Fünf Jahre DSGVO: "Beschwerden wegschmeißen ist auch 'ne Behandlung"
Wohl selten hat eine EU-Gesetzgebung für so viel Verwirrung und Panik gesorgt wie die Datenschutz-Grundverordnung (DSGVO) bei ihrem Inkrafttreten vor fünf Jahren . Inzwischen ist der Pulverdampf verflogen und einer gewissen Gewöhnung, aber auch Ernüchterung gewichen. Zwischen Anspruch und Wirklichkeit der DSGVO klafft nach den ersten fünf Jahren weiterhin eine große Lücke. Viele Behörden bearbeiteten die Beschwerden von Bürgern erst gar nicht, sagte der österreichische Datenschutzaktivist Max Schrems in einer Diskussionsrunde der Initiative Privacy Provided(öffnet im neuen Fenster) anlässlich des Jahrestags.
Passend zum Jubiläum hat der Meta-Konzern erst vor drei Tagen einen Bußgeldbescheid über happige 1,2 Milliarden Euro erhalten . Dass es überhaupt dazu kommen konnte, hat Meta zwei weiteren Diskussionsteilnehmern zu verdanken: dem früheren EU-Abgeordneten und Vater der DSGVO, Jan Philipp Albrecht, sowie behördlichen Datenschützern wie dem Bundesdatenschutzbeauftragten Ulrich Kelber.
DSGVO sorgt nicht automatisch für kompletten Datenschutz
Albrecht trug als Verhandlungsführer des Europaparlaments dazu bei, dass Datenschutzverstöße mit Bußgeldern von bis zu vier Prozent des Jahresumsatzes geahndet werden können. Und Kelber sorgte zusammen mit anderen Datenschutzbeauftragten dafür, dass die irische Behörde mit ihrer Nachsicht gegenüber den Datenschutzverstößen durch Facebook, Whatsapp und Instagram nicht durchkam. Somit alles in bester Ordnung?
Für Albrecht, inzwischen Vorsitzender der grünennahen Heinrich-Böll-Stiftung, ist es mitnichten so, "dass wir nun plötzlich völlig unbehelligt durch die Welt gehen können" , mit dem Wissen, "unser Datenschutz ist überall gewährleistet, weil es die Verordnung gibt" . Das sei eine Aufgabe, "die weiter gehen wird und vielleicht nie auch nie aufhört" .
Kelber sieht "wesentliche Besserungen"
Nach Ansicht Kelbers, seit Anfang 2019 Bundesdatenschutzbeauftragter, ist es durch die DSGVO in einigen Bereichen "zu wesentlichen Besserungen" gekommen. So sei die Zahl der Beschwerden auch deshalb zurückgegangen, "weil wir bestimmte Massengeschäfte besser in den Griff kriegen" . Dazu zählten Beschwerden im Postbereich, bei den Jobcentern oder den Finanzämtern, beispielsweise im Zusammenhang mit geschwärzten Kontoauszügen(öffnet im neuen Fenster) .
Noch größere Fortschritte gab es laut Kelber in EU-Staaten, in denen es vor Einführung der DSGVO noch kein ausgefeiltes Datenschutzrecht gegeben habe. Zudem nehme auf internationaler Ebene die Zusammenarbeit in diesem Bereich zu.
Für einen Datenschutzaktivisten wie Schrems stellt sich die Situation jedoch nicht ganz so positiv dar.
Auch Gerichte wollen sich nicht mit Beschwerden befassen
Seiner Darstellung zufolge weigern sich viele Datenschutzbehörden, die Beschwerden von Bürgern angemessen zu bearbeiten. Viele Behörden sähen darin nur eine "bloße Information des Bürgers und dem kann man dann einfach zurückschreiben: 'Machen wir nicht'" . Da die DSGVO die Behörden lediglich dazu verpflichte(öffnet im neuen Fenster) , eine Beschwerde auch zu bearbeiten, laute vielfach das Motto: "Beschwerde nehmen und wegschmeißen ist auch 'ne Behandlung."
