Ein BigBrotherAward 2022 geht an die irische Datenschutzaufsicht, kurz DPC (Data Protection Commission), vertreten durch ihre Chefin Helen Dixon, für ihre umfassende Sabotage des europäischen Datenschutzrechts. Und weil die irische Datenschutzaufsicht das so planvoll, seit so vielen Jahren und mit solch kafkaesker Phantasie betreibt, reicht dafür die Kategorie „Behörden und Verwaltung“ nicht aus. Dafür gibt es den Preis fürs Lebenswerk.
Die irische Datenschutzaufsicht verhindert, dass geltendes Recht durchgesetzt wird – durch jahrelanges Verschleppen, de facto Nicht-Bearbeiten von Beschwerden, bürokratische Winkelzüge, abschreckende Kosten für Beschwerdeführer und mangelnde Kooperation mit den europäischen Kolleginnen und Kollegen. Behördenchefin Helen Dixon agiert erratisch und reagiert allergisch auf Kritik. Ihre Behörde lässt das europäische Datenschutzrecht ins Leere laufen – und das ausgerechnet gegenüber denen, die harte Kontrolle nötig hätten: Google, Facebook, Apple, Microsoft & Co.
Arbeitsverweigerung
Die Arbeitsverweigerung der irischen Datenschutzaufsicht betrifft dabei nicht nur Menschen, die in Irland leben, sondern sie gefährdet die Persönlichkeitsrechte von 450 Millionen EU-Bürgerinnen und Bürgern.
Rückblende: Mai 2018 – die europäische Datenschutzgrundverordnung tritt in Kraft. Sie stellt klar: 1. Egal, aus welchem Land ein Unternehmen kommt – sobald es persönliche Daten von EU-Bürger.innen verarbeitet, muss es sich an die in der EU geltenden Datenschutzregeln halten. Das ist das „Marktortprinzip“. 2. Bei Datenschutzvergehen drohen nun endlich empfindliche Bußgelder. „Empfindlich“ heißt: bis zu 4 % des weltweit erzielten Jahresumsatzes. Damit wurde Datenschutz bei den Konzernen zur Chefsache. Yay!
Doch leider haben wir uns zu früh gefreut: Denn ein europäisches Gesetz zu machen reicht nicht – seine Einhaltung muss auch in allen EU-Staaten durchgesetzt werden. Und da gibt es ein Problem. Es heißt: Irland.
Weshalb?
Jedes Unternehmen muss eine federführende Datenschutzaufsichtsbehörde festlegen, und zwar in dem Land, in dem das Unternehmen seine Hauptniederlassung in der EU hat. Diese federführende Aufsichtsbehörde ist fürderhin die Hauptansprechadresse für alle Beschwerden gegen dieses Unternehmen. Wenn sich Bürger.innen oder Organisationen über die Datenverarbeitung einer Firma beschweren wollen, tun sie das bei der Datenschutzaufsicht in ihrem eigenen Land. Diese leitet die Beschwerde dann an die zuständige Datenschutzaufsicht am Hauptsitz des beklagten Unternehmens weiter. Die Regelung, dass die Datenschutzaufsicht eines Unternehmens jeweils in den Händen nur eines EU-Landes liegt, heißt „One-Stop-Shop“.
Das klingt erst einmal praktisch – da wird Kompetenz gebündelt und die Aufsichtsbehörde kennt ihre Pappenheimer vor Ort und muss sich nicht bei jeder Beschwerde neu einarbeiten.
Doch es gibt einen Haken: Die großen Digitalkonzerne mit ihren immateriellen Geschäften können ihren „Hauptsitz“ relativ flexibel handhaben. Entsprechend suchen sie sich eine ihnen genehme Datenschutzaufsicht und eröffnen dann dort ihren vorgeblichen Hauptsitz.
Hier fällt eine gewissen Ballung ins Auge – Irland: Home of Google, Apple, Facebook und WhatsApp, Microsoft und LinkedIn, Adobe, Tiktok, Airbnb, Tinder, Twitter, Dropbox, Yahoo und so weiter.
Tja, was könnte wohl die Ortswahl der Digitalkonzerne beeinflussen?
