2 Jahre DSGVO: Zwischen weltweitem Vorbild und digitaler Innovationsbremse

Es sind sich alle einig: das Bewusstsein für den Datenschutz ist gestiegen. Manche rufen nach einer besseren Balance zwischen Freiheits- und Schutzrechten.

by

An diesem Montag ist die Datenschutz-Grundverordnung (DSGVO) seit zwei Jahren wirksam. Die EU-Kommission wollte eigentlich aus diesem Anlass eine erste umfassende Evaluierung der Vorschriften präsentieren, doch die verspätet sich bis Mitte Juni.

Věra Jourová, als Vizepräsidentin der Brüsseler Regierungsinstitution für Werte und Transparenz zuständig, und Justizkommissar Didier Reynders betonten aber: "Innerhalb der letzten zwei Jahre haben diese neuen Regeln nicht nur den Umgang mit personenbezogenen Daten in Europa revolutioniert, sondern sich auch zu einem weltweiten Vorbild im Bereich des Datenschutzes entwickelt."

Vertrauenswürdige Innovation

"In einer Welt, in der die Datenverarbeitung eine immer größere Rolle spielt", sorgt die DSGVO den beiden Kommissaren zufolge dafür, dass die Bürger mehr Kontrolle über ihre personenbezogenen Informationen haben. "Gleichzeitig schafft sie einen Rahmen für vertrauenswürdige Innovation." Das Normenwerk sei so "ein Eckpfeiler des digitalen Wandels in Europa". "Die Einhaltung der Vorschriften ist jedoch ein dynamischer Prozess und geschieht nicht über Nacht", wissen Jourová und Reynders auch.

Die nationalen Datenschutzbehörden, die die DSGVO durchsetzen sollen, "sind vielerorts noch nicht voll einsatzfähig". Das Duo appellierte daher an die Mitgliedstaaten, ihre Aufsichtsstellen "mit angemessenen personellen, finanziellen und technischen Ressourcen auszustatten, damit sie ihre Durchsetzungsbefugnisse auch wirksam wahrnehmen können". In Deutschland erhielt vor allem die Bundesbehörde deutlich mehr Stellen, während es auf Länderebene teils noch Lücken gibt. "Zentrale Priorität" habe für sie in den kommenden Monaten, "weiterhin für eine ordnungsgemäße und einheitliche Umsetzung der Datenschutz-Grundverordnung in den Mitgliedstaaten zu sorgen", versicherten die Kommissare. Vor einem Jahr hörte sich dies noch schärfer an, als die Exekutivinstanz insbesondere Griechenland, Portugal und Slowenien zur Eile mahnte und Vertragsverletzungsverfahren nicht ausschließen wollte.

Hiesige vom Bundestag verabschiedete Gesetzentwürfe, mit denen die Abgeordneten die nationale Rechtsordnung an die Vorgaben anzupassen suchten, beäugte die Kommission wiederholt skeptisch. Die DSGVO verlangt von Firmen und Teilen der öffentlichen Verwaltung unter anderem, private Daten stärker zu schützen, fristgerecht zu löschen und Datenpannen zu melden.

Pannen melden

Seit Mai 2018 gab es mehr als 21.000 dieser Vorfälle hierzulande. Die Dunkelziffer dürfte um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt. Organisation haben zudem erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Privacy by Design berücksichtigen, den Datenschutz also schon in Produktionsprozesse einfließen lassen. Mindestens 237 Unternehmen haben gegen die DSGVO bereits so massiv verstoßen, dass die Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten, zeigt der "Enforcement Tracker" der Kanzlei CMS. In Deutschland wurden demnach allein 2019 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro.

Der Europäische Datenschutzausschuss (EDSA) konstatierte bereits im Februar, dass sich die DSGVO als wirksame Stütze für das Grundrecht auf Datenschutz und Privatsphäre innerhalb der Gemeinschaft größtenteils bewährt habe. An der praktischen Umsetzbarkeit und den Mitteln der Prüfer müsse aber noch gefeilt werden. Es gelte, "das kooperative Verwaltungsverfahren ganz wesentlich zu optimieren", forderte der Hamburgische Datenschutzbeauftragte Johannes Caspar am Freitag vor allem mit Blick auf "sich vielfach extrem in die Länge" ziehende große Verfahren gegen "globale datenintensive Player" wie den Fall des Transfers von Nutzerdaten von WhatsApp an den Mutterkonzern Facebook, für den die irische Datenschutzbehörde zuständig ist. Der Eindruck: "Die Kleinen hängt man und die Großen lässt man laufen" dürfe nicht gelten. Caspar fordert daher klare zeitliche Vorgaben wie eine dreimonatige Frist, in der Entscheidungsentwürfe vorliegen sollen.

Mutigere Umsetzung

"Nach der intensiven Debatte vor zwei Jahren erfolgt die Umsetzung mittlerweile zunehmend routiniert und in den allermeisten Fällen rechtskonform", freute sich der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann. "Das Bewusstsein für den Datenschutz durchdringt immer mehr Wirtschaft, Verwaltung und Gesellschaft." Aufgabe der Aufsichtsbehörden bleibe es, "hier Triebfeder und zugleich Kontrollinstanz zu sein".

