Nachdem erst im Juli ein Rekordbußgeld von 746 Millionen Euro von der Luxemburger Datenschutzbehörde (Commission nationale pour la protection des données, CNPD) gegen den Onlineversand-Riesen Amazon (Amazon Europe Core S.à r. l.) wegen Datenschutzverletzungen beim Online-Targeting bekannt wurde (wir berichteten), ist nun auch die Datenschutzbehörde in Irland (Data Protection Commission, DPC) aktiv geworden. In einer Pressemitteilung verkündete die DPC Anfang des Monats die Verhängung eines Bußgelds in Höhe von 225 Millionen Euro gegen die Facebook-Tochter WhatsApp (WhatsApp Ireland Limited). Dabei handele es sich um das abschließende Ergebnis einer bereits im Dezember 2018 begonnen Untersuchung, in der es um die Frage ging, ob WhatsApp die in der DSGVO verankerten Transparenzverpflichtungen bei der Bereitstellung von Informationen – einschließlich zur Datenweitergabe an andere Unternehmen der Facebook-Gruppe – hinreichend erfüllt habe. Außerdem sei der Instant-Messaging-Anbieter verwarnt und dazu angewiesen worden, Datenschutzkonformität durch eine Reihe festgelegter Abhilfemaßnahmen herzustellen.

Die Rolle der DPC bei der Durchsetzung der DSGVO

Fraglich und zugleich spannend ist nun, inwiefern das gegen den Instant-Messaging-Anbieter verhängte Bußgeld richtungsweisend für die Durchsetzung des europäischen Datenschutzrechts sein könnte. Tatsächlich kommt hierbei insbesondere der irischen Behörde eine entscheidende Rolle zu: Da Art. 56 Abs. 1 DSGVO regelt, dass bei grenzüberschreitenden Verarbeitungen die Aufsichtsbehörde der Hauptniederlassung des für die Datenverarbeitung Verantwortlichen federführend zuständig ist, erstreckt sich ihre Zuständigkeit nicht nur auf Facebook und die zugehörigen Unternehmen wie WhatsApp, sondern auch auf andere Internet- und Tech-Giganten wie Google, Twitter oder Apple, deren europäische Hauptstandorte sich allesamt in Dublin befinden. Beschwerden, die gegen diese Big-Player bei anderen Aufsichtsbehörden eingehen, sind entsprechend an die DPC weiterzuleiten. Die Behörde befindet sich damit in einer Schlüsselposition. Sie hält bei Fällen, die betroffene Personen in der gesamten Europäischen Union betreffen, die Fäden in der Hand.

Anhaltende Kritik an der Irischen Datenschutzbehörde

Allerdings steht die DPC schon länger in der Kritik, ihrer Aufgabe nicht gerecht zu werden. So sprach etwa der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber in einem Brief Mitte März eine „äußerst schleppende Fallbearbeitung“ der Behörde an, welche „deutlich hinter den Fallbearbeitungsfortschritt der meisten EU- und insbesondere der deutschen Aufsichtsbehörden“ zurückfiele. Zum Zeitpunkt des 31. Dezember 2020 habe Irland die europäische Federführung bei 196 Verfahren innegehabt, jedoch lediglich vier davon abgeschlossen. Zudem nahm der BfDI auch Bezug auf das Unternehmen WhatsApp. Schon er allein habe seit Inkrafttreten der DSGVO 2018 mehr als 50 Beschwerden zur Facebook-Tochter übermittelt, von denen bis dato keine einzige zum Abschluss gekommen sei. Die aktuelle DPC-Entscheidung beschrieb Kelber nun laut Medienberichten als „kleinen Schritt in die richtige Richtung“. Allerdings ginge es jetzt darum, „dass in Irland die vielen anderen offenen Fälle zu WhatsApp auch endlich entschieden werden, damit die Schritte zu einer einheitlichen Durchsetzung des Datenschutzrechts in Europa schneller und länger werden“.

Auch der österreichische Datenschutzaktivist und Gründer der NGO noyb Max Schrems äußerte sich in einer Stellungnahme zur Bußgeld-Entscheidung der DPC. Zwar begrüße er sie grundsätzlich, doch wies er ebenfalls darauf hin, dass bei der Behörde seit dem Jahr 2018 jährlich etwa 10.000 Beschwerden eingingen, das aktuelle Bußgeld jedoch das erste größere sei. Zudem machte Schrems darauf aufmerksam, dass die DPC ursprünglich einen niedrigeren Betrag vorgeschlagen hatte, diesen jedoch nach oben hin korrigieren musste: So ist in Art. 60 Abs. 4 DSGVO das Recht anderer betroffener Aufsichtsbehörden festgesetzt, einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf einer federführenden Aufsichtsbehörde einzulegen. Schließt sich die federführende Behörde diesem Einspruch nicht an oder lehnt ihn als nicht maßgeblich und oder nicht begründet ab, hat gemäß Art. 65 Abs. 1 DSGVO eine Streitbeilegung durch einen verbindlichen Beschluss des Europäischen Datenschutzausschuss (EDSA) zu erfolgen. Wie sich auch aus der finalen Entscheidung entnehmen lässt, waren gegen den Beschlussentwurf, den die DPC zunächst vorgelegt hatte, Einsprüche von acht anderen EU-Aufsichtsbehörden eingelegt worden, denen sich die DPC nicht angeschlossen hatte. In seinem darauffolgenden verbindlichen Beschluss zur Streitbeilegung wies der EDSA die DPC sodann dazu an, das Bußgeld, das zunächst zwischen 30 und 50 Millionen Euro angesetzt war, zu erhöhen.