Die Position werde auch von den Gerichten gestützt. Diese sagten dann: "Man kann sich beschweren, aber das heißt noch lange nicht, dass die Beschwerde auch bearbeitet werden muss." Auch die Richter ersparten sich damit viel Arbeit, wenn sie ein solches Beschwerderecht abstritten. Das Versprechen der EU, wonach jeder Bürger den Schutz seiner Daten über seine zuständige Behörde durchsetzen könne, sei weit von der Realität entfernt, sagte Schrems.
Kelber: Jede Beschwerde wird bearbeitet
Dem widersprach Kelber mit Blick auf seine eigene Behörde. Jede der vielen Tausend Beschwerden ende mit einem Bescheid, sagte der Bundesdatenschutzbeauftragte. Seiner Ansicht nach bekommt Schrems eher "die pathologischen Fälle" im Datenschutz zu sehen, während seine Behörde häufig mit Warnungen oder Verwarnungen Erfolge erzielen könne, die der Öffentlichkeit jedoch nicht bekannt würden.
Sein Beispiel: Wenn eine von ihm beaufsichtigte Krankenkasse versuche, ihre Mitglieder in einer App mit falschen Datenschutzargumenten in eine unsichere Datenhaltung zu bewegen, dann reiche es aus, mit einem teuren und komplizierten Verfahren zu drohen. "Und dann ändern die das" , sagte Kelber, was aber nie in einem Tätigkeitsbericht oder in einer Pressemitteilung erscheine. Das mache aber 99 Prozent der Arbeit aus.
"Faulheit verhindert Innovationen"
Der Bundesdatenschutzbeauftragte verwahrte sich in der Diskussion vehement gegen die oft von Firmen oder Politikern vorgetragene Behauptung, wonach Datenschutz Innovationen verhindere. Studien sprechen beispielsweise davon(öffnet im neuen Fenster) , dass der Datenschutz eher inkrementelle Innovationen auf Kosten von radikalen Neuerungen begünstige.
Nach Angaben Kelbers lautet die Antwort in der dieser Frage in 70 Prozent der Fälle schlicht "Nein" . In zehn Prozent der Fälle verhindere seine Behörde Geschäftsmodelle, die den europäischen Werten widersprächen. In 20 Prozent der Fälle seien konkrete Fragen zu klären, wie beispielsweise der Zugang zu Daten für Forschungsfragen oder zum KI-Training.
In den genannten 70 Prozent der Fälle sei die Innovation aus anderen Gründen nicht da. "Faulheit, mangelnde Finanzen, Unkenntnisse, schlechte Software, und wir stoßen da wirklich auf alles, was Sie sich nur vorstellen können" , sagte Kelber. So könne man in Bonn weiterhin kein E-Kennzeichen für Elektroautos online beantragen, weil das E noch nicht verarbeitet werden könne. Digitale Gesundheitsanwendungen seien bisweilen schlecht programmiert, so dass beispielsweise Depressionstagebücher im Klartext auf einem zentralen Server gespeichert würden.
Doch wie können Bürger Druck auf untätige Aufsichtsbehörden ausüben?
Untätigkeitsklage kostet mindestens 5.000 Euro
"Wenn Behörden unzureichend verfolgen, was im Gesetz steht, muss man sie mit Gerichtsverfahren oder internen Verwaltungsverfahren dazu bringen" , sagte Albrecht. Wenn die Behörden nicht ausreichend mit Personal und Mitteln ausgestattet seien, müsse die EU-Kommission die Mitgliedstaaten dazu zwingen, die erforderliche Ausstattung zur Verfügung zu stellen.
Doch nach Ansicht Schrems ist dies leichter gesagt als getan. In den meisten EU-Ländern, auch in Deutschland, koste es zwischen 5.000 und 10.000 Euro, eine Untätigkeitsklage gegen eine Behörde einzureichen. "Für die Behörden ist es relativ banal, es darauf ankommen zu lassen" , sagte Schrems. So habe seine Datenschutzorganisation Noyb bei europaweit 800 Beschwerden nicht einmal in 15 Prozent der Fälle eine Entscheidung herbeiführen können.
