Unter anderem die Vizepräsidentin des EU-Parlaments, Katarina Barley (SPD) und der Bundesbeauftragte für Datenschutz, Ulrich Kelber, werfen Dublin vor, beim Datenschutz nicht entschlossen genug gegen Tech-Giganten wie Facebook vorzugehen, deren Europa-Hauptquartiere in Irland liegen. Kelber sprach sich gar für die Schaffung einer europäischen Behörde aus. Graham Doyle, stellvertretender Kommissar bei der irischen Datenschutzbehörde DPC, findet die Vorwürfe überzogen.
WirtschaftsWoche: Aus Ihrem Jahresbericht geht hervor, dass Ihre Kommission gerade in elf Fällen gegen Facebook ermittelt. Worum geht es da?
Graham Doyle: Bei uns laufen acht Ermittlungen zu Vorwürfen gegen Facebook, zwei zu WhatsApp und eine zu Instagram. WhatsApp und Instagram gehören ja beide Facebook. Diese Ermittlungen sind alle unterschiedlich: Bei einer geht es um rechtliche Grundlagen und Verträge. Einige der Untersuchungen erfolgen im Zusammengang mit Datenlecks, die es bei Facebook gab. 2019 etwa gab es ein Datenleck, bei dem herauskam, dass Facebook-Mitarbeiter Passwörter von Nutzern als Klartext einsehen konnten. Die hätten verschlüsselt sein müssen. Bei der WhatsApp-Untersuchung geht es um Fragen der Transparenz. Denn Transparenz ist ja ein Grundpfeiler der Datenschutz-Grundverordnung.
Wie laufen diese Untersuchungen ab?
Wenn wir Ermittlungen aufnehmen, schicken unsere Mitarbeiter eine Liste mit Fragen an die betreffende Firma. Unsere Ermittler führen dann die notwendigen Untersuchungen durch. Vor dem Ende der Untersuchungen schicken wir den Entwurf des Untersuchungsberichts an die interessierten Parteien. Wir laden sie dann dazu ein, Eingaben zu machen, die wir dann in den Bericht einbeziehen. Danach wandert der Fall auf die Entscheidungsebene. Unsere Datenschutz-Kommissarin Helen Dixon befasst sich dann zum ersten Mal mit diesen Fällen. Diese beiden Ebenen sind vollkommen voneinander getrennt. Die Kommissarin muss dann entscheiden, ob sie weitere Untersuchungen wünscht und kann weitere Stellungnahmen von den interessierten Parteien beantragen. Dann übersenden wir einen Entwurf unserer Entscheidung an die europäischen Behörden. Zwei der aktuell 23 Ermittlungen gegen Tech-Konzerne sind derzeit in der Entscheidungsfindungs-Phase. Und zwar eine, die sich mit WhatsApp befasst und eine, die Twitter betrifft.
Wann werden Entscheidungen zu den Facebook-Untersuchungen erwartet? Kritiker bemängeln, das alles ziehe sich recht lange hin und dass Irland gar nicht die Ressourcen habe, um es mit Firmen wie Facebook aufzunehmen.
Einige der Untersuchungen sind schon recht weit vorangeschritten und werden bald in die Entscheidungsfindungsebene überführt werden. Man muss dabei bedenken, dass diese Untersuchungen zu ganz unterschiedlichen Zeitpunkten in Gang gesetzt worden sind. Diese Ermittlungen brauchen Zeit. Zumal es die erste Welle an Ermittlungen ist, seit 2018 die Datenschutz-Grundverordnung in Kraft getreten ist. Denn wir arbeiten alle zum ersten Mal unter einem neuen und komplexen gesetzlichen Rahmen. Und auch mit den Verfahrensfragen befassen wir uns zum ersten Mal. Und das ist nicht nur in Irland so: Bis Ende 2019 gab es EU-weit gerade einmal drei von diesen grenzüberschreitenden Untersuchungen, die zu einer Verhängung von Strafen geführt haben. Zwei von denen waren in Malta und eine in Litauen. Die höchste verhängte Strafe betrug 65.000 Euro.
Aber wir müssen als Organisation absolut weiter wachsen, das stimmt. Wir hatten 2014 gerade einmal 30 Mitarbeiter. Heute haben wir 140. Ende des Jahres werden es 175 sein. Die Zahl der Beschwerden hat zugenommen, auch die Zahl der gemeldeten Datenlecks ist gestiegen. Auch in anderen Bereichen nimmt die Arbeit zu, etwa wenn es um den Schutz von Kindern geht. Noch in diesem Jahr werden wir mir der Industrie zusammenarbeiten, um die Schaffung eines Verhaltenskodex anzuregen, bei dem es darum gehen wird, Kinder in den sozialen Medien zu schützen.
