Vor wenigen Tagen zog Johnny Ryan, Senior Fellow der Bürgerrechtsorganisation Irish Council for Civil Liberties, ein ernüchterndes Resümee für die DSGVO, die vor ziemlich genau drei Jahren am 25. Mai 2018 in Kraft getreten ist.[1] Im Rahmen einer Online-Konferenz der Stiftung Datenschutz zu diesem Jubiläum befand er, von dem Anschein der Ernsthaftigkeit, die Europa mit der DSGVO damals ausgestrahlt habe, sei wenig übriggeblieben. Die EU-Kommission habe die Effektivität der behördlichen Maßnahmen nicht ausreichend gewährleistet. Ryan fordert daher, die Kommission solle mehr Druck insbesondere auf die Behörden in Irland und Luxemburg ausüben. Die DSGVO sei lediglich eine „kollektive Halluzination“ und bedürfe einer Greifbarmachung vor nationalen und europäischen Gerichten, etwa in Form eines Vertragsverletzungsverfahrens.
Überforderung und Amtsschimmel
Die strengen Datenschutzregeln fanden schon 2018 – wenig überraschend – nicht nur Freunde. Während Konzerne wie Facebook und Google sich Experten leisten können, die sich mit den Feinheiten der DSGVO auseinandersetzen (und Schlupflöcher finden), standen und stehen besonders kleinere Unternehmen, Vereine und andere Einrichtungen vor einer Mammutaufgabe. Die Auskunftspflichten stellen für viele eine Überforderung dar und nicht immer verfügen externe Beratungsfirmen und Datenschutzbeauftragte über das nötige Fachwissen.[2] Auf Seite der Behörden wird oft mangelnde Zusammenarbeit kritisiert. Bürokratische Hürden bei einzelnen Pflichten der Unternehmen sollten laut dem Bundesdatenschutzbeauftragten Ulrich Kelber abgebaut werden.
Insgesamt treffen häufig fehlende Kompetenz und mangelndes Verständnis – auch in technischer Hinsicht – auf Verunsicherung, Resignation und manchmal auch Trotz. Anstatt sich mit den Anforderungen auseinanderzusetzen, hatte beispielsweise die Erzdiözese Freiburg kurz nach Inkrafttreten der DSGVO sicherheitshalber ganz auf Online-Gottesdienste verzichtet; auch der gesamte Vorstand der „Bewegungs- und Rehabilitationssportgemeinschaft“ Ingelheim war aus Angst vor den neuen Vorschriften lieber gesammelt zurückgetreten.[3]
Seitdem hat sich einiges getan, unter anderem durch umfassende Informationsangebote und nicht zuletzt durch eine gewisse Übung dürften sich viele Unternehmen an die Datenschutzregeln gewöhnt haben. Dennoch zeigen zahlreiche Fälle von Abmahnungen und Gerichtsprozessen, dass die DSGVO noch nicht überall vollständig integriert und beherzigt wird. Wirkliche Rechtssicherheit scheint unerreichbar, bei Verstößen drohen empfindliche Bußgelder.
Bußgeld-Rekorde können Schwächen nicht überdecken
Insgesamt wurden in den drei vergangenen Jahren von den Datenschutzbehörden 596 Bußgelder i.H.v. insgesamt 278.549.188 Euro verhängt.[4] Die meisten Bußgelder verhängte die spanische Behörde, die für ganze 223 Bescheide verantwortlich ist. Dass besonders hohe Bußgelder oder solche, die – teils erfolgreich – gerichtlich angefochten werden, auf reges Interesse in der Medienöffentlichkeit treffen, liegt in der Natur der Sache.[5] Das Thema Datenschutz ist allgegenwärtig und genießt zumindest in weiten Teilen die verdiente Aufmerksamkeit. Doch Aufmerksamkeit allein genügt nicht, und nicht überall findet die Einschätzung, die DSGVO sei „eine der größten Errungenschaften der Europäischen Union der letzten Jahre“, Zustimmung.[6] Das „Herzstück“ der Verordnung, ihr europaweiter Sanktionsmechanismus, kommt in vielen Fällen gerade gegenüber großen US-Konzernen wie Google und Facebook nicht voll zum Zug:[7] Die Behörden seien nicht ausreichend mit den nötigen Ressourcen ausgestattet und beispielsweise in Irland, das mit niedrigen Unternehmenssteuern und großem Entgegenkommen bei politischen Anliegen lockt, verhinderten die anscheinend gezielt langsamen Prozeduren eine effektive Durchsetzung der Regeln. Doch eine klare Ansage seitens der Kommission, um die irische Datenschutzbehörde zu einer zügigeren Durchsetzung der DSGVO zu zwingen, bleibt wiederholt aus, wohl nicht zuletzt aus politischen Gründen.
