Das irische Parlament hat in den vergangenen Tagen einer Änderung des irischen Datenschutzgesetzes zugestimmt, nach welcher für die irischen Datenschutzkommission (DPC) die Möglichkeit besteht, bestimmte Verfahren und die darin enthaltenen Informationen als vertraulich einzustufen. Missachten Beteiligte des Verfahrens eine solche Vertraulichkeitseinstufung, drohen Bußgelder.

Konkret besteht nun durch den Zusatz „Section 26 A“  für die DPC die Möglichkeit, Informationen in einem Verfahren als vertraulich einzustufen und in dem Verfahren involvierten Personen eine Offenlegung zu untersagen. Dieser Punkt ist, vor allem mit Blick auf die Vergangenheit, besonders kritisch zu bewerten, da die DPC bereits in vergangenen Verfahren nicht dafür bekannt war, offen und transparent mit datenschutzrechtlichen Verfahren gegen große Tech-Unternehmen umzugehen und teilweise auch den Austausch mit anderen Aufsichtsbehörden nicht zwingend unterstütze. Vielmehr hatte es den Anschein, Verfahren lieber „leise“ im eigenen Haus „regeln“ zu wollen (wir berichteten bereits).

Mögliche Ausnahmen

Nicht unerwähnt soll aber auch eine Ausnahme zu dieser Vertraulichkeitseinstufung bleiben, nämlich dann, wenn entweder eine solche Offenlegung:

(a) gesetzlich vorgeschrieben oder zulässig ist, oder

(b) von der Kommission (DPC) schriftlich genehmigt wurde.

Und genau dieser Punkt wurde auch von den Befürworteten dieser Änderung hervorgehoben. Zwar besteht somit grundsätzlich auch weiterhin die Möglichkeit für Verfahrensbeteiligte Informationen offen zu legen, jedoch kommt es nun auf die Auslegung der „Zulässigkeit“ z. B. im Rahmen der Meinungsfreiheit bzw. auf eine schriftliche Genehmigung der DPC an. Inwieweit Letztere für die Praxis relevant ist, bleibt fraglich.

Auch der Datenschutzjurist Max Schrems, welcher in der Vergangenheit schon häufiger im Rahmen seiner Tätigkeit mit der DPC in Berührung kam, sieht diese Entwicklung äußerst kritisch (der ganze Beitrag ist hier zu finden).

Max Schrems: „Es scheint unsere Arbeit für mehr Datenschutz ist so effektiv, dass man uns jetzt kriminalisieren mag. Die irische Regierung und die DPC begeben sich damit auf das Niveau von Orban und Co.“

Und weiter: „Die Verfassungsmäßigkeit von Section 26A ist sehr fraglich. Die DPC hat das Gesetz schon vor dieser Novelle missbraucht. Ich gehe davon aus, dass sie sich jetzt noch mehr ermutigt fühlt. Es ist sehr wahrscheinlich, dass sich der Kampf um Redefreiheit nun zu den Gerichten verlagert.“

Harmonisierung der Verfahrensvorschriften in grenzüberschreitenden Fällen

Spannend wird diese Anpassung des irischen Datenschutzgesetztes vor allem durch den am 04. Juli veröffentlichten Gesetzesvorschlag der Europäischen Kommission zur Zusammenarbeit zwischen Datenschutzbehörden bei der Durchsetzung der Datenschutz-Grundverordnung in grenzüberschreitenden Fällen (siehe hier).

Inhalt dieses Vorschlages sind unter anderem konkrete Verfahrensvorschriften für Aufsichtsbehörden bei Fällen mit Betroffenen aus unterschiedlichen Mitgliedsstaaten und die Zusammenarbeit mit deren Aufsichtsbehörden. Nach dem Gesetzesentwurf wäre dann beispielsweise die federführende Aufsichtsbehörde verpflichtet, den betroffenen Aufsichtsbehörden in anderen Ländern eine Zusammenfassung der wichtigsten Fragestellungen sowie entsprechende Untersuchungsergebnisse und Einschätzungen zu übermitteln, damit die anderen involvierten Behörden entsprechend Stellung nehmen können.

Hintergrund dieser konkreten Verfahrensvorschrift ist die frühzeitige Einbindung weiterer betroffener Datenschutzbehörden bei grenzüberschreitenden Sachverhalten und die Konsensfindung der einzelnen beteiligte Behörden bereits zu Beginn des Verfahrens.

Der Gesetzesvorschlag der Kommission geht genau einen anderen Weg als der irische Ansatz und es bleibt abzuwarten, wie beispielswiese der Europäische Datenschutzausschuss (EDSA) die neuen Entwicklungen in Irland bewerten wird. Aus vergangen Prozessen gegen große Tech-Konzerne wurde aber bereits deutlich, dass der EDSA teilweise andere Meinungen zur Auslegung der DSGVO vertritt, als die DPC.