Das grüne Gras, die weiten Wiesen, das dunkle Bier, … oder liegt es ganz vielleicht doch an den Eigenheiten der Datenschutzaufsicht in Irland?
Schauen wir uns das mal genauer an:
Welche Bedeutung Irland dem Datenschutz gibt, das dokumentiert eindrucksvoll das Dienstgebäude der irischen Datenschutzaufsicht: Ein Büro im ersten Stock über einem kleinen Supermarkt in der Kleinstadt Portarlington – mehr als 70 Kilometer südwestlich von Dublin, jott we de. Das Foto der Datenschutzbehörde mit Supermarkt belustigt seit vielen Jahren die Presse in ganz Europa. Ja, inzwischen ist der Centra Supermarkt einem Spar gewichen und es ist immerhin einmal neu gestrichen worden.
2017 wurde ein zusätzlicher Behördensitz ganz repräsentativ mitten in der Hauptstadt Dublin eröffnet. Keineswegs aber, um der gestiegenen Bedeutung des Datenschutzes in Europa gerecht zu werden, sondern – Zitat eines Sprechers der Behörde – „um besseren Kontakt zu den multi-nationalen Unternehmen zu halten, die sich in Dublin angesiedelt haben“(!).1
Kreative Behörde
Die irische Datenschutzaufsicht gibt sich jede erdenkliche Mühe, das von Big Tech in sie gesetzte Vertrauen nicht zu enttäuschen. Und dafür lassen sie sich ganz schön viel einfallen:
Wichtigste Taktik: Beschwerden gegen die großen Digitalkonzerne einfach liegen lassen.
Fälle schlicht nicht bearbeiten.
Ein paar Zahlen zur Illustration: Seit Geltungsbeginn der DSGVO im Mai 2018 hat Ulrich Kelber, der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), etwa 50 Verfahren zuständigkeitshalber an die irische Datenschutzaufsicht abgegeben – überwiegend Verfahren gegen WhatsApp. Von diesen 50 Verfahren ist nicht eines durch eine inhaltliche Entscheidung abgeschlossen worden.
Laut Gesetz müssen Beschwerden „unverzüglich“ bearbeitet werden. Die irische Datenschutzaufsicht argumentiert gerade vor dem irischen High Court, dass vier Jahre Bearbeitungszeit immer noch „unverzüglich“ seien …
Den enormen Rückstau bei der Bearbeitung der Beschwerden erklärt die irische Datenschutzaufsicht damit, dass sie zu wenig Geld und zu wenig Personal hätte.
Doch die Behörden großer Mitgliedsstaaten wie Spanien oder Frankreich verfügen über ähnliche Budgets wie das kleine Irland. Die spanische Datenschutzaufsicht hat etwa das gleiche Budget und haut mehrere Entscheidungen pro Tag raus – die Iren schaffen nur ein paar pro Jahr. Es liegt also nicht am Geld, sondern an der Effizienz. Die Mitarbeiterzahl ist in Irland inzwischen von rund 30 (im Jahr 2014) auf 195 (im Jahr 2021) aufgestockt worden – leider ohne dass das die Arbeitsergebnisse verbessert hätte. Die Aufsichtsbehörden anderer Länder, u.a. Deutschland, haben den irischen Kolleg.innen schon vor Jahren Hilfe bei der Bearbeitung der Fälle angeboten. Doch Helen Dixon hat alle Hilfsangebote ausgeschlagen.
Zweite Taktik: Statistik-Bullshit verbreiten.
Viel Energie der Behörde wird offenbar in Public Relations und hübsch gestaltete Tätigkeitsberichte gesteckt, um das Nichtstun gut aussehen zu lassen. Im Tätigkeitsbericht für das Jahr 20212 steht, dass 626 von 969 grenzüberschreitenden Beschwerden, die seit Mai 2018 eingegangen seien, abgeschlossen wurden3 Aber Moment mal: Was bedeutet „abgeschlossen“? Offenbar nicht, dass die Fälle bearbeitet und entschieden wurden.