Fazit
Ob der Vorschlag, die Verordnung zu reformieren, tatsächlich sinnvoll und zukunftsfähig ist, bleibt zweifelhaft. Schließlich vermag auch das umfassendste Gesetz die tatsächlichen Verhältnisse – insbesondere die Kommunikationslücken zwischen den verschiedenen nationalen Behörden, Uneinigkeit hinsichtlich der Zuständigkeiten und die personelle und finanzielle Ausstattung der Stellen – nicht unmittelbar zu ändern.[8] Vielmehr wird eine engere Zusammenarbeit zwischen den mitgliedstaatlichen Behörden und eine einheitliche Linie vor allem gegenüber den großen US-Digitalkonzernen nötig sein. Diese sollte sich nicht in den geschriebenen Regeln erschöpfen und durch nationale Verfahrensgepflogenheiten aufgeweicht werden. Auch die in der Praxis übliche Umgehung der in der Schrems II-Entscheidung des EuGH getroffenen Feststellung, dass beim Datentransfer (konkret) in die USA ein angemessenes Schutzniveau nicht gewährleistet ist[9], zeigt, dass ein geschlossenes, starkes Auftreten der europäischen Behörden nötig ist, um Schutzlücken zu verhindern. Ob sich die gemeinsam beschlossenen europäischen Datenschutzgrundsätze der DSGVO langfristig – in ihrer jetzigen Gestalt oder mit einer Reform – durchsetzen und ob die nationalen Behörden ihre Autorität und Durchsetzungskraft beweisen können, wird sich zeigen.
Dieser Beitrag erschien erstmals auf dem For..Net Blog.
[1] Vgl. Krempl, DSGVO: Das stürmisch gestartete „Pferd wird langsam totgeritten“, Heise Online, 26.05.2021 dort auch zum Folgenden.
[2] Vgl. Kretschmer, „Zeitintensiver, mühsamer, teurer“, Tagesschau.de, 25.05.2021, dort auch zum Folgenden.
[3] Vgl. Pleul, DSGVO: Datenschutz-Irrsinn oder unnötige Hysterie, Nordbayern.de, 17.07.2018.
[4] Vgl. Massé, Die DSGVO nicht ändern, sondern durchsetzen!, Netzpolitik.org, 25.05.2021, dort auch zum Folgenden.
[5] Vgl. etwa den Fall 1&1: Anger, Bußgeld wegen Datenschutzverstößen: Urteil gegen 1&1 ist rechtskräftig, Handelsblatt.de, 18.01.2021; der Rechtsstreit um den vom LG Berlin einkassierten Bescheid gegen die Deutsche Wohnen SE geht derweil in die nächste Runde: DSGVO-Bußgeld gegen Deutsche Wohnen ist nicht vom Tisch, Haufe.de, 04.03.2021.
[6] Vgl. Massé, Die DSGVO nicht ändern, sondern durchsetzen!, Netzpolitik.org, 25.05.2021.
[7] Vgl. Fanta, Starkes Gesetz, holprige Durchsetzung, Netzpolitik.org, 24.06.2020, dort auch zum Folgenden.
[8] Vgl. Massé, Die DSGVO nicht ändern, sondern durchsetzen!, Netzpolitik.org, 25.05.2021.
[9] Ausführlich zum Schrems-II-Urteil: Sobala, Eins, zwei, hoffentlich nicht drei – Schrems ist noch nicht vorbei, BayWiDI-Magazin 3/2020, S. 2 ff.
Sämtliche Links wurden zuletzt am 25.05.2021 abgerufen.