Was halten Sie von den Einwänden, wonach eine Behörde auf EU-Ebene besser geeignet sein könnte, um europaweit agierende Tech-Konzerne zu überwachen?
Mit dieser Frage befassen wir uns gar nicht. Im Moment sind wir eben für die Tech-Konzerne, deren Zentralen in Irland liegen, die federführende Behörde. Und da haben unsere Untersuchungen eine Präzedenzfunktion. Etwa bei Fragen der Transparenz: Unsere Untersuchungen dazu werden sicher Standards setzen. Wir haben auch bei den Prozeduren eine Vorreiterrolle, etwa beim Umgang mit Datencontrollern und Beschwerdeführern. Das sind alles Sachen, die wir zum ersten Mal machen. Hier liegt unser Fokus gerade.
Welche Lehren haben Sie aus den bisherigen Untersuchungen gezogen?
Eine der ersten Sachen, die wir gelernt haben: Man muss den Umfang der Ermittlungen so gering halten wie möglich. Also zuschauen, dass man alle notwendigen Bereiche abdeckt, aber die Ermittlungen nicht zu sehr ausschweifen lässt. Wir lernen das so wie alle Datenschutzbehörden quer durch die EU.
In jüngster Zeit gab es zwei Fälle, in denen Facebook Funktionen oder Dienste gestoppt hat, nachdem Sie Einwände vorgebracht haben. Worum ging es da?
Facebook hatte in der Vergangenheit in einigen Ländern bei Wahlen einen „Ich habe gewählt“-Button. Die italienischen Behörden haben uns im vergangenen Jahr darauf aufmerksam gemacht, und auch wir hatten schnell Bedenken, als wir uns damit befasst haben. Unser Hauptanliegen ist dabei die Transparenz gegenüber den Nutzern. Es war unklar, was mit den Daten geschieht, die bei der Nutzung dieses Buttons anfallen. Das haben wir gegenüber Facebook zum Ausdruck gebracht. Facebook hat daraufhin diese Funktion bei den Wahlen in Irland nicht genutzt. Und vergangene Woche hat Facebook angekündigt, dass sie diese Funktion EU-weit nicht mehr zum Einsatz bringen werden, solange die Datenschutzbehörden nicht einverstanden damit sind.
Und dann gab es noch eine Facebook-Dating-App?
Diese Funktion bietet Facebook bereits in den USA an. Die wollten die hier in Irland am 13. Februar starten, am Tag vor dem Valentinstag. Aber sie haben uns erst am 3. Februar zum ersten Mal mitgeteilt, dass sie diesen Dienst starten möchten. Wir haben daraufhin das Facebook-Hauptquartier hier in Dublin besucht, um so schnell wie möglich die Dokumente zu erhalten, die wir benötigten. Uns war unklar, ob die eine Folgenabschätzung hinsichtlich des Datenschutzes durchgeführt haben. Und wir wussten auch nicht, welche Konversationen und Treffen bei Facebook im Zusammenhang mit diesem Dienst erfolgt sind. Zwei Tage, bevor die diesen Dienst in Gang setzen wollten, haben wir Facebook eine Reihe von Fragen geschickt und sie auch darüber informiert, dass wir diesen Dienst untersuchen müssten, bevor er in Gang gesetzt wird. Facebook informierte uns einen Tag später darüber, dass sie diesen Dienst dann doch noch nicht starten würden.
Spätestens seit dem Steuerstreit um Apple schwingt bei Kritik an Irland häufiger der Vorwurf mit, Dublin agiere gegenüber Tech-Konzernen zu nachsichtig. Ist die Kritik berechtigt - und trifft sie auch auf ihre Behörde zu?
Die irische Regierung versucht, wie die meisten Regierungen weltweit, ausländische Direktinvestitionen ins Land zu holen. Firmen wie die Tech-Konzerne kommen unter anderem zu uns, weil die Körperschaftssteuer in Irland niedrig ist, weil wir hier junge und gut ausgebildete Arbeitskräfte haben und weil wir ein englischsprachiges Land sind. Wir sind auch das am westlichsten gelegene EU-Land, was amerikanischen Firmen wichtig ist. Es gibt eine ganze Reihe von Gründen dafür, dass diese Firmen nach Irland kommen. Die haben alle für sich nichts mit dem Datenschutz zu tun. Im Gegenteil: Es gibt Studien, die zeigen, dass diese Firmen auf strikte Vorschriften Wert legen. Denn das bestärkt das Vertrauen der Kunden in diese Firmen. Einige Tech-Konzerne haben in der Vergangenheit betont, dass ihnen aus diesem Grund ein strenges regulatorisches Umfeld wichtig ist. Auch der Umstand, dass bei uns noch 23 Untersuchungen gegen große Tech-Konzerne laufen, zeigt, dass wir bereit sind, es mit diesen Firmen aufzunehmen.