Ein weiterer Fall von Zahlen-Kosmetik: Zuvor hatte die irische Datenschutzaufsicht rund 10.000 „cases“ (Fälle) pro Jahr auf dem Tisch. Doch im Tätigkeitsbericht 2021 gibt es plötzlich nur noch rund 3.400 „complaints“ (Beschwerden), dazu aber rund 7.500 „inquiries“ (Anfragen). Der Trick: Alles, was bei der Einreichung nicht explizit „Beschwerde“ genannt wurde, fällt unter „Anfragen“. Anfragen landen im Papierkorb. Auch das ist natürlich eine Art, „sich damit befassen“ und „abzuschließen“: Ablage P. Erledigung durch Umbenennung.
Taktik Nummer drei: Ausschluss der Beschwerdeführer.innen vom Verfahren.
Dafür gibt es eine ganze Reihe von Tricks, zum Beispiel:
-
a) Die Erpressungs-Methode:
Die Behörde fordert vom Kläger die Unterzeichnung einer Verschwiegenheitserklärung (englisch „Non Disclosure Agreement“, kurz NDA). Das heißt, er müsste Stillschweigen über die Verhandlung, die Verhandlungsergebnisse und die dort vorgelegten Informationen wahren. So geschehen mit Johnny Ryan vom Irish Council for Civil Liberties bei seiner Klage gegen Googles Real Time Bidding Werbeauktionen. So geschehen mit Max Schrems von noyb („none of your business“) bei seiner Klage gegen Facebook. Damit will die irische Datenschutzaufsicht dafür sorgen, dass alles hübsch intern und unterm Deckel gehalten wird. So etwas kann eine klagende Verbraucher- und Bürgerrechtsorganisation einfach nicht unterschreiben! Nach Nichtunterzeichnung wurde Max Schrems von seinem eigenen Verfahren ausgeschlossen. Was allen EU-Grundrechten widerspricht. -
b) Die Umgehungsmethode:
Die irische Behörde leitet ein paralleles „amtsseitiges Verfahren“ zum selben Thema wie eine Beschwerde ein. Fortan wird nur noch dieses amtsseitige Verfahren bearbeitet – und solange lässt sie das Verfahren des Beschwerdeführers ruhen. Nach der Entscheidung des amtsseitigen Verfahrens wird dann das andere beendet, denn das Thema ist ja jetzt erledigt! Chapeau – eine wirklich elegante Art, die Bürger.innen von ihren eigenen Verfahren auszuschließen. -
c) Die „Klag-doch-wenn-du-es-dir-leisten-kannst“-Methode:
Bei Untätigkeit der irischen Datenschutzbehörde den Rechtsweg einzuschlagen und zu klagen, ist eine so teure Angelegenheit, dass sie für Privatleute quasi nicht in Frage kommt. Dazu trägt u.a die irische Regel bei, dass jedes Gesetz, auf das man sich bezieht, nicht nur als „nach Paragraph xy“ benannt werden, sondern vor Gericht vorgelesen werden muss. Das dauert nicht nur lang – sondern wird bei den bis zu 1000 Euro, die Anwaltskanzleien pro Stunde kassieren, auch sehr, sehr teuer für die Klagenden. Ein Beispiel: Im „Privacy Shield“-Fall („Schrems II“) ging es um die Datenübermittlung von Facebook in die USA. Bei dem Fall gab es drei Parteien (Facebook, die Irische Datenschutzaufsicht und Max Schrems). Wer verliert, muss die Kosten von allen drei Parteien zahlen – die beliefen sich in diesem Fall auf insgesamt rund 10 Millionen Euro (!). Was für ein Glück, dass Max Schrems gewonnen und die Datenschutzbehörde verloren hat.
Soviel zur Kreativität der irischen Behörde – nun zu den Kopfnoten
Mangelnde Kollegialität, kein europäischer Geist, Geheimniskrämerei:
Zu all dem passt, wie Behördenchefin Dixon agiert. Sie nimmt an fast keiner gemeinsamen Sitzung der europäischen Datenschutzbeauftragten teil. Sie schickt meist einen Stellvertreter, der dann aber nichts sagen kann oder darf. Die Kommunikation auf der Leitungsebene ist damit schon mal tot. Das setzt sich auf der Sachbearbeitungsebene fort: Anfragen per E-Mail von deutschen oder österreichischen Kolleg.innen werden oft nicht beantwortet, Telefonanrufe nicht angenommen. Mitarbeiter.innen von anderen Datenschutzbehörden werden von den Iren gern „geghostet“, also komplett ignoriert, Akten nicht an die europäischen Kolleg.innen übermittelt. Die irische Behörde wirkt wie ein „schwarzes Loch“, in dem alles verschwindet.