Trend zur Nichtbearbeitung von Beschwerden
Schrems sieht gar einen "massiven Trend" in Europa, Beschwerden nicht mehr zu bearbeiten. Das habe mit Frankreich angefangen und könnte dazu führen, dass die EU-Kommission in einer neuen DSGVO-Verfahrensregelung den Beschwerdeführern praktisch keine Rechte mehr einräumt. Anders als in anderen Bereichen, wie beim Falschparken oder bei den Steuern, sei es im Datenschutzrecht "noch immer nicht unüblich" , das Recht nicht durchzusetzen. Daher sei es kein Zufall, dass große Firmen sich in Irland oder Luxemburg ansiedelten, wo die Durchsetzungskultur "noch viel absurder" sei.
Verbandsklagerecht begrüßt
Kelber setzt daher darauf, auf Dauer höchstrichterliche Entscheidungen in den kritischen Punkten zu bekommen, die dann auf viele Fälle übertragbar seien. Dafür sei der Zeitraum von Jahren noch nicht ausreichend gewesen. "Wichtig wird es sein, die Fragestellung auf einen Kern zurückzuführen, der nicht mit einer leichten Änderung der AGB oder der Information verändert werden kann" , sagte Kelber. Es könne nicht sein, dass sich einfach zu entscheidende Fragen zum Auskunftsrecht nach Artikel 15 DSGVO "über vier, fünf Jahre ziehen, bis die Bürgerinnen und Bürger aufgeben" . Das könnte in einem halben Jahr abgeschlossen sein.
Die neu geschaffene Möglichkeit des Verbandsklagerechts wird von den Datenschützern daher unisono begrüßt. Damit könne auch zivilrechtlich gegen Verstöße vorgegangen werden. Zudem werde es Verbrauchern ermöglicht, in einer Art Sammelklage gegen Unternehmen vorzugehen. "Da kann es interessant werden, dass da sehr viel passiert" , sagte Schrems. Durch die zu erwartenden hohen Schadenssummen könne das Firmen eher zum Umdenken zwingen, auch wenn diese mit Sicherheit vor US-amerikanischen Verhältnissen oder vor einer Abmahnwirtschaft warnen würden.
Wirtschaft beklagt Verunsicherung
Wie zur Bestätigung der Aussagen teilte der IT-Branchenverband Bitkom mit, dass aus Sicht der Wirtschaft die DSGVO Innovationen hemme. "6 von 10 Unternehmen (62 Prozent) zögern bei der Datennutzung, weil sie Angst haben, gegen den Datenschutz zu verstoßen. Fast ebenso viele (60 Prozent) haben schon einmal Pläne für Innovationen gestoppt, weil datenschutzrechtliche Vorgaben oder Unsicherheiten sie dazu gezwungen haben" , teilte der Verband unter Berufung auf einer Umfrage unter rund 600 Firmen in Deutschland mit.
Bitkom-Präsident Achim Berg sagte: "Die DSGVO hat ihr Versprechen, für europaweit einheitliche, verständliche und praxistaugliche Datenschutzregeln zu sorgen, nicht eingelöst. Stattdessen führt die von jeder nationalen und regionalen Aufsicht eigenständige Interpretation der Regeln zu Rechtsunsicherheit." Viele Unternehmen verzichteten deshalb auf die Entwicklung neuer Technologien und Dienste oder verlagerten ihre Projekte ins Ausland. Das zeige sich auch an "Verboten für innovative Technologien wie ChatGPT in einzelnen EU-Mitgliedstaaten, die für massive Verunsicherung sorgen" .
Die Aussagen machen deutlich: Auch fünf Jahre nach Einführung der DSGVO gibt es weiterhin sehr unterschiedliche Meinungen, was die Anforderungen an den Datenschutz betrifft. Die Klarheit, die sich die Unternehmen wünschen, liegt dabei auch im Interesse der Datenschützer. Doch wie das Beispiel des transatlantischen Datentransfers zeigt, der bereits zweimal durch Klagen von Schrems stark beeinflusst wurde: Das eigentliche Problem ist nicht der Datenschutz, sondern das Interesse von Staaten und Unternehmen, die Daten der Bürger möglichst ungeniert verarbeiten und nutzen zu können. Das wird sich vermutlich in den kommenden fünf Jahren kaum ändern.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.