Benjamin Bergemann aus dem Vorstand des Vereins Digitale Gesellschaft, bezeichnete die DSGVO als "das wichtigste Gesetz für den Schutz der Grundrechte im digitalen Zeitalter". Dieser Anspruch könne aber "nur durch eine progressivere und mutigere Umsetzung" Realität werden. Die Bürgerrechtsorganisation hat daher Vorschläge unterbreitet, wie Aufsichtsbehörden und der Gesetzgeber die Normen zielführender anwenden und durch Begleitvorschriften verbessern könnten. Die Empfehlungen zielen etwa darauf, dass der EDSA künftig riskante wie auch legitime Einsätze automatisierter "algorithmischer" Entscheidungssysteme benennt und klassifiziert. Dazu zählt der Verein etwa Upload-Filter, Online-Werbung für Waren des täglichen Bedarfs und IT-Systeme für die Spam-Detektion oder zur Angriffserkennung in Netzwerken.

Krise gibt keinen Rabatt

Digitalfirmen und Technikhersteller müssten "konsequent der Verpflichtung des Datenschutzes durch Technikgestaltung" unterworfen werden. Tracking und das Erstellen von Datenprofilen sollten mit der verzögerten neuen E-Privacy-Verordnung endlich eingeschränkt werden. Aktuell zeigt die Corona-Pandemie, welche Bedeutung der Datenschutz in Europa hat. Tracing-Apps zum Verfolgen von Infektionsfällen etwa können laut der Kommission nur dann "wirksam und flächendeckend" helfen, "wenn die Bürger darauf vertrauen, dass ihre Privatsphäre geschützt wird. Kontrolleure machen hier die Ansage, dass es auch während der Krise keinen Rabatt für das Recht auf Privatheit geben dürfe. Gerade Gesundheitsinformationen seien sehr sensible Daten.

Der Datenschutz dominiere selbst in dieser schwierigen Situation viele weitere Grundrechte wie das auf körperliche Unversehrtheit, Versammlungsfreiheit, Gewerbefreiheit oder den Zugang zu schulischer Bildung, gibt Achim Berg, Präsident des IT-Verbands Bitkom, dagegen zu bedenken. Dies habe sogar dazu geführt, dass "die Veröffentlichung einer von vielen Einschränkungen befreienden Tracing-App an Datenschutzbedenken" zunächst gescheitert sei. Lehrern werde der Einsatz "vieler gut funktionierender Videoplattformen mit Hinweisen auf Datenschutzprobleme kategorisch verboten". Für Berg steht so fest: "Offenkundig ist das bislang gut ausbalancierte System an Freiheits- und Schutzrechten mit der DSGVO aus den Fugen geraten."

Schon das Gesetzgebungsverfahren zu der Verordnung sei eines der aufwändigsten in der Geschichte der EU gewesen. Die Bilanz falle indes "bestenfalls bescheiden" aus. Das Thema Datenschutz sei zwar in aller Munde. "Von einem EU-weit einheitlichen Datenschutzniveau sind wir in der Praxis aber noch weit entfernt – dafür ist die Auslegung in den Mitgliedsstaaten zu unterschiedlich." Auch zwei Jahre nach Geltungsbeginn der DSGVO haben viele Unternehmen noch nicht alle Anforderungen umgesetzt, räumt der Bitkom ein. Nicht wenige seien der Meinung, dass ihnen das auch gar nicht möglich sei. Die Aufsichtsbehörden sähen sich zugleich "mit einer nicht zu bewältigenden Flut an Anfragen konfrontiert". Im Ergebnis stünden auf allen Seiten hohe personelle und finanzielle Aufwände.

Einwilligungsarien

Nach der geplanten DSGVO-Evaluierung muss die EU laut dem Verband "den grundsätzlichen Geburtsfehler" beseitigen, dass jeder einzelne Datenverarbeitungsvorgang und jede -erhebung erfasst würden. Dabei sollten deren "Art und Umfang" ausschlaggebend für die Pflichten sein. Firmen, die das Einhalten der DSGVO-Bestimmungen "nicht als reine Tick-the-box-Übung" verstünden, können laut Marc Ahlgrim vom Datensicherungsspezialisten Veritas aber auch "von positiven Nebeneffekten ihrer Datenmanagementprojekte profitieren". Sie seien in der Lage, den Inhalt und damit den Wert ihrer Daten besser zu verstehen und den Schutz ihrer sensibelsten immateriellen Güter zu stärken. Sie erkennten unnütze Dokumente und Dateien als solche, löschten sie von ihren Speichern und senkten so Kosten.

Willms Buhse, Gründer der Managementberatung Doubleyuu, bat Politik und Regulierer, "endlich auch einen nutzerfreundlichen Umgang mit der DSGVO" zu forcieren und "eine Daten- mit einer echten Zustimmungssparsamkeit" zu verbinden. Einwilligungsarien in Cookies sollten längst der Vergangenheit angehören.

(kbe)