Ihre Arbeitsverweigerung hat aber eben nicht nur für Menschen in Irland Folgen, sondern für 450 Millionen Menschen in der EU, deren Rechte von den großen Digitalkonzernen mit Füßen getreten werden. Das Gebaren der irischen Datenschutzaufsicht führt dazu, dass europaweit kleine und mittelständische Firmen bei Datenschutzvergehen von ihrer nationalen Aufsichtsbehörde sanktioniert werden; die großen Digitalkonzerne aber zeigen uns allen eine lange Nase: „Ätsch – beschwert euch doch – wir sind in Irland.“
Nun fragen wir uns: Warum tun die das?!
Durch all diese Winkelzüge und miesen Tricks macht die irische Datenschutzbehörde Irland zum Datenschutz-Freihafen, zum Schlupfloch für Verbrecher, zum Reservat für Datenkraken. All das fügt sich bestens in einen anderen Teil des inselgrünen Ökosystems ein:
Die Steueroase
Sie denken bei Steueroasen an die Cayman Inseln oder die Bahamas? Lenken Sie lieber Ihren Blick auf Irland. Offiziell gelten in Irland 12,5 % Unternehmenssteuern. Doch Irland hat es einigen ausländischen Konzernen ermöglicht, die effektiven Unternehmenssteuern für ihre globalen Gewinne auf 0 bis 2,5 % zu drücken. Die Steuertricks haben so phantasievolle Namen wie „Double Irish“, „Double Irish with a Dutch sandwich“ oder „Single Malt“. Über Irlands Steuersparmodelle werden mehr Gelder der Steuer (und damit der Allgemeinheit) entzogen, als in der gesamten Karibik.4
Gesetzlosigkeit als Geschäftsprinzip?
Für Irland sind das lukrative Geschäfte. Es profitiert davon, dass es den Big Tech Konzernen ermöglicht, ihren Überwachungskapitalismus ohne Rücksicht auf Bürgerrechte durchzuziehen. Also persönliche Daten zu sammeln, zu Profilen zu verknüpfen, Kategorien zu bilden, Menschen zu manipulieren und ihnen durch den Verkauf von Prognosen viel Handlungsfreiheit für die Zukunft zu nehmen. Irland lebt von den Brosamen von Big Tech. Und es lebt gut davon, denn auch nur 2,5 % des globalen Umsatzes von Apple ist schon eine verdammt große Menge Geld.
Wir alle zahlen dafür mit unserer Freiheit.
Doch dieses Geschäftsgebaren hat eine Kehrseite: Irland ist extrem abhängig von den Tech-Konzernen. Ein paar Zahlen:
-
2016–17 haben ausländische Firmen 80 % der irischen Unternehmenssteuern gezahlt.
-
25 der Top-50-Unternehmen in Irland sind US-kontrolliert.
-
2018 machte Apple alleine ein Fünftel des irischen Bruttoinlandsproduktes aus.5
Ein Abgeordneter des irischen Parlaments, der 2017 auf das schändliche Treiben der Konzerne mit dem Steuervermeidungsmodell „Single Malt“ hinwies, bekam vom irischen Finanzminister den guten Rat „to put on the green jersey“ (das grüne Trikot anziehen) – mit anderen Worten: Zum Wohle Irlands die Klappe halten.6 Der Finanzminister machte sich also keine Sorgen wegen des Steuerbetrugs, sondern mehr wegen Irlands Reputation.
2023 kommt die globale Mindeststeuer von 15 % – und eine Digitalsteuer. Werden die Digitalkonzerne Irland verlassen, wenn der Steuervorteil versiegt ist? Oder reicht es ihnen, wenn auf der grünen Insel die Durchsetzung des Datenschutzes blockiert wird?
Darauf hofft offenbar der irische Premierminister Micheál Martin. Er lobte im Februar 2022 ausdrücklich „Ms. Dixons Kompetenz und Fähigkeiten“ und forderte, dass Irland die Arbeit ihrer Datenschutzbehörde „robuster gegen Kritik verteidigen“ solle.7
Wie lange wollen wir das noch zulassen?
