Noyb: Irland verabschiedet Gesetz, das problematische DSGVO Fälle »geheim« macht, Irische Behörde will Kritiker mundtot machen

Wien, 29. Juni 2023

Trotz heftiger Kritik der Zivilgesellschaft (ICCL, Amnesty, EDRi, BEUC) und hartem Widerstand im irischen Parlament hat Irland ein Gesetz verabschiedet, das es der irischen Datenschutzkommission (DPC) ermöglicht, jeden zu kriminalisieren, der Informationen über anhängige Verfahren weitergibt. Das Gesetz ist zwar vage und wahrscheinlich verfassungswidrig, aber ein perfektes Instrument um kritische Beschwerdeführer weiter unter Druck zu setzen. Das Gesetz wurde von der DPC beauftragt und zielt darauf ab, gemeinnützige Organisationen zum Schweigen zu bringen. Trotz der Verabschiedung dieser »Lex Noyb«, werden wir legitime öffentliche Äußerungen über DSGVO Fälle nicht einschränken.

Section 26 a wurde von Regierungsmehrheit verabschiedet. Gegen die Kritik aller Oppositionsparteien und sogar zweier Mitglieder der Regierungskoalition hat die Regierungsmehrheit aus Fine Gael (EVP), Fianna Fáil (Renew) und den »Grünen« eine Änderung des Datenschutzgesetzes verabschiedet. Damit wird der DPC ermöglicht, Dokumente als »vertraulich« zu erklären. In der langwierigen Debatte über diese Änderung geriet James Browne, der das Justizministerium vertritt, unter starken Druck. Mitglieder des irischen Parlaments stellten wiederholt die Auswirkungen auf die Redefreiheit, die Zusammenarbeit mit dem EDSA und die geografische Anwendung in Frage und forderten ihn auf das Gesetz zurückzuziehen.

Max Schrems: »Es scheint unsere Arbeit für mehr Datenschutz ist so effektiv, dass man uns jetzt kriminalisieren mag. Die irische Regierung und die DPC begeben sich damit auf das Niveau von Orban & Co.«

Geltungsbereich von Section 26 a umstritten. Während die Regierung den Standpunkt vertritt, dass die Datenschutzbehörde nur unter ganz bestimmten Umständen und für bestimmte Informationen »Vertraulichkeit« beanspruchen kann, hat die Datenschutzbehörde in der Vergangenheit (ohne jegliche Rechtsgrundlage) ganze Verfahren für vertraulich erklärt. Das Gesetz sieht für eine solche rechtswidrige Praxis keinen Rechtsschutz vor.

Max Schrems: »Die Verfassungsmäßigkeit von Section 26 a ist sehr fraglich. Die DPC hat das Gesetz schon vor dieser Novelle missbraucht. Ich gehe davon aus, dass sie sich jetzt noch mehr ermutigt fühlt. Es ist sehr wahrscheinlich, dass sich der Kampf um Redefreiheit nun zu den Gerichten verlagert.«

Section 26 a kriminalisiert Information. Section 26 a könnte von der #DPC auch dazu verwendet werden, den Austausch von Dokumenten mit Beschwerdeführern, anderen Datenschutzbehörden oder sogar dem EDSA zu behindern. Die vielen Menschen, die mit dem Verfahren vor der DPC unzufrieden sind, könnten vor dem Straftgericht landen, wenn sie zu viel sagen. Unabhängig von tatsächlichen Strafen wird die bloße Androhung mit dem Strafgericht die meisten Menschen zum Schweigen bringen.

Verstößt Abschnitt 26 a gegen EU und irisches Recht?

Gesetze, die die Verwendung von Informationen einschränken, enthalten in der Regel eine Ausnahme für die Meinungsfreiheit. In Section 26 a heißt es, dass Informationen verwendet werden dürfen, wenn dies »gesetzlich zulässig« ist was die Berufung auf die Meinungsfreiheit zu ermöglichen scheint. Es ist jedoch wahrscheinlich, dass die Datenschutzbehörde versuchen wird, Strafanzeige gegen jeden zu erstatten, der sich auf eine Ausnahmeregelung für die Meinungsfreiheit beruft.