225 Millionen Euro Bußgeld – für Schrems zu wenig, für WhatsApp zu viel

Die nun verhängte Geldbuße von 225 Millionen Euro sieht Schrems allerdings nach wie vor als zu niedrig an. In seiner Erklärung schilderte er, dass selbst die Summe von 225 Millionen Euro nur 0,08 % des Umsatzes der Facebook-Unternehmensgruppe entspreche. Möglich sind bei Verstößen gegen die datenschutzrechtlichen Transparenzverpflichtungen gemäß Art. 83 Abs. 5 (lit a.+ b.) DSGVO Bußgelder in Höhe von bis zu 4 % des gesamten weltweit erzielten Umsatzes des Vorjahres. Der Instant-Messaging-Anbieter scheint hingegen nach Aussagen in den Medien überrascht gewesen zu sein, da nur 77,5 Millionen Euro für ein mögliches Bußgeld zurückgestellt wurden und möchte nun rechtliche Schritte gegen den Bescheid ergreifen. Schrems kommentierte in seiner Stellungnahme: „Es wird sehr interessant sein, zu sehen, ob die irische Behörde diese Entscheidung tatsächlich aktiv verteidigt, da sie im Grunde genommen von den andern europäischen Behörden zu dieser Entscheidung gezwungen wurde“. Er könne sich vorstellen, „dass die DPC einfach nicht zu viele Ressourcen in den Fall stecken oder sich mit WhatsApp in Irland irgendwann ‘einigen’ wird“. Der Fall werde weiter beobachtet, um eine tatsächliche Umsetzung der Entscheidung durch die Behörde sicherzustellen.

Weiterhin wenig Entscheidungen der DPC zu erwarten

Allerdings bleibt nicht nur abzuwarten, wie die irische Datenschutzbehörde in Bezug auf WhatsApp agieren wird. Auch ihr Verhalten in anderen Angelegenheiten ist aufmerksam zu verfolgen. Dabei deutet nicht nur die Art und Weise, wie das Bußgeld gegen die Facebook-Tochter zu Stande kam, darauf hin, dass kein großer Aufbruch bevorsteht. Aussagen der Irischen Datenschutzbeauftragten zu Jahresbeginn, dass es 2021 wahrscheinlich nur sechs bis sieben Entscheidungen kommen werde, bekräftigen diesen Eindruck. Als Grund dafür, dass es seit Inkrafttreten der DSGVO an DPC-Entscheidungen mangelt, machte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Kelber im letzten Jahr indes eine unzureichende Ausstattung der Behörde aus. Er äußerte gegenüber der Irish Times, die DPC benötige eine bessere Finanzierung und mehr Personal. Zuvor hatte er zudem seine Verwunderung darüber geäußert, dass die Regierung Irlands der Behörde nicht die benötigten Mittel zur Verfügung stellen wolle und gleichzeitig alles daransetze, eine 13 Milliarden Euro Steuerrückzahlung Apples abzuwehren. Kelber spielt damit darauf an, dass Irland und Apple gemeinsam Klage eingereicht hatten, nachdem die Europäische Kommission Irland 2016 unerlaubte Staatsbeihilfe aufgrund von Steuervergünstigungen vorgeworfen und dazu angewiesen hatte, den genannten Betrag von Apple einzufordern (eine Entscheidung des EuGH steht noch aus). Auch bei den europäischen Nachbarn steht Irland wegen seiner niedrigen Unternehmenssteuern, mit denen Investoren angelockt werden sollen, stark in der Kritik. Dazu kommt nun der Umstand, dass die irische Datenschutzbehörde nur wenig Verfahren abschließt und eher niedrigere Bußgelder gegen die großen Unternehmen vorschlägt, die sich aufgrund der Steuervorteile im Land niedergelassen haben.

Quo vadis, DSGVO-Durchsetzung?

Letztlich stellt sich deshalb die Frage, ob und wie lange die irische Behörde ihren bisherigen Weg weiter fortsetzen wird oder ob sie zukünftig doch aktiver vorgeht. Während sich die Situation zuzuspitzen scheint und es im Mai sogar zu einer Forderung des Europäischen Parlaments kam, die Europäische Kommission solle ein Vertragsverletzungsverfahren gegen Irland wegen nicht ordnungsgemäßer Durchsetzung der DSGVO einleiten, könnten sich jedoch künftig womöglich andere Wege zur Durchsetzung des europäischen Datenschutzrechts ergeben. So hat der Europäische Gerichtshof in einem Urteil im Juni deutlich gemacht, dass bei grenzüberschreitenden Datenverarbeitungen unter bestimmten Voraussetzungen auch eine Aufsichtsbehörde, die nicht federführend ist, ein Gerichtsverfahren bei einem DSGVO-Verstoß einleiten kann. Dabei ging der Gerichtshof auch auf eine Verhinderung von forum shopping mit dem Ziel, die wirksame Anwendung von DSGVO-Vorschriften zu umgehen, ein. Die Entscheidung des EuGH könnte nun vielleicht den Anstoß für viele nicht-federführende Aufsichtsbehörden geben, in bestimmten Fällen selbst aktiv zu werden. Vor diesem Hintergrund bleibt spannend, in welche Richtung sich die Durchsetzung des europäischen Datenschutzrechts entwickeln wird und die in Irland ansässigen Unternehmen künftig Klagen anderer europäischer Aufsichtsbehörden zu erwarten haben.