Leider ist das grüne Trikot offenbar auch bei denen beliebt, die die Einhaltung der europäischen Gesetze durchsetzen sollen. Es wäre nämlich die Aufgabe der Europäischen Kommission – genau gesagt: der Generaldirektion Justiz und Verbraucher – die irische Datenschutzaufsicht wirksam auf Vollzug des europäischen Datenschutzrechts zu kontrollieren. Tut sie aber leider seit Jahren nicht. Team Irland. Seriously?
Doch Obacht: Allmählich braut sich etwas zusammen in Europa. Denn irgendwann reicht es auch hier den diplomatischsten, freundlichsten und geduldigsten Datenschützer.innen und Politiker.innen.
Im Januar 2021 beantragt der LIBE-Ausschuss des Europäischen Parlaments (das ist der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres), ein EU-Vertragsverletzungsverfahren gegen Irland einzuleiten, weil Irland die europäische Datenschutzgrundverordnung nicht ordnungsgemäß durchsetzt.8
Auftritt Helen Dixon: Sie fordert, dass sie dazu im LIBE-Ausschuss angehört wird. Der LIBE-Ausschuss setzt tatsächlich eine Anhörung für den 17. März 2021 an. Nun will Dixon sogar das Verfahren vor dem europäischen Parlament bestimmen – und nicht kommen, wenn auch Kritiker wie Max Schrems geladen werden. Damit allerdings blitzt sie bei den EU-Parlamentariern ab – der Ausschuss für bürgerliche Freiheiten lässt sich das Procedere seiner Anhörungen nicht diktieren. Daraufhin erscheint Helen Dixon nicht zu der Anhörung, die sie selbst verlangt hat. Großes Kino.
Kein Wunder, dass selbst in Irland manche mittlerweile Rot sehen. Wie der Justizausschuss des irischen Parlaments, der im Juli 2021 eine grundlegende Reform der irischen Datenschutzaufsicht gefordert hat. Wobei auch dieser Schritt zur Einsicht wohl nicht passiert wäre, ohne die Initiative und das Engagement von Bürgerrechtsorganisationen, die unsere Rechte gegenüber den Digitalkonzernen durchzusetzen versuchen. Unser Dank gilt beharrlichen Menschen wie Max Schrems von noyb und Johnny Ryan vom Irish Council for Civil Liberties (ICCL).
Im März 2022 hat der High Court, der höchste Gerichtshof in Irland, die Klage des ICCL gegen die irische Datenschutzaufsicht wegen Untätigkeit zugelassen. Dixons Behörde hatte die Beschwerde des ICCL wegen Googles Werbeauktionen – das sogenannte Real Time Bidding – vier Jahre lang nicht bearbeitet. Stichwort: „unverzügliche Erledigung“ … Zum Thema Googles Real Time Bidding empfehle ich meine Laudatio zum BigBrotherAwards für Google von 2021. :)
Das ICCL hat außerdem die EU-Kommission aufgefordert, ein Vertragsverletzungsverfahren einzuleiten. Im Februar 2022 reicht EU-Ombudsfrau Emily O’Reilly die Beschwerde wegen Untätigkeit der irischen Datenschutzbehörde an Ursula von der Leyen weiter und fordert Antwort bis 15. Mai 2022. Ausgang offen.
Was ist zu tun?
1. Das One-Stop-Shop-System ist offenbar dysfunktional und sollte grundlegend reformiert werden.9 Wenn ein einzelnes Land aus Eigennutz die Durchsetzung der Datenschutzgrundverordnung blockieren kann, dann ist das ein struktureller Fehler.
2. Sidestepping: Datenschutzbeschwerden einfach nicht mehr nach Irland weitergeben, sondern sich selbst für zuständig erklären und entscheiden. Einige EU-Länder, z.B. Frankreich, praktizieren das bereits hier und da. Betroffene werden auch zu Gerichten gehen statt zu Datenschutzbehören, auch wenn das viel kosten kann.
3. Ein einheitliches europäisches Verfahrensrecht für grenzüberschreitende Datenschutzfälle einführen, das Fristen für die Bearbeitung und so weiter verbindlich festlegt .
