdigkeit des EU-Datenschutzrechts untergraben würde.

In Bezug auf die Glaubwürdigkeit erwähnen die Aufsichtsbehörden auch, dass eine zunehmende Zahl von öffentlichkeitswirksamen Fällen zu hohen Geldstrafen führt und damit die Wahrscheinlichkeit steigt, dass die Entscheidungen vor Gericht angefochten werden.

„Die Entscheidungen des Ausschusses für die Verarbeitung personenbezogener Daten müssen daher sehr hohen Qualitätsstandards genügen und der gerichtlichen Anfechtung durch Tech-Unternehmen standhalten können.

Außerdem ist der Ausschuss dafür zuständig, die Durchsetzung der Datenschutzvorschriften auf nationaler Ebene durch die Bereitstellung von Leitlinien zu vereinfachen. Wenn er diese Arbeit vernachlässigt, könnte dies zu einer uneinheitlichen und unvorhersehbaren Durchsetzung der Datenschutzvorschriften führen.

Erschwerend kommt hinzu, dass den Regulierungsbehörden mehr Aufgaben übertragen werden, da die Zahl der EU-Agenturen von vier auf zwölf im nächsten Jahr ansteigt und ihre Datenverarbeitungspraktiken immer ausgefeilter werden.

„Die Grundrechte sind keine Selbstverständlichkeit und erfordern angemessene personelle und finanzielle Ressourcen, um ihren Schutz zu gewährleisten. Als Datenschutzbehörden sind wir verpflichtet, uns für die Interessen des Einzelnen einzusetzen, und wir hoffen, dass auch Sie dieses Engagement teilen“, heißt es in dem Schreiben abschließend.

[Bearbeitet von Zoran Radosavljevic]