Die DSGVO wird 5 Jahre! Das ist einen Tusch wert, denn seither haben wir in Europa endlich einen ziemlich einheitlichen Standard im Datenschutz. Dieser Standard wird als Verordnung direkt in den EU-Mitgliedsstaaten ohne Umsetzungsakt angewendet. Er bietet zwar mit sogenannten „Öffnungsklauseln“ auch einen Spielrahmen für die Mitgliedsstaaten in bestimmten Bereichen, der in den einzelnen Ländern erst in jeweilige Gesetze gegossen werden musste. Aber selbst hier gibt die Datenschutzgrundverordnung zumindest den Rahmen vor und setzt damit wichtige Leitplanken.

So weit, so fein. Jedoch hat man auch nach 5 Jahren das Gefühl, immer noch in der Findungsphase zu sein, da vieles in der DSGVO offen formuliert wurde und auch das Ergebnis von politischen Kompromissen ist. Der Klassiker für so einen Kompromiss ist das berüchtigte „berechtigte Interesse“. Dieser Begriff ist aber so dehnbar, dass es immer wieder zu blühenden Diskussionen unter Datenschützer:innen und Jurist:innen führt.

Auslegungssache?

Damit zu den Untiefen der DSGVO, denn ihre Auslegung wird zunehmend zu einer Schlacht von unterschiedlichen Urteilen, die dann jahrelang durch mehrere Instanzen laufen. Die Richter:innen sind größtenteils nicht besonders inspiriert, zumal hier technische Fragen mit Rechtsfragen kollidieren. Andererseits sind auch Anwält:innen, die nicht spezialisiert sind, nicht besonders affin, solche Fälle zu bearbeiten. Zu guter Letzt haben Kläger:innen ein kostspieliges Verfahren vor sich. Dieses Risiko nimmt zu, je länger das Verfahren dauert. Der Europäische Gerichtshof konkretisiert in seinen höchstinstanzlichen Rechtsprechungen oft genug. Leider aber oft auch sehr salomonisch, indem er eine grobe Richtung vorgibt und die Auslegungssache dann wieder von vorne beginnt – manchmal sogar reichlich widersprüchlich.

Freude über klare Rechte – Mahnung an träge Verwaltung

Anlässlich von 5 Jahren und einer steten technischen Entwicklung im Feld der Digitalisierung wollen wir uns aber immer noch freuen, dass es überhaupt eine Art Kompendium zum Nachsehen gibt. Denn es hat viel Gutes gebracht, wie zum Beispiel klare Rechte, wenn die eigenen personenbezogenen Daten verarbeitet werden. Dazu gehört z.B. das Recht auf Löschung, Vergessenwerden oder Richtigstellung der eigenen Daten.

Die Behörden sollen dabei für uns als Betroffene einer Datenschutzverletzung ein verlässlicher Ansprechpartner sein. Hier knirscht es aber leider ziemlich. Ganz oft verenden Verfahren im Getriebe zwischen den unterschiedlichen Behörden. Der Erfolg über klare Zuständigkeiten zu Verfahren (One-Stop-Shop) funktioniert nicht wirklich. Außerdem hat man mindestens im Fall der legendären irischen Datenschutzbehörde das Gefühl, die oft lasche Behandlung der Fälle sei politisch motiviert, weil man seinen eigenen Minimumstandard an durchgesetztem Datenschutz gegenüber Datenkraken nicht gefährden will. (Update 29.06.: Die irische Datenschutzbehörde versucht scheinbar sogar, problematische DSGVO-Fälle „geheim“ zu machen, um sich öffentlicher Kritik zu entziehen.) Leider sind die Verfahren auch viel zu lang. Vom Zeitpunkt der Beschwerde bis zur endgültigen Entscheidung vergeht zu viel Zeit.

Die größten Probleme lauern also auf der Verwaltungsebene, die schlicht und ergreifend nicht funktioniert. Da werden Verfahren einfach geschlossen ohne Entscheidung. Oder man bleibt untätig und sitzt die Probleme zugunsten von Megakonzernen einfach aus, bis eventuell doch noch jemand klagt, was unterm Strich rein kalkulatorisch betrachtet die günstigere Lösung ist. Oder, oder, oder, die Liste der Nicht-Durchsetzungen ist lang. Max Schrems und sein Team von NOYB haben dazu einige Ressourcen bereitgestellt, die fast schon komisch anmuten, wenn es nicht so traurig wäre. Einen Überblick findet ihr hier. Die gängigsten Probleme in Österreich sind hier gelistet und hier findet ihr eine Übersicht der Nicht-Durchsetzungen und Verzögerungen der von NOYB angestrengten Verfahren. NOYB bezeichnet deshalb die DSGVO als zahnlosen Papiertieger, der dringend mehr Rechtsdurchsetzung benötigt.