Max Schrems: »Alle Juristen, mit denen wir gesprochen haben, sind der Meinung, dass Section 26 a an sich gegen irisches und EU Recht verstößt. Er könnte so interpretiert werden, dass die Meinungsfreiheit erhalten bleibt, aber die DPC wird wahrscheinlich genau das Gegenteil tun. Das wird nur zu immer mehr Rechtsstreitigkeiten über Akten führen, anstatt dass die #DSGVO durchgesetzt wird.«

Irisches Recht gilt im Rest der EU nicht. Während die DPC in der Vergangenheit den Standpunkt vertreten hat, dass ihre Anordnungen oder Vorschriften in anderen EU Mitgliedstaaten gelten würden, ist das irische Strafrecht auf Handlungen innerhalb Irlands beschränkt. Ebenso stellt Artikel 55 (1) der DSGVO klar, dass jede Datenschutzbehörde nur in ihrem eigenen Mitgliedstaat zuständig ist. Zusätzlich zum irischen Recht hindert daher auch EU Recht die DPC daran, Section 26 a außerhalb Irlands anzuwenden.

Max Schrems: »Während Section 26 a für Personen in Irland ein großes Problem darstellen wird, kann irisches Recht im Ausland nicht gelten. Irland hat keine Befugnis, die Meinungsfreiheit im Rest der Europäischen Union zu regeln.«

Europäische Zusammenarbeit weiter unter Druck

Während grundsätzlich alle anderen Datenschutzbehörden uneingeschränkten Zugang zu Dokumenten gewähren (mit Ausnahme von Geschäftsgeheimnissen und ähnlichem), unterliegen einige Mitgliedstaaten und die EDSA auch Informationsfreiheitsgesetzen. Der außergewöhnliche Ansatz der irischen DPC, ganze Verfahren einfach als »vertraulich« zu deklarieren, führt wahrscheinlich zu weiteren Spannungen zwischen der irischen DPC und dem EDSA und das zu einem Zeitpunkt, zu dem die DPC den EDSA bereits vor den europäischen Gerichten verklagt hat. Zwar steht EU Recht über nationalem Recht, doch hat die DPC Forderungen anderer Datenschutzbehörden einfach ignoriert.

Max Schrems: »Es ist klar, dass EU Recht irische Geheimhaltungsgesetze unanwendbar macht, aber in Wirklichkeit wird die DPC die Unterscheide nutzen um die Verfahren weiter zu behindern. Schließlich gibt es keine EU Polizei, der EU Recht gegen die DPC durchsetzen könnte. Wir bewegen uns auf eine noch angespanntere Situation mit der DPC zu.«

Noyb wird Information nicht einschränken

Noyb hat bisher Dokumente in dem Umfang weitergegeben, der für die Ausübung der Meinungsfreiheit relevant und notwendig ist. Im Gegensatz zu einigen Behauptungen der DPC und von Big Tech über »Leaks« wurden diese Dokumente immer in voller Ãœbereinstimmung mit dem Gesetz beschafft (zum Beispiel nach Informationsfreiheitsgesetzen oder den geltenden Verfahrensgesetzen außerhalb Irlands).Noyb prüft derzeit alle Möglichkeiten, aber um sicherzustellen, dass wir weiterhin in vollem Umfang das Gesetz einhalten, müssen wir möglicherweise die Verfügbarkeit bestimmter Informationen in Irland beschränken. Da die DPC wahrscheinlich versuchen wird, Section 26 a auch außerhalb Irlands durchzusetzen, ist zu erwarten, dass europäische Verfahren gegen Big Tech in Irland noch umfangreicher blockiert werden. Andere Datenschutzbehörden werden noch härter darum kämpfen müssen, Akten und Dokumente von der DPC zu erhalten. Die DPC wird Section 26 a wahrscheinlich missbrauchen, um die großen Konzerne in Irland weiterhin zu schützen.

Max Schrems: »Wir werden uns nicht einem verfassungswidrigen lokalen Gesetz beugen. Das kann jedoch bedeuten, dass einige Informationen, die wir zur Verfügung stellen, in Irland nicht mehr verfügbar sein werden. Die DPC und Meta haben schon früher mit Klagen gedroht, diese aber nie umgesetzt wahrscheinlich weil sie wissen, dass sie einen solchen Fall verlieren würden. Wir müssen jedoch damit rechnen, dass die DPC diese neue Bestimmung nutzen wird, um Verfahren noch weiter zu verkomplizieren.«

Noyb, Europäisches Zentrum für Digitale Rechte. Der Verein Noyb [Aussprache] treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher rund 800 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie #Google, #Apple, #Facebook und #Amazon. Mehr als 5.000 Fördermitglieder ermöglichen die #Arbeit von Noyb.

Gütsel Webcard, mehr …

Noyb, European Center for Digital Rights
Goldschlagstraße 172/4/2
1140 Wien, Austria
E-Mail info@noyb.eu
www.noyb.eu