| Etwas regt sich in Irland. Twitter und WhatsApp könnten die ersten großen Technologieunternehmen sein, die von der Irischen Datenschutzaufsicht mit einer Geldstrafe belegt werden. Irgendwann. Twitter und WhatsApp unter Beobachtung Am 22. Mai 2020, also knapp zwei Jahre nach Anwendbarkeit der DSGVO, legte die Irische Aufsichtsbehörde (DPC) einen Entwurf für die Entscheidung an den Europäischen Datenschutzausschuss vor, um diesen mit involvierten Aufsichtsbehörden abzustimmen. Gemäß dem One-Stop-Shop-Mechanismus haben involvierte Aufsichtsbehörden (in diesem Fall alle) nun einen Monat Zeit, um die Entscheidung zu prüfen und begründete und sachdienliche Einwände zu erheben, falls sie mit der Argumentation des DPC nicht einverstanden sind. Der DPC äußerte sich nicht näher zum Inhalt der vorläufigen Twitter-Entscheidung. Laut Reuters hängt die vorläufige Entscheidung mit einer 2019 durchgeführten Untersuchung zusammen. Gegenständlich war ein Bug in der Twitter-App für Android, der dazu führte, dass geschützte Tweets von Nutzern öffentlich gemacht wurden. Der Entscheidungsentwurf der Behörde konzentriert sich auf die Frage, ob Twitter gegen Meldepflichten gem. Art. 33 DSGVO bei Vorliegen eines Datenschutzvorfalls verstoßen hat. Daneben hat die DPC in seiner Verlautbarung auf eine weitere vorläufige Entscheidung an das Facebook-eigene Unternehmen WhatsApp aufmerksam gemacht. Im Verfahren gegen WhatsApp geht es um mögliche Verstöße gegen Transparenzvorgaben aus Art. 12 bis 14 DSGVO, insbesondere bezüglich der Weitergabe von Daten an die Muttergesellschaft Facebook Inc. im Zusammenhang mit der Nutzung von WhatsApp. Die Datenübermittlung von Kundendaten von WhatsApp an Facebook war schon Gegenstand einer Untersagungsverfügung des Hamburgischen Datenschutzbeauftragten, die im Jahr 2018 durch das OVG Hamburg bestätigt wurde. Nadelöhr Irische Aufsichtsbehörde In letzter Zeit wurde die Kritik an der Untätigkeit der Irischen Aufsichtsbehörde, die im Wesentlichen für alle relevanten amerikanischen „Big-Tech-Unternehmen“ für Europa zuständig ist, immer lauter. Die Problematik hatten wir in früheren Blogbeiträgen ausführlich erörtert (z.B. diesem oder diesem Artikel). Kündigen sich nun die ersten Bußgelder durch die Irische Aufsichtsbehörde gegen Internetriesen an? DPC hatte sich offensichtlich schon an ersten Bußgeldern auf Grundlage der DSGVO geübt. So wurde mit Bekanntgabe in Sachen Twitter / Facebook beiläufig im letzten Absatz erwähnt, dass ein Bußgeld gegen die inländische Jugendschutzbehörde „Tusla Child and Family Agency“ verhängt wurde. „Hochgradig ineffizient und teilweise kafkaesk“ Auf den Tag genau 2 Jahre nach Anwendbarkeit der DSGVO (Herzlichen Glückwunsch auch von uns!) veröffentlichte heute das unter anderem von Max Schrems gegründete europäische Zentrum für digitale Rechte (noyb – ein Akronym für „None of your Business“) einen lesenswerten Offenen Brief an alle Europäischen Datenschutzbehörden, den Europäische Datenschutzausschuss, die Europäische Kommission und das Europäische Parlament, mit dem sich die Datenschutzaktivisten die Irische Aufsichtsbehörde zur Brust nehmen und die schleppenden Verfahren der Behörde gegen US-amerikanische Internetriesen kritisieren. Interessant im Zusammenhang mit dem nunmehr vorgelegten Entscheidungsentwurf des DPC sind die im Offenen Brief beschriebenen Erfahrungen mit der Irischen Aufsichtsbehörde bezüglich eingereichter Beschwerden gegen Facebook, WhatsApp und Instagram. Noyb beschreibt das Verwaltungsverfahren der Irischen Aufsichtsbehörde als „hochgradig ineffizient und teilweise kafkaesk“. Das interne Verwaltungsverfahren lasse sich in 6 Stufen einteilen: • Entwurf eines Untersuchungsberichts, • Finaler Untersuchungsbericht, • Entwurf einer Entscheidung, • Finale Entscheidung, • Entwurf EU Entscheidung, • Finale EU-Entscheidung. Die Aktivisten monieren, dass in ihrem Fall zwischen der initialen Beschwerde gegenüber dem DPC und dem 1. Entwurf eines Untersuchungsberichts ganze 13 Monate vergangen wären. Zwischen Beschwerde und dem finalen Untersuchungsbericht (2. Stufe) seien 22 Monate, daher knapp 2 Jahre vergangen. Vorliegend dürfte man sich bei der Prüfung des Verstoßes von Twitter gegen Art. 33 DSGVO auf Stufe 5 bewegen. Bei der Mitteilung gegenüber WhatsApp wegen Verstößen gegen die Transparenzpflichten wohl auf Stufe 3. Copy & Paste im Schneckentempo Die Untersuchung der Datenschutzaktivisten ergaben weiter, dass die zur Verfügung gestellten Entwürfe der Untersuchungsberichte zu den Beschwerden zu Instagram und WhatsApp zu 82 % identisch mit dem Entwurf des Untersuchungsberichts zu der Beschwerde gegenüber Facebook gewesen sei, jedoch mit 10 Monaten Verspätung zur Verfügung gestellt wurden, und so anscheinend selbst das Copy & Paste ungewöhnlich lange gedauert habe. Die Datenschutzaktivisten gehen davon aus, dass jede nachteilige Entscheidung zulasten von Twitter, Facebook und co. von den Unternehmen gerichtlich angegriffen wird. Bei der derzeitigen Geschwindigkeit sei daher in der Mehrzahl der Fälle mit einer Entscheidung erst nach mehr als zehn Jahre zu rechnen, bis alle Berufungen entschieden und eine endgültige Entscheidung getroffen wurde. Maximilian Schrems fasst die traurige Wahrheit wie folgt zusammen: Die DSGVO ist nur so stark wie ihre schwächste Aufsichtsbehörde. Beitrag hier kommentieren | 