3 Jahre DSGVO: Der Reformdruck wächst, an der Durchsetzung hapert's

Inhaltsverzeichnis

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). "Datenschutzregeln europäisch zu vereinheitlichen war und ist die richtige Entscheidung", erklärte zum Dreijährigen an diesem Dienstag der Präsident des IT-Verbands Bitkom, Achim Berg. Die bisherige Bilanz zeige aber auch: Das komplexe Gesetz habe sein wichtigstes Ziel, den rechtlichen Rahmen und die Anwendungspraxis beim Datenschutz europaweit zu harmonisieren, verfehlt. Dies liege an zu vielen Öffnungsklauseln, "die nationale Sonderwege ermöglichen".

Immer noch keine Harmonisierung

"Die Abstimmung unter 27 Aufsichtsbehörden auf EU-Ebene zu einer einheitlichen Auslegung und Durchsetzung der Regeln funktioniert in der Praxis nur schleppend", moniert Berg. Zudem legten allein in Deutschland 18 Aufsichtsbehörden von Bund und Ländern die DSGVO unterschiedlich aus. Diese regionale Kirchturmpolitik müsse beendet werden, fordert der Cheflobbyist. Viele Unternehmen seien noch immer unsicher, wie sie die Vorgaben umsetzen müssten. Umfangreiche Prüfungen und langwierige Debatten bänden Ressourcen.

Aus Sorge vor teils "existenzbedrohenden Bußgeldern" werde im Zweifelsfall auf Innovationen verzichtet, meint Berg. Wichtige Digitalisierungsvorhaben würden verzögert. Gerade während der Corona-Pandemie habe dies in der öffentlichen Verwaltung, in Schulen, im Gesundheitswesen und in Unternehmen beobachtet werden können. Andernfalls zeigte sich in den vergangenen Monaten auch, dass die Notlage den Datenschutz etwa im Bildungsbereich schleifte: teils gaben die Kontrolleure – zumindest zeitlich begrenzt – Technik frei, die nicht als DSGVO-konform gilt.

"Derzeit haben weder die User noch die Unternehmen in irgendeiner Art gewonnen", sieht auch der Chef des Reichweitenmessers Infoline, Wolfgang Lanzrath, keinen Grund zum Feiern des Jahrestags. Eher das Gegenteil sei der Fall: "Wer findet sich denn zwischen den ganzen Cookie-Bannern und endlosen Datenschutzerklärungen zurecht?" Nach der DSGVO sei vor dem TTDSG für den Datenschutz in der Kommunikation. Damit stünden potenziell weitere Einschränkungen an.

Deutlich mehr Datenpannen

Vielen in der Wirtschaft fällt es offenbar schwer, gerade die wegen der Corona-Pandemie wachsenden Datenmengen im Einklang mit der Verordnung zu verarbeiten. 26.057 Datenpannen wurden im vergangenen Jahr deutschlandweit gemeldet, so viele wie zwischen Mai 2018 bis Ende 2019 nicht. Am häufigsten kamen Vorfälle im Zusammenhang mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln zur Sprache.

Die hiesigen Datenschutzbehörden verhängten 2020 Bußgelder in Höhe von 48,1 Millionen Euro, rund 50 Prozent mehr als im Vorjahr. Europaweit summierte sich die Höhe der Strafen in den 27 Mitgliedsländern auf knapp 159 Millionen Euro, ein Plus von rund 40 Prozent. Über den Anstieg und die höchsten verhängten Bußgelder geben Portale wie der Enforcement Tracker Auskunft. Den individuellen "Rekord" hält Google mit einer Strafe aus Frankreich in Höhe von 50 Millionen Euro auf einen Schlag.

Nicht alle IT-Firmen finden die Verordnung schlecht. "Wenn uns die öffentlich viel gescholtene DSGVO eins gebracht hat, dann die Stärkung der EU als Wirtschaftsstandort", findet Daniel Niesler, Chef des Datentransferdiensts FTAPI. Viele Unternehmen aus Drittstaaten hätten "den Datenschutz seit jeher als eine offene Hintertür" betrachtet. Daher falle inzwischen auf, dass Rechenzentren "oder gleich ganze Unternehmenssitze in die EU verlagert werden". Dennoch ändere sich die Mentalität nur langsam: "Viele Firmen vernachlässigen die Kombination von Datenschutz und Datensicherheit auf geradezu fahrlässige Weise."

Mindeststandards umgesetzt

"Ohne Vertrauen der Konsumenten kann unsere Branche nicht funktionieren", weiß auch Stefan Blumenthal, Deutschlandmanager der hierzulande gegründeten Datenplattform Zeotap. "Vielem, was wir schon immer gemacht haben, hat die DSGVO einen rechtlichen Rahmen gegeben und damit auch für faireren Wettbewerb gesorgt." Seit drei Jahren müssten sich alle Marktteilnehmer an bestimmte Mindeststandards halten. Nun gelte es aber, die rechtlichen Bedingungen für die Umsetzung noch "deutlich kundenfreundlicher zu gestalten".