Zuerst  war der Gedanke

Immerhin, mit der Einführung der DSGVO ist ein Bewusstsein bei den Menschen angekommen, dass Daten Güter sind und ein Thema, das Aufmerksamkeit verdient. Auch wissen heute viel mehr Menschen über den Wert ihrer Daten und schützen sie daher individuell besser. Somit wird der einfache „Datendiebstahl“ durch große Unternehmen zumindest hinterfragt und damit etwas erschwert.

Außerdem haben wir zum Glück ein verbrieftes Recht auf Auskunft. Das ist niederschwllig, denn es kostet wenig und jede:r kann es ausüben, auch ohne Konsultation eines Anwalts. Leider nutzen dieses Recht auf Auskunft viel zu wenige Menschen. Denn wenn beispielsweise jede:r die über sich gespeicherten Daten einmal im Jahr abfragen würde, würde das sicher auch bei den Unternehmen zu mehr Bewusstsein für Datenschutz beitragen. Die deutschen Behörden haben dafür eine Seite, die dieses Recht gut erläutert, falls ihr jetzt tätig werden wollt.

Recht braucht Rechtsdurchsetzung

Apropos Rechtsdurchsetzung: Hier ist definitiv noch Luft nach oben. Denn das normale Prozedere der Datenschutzbehörden besteht meist darin, denen, die gegen den Datenschutz verstoßen, großzügig entgegenzukommen. Das trägt nicht unbedingt zur ordentlichen Umsetzung der Datenschutzgrundverordnung bei. Wenn man als Firma weiß, dass normalerweise der erste Verstoß quasi nicht geahndet wird, sofern man Besserung gelobt, warum sollte man dann von Haus aus sauber arbeiten? Für die Meisten Firmen ist Datenorganisation bis zum ersten erpresserischen Hack nur ein Kostenfaktor. Wenn man nur Hacks von außen auf die Geschäftsdaten bedenkt, hat man aber immer noch nicht seine Daten, z.B. der Mitarbeiter:innen, Kund:innen und Lieferant:innen ordentlich organisiert und geschützt und mit Speicherfristen und Löschfristen versehen. Die Gelbußen von insgesamt ca. 4 Milliarden Euro für DSGVO-Verstöße erscheinen somit eher als kleine Summe gegenüber den Erspressungssummen. DSGVO-Strafen werden also meist einfach eher eingepreist und nicht als Ansporn verstanden, seine Daten und die seiner Kund:innen etc. zu schützen. Hier sollten Unternehmen in den nächsten Jahren unbedingt einen Richtungswechsel vollziehen, denn der Umgang ist gerade im Mittelstand oft grob fahrlässig.

Auf dem Wunschzettel für eine bessere Rechtsdurchsetzung steht auch die Frage der Cookie-Banner. Wann wird hier endlich mal in großem Rahmen durchgegriffen, wenn Nutzende ständig unrechtmäßige, nervige Knöpfe drücken müssen, bevor sie überhaupt auf eine Webseite gelangen? Wie viele Webseiten gibt es, wo in der Mobilversion die Cookies einfach stehen bleiben? Wie viele Webseiten fragen zwar, ob man den Datenverkehr erlaubt, nehmen aber schon bevor man überhaupt zustimmen kann Kontakt auf, den man ja eigentlich ablehnen will? Diese Beispiele sind nur die Spitze des Eisbergs. Auch hier fordern wir umfangreiche Nachbesserungen.

Famous Last Words

Trotz einiger Ungereimtheiten freuen wir uns heute und gratulieren zu 5 Jahren DSGVO! Denn sie hat in Europa Goldstandards für Datenschutz gesetzt und wurde auch oft kopiert. Im weltweiten Vergleich gelten diese Standards aber leider oft als zu hoch und es ist fraglich, inwiefern sie sich weiter verbreiten werden. Dafür muss die Politik endlich unsere halbwegs hohen Standards als den Vorteil bzw. Schutz sehen, den sie darstellen. Derzeit fokussiert sie sich im politischen Alltag lieber auf die Nachteile. Wir appellieren hier einmal mehr, den bereits eingeschlagenen guten Weg der DSGVO fortzuführen. Dazu gehört auch, an den gegebenen Stellen nachzubessern und eine ordentliche Rechtsdurchsetzung zu garantieren.

Blicken wir auf die Zukunft, ist diese reichlich ungewiss. Aktuell bricht sogenannte Künstliche Intelligenz über uns herein und wird sicherlich mindestens so disruptiv sein, wie die Einführung des iPhones. Auf europäischer Ebene bleibt abzuwarten, wo die Stärken und Untiefen des Digital Services Act und des Digital Markets Act im Alltagshandeln sind. Und am Ende bleibt die ganz spannende Frage, wie die Gesellschaft die Digitalisierung umsetzt und verkraftet. Danke DSGVO, dass du uns auf diesem holprigen Weg erstmal ein wenig schützend begleitest. Und jetzt Happy Birthday!