Die Irish Data Protection Commission (IDPC), die Aufsichtsbehörde, die im Wesentlichen für alle amerikanischen Big-Tech-Unternehmen wie Facebook, Microsoft, Google und Apple für Europa zuständig ist, hat kürzlich ein Statement veröffentlicht. Es geht um den von der Behörde vorgeschlagenen Beschluss zum DSGVO/GDPR-Verstoß seitens Twitter. Dieser Beschluss habe ein »Streitbeilegungsverfahren« ausgelöst, da er nach Ansicht der EU-Datenschutzbehörden im Widerspruch zu dem vorgeschlagenen irischen Urteil stünde.

Das European Data Protection Board (EDPB) wird nun versuchen, eine Einigung über eine endgültige Entscheidung zu erzielen. Ein Prozess, der sich bis zu 10 Wochen hinziehen kann, so dass mit einer endgültigen Entscheidung möglicherweise nicht vor November zu rechnen ist. Die irische DPC hatte ihren Beschlussvorschlag am 22. Mai 2020 zur Anhörung geschickt.

Den kompletten Bericht im WSJ finden Sie hier: https://www.wsj.com/articles/twitter-data-case-sparks-dispute-delay-among-eu-privacy-regulators-11597921201

Wir haben dazu mit Tim Mackey, Principal Security Strategist von Synopsys, gesprochen:

Inwieweit offenbart die Verlautbarung der irischen Aufsichtsbehörde Unterschiede im Ansatz und bei der Durchsetzung zwischen den 28 europäischen Datenschutzbehörden?

[Tim Mackey] Es wird zwischen den einzelnen Datenschutzbehörden immer Meinungsverschiedenheiten geben, wie sie die ihnen vorgelegten Fälle beurteilen. Ein Teil der vom EDPB beigelegten Streitfälle bezieht sich auf die Höhe des Bußgeldes. Die umfassendere Fragestellung ist aber vielmehr, ob die übrigen Mitgliedsstaaten die Verstöße in einem ähnlichen Licht sehen wie die irische DPC. Ich hoffe, dass Art und Umfang des strittigen Ergebnisses offengelegt werden. Nur dann wissen Unternehmen, die sich bemühen, die Vorschriften einzuhalten, wie die davon abweichenden Datenschutzbehörden die untersuchten Verstöße bewerten.

Sind DSGVO-Untersuchungen wie im vorliegenden Fall – insbesondere im Zusammenhang mit Big Tech – zu kompliziert und zu teuer, als dass eine einzelne nationale Regulierungsbehörde sie übernehmen kann?

[Tim Mackey] Big-Tech-Unternehmen haben Zugang zu juristischen Mitteln und Ressourcen, die denen von Regulierungsbehörden deutlich überlegen sind. Viele internationale Unternehmen betreiben ihr EU-Geschäft von Irland aus. Dass die irische DPC mit der Regulierungslast überfordert sein könnte, ist also nicht ganz unwahrscheinlich. Eine Situation, die von der Europäischen Kommission in ihrem Bericht zu Artikel 97 übrigens hervorgehoben wird.

Ist das Statement als Beleg dafür zu werten, dass die DSGVO nicht funktioniert und die Ansicht der EU-Datenschützer im Widerspruch zu den USA und der meisten anderen Ländern steht?

[Tim Mackey] Eher umgekehrt. Die DSGVO ist seit 30 Monaten in Kraft. Die Tatsache, dass die EDPB erst jetzt über einen Beschlussvorschlag bezüglich der Praktiken zur Datenhandhabe eines multinationalen Unternehmens entscheiden muss, ist eher ein Beleg dafür, wie gut die DSGVO bisher funktioniert hat. Im Hinblick auf den internationalen Handel bewegt sich die DSGVO naturgemäß in einem schwierigen Umfeld. Oberflächlich betrachtet mag es so aussehen, als stünde sie im Widerspruch zu den Datenschutzgesetzen vieler Handelspartner. In Wirklichkeit hat die DSGVO Erwartungen geweckt, wie ein ordnungsgemäßer Umgang mit Daten und deren Offenlegung funktionieren sollte. Dies ist einer der Gründe, warum die EU-Datenschutzgrundverordnung als Vorlage für weitere Gesetze wie den California Consumer Privacy Act diente.

Legt das Statement der irischen Aufsichtsbehörde nahe, dass Big-Tech-Unternehmen in Bezug auf Datenschutz, unlauterer Wettbewerb, unethische Praktiken usw. von einer ganz anderen Aufsichtsbehörde reguliert werden sollten? Während ja jede andere Art von Unternehmen in Bezug auf Datenschutzfragen von nationalen Datenschutzbehörden reguliert wird… Immerhin sind die Budgets einiger EU-Datenschutzbehörden nicht gerade üppig bemessen. Die irische Datenschutzbehörde verfügt beispielsweise lediglich über ein Jahresbudget von 17 Millionen Euro – obwohl sie Unternehmen wie Google regulieren soll.

[Tim Mackey] Auch hier sehe ich einen größeren Zusammenhang. Wichtig ist die Frage, ob Verzögerungen bei der Bearbeitung von anstehenden DSGVO-Beschwerden gegen Big Tech mit der Komplexität des internationalen Rechts und der Datentransferabkommen zusammenhängen. Ein perfektes Beispiel ist der Fall Schrems II, der im Juli den EU-US Privacy Shield außer Kraft gesetzt hat. Angesichts des aktuellen EuGH-Urteils ist es möglich, dass der EDPB das DPC-Urteil gegen Twitter hinsichtlich der Außerkraftsetzung des EU-US Privacy Shields überprüfen wird. Für jedes Unternehmen ist es jetzt wichtig, dass diese Entscheidung eine Risikoüberprüfung aller internationalen Datenübertragungen auslösen sollte, um verbindlich sicherzustellen, dass SCCs und BCRs für Datenübertragungen in die USA ausreichend abdecken.