4. Oder eine kompetente europäische Institution bestimmen, die die großen grenzüberschreitenden Fälle entscheidet. Das könnte zum Beispiel der Europäische Datenschutzausschuss (EDSA)10 sein, in dem die Datenschützer.innen der Mitgliedsländer seit langem vertrauensvoll zusammenarbeiten.
Klingt nach Arbeit – aber Politik ist nun mal das „starke langsame Bohren von harten Brettern“.11
Was auch immer gemacht wird – eins ist klar: An den entscheidenden Stellen brauchen wir Menschen mit Motivation zum Ermitteln, der Beharrlichkeit, Fälle auszufechten und dem Willen, Datenschutz und die Persönlichkeitsrechte der Bürgerinnen und Bürger durchzusetzen.
Nicht die Bürokratie ist das Problem, sondern die Menschen, die sich hinter ihr verstecken.
Liebe Helen Dixon,
dies ist keine Anfrage, keine Beschwerde, keine Klageeinreichung, kein Zwischenbescheid – das ist ein BigBrotherAward.
Die BigBrotherAwards sind unabhängig. Wir bekommen kein Geld vom Staat, wir nehmen kein Sponsoring von Google, Facebook & Co. – die BigBrotherAwards leben durch die privaten Spenden von tausenden von Menschen, die unsere Arbeit unterstützen. Wie wichtig unsere Unabhängigkeit ist, das zeigt uns genau dieser BigBrotherAward.
Herzlichen Glückwunsch, Helen Dixon und der ganzen irischen Datenschutzaufsicht zum Preis fürs Lebenswerk.
Congratulations, Ms. Dixon and the Irish Data Protection Commission – the BigBrotherAward 2022 for Lifetime achievement is yours.
Laudator.in
1 The Journal, 3.5.2014: The Data Protection Commissioner is getting a new office, but keeping the one beside a convenience store in Laois (Web-Archive-Link)
2 Aktivitätsbericht 2021 (PDF)
3 Zitiert vom Irish Council for Civil Liberties in einem Brief an die Data Protection Commission (PDF)
4 Zitat Wikipedia: Ireland’s base erosion and profit shifting (BEPS) tools give some foreign corporates Effective tax rates of 0% to 2.5% on global profits re-routed to Ireland via their tax treaty network. (…) Ireland’s BEPS tools are the world’s largest BEPS flows, exceed the entire Caribbean system. (Web-Archive-Link)
5 Wikipedia: Corporation tax in the Republic of Ireland (Web-Archive-Link)
6 Zitat aus der Parlamentsdebatte: It was interesting that when Matt Carthy put that to the Minister’s predecessor, his response was that this was very unpatriotic and he should wear the green jersey. That was the former Minister’s response to the fact there is a major loophole, whether intentional or unintentional, in our tax code that has allowed large companies to continue to use the double Irish. The Minister’s predecessor has acknowledged the reputational damage this has done to Ireland. He was not really concerned about losing tax revenue and all the rest, but about the reputational damage. Let there be no doubt that, as we close one loophole and create another door, or do not close the door, this reputational damage is going to continue. Quelle: Dáil Éireann debate – Thursday, 23 Nov 2017, Vol. 962 No. 2. (Web-Archive-Link)
7 The Irish Times, 22.2.2022: Taoiseach defends Irish data protection commissioner in Germany – Martin doesn’t ‘readily agree’ with many criticisms of Helen Dixon’s record (Web-Archive-Link)
8 LIBE Ausschuss – Antrag auf Vertragsverletzungsverfahren vom 13.1.2021: Draft Motion for a resolution – B9-0000/2021
European Parliament Resolution on the ruling of the ECJ of 16 July 2020 – Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (“Schrems II”) – Case C-311/18 (2020/2789(RSP))
9 Im gerade fertiggestellten Digital Services Act (DSA) hat man die Lehren aus der DSGVO gezogen und die Aufsicht anders geregelt.
10 engl. European Data Protection Board, EDPB – das ist die Organisation, die früher „Artikel 29 Arbeitsgruppe“ hieß.
11 Zitat Max Weber: „Die Politik bedeutet ein starkes langsames Bohren von harten Brettern mit Leidenschaft und Augenmaß zugleich.“ (Web-Archive-Link)
