Am 22.12.2020 hat der Landesdatenschutzbeauftragte für Sachsen seinen neuesten Tätigkeitsbericht veröffentlicht (Berichtsjahr bis 31.12.2019, PDF). In einem kurzen Absatz erwähnt die Datenschutzbehörde dort auch ein praxisrelevantes und für die Durchsetzung der DSGVO seit Beginn der Arbeiten an dem Gesetz bekanntes Problem: die Durchsetzung der DSGVO gegenüber Unternehmen in Drittländern (S. 109).
Bekanntlich unterliegen sowohl Verantwortliche als auch Auftragsverarbeiter mit Sitz in Drittländern und ohne (!) Niederlassung in der EU unter gewissen Voraussetzungen der DSGVO. Meiner Meinung nach ist vielen Unternehmen, die aus Drittländern Dienstleistungen in der EU anbieten, überhaupt nicht bewusst, dass auch für sie die Regelungen der DSGVO gelten.
Die sächsische Behörde berichtet, dass bei ihr zahlreiche Beschwerden gegen Unternehmen mit Sitz außerhalb der Europäischen Union eingingen. Zwar sieht die DSGVO in einem solchen Fall, wenn also keine Niederlassung in der EU besteht, die Pflicht nach Art. 27 DSGVO vor, einen Vertreter in der EU zu benennen. Doch, ketzerisch gefragt, was passiert, wenn auch diese Pflicht nicht eingehalten wird? Wohl nichts, wie nun die Angaben der Behörde aus Sachsen zeigen.
Genau diese Miesere schildert die Behörde nämlich. Im Grunde gibt es in einer solchen Situation keine wirksame Durchsetzungsmöglichkeit europäischen Datenschutzrechts.
„Soweit die Verantwortlichen kein Vertreter nach Artikel 27 DSGVO benannt haben, stellt sich die Einwirkung auf den Verantwortlichen in seiner Umsetzung als praktisch schwierig dar.“
Zwar merkt die Behörde an, dass soweit Maßnahmen gegenüber diesen Verantwortlichen ergriffen werden sollen, zwar eventuell ein Amtshilfeverfahren und ein Procedere auf dem diplomatischen Weg über die Außenvertretungen der Bundesrepublik Deutschland einzuleiten wäre.
Jedoch scheint dieser Weg für die Behörde praktisch nicht gangbar zu sein. Daher fasst die Datenschutzbehörde ihr derzeitiges Vorgehen wie folgt zusammen:
„Aktuell teile ich den Beschwerdeführern mit, dass ich – in Ermangelung zwischenstaatlicher Vereinbarungen – keine Möglichkeiten sehe, meine Rechtspositionen bzw. Anordnungen durchzusetzen“.
Dieses Ergebnis ist meines Erachtens durchaus ernüchternd. Offenbart hier eine Behörde doch ungeschönt, dass sie keine Möglichkeit sieht, das europäische Recht (obwohl anwendbar) durchzusetzen. Meines Erachtens darf man in diesen Situationen aber nicht den Aufsichtsbehörden einen Vorwurf machen. Dieser Fehler einer effektiven Durchsetzung war von Angang an systematisch in der DSGVO angelegt und hängt natürlich eng mit dem (intendierten) sehr weiten räumlichen Anwendungsbereich der Verordnung zusammen.
Was für eine Riesenüberraschung. Aber der Gesetzgeber hatte diesen peinlichen Offenbarungseid ja genau so in der DSGVO angelegt. Man fragt sich, welcher Hybris die Parlamentarier noch erlegen, wenn sie Regeln für uns alle erlassen.
Unter der Annahme das ich den geschilderten Sachverhalt wirklich verstanden habe, wäre die dargelegte Haltung des sächsischen Datenschutzbeauftragten (als staatliche Behörde)ein sich aus der exekutiven Veantwortung zu stehlen.
Es wäre mehr als nur bedenklich, wenn eine wie auch immer geartete Maßnahmenunterlassung ohne nachhaltige juristische Einzelbewertung faktisch akzeptiert würde. So erodiert die Rechtsstaatlichkeit in einem inzwischen bedrohlichem Ausmaß. Außerdem könnte sih jede Ausführende Stele sich um den aufwand drücken wen es zu schwierig ist.
Wenn ein „virtuell“ agierender Anbieter mit Sitz in einem Drittstatt weiterhin geltendes Recht, z.B. der EU oder speziell in Deutschland mißachtet, dann sind nachhaltige Maßnahmen zulässig, diesen fortgesetzten Rechtsbruch zu unterbinden.
Ob über ein festgeschriebenes „Vermarktungsverbot“ (incl. Werbeuntersagung via Print- oder WEB-Seiten9) und /oder mittels technologisch eingerichteten Übertragungssperren (IP-Filtern) in sämtlichen Netzwerkübergabeknoten (Gateways) ins Ausland spielt keine Rolle. Wenn IT-Dienstleister an solchen „Machenschaften“ z.B. indirekt beteiligt sind, z.B. als Host- oder Transport-Provider , dann dürfen sie nicht beschweren in Mithaftung genommen bzw. von solchen Sperrfiltern indirekt mit betroffen zu werden.
Aufwendig? Überzogen? Unverhältnismäßig? Wohl kaum, wenn die umfankreichen Zwangsvorgaben (TKÜ) des Gesetzgeber betrachtet werden, welche z.B. schon mittelgroße Netzbetreiber verpflichtet im voraus gewisse finanzielle Ausgaben sowie Personalvorhaltungen vorzunehmen, damit bei einzelnen (!) Überwachungsanordnungen nun gar nichts unter den Tisch fallen kann und möglichst präventiv überwachbar wird.
Soll eine solche Entwicklung unwidersprochen so weiter gehen?
Keine Sorge, die EU plant ja ab 2025 den Einsatz einer Great European Firewall. Für den normalen Nutzer werden dann Dienste, die Bürokraten für schädlich halten, in EU-Europa nicht mehr nutzbar sein.