Ein weiterer Kommentar zum Thema von Patrick Nohe, Senior Product Marketing Manager bei GlobalSign:

»Für mich ist das Statement der irischen Aufsichtsbehörde ein weiteres Indiz dafür, dass bestimmte Technologieakteure einfach zu groß geworden sind, um sie innerhalb des derzeitigen Rahmens zu regulieren. Die DSGVO-Strafen beginnen bei 10.000.000 € oder 2 % der Bruttoeinnahmen (je nachdem, welcher Betrag höher ist) und können auf 20.000.000 € oder 4 % erhöht werden, wenn die Verstöße schwerwiegend genug sind. Für ein kleines oder sogar mittelständisches Unternehmen können solche Summen zur existenziellen Bedrohung werden. Eine nicht ganz unwichtige Motivation sich an die Vorgaben zu halten. Im Verhältnis dazu interessieren sich Tech-Giganten wie Google und Facebook vergleichsweise wenig für solche Bußgelder. Facebook hat im Jahr 2019 70,7 Milliarden US-Dollar verdient, das entspricht rund 60 Milliarden Euro jährlich. Umgerechnet braucht das Unternehmen weniger als drei Stunden, um 20.000.000 Euro zu verdienen. Google bräuchte etwa anderthalb Stunden. Datenschutzaktivisten wie Max Schrems und die norwegische Verbraucherschutzbehörde haben aufgezeigt wie beide Unternehmen sehr schnell und ohne große Bedenken ihre Websites mit Taktiken aufrüsten, die man als »Dark Pattern » bezeichnet. Sie sollen den Benutzer dazu verleiten, genau die Datenschutzentscheidungen zu treffen, die dem Konzern zugutekommen. Dabei geht es nicht darum, dass jeder Einzelne wirklich eine Wahl trifft. Die norwegische Verbraucheragentur Forbrukertilsynet hat ein 44-seitiges Whitepaper mit dem Titel »Deceived by Design« veröffentlicht. Hier werden über ein Dutzend verschiedene Täuschungstaktiken aufgeführt, die sowohl Google als auch Facebook verwenden, um die Illusion einer Wahlmöglichkeit zu erzeugen. In Wirklichkeit entspricht das Vorgehen der Konzerne eher einem Ultimatum an die Nutzer: »Teilen Sie Ihre Daten oder verzichten Sie auf unsere Dienste«. Es ist nicht überraschend, dass Technologieunternehmen wie diese mit ihren nahezu unbegrenzten juristischen Ressourcen in der Lage sind, für günstige Ergebnisse zu sorgen, die deutlich näher an den 20.000.000 Euro als an den ebenso möglichen 4 % liegen. Und, dass sie dafür einen Gerichtsstand finden und unbestreitbar in der Lage sind, Prozesse mit dem sprichwörtlichen langen Atem zu führen. Das ist genau das, was in den USA passiert. Wenn auch gegenüber einem Flickenteppich aus weitaus weniger strengen Vorschriften.

Twitter allerdings in diese Gruppe der Technikgiganten aufzunehmen, ist vermutlich eine Fehleinschätzung. In dieser Hinsicht ist Twitter wie der weniger bekannte kleine Bruder eines bekannten Schauspielers. Der Name spricht für die Einschätzung, die Zahlen aber dagegen.Twitter verdient etwa 2,5 Milliarden Euro im Jahr. Das ist nicht ganz wenig, aber doch in einer deutlich anderen Liga angesiedelt als die Apples, Microsofts, Googles und Facebooks dieser Welt. Der Witz, dass Twitter eigentlich kein Geld verdient, kursiert seit Jahren, aber er weist auf etwas wichtiges hin. Wenn ein Unternehmen wie Twitter, das nicht annähernd in der Lage ist in der Oberliga von Big Tech zu spieler so effizient durch die Gesetzmäßigkeiten der DSGVO navigieren kann – welche Chance sollte eine Regulierungsbehörde haben, Strafen gegen die wirklich »großen Jungs« durchzusetzen?

Die DSGVO braucht bessere Mechanismen, um ihre Vorgaben auch in den Fällen von Big-Tech-Unternehmen besser und gezielter durchsetzen zu können. Solange Technologiegiganten angesichts der Regulierung nicht genauso ins Schwitzen geraten wie jedes andere davon betroffene Unternehmen auch, solange spielen wir de facto nicht nach denselben Regeln.«

331 Artikel zu „DSGVO Cloud Act“

NEWS | CLOUD COMPUTING | IT-SECURITY | RECHENZENTRUM | SERVICES | EDITORIAL | AUSGABE 9-10-2018

CLOUD Act hebelt DSGVO aus

15. Oktober 2018

Die europäische Datenschutzgrundverordnung hat für einigen Aufwand bei den Unternehmen und Organisationen innerhalb Europas gesorgt und sorgt noch immer dafür, denn erst ein Viertel ist mit der vollständigen Umsetzung bisher fertig geworden. Dennoch wird die DSGVO weithin als Errungenschaft in Sachen Schutz der persönlichen Daten angesehen. Alles in bester Ordnung? Nicht ganz. Denn in den…