Ein Bürger beschwerte sich bei der Luxemburger Datenschutzkommission, dass zwei US-Webseiten die GDPR-Regeln missachteten. Die Kommission ermittelte nicht, weil ihr gegenüber US-Firmen die Hände gebunden seien. Die NGO Noyb klagt nun im Namen des Betroffenen vor dem Verwaltungsgericht. 

Da könne man leider nichts machen. Dies war laut zwei Klagen vor dem Verwaltungsgericht die Antwort der Datenschutzkommission CNPD auf zwei Beschwerden eines Bürgers. Die Einleitung formeller Ermittlungen sei nicht zielführend, da die Betroffenen ihren Sitz in den USA hätten und keinen EU-Vertreter angeben würden. Die CNPD habe keine Möglichkeit, die Datenschutz-Grundverordnung der EU (GDPR) in den USA durchzusetzen.

„Diese Entscheidungen untergraben grundlegend die Anwendung der GDPR auf ausländische Unternehmen, die auf dem EU-Markt aktiv sind“, kritisiert die Datenschutz-NGO Noyb. Die CNPD missachte damit sowohl europäisches Recht als auch das Luxemburger Datenschutzgesetz. Noyb reichte deswegen zusammen mit dem betroffenen Bürger am Montag zwei Klagen vor dem Verwaltungsgericht ein. Noyb wurde 2017 unter anderem von Max Schrems gegründet, der mit seinen Klagen gegen Facebook und das Datentransfer-Abkommen „Privacy-Shield“ Bekanntheit erlangte.

CNPD verfügt über Druckmittel

Konkret geht es bei den Klagen um die Webseiten Apollo.io und RocketReach. Beide bieten Adressdaten Hunderttausender Menschen zum Kauf an. Der Kläger hatte dem Speichern seiner Daten nie zugestimmt – was die GDPR-Regeln aber eigentlich vorschreiben. Als er sich bei Apollo.io beschwerte, verlangte der Dienstleister weitere Daten, um seine Identität zu bestätigen. RocketReach dagegen löschte seine Daten, beantwortete die Frage, wie das Unternehmen an die Informationen kam, aber nicht. Gegen RocketReach reichte der Betroffene im April 2019 eine Beschwerde bei der CNPD ein, gegen Apollo.io im Juli 2020. Beide Unternehmen hätten sein Recht auf Auskunft und Löschung nicht beachtet, so das Argument.

Dann begann das Warten. Im Fall RocketReach fragte er bei der CNPD mehrmals den aktuellen Stand der Beschwerde nach. Erst im März 2020 – also fast ein Jahr später – antwortete die CNPD, sie sehe sich außerstande, gegen das US-Unternehmen zu ermitteln und mögliche Entscheidungen durchzusetzen. Im Fall Apollo kam bereits einen Monat nach Einreichen der Beschwerde eine Antwort, jedoch mit gleichem Inhalt. Auch nach monatelangem Austausch von E-Mails und Briefen blieb die Datenschutzkommission bei ihrer Haltung.

„Wenn sich die Datenschutzbehörden weigern, GDPR global durchzusetzen, würde das nicht nur die Rechte von europäischen Nutzern unterminieren, sondern auch zu einem Wettbewerbsvorteil für ausländische Unternehmen führen – genau das Gegenteil davon, was die GDPR bringen soll“, sagt Romain Robert, Jurist bei Noyb.

Die GDPR-Verordnung sehe ausdrücklich eine weltweite Durchsetzung vor, heißt es in den Klageschriften. Mögliche Strafzahlungen der CNPD erhebt laut Gesetz das „Enregistrement“. Die Luxemburger Steuerbehörden hätten zudem weitreichende Möglichkeiten, Geld einzutreiben, heißt es weiter. Die CNPD könne Vermögenswerte in der EU einfrieren oder den Dienst sogar sperren, erklärt die Anwältin Catherine Warin.

Eingeschränkte Beschwerderechte

Der Abgeordnete Sven Clement (Piraten) begrüßt auf Nachfrage von Reporter.lu, dass diese Fragen nun vom Verwaltungsgericht geklärt werden. Er sieht in der Arbeit der CNPD sowohl prozedurale Mängel als auch unzureichende Mittel, um Beschwerden adäquat zu bearbeiten. Er verweist auf den deutlichen Anstieg der Beschwerden von 450 im Jahr 2018 auf 625 im Jahr 2019.

Diese Zahlen erklären wohl auch, warum Bürger, die sich beschweren, sich auf lange Fristen einstellen müssen. In ihrer Prozedur gibt sich die CNPD sogar das Recht, die ersten zwei Monate keine Auskunft zum Stand des Dossiers zu geben. Falls drei Monate nach Einreichen einer Beschwerde keine Antwort vorliege, könnten Bürger vor dem Verwaltungsgericht klagen, bestätigt Premier- und Medienminister Xavier Bettel (DP) auf eine parlamentarische Anfrage von Sven Clement.

Aus den besagten Klageschriften geht allerdings hervor, dass die CNPD wiederholt erst nach mehrmaligen Nachfragen Auskunft über den Stand der Beschwerden gab. Als die Datenschutzkommission dem Kläger mitteilte, dass sie nichts gegen die US-Firmen unternehmen werde, verwies sie offenbar auch nicht auf das Recht auf Berufung gegen diese Entscheidungen.

„GDPR sollte die schwächste Partei im Datenschutz – also den Bürger – schützen. Doch es zeigt sich, dass die Bürger europaweit gegen Datenschutzbehörden klagen müssen, damit sie ihre Rechte durchsetzen“, lautet das Fazit von Sven Clement.