"Unsere Datenschutzregeln bieten einen flexiblen Rechtsrahmen, der auch in Zeiten der Covid-19-Pandemie seinen Zweck erfüllt", unterstreicht Věra Jourová, die als Vizepräsidentin der EU-Kommission für Werte und Transparenz zuständig ist. Diese Erkenntnis aus der Theorie habe sich im vorigen Jahr in der Praxis bestätigt.

Im Juni hatte die EU-Kommission ihren ersten Evaluationsbericht zur DSGVO vorgelegt. Darin ging sie aber nicht auf Schwachstellen und Korrekturvorschläge ein, sondern befasste sich – sehr zum Unmut europäischer Datenschutzbeauftragten, anderer Vertreter der Mitgliedstaaten und Organen der EU sowie aus der Zivilgesellschaft – nur mit der Umsetzung des Regelwerks und sah daher noch keinen Reformbedarf.

Verbesserungsvorschläge

Rechtswissenschaftler des Forschungsverbunds "Forum Privatheit" haben parallel selbst Defizite der Verordnung herausgearbeitet. Sie machen in einem im Herbst erschienenen Buch 33 Vorschläge, wie die DSGVO – vor allem für die Bürger – mit kleinen Änderungen nachhaltig verbessert werden könnte.

Seit den ersten Entwürfen für die Verordnung vor über zehn Jahren hätten die Nutzung digitaler Plattformen sowie das Eindringen der Technik in alle Lebensbereiche durch Smartphones und das Internet der Dinge "den Umfang der Verarbeitung personenbezogener Daten stark wachsen lassen", erklärt Alexander Roßnagel, Sprecher des Forschungsverbunds und seit Kurzem hessischer Datenschutzbeauftragter. Vor allem Big Data und Künstliche Intelligenz führten zu einer zunehmenden Machtasymmetrie zwischen großen datenverarbeitenden Unternehmen und den Betroffenen. Dafür biete die Verordnung noch keine angemessene Antwort.

Die DSGVO sei bezogen etwa auf ihre Grundsätze und die Rechte von Nutzern "risikoneutral", führt Roßnagel aus. "Neutralität mag an anderer Stelle sinnvoll sein." Hier aber führe sie dazu, "dass Kleingärtner- oder Sportvereine denselben Datenschutzanforderungen unterliegen wie globale Großkonzerne, die über eine weitaus höhere Datenverarbeitungsmacht verfügen" und so auch für die Grundrechte ein höheres Risiko darstellten.

Wachsende Kritik an Irland

Neben diesem Manko enthält die Verordnung laut den Forschern "viele kleine Regelungslücken, Unklarheiten, Wertungswidersprüche, handwerkliche Fehler und Überregulierungen, die dringend behoben werden müssen". Die enthaltenen Kompromisse und abstrakten Formeln führten zu "Rechtsunsicherheit, Akzeptanzproblemen, Vollzugshemmnissen, Handlungsbarrieren und Investitionshindernissen".

Ein Beispiel der Experten, wie Schwachstellen behoben werden könnten: "Um bei jeder Erhebung von Daten, die auch für Profiling genutzt werden sollen, die betroffene Person ausreichend über dieses zusätzliche Risiko der Datenverarbeitung zu informieren", sollten die einschlägigen Artikel 13 und 14 DSVO entsprechend ergänzt werden. Innovative Elemente wie Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen, Zertifizierung oder Datenschutz-Folgenabschätzung müssten ebenfalls konkretisiert werden. Dies gelte etwa auch für das Recht auf Datenportabilität, das ursprünglich als Maßnahme zur Machtbegrenzung der großen Datenkonzerne gedacht gewesen sei.

Die größte Baustelle sei eine effektive und EU-weit harmonisierte Durchsetzung, räumt der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann ein. Die Datenschutzkonferenz von Bund und Ländern funktioniere zwar "in 90 Prozent der Fälle", sagte er Netzpolitik.org. Insbesondere die Aufsichtsbehörden in Irland und Luxemburg, die für die großen Fische im Tech-Teich federführend seien wie Facebook, Twitter und Amazon, machten aber zu wenig und scheuten die europäischen Abstimmungsverfahren. Gerade die Kollegen in Irland müssten "mal in die Pötte kommen". Es sei der Eindruck entstanden, "sie wollen nicht". Das EU-Parlament hat die Kommission daher gerade aufgefordert, ein Vertragsverletzungsverfahren gegen Irland einzuleiten.

(mho)